Jump to content
  • 0

self-тест и конфиденциальная информация


OmegaTron
 Share

Question

Не раз и не два я не доводил до конца вопросы с тикетами, в которых запрашивался файл self-теста по причине большого содержания конфиденциальных данных в оном. Мой внутренний параноик бьёт в набат при виде содержимого этого файла. В частности меня беспокоит наличие в нём мак-адресов добавленных устройств, dyndns url, номера открытых портов, информация об идентификаторах usb накопителей и текущем ip-адресе. Возможно ли убрать данную (равно как и иную конфиденциальную) информацию из содержимого self-тест файла ? Я конечно могу всё вытереть, но где гарантии, что у саппорта не будет при этом лишних вопросов ?

В целом можно обнулить настройки и сделать self-test, но в таком случае далеко не факт, что проблема воспроизведётся на дефолтной конфигураци (да и не всегда это возможно при дефолтных настройках).

Так или иначе, ежели у меня снова попросят файл self-теста, пройдусь по нему регулярками, заменю ip-адреса на что-то типа 0.0.0.0 и мак-адреса на 00:00:00:00:00:00 + выборочно вытру конфиденциальную (с моей точки зрения) информацию, надеюсь саппорт не будет против :)

Edited by OmegaTron
Link to comment
Share on other sites

10 answers to this question

Recommended Posts

  • 0
1 час назад, OmegaTron сказал:

Не раз и не два я не доводил до конца вопросы с тикетами, в которых запрашивался файл self-теста по причине большого содержания конфиденциальных данных в оном. Мой внутренний параноик бьёт в набат при виде содержимого этого файла. В частности меня беспокоит наличие в нём мак-адресов добавленных устройств, dyndns url, номера открытых портов, информация об идентификаторах usb накопителей и текущем ip-адресе. Возможно ли убрать данную (равно как и иную конфиденциальную) информацию из содержимого self-тест файла ? Я конечно могу всё вытереть, но где гарантии, что у саппорта не будет при этом лишних вопросов ?

В целом можно обнулить настройки и сделать self-test, но в таком случае далеко не факт, что проблема воспроизведётся на дефолтной конфигураци (да и не всегда это возможно при дефолтных настройках).

Так или иначе, ежели у меня снова попросят файл self-теста, пройдусь по нему регулярками, заменю ip-адреса на что-то типа 0.0.0.0 и мак-адреса на 00:00:00:00:00:00 + выборочно вытру конфиденциальную (с моей точки зрения) информацию, надеюсь саппорт не будет против :)

На этом форуме можете не выкладывать этот файл вообще в таком случае (по крайней мере я даже разбираться не буду, если юзер сознательно все затер).

Собственно в техподдержке ваc тоже завернут, если вы все затрете, разве что там канал связи надежнее и ваши селфтесты видят только сотрудники.

Этот файл не зря создан именно таким, если бы было можно убрать часть важной информации без ущерба - ее бы убрали. Как собственно уже сейчас из него вырезаются все пароли и сертификаты OpenVPN.

Link to comment
Share on other sites

  • 0
56 минут назад, Le ecureuil сказал:

по крайней мере я даже разбираться не буду, если юзер сознательно все затер

Где я о говорил о всём ? Я лишь о тех строках, что содержат конфиденциальную информацию.

56 минут назад, Le ecureuil сказал:

Этот файл не зря создан именно таким, если бы было можно убрать часть важной информации без ущерба - ее бы убрали.

Гм, если не секрет, то для чего может понадобиться эта информация ?

2 часа назад, OmegaTron сказал:

наличие в нём мак-адресов добавленных устройств, dyndns url, номера открытых портов, информация об идентификаторах usb накопителей и текущем ip-адресе

Насчёт идентификаторов накопителей конечно можно ещё поспорить, но вот остальная информация - сугубо конфиденциальная.

Сразу оговорюсь, под открытыми портами я подразумеваю вручную открытые порты, а не через upnp.

56 минут назад, Le ecureuil сказал:

Как собственно уже сейчас из него вырезаются все пароли и сертификаты OpenVPN.

Про OpenVPN ничего не скажу, но какие-то пароли при беглом осмотре файла хоть и в md5, но попадались (хотя утверждать не берусь ибо осматривал бегло).

Edited by OmegaTron
Link to comment
Share on other sites

  • 0

Заведите ddns специально для саппорта. А что даст знание мака для потенциального нарушителя?)))) Его например можно сделать любым вообще, у меня по крайней мере он меняется в зависимости от того кто залогиниться, для разграничения прав доступа роутером. Единственное, что может быть ценным если есть статический белый внешний адрес.

Link to comment
Share on other sites

  • 0
47 минут назад, MDP сказал:

А что даст знание мака для потенциального нарушителя?))))

Не мака, а маков добавленных устройств, по которым ведётся мак-фильтрация. У меня white-лист. То, что там пишется мак самого роутера, мне до лампочки, тем более он привязан к идентификатору, а он саппорту известен ибо я его указывал при
обращении.

47 минут назад, MDP сказал:

Единственное, что может быть ценным если есть статический белый внешний адрес.

Т.е. статически открытые порты вы в расчёт не берёте ?

47 минут назад, MDP сказал:

Заведите ddns специально для саппорта.

Смешно :)

К слову пароль в md5 там всё же был

password nt xxx

похоже от cifs, ну да бог с ним ...

***

Меня больше напрягает такой сценарий - "добрый" дядя хакер сливает базу (xml-формат self-теста ведь не для красоты) в которой хранится вся эта информация, распарсивает на предмет указанных данных и начинает брут (а маки и идентификаторы usb вполне сойдут за компромат). Я не не доверяю ndms systems, я боюсь утечки данных в третьи руки, что в наше время не такая уж и редкость.

Потому мне и хочется равно как усиления уровня конфиденциальности, так и понимания проблемы со стороны саппорта, в  случае удаления мной критичных для меня данных вручную.

Edited by OmegaTron
Link to comment
Share on other sites

  • 0
3 hours ago, OmegaTron said:

хочется равно как усиления уровня конфиденциальности, так и понимания проблемы со стороны саппорта

Вам уже объяснили, что вы хотите невозможного, убрать из self-test'ов больше, чем в них сейчас, нельзя.

3 hours ago, OmegaTron said:

Я не не доверяю ndms systems, я боюсь утечки данных в третьи руки

Можно понять, но просто тогда примите как факт, что рассчитывать на поддержку и решение ваших проблем в этом случае вы не можете.

Edited by Sergey Zozulya
орфо
Link to comment
Share on other sites

  • 0
3 часа назад, Sergey Zozulya сказал:

Вам уже объяснили, что вы хотите невозможного, убрать из self-test'ов больше, чем в них сейчас, нельзя.

Я могу сам убрать что меня не устраивает (возьмём хотя бы означенные выше пункты), только мне пока никто так и не объяснил, как отсутствие данной информации в файле  self-теста помешает саппорту вынести вердикт по той или иной проблеме.

Edited by OmegaTron
  • Upvote 1
Link to comment
Share on other sites

  • 0

Всё просто. Вы делаете все маки а-ля xx.xx.xx.xx. В логах видно что косячит какой-то из маков, к примеру, но они все у вас вида xx.xx.xx.xx и ху в как говорится из них ху, непонятно никак. 

Думаю примеров можно привести в массу... 

Link to comment
Share on other sites

  • 0
23 часа назад, OmegaTron сказал:

Гм, если не секрет, то для чего может понадобиться эта информация ?

Начнем с того, что в поддержку обращаются (в том числе, и даже по большей части) люди, мало что понимающие в сетевых технологиях

В 30.11.2017 в 16:05, OmegaTron сказал:

мак-адресов добавленных устройств, dyndns url, номера открытых портов, информация об идентификаторах usb накопителей и текущем ip-адресе

MAC: "у меня телефон не подключается!!!111" - "так вы же вон сами его в ACL (не)добавили"

Текущие параметры IP - большинство проблем с сетью - перекрывающиеся подсети, кривые маршруты, etc

Статические правила NAT - что угодно в стиле "у меня порт не пробрасывается", "у меня SIP не работает". Вплоть до пересечения с текущими параметрами IP, назначения этих IP определенным макам и присутствием этих маков/ip в данный момент в fdb/arp-таблицах

13 часа назад, OmegaTron сказал:

К слову пароль в md5 там всё же был

эээм, пароли там вроде все маскируются звездочками.

Link to comment
Share on other sites

  • 0
10 часов назад, Mamay сказал:

Всё просто. Вы делаете все маки а-ля xx.xx.xx.xx. В логах видно что косячит какой-то из маков, к примеру, но они все у вас вида xx.xx.xx.xx и ху в как говорится из них ху, непонятно никак. 

Я могу их просто убрать, как если бы не добавлял в acess list.

9 часов назад, KorDen сказал:

Начнем с того, что в поддержку обращаются (в том числе, и даже по большей части) люди, мало что понимающие в сетевых технологиях

А у тех кто хоть немного разбирается шевелятся волосы при виде содержимого :) Поверьте, в саппорт можно обратиться по той или иной проблеме даже имея семь пядей во лбу, если ситуация нестандартная, не описана в мануалах и никак не гуглится.

9 часов назад, KorDen сказал:

MAC: "у меня телефон не подключается!!!111" - "так вы же вон сами его в ACL (не)добавили"

Текущие параметры IP - большинство проблем с сетью - перекрывающиеся подсети, кривые маршруты, etc

Статические правила NAT - что угодно в стиле "у меня порт не пробрасывается", "у меня SIP не работает". Вплоть до пересечения с текущими параметрами IP, назначения этих IP определенным макам и присутствием этих маков/ip в данный момент в fdb/arp-таблицах

Неясно только, зачем они могут понадобиться в случае, если проблема никак не кореллирует с этими параметрами (о чём я и толкую с самого начала) ...

Edited by OmegaTron
Link to comment
Share on other sites

  • 0

Еще раз - формат self-test продиктован нашей производственной необходимостью в расследовании инцидентов.

Если вас он не устраивает, значит не пользуйтесь поддержкой, только и всего. :) Мы же не вынуждаем вас этот файл загружать куда бы то ни было под угрозой расстрела.

  • Upvote 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...