Címlap

Epic fail: véletlenül közzétette az Allied Telesis a termékeiben található backdoor-okkal kapcsolatos információkat

 ( trey | 2011. június 1., szerda - 14:40 )

A hálózati eszközöket gyártó Allied Telesis megpörgetheti a lamerszámlálót, hiszen olyan információkat tett közzé saját weboldalának támogatási szekciójában akaratán kívül, amelyeket a nyilvánosság elől a leginkább titkolni akart. A vállalat az összes termékében megtalálható backdoor-okkal / generálható backdoor password-ökkel kapcsolatos infókat fecsegte ki. A kiszivárgott dokumentum azt írja le, hogy a saját magukat kizárt felhasználók hogyan tudnak bejelentkezni az eszközeikbe a backdoor-t használva. A cég nem csak a kizárólag belső felhasználásra szánt dokumentumot, de a password listát és a jelszógeneráló eszközt is elérhetővé tette letöltésként. Az anyagot már eltávolították a weboldalról, de a Google cache még árulkodik. A részletek itt.

 »
  • A hozzászóláshoz belépés szükséges
  • 4350 olvasás

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.
 ( strygg | 2011. június 1., szerda - 14:42 )

microsoftnál mikor lesz ilyen?

------------------------------------------
Egyetlen vi-parancsot ismerek, a kilépést.

 ( kmARC | 2011. június 1., szerda - 14:51 )

2011: a linux de informatikai biztonság éve.

 ( ufoka | 2011. június 1., szerda - 15:14 )

Hát ez egyre szánalmasabb, és k**va unalmas is már :(
De te tod..

 ( kmARC | 2011. június 1., szerda - 15:23 )

Hát nézd. A Sony botladozása, az okostelefonok adatgyűjtése, ez a hír... Vagy ha nem érted a szarkazmust, nem baj, te tod..

 ( NagyZ | 2011. június 1., szerda - 16:55 )

igen, mi tudjuk, nem gond. keep going!

 ( dj | 2011. június 1., szerda - 17:03 )

Rakd ki az asztalodra háttérképnek, csak ne fossátok már tele az összes cikket ezzel a hülyeséggel, mert nem kicsit szánalmas.

 ( NagyZ | 2011. június 1., szerda - 23:01 )

ki van! ;)

 ( M0Rph3U5 | 2011. június 1., szerda - 15:19 )

nem biztos, hogy véletlen(pl. hacker támadás sokkal esélyesebb)

---== ::: M 0 R p h 3 U 5 ::: ==---
http://kocka-blog.blogspot.com/

 ( andrej_ | 2011. június 1., szerda - 15:22 )

Ha belsős cucc, akkor a publikus oldalról hogy lehettek ezek elérhetőek?:)

 ( Jason | 2011. június 1., szerda - 15:40 )

Hozzáértő Windows István rosszul kattintgatott az e célra kifejlesztett WPF alkalmazásban, mely csicsaindexe természetesen eléri a usability manager által elvárt 90/100 pontot...

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

 ( strygg | 2011. június 1., szerda - 16:13 )

szívemből szóltál :D

------------------------------------------
Egyetlen vi-parancsot ismerek, a kilépést.

 ( Dwokfur | 2011. június 1., szerda - 15:22 )

Van ilyen ultimate user/pw kombó, hogy fbi/cia? ;>

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

 ( mofli | 2011. június 1., szerda - 15:27 )

He-he, IPv6 képes eszközre csere program kezdődik?

 ( STP | 2011. június 1., szerda - 16:20 )

Felvettek egy új, (japán) manágert.
Neve: Harak Iri.

 ( fonya | 2011. június 1., szerda - 17:06 )

Valakinek nincs meg a teljes oldal, es a generalo, lista, meg minden?

 ( prygme | 2011. június 1., szerda - 19:15 )

tessék.

 ( fonya | 2011. június 1., szerda - 23:38 )

Koszi!

 ( anr | 2011. június 1., szerda - 17:29 )

a vilagegyetemben egyetlen vegtelen dolog van: az emberi hulyeseg

--
Live free, or I f'ing kill you.

 ( KoGa | 2011. június 1., szerda - 18:09 )

Na, ideje kihozni egy firmware updatet ami megszunteti a backdoort, vagy legalabb megvaltoztatja a jelszot :)

 ( KGer | 2011. június 1., szerda - 18:21 )

Valaki segítsen, ez jogilag hogy állja meg a helyét? Az ügyfelek tudtak erről, amikor megvették a terméket, vagy ez felfogató egyfajta szerződésszegésnek? Ha most valaki letölti a doksit és ámokfutásba kezd egy cégnél, akkor jogos lehet a kártérítésigény? Hogy lehet megoldani, hogy a megvett hálózati eszközöket újra biztonságossá tegyék?

 ( hunludvig | 2011. június 1., szerda - 18:44 )

Újra? Eddig azok voltak?

 ( elod | 2011. június 1., szerda - 19:07 )

A hálózati eszközöknek soha nem szabad a publikus Internetről, de még a céges hálózatról sem elérhetőnek lenni. Problem solved.

 ( Hunger | 2011. június 1., szerda - 21:08 )

Hát, attól függ milyen szinten. Ha semennyire, akkor nehéz csomagokat továbbítani egyik gépről a másikra... :)

 ( mofli | 2011. június 1., szerda - 21:44 )

> "elérhetőnek lenni"

Gondolom managementre gondol ;)

 ( Hunger | 2011. június 1., szerda - 21:52 )

jó, hát gondoltam én is, csak nem volt pontos :)

 ( zsirmo | 2011. június 1., szerda - 21:53 )

na azert ez szirentem igy nem teljesen igaz
ha jol tudom, kell az eszkoz gyari szama, amit nehez ki tudni (ugye nincs fizikai hozzaferesed az eszkozhoz!)

 ( trey | 2011. június 1., szerda - 22:22 )

MAC address. Amit nem is olyan nehéz ki tudni.

--
trey @ gépház

 ( batyu | 2011. június 2., csütörtök - 10:03 )

ki tudni, vagy be tudni, vagy el tudni, vagy le tudni, vagy esetleg megtudni? :-) Nem nagy kunszt azt megszerezni, egyszerűbb, mint a nyelvtan...

 ( Replaced | 2011. június 1., szerda - 19:04 )

azt irtak, hogy keresre adtak backdoor passwordot ugyfeleknek, tehat gondolom tudtak rola

--
NetBSD - Simplicity is prerequisite for reliability

 ( tomtyi | 2011. június 2., csütörtök - 8:58 )

Kérdés, hogy a hálózati eszközt használó és a jelszót megkapó ügyfél azonos-e? ;)

________________________________________
"The vision of Christ that thou dost see
Is my vision’s greatest enemy."

 ( eCaffee | 2011. június 1., szerda - 20:20 )

Nem értem, miért akadtok fel ezen ennyire... :)
Van a világon több millió ketyere, ahol cisco/cisco a user/pass...
szóval backdoor sem kell...és a szomorú az egészben, hogy nem háztartásokra gondoltam.
-
"Attempting to crack SpeedLock can damage your sanity"

 ( bra | 2011. június 1., szerda - 21:55 )

De rég is volt, amikor az 44d328c677f24b116b4ab7e844f955d8 hostingos Cisco switcheiben mászkáltam enable joggal. Semmi mást nem kellett tenni, mint megtalálni az IP címüket (amely az internetről nem volt elérhető, de helyből persze igen, azok még L2 switchek voltak, VLAN nélkül), a MAC címmel a TAC-on egy joker passt kérni és már lehetett is 10 halfra állítani a konkurenciát. Jobban belegondolva mintha más nem is lett volna akkor. :)
Persze lehet, hogy kevésbé furmányos lett volna szimplán lehallgatni.

 ( Hunger | 2011. június 1., szerda - 22:05 )

az iw webhostingja is ugyanilyen átjáróház (volt?), egyik vhostról minimális trükközéssel átlehetett menni bármelyik másikba ;)

 ( ricsip | 2011. június 2., csütörtök - 7:42 )

Még manapság is van ilyen beépített backdoor a cisco cuccaiban?

 ( madtone11 | 2011. június 2., csütörtök - 19:54 )

Par eve, amikor a ccna-t csinaltam, az oktato mutatott egy trukkot, hogy lehet jelszo nelkul belepni a switchre/routerre. Sajnos a pontos modszerre es a hardver tipusara sem emlekszem mar.
Egyebkent ilyen beepitett backdoorokat tuti hasznal minden nagyobb ceg.

 ( answ | 2011. június 2., csütörtök - 22:33 )

Nem véletlenül a boot megszakítást mutatta és a konfigurációs regiszter állítást (hogy új jelszót állíthass be a régi konfiguráció megőrzésével)?

Mert ez tananyag és semmi trükk nincs benne. Viszont fizikai hozzáférés kell (konzol kábel), szóval nem igazán nevezhető támadásnak, én is többször alkalmazom ha nem tudom a jelszót az adott eszközhöz.

 ( Hunger | 2011. június 2., csütörtök - 23:47 )

Ez a CCNA annyira komoly papír lett, mint az ECDL...