12:30
15/9/2014

Jakie ataki na indeks studenta?

Jeden z naszych czytelników, Rafał, napisał:

Będąc dzisiaj na uczelni mojej dziewczyny w okolicach sekretariatu zauważyłem bardzo ciekawą sytuację. Na środku korytarza stała sobie szafeczka, w okolicy ani żywego ducha, zero kamer. Mógł bym po prostu podejść i zwinąć wszystko do plecaka :) Ciekawie uczelnia dba o dane osobowe swoich studentów.

ideksy

Do diabła tam z danymi osobowymi studentów. Wydaje nam się, że większą szkodę można by wyrządzić po prostu uniemożliwiając studentowi dostęp do jego indeksu (kradnąc go) lub dopisując błędne oceny.

W pierwszym przypadku, sytuację uratowałoby “odtworzenie” z backupu, czyli zapewne wewnętrznych rejestrów uczelni i notatek pracowników naukowych (kluczowe pytanie: czy udałoby się odtworzyć wszystkie rekordy?).

W przypadku błędnych ocen — zwłaszcza tych, które mają dopiero zostać wpisane — student mógłby zostać oskarżony o nieudany “spoofing” oceny. A fałszowanie dokumentów to już nie przelewki.

Czy jeszcze jakieś ataki, poza klasycznym defacem w postaci dorysowania czegoś na którejś ze stron, przychodzą Wam do głowy?


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

46 komentarzy

Dodaj komentarz
  1. Bez przesady. Ostatnio u mnie na Politechnice ktoś zaskarżył o to dziekanat i od tamtej pory załatwienie czegokolwiek graniczyło z niemożliwością. Kiedyś koledzy mogli odebrać indeks, przekazać dalej i nic się nie stało, a później trzeba było pisać pisemne upoważnienia albo samemu jeźdźić na uczelnie. Niektórzy musieli dłużej zostawać w mieście, bo musieli odebrać indeks z pokoju A i zanieść do pokoju B.
    System, który działał od 50 lat został zniszczony przez jedną osobę z bzikiem na punkcie bezpieczeństwa.
    Teraz na szczęscie weszły elektroniczne indeksy.

    • Nie chcesz dbać o swoją prywatność ze względu na pochodzenie, ale w takim razie studia niczego Ci nie dadzą, wartość papieru, który dostaniesz będzie zweryfikowana jak cena w biedronce.

    • Uczelnia o ktorej tu mowa to Politechnika Wroclawska. Tak sie zdarzylo ze byla dziura w systemie i mam dziesiatki tysiecy danych studentow ale mniejsza o to bo juz mi nie sa potrzebne a sprzedawac nie mam zamiaru. Jesli chodzi o atak to na PWR mozna zrobic wiele ciekawych rzeczy, a raczej mozna bylo bo teraz sa elektroniczne indeksy. Nie robilem ich bo po co komus zycie utrudniac? Ale gdyby mi ktos zaszedl za skórę ….

      Generalnie pomysl bardzo prosty bo zeby odzyskac haslo z poczty studenckiej czy tam do systemu edukacja politechniki wrocławskiej wystarczyly podstawowe dane osobowe czyli pesel, data urodzenia (lol ?! skoro pesel juz byl …), imie, nazwisko itd. WSZYSTKIE te dane byly w papierowych indeksach na pierwszych stronach :> Ale co jest ciekawsze to to jak mozna bylo to wykorzystac.

      Po 1 resetujemy haslo na maila, po 2 wchodzimy na maila i zdobywamy login do portalu edukacja.cl ktory jest zaraz w pierwszych mailach, ktorych NIE DA SIE KASOWAC !!!! wiec ten login tam jest, bedzie i na zawsze pozostanie. Nastepnie majac login resetujemy haslo na portalu edukacja odpowiadajac na te same pytania o dane osobowe. I teraz kwintesencja -> składamy podanie o wypisanie ze studiow tym samym rujnując albo bardzo uprzykrzajac komus zycie :]

    • Tez studiuję na PWr i najbardziej śmieszy mnie cała otoczka na temat ‘numeru albumu’ studenta który z założenia ma być znany tylko studentowi i nie powinniśmy sie nim z nikim specjalnie dzielić. Problem w tym że numer KAŻDEGO studenta wraz z jego imieniem i nazwiskiem można wyciągnąc stosując odpowiednie zapytanie do bazy poczty pwr. Nie ma więc najmniejszego problemu aby dowiedzieć sie kto jaką dostał ocenę z egzaminu mimo że lista zawiera tylko 2 kolumny: nr albumu, ocena :)

  2. Nr indeksu jako hasło/login do sieci uczelnianiej?

    • ;) nr = login, haslo = data urodzenia. A indeksy z dziekanatu moze odebrac kazdy student

    • Pesel też wchodzi.

  3. Studenci też nie święci. Klasyczny DDoS.

  4. Wszystko co jest w indeksach jest też na kartach egzaminacyjnych, a te powinny być w archiwum dziekanatu.

    • Nie wszystko. Praktyk na przykład się u mnie nie wpisywało na kartę, tylko do indeksu. Tak samo z egzaminem językowym.

  5. platnosc w btc za zwrot indexu

  6. Waszym zdaniem byłby sens wytoczyć uczelni pozew cywilny o zaniedbanie ochrony danych osobowych? ;)

  7. Jak w tym kraju ma być lepiej, skoro na widok leżących indeksów pierwsza myśl jaka przychodzi rodakowi, to “zajumać!”?
    Na zachodzie rolnicy zostawiają przy drodze płody rolne i puszkę na kasę. Nikomu nie przychodzi do głowy, żeby zajumać czy to warzywka czy nawet kasę… echh… Polska, mój kraj, taki piękny…

    • Jakbys kiedys pracowal “na zachodzie”, to nie mecz uzytkownikow swoich systemow jakimis haslami i skomplikowanymi logowaniami, daj liste uzytkownikow na ekranie logowania i kazdy sobie wybierze siebie zeby sie zalogowac.

    • +1!

    • +1

    • @Mariusz
      Tako rzecze Stallman.

      Serio, on uważa (albo uważał) że hasła i ograniczenia dostępu to zło.

  8. Nawet na jednej uczelni, na różnych wydziałach, różnie podchodzi się do indeksów.
    Są takie wydziały gdzie wszystko jest w systemie komputerowym, a indeks to bardziej artefakt, a są i takie gdzie indeks to świętość. Są też takie, że trzeba mieć to samo w indeksie i w systemie tylko na różnych wydziałach, różnie podchodzą do tego co jest ważniejsze czy indeks czy system.

  9. U mnie na uczelni są półeczki na indeksy bez wpisów, podpisane nazwiskami pracowników (można nawet w środku zostawić prośbę o przełożenie potem do innej półeczki). Nie słyszałem nigdy by ktoś w nich kombinował na czyjąś szkodę. Jeśli chodzi o oceny, to są też w USOSie wpisywane, więc zawsze można odtworzyć.

  10. Atak Denial of Student (DoS): musi biegać i wyjaśniać ze wszystkimi prowadzącymi, przez co nie ma czasu obsługiwać żadnych żądań.
    Atak Distributed Denial of Student ma miejsce, kiedy po poprawki w indeksie trzeba jeździć po różnych wydziałach rozrzuconych po mieście.

    • To jak będzie się nazywał atak gdzie za wykładowcami trzeba jeździć po innych miastach w Polsce? ;)

    • Wtedy to już nie jest atak, tylko bug w studiach :/

    • Man in the middle: Wchodzi student do pokoju, w nim siedzą Alicińska i Bobiński, student mówi, że szuka Bobińskiego, Bobiński spokojnie odpowiada, że Bobiński przed chwilą wyszedł i będzie jutro, student wychodzi. Jak ma słaby DNS, to można historię powtórzyć ;)

  11. God save the USOS!

  12. Atak DOS na dziekanat: ukraść wszystkie indeksy i niech sobie odtwarzają dane. . .
    Gwarantuje paraliż dziekanatu na kwartał.

    • Wydaje mi się, że to raczej zrzuciliby na studentów :P “Index? Jaki index? Ja tu w szafeczce mam pusto. Widocznie starosta wziął robić wpisy” ;)

    • Jakby to był jeden-dwa to pewnie by nie uwierzyli że to kradzież. Jakby było więcej to samorząd już wynegocjował uczciwe rozwiązanie. Mając w zanadrzu argument: bo ja tu mam telefon do GIODO.

      Nie mówiąc o tym że pracownicy naukowi stojący przed perspektywą zrobienia np. 1000 wpisów z pięciu ostatnich lat, prawdopodobnie by się burzyli.

      Ale uczelnie są różne i your mileage may vary.

  13. Ręce precz od tradycyjnych uczelnianych metod komunikacji! Zacznie się od zakazu zostawiania indeksów na stoliczku, skończy na zakazie wsuwania prac w szpary pod drzwiami, a już to ze stuprocentową skutecznością sparaliżuje pracę dydaktyczną. ;)

  14. Powie mi ktos dlaczego polskie uczelnie uzywaja jeszcze indeksow? Studiuje zagranica i tutaj wszystko jest elektronicznie. Kazdy ma swoje konto i ma dostep do swoich ocen, notatek, syllabusow poprzez przegladarke. Ba! Nawet zapisy na uczelnie sa w 100% zautomatyzowane. Wystawianie ocen do jakiegos papierowego dzienniczka to moim zdaniem sredniowiecze…

    • Nie wszystkie używają indeksów papierowych. Duża część używa e-indeksu równolegle z formą papierkową (na żądanie) bądź tylko i wyłącznie w postaci np. USOSweb.

    • Niektóre z polskich uczelni są już “zachodnie” ;)

    • Ale nie będziesz miał wtedy pamiątki.

      A tak poważnie: trwałość rekordów elektronicznych (tego typu) jest wbrew pozorom mniejsza niż papierowych.

    • Studiuję od 3 lat na PWr i nie wiem co to papierowy indeks :) zapisy też odbywają się elektornicznie, nie generalizujmy, są uczelnie ‘zachodnie’ i postkomunistyczne ;)

  15. Tam gdzie ja studiuję to należy mieć indeks w wersji papierowej z wypisanymi ocenami oraz wszystko jeszcze raz powtórzone jest w systemie elektronicznym. Zniknięcie indeksu nie jest więc wielkim problemem poza tym że należałoby od wszystkich prowadzących jeszcze raz zdobyć wpisy.
    Generalnie indeksy wielokrotnie zostawiane na portierniach, w sekretariatach, przekazywane staroście itp. Dochodzimy chyba do pewnego rodzaju paranoi. Raczej po moim indeksie nic nikomu nie przybędzie. Bardziej obawiałbym się tego że te same dane kiedyś były bez żadnego zabezpieczenia umieszczone na stronie głównej wydziału.
    Szybciej ktoś to ściągnie ze strony wydziałowej i połączy z moim adresem email niż wykradnie 10 indeksów.
    Ostatnio u lekarza musiałem podpisać zgodę na głośne zawołanie mnie po nazwisku przez lekarza. Ciekaw jestem jakby mnie zapraszali do środka, gdybym nie wyraził takowej zgody.

    • W czasie rejestracji mógłbyś dostać numerek i po tym numerku mógłbyś zostać wywołany. Tak to zazwyczaj działa. Ewentualnie mógłbyś się umówić, że zawołają Cię po imieniu lub pseudonimie ;)

    • Następny!!!

  16. Mądry student (albo ten, komu ktoś to doradził) kseruje indeks po każdym semestrze, bo to prawie nic nie kosztuje a może czasami na prawdę uratować dupę :)

  17. Tylko zdobyć jeszcze jakiś kontakt do studenta i kazać mu zapłacić za poprawki na podstawione konto.

  18. Akurat przed chwilą rozmawiałem z narzeczoną o kwestii ochrony danych osobowych przez jej uczelnie ;)
    taka oto ciekawostka:
    USOS umożliwia sprawdzenie (wyszukanie) po nazwisku (już po 1 literze wskakują podpowiedzi!) informacji o dowolnym studencie uczelni, co idzie uzyskać? Imię, nazwisko, adres email (numer_indeksu@stud…), zdjęcie, historie studiowanych kierunków na danej uczelni. Czy to nie podpada pod naruszenie ochrony danych?

  19. U mnie na Politechnice Pozanńskiej – znaczy jak kończyłem parę lat temu – było tak że w indeksie nosiło się dodatkową kartę i przy wpisywaniu oceny szły jednocześnie na indeks i na kartę. Po oddaniu indeksu na koniec semestru karta zostawała w dziekanacie, a indeks wracał do studenta. W tym wyapdku wraz z utratą indeksu można stracić jedynie wpisy z bierzącego semestru.

    Btw. nie wiem czy oceny nie szły dodatkowo do jakiegoś systemu komputerowego, ale profesor też miał swoją listę na którą wpisywał oceny – i którą chyba też musiał oddać do dziekanatu w celu kontroli poprawności – własnoręczne wpisanie oceny do indeksu mogło prowadzić do sporych problemów.

  20. Jak ja się cieszę, że nie mam papierowego indeksu. Zero biegania po wpisy, jedyne, po co odwiedzam raz na pół roku dziekanat, to wlepka, co by się wozić banami za pół ceny [;

    • Dokładnie tak. Zabawa w papierowe indeksy w 2014 roku to wg mnie jakieś nieporozumienie.

  21. “Zabawa w papierowe indeksy w 2014 roku to wg mnie jakieś nieporozumienie.”

    Bo z Was takie studenty jak z koziej dupy trąba :)

  22. I indeksach zawarty jest PESEL dzieki niemu mozemy sie logowac do usosa. Po odgadnieciu lub/i zresetowaniu hasla uzyskujemy dostep nie tylko do danych osobowych ale cos wiecej. Mozemy zapisywac sie na platne kierunki lub rejestrowac na specjalnosci czy wybierac promotorow, a także mamy wglad do danych konta bankowego w przypadku pobierania stypendium… Czyli jednym slowem mozna niezle namieszac. Jesli nie usos to mamy tez nr albumu z ktorego na niektorych uczelniach loguje sie do bibliotek gdzie znowoz mamy dostep do danych os mozemy tez nazamawiac ksiazek lub porobic prolongaty, nastepnie zmienic haslo do konta i mozna naciągnać kogoś na wcale nie tak małą kasę np 10 książek powiedzmy o,60 zl za kazdy dzien po terminie i kilka stowek poszlo…

  23. U mnie na uczelni indeksy się zostawiało w koszyczku w dziekanacie. Kwestia tego, że praktycznie każdy mógł je zabrać…I dopiero na moim ostatnim roku studiów odbiór indeksu nie był już taki prosty – żeby móc dobrać się do koszyka lub szafki z indeksami, najpierw należało zostawić pani swoją legitymację i nie można było wziąć czyjegoś indeksu.
    Nie objęło mnie już na szczęście wprowadzenie elektronicznego systemu – na niektórych uczelniach mimo niego i tak mają papierologię, bo zdarzają się sytuacje, kiedy ktoś po prostu zostaje nie wiadomo dlaczego skasowany.

  24. ja pamietam ze u nas na polibudzie jak sie zgubilo indeks (ladnych pare lat temu) to po odtworzeniu z backupu trzeba bylo latac i zbierac podpisy od profesorow, w przypadku gdy ktoremus z profesorow sie zmarlo po drodze bylo to nieco problematyczne

Odpowiadasz na komentarz asd

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: