Перейти к содержанию
  • записей
    17
  • комментариев
    677
  • просмотра
    10573

Про информационную безопасность


FunBotan

1024 просмотра

Началось все с того, что в нашей школе появился вайфай. Что характерно, все тут же занялись добычей пароля для него. Я это сделал одним из первых благодаря взаимовыгодной сделке с сыном сисадмина и довольно долгое время просто пользовался халявой. Однако время шло, информация разносилась по школе, и закономерно падала скорость инета. И вот, в один прекрасный день, вернувшись с каникул, все обнаружили, что пароль больше ничего не дает - отключили DHCP (сам пароль вскоре тоже сменили). Все дико опечалились, однако никто даже не попытался решить проблему. Никто, кроме меня и одного моего друга.

Так я начал самостоятельно изучать принципы функционирования сетей. Довольно быстро разобрался. Что мне, значит, понадобится - MAC-адрес одного из учительских компов и новый пароль. Ну, какие проблемы? Немного прокачиваем навыки ниндзя и социнженерию... Вуаля, нужная инфа у меня. Смена мака на телефоне тоже была тем еще геморроем - учитывая, что стоковая прошивка, даже с рутом, не поддерживала такой финт, а ставить кастомную я засцал. Но и это позади. Наконец-то снова есть человеческий (жмотский недо3G я таковым не считаю) инет, уряяя!

Что опять же характерно, одного этого мне было мало, особенно учитывая новоприобретенные знания. Так что я незамедлительно поставил первую попавшуюся прогу для исследования сети, и с этого началось самое веселое...

Так, пойдем по порядку. Это у нас что? Сервер, судя по ОС. А на нем - куча расшаренных папок. Ну-ка, ну-ка... О холи щит... Лучше я просто перечислю все самое интересное, что там нашел:

1). Самые разнообразные пароли. К роутерам, к компам (даже к серверу), ко всяким дико полезным на тот момент сайтам типа электронного дневника и еще дохрена чему. В текстовых файлах, да.

2). Лицензионные ключи к куче софтин - от офиса до каспера;

3). Овер дофига документов - в том числе таких, которым в общей шаре делать ну явно нечего, поскольку доступа к ним нет даже у учителей. Уточнять не буду, на всякий случай;

4). Чью-то полуэротическую фотосессию :asuka_o_o: - при чем явно кого-то из местных, хоть и не знаю, кого;

5). Сертификаты безопасности, опять же дофига. Знать бы еще, что с ними делать...

Самое прикольное, что все это лежало там и до убирания DHCP, т.е. доступ к весьма секретным данным могли получить все, даже не напрягаясь. Вопрос на засыпку - почему никто этого не сделал?

Ладно, на сервере вроде как больше ничего интересного. Идем дальше.

Теперь очередь роутеров. Естественно, имея пароли к ним, я без всяких проблем залезаю в админки и творю там, что хочу. (Кстати, стоит упомянуть, какие роутеры имеются в виду. Чистокровные циски. И их 5(!) штук на школу. Это помимо остальных, менее понтовых, коих тоже немало. Вы еще спрашиваете, куда идут ваши налоги?). Во-первых, конечно, прописываю себе в таблице выдачи IPшников несколько бэкдоров - на случай, если просекут неладное. Во-вторых, цензура. Ну-ка, что там отфильтровывается? Э, одмины, вы серьезно - наличие в адресе слова anime пугает вас так же, как porno? Идите-ка нафиг, деятели. Пусть лучше нацистские сайты блочатся.

Кстати говоря, да я же теперь могу подключать к вайфаю кого угодно, без шаманства со сменой MACов! А это дело... Ну-ка, ребят, кому нужно дофига интернета? Няшкам и отличникам - бесплатно, с остальными - цена договорная. Отключения ведения логов действий и фильтра нецензурных сайтов - за отдельную плату :asuka_megalol:

Офигевая все больше, иду дальше по списку открытых портов. Так, а вот это что за подозрительная фигулина с открытым 80-ым? Явно не роутер. Ну-ка, что будет, если набрать в браузере ее айпишник? Охтыбожемой, да это же видеонаблюдение! Правда, старое - видимо, систему не сняли еще со времен "честных выборов", и, судя по состоянию камер, уже не поддерживают. Нафига тогда держать включенной, тем более что недавно поставили еще одну систему (к которой я до сих пор не смог подломаться)? Опять же к вопросу о налогах.

И так, в списке остался последний девайс с подозрительного вида открытым 80-м. Подключение... Так, а это что вообще за фигня? Я таких еще не видел. Гуглю название вундервафли - опаньки, так это какой-то интеллектуальный проектор! При чем изображение на него можно подавать удаленно с любого девайса, я так понял. А судя по настройкам, стоит это чудо в актовом зале. То есть что же это получается - что я могу саботировать любое крупное мероприятие парой тыков в экран? Это уже начинает напоминать watchdogs...

Ну вот ништяки и закончились. Пойду теперь читать, что это за штука такая - ARP-spoofing. Скилл кулхацкерства требует прокачки, как жир еды.

Суть поста проста:

1). Это - норма? С точки зрения админов?

2). Это - норма? С точки зрения того, что из примерно тысячи человек проделать вышеперичисленное смогли только двое, а остальные смотрели на нас аки на черных магов?

З.Ы. - все делалось исключительно с помощью одного андроидного смарта.

13 Комментариев


Рекомендуемые комментарии

Да

Хоть бы раз написал что-нибудь полезное.

 

// Правда, старое

Удивительно, что оно вообще на IP камерах, а не аналоговое. Так ты можешь получить к нему доступ ?

Судя по всему, камеры, установленные для выборов - айпишные, и к ним у меня доступ есть, а вот новые - видимо, аналоговые.

Ссылка на комментарий

Это - норма? С точки зрения админов?

Это хреново. Но это Россия. А ещё точнее - российское госучреждение.

На ставке админа вместо зарплаты скорее всего говно, а вот начальники и всякие проверки разных уровней наседают со всех сторон. Так что профессионалов с адекватным отношением к работе там искать глупо - если таки там и появляются, то надолго не задерживаются.

Это - норма? С точки зрения того, что из примерно тысячи человек проделать вышеперичисленное смогли только двое, а остальные смотрели на нас аки на черных магов?

А класс какой?

В целом - норма.

Ссылка на комментарий

 Это хреново. Но это Россия. А ещё точнее - российское госучреждение.

На ставке админа вместо зарплаты скорее всего говно, а вот начальники и всякие проверки разных уровней наседают со всех сторон. Так что профессионалов с адекватным отношением к работе там искать глупо - если таки там и появляются, то надолго не задерживаются 

Логично.

А класс какой?

В целом - норма.

 

Сейчас 11ый, но история тянется еще с 9го.

Ссылка на комментарий

1). Это - норма? С точки зрения админов?

 

Нет, у вас там не админ, а какой-то мудак. Впрочем для школ это нормально, что, опять же, говорит об уровне самих школ, образования, начальства и так далее.

 

4). Чью-то полуэротическую фотосессию :asuka_o_o: - при чем явно кого-то из местных, хоть и не знаю, кого;

 

Тоже обычное дело. Но документы обычно гораздо более ценные.

 

2). Это - норма? С точки зрения того, что из примерно тысячи человек проделать вышеперичисленное смогли только двое, а остальные смотрели на нас аки на черных магов?

 

Большая часть людей не будет изучать основы сетей только ради халявного доступа в инет, так что в этом нет ничего крамольного. С другой стороны в целом уровень компьютерной грамотности населения в глубокой жопе, правда к активным пользователям интернета это не относится.

 

По теме: ты молодец, конечно, что провел такую операцию, но не делай ничего тяжелого, типа удаления документов или их разглашения, лучше вообще ничего не трогай. Я бы даже посоветовал помочь им закрыть эти дыры в безопасности, если тебе не влом.

Ссылка на комментарий

но не делай ничего тяжелого, типа удаления документов или их разглашения, лучше вообще ничего не трогай. Я бы даже посоветовал помочь им закрыть эти дыры в безопасности, если тебе не влом.

 
Поддерживаю. 
Ссылка на комментарий

По теме: ты молодец, конечно, что провел такую операцию, но не делай ничего тяжелого, типа удаления документов или их разглашения, лучше вообще ничего не трогай. Я бы даже посоветовал помочь им закрыть эти дыры в безопасности, если тебе не влом.

 

В конце года думаю обо всем рассказать, а пока еще повеселимся.

А насчет "ничего не трогай"... Когда в Москве был митинг "за честные выборы", всех школьников города и области согнали писать внезапный тест по русскому. И я более чем уверен - если бы я тогда саботировал что-нибудь (например, интернет, по которому эти тесты приходили), никто бы не стал меня винить. А в мирное-то время, понятно, сижу тихо. Никто, кстати, до сих пор ничего не заподозрил.

Ссылка на комментарий

Весело... Представляю саботаж "Ученика года" или чего другого(фото пришли, пожалуйста). Хотя это не нравственный поступок (благородный муж должен служить республике!), хвалю за умственную работу.

Ссылка на комментарий
Гость
Добавить комментарий...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...