Расшифровка паролей Болид

FORUM_NAME: АРМ Орион Про версии до 1.20
Описание: АРМ "Орион Про" — пакет программного обеспечения для аппаратно-программного комплекса ИСО "Орион", на котором реализуются системы охранной сигнализации, контроля и управления доступом, охранного видеонаблюдения, автоматика противопожарных систем, сопряженные с инженерными системами объектов.
Справочная информация, руководства для АРМ Орион Про версии до 1.20
Модератор: Модераторы
Dmitr
Dmitr
Репутация: 2
Сообщения: 164
Зарегистрирован: 14.06.2012
С нами: 4 года 5 месяцев
Профессия: Beta-пользователь

Непрочитанное сообщение #21 Dmitr » 27.08.2014, 07:39

Ага. версия у меня 1.11.
По поводу 1.12: осталось только удивиться в очередной раз разработчикам болидовского ПО, как сказал известный персонаж "Ну вы блин даете"...

CaHeK
CaHeK
Репутация: 0
Сообщения: 27
Зарегистрирован: 15.01.2014
С нами: 2 года 10 месяцев
Профессия: Инженер

Непрочитанное сообщение #22 CaHeK » 27.08.2014, 08:03

А так же любознательности пользователей ) которым не лень пошариться по папкам )

lis
lis
Репутация: 0
Сообщения: 14
Зарегистрирован: 26.08.2014
С нами: 2 года 3 месяца
Профессия: жму на любые кнопки

Непрочитанное сообщение #23 lis » 27.08.2014, 08:25

Подобное, к сожалению, встречается не только у Болида. Мне интересно зачем они вообще включили ЭТО в дистрибутив?
Так-то, конечно, удобная штука, но зачем? Не понимаю.

pet-and M
Активный участник
Активный участник
pet-and M
Активный участник
Активный участник
Возраст: 37
Репутация: 21
Сообщения: 1670
Зарегистрирован: 11.11.2012
С нами: 4 года
Профессия: инженер
Откуда: Санкт-Петербург

Непрочитанное сообщение #24 pet-and » 27.08.2014, 09:29

Dmitr писал(а):По поводу 1.12: осталось только удивиться в очередной раз разработчикам болидовского ПО, как сказал известный персонаж "Ну вы блин даете"...
Ограничение доступа к серверу - это не задача АРМа, а обслуживающей организации. Ко всему прочему, если в базе данных содержится исчерпывающая информация о держателях карт доступа, то при утере пароля Вас попросят выслать БД, а к этому хозяева данной инфы относятся как-то не очень; а теперь все карты в наших руках.

Hronic
Hronic
Репутация: 0
Сообщения: 15
Зарегистрирован: 28.08.2014
С нами: 2 года 3 месяца
Профессия: программист

Непрочитанное сообщение #25 Hronic » 28.08.2014, 10:02

Однако, т.е. любой пользователь сети который знает имя сервера вначале сможет узнать пароли с помощью PasswLstEditor.exe(защиты никакой), а после запустить АБД и править все что угодно.
Ужас.

MadHacker M
Активный участник
Активный участник
Аватара
MadHacker M
Активный участник
Активный участник
Возраст: 26
Репутация: 6
Сообщения: 744
Зарегистрирован: 28.05.2012
С нами: 4 года 6 месяцев
Профессия: Программист
Откуда: МО г. Королёв

Непрочитанное сообщение #26 MadHacker » 09.09.2014, 09:09

Hronic писал(а):Однако, т.е. любой пользователь сети который знает имя сервера вначале сможет узнать пароли с помощью PasswLstEditor.exe(защиты никакой), а после запустить АБД и править все что угодно.
Ужас.
А нефиг на SQL сервере дефолтный пароль оставлять.

Sia-Ori
Активный участник
Активный участник
Sia-Ori
Активный участник
Активный участник
Возраст: 46
Репутация: 2
Сообщения: 763
Зарегистрирован: 04.02.2012
С нами: 4 года 10 месяцев
Профессия: инженер СКУД
Откуда: Ростов на Дону

Непрочитанное сообщение #27 Sia-Ori » 09.09.2014, 13:31

MadHacker писал(а):
Hronic писал(а):Однако, т.е. любой пользователь сети который знает имя сервера вначале сможет узнать пароли с помощью PasswLstEditor.exe(защиты никакой), а после запустить АБД и править все что угодно.
Ужас.
А нефиг на SQL сервере дефолтный пароль оставлять.
Ой, да ладно, тоже мне секрет, пароль к SQL серверу. Он же прямо вписывается в свойства подключения.
Ещё ни одной системы не видел с нормальной криптографией.

MadHacker M
Активный участник
Активный участник
Аватара
MadHacker M
Активный участник
Активный участник
Возраст: 26
Репутация: 6
Сообщения: 744
Зарегистрирован: 28.05.2012
С нами: 4 года 6 месяцев
Профессия: Программист
Откуда: МО г. Королёв

Непрочитанное сообщение #28 MadHacker » 09.09.2014, 13:42

Ну вписывается он на сервере с CSO, доступ к которому должен быть уже не у всех подряд.
Просто утверждение "никакой защиты" слегка некорректно. Слабая защита - это да. Орион и Орион ПРО предназначены для работы в безопасной сети.
Следующее поколение разрабатывается уже под небезопасные сети.

Sia-Ori
Активный участник
Активный участник
Sia-Ori
Активный участник
Активный участник
Возраст: 46
Репутация: 2
Сообщения: 763
Зарегистрирован: 04.02.2012
С нами: 4 года 10 месяцев
Профессия: инженер СКУД
Откуда: Ростов на Дону

Непрочитанное сообщение #29 Sia-Ori » 09.09.2014, 15:56

Сервер и ядра опроса стартуют как сервисы, под отдельной учётной записью, простые пользователи системы с сервером никак не общаются, доступа к файлу с паролем у них нет.
Простые пользователи работают без админских полномочий.
Сетевой трафик с рабочими местами шифрованный через SSL, и с С2000-Ethernet тоже.
Да, круто... :)
.
Насчёт сервера с CSO - в свете отказа от простого Ориона однокомпьютерные конфигурации пойдут в полный рост.

MadHacker M
Активный участник
Активный участник
Аватара
MadHacker M
Активный участник
Активный участник
Возраст: 26
Репутация: 6
Сообщения: 744
Зарегистрирован: 28.05.2012
С нами: 4 года 6 месяцев
Профессия: Программист
Откуда: МО г. Королёв

Непрочитанное сообщение #30 MadHacker » 09.09.2014, 16:34

Примерно так :) Но не скоро.

Пока ожидаются более простые, но, надеюсь, не менее приятные плюшки. Думаю к Новому году уже увидите улучшения ;)

Sia-Ori
Активный участник
Активный участник
Sia-Ori
Активный участник
Активный участник
Возраст: 46
Репутация: 2
Сообщения: 763
Зарегистрирован: 04.02.2012
С нами: 4 года 10 месяцев
Профессия: инженер СКУД
Откуда: Ростов на Дону

Непрочитанное сообщение #31 Sia-Ori » 10.09.2014, 05:57

Насчёт запуска как сервиса - это, как раз, не сложно.

MadHacker M
Активный участник
Активный участник
Аватара
MadHacker M
Активный участник
Активный участник
Возраст: 26
Репутация: 6
Сообщения: 744
Зарегистрирован: 28.05.2012
С нами: 4 года 6 месяцев
Профессия: Программист
Откуда: МО г. Королёв

Непрочитанное сообщение #32 MadHacker » 10.09.2014, 08:45

Угу, но абсолютно ничего не даст :)
Нужно ещё кучу всего сделать.

Hronic
Hronic
Репутация: 0
Сообщения: 15
Зарегистрирован: 28.08.2014
С нами: 2 года 3 месяца
Профессия: программист

Непрочитанное сообщение #33 Hronic » 19.09.2014, 04:36

MadHacker писал(а):
Hronic писал(а):Однако, т.е. любой пользователь сети который знает имя сервера вначале сможет узнать пароли с помощью PasswLstEditor.exe(защиты никакой), а после запустить АБД и править все что угодно.
Ужас.
А нефиг на SQL сервере дефолтный пароль оставлять.

Так в этом то и соль, что его даже знать не надо. В PasswLstEditor.exe ничего кроме сервера указывать не надо он просто соединяется и открывает. Пришлось настраивать файрвол для запрета всех кроме определенных компьютеров.

P.S. А что значит дефолтный пароль? (пустой пароль sa?)

MadHacker M
Активный участник
Активный участник
Аватара
MadHacker M
Активный участник
Активный участник
Возраст: 26
Репутация: 6
Сообщения: 744
Зарегистрирован: 28.05.2012
С нами: 4 года 6 месяцев
Профессия: Программист
Откуда: МО г. Королёв

Непрочитанное сообщение #34 MadHacker » 19.09.2014, 07:32

В PasswLstEditor.exe указывается адрес сервера с ЦСО а так же пользователь и пароль от SQL.
Дефолтный - это 123456 который ставит скрипт установки. Его надо менять сначала в SQL, затем указывать новый в ЦСО.

Hronic
Hronic
Репутация: 0
Сообщения: 15
Зарегистрирован: 28.08.2014
С нами: 2 года 3 месяца
Профессия: программист

Непрочитанное сообщение #35 Hronic » 19.09.2014, 07:51

MadHacker писал(а):В PasswLstEditor.exe указывается адрес сервера с ЦСО а так же пользователь и пароль от SQL.
Дефолтный - это 123456 который ставит скрипт установки. Его надо менять сначала в SQL, затем указывать новый в ЦСО.

На счет дефолтного понял что вы имеете ввиду, хотя MS SQL у нас ставили отдельно, поэтому пароль совершенно другой поставили сразу.
А вот насчет PasswLstEditor.exe, еще раз повторю, достаточно указать имя сервера, имя и пароль можно оставить вообще пустые, что само собой MS SQL бы никогда не пропустил. Или это имя и пароль чего то другого? (если бы база была Paradox то вообще имя и пароля бы и не было даже)

MadHacker M
Активный участник
Активный участник
Аватара
MadHacker M
Активный участник
Активный участник
Возраст: 26
Репутация: 6
Сообщения: 744
Зарегистрирован: 28.05.2012
С нами: 4 года 6 месяцев
Профессия: Программист
Откуда: МО г. Королёв

Непрочитанное сообщение #36 MadHacker » 19.09.2014, 09:11

В каком дистрибутиве у вас наблюдается такое поведение? Какая версия Орион ПРО и какая сборка ЦСО?

Hronic
Hronic
Репутация: 0
Сообщения: 15
Зарегистрирован: 28.08.2014
С нами: 2 года 3 месяца
Профессия: программист

Непрочитанное сообщение #37 Hronic » 19.09.2014, 09:18

MadHacker писал(а):В каком дистрибутиве у вас наблюдается такое поведение? Какая версия Орион ПРО и какая сборка ЦСО?

Орион про 1.12 (Build 3155)
Оболочка 1.12 (Build 1103)
ЦСО 1.12.0.69

MadHacker M
Активный участник
Активный участник
Аватара
MadHacker M
Активный участник
Активный участник
Возраст: 26
Репутация: 6
Сообщения: 744
Зарегистрирован: 28.05.2012
С нами: 4 года 6 месяцев
Профессия: Программист
Откуда: МО г. Королёв

Непрочитанное сообщение #38 MadHacker » 09.10.2014, 09:29

Ну вот. Пока мы тут сидим утилиту обсуждаем, народ вон вообще базы хекс редактором вскрывает :)
http://habrahabr.ru/post/239727/

lis
lis
Репутация: 0
Сообщения: 14
Зарегистрирован: 26.08.2014
С нами: 2 года 3 месяца
Профессия: жму на любые кнопки

Непрочитанное сообщение #39 lis » 10.10.2014, 05:59

В песочнице сидит... Решил таким образом регистрацию заполучить. Работу, конечно, серьезную проделал, много нового для себя узнал.

lamyk
lamyk
Репутация: 0
Сообщения: 90
Зарегистрирован: 17.04.2013
С нами: 3 года 7 месяцев
Профессия: Наладчик

Непрочитанное сообщение #40 lamyk » 10.10.2014, 08:20

главное что результат у него есть))


  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение

Вернуться в «АРМ Орион Про версии до 1.20»

Кто сейчас на форуме (по активности за 5 минут)

Сейчас этот раздел просматривают: 4 гостя

forum-bolid.ru : Отказ от ответственности