Pull to refresh

Comments 6

Обычно во всех лабораториях есть предупреждения о подобном.
Ничего страшного в этом нет. Ниже пример с OffensiveSecurity
HAZARDS
Please read this part extremely carefully.

By joining the Offensive Security VPN, you will be exposing your computers' VPN IP to other students taking the course with you. Due to the nature of the course (and its participants!), your computer may be subjected to attacks originating from the VPN network. This is true even if you are located behind a NAT device. Kali users, please change the default root password!

Но не будем забывать, что OffensiveSecurity более закрытый и профессиональный лабораторный практикум, а TryHackMe ориентируется на новичков, которые могут еще не до конца разбираться в вопросе. И единоразовых пользователей у них несоизмеримо больше в единицу времени, нежели у тех же Offensive.

Одновременно с этим, если я правильно помню, то даже у Офенсивов при подключении к VPN Вы не можете от себя взаимодействовать с другими пользаками. Если блочить подобно поведение пользователей смысла нет, то тогда зачем делать это ограничение? Пункт Лицухи, что ВЫ ПРЕДУПРЕЖДЕНЫ и все дела. Всех в одну сеть с правилами ANY ANY. Однако на практике мы имеем всё-таки наличие запрета на прямое взаимодействие машин пользователей между собой. Зачем?

Опять же подчеркну. На мой взгляд сравнение с Offensive не корректно, так как в этом Лабораторном практикуме нет новичков. Только люди, которые знают и понимают что к чему и зачем пришли.

На TryHackMe дела обстоят иначе. Тут люди даже с нулевым уровнем в инфобезе могут быть, соответственно такой же аргумент к ним не применим. Иначе мы скатываемся в оправдание уровня "Пенсионеров можно обманывать, так как они ни чего не понимают в технологиях/финансах/*вставить нужную отрасль современной жизни*".

Если у тебя платформа для новичков, то обеспечь максимальный уровень защиты, потому что люди могут еще не знать что и к чему. ИМХО. Если платформа для профессионалов, то могут быть некоторые послабления.

У htb еще больше пользователей в единишу времени

Так вот в том-то и дело, что не в бобине и не в дефолтных паролях. Дефолтные пароли — это самый простой сценарий атаки. И даже он дает результат. Собственно вопрос не про компетентность людей с кредами kali:kali, а про то, что таким же методом можно пульнуть вообще любой эксплойт…
Вам стоит еще разочек прочитать текст, который писали не вы, и подумать о том, какой будет импакт, если креды будут не дефолтные.
Sign up to leave a comment.