O kretyńskich „zabezpieczeniach” i ograniczeniach użytkowników w routerach Innbox.

Na wstępie, mam na myśli routery dostarczane przez firmę Dialo… ekhem. Netia, w tym wypadku V41, ale dostarczane są też V50 które mają raczej ten sam soft 🙂

Więc do dzieła.

Domyślnie (i jednocześnie minimalnie, jak i maksymalnie, gdyż nie da się tworzyć ani usuwać użytkowników) mamy do dyspozycji trzech użytkowników:

  • Konto „user” przeznaczone dla Kowalskiego
  • Specjalne konto dla technika
  • Konto „admin” z „podwyższonymi uprawnieniami”…

O ile do konta user mamy podane hasło na spodzie obudowy, tak do administracyjnego trzeba się dokopać, kiedyś było to możliwe poprzez pobranie backupu z poziomu panelu zwykłego użytkownika i podpatrzenie tam hasła (było zapisane w base64), teraz jest ono zapisane w czymś innym i nie do końca wiem co to jest. Oczywiście internet nie zapomina, i po wpisaniu w google frazy „DSL4ad” (tak, to nasze hasło) trafimy na elektrodę gdzie znajdziemy kilka linków, instrukcje jak zdobyć hasło na starym sofcie oraz zostaniemy poinformowani iż nasz zasilacz jest na czarnej liście.

No ale zalogujmy się na usera, bądźmy uczciwi 🙂

Nasz skrojony do granic możliwości panel.

Nie dość, że panel jest ostro „skrojony”, to dość spora część funkcji… nie działa.

Chociażby przy próbie wywalenia kilku portów na zewnątrz nie dzieje się nic, możemy dodawać tak je sobie w nieskończoność. Oczywiście na koncie oznaczonym jako „admin” działa, więc nie mam pojęcia co robi ta funkcja w panelu użytkownika, pewnie ktoś ją zapomniał usunąć z panelu bocznego.

No ale do rzeczy, mimo że opcji w panelu bocznym mało, to możemy przechodzić do podstron teoretycznie dla nas niedostępnych, i o dziwo to działa!

Dla przykładu logi systemu: gateway/logintro.html

Piękne, co nie?

Szukamy dalej, statystyki adsl, zaawansowane ustawienia wifi czy nawet soft update (ciekawe czy sprawda poprawność paczki, bo można by tak uwalić kilka losowych routerów przechadzając się po mieście).

Słowem podsumowania, czy takie pseudo-zabezpieczenia mają sens? Nie, i mam nadzieje że w przypadku innych routerów rozdawanych przez tego konkretnego ISP jest chociaż ciut lepiej…

PS. Są też strony które sprawdzają jednak którym użytkownikiem jesteśmy, lecz są to tak bezsensowne podstrony jak diagnostyka… którą nie da się nic zepsuć :<

 

No i na koniec, dziękuje ludzikom z elektrody za ten blisko 6-letni temat, mimo to wciąż w sporym stopniu aktualny.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *