Я просканировал Украину

    В феврале австриец Christian Haschek в своем блоге опубликовал интересную статью под названием «Я просканировал всю Австрию». Конечно, мне стало интересно, что будет, если повторить это исследование, но уже с Украиной. Несколько недель круглосуточного сбора информации, еще пару дней на то, чтобы оформить статью, а в течение этого исследования беседы с различными представителями нашего общества, то уточнить, то узнать больше. Прошу под кат…

    TL;DR


    Для сбора информации не использовалось никаких специальных средств (хотя несколько человек советовали использовать тот же OpenVAS, чтобы сделать исследование основательнее и информативнее). С безопасностью IP, которые относятся к Украине (ниже о том, как определяли), ситуация, на мой взгляд, довольно плохая (и точно хуже того, что происходит в Австрии). Никаких попыток использовать обнаруженные уязвимые серверы не сделано и не запланировано.

    Прежде всего: как можно получить все IP адреса, которые принадлежат к определенной стране?


    Это на самом деле очень просто. IP адреса не генерируются самой страной, а выделяются ей. Поэтому есть список (и он публичный) всех стран и всех IP, которые им принадлежат.

    Каждый может скачать его, а затем отфильтровать его grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv

    Простой скрипт, который создал Кристиан, позволяет привести список в более пригодный к использованию вид.

    Украине принадлежит почти столько же IPv4 адресов, как и Австрии, более 11 млн. 11 640 409, если быть точным (для сравнения в Австрии — 11 170 487).

    Если вы не хотите играть с IP адресами самостоятельно (и это не стоит делать!), То можно использовать сервис Shodan.io.

    Есть ли в Украине непропатченые Windows машины, имеющие прямой доступ к интернет?


    Конечно, ни один сознательный украинец не будет открывать такой доступ для своих компьютеров. Или будет?

    masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l

    5669 машин под Windows с прямым доступом к сети найдено (в Австрии таких только 1273, но и это много).

    Упс. Есть ли среди них такие, что можно было бы атаковать с помощью эксплойтов ETHERNALBLUE, который известен еще с 2017 года? В Австрии не было ни одной такой машины, и я надеялся, что в Украине тоже не будет найдено. К сожалению, бесполезно. Найдено 198 IP адресов, которые не закрыли эту «дыру» у себя.

    DNS, DDoS и глубина кроличьей норы


    Достаточно о Windows. Давайте посмотрим, что у нас с DNS серверами, которые являются open-resolvers и могут быть использованы для DDoS атаки.

    Это работает примерно так. Атакующий направляет маленький DNS запрос, а уязвимый сервер отвечает жертве пакетом, который больше в 100 раз. Бум! Корпоративные сети могут довольно быстро упасть от такого объема данных, а для атаки нужна пропускная способность, которую может обеспечить современный смартфон. И такие атаки были не редкость даже на GitHub.

    Посмотрим, есть ли такие серверы в Украине.

    masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -l

    Первым шагом найдем те, которые имеют открытый 53 порт. В результате имеем список из 58 730 IP адресов, но это еще не значит, что они все могут быть использованы для DDoS атаки. Нужно, чтобы выполнялось второе требование, а именно они должны быть open-resolver.

    Для этого можно использовать простую команду dig и увидеть, что мы сможем «накопать» dig + short test.openresolver.com TXT @ip.of.dns.server. Если сервер отвечал open-resolver-detected, то его можно считать потенциальным объектом атаки. Open resolver'ы составляют примерно 25%, что сравниваемо с Австрией. С точки зрения общего количества, то это около 0,02% всех украинских IP.

    Что еще можно найти в Украине?


    Рад, что вы спросили. Проще (и самое интересное для меня лично) посмотреть, IP с открытым 80 портом и что на нем «крутится».

    вебсервера


    260 849 украинских IP отвечают на 80 порт (http). 125 444 адреса ответили положительно (200 статус) на простенький GET запрос, который может направить ваш браузер. Остальные выдали те или иные ошибки. Интересно, что 853 сервера выдали 500 статус, а редчайшими статусами стали 407 (запрос на прокси авторизацию) и абсолютно нестандартный 602 (IP не в «белом списке») по одному ответу.

    Apache доминирует абсолютно — 114 544 серверы используют именно его. Самая старая из найденных мной версий в Украине — 1.3.29, вышедшей 29 октября 2003 (!!!). nginx на втором месте 61 659 серверов.

    11 серверов используют WinCE, которая вышла в 1996 году, а закончили патчить ее в 2013 году (в Австрии таких только 4).

    Протокол HTTP/2 использует 5 144 серверов, HTTP / 1.1 — 256 836, HTTP / 1 — 13 491.

    Принтеры… потому что… почему бы нет?


    2 HP, 5 Epson и 4 Canon, которые доступны из сети, некоторые из них без всякой авторизации.

    image

    вебкамеры


    Это не новость, что в Украине есть ОЧЕНЬ много вебкамер, транслирующих себя в интернет, собранных на разных ресурсах. По крайней мере 75 камер транслируют себя в интернет без всякой защиты. Посмотреть на них можно здесь.

    image

    Что дальше?


    Украина — небольшая страна, как и Австрия, но имеет те же проблемы, что и большие страны в сфере ИТ. Нам необходимо выработать лучшее понимание того, что является безопасным, а что опасным, а также производители оборудования должны предоставлять безопасную начальную конфигурацию своего оборудования.

    Кроме того, я собираю компании-партнеры (стать партнером), которые могут помочь вам обеспечить неприкосновенность собственной ИТ инфраструктуры. Следующим шагом планирую сделать обзор безопасности украинских сайтов. Не переключайтесь!
    Share post

    Comments 247

      +7
      5669 машин под Windows с прямым доступом к сети найдено (в Австрии таких только 1273, но и это много).

      Как по мне, здесь и далее прямое сравнение с Австрией некорректно. Как минимум, потому что Австрии население в 4.5 раза меньше (согласно последним данным гугла). Машин с прямым доступом, как в этой цитате, меньше во столько же раз. Прямые выводы и с этих данных не следуют, но нюанс значимый.
        +4
        я сравнивал по количеству IP, а не по населению. Вполне «возможно», что windows машины используются в корпоративном сегменте, где на одну компанию приходится сотня-другая машин.
        0
        У вас команда для dig с ошибкой написана :-)
          0
          да, пробел лишний :-) подправил
          +1
          Кстати о DNS. Какой процент серверов на AXFR отвечает — тоже было бы интересно…
            0
            добавил в копилку идей для продолжения исследования. это скорее первый блин, чтобы посмотреть насколько тема интересна, с одной стороны, а с другой, показать, что с безопасностью «надо что-то думать...»
              +1
              Я этих идей могу накидать… Определение версии DNS-сервера, например. Мало кто знает что ее можно получить легальным DNS-запросом (как и внутреннее имя хоста), еще меньше подменяют ее на левую. Затем — поиск по CVE для этих серверов. Отдельно — рекурсивные резолверы со старыми версиями, были в них возможности для DoS с одного запроса.
                +2
                я в мае планирую подавать проект на RIPE community projects, если получу финансирование, то можно будет основательнее заняться. если интересно присоединится, то контакты есть в профиле
            +1
            Мне тут подсказывают, что 445 это может быть не только Windows
            И интересуются по поводу планов проверить 22 порт, а также 139 и 443
              0
              может быть не только windows, согласен, но вторым шагом сканировались открытые 445 порты именно на EternalBlue уязвимость.
              Порты сканировать хорошо, но «на грани фола», так как провайдеры к этому относятся не очень хорошо. Но в копилку идей записал ;)
                0
                Да, думаю, если Россию сканировать, то велика вероятность, что сочтут за атаку. Если только в несколько приемов
                  +1
                  да, опасность того, что могли счесть за атаку есть и достаточно велика, особенно, в России (но не будем про политику)
                    +1
                    Я боюсь, что любое такое исследование соседней страны сейчас будет воспринято как атака с вытекающими угрозами на высшем уровне. Грусть
                      +6
                      соседнюю страну ТОЧНО сканировать не стоит, я о том, что даже ВНУТРИ страны такое могут воспринять за атаку
                        0
                        Так возьмите ВПН в РФ и сканируйте ее сколько хотите изнутри
                          0
                          можно и не впн, а впс
                            0
                            Можно и впску
                              0
                              это даже правильнее будет, я думаю, так можно уже ставить тот же OpenVAS и проводить более основательное исследование, но, повторюсь, как хобби, я это не готов делать — будет заказ, можно будет сделать
                            +8
                            Хотите новости «иностранные хакеры проникли в российский интернет через неразрешенный впн»?
                              +1
                              ага, еще и Телеграм использовали для общения! ужасть просто!
                            0
                            На чем основано ваше опасение? По сети гуляет огромное количество вредоносов, сканирующих с зараженных машин всё подряд регулярно, такие «атаки» в сети идут постоянно, это неизбежность. Если вы ограничитесь простым сканированием, то никто вас даже не заметит.

                            Другое дело, если в попытаетесь массово эксплуатировать уязвимости на доступных машинах и при этом вам удастся тем самым вывести что-то важное из строя (что крайне маловероятно), тогда в качестве оправдания своих дыр в IT безопасности кто-нибудь может свалить вину на вас, на «коварных зарубежных хакеров»

                            А если это просто желание по случаю подколоть соседнюю с вами страну — то это безусловно ваше право, каждый развлекается как хочет.
                              0
                              Проблема в том, что сканирование (сбор информации) является первым этапом взлома. Даже если Вы можете доказать, что дальше этого этапа не заходили, ещё не означает, что Вы не планировали этого делать или не собирали эти сведения для плохих парней.

                              p.s. Представьте себе, что среди ночи кто-то тянул за ручку двери каждой квартиры в подъезде. Возможно, не все его поймут, но он тоже собирает статистику.
                                0
                                Представьте себе, что среди ночи кто-то тянул за ручку двери каждой квартиры

                                Тогда, чтобы ваша аналогия была полной, то должны быть не квартиры ночью, а место публичного приёма граждан в рабочее время, где в поисках нужного кабинета люди постоянно дёргают за ручки. Одним больше, одним меньше — никакой разницы.
                                  0
                                  То есть, Ваш рутер, смартфон, или ноутбук это «место публичного приёма граждан»?
                                    +1
                                    Не хотел бы получить на роутер «DDoS 20 Мбит/с».
                                      0
                                      Ещё прикинул. У меня upload 10 только. Если мой роутер будет отвечать на каждые 2 кБ пакетов в атаке 20 Мбит/с 1 килобайтом пакетов, то канал ляжет на «отдачу».
                                        0
                                        Ради интереса, посмотрел логи одного сервера за самый «нагруженный день». Были заблокированы 32386 запросов и получено 6.2MB данных (чтобы понять разницу, вчера были заблокированы 18463 запросов и получено 1MB данных).

                                        То есть, если дропать ненужные запросы, для домашнего IP маловероятно получить 20 Мбит/с только при сканировании портов. А вот если поднять веб-сервер на стандартные порты, да, там уже начинается веселье (особенно если не настроен хонейпот).
                                          0
                                          Веб, FTP на порты 11000-13000 и ещё чего-то — главное научиться пробрасывать их на роутере.
                                      0
                                      Безусловно, ведь это место «публичного приёма пакетов». Вы можете охарактеризовать устройства с публичным IP-адресом более точной аналогией? Ради интереса посмотрите логи доступа к любому вашему устройству с внешним IP-адресом на часто используемых портах (7, 21, 22, 23, 80, 137-139, 445, 3389 и так далее) и увидите, что на них регулярно кто-либо ломится.
                                        +1
                                        У меня мегабайтные логи iptables и я прекрасно знаю, что очень многие сканируют эти порты. Но то, что многие так делают, это не означает что это правильно или законно.

                                        Если хотите по закону, то сканируя порты одной машины без ведома владельца, Вы совершаете действия, которых можно прировнять к «Несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи, повлекшее утечку, утрату, подделку, блокирование информации, искажение процесса обработки информации или нарушение установленного порядка ее маршрутизации».

                                        Сканируя все порты подряд, Вы мешаете компьютерам работать должным образом. Считайте, что Вы атакуете эту систему используя DoS-атаку. Также, Вы можете вынудить владельца на дополнительные денежные расходы (кто-то платит за компьютерное время, другие за количество запросов или трафик).

                                        Если хотите ещё проще, считайте это спамом — то что я опубликовал на сайт мой емайл или номер телефона, это не означает что Вы имеете право отправить мне Ваши рекламные сообщения.
                                          0
                                          В законе написано ровно то, о чем я вам говорю:
                                          … повлекшее утечку, утрату, подделку, блокирование информации, искажение процесса обработки информации или нарушение установленного порядка ее маршрутизации

                                          Простое сканирование само по себе не будет иметь никаких последствий. Притянуть за уши данную статью к вам могут в том случае, если стоит изначальная задача вас привлечь, но в таком случае уже не важно «за что» и этот вариант выходит за рамки обсуждаемой нами темы.

                                          Суть в том, что обсуждаемые нами действия никоим образом не наказуемы на данный момент, т.к. не влекут за собой никаких последствий. Чтобы расценить сканирование как DoS атаку, необходима хотя бы теоретическая возможность вызвать отказ в обслуживании, т.е. «сканирование» одного хоста с нескольких, а не как в нашем случае огромной подсети с одного хоста, что ровно наоборот может вызвать отказ разве что с нашей стороны.
                                            0
                                            Если отсуствует словосочетание «запрещено сканирование» — не означает что это не запрещено. Дело в том, что Вы не знаете, какое устройство или система находится на конкретном IP-адресе. Например, если Вам удалось найти порт откуда возвращается конфиденциальная информация — это утечка. Если нашли древний GSM-терминал, который отключился из-за того что Вы и ещё 9000 «исследователей» решили собрать статистику — это утрата информации и нарушение работы ЭВМ. Если повезло наткнуться на секретный объект — неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.

                                            Вот почему, если Вы окажитесь в суде из-за того что кто-то не оценил Ваши исследовательскую деятельность, то Вы практически никак не сможете доказать свою невиновность.

                                            DoS-атака (не DDoS) это когда один компьютер отправляет множество запросов на один хост. И именно это происходит при сканировании портов. Возникнет отказ в обслуживании или нет — это уже как повезёт. Но владелец хоста вправе обратиться в суд и обвинить Вас в DoS-атаку и нарушение работы системы, а Интернет-провайдер предоставит все нужные логи. Кстати, если не секрет, какой у Вас Интернет-провайдер? В договоре ничего не написано о том что «При пользовании Услугой Абоненту запрещается производить несанкционированное сканирование любого диапазона IP-адресов»?

                                            Напоследок, попробуйте узнать, сколько пентестеров запускают nmap или acunetix без заключения договора с клиентами. И ещё: хоть разработчик nmap не считает сканирование портов незаконным, он настоятельно рекомендует получить письменное разрешение перед тестированием и предупреждает, что хоть сбои систем редки при сканировании, они всё же случаются.
                                              0
                                              DoS-атака (не DDoS) это когда один компьютер отправляет множество запросов на один хост. И именно это происходит при сканировании портов.
                                              Так в том-то и дело, от единоразового сканирования с одного хоста проблем не будет даже у IoT лампочки в чьей-то люстре. Чтобы вызвать проблемы нужно либо непрерывное многократное сканирование с одного хоста, либо единовременное с нескольких, но ни то, ни другое нам не нужно. Так в чем вы видите проблемы?
                                              Кстати, если не секрет, какой у Вас Интернет-провайдер?
                                              Не путайте договор провайдера с ответственностью по украинской статье 361. Договор с провайдером я могу тем самым нарушить, но это влечет за собой лишь прекращение предоставления мне услуг. Никак не пойму что вы хотите доказать.
                                                0
                                                Так в чем вы видите проблемы?
                                                Проблема в том, что без ведома владельца хоста Вы создаёте ему ненужную нагрузку и/или забиваете канал ненужными пакетами, а значит, в лучшем случае это денежные затраты, или в худшем — отказ в обслуживании. Кроме того, не забывайте, что помимо Вас ещё многие делают то же самое, и если владелец хоста решит подать в суд, он будет судиться с «соседями», а не, например, с китайскими исследователями. В общем, то, что не видите в этом проблему, не освобождает Вас от ответственности и уж точно не Вам решать, создали ли Вы «трудности» владельцу хоста или нет.

                                                Никак не пойму что вы хотите доказать.
                                                Например, там мелькает словосочетание «несанкционированное сканирование». И главное, это означает, что всё-таки сканирование неприятная штука вызывающая нарушение работы сети. Иными словами, если сканирование портов не создаёт «никаких проблем», зачем запрещать?
                                                  0
                                                  В общем, то, что не видите в этом проблему, не освобождает Вас от ответственности и уж точно не Вам решать, создали ли Вы «трудности» владельцу хоста или нет.
                                                  Вы манипулируете, откуда вы взяли, что решение о наличии или отсутствии проблем за мной? Я утверждают, что в данном конкретном случае сканирование не повлечет за собой никаких отказов в обслуживании и по этой причине не привлечёт абсолютно никакого внимания. Описанный вами сценарий одновременного сканирования предполагает слишком много совпадений и его вероятность стремится к нулю, по этому мы можем смело утверждать, что такой однократный анализ не повлечёт за собой какой-либо ответственности.
                                                  Например, там мелькает словосочетание «несанкционированное сканирование». И главное, это означает, что всё-таки сканирование неприятная штука вызывающая нарушение работы сети.
                                                  Так мы выше уже обсуждали варианты, когда сканирование может привести к отказу в обслуживании, это не наш случай, но именно из-за таких вариантов оно упоминается в законе.

                                                  В вашей логике фундаментальная ошибка, в нашем случае отсутствует состав преступления в связи с отсутствием каких-либо последствий.
                                                    +1
                                                    То есть, если автор nmap предупреждает, что всё-таки сбои бывают, это тоже ничего не означает? То, что тысячи машин сканируют ежедневно один IP-адрес — это «нулевая вероятность»?

                                                    Я даже не могу себе представить, сколько у Вас опыта в этой области, если Вы оперируйте такими словами, как «никаких отказов», «абсолютно никакого внимания», «вероятность стремится к нулю», «смело утверждать», «не повлечёт за собой какой-либо ответственности», «отсутствием каких-либо последствий».

                                                    Если лично я в чём-то сомневаюсь, я доверяю тем, у кого больше знаний и опыта. И если выбрать между Вашими словами и словами разработчиков сканеров, пентестеров или компаниями в сфере ИБ — то боюсь, я не могу согласиться с Вами.

                                                    Очевидно, в нашем споре каждый останется при своём мнении. Но я, как и автор статьи, хочу предупредить остальных, не делать то, в чем 100% не уверены или есть капля сомнения в законности и безопасности процесса.
                                                      0
                                                      Так тут дело не во мнении, сканер, тот же nmap, можно использовать очень по-разному и вызвать проблемы действительно не трудно. К примеру у того же RDP как правило блокируется авторизация на определенное время, зависящее от конфигурации, после нескольких неудачных подключений, что обязательно кому-то помешает. Потому разработчик инструмента обязан предупредить о возможных последствиях некоторых вариантов его использования. Что уж говорить о каком-нибудь Eternal Scanner, который по сути эксплуатирует уязвимость, чтобы проверить ее наличие. А сама по себе несанкционированная эксплуатация уязвимости уже подпадает под действие статьи и от ответственности оберегает только то, что по причине отсутствия дальнейших вредоносных действий сканируемый хост ничего не заметит и в связи с этим преследовать вас не будет.

                                                      Мы обсуждаем исключительно то, о чем написал автор данной темы, то и отталкиваемся от обсуждаемой задачи, в рамках которой вероятность получить проблемы стремится к нулю. В других гипотетических ситуациях безусловно можно найти кучу проблем, но при чём они здесь?
                                                        0
                                                        Так тут дело не во мнении, сканер, тот же nmap, можно использовать очень по-разному и вызвать проблемы действительно не трудно.
                                                        Здесь полностью согласен с Вами. Только автор nmap ещё предупреждает, что могут крашиться старые машины или неправильно сконфигурированные. Да, владелец хоста сам виноват, что не обезопасил свою машину, но всё произошло именно из-за сканирования портов.

                                                        Мы обсуждаем исключительно то, о чем написал автор данной темы, то и отталкиваемся от обсуждаемой задачи, в рамках которой вероятность получить проблемы стремится к нулю.
                                                        А Вы попробуйте прочитать статью ещё раз, и угадайте, что происходит дальше, если например, был обнаружен веб-сервер, камера, или принтер.
                                                  +1
                                                  Я бы анализировал свои действия по сканированию портов по диспозиции 363 и 363.1. Вполне нарушение договора с провайдером под 363 попадает. А не дай бог что-то упадёт, то и по 363.1
                                                    0
                                                    Скажите, пожалуйста, где можно причитать на русском о них?
                                                      +1

                                                      https://meget.kiev.ua/kodeks/ugolovniy-kodeks/razdel-1-16/ — автоматический перевод, но должно быть понятно

                                                        0
                                                        Благодарю! В общем, договор — отличное средство от головной боли.
                                                          0
                                                          Если я возьму утилиту из дистрибутива Фряхи — это не подпадет под 361-1.
                                                          Ага, Вы на другую ссылаетесь.
                                                          Умышленное массовое распространение сообщений электросвязи

                                                          сюда наш закон любой DDoS отнесет?
                                                            0
                                                            По идее однозначно попадают классические DDoS атаки, основанніе на перегрузке каналов, серверов и т. п.
                                                              0
                                                              Вот работал я в провайдере (работает с юр. лицами, в том числе — государством). DDoS на 1 нашего клиента запускали пару раз — гос. вуз. UDP-флуд первый раз кажется был.
                                                    0
                                                    Скажите, у вас большая практика работы с уголовными делами в области ИБ, или это ваши собственные размышления о трактовке статей?
                                                      0
                                                      Поскольку не являюсь юристом, я очень рад, что не сталкивался с уголовными делами в этой области. Возможно, это связано с тем, что у меня всегда был договор с клиентами перед тем как что-либо «исследовать».

                                                      Что касается толкования закона — думаю, всё предельно ясно: если хост упал или кто-то не смог получить доступ к нему, а в ходе расследования окажется, что в это время с конкретного IP-адреса были отправлены множество пакетов (сообщений электросвязи) — это «несанкционированное вмешательство в работу ЭВМ, повлекшее блокирование информации, искажение процесса обработки информации и нарушение установленного порядка ее маршрутизации».
                                                        0
                                                        Во-первых экспертиза должна установить причинно-следственную связь между недоступностью сервиса и фактом сканирования. Очень сложно представить себе продакшен сервис, который упадёт от типичной интенсивности сканирования.
                                                        Во-вторых этим должно принести некоторый убыток, а точнее значительный убыток, чтобы дело стало уголовным. Самого фактк «несанкционированного вмешательства недостаточно». В противном случае вы могли бы упечь своего коллегу по работе, который нажал кнопку выключения на вашем ПК. Ведь он несанкционированно вмешался в рбаоту ЭВМ. Причём с тяжёлым подпунктом — используя служебное опложение.
                                                        В-третьих должен быть доказан умысел. Ведь если сервис всё-таки лёг, то придётся доказывать, что имела место статья 272, а не 274.

                                                        поэтому хорошо, что «предельно ясно» только вам. А то с такой трактовкой законов далеко можно зайти. Этак можно всех родителей первокласников пересажать за то, что в день открытия записи в первые классы сервера ростелекома падают от нагрузки.
                                                          0
                                                          Возможно, Вы опять правы, и все кто твердят подписывать договоры, лишь заблуждаются, а то, что некоторые машины всё-таки падают — слишком маленькая вероятность, дабы воспринимать как нечто серьёзное.

                                                          Напоследок, хочу лишь цитировать себя:
                                                          Очевидно, в нашем споре каждый останется при своём мнении. Но я, как и автор статьи, хочу предупредить остальных, не делать то, в чем 100% не уверены или есть капля сомнения в законности и безопасности процесса.

                                          0
                                          У вас, наверное, нету машин с белыми IP, не закрытыми фаерволами ISP.

                                          У меня есть. Там рота солдат каждую ночь все ручки дёргает. На простое сканирование владелец ресурса не среагирует.
                                          Но есть нюанс: на него может среагировать собственный провайдер. Провайдеры могут не любить клиентов, которые генерят очень много соединений.
                                            0
                                            У вас, наверное, нету машин с белыми IP, не закрытыми фаерволами ISP
                                            Я упоминал выше про мегабайтные логи iptables. Это за один день, и такой размер есть практически на каждой машине. «Исследователи дёргают ручки» круглосуточно, и, как правило, многие которые доходят до веб-сервера, почему-то начинают искать всякие URL-адреса (такие как /webdav, /bbs.cgi, /dump.sql).

                                            владелец ресурса не среагирует
                                            Интересно, среагирует ли ФСБ, ФАПСИ или МВД, если сканировать их диапазон IP-адресов напрямую (то есть, без VPN и прочее) с домашнего компьютера находясь в Москве? С меня плюсики, если кто-то поделиться результатом. Если действительно не будут внезапные звонки или визиты среди ночи, то это будет просто отличная новость.

                                            Но есть нюанс
                                            Именно этот «нюанс» должен подсказывать, что сканирование это не 100% безобидная штука. Я практически готов согласиться, что на простое сканирование владелец ресурса не среагирует, но я не могу быть уверенным в этом.
                                              +1
                                              ФАПСИ уж лет 15 как нет, поэтому вряд ли среагирует. У вас не очень актуальные представления о силовых структурах.

                                              Тут ведь ещё какая фишка есть. Сканирует не всегда владелец ПК. В 90% случае это делают вредоносы на машине в поисках следующего хопа для заражения. И вредоносы это делают без прокси и VPN. Но в открытом доступе нет сведений о том, что к домохозяйкам, лазающим в однокласниках ночью звонят из МВД. А вот провайдеры их периодически бокируют. Это да.
                                                0
                                                Каюсь, не знал этого. Спасибо, что подсказали. И Вы абсолютно правы насчёт моих знаний о силовых структурах РФ. Если позвольте оправдываться, у меня есть на это веская причина: я не являюсь гражданином РФ и никогда им не был.

                                                Насчёт «фишки» — полностью согласен. Я бы сказал, что 90% это слишком мало. Думаю, лишь единицы осмеливаются сканировать напрямую.
                                                  0
                                                  О, тогда лучше не читать статьи по отдельности. Может сложится превратное впечатление. Надо смотреть весь УК и практику (Как и в любой другой стране).

                                                  Именно поэтоу гораздо больше половины из пойманого вами в логах на фаерволе даже не догадывается, что оно вас сканировало…
                                                0
                                                Кстати, сканирование сканированию рознь будет. Одно дело порты сканировать и другое дело в живую машину эксплойтами тыкать.
                                                  0
                                                  Так сканирование портов ничем не отличается от сканирования URL-адресов методом HEAD, как и от сканирования некоторых уязвимостей. Во всех этих случаев, в результате сканирования мы будем знать, что и где находится на определённом IP-адресе.

                                                  Кстати, учитывая что мы ничего не нарушали во время сбора этой информации, можем ли мы легально продать все собранные данные?
                                                    0
                                                    От сканирования URL тоже не отличается особо. Но вот сканирование применением эксплойтов уже может уже машинку прибить неилюзорно и классифицироваться по 272. Потому чтоприменение эксплойтов уже однозначно любым экспертом будет классифицировано как злонамеренное деяние.
                                                      0
                                                      Но ведь URL-адреса могут выглядеть по-разному (например, /?id=42'). И в случае с уязвимостями, не всегда нужно применить эксплойт, дабы узнать, если машина уязвима. Например, ответ от 3306 будет содержать номер версии MySQL и это достаточно, для того чтобы узнать, если машина уязвима или нет.
                                                        0
                                                        Сбор информации о том, является ли машина уязвимой к 272 статье не притянуть. Я имел ввиду нормальные боевые эксплойты, которые машину выносят. А не просто url, указывающий на применимость чгео-либо.
                                                        0
                                                        Необязательно злонамеренное (прямой умысел), может быть равнодушие к последствиям (косвенный умысел). А ещё может быть непредвидение последствий, хотя должен бы предвидеть (небрежность) и надежда их избежать (легкомыслие). Не говоря о добросовестном заблуждении — «я не знал, что это сканер реально ломает защиту, а не просто показывает возможность сломать»
                                                          0
                                                          «А ещё может быть непредвидение последствий» — это статья 274, скорее. Халатность.

                                                          «косвенный умысел» — это уже экспертам решать, на сколько человек был образован. Но, повторюсь, сканировать орты и тыкать в машинку эксплойтами — вещи разные. Мне кажется, автор статьи говорил о простом сканировании всё-таки.
                                                        0
                                                        «Кстати, учитывая что мы ничего не нарушали во время сбора этой информации, можем ли мы легально продать все собранные данные?»
                                                        Не всегда. Тема майнинга конфиденциальной инфы из открытых источников сама по себе очень любопытна и не имеет однозначного ответа. Так, например, если вы будете стоять у воинской части и записывать куда и соклько солдат выходило — вас привлекут за шпионаж. Хотя если вы просто будете стоять рядом с частью и смотреть на неё, не превращая это в информацию — предъявить вам будет особо нечего.
                                                          0
                                                          В каких случаях можно продать эти данные законно?
                                                            0
                                                            Ответ на этот вопрос в каждом конкретном случае будет дан независимыми эксператми.
                                                +1
                                                По сети гуляет огромное количество вредоносов, сканирующих с зараженных машин всё подряд регулярно…
                                                А если это просто желание по случаю подколоть соседнюю с вами страну — то это безусловно ваше право, каждый развлекается как хочет.


                                                Никто не знает, можно ли как-то из висящей на «белом» IP машины узнать локализацию ОС? Такая вот задачка — беру список IP «Ростелеком» и пробую совершить запросы:
                                                1. У кого Винда — ответь мне.
                                                2. Кто ответил — сообщи локализацию.

                                                Такой вот «сбор статистики», это мне совсем не для взлома. Если конечно ответом не будет «Windows 7 без SP1».
                                                  0
                                                  Такой вот «сбор статистики», это мне совсем не для взлома. Если конечно ответом не будет «Windows 7 без SP1».
                                                  А зачем вы объединяете сбор статистики и ее последующее использование в одно действие?
                                                  Еще раз, на такое единоразовое сканирование никто внимания не обратит. А вот уже ваши действия с устройствами с «Windows 7 без SP1» будут оцениваться отдельно, в зависимости от их последствий.
                                                    0
                                                    Конечно не объединяю. Вдруг я эту инфу собираю для продажи за пару у.е.?
                                                    А на устройства я мало что смогу послать, не объединятся же юзеры моего провайдера на маске /24 со мной в одну сеть с включенным SMB нужной версии?
                                            –6
                                            сразу про политику, вот каждый ватный прид.р.к пишет про политику если надо сравнить с россией.
                                            автор по сути признался что занимается противозакоными действиями в международном маштабе.
                                            понятно что он россию сканировать не будит вопервых что бы такие патриоты нервали горло что он такой плохой, во вторых что бы этиже патриоты его не отправили в сизо.

                                            а Украину взял что бы такие патриоты кричали как все плохо в Украине не то что у нас.Мы же самые умные. Ну типа умные.
                                              +3
                                              ну изначально я делал это исследование в первую очередь для Украины, но так исторически сложилось, что на Хабре достаточно специалистов и из Украины, чтобы она попала им на глаза. А кто и что будет кричать, то мне как-то все равно, главное, чтобы те, кто может/умеет — задумались, ведь ситуация далеко не уникальная.
                                                +2
                                                Ээээм… Человек, вы ошиблись. Это хабр, а не токсичный полит-видос на ютубчике.
                                              +2
                                              Да, думаю, если Россию сканировать, то велика вероятность, что сочтут за атаку. Если только в несколько приемов

                                              Куча ботов да школьников сканирует рандомно сети постоянно. Или вы уже забыли предупреждения антивирусов о сканирований порта.
                                                +1
                                                Ага, а в США и Германии за это по головке погладят и наградят за качественно составленный пост!)) Любая страна на шарике, которая имеет какой-то вес на мировой арене за такие дела привлекла бы к ответственности! Я из Украины, если что!
                                                  0
                                                  потому я и говорю, что кросс-граничное такое исследование проводить не стоить.
                                                    0
                                                    Если мне память не изменяет — в Чехии товарища, нашедшего уязвимость, привлечь решили. А уж разбрасываться ярлыками русских/китайских/корейских хакеров и вмешательства в выборы всех до одной стран… Грустный смайл короче

                                                    Хотя какая крупная ИБ компания такое исследование думаю провести может. Но только опять же в стране где она действует
                                                      0
                                                      у нас в Украине были случаи, когда вместо bounty program корпорации пытались привлечь white hat за хакерство :(
                                                        +1
                                                        Законы Украины давненько я не смотрел, а у нас в России с легкостью — несанкционированный доступ и тд
                                                        УК РФ Статья 272. Неправомерный доступ к компьютерной информации
                                                        … из корыстной заинтересованности
                                                        наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок
                                                        … Деяния… если они повлекли тяжкие последствия или создали угрозу их наступления, — … до семи лет.
                                                          0
                                                          > Неправомерный доступ к компьютерной информации

                                                          … если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации…
                                                            +1
                                                            «А к вам на компьютер (в кэш браузера скажем) таки не попало ни байта информации с атакованного вами компьютера?» (копирование)
                                                            «После вашей атаки у нас все рухнуло, мамой клянусь!» (уничтожение)

                                                            И если второе заявление можно отспорить, то первое отспорить будет сложно
                                                              0
                                                              > А к вам на компьютер (в кэш браузера скажем) таки не попало ни байта информации с атакованного вами компьютера?

                                                              Угу… а теперь докажите, что эта информация попала именно с «атакованного мной» копьютера. И вообще, какой браузер? Человек «пинговал» компьютеры. Какая информация может быть скопирована в результате пинга?
                                                              Я бы еще понял попытку применения ст.ст. 29-30, но там п.2. ст.30 «только для тяжких и особо тяжких», а п.3. неприменим, т.к. надо доказывать «по независящим от лица обстоятельствам».
                                                                0
                                                                ну так «хацкеры» же браузером ломают, так в кине показывают ;)
                                                                  0
                                                                  Практика правоприменения запрета доступа к опасным сайтам в школах. Приходят из прокуратуры, лезут в кэш браузера, находят запретные ссылки. Ходил ты по ним или нет — не колышет
                                                                  По моему печальному опыту — кто в суд ходил, тот в цирке не смеется.Такую ересь все участники сторон могут нести… Докопаться могут не только до столба — до его тени.
                                                                  Реальный случай (все хочу по нему написать статью, на никак времени нет). Бывший админ обвинен в неправомерном доступе с учетом того, что он лицо с высшим техническим и прочее (по статистике типичный хакер), на компьютере были найдены утилиты удаленного доступа и взлома паролей (ага!, точно же для злого дела припасены)
                                                                    0
                                                                    ну суды — это вообще отдельная песня…
                                                                      0
                                                                      > Бывший админ обвинен в неправомерном доступе с учетом того, что он лицо с высшим техническим и прочее (по статистике типичный хакер), на компьютере были найдены утилиты удаленного доступа и взлома паролей (ага!, точно же для злого дела припасены)

                                                                      С одной стороны вроде все верно:

                                                                      > Приготовлением к преступлению признаются приискание, изготовление или приспособление лицом средств или орудий совершения преступления, приискание соучастников преступления, сговор на совершение преступления либо иное умышленное создание условий для совершения преступления, если при этом преступление не было доведено до конца по не зависящим от этого лица обстоятельствам.

                                                                      Но с другой:

                                                                      > 2. Уголовная ответственность наступает за приготовление только к тяжкому и особо тяжкому преступлениям.

                                                                      Тяжкое — это свыше 5 лет, а «за доступ» вроде только 4 года.

                                                                        +1
                                                                        Увы все зависит от:
                                                                        — квалификации тех, кто составлял материалы для суда (вспомним как притягивали за репосты)
                                                                        — квалификации обвиняемого (увы, адвокаты косячат налево и и направо — сам не разбираешься, сам и пострадаешь)
                                                                        — квалификации адвоката (а как ее проверить обвиняемому?)
                                                                        — текущей «политики партии» по данному направлению (делаем статистику по ст. ...)
                                                                        — текущей практики правоприменения (бывает, что ее и нет)
                                                                        — пришел ли обвиняемый в суд (не узнал о суде — сам себе злобный буратино, сто пудово не в его сторону решат)
                                                                        — желания судьи разбираться с делом
                                                                          0
                                                                          Блин… придется признать, что вы правы :)
                                                                          0

                                                                          умышленное


                                                                          Наличие программ удаленного доступа и взлома паролей никак не доказывает умысел на совершение преступления. Может я пароль забыл свой и пытаюсь его восстановить. Презумпция невиновности требует доказать субъективную сторону дела, то есть умысел на преступление, а не просто приискание средств взлома.

                                                                            0
                                                                            разумеется. Но мы же не знаем всех обстоятельств конкретного случая.

                                                                            > Презумпция невиновности требует доказать субъективную сторону дела

                                                                            За это следователям зарплату платят. За за доказывание. Значит в этот раз отработали…
                                                                              0

                                                                              После "у суда нет оснований не доверять сотруднику" у меня нет оснований так считать.

                                                                                0
                                                                                И это тоже. Надо оставаться реалистами. Доказывать то они должны суду. А раз у суда «нет оснований», значит «прокатило».
                                                                          0
                                                                          > Такую ересь все участники сторон могут нести…

                                                                          Ах, если бы только стороны… У меня жена — юрист. Такое рассказывала… Однажды судья — божий одуванчик, на заседании вытащила из стола советский КоАП, и спрашивала, почему статьи не сходятся. Когда ей на это указали, она сказала: «а, ну ладно...». Хорошо еще, что проекты решений судьи не сами пишут…
                                                                            0
                                                                            ой… хотя… все логично
                                                                              0
                                                                              Решения это нечто. Записывается что успевает записаться, а в решении еще и перепутывается все. У меня перепутали место рождения, причину увольнения и приписали 600тыс долга (перепутали участников дела)
                                                                              «А вы что сами не ошибаетесь разве?», «А фигня, все же понятно»
                                                                                0
                                                                                это вы еще исковые заявления, которые пишутся пачками, не читали…
                                                            0
                                                            Я однажды на 445 порту нашел принтер и доступ без ограничений к папке, в которой хранилось исходники сайтов, штуки 3 примерно
                                                              0
                                                              Р — разработчики ;)
                                                                0
                                                                Так малый бизнес и подавляющая часть среднего, все продавцы — не боятся совершенно ничего. Они антивирус-то не ставят, а вы говорите настройка доступа
                                                                Единственно где видел кстати паранойю — проектные организации в строительстве. Проекты востребованы на рынке, вот там доступ да… Куда там первому отделу
                                                                  0

                                                                  Да, МСБ в этом совершенно бесстрашные, но и объектом для атаки они будут с малой вероятностью (разве что очередной бот-нет кто-то будет разворачивать).

                                                                    +1
                                                                    Да почему? Атакуют всех без разбора. Просто они по факту не знают, что заражены. Типичная фраза «нам наш антивирус не сообщал о заражениях, значит у нас все хорошо». Отличная статистика по заражениям от Груп-ИБ о заражениях банков. Банков блин! Огромное количество с повторными заражениями и не принимают никаких мер по предотвращению
                                                                      0

                                                                      Печаль...

                                                                    0
                                                                    Дак это не малый бизнес там какой-то гос.сайт разрабатывается
                                                                      +1
                                                                      Гос. предприятие могло отдать сайт на аутсорс. Или вы точно поняли, что IP принтера соответствует гос. клиенту?
                                                              +1
                                                              Данные с shodan:
                                                              22 порт
                                                              на 139 порту не было найдено ничего, если же имелся в виду 137 — то вот
                                                              443 порт (И, вдогонку, данные по серверам, уязвимым к heartbleed)
                                                                0
                                                                благодарю!
                                                                  0
                                                                  Спасибо!
                                                                +3
                                                                Было бы любопытно увидеть подобную статистику по России. Я так понимаю, IP-адресов намного больше и поэтому скрипты будут делать проверки гораздо дольше?
                                                                  0
                                                                  однозначно, плюс сканировать Россию из Украины не лучшая идея ;) разве что будет конкретный проект, чтобы я мог прикрыться им, если «вдруг» что…
                                                                    +1
                                                                    Вы только представьте, с какой помпой можно будет говорить о защите суверенного интернета. А уж станок госдурки как заработает. Однозначно идея плохая, но каков соблазн посмотреть на спектакль. )))
                                                                      0
                                                                      сканировать Россию из Украины не лучшая идея
                                                                      А какого типа последствий можно ожидать? Относится впрочем не только к украине/россии, а к любой кросс-граничной ситуации. Т.е. в чем именно опасение сканировать именно другую страну и раз уж на то пошло, то россию из украины? Правда интересно, т.к. не видим тут никаких специфический отличий от скана внутри страны или скана между любыми другими странами.

                                                                      Andrey_Dolg
                                                                      Вы только представьте, с какой помпой можно будет говорить о защите суверенного интернета.
                                                                      Этих сканеров в день много запускается, но именно из-за ТС начнется движуха?:)
                                                                        0
                                                                        Был бы повод, а движуха начнется однозначно. Для себя решил, что для проведения дальнейшего исследования (в том числе, и России) мне необходимо два фактора:
                                                                        — договор на проведение такого исследования, чтобы «прикрыться»
                                                                        — финансирование, так как в «режиме хобби» его делать сложновато.
                                                                          +1
                                                                          Ага и с договором и финансированием вы из «украинские хакеры» превратитесь в «украина устроила кибератаку». То есть вам-то будет, наверное, проще (хотя мне сложно представить как), но вот шуму можно получить на порядок больше.
                                                                            +1

                                                                            Я понимаю, что шумиху всегда можно поднять.

                                                                          +1
                                                                          Кроссграничное может быть быть воспринято (или подано общественности) как кибератака одного государства на другое.
                                                                            0
                                                                            потому выше и говорил про впн/впс, но это уже совсем другая история
                                                                            0

                                                                            Много но на хабре появится статья на "Как я просканировал Россию из Украины".)))

                                                                              0
                                                                              напомнило «как управлять миром, не привлекая внимание санитаров» )))
                                                                            0
                                                                            ИМХО…
                                                                            не знаю, если согласовать такой проект с тем же ФСТЭК, может и грант откроют. в принципе, если адекватно подходить — должны адекватно и отвечать.
                                                                            дадут Вам на пару с тем же Эшелоном или Маскомом или с ГНИИ ПТЗИ конкурс, реализуешь, результаты, профит!
                                                                            но могут быть нюансы — то что тебя в собственном государстве могут за это нахлобучить, это тоже есть фактор риска.
                                                                              0
                                                                              ну всегда можно (и нужно!) делать с адекватными партнерами из соседнего государства, а то у нас сейчас не лучшие отношения
                                                                                0
                                                                                так я и указал, с кем связываться, если войдут в тему, а это их как раз тема (Защита Информации), а не ФСБ, то вполне нормальная должна быть реакция, и даже подскажут партнёра здесь, чтобы была быстрая обратная связь.
                                                                                  0
                                                                                  понял! благодарю за совет
                                                                            0
                                                                            можно было бы делать по регионам (?), но нужно проверить есть ли привязка блоков IP к федеральным округам…
                                                                              0

                                                                              Насколько знаю, подобного рода идентификация есть, но с нюансами. Сталкивался с ситуацией, когда определялась соседняя область, а однажды московский IP-адрес одного провайдера определился как новосибирский, потому что юрлицо у них в Сибири.

                                                                                0
                                                                                ну погрешность есть всегда, безусловно, но в целом привязка есть. ясно-понятно ;) на будущее буду иметь в виду!
                                                                                  0
                                                                                  погрешностьиз-за того что AS выделяют организациям, тем же например магистральным провайдерам, а те дальше перераспределяют. AS из непровайдеров имеют только крупные multihomed организации, а они также расположены в множестве регионов. поэтому будет проще локализовать по организации-владельцу. ну и частично попадались региональные таблицы, но валидность их…
                                                                                    0
                                                                                    благодарю за пояснения!
                                                                                +1
                                                                                Официальной скорее всего нет. По каким-то косвенным (типа адреса лица, получившего пул) и/или статистическим данным можно делать достаточно достоверные предположения, но не более. Может кто-то из федеральных провайдеров где-то публикует «этот пул мы выделили для Москвы, а этот для Питера» но смысла в этом не вижу.
                                                                                0
                                                                                Данные с shodan, а не masscan, но, тем не менее:
                                                                                простой скан country:RU
                                                                                dns сервера
                                                                                dns сервера со включённой рекурсией
                                                                                80 порт
                                                                                445 порт
                                                                                445 порт и работающий eternalblue
                                                                                С принтерами и веб-камерами несколько сложнее, не уверен, какой запрос использовался для поиска в статье.
                                                                                +14
                                                                                Украина — небольшая страна

                                                                                Это что-то новенькое :) Вы с Китаем сравниваете?
                                                                                Если не считать евразийской России, Украина — территориально самое большое европейское государство.
                                                                                  +7
                                                                                  я с точки зрения ІТ смотрю, территория-то большая, но все больше поля да сельхоз угодья (в статье писал, что количество IP сравнимо с Австрией, которая почти в 10 раз меньше Украины).
                                                                                    0
                                                                                    в лучшем случае в 5 раз (почти 9 миллионов)
                                                                                      +3

                                                                                      Я про территорию :)

                                                                                      –2
                                                                                      Плотность населения России по данным русскоязычной Википедии — 8,56 чел./км². При этом аналогичный показатель по данным аналогичного источника в Украине — 77,3 чел./км².
                                                                                      Исходя из вашей методки оценки, следует что Украина в ~9 раз «больше». А с субъективной «точки зрения ІТ» и того больше выходит :)
                                                                                        +1
                                                                                        да нет же! ІР в России будет на порядок, думаю, больше, чем в Украине, потому и по территории, и по населению, и по ІТ Россия больше Украины.
                                                                                          –9
                                                                                          и че на севере россие и во многих ужных деревнях россии нету ИНТЕРНЕТА или он есть начиная от 1700 за 7 гигабайт при условие если ты купил спутниковую тарлку за 20 тысяч.
                                                                                          У веряю Россия хоть и большая страна но она маленькая по населению и в интернете не так много людей находится, неудивлюсь что на Россие на 2-5 миллиона всеголишь больше сидит в интернете
                                                                                          а может и меньше если учесть что в Украине в интернете сидит сегодня 60% страны
                                                                                            0

                                                                                            Эм, ну я в курсе, что смертность в России превышает рождаемость, но населения там раза в три (?) больше, чем в Украине. А то, что значительная часть территории страны леса и тундра, то тоже не секрет.

                                                                                              0
                                                                                              В таких спорах, как правило, нужны факты. А факты таковы: Россия имеет 109 552 842 Интернет-пользователей, а Украина — 23 321 390.

                                                                                              Правда, данные за 30 июня 2017 года, но это все же точнее, чем подсчет лошадей в вакууме.
                                                                                                0
                                                                                                о, ну я примерно так и представлял себе. благодарю!
                                                                                            0
                                                                                            Внезапно для себя открыл что даже в ЦФО в России плотность всего 60 чел/км², что меньше чем на Украине.
                                                                                              0
                                                                                              «о сколько нам открытий чудных!», как говорил классик
                                                                                                0
                                                                                                посмотрите на другую такую же большую страну, канаду — там основная часть населения (90+%) на широте ростова и южнее.
                                                                                                а по сетям — они распределены больше организационно (AS), поэтому регион определяется +- тапок (здесь было что определяется то новосиб, то мск, то ещё что...).
                                                                                                  0
                                                                                                  да, Канада в этом плане прелестна!
                                                                                          –8
                                                                                          Что значит, ЕСЛИ?
                                                                                          Если не считать евразийской России

                                                                                          Так можно и Америку не считать, и Китай. И тут БАЦ, и Украина самая ВЕЛИКАЯ ДЕРЖАВА в МИРЕ.
                                                                                            +5
                                                                                            Не проблема, я перефразирую: среди европейских стран, 100% территории которых расположено в Европе, Украина — самая большая по размеру территории.
                                                                                              –1
                                                                                              Может стоит смотреть по размеру населения? И забить немножко на 100% территории.
                                                                                                0
                                                                                                Есть страшная тайна. Те, у кого Крым, определяют первого по площади в Европе. Так уж вышло, что Франция обойдет Украину, если Крым — не наш.
                                                                                                P.S. Ну и если не брать Данию с Гренландией.
                                                                                                  0
                                                                                                  Гренландия не часть Дании.
                                                                                                  В частности, Дания состоит в ЕС, а Гренландия — вне ЕС.
                                                                                                    0
                                                                                                    И в Гренландию пограничники не пустят по шенгенской визе?:)
                                                                                                      0

                                                                                                      ЕС!= Шенгенская зона

                                                                                                          0
                                                                                                          Пустят «Только по шенгенской визе, выданной Данией».
                                                                                                            0
                                                                                                            ниже tyomitch уже писал
                                                                                                          0
                                                                                                          Так точно, не пустят.
                                                                                                          Greenland and the Faroe Islands are not included in the Schengen area. However, persons travelling between the Faroe Islands, Greenland and the Schengen Area are not subject to border checks. The list of countries whose citizens require a visa for Greenland or the Faroe Islands is the same as for the Schengen Area, but a Schengen visa will not allow the holder access to either territory, only a Danish visa stamped with either «Valid for the Faroe Islands» or «Valid for Greenland», or both.
                                                                                                        +3
                                                                                                        Не обойдет, у Франции без заморского департамента 551 тысяча кв.км, Украина 603, в т.ч. Крым + Севастополь 28
                                                                                                          0
                                                                                                          Ну значит кто-то плохо считал.
                                                                                                  0
                                                                                                  Попробую угадать: подавляющее большинство непропатченых машин — клиенты «Укртелеком».
                                                                                                    +1
                                                                                                    нет, встречались разные
                                                                                                    0
                                                                                                    Хорошая статья!, жаль нету кнопки «донат»
                                                                                                      +1
                                                                                                      увы, ничего из тех платежных систем, что предлагает Хабр не использую, но если из Украины, то могу дать карточку Привата в личку, чтобы отблагодарили :)
                                                                                                      А еще можно договориться о партнерстве — я сейчас ищу компании/людей, которым интересно разместить рекламу в моем личном блоге, где размещена та же статья.
                                                                                                      +1
                                                                                                      Вполне логично, что в Украине гораздо больше необновленных версий windows. Ведь основной источник таких систем — торренты и прочие zvercd. Далеко не все из них умеют обновляться.

                                                                                                      А корпоративные пользователи и владельцы ноутбуков (где лицензионную ОС можно встретить гораздо чаще) очень редко имеют прямые ip. Обычно, в таком случае, по дороге есть роутеры и nat.
                                                                                                        0

                                                                                                        Да, корпорации — это отдельная "поляна"

                                                                                                          0
                                                                                                          Минимальная версия — скачать с р.у.т.р.а.к.е.р. {Win7 MSDN + SP1}. Поставить патч от ETHERNALBLUE и забить. В свете последних новостей — поставить после SP1 IE11 и на него обнову за декабрь.
                                                                                                          Про NAT конечно согласен. Берешь в Киеве 100 Мбит/с до UA-IX и пропускаешь через хороший роутер (как вариант — я именно про обычный роутер). В LAN-порт какой-то Huawei S2720-28TP-EI-AC (честно с потолка взял, что в Гугле нашел — 30к наших денег, может дороговато) пихаешь и из него уже разводишь по сети кабеля.
                                                                                                          +1
                                                                                                          Я не удивлён что такое у нас происходит, с учётом наплевательского отношения людей и нежелания что-либо делать правильно и качественно.
                                                                                                          Но ситуация конечно ужасает масштабами проблемы…

                                                                                                          Повеселило как много у нас легаси систем.

                                                                                                          Спасибо за статью!
                                                                                                            0

                                                                                                            Спасибо за обратную связь!

                                                                                                              +6

                                                                                                              Кроме наплевательского отношения может быть:


                                                                                                              • незнание о существовании проблемы в принципе (купил комп — подключил интернет — всё работает — что не так?)
                                                                                                              • неумение что-то настроить, даже если краем ухом где-то слышал, что в интернете могут быть опасности, но "кактус поставил и на порносайты не хожу"
                                                                                                              • заблуждение о том, что сделал сам всё правильно и качественно
                                                                                                              • заблуждение о том, что приглашенный специалист сделал всё правильно и качественно
                                                                                                              • злой умысел в конце-концов, не нежелание сделать правильно, а желание сделать неправильно
                                                                                                                0
                                                                                                                я думаю, что факторов можно найти еще больше, но исправлять ошибки, а для начала хотя бы говорить о них, все равно необходимо!
                                                                                                                  0
                                                                                                                  «Приглашённый специалист» это в 99% случаев «мальчик по компьютерам», который тоже соответствует этим пунктам — 2,3, и особенно, пятому (чтобы привязать к себе клиента).
                                                                                                                    +1
                                                                                                                    «спецы» есть всегда (именно в кавычках), а я по этому поводу вспоминаю ОЧЕНЬ бородатую шутку о том, что если тебе нравится девушка, то ей надо было поставить Windows ME, чтобы видеться чаще.
                                                                                                                      +1
                                                                                                                      Она ещё бородатей, во времена windows 95 точно была, причём в формулировке «ставь английскую первую, а не русскую OSR2» :)
                                                                                                                        0
                                                                                                                        это прекрасно!
                                                                                                                          +1
                                                                                                                          И речь явно не про раскладку клавиатуры. Ведь настоящий сисадмин всегда ставит основной раскладкой английскую?
                                                                                                                            0

                                                                                                                            Однозначно :)

                                                                                                                          0
                                                                                                                          Вот не надо грязи про Миллениум). В умелых руках месяцами не падала в синий экранчик.
                                                                                                                            0
                                                                                                                            так мы ж не про грязь, а про девушек)
                                                                                                                        0
                                                                                                                        незнание о существовании проблемы в принципе

                                                                                                                        Валом. Узок круг, кто читает ИТ новости.
                                                                                                                          0

                                                                                                                          Потому и поднимаю эту проблему. Хабр только первый из ресурсов. Сегодня выйдет статья на АИН. Дальше — больше :)

                                                                                                                      +4
                                                                                                                      Я просканировал Украину

                                                                                                                      Завтра во всех СМИ незалежной: "Страна подверглась кибератаке, совершённой по прямому указанию <сами знаете кого>".

                                                                                                                        0
                                                                                                                        Боюсь, что что-то подобное и может всплыть. Но это уже политика, а ей не место на этом ресурсе.
                                                                                                                          +1
                                                                                                                          Я к тому, что статья, конечно, познавательная, но следовало бы подумать о возможных последствиях, прежде чем начинать такие исследования, особенно в нашу эру шпиономании и stuxnet-ов.
                                                                                                                            +1
                                                                                                                            Ну так автор вроде не использовал выявленные уязвимости, а только указал на тот факт, что их достаточно. Кто хотел использовать данные уязвимости, делал это раньше и без статьи автора. А данная статья может указать некоторым людям на существующие проблемы, чтобы они задумались и устранили их.
                                                                                                                              0

                                                                                                                              Нет, что дырки закрывать надо — это понятно, но я про то, что где-то могли увидеть, что кто-то их страны X шарится по всем адресам страны Y, а дальше в дело вступает паранойя.

                                                                                                                                +2

                                                                                                                                В данном случае кто-то из страны У шарится по адресам страны У. Отставить панику.

                                                                                                                                  0
                                                                                                                                  ну там выше предлагали через впн/впс шариться и по другим странам
                                                                                                                            +2
                                                                                                                            «политика, а ей не место на этом ресурсе.»

                                                                                                                            — Всё, что делает человек так или иначе имеет отношение к политике. А уж исследование систем безопасности, безотносительно к целям исследователя — тем более политика.

                                                                                                                            У Маршака в тему есть стих:

                                                                                                                            Не было гвоздя —
                                                                                                                            _Подкова
                                                                                                                            __Пропала.

                                                                                                                            Не было подковы —
                                                                                                                            _Лошадь
                                                                                                                            __Захромала.

                                                                                                                            Лошадь захромала —
                                                                                                                            _Командир
                                                                                                                            __Убит.

                                                                                                                            Конница разбита —
                                                                                                                            _Армия
                                                                                                                            __Бежит.

                                                                                                                            Враг вступает в город,
                                                                                                                            _Пленных не щадя,
                                                                                                                            __Оттого, что в кузнице
                                                                                                                            ___Не было гвоздя…
                                                                                                                              0
                                                                                                                              боюсь, что за такие комментарии заминусуют тут ;)
                                                                                                                                0
                                                                                                                                Это не смертельно.
                                                                                                                                Зато разнообразие )
                                                                                                                                +1
                                                                                                                                Оказывается, это вольный перевод. А оригинал вот он.

                                                                                                                                For want of a nail the shoe was lost.
                                                                                                                                For want of a shoe the horse was lost.
                                                                                                                                For want of a horse the rider was lost.
                                                                                                                                For want of a rider the message was lost.
                                                                                                                                For want of a message the battle was lost.
                                                                                                                                For want of a battle the kingdom was lost.
                                                                                                                                And all for the want of a horseshoe nail.
                                                                                                                              –4
                                                                                                                              замечу если бы это сделал украинец, все русские сми уже через минут в течение одного месяца всю Украину называли бы пид, расами.

                                                                                                                              ну а раз это сделал русский то значит
                                                                                                                              все нормально.это напоминает как русские повлияли на выборы в США все русские смеялись, пока США не начала водить САНКЦИИ, а потом все русские начали ныть и кричать рвать рубаху что они этого не делали.н при этом замесяц до этого всВСЕ русские сми смеялись всей страной какие они герой повлияли на выборы ХА ХА.

                                                                                                                              Я много помню. как вы сначало сметесь, а по том НОЕТЕ.

                                                                                                                              потом не удивляйтесь что после блога на хабе это распечатают все международные сми.
                                                                                                                                0
                                                                                                                                Я правильно понимаю, что по вашему мнению в самой демократичной стране мира президент выбран под влиянием другого государства и он до сих пор на посту?
                                                                                                                                Никто не поднял вопрос о легитимности его поста?
                                                                                                                                Никто не признал выборы незаконными?
                                                                                                                                Никто не инициировал процесс импичмента?

                                                                                                                                Всё, что сделали Штаты — это просто ввели санкции и позволили незаконно выбранному президенту рулить страной? Серьёзно?
                                                                                                                                  0
                                                                                                                                  Причем вроде как Трамп сам настаивал на проведении расследования о вмешательстве спецслужб РФ в эти выборы.
                                                                                                                              +1
                                                                                                                              А все потому, что многие провайдеры бесплатно дают белый IP.
                                                                                                                                0
                                                                                                                                таки да
                                                                                                                                  0
                                                                                                                                  У кого есть свободный пул — будут раздавать. Скажем имеет провайдер 2 сети /20 и продает корпоративным клиентам не менее 1 IP.
                                                                                                                                  +2
                                                                                                                                  Делал похожий ресерч по Беларуси когда-то, собирал информацию с привязкой еще к хостинг провайдерам по DNS, есть некоторая статистика к примеру по сайтам на одном IP, AXFR / DNS Amplification, определение используемых CMS, сбор доменных имен с ограничением по зоне и еще до кучи. Если это актуально, могу расшарить конечно же, просто не думал, что такого характера информация будет интересна широкой аудитории.
                                                                                                                                    +1
                                                                                                                                    круто! давай, можно будет потом сделать более комплексное исследование Центральной/Востоной Европе, например
                                                                                                                                    0
                                                                                                                                    ral, вы забыли упомянуть один маленький нюанс — законно ли заниматься подобной деятельностью на территории Украины? Если нет, то вы сильно рискуете… Вами могут воспользоваться, как «информационным поводом».
                                                                                                                                      0
                                                                                                                                      Перед тем, как заняться этим, прочитал внимательно УК. Придраться можно всегда, безусловно, но если следовать букве и духу закона, то я ничего не нарушил таким исследованием.
                                                                                                                                        –6
                                                                                                                                        Можно читать общий Уголовный кодекс но к каждому Уголовному делу есть еще 10-20 сносок, к примеру ты провер по сути сканирование портов тем самым как самолет шпион сделал фото разветку.

                                                                                                                                        По тому если захотят попадеш международный розыск, к примеру многие страны подержут, и бо читал как то что такие деятельности производят только под заказ государства специальным фирмам.
                                                                                                                                        Сам себе маляву написал коротко.
                                                                                                                                          +2

                                                                                                                                          Уважаемый, вы юрист со специализацией в интеллектуальной собственности и информационной безопасности? По тону комментария подозреваю, что нет. Тогда вопрос — что вы им хотел сказать?

                                                                                                                                          0
                                                                                                                                          Ну, дай Бог, как говорится. AFAIR, у нас, в Штатах, массовое сканирование является преступлением, правда, не уверен, что были прецеденты привлечения к ответственности за такое. Но, теоретически, на уровне провайдера детектируется «на раз», при условии, что вы сканируете со своего IP. Но если использовать VPN/ssh эккаунт из Китая, то вполне безопасно, с моей точки зрения ;)
                                                                                                                                            +1
                                                                                                                                            про Штаты буду знать (хотя, честно говоря, удивлен! это федеральное преступление? или в конкретном штате?), у нас формально только нарушение регламента провйдера интернет может быть, но и с этим даже не столкнулся. ну и да, впн/впс решает множество вопросов ;)
                                                                                                                                              +1
                                                                                                                                              Не, я, похоже, соврал (сорри), нет такого федерального закона, да в законах штатов это нигде явно не присутствует. Вот что пишет "первая найденная гуглом ссылка".
                                                                                                                                              Так что можете сканировать US абсолютно спокойно :D Но если планируете когда-либо сюда приехать, все-таки задумайтесь: АНБ и другие секретные правительственные организации получили сейчас большое финансирование на internet security protection, и, imho, вероятность попасть «под раздачу» не нулевая…
                                                                                                                                                0
                                                                                                                                                я Штатах был по правительственной программе обмена, потому если что-то и делат, то только совместно и с финансированием
                                                                                                                                        0

                                                                                                                                        Интересно существенно количество веб-серверов с ошибками в ответах. Если сервер отвечал 301 или 302 кодом и отправлял на https, то это ошибка? Или это в статистике по ответу с кодом 200?

                                                                                                                                          0

                                                                                                                                          По 200

                                                                                                                                            0
                                                                                                                                            401, 403 и 404 в ситуации непубличных серверов для GET / вполне нормально. Особенно, если по IP стучать.
                                                                                                                                            0
                                                                                                                                            Кто-нибудь уже сделал «Я просканировал Россию»?
                                                                                                                                              0

                                                                                                                                              Еще нет :) Украина не Россия, как писал один из наших бывших президентов

                                                                                                                                              0
                                                                                                                                              Я вот честно не в курсе такого вопроса. Имея факт, что открыт 53 порт, можно дальше понять, что часть этих IP можно назначить как DNS — в свойствах IPv4 сетевухи, свойствах области на DHCP-сервере или как «Conditional Forwarding» в свойствах DNS-сервера на WinServer 2008-16?
                                                                                                                                                0
                                                                                                                                                Статья интересная, но некоторые могут воспринять ее как призыв к действию…
                                                                                                                                                Помните петю и медок?
                                                                                                                                                  0
                                                                                                                                                  так вот, чтобы петя не повторился и сделал такое исследование… потому как выводов, судя по всему, не сделали, или сделали недостаточно…
                                                                                                                                                    +1
                                                                                                                                                    Так и в этот раз не сделают.
                                                                                                                                                      0
                                                                                                                                                      значит найдем финансирование, повторим исследование и будем повторять, пока не дойдет. а что делать?
                                                                                                                                                  –1
                                                                                                                                                  А была информация по т.н. «отдельным районам» Донецкой и Луганской областей Украины? Там ведь тоже продолжат работу украинские провайдеры.
                                                                                                                                                    0
                                                                                                                                                    не поверите, но даже Крым
                                                                                                                                                    0
                                                                                                                                                    Если сканировать Россию, результаты будут такие же, числа только побольше будут.
                                                                                                                                                    Возможно исследователь увидит непропатченную хп с голой попой торчащей в интернет. Не бойтесь это сети банкоматов с неправильной настройкой политик. Многие удаленные банкоматы подключаются по 3жи свистку без всяких впнов туннелирования трафика и прочих техник. Принтеры доступные из Зимбабве не редкость как и домашние веб-сервера на домашнем роутере без пароля с доступом во внешний мир.
                                                                                                                                                      0
                                                                                                                                                      домашние веб-сервера — это еще полдела, но подозреваю, что и home automation можно тоже открыть
                                                                                                                                                    0
                                                                                                                                                    Киберполиция Украины не в курсе, отправьте им ссылочку.
                                                                                                                                                      0
                                                                                                                                                      вам надо, вы и отправляйте :)
                                                                                                                                                        +1
                                                                                                                                                        с вашего позволения отправил ;)
                                                                                                                                                      0
                                                                                                                                                      Маленький нюанс — «в Интернете не существует государств, существует топология» (с)
                                                                                                                                                      Средняя ошибка платных баз, типа Maxmind — 2-5%. С бесплатными всё ещё хуже.
                                                                                                                                                      На RIPE DB тоже полагаться не следует — т.к. качество информации там… ну не трэш, но такое себе.

                                                                                                                                                      Так что прежде чем проводить подобные исследования, я бы очень подробно описал, каким именно образом получается «список айпишников страны».

                                                                                                                                                      Потому что вот это:
                                                                                                                                                      Это на самом деле очень просто. IP адреса не генерируются самой страной, а выделяются ей.

                                                                                                                                                      полная чушь, на самом деле.
                                                                                                                                                        0
                                                                                                                                                        в самом начале есть даже ссылка на файл ;)
                                                                                                                                                          0
                                                                                                                                                          «Я скачал какой-то файл с адресами, мне сказали, что это Украина» — ооок)
                                                                                                                                                            0
                                                                                                                                                            Итак, что нужно сделать.
                                                                                                                                                            1. Сортирую эти IP по возрастанию.
                                                                                                                                                            2. Делим на подсети /20.
                                                                                                                                                            Дальше — ручками:)
                                                                                                                                                            3. Берем первый IP каждой подсети. То есть была адрес из подсети x.y.80.1/20 — на сайте 2ip.ua проверяем адрес x.y.80.1.
                                                                                                                                                            4. Потом пробуем понять, хватит ли нам названия и «Номер AS провайдера», чтобы точно узнать, что это Украина.
                                                                                                                                                              0
                                                                                                                                                              Какая-то очень странная методика.
                                                                                                                                                              Учитывая, что RIPE NCC распределяет сети по /22-/24