ЕНУ — все очень плохо…

Сегодня мы хотим поговорить про ЕНУ (Евразийский Национальный Университет). Беспорно, это один из лучших вузов Казахстана, который обучает айтишников всех специальностей, в том числе и специалистов по информационной безопасности. При ЕНУ есть даже «национальный институт развития в сфере обеспечения информационной безопасности», возглавляемый Сейткуловым Ержаном Нурхановичем. Он активно продвигает ИБ в нашей стране и даже публикует статьи о том, как правильно надо строить «Киберщит» — раз, два, три.

Должно быть человек, выполняющий столь важную государственную задачу также обеспечил «киберщит» и для своего университета… Но оказывается, тут все очень печально…

В ЕНУ есть множество серверов, на которых хранятся их многочисленные сайты, платонус, система документооборота, библиотека и многое другое. Нам удалось получить доступ ко многим важным сервисам. Объем полученных из ЕНУ данных привысил все другие университеты вместе взятые. Ниже мы поделимся с вами лишь небольшой частью.

Вот это информация о закупаемых в ЕНУ книгах. Если верить ей, ЕНУ потратил на совю библиотеку минимум треть миллиарда тенге. Сумма внушительная, но скупиться на книги конечно не стоит.

Из платонуса мы вытащили личные данные (фио, телефон, адрес, иин, номер удостоверения) на 4.782 работника ЕНУ и 46.054 студента.

Работники:

Студенты:

Система жалоб и тикетов:

ldap доступ:

Moodle:

Админка от всех сайтов факультетов ЕНУ:

Мы также успешно проникли в почту отдела ИТ, который по сути и является главным виновником всего этого беспорядка:

Но админы ЕНУ не являются патриотами собственного универа или просто понимают то, как там все плохо с ИБ и поэтому приняли решение перенести свою рабочую почту на сервисы яндекса. Но не беда, туда мы тоже получили доступ:

На этот ящик у них привязан lets’s Encrypt для доменов платонуса и арты, что позволило нам без проблем заполучить эти сертификаты.
А еще мы смогли успешно синхронизировать наш Firefox с браузером админа, получив все сохраненные там пароли, закладки, историю посещений:

Наконец, мы успешно выполнили синхронизацию с VNC клиентом админа и получили доступ на одну из машин, что была сохранена в его клиенте:

Становится очень грустно от того, что именно там обучают будущих киберзащитников, которые даже не могут проверить собственный университет на уязвимости и сообщить о них в IT отдел. И еще эти люди будут рассказывать, как нужно строить «Киберщит Казахстана»..

Мы считаем, что пора заканчивать проверки наших вузов. Вывод уже давно всем ясен. Этой статьей мы ставим точку в нашей первой миссии и начинаем готовиться к следующей… Но это вовсе не означает, что айтишники вузов должны раслабляться. Не мы, так другие придут к вам и они уже не будут столь добры к вам, а нанесут непоправимый ущерб. Поэтому пожалуйста, начните выполнять свою работу качественно…

It lo

18 thoughts on “ЕНУ — все очень плохо…

  1. Ребят, молодцы) ИБ не будет развиваться без атак… Даете мне мотивацию развиваться дальше

  2. Красавчики ребята👍 Думаю можете взять практически любой гос орган и Вам не составит труда ломануть его 😂👍

  3. Получили доступ с яндексу? Ну Вы крутые Хакеры! Хотя нет, Вы не Хакеры. Скорее воры, кто копается в грязном белье, а именно, ч/з снифер/КЕШ и пр. получили логины и пароли. Вот так вот Вы получили доступ. И ни о каком взломе здесь нет речи. Надо учиться делать реальные взломы, а то чем вы занимаетесь это детский лепет, грязно и не профессионально. Вам должно быть стыдно за ваши действия. Если хотите показать «дырку» в системе — Покажите, позвоните и сообщите, как это делают программеры. Вы же способны лишь на мелкие пакости.

    1. В почте [email protected] ничего особо полезного не было. Разве что сертификаты, которые позволили бы проводить mitm атаки на пользователей арты и платонуса более чисто, но мы их не проводили, за ненадобностью. Пароль от этой почты был найден в БД moodle, к которой у нас уже был доступ.

      «Если хотите показать «дырку» в системе — Покажите, позвоните и сообщите» — Проблема в том, что даже после публикации данной статьи и освещении в СМИ никто не торопится устранять уязвимости. Если просто написать в ИТ отдел, то в самом лучшем случае мы получим отмазку «ок, посмотрим»… А так есть хоть какой-то шанс, что они исправят хотябы часть уязвимостей.

  4. Хочу добавить. На вашем сайте есть одобрение комментария модератором. Это лишь лишний раз подтверждает, что вы никчемные неудачники )))) т.е. даже вывесить адекватный ответ на ваши грязные дела не можете )))

    1. Нет, так просто удобнее следить за новыми комментариями. На все комментарии мы стараемся отвечать, даже если они с критикой

    2. Ладно, если они никчемные неудачники, и как вы можете называть сисадмина управляющим той системой, к которой эти неудачники получили доступ?

      Я знаю как проходят учебный процесс в ЕНУ, честно скажу здесь учится не надо, здесь ты ничего никакой знанию не получишь, потому что преподаватели ничего не знают(ну не все) о современных технологиях, преподаватели очень старые(60-70% возрасты 50+), для обучения в программированию нужен молодые специалисты, который для студентов говорят о современных технологиях, а контроля нет вообще, студенты просто зачисляются чтобы получит стипендию. Студенты ничему не учатся, не программируют, не практикуются, просто делают перевод с русского языка на казахский какой-то книги или презентации и все. Для ЕНУ нужно перемен, нужны молодые специалисты, которые в настоящее время работают в сфере IT. Но если будет прийти такие специалисты(сисадмины допускающий простейшею ошибки), не знаю… нет слов…

Добавить комментарий для Алдияр Отменить ответ

Ваш e-mail не будет опубликован. Обязательные поля помечены *