Slo-Tech - V Hewlett-Packardovem modularnem sistemu za shranjevanje podatkov HP MSA2000 G3 so bila včeraj odkrita stranska vrata. Naprava ima namreč vgrajenega skrivnega uporabnika z administratorskimi pravicami, ki se ne prikaže v seznamu uporabnikov in ga ni mogoče odstraniti. Njegove prijavne informacije so uporabniško ime admin in geslo !admin ter se ne morejo spremeniti, kar je zelo resen problem. SecurityWeek je že stopil v stik s Hewlett-Packardom, ki je obljubil, da bo kmalu posredoval odgovor. Pričakujemo lahko, da bodo tudi poskrbeli za popravek, ki bo neželenega uporabnika onemogočil in stranska vrata zaklenil.
Žal je praksa vgrajevanja skrivnih uporabnikov in stranskih vrat razširjena bolj, kot bi naivno pričakovali. Nekaj podobnega so nedavno odkrili pri Ciscu. In znova se pokaže, zakaj je slepo zanašanje na benevolenco kupljenega zaprtega programja in strojne opreme slabo.
Novice » Varnost » Odkrita stranska vrata v HP MSA2000 G3
Spock83 ::
Nič posebnega. Skoraj ni naprave, da en bi imela stranska vrata (za mrežne naprave to pribito drži).
MisterR ::
In znova se pokaže, zakaj je slepo zanašanje na benevolenco kupljenega zaprtega programja in strojne opreme slabo.
Ja right, odprto programje pa nima stranskih vrat oz. je imuno na le te.
Pyr0Beast ::
Odprto programje se da vsaj popraviti.
Some nanoparticles are more equal than others
Good work: Any notion of sanity and critical thought is off-topic in this place
Good work: Any notion of sanity and critical thought is off-topic in this place
Osprey ::
Ja right, odprto programje pa nima stranskih vrat oz. je imuno na le te.
Kaka logika pa je to? Morda ima, ampak to lahko preveriš. Že iz tega razloga je manj verjetno, da bi to kdo poskušal, če pa že, pa se kaj hitro odkrije in popravi. V praksi je takih primerov bilo ZELO malo, vedno pa se je hitro odkrilo in popravilo. V končni fazi - če tega ne bi hotel narediti avtor, to narediš sam in si skompajlaš svojo verzijo.
Zgodovina sprememb…
- spremenilo: Osprey ()
mrdaco ::
Ma ja big deal... Geslo in pass se lahko uporabljata samo preko konzole, oziroma com porta, kar pomeni da moraš biti fizično prisoten ob napravi, če hočeš dostop uporabljat. V tem primeru je nepridipravu lažje da pobere MSA2000 pod pazduho in si ga odnese domov. Back dor je namenjen v slučaju če pozabiš userja od web konzole, in si na ta način pomagaš do njega preko com porta in serijskega kabla.
V glavnem brezvezni članek!
V glavnem brezvezni članek!
Zgodovina sprememb…
- spremenil: mrdaco ()
Looooooka ::
Najedajoci...piskajoci linuxasi.Tle ni noben problem zaprta koda.Kako bos pa ti vedel kaj so oni skompajlal pa dal na masino.Kako vas ni sram klobasat take bedarije.Tle je problem v najslabsem primeru sporna in nesramna praksa podjetja v najboljsem pa salabajzarstvo programerja, ki je to "ponesrec" not pustu.Ok...spregledam mrdacov komentar...najslabsa stvar je torej cela novica in komentar na koncu =)
Najhujs
Najhujs
Zgodovina sprememb…
- spremenilo: Looooooka ()
metalc ::
Zgleda, da je ena pi**arija prišla tudi v sam OpenBSD. Sem že napisal novico, ki trenutno čaka v čakalnici....
denial ::
Turns out it's possible to change the admin password via CLI. Na koncu se bo odkrilo da je zadeva celo dokumentirana :D
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
antonija ::
Nič posebnega. Skoraj ni naprave, da en bi imela stranska vrata (za mrežne naprave to pribito drži).
Ima pol kdo user:pass od T-2jevih opticnih switchev?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Pancho ::
Če kdo išče odgovor, ga najde tule:
http://h20000.www2.hp.com/bizsupport/Te...
Piše, zakaj je tam in kako se ga spremeni. Če je pa kdo tako pameten, da ima omogočen dostop do management porta od zunaj preko interneta, potem si pač narobe razlaga varnost neke naprave.
Mrdaco, nimaš čisto prav - do CLIja se lahko pride tudi preko SSHja ali telneta.
http://h20000.www2.hp.com/bizsupport/Te...
Piše, zakaj je tam in kako se ga spremeni. Če je pa kdo tako pameten, da ima omogočen dostop do management porta od zunaj preko interneta, potem si pač narobe razlaga varnost neke naprave.
Mrdaco, nimaš čisto prav - do CLIja se lahko pride tudi preko SSHja ali telneta.
I haven't failed, I just found 1000 ways that don't work...
Poldi112 ::
Zgleda, da je ena pi**arija prišla tudi v sam OpenBSD. Sem že napisal novico, ki trenutno čaka v čakalnici....
Ti pa ne bereš preveč novic tu na ST, ane?
Turns out it's possible to change the admin password via CLI. Na koncu se bo odkrilo da je zadeva celo dokumentirana :D
Ja, in datum dokumenta je 16.12. So dokumentirali, ko je nekdo opazil da to obstaja...
Ma ja big deal... Geslo in pass se lahko uporabljata samo preko konzole, oziroma com porta, kar pomeni da moraš biti fizično prisoten ob napravi, če hočeš dostop uporabljat. V tem primeru je nepridipravu lažje da pobere MSA2000 pod pazduho in si ga odnese domov. Back dor je namenjen v slučaju če pozabiš userja od web konzole, in si na ta način pomagaš do njega preko com porta in serijskega kabla.
V glavnem brezvezni članek!
Od kje ti ideja, da geslo dela samo preko serijskega kabla?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Zgodovina sprememb…
- spremenil: Poldi112 ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Microsoft kupil YammerOddelek: Novice / Nakupi / združitve / propadi | 8676 (7383) | zmaugy |
» | Romunski hekerji v ZDA tri leta kradli številke kreditnih karticOddelek: Novice / Varnost | 13179 (10169) | SkipEU |
» | RIM ne more ugoditi indijskim zahtevamOddelek: Novice / NWO | 4517 (3641) | poweroff |
» | Okužen USB-ključ okužil ameriške vojaške računalnikeOddelek: Novice / Varnost | 5850 (4414) | poweroff |
» | "Hekanje" elektronskih ključavnic znamke SentexOddelek: Novice / Varnost | 5747 (2754) | poweroff |