Come osservare le reti della Corea del Nord.

Questo articolo è una traduzione dell’articolo che potete trovare qui. Ogni merito e credito e bla bla sono suoi, non miei. Avrei un certo timore ad osservare quei paciocconi coreani se non dietro una quantità smodata di proxy. Potete trovare le scan, invece, qui.

 

INTRODUZIONE

Il 17 Dicembre 2011, Kim Jong Un è diventato leader della Corea del Nord. Due giorni dopo, il 19 Dicembre 2011, ho cominciato la mia prima scan dello spazio internet dedicato alla Corea del Nord. Ero curioso di scoprire se per caso l’arrivo del nuovo leader avrebbe causato una cambiamento nel loro modo di approcciarsi con la Rete. Questo accadde 3 anni fa [4 al tempo della traduzione], e da allora tengo d’occhio quella rete, quando mi capita.

Non siete mai stati curiosi di sapere come possa sembrare l’infrastruttura di rete della Corea del Nord? Per qualche ragione sembra che la gente sia molto interessata in questi giorni all’utilizzo che si fa dei computer in quel paese..

“Ma oh, ferma un attimo. Come fa la Corea del Nord ad avere internet, in ogni caso?”

L’accesso alla rete da parte della Corea del Nord è una cosa tanto peculiare quanto lo sono molte altre cose, in quel paese. Si vocifera che questo stato abbia una rete domestica decentemente grande, disconnessa dal resto del mondo. La stragrande maggioranza dei cittadini aventi accesso ad un computer ha il permesso di accedere unicamente a questa rete, senza avere il minimo contatto con l’internet che conosciamo noi e che usiamo ogni giorno. Non che la Corea del Nord sia completamente tagliata fuori dal mondo, un ristretto gruppo di individui, tra cui ufficiali del governo, turisti e giornalisti hanno accesso alla stessa rete che vediamo noi.

Dunque, dato che solo una piccola parte del paese ne ha accesso, la presenza della Corea del Nord in internet è estremamente ridotta. Tutto il traffico proveniente da dentro e fuori la Corea del Nord passa attraverso un numero molto limitato di connessioni. Generalmente, sul piano fisico, il collegamento avviene attraverso la connessione a reti ai confini con la Cina o mediante l’uso di satelliti.

Tutti gli indirizzi IP utlizzati provengono da precisi blocchi, e questi blocchi possono essere di due tipi: allocabili o assegnati. In genere gli indirizzi IP allocabili sono consegnati ad una rete privata in grado di controllarli. Il pacco di ip allocabili assegnati alla Corea del Nord consiste di 1024 indirizzi IP, dai quale proviene la maggior parte del traffico visibile da internet, e sono questi gli indirizzi che sono andato a studiare.

Lo spazio assegnato alla Corea del Nord è il range 175.45.176.0/22:

inetnum: 175.45.176.0 - 175.45.179.255
netname: STAR-KP
descr: Ryugyong-dong
descr: Potong-gang District
country: KP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-STAR-KP
mnt-routes: MAINT-STAR-KP
changed: 20091221
source: APNIC

La Corea del Nord possiede inoltre altri due blocchi, assegnati ad essa, il che significa che un’altra rete ha il controllo ultimo su di essi, ma i computer nord coreani possono comunque utilizzarli:

  • 210.52.109.0/24 – Questo blocco è assegnato alla Corea del Nord da China Unicom, ed è stato il primo blocco ad essere utilizzato, prima dell’allocazione del primo blocco.
    inetnum: 210.52.109.0 - 210.52.109.255
    netname: KPTC
    country: CN
    descr: Customer of CNC
    status: ASSIGNED NON-PORTABLE
    changed: 20040803
    mnt-by: MAINT-CN-ZM28
    source: APNIC
    
  • 77.94.35.0/24 – Questo blocco è assegnato alla Corea del Nord da SatGate (http://satgate.net/), una compagna di satelliti russa, ed è l’unico blocco presente sotto i registri del registro europeo RIPE, invece che su quello asiatico APNIC:
    inetnum: 77.94.35.0 - 77.94.35.255
    netname: SATGATE-FILESTREAM
    descr: Korean network
    country: KP
    admin-c: AVA205-RIPE
    admin-c: EVE7-RIPE
    tech-c: PPU4-RIPE
    tech-c: ANM47-RIPE
    status: ASSIGNED PA
    mnt-by: SATGATE-MNT
    source: RIPE
    

satgate

Come è possibile vedere dalla mappa della copertura fornita da SatGate, il servizio di cui usufruisce la Corea del Nord molto probabilmente non proviene dai satelliti della SatGate stessa. Infatti, anche se l’allocazione degli indirizzi IP proviene dalla SatGate, il servizio internet vero e proprio proviene probabilmente dal servizio Intelsat.
Il satellite IntelSat22 ha, ad esempio, una buona copertura dell’area.

intelsat22

La maggior parte dei dati in nostro possesso, particolarmente i dati raccolti dall’eccellente DynResearch (nata Renesys), sembrano indicare come quasi tutto il traffico nord coreano passi attraverso China Unicom, e che il satellite sia solo una misura di sicurezza.

In ogni caso, per farla breve, tutte le mie scan sono state realizzate unicamente verso i 1024 indirizzi IP assegnati direttamente alla Corea del Nord. Gli indirizzi ip che gli stessi servizi Internet pubblici coreani sembrano utilizzare attivamente.

METODI DI INDAGINE

Ho compiuto varie scan, ma, per varie ragioni, non tutte sono state completate a dovere. Ho incluso solo quelle nelle quali ho ottenuto una buona porzione dello spazio assegnato. Tre di queste (Marzo 2014, Giugno 2014 e Settmbre 2014) sono scansioni complete dell’intero blocco. Le restanti scan sono parziali, solitamente comprendendti circa un 80% del blocco. Tutte le scan sono state generate usano i seguenti comandi, utilizzando il celeberrimo programma per lo scanning nmap:

nmap -p1-65535 -sV -O 175.45.176.0/22 -T4 > nk.scan &
nmap -p1-65535 -sV -O 175.45.176.0/22 -T4 -Pn > nkall.scan &

Ho essenzialmente scansionato ogni porta di ogni indirizzo IP, chiedendo a nmap di fare del suo meglio per individuare il servizio ed il sistema operativo in uso.

DATI GREZZI

Navigate pure liberamente tra i log delle scansioni, che possono essere trovate qui (link). Condividete pure cosa trovate. C’è anche un file “filtered.scan” in ogni cartella, contenente gli stessi dati puliti dalle informazioni non essenziali. Navigate pure tra questi.

Alcune cose che ho notato

Una delle cose nelle quali ero più interessato era il cercare di determinare se il numero di computer visibilmente connessi ad internet fosse aumentato o meno dopo la transizione del potere da Kim Jong Il a Kim Jong Un. La risposta sembrerebbe essere di no, anche se, osservando le scan, si ha l’impressione che queste connessioni vengano usate molto di più.

INFRASTRUTTURE

Si è anche in grado di dire qualcosa riguardo le infrastrutture nord coreane, e sul modo in cui a loro piace gestire determinate cose.
Innanzitutto, la maggior parte del sistema coreano gira su Linux. Questa non è probabilmente una grande sorpresa, sapendo che la Corea ha sviluppato una sua distro Linux, Red Star OS. È quindi facili immaginare possano essere degli ammiratori. Fortunatamente Apache tende a riportare anche la distro su cui gira, e si può osservare da alcune scan che alcuni dei loro web server pubblici monta proprio Red Star:

Nmap scan report for naenara.com.kp (175.45.176.67)
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.2.15 ((RedStar 3.0) DAV/2 PHP/5.3.3 mod_ssl/2.2.15 OpenSSL/1.0.0-fips)

L’ultima scan include 3 macchine con RedStar. Sembra anche che abbiano sostiuito macchine che in passato montassero Red Hat.
Utilizzano anche CentOS, 4 macchine contre le 3 di Red Star, ed altre macchine che riportano semplicemente “Unix”.

La Corea del Nord generalmente vuole lasciare le novità fuori dalla porta di casa loro. Non hanno seguito il treno dell’hype del web development per il web 2.X. I loro webserver hanno invece moduli o servizi attivi per JSP, PHP, Perl e Python. Simile è la loro scelta nel software per i server: Apache per l’HTTP (web), BIND per DNS e Cisco per il confine. Per l’SMTP (email), tengono aperti un mucchio di servizi differenti, da Cisco PIX smptd sui loro router, fino a sendmail su singole macchine. I loro mailserver a volte espongono Cyrus su di una porta POP3. Oh, e sembra gli piaccia anche Icecast per i streaming media server, anche se non è chiaro se utilizzono ancora questo steso servizio. Hanno anche avuto qualche macchina Windows con IIS (fino al 2013 circa), ed hanno quindi un’infrastruttura ben più diversa che semplicemente Linux ovunque.

Anche se il numero di siti hostati sui loro server sembra aumentare, l’infrasturttura è rimasta praticamente la stessa durante tutto il periodo della mia ricerca.

Uno dei loro router sembra essere configurabile da remoto, una di quelle cose che tende ad attirare la mia attenzione:

Nmap scan report for 175.45.178.129
Not shown: 65523 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh Cisco SSH 1.25 (protocol 1.99)
23/tcp open telnet Cisco router telnetd
80/tcp open http Cisco IOS http config
443/tcp open ssl/http Cisco IOS http config

Navigate le diverse scan per scoprire qualcosa di più di questa breve introduzione.

CLIENT (gli utenti)

Molto più interessanti sono i computer che vengon fuori dall’interno della loro rete, anche se per un breve periodo di tempo. Sembra che, seppure la maggior parte dei loro computer venga tenuta dietro il confine del network statale, qualche computer si faccia vedere ogni tanto anche nel nostro internet.

APPLES APPLES EVERYWHERE, BUT NOT A BITE TO EAT

(Mele, mele ovunque, ma non una da mordere)

In una scansione datata 20 Marzo 2012 ho trovato connesso un MacBook Air che si autodefiniva come un modello 4,1, ovvero un modello del tardo 2008. Era particolarmente strano, e la sua impronta digitale non è qualcosa che vedi in un prodotto nuovo qualsiasi:

map scan report for 175.45.177.38
Host is up (0.35s latency).
Not shown: 65521 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.6 (protocol 2.0)
88/tcp open kerberos-sec Microsoft Windows kerberos-sec
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
548/tcp open afp?
593/tcp filtered http-rpc-epmap
3689/tcp open rendezvous?
4444/tcp filtered krb524
4488/tcp open unknown
5900/tcp open vnc Apple remote desktop vnc
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cg
i-bin/servicefp-submit.cgi :
SF-Port548-TCP:V=5.50%I=7%D=3/20%Time=4F687DAA%P=x86_64-redhat-linux-gnu%r
SF:(SSLSessionReq,223,"\x01\x03\0\0Q\xec\xff\xff\0\0\x02\x13\0\0\0\0\x000\
SF:0>\0b\0\0\x9f\xfb\x1badministrator\xd5s\x20MacBook\x20Air\0\x9b\0\xab\0
SF:\xff\x01p\x01\x8f\rMacBookAir4,1\x05\x06AFP3\.4\x06AFP3\.3\x06AFP3\.2\x
SF:06AFP3\.1\x06AFPX03\x06\tDHCAST128\x04DHX2\x06Recon1\rClient\x20Krb\x20
SF:v2\x03GSS\x0fNo\x20User\x20Authent\x15\+\xc3\xd9\xf9Q\[\xc7\xa1\x02\xa7
SF:D\x88D\xb2\(\x05\x08\x02\xaf-\xb1&\x02\$\x14\x07\xfe\x80\0\0\0\0\0\0\x0
SF:2\0\0\xff\xfe\0\r\x06\x02\$\x14\x07\xfe\x80\0\0\0\0\0\0b\xc5G\xff\xfe\x
SF:03\[f\x02\$\x14\x07\xfd\0e\x87R\xd7!\xa4b\xc5G\xff\xfe\x03\[f\x02\$\x0f
SF:\x04175\.45\.177\.38\x01oafpserver/LKDC:SHA1\.AA6C3E197C870B839764D57E8
SF:9AF4A940C95B060@LKDC:SHA1\.AA6C3E197C870B839764D57E89AF4A940C95B060\0\x
SF:1dadministrator\xe2\x80\x99s\x20MacBook\x20Air\0\0\0\x80`~\x06\x06\+\x0

La mia supposizione è che lavorasse con la RECON Suite, che a quanto pare è una sorta di software per il system management. Non ne capisco molto.

Ma comunque: ci sono MacBook nella Corea del Nord. Questo sarebbe potuto tranquillamente essere il computer di un giornalista, anche se ci sono dei servizi che non sarebbe proprio una bella idea tenere aperti. VNC, sul serio? Su di una rete nord coreana controllata dal governo? Sei davvero sicuro che sia una buona idea?

MACCHINE VIRTUALI

Anche se potreste pensare che la Corea del Nord sia abbastanza indietro con la tecnlogia, dalle scan si può osservare come sicuramente sappiano almeno cos’è VMware:

Nmap scan report for 175.45.178.134
Not shown: 65534 filtered ports
PORT STATE SERVICE VERSION
912/tcp open vmware-auth VMware Authentication Daemon 1.0 (Uses VNC, SOAP)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|phone
Running: Microsoft Windows 2008|Phone|Vista|7
OS CPE: cpe:/o:microsoft:windows_server_2008::beta3 cpe:/o:microsoft:windows cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_7
OS details: Microsoft Windows Server 2008 Beta 3, Microsoft Windows Phone 7.5, Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7, Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008

Che sembra esattamente la tua macchina virtuale start con Windows su di una VM. Non ho trovato prove dell’utilizzo di VM prima del Settembre 2014, il che signifca che probabilmente questa pratica di esporre ad internet macchine virtuali sia una cosa nuova, per loro. Anche se sicuramente ci stanno giocando nel loro network interno da molto più tempo.

Farewell!

Divertitevi con le scansioni, e condividete eventuali scoperte interessanti.

Crediti

nknetobserver
Excellent routing analysis: Renesys (now Dyn Research)
Other analysis of North Korea’s network space: HP Security Research
SatGate coverage map: http://satgate.net/images/new_maps/map_index.jpg
IntelSat coverage maps: http://exnetapps.intelsat.com/flash/coverage-maps/index.html

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s