09-26-2022, 04:41 PM
(This post was last modified: 04-13-2023, 09:28 AM by 1van.
Edit Reason: Ubačen IP.
)
Sve informacije su preuzete sa: https://twitter.com/milos_rs_/status/157...3854607362
milos_rs je napisao:
Malo sam se zainteresovao za popis 2022, naravno za tehničku stranu priče, pa sam kopao po OSINT-u, i našao svašta...
![[Image: FdllwntXgAMSEGe?format=png&name=small]](https://pbs.twimg.com/media/FdllwntXgAMSEGe?format=png&name=small)
Nisam našao ko je snabdeo laptope za popisivače ni koliko su koštali. Javna nabavka je verovatno bila 2019. ili 2020. godine jer je popis trebao da bude 2021. Za probni popis se koristio "ACER 13" šta god to bilo. Ako neko želi da kopa može na https://www.stat.gov.rs/sr-latn/o-nama/javne-nabavke/
da vidimo šta kaže @shodanhq za http://stat.gov.rs domen... zanimljivo da ovaj DNS unos za probni popis iz 2019. usmerava ka IP adresi koja nije iz opsega IP adresa
@kancelarijaITE koje koristi republički zavod za statistiku i mnogi drugi državni sajtovi...
![[Image: Fdll5qsXkAEmPB5?format=jpg&name=medium]](https://pbs.twimg.com/media/Fdll5qsXkAEmPB5?format=jpg&name=medium)
a na toj adresi je... vpn server za IPSOS??? Privatna firma na IP (89.216.46.245) adresi privatnog internet provajdera, kakve oni veze imaju sa državnim popisom i konkretno sa probnim popisom iz 2019. godine?
![[Image: Fdll_YXXgAYp6j6?format=jpg&name=small]](https://pbs.twimg.com/media/Fdll_YXXgAYp6j6?format=jpg&name=small)
Softver koji se koristi za popis i analizu je napravljen in-house za potrebe republičkog zavoda za statistiku. zove se IST, ima sajt na http://istportal.net koji je iz 2019. i nema ispravan HTTPS pristup...
Ovo dalje što sledi sam našao ili na IST sajtu ili po slajdovima nekih prezentacija na koje sam naleteo preko gugla... PAŽNJA!!! moguće je da su neke od ovih informacija pa i moji zaključci zastareli jer sajt izgleda nije ažuriran još od 2019. godine.
IST Softver za popis koristi Microsoft .net i MS SQL server kao osnov.
![[Image: FdlmM2vXwAIdU9f?format=jpg&name=small]](https://pbs.twimg.com/media/FdlmM2vXwAIdU9f?format=jpg&name=small)
Izgleda da se hostuje na Azure Cloud-u...
![[Image: FdlmQPwXkAccBVZ?format=jpg&name=small]](https://pbs.twimg.com/media/FdlmQPwXkAccBVZ?format=jpg&name=small)
Spisak softvera i verzija koje se instaliraju na klijentima, tj. laptopima koje nose anketari (veoma moguće da je ova informacija donekle zastarela)
![[Image: FdlmTfrWIAIxnqw?format=png&name=small]](https://pbs.twimg.com/media/FdlmTfrWIAIxnqw?format=png&name=small)
Na IST sajtu iz nekog razloga postoji javna pretraga dela dev dokumentacije. Nisam našao ništa osetljivo, ali svakako ima stvari koje nema razloga da budu javne. Imamo dakle uvid u funkcionisanje sistema i sklonost ka dobrim sigurnosnim praksama od strane kreatora istog...
Tu se nalazi enkripcija koja se koristi za šifre anketara..
![[Image: FdlmgQlXEAISbQz?format=jpg&name=large]](https://pbs.twimg.com/media/FdlmgQlXEAISbQz?format=jpg&name=large)
Kao i sama funkcija kojom se te šifre enrkiptuju...
![[Image: Fdlmkv8XoAIgoLh?format=jpg&name=small]](https://pbs.twimg.com/media/Fdlmkv8XoAIgoLh?format=jpg&name=small)
Ali da li je ta enkripcija potrebna? Pa ne, ne baš jer PAZSAD, čuva se "flat" šifru u bazi na serveru zajedno sa enkriptovanom!
![[Image: Fdlmv2nXoAE-WoB?format=jpg&name=large]](https://pbs.twimg.com/media/Fdlmv2nXoAE-WoB?format=jpg&name=large)
![[Image: Fdlmv31WYAA3y1l?format=jpg&name=large]](https://pbs.twimg.com/media/Fdlmv31WYAA3y1l?format=jpg&name=large)
NASTAVAK U SLJEDECEM POSTU
milos_rs je napisao:
Malo sam se zainteresovao za popis 2022, naravno za tehničku stranu priče, pa sam kopao po OSINT-u, i našao svašta...
Nisam našao ko je snabdeo laptope za popisivače ni koliko su koštali. Javna nabavka je verovatno bila 2019. ili 2020. godine jer je popis trebao da bude 2021. Za probni popis se koristio "ACER 13" šta god to bilo. Ako neko želi da kopa može na https://www.stat.gov.rs/sr-latn/o-nama/javne-nabavke/
da vidimo šta kaže @shodanhq za http://stat.gov.rs domen... zanimljivo da ovaj DNS unos za probni popis iz 2019. usmerava ka IP adresi koja nije iz opsega IP adresa
@kancelarijaITE koje koristi republički zavod za statistiku i mnogi drugi državni sajtovi...
a na toj adresi je... vpn server za IPSOS??? Privatna firma na IP (89.216.46.245) adresi privatnog internet provajdera, kakve oni veze imaju sa državnim popisom i konkretno sa probnim popisom iz 2019. godine?
Softver koji se koristi za popis i analizu je napravljen in-house za potrebe republičkog zavoda za statistiku. zove se IST, ima sajt na http://istportal.net koji je iz 2019. i nema ispravan HTTPS pristup...
Ovo dalje što sledi sam našao ili na IST sajtu ili po slajdovima nekih prezentacija na koje sam naleteo preko gugla... PAŽNJA!!! moguće je da su neke od ovih informacija pa i moji zaključci zastareli jer sajt izgleda nije ažuriran još od 2019. godine.
IST Softver za popis koristi Microsoft .net i MS SQL server kao osnov.
Izgleda da se hostuje na Azure Cloud-u...
Spisak softvera i verzija koje se instaliraju na klijentima, tj. laptopima koje nose anketari (veoma moguće da je ova informacija donekle zastarela)
Na IST sajtu iz nekog razloga postoji javna pretraga dela dev dokumentacije. Nisam našao ništa osetljivo, ali svakako ima stvari koje nema razloga da budu javne. Imamo dakle uvid u funkcionisanje sistema i sklonost ka dobrim sigurnosnim praksama od strane kreatora istog...
Tu se nalazi enkripcija koja se koristi za šifre anketara..
Kao i sama funkcija kojom se te šifre enrkiptuju...
Ali da li je ta enkripcija potrebna? Pa ne, ne baš jer PAZSAD, čuva se "flat" šifru u bazi na serveru zajedno sa enkriptovanom!
NASTAVAK U SLJEDECEM POSTU