Monday, December 16, 2013

Eksploitasi servis internet paling mudah di syarikat besar

Selama aku bekerja di syarikat yang agak besar juga di Malaysia ni, aku sentiasa mencari flaw kemudahan IT di sini.

Kalau nak ikutkan, banyak juga flaw yang aku nampak dan tidak boleh nak dibaiki lagi. Kalau aku nak jadi whistle blower, senang saja aku salin semua share drive dari semua jabatan dan jual maklumat itu semua. Bukan menggunakan akses admin tetapi sebagai pengguna biasa, sudah boleh membuat onar.

Tetapi, semalam aku baru ketahui, ada satu network internet yang digunakan oleh satu jabatan ni. Isolated dari network pejabat. Dan paling teruknya, TM access internet, router dan switch dipasang dalam TCR  yang tidak berkunci.

Pada dasarnya, memang TCR tidak berkunci. Kalau setakat switch yang tiada servis internet atau orang nak cucuk cable kat situ, sama je seperti dia cucuk kat meja diorang.

Tapi, kalau sudah ada sambungan internet terus tanpa apa-apa tahap keselamatan, ini sudah teruk.

Senang-senang orang cucuk cable pada PC, dah dapat internet.

Mungkin orang kata, takde orang sanggup duduk depan TCR nak internet connection. Tapi kalau dia cucuk AP di switch, kan senang dapat internet free?

Atau, aku pasang Raspberry Pi, install elok-elok nampak macam official equipment. Akses secara remote, dah boleh download torrent.

Beb, internet upload/download 1Mbps, lebih hebat dari Streamyx 1Mbps.

No comments:

Post a Comment