MTS i bezbednost

Dusan says:

Tekst je bunch of crap i neuspeo pokusaj pravljenja onog sto se u antivirusnoj industriji zove horror story. Posto je njegov blog moderisan, objavicu ovde svoj komentar na njegove diskvalifikacije mog inicijalnog komentara.

[…
Pominjes mogucnost lake akvizicije email naloga i/ili user/pass vrednosti operatera kojima on sa prodajnog mesta pristupa internoj Oracle aplikaciji MTS-a. Preciznije, u drugom delu posta kazes da je za dropovanje exploita i lansiranje napada potrebna samo email adresa operatera (user/pass nam ne trebaju vise, je li?), koju je inace lako dobiti. Aha, ‘oce to…

Reci nam samo, kako ces poslati exploit koji nece biti detektovan? Preko Teleflore ili pica-dostavljaca? I koje vrste ce biti taj exploit? Ja sam u svom komentaru ukazao na teoretsku mogucnost da se zrtvi posalje spoofovana email poruka sa trojancem koji je embedovan u npr. Word fajl i koji bi mogao da napravi konekciju ka tvom racunaru o kojoj toliko sanjas. Teoretsku, kazem, koja bi urodila plodom da MTS nema odlicnu zastitu od exploita, trojanaca, zero-day napada i spoofovanih poruka. A kako ne shvatas ironiju, reci cu otvoreno – znam mnogo toga o MTS sistemima zastite, radi ih par security kompanija (ne radim ni za jednu od njih) i to vrlo dobro. Dovoljno dobro da bi pokusaj dropovanja exploita na nacin kako ti to zamisljas bio odjeban u momentu (pardon my French).

A sve i da uspes da steknes nivo privilegija operatera koga si ‘ojadio’ za kradju identiteta, njegova uloga ne podrazumeva narocit stepen ovlascenja u odnosu na korisnike. Steta bi svakako mogla da bude napravljena, ali ne neka posebna. Vidi se da je najslabija karika u bezbednosnom sistemu MTS-a covek, ali je to ionako svugde slucaj, a znam i da se s tim itekako racunalo pri projektovanju sistema zastite…

Evo, da ti pomognem, email adresa direktora MTS-a je vladimir.lucic [at] telekom.yu. Cenim da je njegov stepen privilegija u ERP sistemu MTS-a vrlo visoka, zar ne? Pokusaj da mu posaljes exploit i javi nam kako si ojadio MTS…
…]