8:50
22/5/2020

Oj biedni ci studenci, PW, biedni. Wygląda na to, że osoba, która włamała się na PW i wykradła ich dane, wciąż ma dostęp do niektórych uczelnianych systemów. Właśnie ujawniła nowe informacje i zrobiła to w przez… stronę Gitlaba Wydziału Mechatroniki PW. Z konta administratora…

Krótkie przypomnienie

Przypomnijmy, 4 maja informowaliśmy o wycieku istotnych danych z Politechniki Warszawskiej. Widzieliśmy plik SQL, w którym  znajdowało się mnóstwo informacji o studentach, a wśród nich PESELe, numery dowodów i nazwiska panieńskie matek. Bardzo cenne dane. Potem trochę uspokajaliśmy niektórych studentów, bo zestaw ujawnionych danych dla każdego studenta mógł się różnić i nie każdemu wyciekło np. nazwisko panieńskie matki. Co nie umniejsza skali i powagi incydentu.

Pisaliśmy również, że osoba informująca nas o wycieku informowała także o innych, wcześniejszych atakach na system OKNO, ale rzeczniczka uczelni zaprzeczyła tym wiadomościom. Rzeczniczka uczelni zasugerowała nam wówczas, że “rozpowszechnianie takich informacji wprowadza jedynie niepotrzebny chaos informacyjny”. Wygląda na to, że chyba jednak włamywacz mówił prawdę… Właśnie podesłał nam kolejne dowody i objaśnienia dotyczące ataków. Ataków (zwracamy uwagę na liczbę mnogą).

Odpowiedź na komunikat uczelni

Informator od pewnego czasu milczał, ale teraz znów się odezwał. Udzielił nam komentarza, który zostawił… na stronie Wydziału Mechatroniki Politechniki Warszawskiej, wykorzystując do tego konto “roota” stworzone w 2017 roku. W chwili pisania tego tekstu komentarz jeszcze jest dostępny (http://git.iair.mchtr.pw.edu.pl/snippets/1).

Poniżej pełna treść jego oświadczenia.

Pani Rzecznik Izabela Koptoń-Ryniec oskarża dziennikarzy o szerzenie nieprawdziwych informacji na temat wcześniejszego wycieku przed 3 maja oraz SQLi…a później PW przyznaje, że system został spenetrowany w styczniu. Mówi, że “włamano się za pomocą backdoora” zainstalowanego z konta wykładowcy, ale nie mówi, jak na to konto włamano się. Prawda wymsknęła sie na spotkaniu z pokrzywdzonymi, gdzie powiedziano o “zmasowanych atakach” 2 i 3 stycznia, które rzekomo odparto.
Tłumaczenie:
– zmasowany atak = sqlmap
– odparto = `rm -f /var/www/html/sas/print/druk_obliczenia_osoba.php`
Gdy administatorzy odkryli, że ktoś im ściąga bazę union selectem, wtedy zareagowali. Niestety za późno – tabela “uzytkownik” została już wtedy ściągnięta, a zawierała ona (jak sami wiecie) zarówno wrażliwe dane osobowe, jak i hashe haseł – w tym do wspomnianego przez PW konta wykładowcy. Dalej wystarczyło do jednego z przedmiotów dodać “materiał dydaktyczny” z rozszerzeniem php.
Admini nie przyznali się w porę, że indentycznego backdoora (Predator webshell) wykryli już w lutym/marcu i też po cichu skasowali.
PW odnosi się w FAQ do obowiązku archiwizowana danych studentow przez 50 lat, ale to tylko zmyłka – obowiązek ten w brzmieniu ustawy dotyczy teczek akt osobowych, a nie bazy SQL w OKNO. Dane, które wyciekły nie zostały zarchiwizowane (poza “sposobem” opisanym przez ZTS) , a ich zakres wykraczał poza to, co jest niezbędne do prowadzenia działalności dydaktycznej zgodnie z obowiązujacymi przepisami.
Jak zauważył Niebezpiecznik, rekordy różnych studentow zawierały różne zestawy poufnych danych, co pokazuje, że PW wyłudzało od nas i przechowywało bez należytej starannosci wszelkie wrażliwe dane osobowe na jakich tylko udało im się położyć rękę.
Dziekanaty domagały się też kopii dowodów osobistych, których w ogóle nie wolno im legalnie żądać. Jakiekolwiek próby prostestow przeciwko naruszeniu praw studentow lub przeciwko jakimkolwiek innym nadużyciom ze strony administracji PW na jakimkolwiek szczeblu kończą sie ripostą “jesli nie pasują Panu takie warunki, to nie ma Pan obowiazku bycia studentem”. To powiedzenie znane jest
na każdym z wydziałów.
Wisienką na torcie jest fakt, że te wszystkie wrażliwe dane znajdowały się na jednej maszynie z systemami dydaktycznym oraz…stroną główną OKNO. Maszyna ta działająca pod kontrolą Oracle Ubreakable Linux była zwyczajnie dostępna z Internetu, więc dostęp do danych nie wymagał penetrowania sieci wewnętrznej. Poza tym wielu pracowników PW miało dostęp do maszyny przez SSH co pozwalało im na uzyskanie danych prosto z bazy poprzez login i hasło, które mogli odczytać z konfiguracji aplikacji RED.
PS. Gitlab nie był aktualizowany od 3 lat.

Jeśli wierzyć informacjom od włamywacza (a do tej pory wszystkie się sprawdziły), to do pierwszego ataku na system uczelni wykorzystał dostępne darmowo narzędzie sqlmap (więcej na jego temat możesz przeczytać w drugim odcinku naszego Niebezpiecznikowego Poradnika Pentestera).

To wystarczyło, aby namierzyć błąd, przy pomocy którego pozyskana została tabela użytkowników systemu. Choć wygląda na to, że nie “cała” baza wtedy wyciekła. Administratorzy mieli przerwać atak kasując dziurawy plik zawierający wykorzystywany do wykradzenia danych SQL injection. Pomimo tego dość brutalnego sposobu łatania przez kasowanie, informacje znajdujące się we fragmencie wykradzionej bazy pozwoliły atakującemu na uzyskanie nieautoryzowanego dostępu do konta jednego z pracowników PW. A ten miał dostęp do systemu OKNO. Korzystając z jego uprawnień na serwer włamywacz wgrał webshella (i chyba to jego rzeczniczka PW nazywa “backdoorem“).

Włamywacz twierdzi, że wcześniejsze webshelle niż ten wykorzystany do ataku 3 maja administratorzy zauważyli i skasowali. Jeśli po samym ataku SQL injection ktoś tego nie wykonał, to na tym etapie naszym zdaniem to już obowiązkowo powinno się poddać serwer gruntownej analizie powłamaniowej. Nie może być tak, że webshelle pojawiają się “znikąd”. Domyślamy się, że kolejnego webshella administratorzy przeoczyli i 3 maja doszło do ataku, który opisaliśmy w artykule 4 maja.

Błędem nie tylko SQL injection…

Ciekawa jest też część oświadczenia włamywacza dotycząca dostępów do maszyny na której hostowane były dane. Pisze on, że wielu pracowników PW mogło poprzez połączenie SSH bezpośrednio uzyskać dostęp do bazy z danymi studentów, o ile odczytaliby login i hasło z plików konfiguracyjnych RED, do których mieli uprawnienia.

Takie przeoczenie, jak i “zbyt wielu użytkowników na systemie przetwarzającym istotne dane” to częsty błąd jaki obserwujemy podczas wykonywanych przez nas testów penetracyjnych, ale też dość prosty do wyłapania. O ile system się testuje. Tu chyba tego zabrakło, co z jednej strony jest zadziwiające patrząc na dane jakie system zbierał, a z drugiej — nie do końca — patrząc na to jak polskie uczelnie podchodzą do przetwarzania danych studentów.

Przyznajemy też rację włamywaczowi co do kopiowania dowodów osobistych. Robiono to na podstawie rozporządzenia, które nie jest już aktem obowiązującym. Mimo to wiele osób obserwowało kopiowanie dowodów na uczelniach bez podstawy prawnej i trzeba przyznać, że trudno tę praktykę jakkolwiek uzasadnić. Krytykowaliśmy ją wielokrotnie w naszym uczelnianym cyklu wpadek. Nie raz też słyszeliśmy od studentów, że wszelkie skargi na przetwarzanie ich danych są kwitowane tekstami w rodzaju “nie ma obowiązku studiować”.

W sprawie niniejszego oświadczenia włamywacza umieszczonego w sposób nieautoryzowany na kolejnym systemie Politechniki Warszawskiej już przesłaliśmy pytania do jej rzeczniczki. Czekamy na odpowiedzi. Ale od razu zaznaczymy, że naszym zdaniem ujawnienie tej informacji nie tworzy “niepotrzebnego chaosu informacyjnego”. A raczej pokazuje, że chaos po stronie PW nie został jeszcze w pełni uporządkowany…

Aktualizacja 12:36
Atakujący odpisał na nasze pytania, a pytaliśmy m.in. o to, z kim podzielił się bazą i czy gdzieś ją umieścił:

Na razie podzieliłem się danymi wyłącznie z dziennikarzami.

Zapytaliśmy też, jak ocenia poziom bezpieczeństwa teleinformatycznego Politechniki Warszawskiej:

Jak zauważają komentatorzy, działa tam wiele systemów opracowanych przez wykładowców i studentów. Poza tym wielu administratorów pracuje za śmieszne pieniądze. Wielu z nich to studenci/doktoranci, którzy nigdy nie pracowali poza PW. Mnóstwo rzeczy trudno im jest poprawić nawet jeśli chcą i wiedzą jak, bo brakuje budżetu. “Działa, to nie ruszaj.” Tymczasem pod koniec każdego roku trwa znane z budżetówki paniczne wydawanie pieniędzy na rzeczy niepotrzebne, “bo jak nie wydamy, to za rok dadzą mniej”. Te pieniądze dałoby się wykorzystać na poprawę wielu rzeczy, nie tylko stanu infrastruktury IT, ale to wymagałoby lepszego planowania. Większość problemów PW pochodzi ze struktur administracyjnych – bycie zasłużonym naukowcem nie kwalifikuje do zarządzania złożoną organizacją.

Aktualizacja 12:50

Rzeczniczka PW Izabela Koptoń-Ryniec przesłała nam poniższe oświadczenie. PW podtrzymuje stanowisko, iż wcześniej nie było incydentów podlegających zgłoszeniu do UODO choć dodaje, że nie oznacza to, iż ataków nie było w ogóle.

Szanowny Panie Redaktorze,

w przedmiotowej sprawie dochodzenie prowadzi prokuratura okręgowa, stąd nie możemy ujawniać szczegółów, które mogą jej bezpośrednio dotyczyć. Niemniej informowaliśmy redakcję Niebezpiecznika, że „Wcześniej nie było żadnych incydentów z wyciekiem danych osobowych podlegających zgłoszeniu do UODO. Nie polegają więc na prawdzie twierdzenia, że włamania do systemu i wycieki następowały kilka razy, a osoby administrujące systemem zatajały te fakty.” Powyższe stwierdzenie nie oznacza, że takich ataków nie było.

W przypadku bieżącego incydentu poinformowaliśmy zainteresowanych, zarówno na czacie, w którym uczestniczyło blisko 250 osób, jak i za pośrednictwem FAQ na stronie internetowej PW, o analizie audytora potwierdzającej zainfekowanie niepożądanym plikiem z backdoorem. Potwierdziliśmy również, że „w styczniu nastąpiło włamanie na konto jednego z wykładowców i w ten sposób został zainstalowany niepożądany plik”. Szczegóły zostały przekazane Wydziałowi ds. Walki z Cyberprzestępczością Komendy Stołecznej Policji, stąd też nie możemy się odnieść bardziej wyczerpująco do Pańskiego zapytania. Proszę mieć także na uwadze fakt, że Politechnika ma w sprawie status poszkodowanego. Jednocześnie dziękujemy redakcji Niebezpiecznika za zadawane pytania i rzetelne przekazywanie informacji.

Politechnika Warszawska dokłada maksimum starań, aby dane osobowe studentów i pracowników były przechowywane i przetwarzane w sposób zgodny z najwyższymi standardami. Wyjaśniam ponadto, że różnice w ilości gromadzonych danych determinowane były zmianami przepisów dotyczących dokumentowania przebiegu studiów na przestrzeni ostatnich lat.

PS. Dane wyciekają. Nie tylko z systemów uczelnianych. Ostatnio opisaliśmy dość wiele wycieków i nic nie wskazuje na to, że sytuacja się zmieni. Po prostu coraz więcej systemów przetwarza nasze dane, a nie zawsze ktoś odpowiednio opiekuje się tymi systemami lub czasem nawet z otoczonego opieką systemu na skutek nieprzewidywalnego błędu dane wyciekną. Spodziewamy się, że do końca roku o wielu nowych wyciekach. Prawdopodobnie będą w nich i Twoje dane. Warto wiedzieć, jak na taki wyciek poprawnie zareagować: co należy zrobić niezwłocznie, a co raczej nie ma sensu. Tylko takie, praktyczne i sprawdzone przez nas w boju rady znajdziesz w nagraniu naszego webinara o wyciekach danych. Z kodem BIEDNISTUDENCIPW, tylko do końca weekendu obejrzysz go w cenie 39 PLN.

Przeczytaj także:



64 komentarzy

Dodaj komentarz
  1. “co pokazuje, że PW wyłudzało od NAS i przechowywało bez należytej starannosci wszelkie wrażliwe dane osobowe na jakich tylko udało im się położyć rękę.”

    Czyli, że student lub były student PW :)

    • A może po prostu chciał zwieść policję z tropu? Nie sugerowałbym się tym.

    • Biorąc pod uwagę liczbę studentów PW, która jest należy do największych i najstarszych uczelni w Polsce niespecjalnie zawęża to liczbę podejrzanych.

      :-D

  2. A może wcale nie student tylko sfrustrowany pracownik.

    • Nie zdziwiłabym się, skoro wspomina o bezsensownym wydawaniu środków z budżetu zamiast planowania potrzebnych wydatków.

    • Nie koniecznie. Nie rzadko zdarza się, że wykładowca znający pewne szczegóły dotyczące pracy uczelni dzieli się tymi informacjami z bardziej lubianymi przez niego studentami.

  3. Czekamy na kolejne uczelnie :)

  4. Co sprowadza się do tego, że wziął w swoje ręce żenujące podejście PW. Brawo ten Pan/Pani!

    • Z jednej strony brawo, że ktoś obnażył haniebne praktyki PW. Z drugiej strony jeśli wyciekły też wszystkie Twoje dane to takie trochę pyrrusowe zwycięstwo. Także nie ma się tu z czego cieszyć.

  5. No cóż, na pewno nie skłania to do podjęcia studiów na PW na kierunkach związanych z bezpieczeństwem sieci informatycznych.
    A arogancję dziekanatów politechniki ze stolicy może w końcu zmienią pozwy sądowe.
    W końcu przysłowiową “Panią Krysię” każdy może zagrać na smartfona w dzisiejszych czasach.

    • Tak, bo prowadzący zajęcia i wykładowcy zajmują się zabezpieczaniem systemów na swojej uczelni

    • Jak coś:

      Na MiNI (Wydział Matematyki i Nauk Informacyjnych) parę lat temu była inżynierka w formie pentestu. Treść jej jest utajniona, więc nie można podejrzeć co było, ale ponoć trochę tego było i załatano. (Opowiadał tak prowadzący z Laboratoriun MiNI)

      Lab MiNI narzekał też od początku na centralne maile (przypominam o sprawie maili z hasłem przewidywalnym bez możliwości zmiany) i inne bzdury COI.

      Systemy MiNI są oddzielne od COI, chociaż w pewnym momencie było coś, że maile wydziałowe mają w (niby niedalekiej) przyszłości przestać istnieć i wszystko ma być przez te dziurawe maile centralne, bo tak ktoś centralnie zarządził.

    • @Damian zdziwiłbyś się. U mnie na wydziale (było to co prawda 15 lat temu…) cała sieć, serwery, wszystko, było zaprojektowane i postawione przez wykładowców i studentów.

    • No właśnie @Marek, zaprojektowane i postawione 15 lat temu i od tamtej pory nikt do tego nie zaglądał… Chyba nie myślisz, że wykładowcy będą z dobrej woli pracować za darmo na etacie i utrzymywać systemy uczelni?

    • Tego bym nie powiedział. Władze wydziałowe a uczelniane to dwie zupełnie różne sprawy. Sam mam na wydziale bardzo sensowną, idącą na rękę kadrę, a to że na poziomie ogólnouczelnianym na PW panuje burdel i pożoga to prawda i panuje ona od dłuższego czasu. Tak czy inaczej, jeśli chodzi o jakość nauczania, to zależy od wydziału, a nie od tego, który zblazowany Zdzisiek czy Zbyszek jest adminem bazy OKNO.

    • @Damian, na MiMUW przynajmniej częściowo tak jest.

  6. Technicznie najlepsi!

  7. ” Widzieliśmy plik SQL, w którym znajdowało się mnóstwo informacji o studentach, a wśród nich PESELe, numery dowodów i nazwiska panieńskie matek.”

    Nie żebym przesadnie ufał mojej uczelnie, ale na jednym ze spotkań pracownik CI wspominał, że żaden z rekordów w bazie nie zawierał nazwiska panieńskiego matki, pomimo, że istaniało takie pole w tabeli.

    • CI? Dlaczego pracownik CI miałby się wypowiadać na temat danych z systemu OKNA? Systemy OKNA są w kompetencjach OKNA, CI nimi nie administruje.

  8. Studiowałem na PW i temat skanowania dowodów jest wałkowany od lat. Nawet po zmianie prawa gdzie było dużo informacji o tym, że jest zakaz skanowania dowodów i np. wypożyczalnie sprzętu narciarskiego nie mogą tego robić, Pani w dziekanacie na mój sprzeciw powiedziała, że decyzją rektora dowody dalej mają być skanowane.

    Kolejna rzecz to hasła w bibliotece PW które zanosiło się na karteczce, żeby Pani przy komputerze je wprowadziła.

    Tak samo znany jes temat maili grupowych na które jeszcze w moich czasach były wysyłane wyniki egzaminów i kolokwiów.

    Obecnie jestem przekonany, że uczelnia dalej ma nasze skany dowodów…

    • > Studiowałem na PW i temat skanowania dowodów jest wałkowany od lat.

      Niestety, ale do niedawna ustawa “Prawo o szkolnictwie wyższym” wprost NAKAZYWAŁA przechowywać kserokopię dowodu lub paszportu każdego, kto zostawał studentem.

      Wiele jest, niestety, jeszcze takich przepisów w prawie polskim, gdzie przewiduje się przechowywanie skanów dokumentów tożsamości. Na przykład przy dopisywaniu się do rejestru wyborców (nie mylić ze spisem wyborców – to co innego).

    • Hasła na karteczce to standard. Plain-textem leży w bazie czy pliku. Panie z biblioteki po zapytaniu o numer indeksu (nie pamiętam czy choćby legitkę sprawdzano!) notują hasło na kartce i wręczają kartkę (żeby chociaż bezbłędnie, sic!)

    • Moje doświadczenia z pewnej uczelni technicznej na północy kraju ( ;-) ) są takie, że ksero dowodu osobistego trzeba było załączyć samorządowi doktorantów do każdego wniosku o stypendium doktoranckie (tj. 1-2 kopie co roku). Na pytanie po co im to, usłyszałem, że kwestura sobie życzy, bo czasem przy zlecaniu przelewu wyskakuje im 2 studentów o takim samym imieniu i nazwisku, to wtedy sobie sprawdzają po kopii dowodu (sic! Nie żeby można było np. sprawdzić numer indeksu).
      Mój znajomy co roku musiał też dostarczać akt zgonu jednego z rodziców (co może i ma sens – wydarzenia z Ziemi Świętej 2000 lat temu dowodzą przecież, że wskrzeszenia i zmartwychwstania się zdarzają)
      Hasło do konta bibliotecznego było przechowywane plaintextem – wyświetlało się Paniom (z resztą sympatycznym i Bogu ducha winnym w tej sytuacji) na monitorze po włożeniu ELS do czytnika. Z resztą defaultowe hasło = PESEL i chyba mało kto je zmieniał.
      Przez wiele lat system zamawiania książek bibliotece miał też taki ficzer, że w przedostatnim okienku (po wybraniu książki, miejsca odbioru itp) wyświetlał się zagwiazdkowany nr indeksu – podmienienie go na dowolny inny numer skutkowało zamówieniem książki na konto innego studenta/pracownika.
      Ale trzeba przyznać w ostatnich latach “sytuacja informatyczna” na tejże szacownej uczelni się poprawiła znacznie.

  9. Problem jest i to na pewno. Nie tylko na PW, nie tylko na innych uczelniach, ale w większości instytucji przetwarzających nasze dane. Ale mam wrażenie, że ktoś tu odwraca kota ogonem. No i te płatne webinary…

    • Trochę nie rozumiem twojego komentarza. Kto odwraca kota ogonem i co jest złego w dzieleniu się wiedzą za pieniądze?

  10. O złożyli całe mech.pw.edu.pl i mchtr.pw.edu.pl, więc chyba żarty się skończyły.
    Chętnie bym zobaczył jakieś retro po tym włamie. Całkiem ciekawie się zapowiada :)

  11. Oj coś mi się wydaje że były pracownik/student lub coś w ten deseń. Zrobił te zamieszanie w dobrej intencji żeby się ogarneli skoro pisze w taki sposób.

  12. Tę prowizorkę powinno się ukarać olbrzymią karą, wyższą od kary na Morele. Tylko to się nie zdarzy, bo to państwowy “burdel” i sami sobie płacić nie będą. Dlatego nic się nie zmieni..

  13. To tak nie dziala. “Nie ma obowiazku studiowac” moze powiedziec odpowiednio upowazniona osoba reprezentujaca szkole PRYWATNA.

    Politechnika, nie jest “za darmo” – studentom oplacaja ja panstwo / polacy, przy zalozeniu ze ci ludzie beda pozniej oddadza wydane na nich srodki, z nawiazka w podatkach i koncumpcji oplacanych z ich wydajniejszej (szkola wyzsza) pracy.

    Sam to zauwazylem, bo takich patologi jest wiecej – jak ten caly cyrk ze stypendiami, dodatkowymi kosztami, warunkami bytowymi (akademiki, stolowki) ktorze niektorzy wykladowcy/uczelnie wykorzystuja zeby czlowieka upodlic.
    Prawdopodobnie, kozyscia dla *wszystkich* skonczylo by sie gdyby studenci, w relacjach z takimi patologiami, podniesli sie z klęczek i zaczeli cha*ow (skrywajacych sie pod pudrem wyzszej edukacji, wsrod profesorow/wykladowcow/rektorow/dziekanow etc.) prac po ryj*ch.

    *oczywiscie wszystko w ramach prawa :p

  14. Ps. Odnosnie pracujacych absolwentow chodzil mi o to, ze jesli uczelnia z czystej glupoty (marne zabezpieczenia *i* nadmierne gromadzenie danych) wypuszcza dane studentow, to ci zamiast pracowac beda sie bujac latami po sadach jesli nie spiernicza s kraju od razu (a trzeba powiedziec, ze i bez takich “incentyw”) trudno ich w polsce utrzymac.

    PsPs. @Niebezpieczniku
    Ja niewiem czy uczelnia techniczna moze sie tlumaczyc tym, ze to studenci, doktoranci kiepsko oplacani administratorzy odwalaja tego typu kwiatki. Bo jak dla mnie to wyglada na przyslowiowa rybe psujaca sie od glowy, gdzie czesc urzednicza ma wszystko i wszystkich w du*.
    To nie jest tak, ze w warunkach uczelnianych nie da sie systemow IT wykonac dobrze, bo to wlasnie jest jeden z elementow, charakterystyk dobrej uczelni – poniewaz odpier* fuszerke moze KAZDY, nawet najbardziej niekompetentny samouk. Techniczny tytul naukowy jest tym wlasnie co mowi:
    Te dodatkowe pare literek przy nazwisku wraz z papierkiem od nas, oznaczaja, ze “most sie nie zawali” a nie, ze “uda sie go wybudowac” – BO W TYM CELU WLASNIE ZOSTAL STWORZONY SYSTEM WYZSZEJ EDUKACJI. Nawet dzikus potrafi most [b]wybudowac[/b], a jesli jest wystarczajaco ogarniety to nawet w pierwszym podejsciu.

    • Powiem nawet wiecej, uczelnia powinna byc zabezpieczona w sposob nieosiagalny dla wiekszosci biznesow, poniewarz DOSTAJE PIENIADZE ZA TO, ŻE LUDZIE PRACUJA NA JEJ RZECZ!!! przeciez to jest absolutna osobliwosc ekonomiczna, gdzie i zyski i koszta (wartosc, nie monetarnie) potrafia byc dodatnie!

      Patologiczna organizacja funkcjonowania doprowadzajaca do takich cyrkow, absolutnie niszcza autorytet PW i moja wiare w kompetencje osob tam pracujacych.

    • poniewaŻ

    • @openworld
      Skad wiesz jakie tam mialo byc slowo? Przeciesz moglem pomylic sie piszac: poTwarz :p

  15. Problem leży w tym, że w Polsce nadal mamy komunizm.
    Powyższa opinia wcale nie jest niezwiązana z problemem, jak najbardziej jest.

  16. Nie widzę wśród komentarzy krytyki tchórzliwego złodzieja danych?! Moralizatorzy się znaleźli. Nie do takich serwerów się włamywano.

    • @Robert
      > Nie widzę wśród komentarzy krytyki tchórzliwego złodzieja danych?!
      > Moralizatorzy się znaleźli.

      Zebrali o wiele za duzo danych – wina PW
      Praktycznie ich nie zabezpieczyli – wina PW
      W momencie kiedy doszlo do włamaŃ wielokrotnie zlali sprawe – wina PW

      Te dane w stanie faktycznym mozna bylo uznac, za skradzone jeszcze zanim dorwal sie do nich ten gosciu – bo utrzymujac ten stan jedyne co uczelnia robila to w sposob losowy wybierala KTO te dane ukradnie.

      > Nie do takich serwerów się włamywano.
      Takich czyli jakich? I skad ci sie wzielo wlamywanie?

      Pozatym administrowales tymi serwerami i jestes specem od IT security?
      Jesli NIE, to skad mozesz wiedziec?
      Jesli TAK to jakie masz usprawiedliwienie na to ze tak sp* robote?

    • @Robert, że co??? Jestem przekonany, że gość alarmował w PW, że coś jest nie tak, ale go olali! Zrobił to żeby zwrócić uwagę dziennikarzy. W artykule jest, że nikomu nie przekazał bazy.

    • A czemu mielibyśmy go krytykować? W normalnym kraju dostałby za to dobrze płatną pracę na rzecz instytucji państwowych. Po pierwsze- lepiej, że wbił się prawdopodobnie były student, który jak twierdzi- nie udostępnił tych baz na sprzedaż tylko przekazał dziennikarzom dzięki czemu dane stały się w dużej mierze bezużyteczne, bo poszkodowani dowiedzieli się o wycieku bazy w czasie krótszym niż 24h. Wole już fakt, że on się włamał a nie jakieś obce służby (absolwenci mogą przecież później pracować np. w wojskach obrony cyberprzestrzeni czy w kluczowych branżach) albo jakieś grupy hakerskie które by zrobiły wszystko po cichu i bazę sprzedały a studenci zapewne dowiedzieliby się o tym fakcie od komornika. Jego włamanie wbrew pozorom zapobiegło dużo większemu niebezpieczeństwu i zwróciło uwagę opinii publicznej, więc czemu mielibyśmy się nad nim znęcać w komentarzach?

  17. Biblioteka Uniwersytetu Gdańskiego: miła pani w wypożyczalni zmusza do zmiany hasła poprzez napisanie go na kartce żeby ona je ustawiła XD

    • Tak niestety standardowo działa izraelski Aleph, często gęsto stosowany na polskich uczelniach.

  18. Jak żyć? Przecież nie można dawać danych prosto w ręce osób niepowołanych, a chciałem tam iść na studia…

  19. Jakiś czas temu uzyskałem w OKNO dyplom inżyniera informatyki. Od pewnego czasu odnoszę wrażenie, że po tym wszystkim mój dyplom jest wart tyle co jego skan (ciekawe czy też wyciekł). I co robić, jak żyć? :P
    Dodam ciekawostkę: w czasie, kiedy wybierałem temat pracy dyplomowej, pośród innych był taki (cytat jest z pamięci, może niedokładny): “opracowanie modułu/wtyczki do integracji strony OKNO z Facebookiem”. Ciekaw jestem, czy został zrealizowany…

  20. Droga Redakcjo!
    Pracuję na uczelni. Nie PW, inna. Jakich argumentów mam użyć, żeby przekonać szefa, że warto kupować audyty i testy penetracyjne? Bo podejście jest typu “może kiedyś, jak już wszystko ogarniemy” + wyczuwalna obawa “a co by było, gdyby rektor się dowiedział, że jest słabo?”
    Może straszyć konsekwencjami? Bo kara od UODO, to chyba pryszcz w porównaniu z potencjalnymi odszkodowaniami, o jakie mogą wystąpić studenci, gdyby przez wyciek stracili forsę.

    • Pracujesz tylko na “Uczelni” czy moze na “Uczelni Technicznej” bo to jednak jest olbrzymia roznica. Jestes tam adminem czy “cywilem”? A jesli to drugie to macie tam wogole jakichs ludzi technicznych?

      Ps. Co to za podejscie: warto kupowac? Czy najpierw nie powinna miec miejsca jakas praca wlasna zanim zdecydujemy sie polewac problemy gotowka?
      Poniewaz chyba warto bylo by najpierw te systemy zabezpieczyc… Dodatkowo nie wierze ze w opisywanej sytuacji nie pojawily by sie problemy juz na etapie samodzielnie zrobionego audytu – ktorych rozwiazanie wymagaloby sypniecia kasa i tutaj nie ma problemu z otrzymaniem pieniedzy czy zmiana oprogramowania / sprzetu / uprawnien?

    • Co zmienia profil uczelni? Gwarantuję Ci, że systemów do ogarniania wszędzie jest +/- tyle samo. W dodatku jest to niezależne od tego czy jest 500 studentów czy 30000. Mniej albo więcej jest roboty dla techników od sieci i sprzętu.
      Na każdej uczelni są techniczni. Fakt, że na większych uczelniach jest więcej, u nas garstka.

      Praca własna. A myślisz, że co robimy? A może uważasz, że specjalnie partoli się robotę? Chodzi o to, że mimo dobrych chęci i zaangażowania, zawsze jest ryzyko, że coś Ci umknie, że masz nieaktualną wiedzą, że czegoś nie wiesz, że zdążysz, że coś można zrobić lepiej, że ktoś gdzieś zostawił prowizorkę i o niej zapomniał, albo nieświadomie popełni zwykły błąd. W jaki sposób chciałbyś “audytować sam siebie”? Według jakich kryteriów chciałbyś oceniać swoją wiedzę, czy już jesteś fachowcem, czy jeszcze nie i czy Twoja robota jest “pro”, czy taka sobie?
      Nie mówię, że wszyscy wiedzą, że jest słabo. Tylko próbuję wejść w głowę mojego szefa, by poznać odpowiedź czemu nie kupujemy audytów, żeby ktoś z zewnątrz spojrzał świeżym okiem. Wątpię by myślał “niee, nam to się nie przydarzy”. Uważam, że trzeba wpuszczać świeżą wiedzę, wymieniać się doświadczeniami.

      Każdy, kto uważa, że jest nieomylnym ekspertem, po prostu ma jeszcze przed sobą lekcję pokory.

      PS Szef też czyta nbzp. Ciekawe czy komentarze również? Jeżeli tak: Szefie, jeśli boimy się wpuszczać audytorów w sieć, to może testy penetracyjne? Lepiej żeby dziurę znalazła zaufana firma, niż przypadkowy człowiek z sieci.

    • Rany Boskie! Teraz zauwazylem:

      > “a co by było, gdyby rektor się dowiedział, że jest słabo?”

      To nie jest przypadkiem ciezkie naruszenie obowiazkow pracowniczych? Masz chociaz jakas podkladke, ze to szef ktory “kiedys ogartnie” bedzie odpowiadal za kary z RODO i inne pozwy, czy o tym ze masz zaniedbywac swoje obowiazki (?) powiedzial ci dyskretnie podczas rozmowy w 4 oczy o ktorej nikt poza wami nie wie? :p

    • @czuk
      > Co zmienia profil uczelni?
      Roznica jest taka ze uczelnia nietechniczna ma na duza czesc brakow jakies usprawiedliwienie (chociaz, technicznie maja latwiej wiec olewac wszystkiego tez nie mozna). Uczelnia techniczna ma wieksza ilosc pracy ale tez znacznie wieksza ilosc ludzi, a dodatkowo strukturalne ogarniecie calosci jest czyms czego powinna uczyc, wiec byc niekompetentnym w takiej kwestii przynajmniej niewypada (patrz na do jakie jakie i ile danych wycieklo z PW – naprawde uwazasz ze zadna osoba tam pracujaca nie wiedziala, ze to bezsensowna glupota? i ani jeden student sie nie burzyl jak ich zadano?).
      Uczelni nietechniczna ma w benefitach mniejsza ilosc narzedzi i systemow, ktore dodatkowo mozna czesto ujednolicac bo roznicowanie zachodzi gdzie indziej – jako ze do analizowania i kultury pruskiej i eskimoskiej i neonazistowskiej mozna uzywac dokladnie tego samego oprogramowania i sprzetu…

      > Gwarantuję Ci, że systemów do ogarniania wszędzie jest +/- tyle samo.
      Tylko czy moze naprawde tak byc powinno? Bo to juz wyglada jak sytuacja z reaktorami w operach kosmicznych – “zawsze znajdzie sie miejsce na dodatkowy reaktor” :p a moze nie powinno. Ciezko mi zrozumiec z jakiej racji kulturoznawstwo mialo by miec tyle samo systemow mainframe i w takiej samej roznorodnosci co uczelnia techniczna o tej samej wielkosci…

      > W dodatku jest to niezależne od tego czy jest 500 studentów czy 30000.
      > Mniej albo więcej jest roboty dla techników od sieci i sprzętu.
      Jesli tak to, to co uwazasz za “scope” jest bardzo waskie, czyli tez niezbyt drogie w utrzymaniu i nie rozumiem w czym problem… Koszta rosna wraz z wielkoscia organizacji – moze sie co najwyzej wydawac, ze jest inaczej, ale to swiadczy o zlym podejsciu do tematu, bo owszem niektore rzeczy fajnie sie skaluja (np. publiczna strona www uczelni) ale dochodza do glosu pewne ograniczenia (to ze 10 razy z rzedu zapamietales 3 cyferki poprawnie, nie znaczy ze 30 na raz nie bedzie stanowic problemu). Zwlaszcza w zawodach technicznych bo sila rzeczy zwiekszanie ilosci skutkuje zwiekszaniem roznorodnosci.

      > Praca własna. A myślisz … W jaki sposób chciałbyś “audytować sam siebie”?
      1. Wiesz, a jesli nie uczysz sie jak przeprowadzic poprawnie audyt
      2. Przeprowadzasz audyt na swoich systemach
      3. Zawsze cos znajdziesz = trzeba bedzie kasy na wymiany/ulepszenia = juz o te oczywiste problemy trzeba bedzie uzerac sie z szefami = wiec co ci da powiekszenie tej listy?
      Audyt zewnetrzny oprocz bycia czyms co od czasu do czasu wartalo by sobie zafundowac, jest wrecz sposobem na unikniecie kosztow (bo to jedno z zadan ktore bez problemow mozna outsourcowac do zewnetrznej firmy, ktora tez z racji doswiadczenia przeprowadzi go lepiej i taniej).
      Pozatym: myslisz, ze o tym ze jesli nie musisz zbierac jakichs danych (ktore musisz zabezpieczyc) to lepiej tego nie robic, ktos mnie musial uczyc? Masz takie cos pomiedzy uszami (mam nadzieje ze nie jest to sznurek) – uzywaj.

      > Każdy, kto uważa, że jest nieomylnym ekspertem,
      > po prostu ma jeszcze przed sobą lekcję pokory.
      Moze i tak, ale to ze nikt nie jest nieomylny (tzw. warunek konieczny) nie znaczy jeszcze ze sie myle :)

    • @WkurzonyBialyMis90210

      Odnośnie profilu. Logika nakazuje myśleć tak jak mówisz. Rzeczywistość już niekoniecznie. Czasem decydują ci, którzy nie mają pełnej wiedzy. Czasem pewne rzeczy są hamowane przez biurokrację (przetargi). Z organizacją pracy jest różnie. IT wszędzie jest traktowane po macoszemu póki wszystko działa. Wszystko zależy od konkretnych ludzi. Temat rzeka, nie na publiczne forum.
      Nie każda uczelnia techniczna uczy informatyków. Moja nie uczy. Systemów jest więcej niż na humanistycznym uniwerku tylko o te wykorzystywane na różnych pracowniach. Mogą paść czy zostać zniszczone, ale nie ma co z nich wyciec. Nie są to żadne centra obliczeniowe – badań wymagających wielkich zasobów, u nas się nie prowadzi.

      Dodam, że część systemów, to dzieła firm trzecich. Zakładając, że te systemy same w sobie są przebadane, to zawsze jest ryzyko, że ta konkretna instancja ma jakiś błąd. Za ewentualny wyciek nie odpowie firma, tylko uczelnia.

      Nie do końca wiem jakie dane są zbierane, bo to nie moja działka. Ilość parametrów opisujących studenta ma wpływ na konsekwencje wycieku, ale nie na samo ryzyko jego pojawienia. Załóżmy, że zrobiłeś wszystko żeby to ryzyko zminimalizować. Ale masz przeczucie graniczące z pewnością, że można zrobić więcej. Tylko: nie umiesz, nie masz kiedy, nie masz czym. I dlatego:

      > Audyt zewnetrzny oprocz bycia czyms co od czasu do czasu wartalo by sobie zafundowac, jest wrecz sposobem na unikniecie kosztow (bo to jedno z zadan ktore bez problemow mozna outsourcowac do zewnetrznej firmy, ktora tez z racji doswiadczenia przeprowadzi go lepiej i taniej).

      Do tego cały czas zmierzałem. Tylko weź tu przekonaj szefa.

  21. > w porównaniu z potencjalnymi odszkodowaniami, o jakie mogą wystąpić studenci, gdyby przez wyciek stracili forsę.

    Ty piszesz o PL? Jakim odszkodowaniu?!?

    • Czyli te wszystkie fejsowe grupy typu “poszkodowani przez …” albo: “… – pozew zbiorowy”, to takie dziecięce straszenie i nigdy nikt nie dopiął tego do końca? Hmm…

    • @Czuk

      Tak, nikt nie dopiął swego i nie dopnie. Artykuł art. 102 ust. 1 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r – do 100tyś kary od UODO. Uczelnia maksymalnie dostanie 100k, więc wszyscy to oleją.

      Stracą prestiż? Żadna uczelnia w Polsce (publiczna) nie walczy o prestiż, to i tak gdzieś ludzie muszą iść na studia, wszyscy nie wyjadą za granicę i nie będzie ich stać na zmianę miasta na 2 koniec polski. Kasę w Polsce się trzepie na liczbie studentów a nie jakości.

      Kogoś głowa pójdzie? Rektora na pewno nie, zasłoni się budżetem. Szef informatyzacji uczelni zasłoni się tym, że miał 10 speców IT na pół etatu i minimalny budżet i to zgłaszał. Poleci najprędzej ziomek, który za 3200 brutto pracował nad łataniem tego co padło (mając 10 innych systemów na głowie).

      Pozew zbiorowy o straty? Będą musieli wykazać straty. Uczelnia poprosi Państwo o pożyczkę – Polska nie pozwoli żeby uniwerek upadł więc sypnie. Oberwą ludzie po pensjach, w tym ci od IT i administracji głównie, więc będzie jeszcze gorzej. Rektorzy i profesorzy mają poziom pensji gwarantowany ustawą.

      Tak wyglądają realia dla kogoś kto wie jak wyglądają polskie Uczelnie…

  22. Mam nadzieję że przywalą im kare jak morele w końcu mają płatne kierunki to i obrót można wyliczyc

  23. Żarty. Znam profesora uczelnianego informatyki. Chodzie ze służbowym lapkiem wszędzie po mieście. Ma na nim jedno konto, swoje admina. Przez ten lapek ma dostęp do systemów uczelni. Kiedyś mu opowiedziałem, jak mam zabezpieczony lapek z dużej firmy. Odpowiedział, że słyszał o takich zabezpieczeniach.
    Na uczelniach jaśnie państwo nauczycielstwo wyższe jest mądre na podstawie tytułu i już nic umieć nie potrzebuje.

    • Uwierz mi, nawet z twojej wypowiedzi to nie brzmi jak cwaniaczenie tego profesora. Uczelnia po prostu nic ci nie zabezpieczy, jak masz służbowego laptopa to się ciesz.

      U mnie na uczelni wprowadzili obowiązek zamykania szafek z kolokwiami na klucz, i mamy go oddawać sekretarce. Problem jest taki, że sekretarka pracuje 7:30-14:30 pn-pt a my siedzimy czasami do 20 (zajęcia, seminaria) i także w sobotę i niedzielę. I takich absurdów jest tyle, że można by książkę napisać. Nie wolno dorabiać kluczy – a jest tylko jeden, w pokoju jest 2+ pracowników. Jak jeden pójdzie na zajęcia na 3 piętrze, to drugi już nie wróci jak zapomniał przejściówki tylko nie wiem co zrobi :D.

      Rozumiem, że w tej firmie sam instalowałeś oprogramowanie i wybierałeś laptopa? Sam sobie wszystko konfigurowałeś ;)?

      Polityka bezpieczeństwa i zasady idą od góry. Jakby każdy robił wolną amerykankę (a niektórzy robią) to może być z tego więcej problemów niż pożytku. Zasad i polityki nie ustalają profesorowie tylko administracja uczelni – ergo, to ona źle funkcjonuje. Wiem, że dla Ciebie może to wszystko jedno – ale w administracji pracują ludzie od lat 80 za 2600 i “czy się stoi…”, do tego mają status praktycznie niezwalnialnego urzędnika. Większość administracji robi strajk włoski od 20 lat bym powiedział ;).

    • @ UczelnianyRandom
      > U mnie na uczelni wprowadzili obowiązek zamykania szafek z kolokwiami na klucz
      > i mamy go oddawać sekretarce. Problem jest taki, że sekretarka pracuje
      > 7:30-14:30 pn-pt a my siedzimy czasami do 20 …

      I to jest wlasnie przyklad totalnej patologi, poniewaz uczelnia odstawia cyrki z takimi glupotami jak te kolokwia, co by im moglo okazjonalnie, marginalnie dolozyc troszke pracy – a to ze moga *zniszczyc zycie* swoim wychowankom maja gleboko w du*…
      MAJĄ PRIORYTETY!

  24. Tak jak nie ma obowiązku studiować, tak też nie ma obowiązku pracować.

  25. Widzę, że od czasów, kiedy studiowałem na CH PW, w ogólnych ramach uczelni niewiele się zmieniło. A miałem o tyle szczęście, że:
    – byłem przy wdrażaniu bazy bibliotecznej Aleph- mogłem sam sobie ustawić hasło i wymusić zmianę raz na pół roku (częściej nie trzeba było, bibliotekę główną odwiedzało się raz na semestr, pozostałe książki brało się z wydziałowej).
    – widziałem jak najpierw stawiano pierwsze serwery wydziałowe (samodzielnie studenci i wykładowcy): najpierw Novell Netware 3, potem podział na dydaktyczny, sieciowy i uczniowski: dydaktyczny Slackware plus wirtualny NT, sieciowy cały czas Novell, uczniowski Slackware. Na każdym wymuszona zmiana hasła co miesiąc, login wymyślony samodzielnie, cała łączność po SSH i https
    Najgorsze, że było to prawie ćwierć wieku temu, mam nadzieję że dalej prowadzą własną politykę bezpieczeństwa.

  26. “Tymczasem pod koniec każdego roku trwa znane z budżetówki paniczne wydawanie pieniędzy na rzeczy niepotrzebne” oj tak….skąd ja to znam

  27. Kto pracował / pracuje jako admin na uczelni ten się w cyrku nie śmieje. Rola absurdów jest tak duża, że co poniektórym by się styki popaliły jaka może być prowizorka i brak inwestycji w it.

  28. Mechatronika zdjęła z sieci wszystkie systemy oprócz strony głównej, ale w Internetach nic nie ginie:

    https://web.archive.org/web/20200522072328/http://git.iair.mchtr.pw.edu.pl/snippets/1
    https://web.archive.org/web/20200521225108/http://git.iair.mchtr.pw.edu.pl/snippets/1/raw

  29. Większość ataków pochodzi od wewnątrz, to jest sfrustrowany pracownik. Może to jedyna metoda dla i tak już zgniłego systemu, na wymuszenie zmian.

  30. A teraz leży portal moodle

    https://kursy.okno.pw.edu.pl/inz/my/

    Wykryto nieprawidłowe uprawnienia folderu $CFG->dataroot. Administrator musi naprawić ten problem.

  31. Chyba tego nie było. Politechnika Warszawska uruchomiła serwis, w którym można sprawdzić czy jest się ofiarą wycieku. Podaje się imię oraz wybrane znaki z numeru dowodu osobistego (ważne: musi to być TEN dowód, który został podany PW, a nie aktualny – dowód ma ważność 10 lat).

    https://www.ci.pw.edu.pl/incydent_okno/

    wklejam Archive na dowód, że było coś takiego, jakby zniknęło:
    https://web.archive.org/web/20200615000000/https://www.ci.pw.edu.pl/incydent_okno/

  32. […] nie zadowoliła włamywacza i w kolejnym ataku wszedł w polemikę z rzeczniczką uczelni …na zhackowanym gitcie jednego z wydziałów. Wisienką na torcie był wyciek danych z systemu zapisów na studia PW, choć nie mamy informacji, […]

Odpowiadasz na komentarz M.

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: