Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 

Поломка сетевой инфраструктуры школ Твери.

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Уязвимости] >> Поломка сетевой инфраструктуры школ Твери.
Имя
Сообщение << Старые топики   Новые топики >>
Поломка сетевой инфраструктуры школ Твери. - 2011-01-02 12:06:02.223333   
hellononame

Сообщений: 1
Оценки: 0
Присоединился: 2011-01-02 11:48:14.063333
В некоторых школах Твери сейчас активно используется автоматизированная информационная система «Школа», пока в качестве эксперимента. По сути это электронный журнал, разрабатываемый Андреев Софтом. Они же построили крупную сетевую инфраструктуру для очень большого количества школ. Я не буду писать про весьма сомнительное качество АИС Школа и про то как учителя стали вынужденными тестерами. А напишу про то, что никто не думает о безопасности.
Во-первых, надо знать, что пароли на оборудование и сервисы сети были одинаковы во всех школах. Т.е. зная пароль от одного сервера, вы знаете пароль от таких же серверов во всех остальных школах. Ради интереса, перед праздиками, я проверил, поменяны пароли хоть где-нибудь или нет. Я устал проверять, но везде где проверил они были одинаковыми.
Во-вторых, АИС Школа распространяется через сайт tverobr.ru, а в комплекте с ним идут некоторые материалы, которые совсем не должны быть доступны абы кому.
Итак, вы, ваш сын/дочь/отец/мать решили поменять себе оценку в электронном журнале? -Пожалуйста!
Вы регистрируетесь на вышеуказанном сайте, заходите в Каталог ресурсов -> АИС «Школа» вер.2.0, скачиваете "Обновление вер.2.0 (релиз 157) до вер.2.1 (релиз 214)".
А теперь из внутренней сети школы, где уже стоит АИС Школа просто запустите скрипт reset.cmd из директории Reset Administrator Password. Угадайте, что будет?
В качестве бонуса почитаете документацию из того же архива и обнаружите пароль от сервера. Помните, что школьные сисадмины его не меняли?
ТверьИнформОбр`у: пожалуйста, подумайте как распространять подобные вещи. У вас же есть электронные ящики всех школ, в чем проблема через почту послать?
Сисадминам отделно взятых школ: пожалуйста, следите за безопасностью в своей сети, в один момент всё может рухнуть, сможете ли вы тогда быстро всё это восстановить?
Администрация tverobr.ru, была предупреждена, но ничего не предприняла, поэтому это сообщение здесь.
Post #: 1
RE: Поломка сетевой инфраструктуры школ Твери. - 2011-06-22 09:49:59.393333   
gmtv

Сообщений: 1
Оценки: 0
Присоединился: 2011-06-21 16:25:33.293333
Размещение обновлений и установочных файлов АИС «Школа» осуществляется на образовательном портале www.tverobr.ru с целью обеспечения доступности скачивания данных файлов, а так же привлечения пользователей сети базовых школ к работе на портале. Данный раздел доступен для входа только системным администраторам базовых школ и администраторам сайта. Ученики, учителя и родители не имеют доступа к разделу.
Использование одинаковых паролей на серверном оборудовании ИЦШ необходимо в процессе тестовой эксплуатации АИС «Школа», для обеспечения доступа к оборудованию технической поддержки базовых школ в случае возникновения неисправностей. Системные администраторы базовых школ имеют право на своё усмотрение менять данные пароли, обязательно уведомив об этом службу технической поддержки.
По завершении тестовой эксплуатации и переходе на использование исключительно электронной версии классного журнала, службой технической поддержки базовых школ будут сформированы и выданы уникальные пароли для каждого информационного центра.

Зам. директора ГУ "ТверьИнформОбр"
горячев М.В.
Post #: 2
RE: Поломка сетевой инфраструктуры школ Твери. - 2011-07-14 21:26:13.526666   
ivan321

Сообщений: 31
Оценки: 0
Присоединился: 2011-07-13 21:34:06.873333

quote:

ORIGINAL: gmtv

Размещение обновлений и установочных файлов АИС «Школа» осуществляется на образовательном портале www.tverobr.ru с целью обеспечения доступности скачивания данных файлов, а так же привлечения пользователей сети базовых школ к работе на портале. Данный раздел доступен для входа только системным администраторам базовых школ и администраторам сайта. Ученики, учителя и родители не имеют доступа к разделу.
Использование одинаковых паролей на серверном оборудовании ИЦШ необходимо в процессе тестовой эксплуатации АИС «Школа», для обеспечения доступа к оборудованию технической поддержки базовых школ в случае возникновения неисправностей. Системные администраторы базовых школ имеют право на своё усмотрение менять данные пароли, обязательно уведомив об этом службу технической поддержки.
По завершении тестовой эксплуатации и переходе на использование исключительно электронной версии классного журнала, службой технической поддержки базовых школ будут сформированы и выданы уникальные пароли для каждого информационного центра.

Зам. директора ГУ "ТверьИнформОбр"
горячев М.В.
ЛАЖА
Post #: 3
Страниц:  [1]
Все форумы >> [Уязвимости] >> Поломка сетевой инфраструктуры школ Твери.







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.