Como se escanea la red de una nación protegida con tecnología china y satélites rusos.??? Acá la respuesta tecnológica paso a paso.¡¡¡ ( Lectura altamente recomendada)

Recientemente corea del norte registro fallas importantes en sus conexiones a Internet, un grupo de hackers  ha realizado una explicación detallada de las vulnerabilidades de esta nación. El cual tiene sus conexiones enlazadas con plataformas informáticas  china y satélites rusos. Analices realizados usando pruebas de concepto con software libre. (que nos depara el futuro?) 

 Estamos consciente que existen mas técnicas , pero es interesante ver el criterio que usaron.

Ellos dicen:   comencemos con análisis basado en Ingeniería Social (Analizar la Victima)

El 17 de diciembre de 2011, Kim Jong Un se convirtió en el líder de Corea del Norte. Dos días después, el 19 de diciembre de 2011, comencé mi primera exploración del espacio de Internet de Corea del Norte. Tenía curiosidad por ver si su nuevo líder resultaría en un cambio por sí Internet. Eso fue hace tres años. He estado manteniendo un ojo en esa red de vez en cuando.

Has estado alguna vez curiosidad por lo que se ve de Internet de Corea del Norte como? La gente parece estar interesado en el uso de ese país de los ordenadores en Internet más en estos días, por alguna razón …

Copia de seguridad de un segundo, ¿cómo Corea del Norte obtener Internet, de todos modos?

Acceso a Internet de Corea del Norte es tan único como muchas otras cosas sobre el país son. El país se dice que tiene un bastante gran internet doméstica interna desconectada del resto del mundo. La mayoría de los ciudadanos que tienen acceso a los ordenadores sólo tienen acceso a esta red, no a la red informática mundial el resto de nosotros que conectarse. Pero Corea del Norte no está completamente aislada del mundo, seleccione personas en Corea del Norte, incluidos funcionarios gubernamentales, visitantes, periodistas y otras personas que elijas, tengan acceso a la misma red que el resto de nosotros lo hacemos.

Dado que sólo una pequeña parte del país tiene acceso a esta red, Corea del Norte tiene una muy pequeña presencia en Internet. Todo el tráfico dentro y fuera de Corea del Norte, a partir de las computadoras dentro del país a las computadoras en cualquier otro lugar en el mundo, pasa por un conjunto muy limitado de conexiones. En general, a nivel físico, el acceso de Corea del Norte a la Internet ha sido a través de una conexión en la frontera con China, o a través de enlaces satelitales.

Todas las direcciones IP vienen en bloques y los bloques son de dos tipos: asignados o asignados. En general, las direcciones IP asignadas se dan a una red directamente y están bajo control completo de esa red. La asignación de IP directa de Corea del Norte se compone de 1.024 direcciones IP, que es donde la mayor parte de su red visible en Internet existe hoy en día, éstas son las direcciones que he escaneado.

El alcance de la red asignado de Corea del Norte es 175.45.176.0/22:

inetnum: 175.45.176.0 – 175.45.179.255

nombrered: STAR-KP

descr: Ryugyong-dong

descr: Distrito Potong-gang

país: KP

estado: ASIGNADO PORTÁTIL

mnt-by: APNIC-HM

mnt-baja: MANT-STAR-PK

mnt-rutas: MANT-STAR-PK

cambiado: 20091221

fuente: APNIC

 

 

Corea del Norte también tiene dos bloques más que están asignados a la misma, lo que significa que otra red tiene el control final sobre las direcciones, pero los ordenadores de Corea del Norte se les permite usarlos:

  • 210.52.109.0/24 – este bloque se asigna a Corea del Norte a través de China Unicom y era su fuente original de direcciones IP antes de que se asignaron su primer bloque:
  • inetnum: 210.52.109.0 – 210.52.109.255
  • nombrered: KPTC
  • país: CN
  • descr: Cliente de CNC
  • estado: ASIGNADO no portátil
  • cambiado: 20040803
  • mnt-by: MANT-CN-ZM28
  • fuente: APNIC

 

  • 77.94.35.0/24 – este bloque se asigna a Corea del Norte por SatGate , una empresa satélite de Rusia, y es el único bloque de IPs conocidas de Corea del Norte en el marco del Registro Europeo RIPE en oposición a APNIC, el Registro para la región de Asia y el Pacífico:
  • inetnum: 77.94.35.0 – 77.94.35.255
  • nombrered: SATGATE-FILESTREAM
  • descr: Corea red
  • país: KP
  • admin-c: AVA205-RIPE
  • admin-c: EVE7-RIPE
  • tech-c: PPU4-RIPE
  • tech-c: ANM47-RIPE
  • estado: ASIGNADO PA
  • mnt-by: SATGATE-MNT
  • fuente: RIPE

 corea1

Como se puede ver en el mapa de cobertura para SatGate, servicio a Corea del Norte no es probable que viene de haces de satélites conocidos de SatGate. En su lugar, mientras que la asignación de la dirección IP está llegando a través SatGate, el propio servicio de Internet es probable que viene a través de IntelSat . Hay un número de IntelSat satélites que podrían ser en servicio. IntelSat 22 tiene un buen patrón de cobertura de la zona:

 

corea2

Pero un puñado de sus otros satélites también proporciona cobertura a zonas de la Península de Corea, con diversos grados de fuerza.

La mayor parte de los datos que tenemos, en particular los datos recogidos por la excelente investigación Dyn (née Renesys), parece indicar que casi todas las rutas de tráfico de Corea del Norte a través de China Unicom. La conexión por satélite es sólo una copia de seguridad.

De todos modos, cuento largo. Mi análisis de puertos se centran exclusivamente en las direcciones IP asignadas a 1024 Corea del Norte directamente. Esto también parece ser las direcciones de los servicios de Internet de Corea del Norte están utilizando activamente.

Métodos

He estado haciendo algunas exploraciones por un tiempo. Desafortunadamente no todas ellas completas, por diversas razones. He incluido los que recibieron una buena sección del espacio IP. Tres de ellos (marzo de 2012, 06 2014 y Septiembre de 2014) son los exámenes completos de la manzana. El resto son exploraciones parciales, generalmente golpear el 80% de la manzana más o menos, antes de que se trunca el registro. Todas mis exploraciones fueron generadas usando los siguientes comandos con el conocido nmap escáner de puertos:

nmap -p1-65535 -sv -O 175.45.176.0/22 ​​-T4> nk.scan y

nmap -p1-65535 -sv -O 175.45.176.0/22 ​​-T4 -Pn> nkall.scan y

Esencialmente, examiné todos los puertos en cada dirección IP, pidiendo nmap hacer su mejor momento con la detección de servicio y detección de sistema operativo.

Datos sin procesar

Siéntase libre de navegar a través de los registros de análisis. Usted puede encontrarlos aquí. Comparte lo que encuentre.

También hay un archivo filtered.scan en cada directorio que tiene algún tipo de filtrado básico de distancia de la información no esencial. Siéntase libre de navegar a través de que en lugar de los registros de primas.

Algunas cosas que he notado

Una de las cosas que más me interesa es tratar de determinar si es o no el número de equipos visibles en Internet aumentó en Corea del Norte después de la transición de poder de Kim Jong Il a Kim Jong Un. La respuesta no es que en su mayor parte, no ha aumentado mucho en términos de número de hosts directamente visibles, pero si nos fijamos en las exploraciones, se obtiene la impresión de que están usando más.

INFRAESTRUCTURA

También puede contar un poco acerca de lo que la infraestructura de Corea del Norte parece y cómo corren las cosas. En primer lugar, la mayor parte de la infraestructura de Corea del Norte se ejecuta en Linux. Esto probablemente no es una gran sorpresa, ya que sabemos que Corea del Norte tiene su propia distribución de Linux, Red Star OS , así que es fácil adivinar que podría ser fans. Por suerte, Apache tiende a reportar el sabor de Linux. Y, en efecto, a partir de las exploraciones de este año, se ve que algunos de sus servidores web de revestimiento pública están ejecutando RedStar:

Nmap informe de análisis para naenara.com.kp (175.45.176.67)

SERVICIO DE ESTADO PORTUARIO VERSION

80 / tcp abra http Apache httpd 2.2.15 ((RedStar 3.0) DAV / 2 PHP / 5.3.3 mod_ssl / 2.2.15 OpenSSL / 1.0.0 FIPS)

 

La última exploración incluye tres máquinas RedStar.Curiosamente, las máquinas de Red Hat que habían ejecutan en las exploraciones anteriores desaparecieron de este tiempo, por lo que podría ser que desplegaron Red Star OS para reemplazar sus máquinas de Red Hat.

También utilizan CentOS (4 en el último análisis, más de RedStar), un número de máquinas que no reportan el sabor utilizado y una máquina que simplemente informa (Unix).

Corea del Norte en general, quiere sus nuevas pilas de software para bajar su césped. No han abrazado la raíles 2.X Web chuleta de desarrollo web de compras estilo popular en algunos otros países. En lugar de sus servidores web tienen módulos o servicios activos para JSP, PHP, Perl y Python. Su elección de software de servidor es similar: Apache HTTP (web), BIND para DNS y equipos de Cisco en la frontera. Para SMTP (correo electrónico), exponen un montón de diferentes servicios, desde Cisco PIX smptd ejecuta en sus routers, a sendmail en una máquina. Sus servidores de correo a veces exponen a Ciro en el puerto de POP3. Oh, son también en Icecast para sus servidores de medios de streaming, aunque no está claro si todavía están usando la misma cosa ahora. Ellos también han tenido algunas máquinas Windows que se ejecutan IIS, (arriba hasta cerca de 2013 o así) así que tienen un entorno de infraestructura más diversa pasando que máquinas Linux en todas partes.

En su mayor parte, su infraestructura no ha cambiado un montón en el período que he estado escaneando ellos. Aunque Corea del Norte parece que aparezca un número creciente de sitios que se ejecutan en los distintos servidores web que tienen en su rebanada de Internet.

Uno de sus routers parece ser configurable de forma remota, que es una de esas cosas que pueden capturar los ojos:

Nmap informe de análisis de 175.45.178.129

No se muestra: 65.523 puertos cerrados

SERVICIO DE ESTADO PORTUARIO VERSION

22 / tcp ssh abierto Cisco SSH 1.25 (protocolo 1.99)

23 / tcp telnet abierto telnetd router Cisco

80 / tcp http abierta Cisco IOS http config

443 / tcp Open SSL / http Cisco IOS http config

 

Así que esa es una vista rápida de algunas de las piezas que el de infraestructura y visibles de su red. Yo sólo agarré los aspectos más destacados, inclinándose hacia las exploraciones más actuales. Hay un montón de diferentes servicios que se ejecutan, navegar a través de las exploraciones completas para más.

MÁQUINAS CLIENTE

Más interesante es los equipos que aparecen en su red, incluso por breves períodos de tiempo. Parece que mientras la mayoría de las computadoras en Corea del Norte se mantienen detrás de la infraestructura de borde, algún ordenador no aparece a la derecha en la Internet pública.

 MANZANAS EN TODAS PARTES, PERO NO UN BOCADO PARA COMER

En una exploración 20 de marzo 2012, vi MacBook Air que reportó como 4,1 modelo que significa que era un modelo de “finales de 2008”. Tiene una huella de redes bastante inusual, no es algo que se ve fuera de la caja:

mapear informe de análisis de 175.45.177.38

Host es de hasta (0.35s latencia).

No se muestra: 65.521 puertos cerrados

SERVICIO DE ESTADO PORTUARIO VERSION

22 / tcp ssh abierto OpenSSH 5.6 (protocolo 2.0)

88 / tcp kerberos-sec abiertos de Microsoft Windows kerberos-sec

135 / tcp filtrada MSRPC

136 Perfil / tcp filtrada

137 / tcp filtrados netbios-ns

138 / tcp filtrados netbios-DGM

139 / tcp filtrados netbios-ssn

445 / tcp filtrada microsoft-ds

548 / tcp afp abierta?

593 / tcp filtrada http-rpc-epmap

3689 / tcp encuentro abierto?

4444 / tcp filtrada krb524

4488 / tcp desconocido abierto

5900 / tcp vnc abierto de Apple vnc escritorio remoto

1 servicio no reconocido a pesar de la devolución de datos. Si conoce el servicio / versión, por favor enviar la siguiente huella digital en http://www.insecure.org/cg

i-bin / servicefp-submit.cgi:

SF-Port548-TCP: V = 5,50% I = 7% D = 3/20% Tiempo = 4F687DAA% P = x86_64-redhat-linux-gnu% r

SF: (SSLSessionReq, 223, “\ x01 \ x03 \ 0 \ 0Q \ xec \ xff \ xff \ 0 \ 0 \ x02 \ x13 \ 0 \ 0 \ 0 \ 0 \ X000 \

SF: 0> \ 0b \ 0 \ 0 \ x9f \ XFB \ x1badministrator \ xd5s \ x20MacBook \ x20Air \ 0 \ X9b \ 0 \ xab \ 0

SF: \ xff \ x01p \ x01 \ X8F \ rMacBookAir4,1 \ x05 \ x06AFP3 \ 0.4 \ x06AFP3 \ 0.3 \ x06AFP3 \ 0.2 \ x

SF: 06AFP3 \ 0.1 \ x06AFPX03 \ x06 \ tDHCAST128 \ x04DHX2 \ x06Recon1 \ Rclient \ x20Krb \ x20

SF: v2 \ x03GSS \ x0fNo \ x20User \ x20Authent \ x15 \ + \ xc3 \ XD9 \ xf9Q \ [\ XC7 \ XA1 \ x02 \ xa7

SF: D \ x88D \ xb2 \ (\ x05 \ x08 \ x02 \ xaf- \ xB1 & \ x02 \ $ \ x14 \ x07 \ xfe \ x80 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ x0

SF: 2 \ 0 \ 0 \ xff \ xfe \ 0 \ r \ x06 \ x02 \ $ \ x14 \ x07 \ xfe \ x80 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0b \ xc5G \ xff \ xfe \ x

SF: 03 \ [f \ x02 \ $ \ x14 \ x07 \ xfd \ 0e \ x87R \ xd7 \ xa4b \ xc5G \ xff \ xfe \ x03 \ [f \ x02 \ $ \ x0f

SF: \ x04175 \ 0.45 \ .177 \ 0.38 \ x01oafpserver / LKDC: SHA1 \ .AA6C3E197C870B839764D57E8

SF: 9AF4A940C95B060 @ LKDC: SHA1 \ .AA6C3E197C870B839764D57E89AF4A940C95B060 \ 0 \ x

SF: 1dadministrator \ xe2 \ x80 \ x99s \ x20MacBook \ x20Air \ 0 \ 0 \ 0 \ x80` ~ \ x06 \ x06 \ + \ x0

 

En pocas palabras: hay MacBooks en Corea del Norte. Ésta podría ser la máquina de algún periodista, que parece una explicación probable. Aunque en realidad hay más servicios en ejecución en lo que se podría pensar que sería una buena idea.VNC? En el espacio del Norte Corea IP pública? ¿Estás seguro de que es una buena idea?

VIRTUALIZACIÓN

Para que no piense que Corea del Norte es totalmente al revés y no puede conseguir mantenerse al día con las nuevas tecnologías, vamos a poner algo en claro en este momento.Tienen totalmente VMware:

 

Nmap informe de análisis de 175.45.178.134

No se muestra: 65.534 puertos filtrados

SERVICIO DE ESTADO PORTUARIO VERSION

912 / tcp abierta vmware-auth VMware Demonio de autenticación 1.0 (Usos VNC, SOAP)

Advertencia: Los resultados OSScan pueden ser poco fiables porque no podíamos encontrar al menos 1 abierto y 1 puerto cerrado

Tipo de dispositivo: de uso general | Teléfono

Duración: Microsoft Windows 2008 | Teléfono | Vista | 7

CPE OS: cpe: / o: microsoft: windows_server_2008 :: beta3 cpe: / o: microsoft: windows cpe: / o: microsoft: windows_vista :: – cpe: / o: microsoft: windows_vista :: cpe sp1: / o: microsoft : windows_7

Detalles OS: Microsoft Windows Server 2008 Beta 3, Microsoft Windows Phone 7.5, Microsoft Windows Vista SP0 o SP1, Windows Server 2008 SP1 o Windows 7, Microsoft Windows Vista SP2, Windows 7 SP1 o Windows Server 2008

 

Esto se parece a su máquina en funcionamiento estándar de Windows en una máquina virtual. No he visto evidencia de estos en la red hasta septiembre de 2014 más o menos. Lo que significa que la exposición de las máquinas virtuales en la Internet pública puede ser una cosa nueva para ellos. Pero aún así, probablemente ha estado jugando con ella dentro de su red interna por un tiempo ahora.

¡Adiós!

Disfrute de las exploraciones, divertirse, permiten a la gente saber si ves algo interesante.

Créditos, fuentes, etc.

Su amable norcoreano observador red: nknetobserver
Excelente análisis de enrutamiento: Renesys (ahora Dyn Investigación)
Otros análisis del espacio de red de Corea del Norte: HP Seguridad Investigación
SatGate mapa de cobertura:http://satgate.net/images/new_maps/map_index.jpg
cobertura IntelSat Mapas:http://exnetapps.intelsat.com/flash/coverage-maps/index.html

 

 

 

Leave a Comment