Анализ сетевого пространства Северной Кореи

17 декабря 2011 года Ким Чен Ын стал лидером Северной Кореи. Два дня спустя, 19 декабря 2011 года я начал свою первую проверку северокорейского интернет-пространства. Мне было интересно узнать в какую сторону изменится интернет в КНДР с приходом нового лидера. Это было три года назад. Я следил за ней на протяжении всего времени и до настоящего момента. По некоторым причинам, люди в этой стране становятся все более заинтересованными в использовании интернета и компьютера.

Доступ в Интернет в Северной Корее уникален, как и многие другие вещи в стране. Страна, как говорят, имеет свой  достаточно большой внутренний  Интернет, который  отключен от остальной части мира. Большинство граждан, имеющих доступ к компьютерам  разрешен доступ только к этой внутренней сети, а не к  глобальной компьютерной сети, как в нормальной стране. Но Северная Корея не полностью отрезана от мира, некоторые “большие” люди (правительственные чиновники, посетители, журналисты и др избранные люди) имеют доступ к той же сети, которой пользуемся мы с вами.
Так как только небольшая часть страны имеет доступ к  глобальной сети, Северная Корея имеет очень маленькое количество пользователей  в Интернете. Весь трафик  в и из Северной Кореи, направленный с компьютеров внутри страны к  компьютерам, находящимся в другой точке земного шара, проходит через очень ограниченный набор соединений. Как правило, на физическом уровне, северокорейский доступ к Интернету был через соединение на границе с Китаем, или через спутниковые каналы связи.
Все IP-адреса входят в блоки, и эти блоки поставляются в двух вариантах: allocated(выделен) или assigned(назначен). Как правило, выделенные IP-адреса выдаются сети напрямую и находятся под ее полным контролем. Распределение IP Северной Кореи состоит из 1024 IP-адресов, большая часть которых  существует  по сей день и  их можно “откопать” в глобальном интернете. Эти адреса я и посмотрел.
Выделенный северокорейский диапазон сети 175.45.176.0/22:

inetnum: 175.45.176.0 – 175.45.179.255
netname: STAR-KP
descr: Ryugyong-dong
descr: Potong-gang District
country: KP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-STAR-KP
mnt-routes: MAINT-STAR-KP
changed: 20091221
source: APNIC

Северная Корея также имеет еще два блока, которые assigned(назначены), а это значит, что другая сеть имеет полный контроль над адресами, но компьютерам Северной Кореи разрешено их использовать.

210.52.109.0/24этот блок assigned(назначен) в Северную Корею через China Unicom и был  первоначальным источником IP-адресов, прежде чем они был выделен их первый блок:

inetnum: 210.52.109.0 – 210.52.109.255
netname: KPTC
country: CN
descr: Customer of CNC
status: ASSIGNED NON-PORTABLE
changed: 20040803
mnt-by: MAINT-CN-ZM28
source: APNIC

77.94.35.0/24 – этот блок assigned(назначен) в Северную Корею SatGate(российская спутниковая компания) и является единственным блоком известных IP-адресов КНДР, в рамках Европейского RIPE реестра, в отличие от APNIC( реестра  Азиатско-Тихоокеанского региона):

inetnum: 77.94.35.0 – 77.94.35.255
netname: SATGATE-FILESTREAM
descr: Korean network
country: KP
admin-c: AVA205-RIPE
admin-c: EVE7-RIPE
tech-c: PPU4-RIPE
tech-c: ANM47-RIPE
status: ASSIGNED PA
mnt-by: SATGATE-MNT
source: RIPE

satgate

Как вы можете увидеть, обслуживание КНДР компанией SatGate попросту невозможно, так как спутниковые лучи просто туда не доходят. На самом деле, распределением IP-адресов занималась компания SatGate, а сама услуга интернет проходила через IntelSat. У IntelSat существует достаточное количество спутников, которые могут предоставлять подобные услуги. Intelsat 22 имеет хорошую картину охвата района:

intelsat22

Но еще и  куча других своих спутников также обеспечивают покрытие части Корейского полуострова с разной степенью силы. Большая часть данных, которые мы имеем, в частности, данные, собранные с помощью исследований Dyn, указывают, что почти все северокорейские маршруты трафика проходят через China Unicom.

Я сосредоточился на  сканирование 1024 IP-адресов, выделенных в Северную Корею напрямую. Это производит впечатление, что адреса активно используются северокорейскими интернет-услугами.

Методы

Я делал  сканирования на протяжении  некоторого времени. К сожалению, не все из них завершены, по разным причинам. Представлены полные сканы блока только трех(март 2012 г., июнь 2014 и сентябрь 2014).  Все мои сканы были получены с помощью  хорошо известного сканера портов Nmap:

nmap -p1-65535 -sV -O 175.45.176.0/22 -T4 > nk.scan &
nmap -p1-65535 -sV -O 175.45.176.0/22 -T4 -Pn > nkall.scan

По существу, я просмотрел каждый порт  каждого IP-адреса и попутно  попросил  Nmap сделать все возможное,  чтобы он обнаружил службы и определил ОС.

Необработанные данные

 Не стесняйтесь просматривать журналы сканирования. Вы можете найти их здесь. Поделитесь тем, что вы найдет.
В каждом каталоге есть файл filtered.scan, который уже немного отфильтрован от ненужной информации.

Некоторые вещи, которые я заметил

Одна из вещей, которую я хотел понять – увеличилось или нет число видимых компьютеров в интернете после прихода к власти Ким Чен Ына. Ответ на этот вопрос неоднозначен. Число непосредственно видимых хостов не увеличилось, создается впечатление, что используют их чаще.

Инфрструктура

Я могу рассказать вам немного о том как работает и выглядит  инфраструктура Северной Кореи. Во-первых, большая часть инфраструктуры Северной Кореи работает на Linux. Это, вероятно, не является большим сюрпризом, так как мы знаем, что Северная Корея имеет свой собственный Linux дистрибутив, Red Star OS, так что легко догадаться, что они могут быть поклонниками linux. И действительно, начиная сканирование в этом году, вы видите, что некоторые из своих публичных  веб-серверов работают Red Star:

Nmap scan report for naenara.com.kp (175.45.176.67)
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.2.15 ((RedStar 3.0) DAV/2 PHP/5.3.3 mod_ssl/2.2.15 OpenSSL/1.0.0-fips)

Последнее сканирование включает в себя веб-сервера на REDSTAR. Они также используют CentOS (4 в последнем сканировании их больше чем RedStar), и один сервер, который просто сообщает (Unix).

Северная Корея  нуждается в собственном новом комплексе программного обеспечения, чтобы она смогла играть по собственным правилам . Именно поэтому они не встали на путь всяких там ваших WEB 1.0 или WEB 2.0 и прочей лабуды типа веб-программирования, которая достаточно развита и популярна в успешных странах. Вместо этого  их веб-серверы имеют активные модули или услуги для JSP, PHP, Perl и Python.  Их выбор серверного программного обеспечения аналогична: Apache для HTTP (веб), BIND для DNS и оборудования Cisco на стыке. Для SMTP (электронная почта), они выставляют кучу различных услуг, начиная от Cisco PIX smtpd, работающие на своих маршрутизаторах, до Sendmail на машине. О, они также используют Icecast для своих потоковых медиа-серверов, хотя неясно используют ли они эту вещь до сих пор. У них были также некоторые машины Windows, под управлением IIS, (вплоть до около 2013 или около того), так что у них было хоть какое-то разнообразие, чем просто понаставить везде Linux.

По большей части их инфраструктура не сильно изменилась за весь период моего сканирования. Хотя КНДР создает все большее количество сайтов, которые запускают на их собственных серверах.

Один из их маршрутизаторов, конфигурируемый удаленно:

Nmap scan report for 175.45.178.129
Not shown: 65523 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh Cisco SSH 1.25 (protocol 1.99)
23/tcp open telnet Cisco router telnetd
80/tcp open http Cisco IOS http config
443/tcp open ssl/http Cisco IOS http config

Так что это быстрый просмотр некоторых видимых инфраструктурных частей их сети. Там куча различных служб работает,  я же  ухватил основные моменты. Если хотите, то смотрите полное сканирование.

Клиентские машины

Более интересным является компьютеры, которые появляются в их сети, даже на короткие периоды времени. Кажется, что в то время как большинство компьютеров в Северной Корее находятся за  инфраструктурой, некоторые компьютеры имеют  право на публичный Интернет.

20 марта 2012 в результате сканирования  я увидел MacBook Air, который был 4,1 моделью. У него был довольно необычный сетевой след, не совсем то, что вы увидите здесь:

map scan report for 175.45.177.38
Host is up (0.35s latency).
Not shown: 65521 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.6 (protocol 2.0)
88/tcp open kerberos-sec Microsoft Windows kerberos-sec
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
548/tcp open afp?
593/tcp filtered http-rpc-epmap
3689/tcp open rendezvous?
4444/tcp filtered krb524
4488/tcp open unknown
5900/tcp open vnc Apple remote desktop vnc
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cg
i-bin/servicefp-submit.cgi :
SF-Port548-TCP:V=5.50%I=7%D=3/20%Time=4F687DAA%P=x86_64-redhat-linux-gnu%r
SF:(SSLSessionReq,223,”\x01\x03\0\0Q\xec\xff\xff\0\0\x02\x13\0\0\0\0\x000\
SF:0>\0b\0\0\x9f\xfb\x1badministrator\xd5s\x20MacBook\x20Air\0\x9b\0\xab\0
SF:\xff\x01p\x01\x8f\rMacBookAir4,1\x05\x06AFP3\.4\x06AFP3\.3\x06AFP3\.2\x
SF:06AFP3\.1\x06AFPX03\x06\tDHCAST128\x04DHX2\x06Recon1\rClient\x20Krb\x20
SF:v2\x03GSS\x0fNo\x20User\x20Authent\x15\+\xc3\xd9\xf9Q\[\xc7\xa1\x02\xa7

Я думаю, это означает, что MacBook был запущен RECON Suite, который, по-видимому, является одним из видов программного обеспечения для управления корпоративными системами.

Итог:  в Северной Корее все-таки есть макбуки. Хотя….Возможно это просто макбук какого-нибудь журналиста, который приехал писать статью о КНДР.

Виртуализация

Давайте кое-что сделаем прямо сейчас, чтобы вы не думали что КНДР отсталая страна и не может идти в ногу с  новыми технологиями. Они полностью освоили  VMware:

Nmap scan report for 175.45.178.134
Not shown: 65534 filtered ports
PORT STATE SERVICE VERSION
912/tcp open vmware-auth VMware Authentication Daemon 1.0 (Uses VNC, SOAP)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|phone
Running: Microsoft Windows 2008|Phone|Vista|7
OS CPE: cpe:/o:microsoft:windows_server_2008::beta3 cpe:/o:microsoft:windows cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_7
OS details: Microsoft Windows Server 2008 Beta 3, Microsoft Windows Phone 7.5, Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7, Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008

Это выглядит как стандартная машина под управлением Windows в виртуальной машине. Я  не видел доказательств их существования в сети до сентября 2014 года или около того.

Наслаждайтесь сканированием, получайте удовольствие, и дайте знать людям, если вы найдете что-нибудь интересное.

Другой анализ сетевого пространства Северной Кореи: http://community.hpe.com/hpeb/attachments/hpeb/off-by-on-software-security-blog/388/2/HPSR%20SecurityBriefing_Episode16_NorthKorea.pdf