Добрый день, господа. День действительно добрый: сегодня* государство стало чуть-чуть ближе к народу, а страна в целом — к идеалу. Ведь что это, как не зарево светлого будущего, если написать чиновнику или даже министру у нас теперь не сложнее, чем отправить email приятелю?

Что случилось?


Сидел, никого не трогал, починял свой asterisk на предмет совместимости с операторским communigate pro. Чего не знал — гуглил, и нагуглил неожиданно форму для логина в корпоративную почту Министерства Иностранных Дел. Эмм…



Хорошо — что не ФСБ. Плохо — неуважение к robots.txt. Но это отдельная тема.

За окном — глубокая ночь, луна и легкий снежок. А на экране — приглашение ко входу и мигающий курсор. Не знаю, наверное, у людей околокомпьютерных специальностей это где-то на уровне рефлексов. Но согласитесь, вы бы на моём месте сделали так же:



Какая жалость. Однако я настойчивый:



Что???

Читающим статью на маленьком экране переведу: пароль не подошёл, но на второй картинке в поле после логина «admin» вдруг нарисовался домен: mid.ru. Не надо быть гением, чтобы понять логику работы страницы и сделать соответствующие выводы. Не радужные выводы, само собой. Для надёжности я проверил имя «postmaster», стандартное для communigate, и получил недвусмысленное свидетельство наличия и такого аккаунта тоже.

Для крупной почтовой компании вроде Яндекса, например, подобный конфуз — это ничего, пшик. Подбрось кубики с алфавитом, набери получившееся слово — и не прогадаешь. Но здесь мы имеем дело с весьма специфической организацией с небольшим количеством ещё более специфических пользователей. Насколько «специфических»? Я не знаю. Честно и добросовестно перепробовал s.lavrov, lavrov_sv и пр. Заветное mid так и не появилось.

Брутфорса не будет, расходимся**


Я человек добропорядочный, да и вообще, перебор в лоб — это примитивно и неэлегантно. К тому же, серьёзный домен должен быть серьёзно защищён. И действительно, некоторая защита наличествует: число соединений в секунду не ограничено, и канал довольно широкий, но после десятка неудачных попыток система не пустит вас даже с правильным паролем. Что, впрочем, не мешает ей упорно подставлять пресловутый mid. Как бы то ни было, нужно располагать запасом времени, а у меня его нет. Генерировать словарь имён/фамилий — тем более. Но всё-таки, мне нужен хотя бы один адрес для дальнейших экспериментов, куда я смогу сообщить о найденной уязвимости. Начнём с трёхзначных, например, aaa. Таких адресов конечно не бывает, но можно будет хотя бы оценить скорость работы скрипта. Остановим скрипт после обнаружения первого действующего аккаунта. Готовы? Пристегнитесь. Это самый реактивный брутфорс в моей, вашей, да и вообще, наверное, в мировой практике.



Что произошло? Что за странная метаморфоза? Нееет… Вы шутите! Да это же праздник какой-то! В смысле, будь я злобным хак спамером, или инженером человеческих душ aka отчёт_за_февраль.exe… Блин, как-то даже неудобно перед человеком. Простите, A.A. Аnikin, вы всё видели сами, я не нарочно… Пожалуй, надо остановить скрипт. Это слишком. Похоже, такие трёхбуквенные алиасы из первых букв Ф.И.О., саморазворачивающиеся в полную форму перед проверкой, заведены многим ключевым пользователям системы. За несколько минут я нашёл сотрудника НИИ информатики, нашёл эксперта при посольстве в Германии (и откуда у всех такая любовь к linked-in? корпоративный стандарт?). Лаврова не нашёл. Кто знает, может, оно и к лучшему.

Что дальше?


У этой статьи не будет выводов, или нравоучений в конце. Шутки шутками, триумф человеческой лени и всё такое. Но я действительно не знаю, как поступить с этой находкой. И поэтому передаю компетентному сообществу, сиречь, в хаб «Информационная безопасность». Если интересует трудоустройство в НИИ информатики, то теперь вы знаете, куда высылать резюме. Но я всё-таки надеюсь, что у кого-нибудь хватит смелости отправить багрепорт, и как можно скорее. Сам я этого сделать не решаюсь, да и не сильно верю в успех. Хотя чем чёрт не шутит?

* На самом деле 22-го мая 2015 г
** будет!
*** Виталий mid, сорян, я не специально :)

Комментарии (12)


  1. ivvi
    09.02.2016 16:26

    A.A. Аnikin
    A. Аnikin


    1. u007
      09.02.2016 16:54

      Ммм… Это отсылка к Розенталю?


      1. Meklon
        09.02.2016 17:04

        Нет, там просто адрес такой. aanikin — A. Anikin


        1. u007
          09.02.2016 17:27

          Думаю, человек с логином ааа, просто обязан быть Александром Александровичем. На крайний случай Антоновичем..)


          1. alcanoid
            09.02.2016 20:00
            +1

            Может, он Аполлинарьевич или вовсе Адольфович. А может, его зовут Аарон, и первые две буквы взяты из имени.


  1. Meklon
    09.02.2016 17:03
    +1

    Эпично. А вдруг Honeypot для шпиёнов с дезинформацией?


  1. Lockal
    09.02.2016 17:30
    +2

    Действительно, IBM знает, как разрабатывать программы.

    mail.mid.ru/domcfg.nsf


    1. u007
      09.02.2016 17:58
      +1

      Шикарно) Ой, а это что там, Java? Так может, meklon не так уж и далёк от истины?


  1. akirsanov
    09.02.2016 18:38

    То самое место, где удобство победило безопасность.