Przeglądanie internetu przynosi często ciekawe pomysły oraz sugestie związane z kwestiami zabezpieczeń oraz niedociągnięć, które mogą mieć ujemny wpływ na bezpieczeństwo niejawnych danych.
Sytuacja taka ma (miała) miejsce w przypadku naszego najmłodszego operatora komórkowego, spółki P4.
Udało mi się ustalić oraz udowodnić fakt istnienia niezabezpieczonego konta "gościa" usługi FTP, na serwerze P4. Po połączeniu z domeną project4.pl zalogowanie się na konto gościa nie stanowi większego problemu nawet dla laika w tej dziedzinie. Na szczęście katalog, do którego użytkownik jest kierowany zaraz po zalogowaniu NIE zawiera żadnych poufnych danych ani plików związanych z funkcjonowanie serwisu internetowego Project4.pl.
Przed publikacją ww. informacji powiadomiłem odpowiednie osoby zajmujące się zabezpieczeniami serwerów Project4. W odpowiedzi otrzymałem zapewnienie, iż owe konto nie stanowi żadnego zagrożenia.
Trudno mi - laikowi - polemizować ze specjalistą, jednak nie da się ukryć, że "cyberprzestepcy" są przeważnie o krok przed administratorami sieci. Podobnie zresztą jest w przypadku fałszerzy dokumentów i organów ścigania.
Poniżej zrzut ekranu. Połączenie zostało wykonane za pomocą programu ftp.exe, który standardowo znajduje się w każdej instalacji systemu Windows.
hehe, skoro tak sie zabierają to sprawy to nie wiem czy uda im sie w końcu tą sieć postawić. Już i tak mają spore opóźnienie, chyba wiem już czemu :)
OdpowiedzUsuńoj, coś mi się wydaje, ze to nie jest FTP P4 operatora komórkowego, warto sprawdzić dokładniej w RIPE..
OdpowiedzUsuń