21:23
27/6/2016

Jeden ze studentów udostępnił autorski skrypt, korzystający z błędów w systemie ERES służącym do obsługi studiów. Za jego pomocą, jedynie po podaniu imienia i nazwiska danego studenta, zobaczyć można zadeklarowane przedmioty, postępy w toku studiów (średnia, promotorzy etc).

eres

Student utrzymuje też, że jest w stanie złożyć/zmodyfikować deklaracje semestralne wszystkich studentów wydziału.

ss1

eres2

Wszystkim niezdrowo zainteresowanym bezpieczeństwem IT studentom polecamy uwadze ten artykuł, a bohaterowi wpisu ten post ;-)

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

55 komentarzy

Dodaj komentarz
  1. Cały system ERES woła o pomstę do GIODO więc w sumie się nie dziwię.

    • Czyli co- USUS ma jakiegoś sensownego konkurenta w kwestii dziadowizny?

    • W 1994 nie było GIODO.

    • Ale aktualnie jest :)
      A ERES nadal jak był dziurawy tak pewnie jeszcze trochę będzie :)

    • Student pisał, na czymś musi się uczyć. Po tem pracuje dla Nabino.

  2. a gdzie część “studiuje na Elce, co robić, jak żyć?” ? :P

    • Jak na Elce studiujesz, to wiesz.

    • nic colego nie zrobisz, możesz ewentualnie postarać się o lepszą średnią w przyszłym semestrze.

    • Już to zdjęli chyba kolezka będzie miał duże problemy. A szkoda sobie tak życie przejebać

    • Właściwie, jeśli bugów jest więcej, to i w przeszłym semestrze można by postarać się o lepszą średnią…

    • Iść się napić. Nic nie zrobisz.

  3. I pomyslec ze od czasow jak studiowalem niewiele sie tam zmienilo. Wprowadzono go gdzies w okolicach 1997 czy 1998 a formatki dalej podobne…

    • Żeby tylko formatki :) W bebechach też pewnie się nic nie zmieniło. Swoją drogą chciałbym napuścić na siebie ERESa i jakiegoś UXowca-hipstera – jestem ciekawy, kto by pierwszy zszedł :)

    • W 1994 dokładnie, przy czym część znana jako dzisiejszy Eres (webowa obsługa rejestracji, postępów itp…) niecałe dwa lata później.

    • nie niewiele tylko nic. ERES jest taki sam od 96 roku podobno z drobnymi zmianami :D

  4. Co za idiota. Zamiast zgłosić sprawę uczelni, publikuje skrypt, i teraz każdy może skorzystać z tej podatności, w tym po to, żeby ściągnąć dane autora skryptu. Nie zdziwię się, jeśli uczelnia wytoczy mu sprawę. Gość raczej nie ma szansy jej wygrać.

    • Na szczęście nie udostępnił tego skryptu publicznie. Jedynie link do jego strony (umieszczonej na serwerze wydziałowym) :D

    • Naprawdę uważasz, że zgłoszenie by cokolwiek dało?

    • A próbowałeś kiedyś zgłosić? Bo ja nieraz. I to różne szkoły, uczelnie itd. Zresztą jeśli czyta to jakiś blackhat, który się bawił stronami i systemami polskich uczelni, to będzie wiedział, że to takie crackme – poziom początkujący. Błędy są zgłaszane, informatycy to mają w dupie.

    • Errata: niekoniecznie informatycy mają to w dupie, nie chcę jechać po niewinnych – przepraszam. Są też tacy, którym za to nie płacą (mają inne obowiązki, a od systemów/aplikacji nie ma nikogo) czy częste sytuacje, jak w poście “Turley 2016.06.27 21:59”

    • @Krzysiu @Imię nawet jeśli uczelnia to olała, to uważasz, że to taki zajebisty pomysł publikować ten skrypt? Niczego w ten sposób nie naprawi, a tylko będą wycieki danych. Głupio zrobił i tyle, a sądząc po jego poście, nie zdaje sobie sprawy z wagi sytuacji, choć powinien, skoro siedzi w temacie. Wszystko dla 5 minut fejmu.

      @Marcin link do jego strony, na której jest dostępny ten skrypt, jak rozumiem? ;p

  5. polecam trochę bardziej mu zamazać awatar bo idzie w mig kolesia znaleźć po imieniu i pikselach….

  6. Dla pełnego przekazu warto dołączyć list jednej z osób odpowiedzialnych za system, popularny dwa lata temu na FB:
    “Szanowny Panie,

    ostatnie zmiany w dostępie do systemu przez serwis WWW były robione jakieś 10 lat temu!!!!

    system jest bez autorskiej opieki jakieś 18 lat (ostatnia zmiana dostępu przez WWW była też związana z bardziej restrykcyjnymi
    zasadami bezpieczeństwa, widocznie nikt do tej pory nie zauważył ponownych problemów — ja też, z powodów oczywistych NIE KORZYSTAM z tego serwisu ;-))!!!

    ja nawet nie mam dostępu do ,,bebechów” systemu.

    TO CUD, że jeszcze to działa!!

    proszę pokazać mi jakiś system informatyczny działający od ok 22 lat w zasadzie bez żadnych fundamentalnych przeróbek, związanych choćby ze zmieniającym się otoczeniem.

    ja nie mam żadnego wpływu na działanie (bądź nie) systemu ERES

    jak wiadomo próba zbudowania nowego systemu zarządzania, podjęta przez konsorcjum paru GIGANTÓW branży informatycznej
    spełzła na niczym (dla ustalenia uwagi system ERES postał siłami dwu par rąk i około 6 głów).

    Macie swoich przedstawicieli w Radzie Wydziału, więc może podnieście tą kwestię na jej forum — ja mam czasami ochotę
    coś powiedzieć, ale jako współautor istniejącego systemu mam zahamowania (w kontekście paru MOCNO kulejących projektów informatycznych zrobionych w Instytutucie Informatyki).

    Istniejący stan trwa od paru kadencji dziekańskich — strategia obecnego Dziekana też nie jest dla mnie jasna (mimo że jestem członkiem Rady Wydziału i uczestniczę w jej obradach).

    moje obawy są następujące, jak to DUPNIE to nie będzie co zbierać!!!

    pozdrawiam
    Włodzimierz Macewicz”

    • Dzień dobry, Panie Dziekanie.

    • ERES jaki by nie był, zawsze działał. Lepiej lub gorzej ale działał, bo zapisy zawsze były w turach dziennych. Niestety jest pełno rzeczy, które należało by poprawić na Moim wydziale. Serwery wydziałowe na szczęście zostały zmigrowane jakiś czas temu na Blade. Reszta: WiFi (dlaczego nie podpięty jest do systemu EDUROAM?), Konta+hasła (są darmowe kombajny do zarządzania całymi domenami), brak SSO, infrastruktura (rozprowadzana często na starych switchach 100Mbit), … Może teraz coś się zmienia ale nie jakoś nie chce mi się w to wierzyć.

    • > brak SSO
      Teraz już nie, wszystko leci z ldapa. Niemniej skrypt, o który w całym artykule się rozchodzi, w pewnej części opierał się na zgłoszonym przeze mnie jakiś czas temu błędzie weryfikacji dostępu do cudzych informacji właśnie przez ldap. KAŻDY użytkownik może wydać z dowolnego podpiętego serwera polecenie ldapsearch -x [poszukiwany obiekt].

    • Co gorsze może też w ten sposób zebrać całą bazę pracowników i studentów.

    • @Lukasz032, @hmm LDAP to nie SSO tylko katalog i skoro jesteś uprawiony do zalogowania się na serwer, to dlaczego nie miał byś mieć możliwości jego przeglądania. Z tego co się orientuję nie da się go przeglądać ze zdalnych hostów nawet w tej samej sieci.
      Nie pamiętam kiedy dokładnie zmigrowali na obecną architekturę, ale było to w momencie wielkiego PADU poprzednich arcystarcyh maszyn SUNowych. Osobiście nawet chętnie bym to zmigrował jako wolontariusz, bo jest to “tydzień roboty”, ale uwaga nikt nie chce nawet o tym słyszeć. Lepiej “zbudować” nową serwerownię, w której najwydajniejszym elementem będzie klimatyzacja. Jest jeszcze jeden problem, o którym nikt nie wspomina – wszystkie wydziały/instytuty PW ma wspólny NIP.

    • @q: Z tym ldap chodziło mi o to że zbyt dużo danych wypluwał, teraz już to poprawili.
      Więc to zdarzenie wychodzi na plus :)

  7. To jest system z lat 90. Wydział o dziurach był informowany wielokrotnie, ale ponoć system nie ma dokumentacji, więc nic się zrobić nie da. Co więcej, nawet studenci proponowali poprawki, ulepszenia w działaniu systemu i nic. Chyba już 20. roczka nie doczeka :) Takie realia, szewc bez butów chodzi :D

    • Programiści (ówczas studenci piszący Eresa na dyplom) zostali dawno temu doktorami, potem profesorami, a teraz już wręcz emerytowanymi profesorami. System oparty jest o Red Hat bodajże 2.x, Oracle RDBMS 7 i jeszcze parę innych hitów sezonu rocznika ’94 :)

      A szczerze chciałem napisać Eresa3 na dyplom.

  8. Phi, też na swojej uczelni mogłam zebrać takie dane, bez chwalenia się na forum. Z wiedzy trzeba umieć robić użytek.

    • fajny, merytoryczny komentarz…
      Tak stare systemy można łamać w prosty sposób: dokumentacja błędów z lat 90 jest raczej obszerna.

  9. Większość systemów na PW to samoróbki byłych studentów (eW, kwaterunek) i ich jakość naprawdę pozostawia wiele do życzenia. Myślę, że GIODO też ma tam wiele do roboty, bo dostęp do danych typu PESEL czy numer dowodu ma naprawdę wiele osób.

    • GIODO powinien się tym zająć. Znam wydziały, które zapłaciły firmom za systemy obsługi studentów, które wyglądają jak ERES, choć powstały w ciągu ostatnich kilku lat, komunikacja nie jest szyfrowana, a domyślnego hasła ani loginu nie można zmienić nigdy. Do tego hasła mają np. formę pierwsza litera imienia matki i kawałek PESELu albo numer indeksu. Nieraz po przesiadce na nowszy system, stary jest wciąż dostępny, nie wiadomo czemu. Do tego wewnątrz wydziałów niektóre mniejsze jednostki organizacyjne dla swojej wygody piszą sobie na kolanie własne systemy przechowujące dane osobowe studentów, które nie dość, że od początku są gówniane, to jeszcze po postawieniu nikt się nimi nie opiekuje.

      Ja się tylko zastanawiam, kiedy to pierdolnie, i dziwię się, że jeszcze się to nie zaczęło.

  10. W sumie dobrze. Chciałbym zeby ktos zrobil taki burdel w tym systemie zeby wszystko runelo. Jako ze system nie pozwala na cofanie zmian to moze zapisac wszystkich studentow na wszystkie przedmioty. Moze w koncu ktos by sie zainteresowal tym jak tragicznie to wszystko dziala bedac przypartym do muru… Wszystkie przegladarki placza jak widza zabezpieczenia tych systemow. Wszystko w kwestii IT na tej uczelni lezy i kwiczy. W SJO PW od dawna mozna sie logowac numerem indeksu ktory jest publiczny.

    Chociaz mam wrazenie ze biorac pod uwage skutecznosc interwencji tutaj to taka akcja spowodowalaby powrot do papierowych indeksow i deklaracji i tyle… zal.

    Szkoda mi tylko troche goscia ze wstawil to na fb jeszcze bedzie mial problemy tylko przez to.

    • No bez przesady, MiNI się jeszcze jakoś trzyma. :P (Chociaż ma swoje minusy, to system raczej ogarnięty i logowanie też.)

      SJO to rzeczywiście słabo – indeks, imię+nazwisko i wydział, czyli najłatwiej do rozpracowania przez osobę z wydziału.
      Ale: USOS (na dowolnej uczelni, po zalogowaniu) w wyszukiwarce osób po podaniu numeru indeksu podaje osobę.
      Z ERESem nie miałam do czynienia, tylko prowadzący z EiTI (uczący na MiNI) go zachwalał w porównaniu z USOSem (bo można wpisywać punkty, a w usosie tylko oceny! tak jakby chociaż te oceny wpisał jak nam obiecał).
      PW ma też centralne loginy dla studentów (wifi i od początku semestru letniego maile w domenie pw.pl), login: indeks, hasło: pesel + pierwsza litera imienia matki. Hasło niezmienialne…

    • Całą uczelnię i wszystkich studentów da się poznać korelując dane z kilku systemów:
      – numery indeksów: strony wykładowców, instytutów, Eres
      – imię, nazwisko, kierunek studiów, telefon, e-mail: Usos
      – oceny z języków, wyniki egzaminów językowych: SJO
      – numer legitymacji studenckiej po numerze indeksu: Aleph

      I jeszcze parę innych systemów wydziałowych.
      W BGPW aby dostać roota wystarczy podejść do komputera, przełączyć aktywną konsolę znaną linuksową kombinacją, po czym napisać: sudo su. Zgłoszone razy trzy po trzech kolejnych aktualizacjach OS.

    • @Łukasz – i można sobie wtedy wydłużyć termin wypożyczenia ćwiczeń z wuai na kolejny semestr? ;))

    • @Lukasz032 , nie zapominaj o zajebistym wynalazku, jakim jest tworzenie list studentów (imię, nazwisko, nr indeksu) z opisem postępów w ramach danego przedmiotu, w Google Docsach, nieraz z dostępem publicznym, które wiszą sobie latami.

  11. Zawsze mnie dziwiło, dlaczego ten system stoi na TAKIEJ uczelni.

    Kiedyś zgłosiliśmy to na jakiejś kontroli na Elce (komisja akredytacyjna z zewnątrz przesłuchiwała grupę studentów), że system ten się do niczego nie nadaje i jest niebezpieczny. Chyba nie zrozumieli o co chodzi, bo miesiąc później zmienił się layout strony uczelni na http://www.elka.pw.edu.pl :) ERES pozostał nietknięty i stoi do dziś.

  12. Chyba to musiał opracować za karę :D
    http://samorzad.elka.pw.edu.pl/wp-content/uploads/2015/01/poradnikERES.pdf

  13. ojtam ojtam. ja się pytam dlaczego mi konto na mionie skasowali 8 lat po skończeniu studiów?
    ERES, jakkolwiek opanowanie zasad nim kierujących zajęło mi kilka semestrów, jest wyjątkowo dobrze napisanym systemem, skoro bez żadnych poprawek funkcjonuje od tylu lat. Porównać go można chyba jedynie z oryginalnym systemem PESEL.

    • Mi też skasowali, a działało chyba do 2014. Jeszcze miałem konto na elektronie

  14. Mimo wszystko uwazam, ze to sranie we wlasne gniazdo. Fajnie ze koles ma zdolnosci / spryt ale wykorzystywanie tego w taki sposob moze niesc za soba wieksze konsekwencje.

    • No nie do końca bo z informacji znalezionych w internecie można wnioskować, że nie jest on studentem tego wydziału. Pewnie MiNi się wkurzyło, że jest gorsze od EiTi i wynajęło go aby za rok w końcu być wyżej :P

    • ale on jest także studentem Elki ( gdyby ten skrypt jeszcze działał, można by było nawet sprawdzić, jak sobie radził )

  15. I’m afraid. I’m afraid, Dave.

  16. Absolwent ELKI (2005) pozdrawia! :)

    ERES gurom!

  17. super, teraz ERES nie działa w ogóle a do czwartku trzeba złożyć deklaracje semestralne :_:

    • I to jest powod upublicznienia bledu :P

  18. Ci co sie dziwia ze to jeszcze nie pierdyklo, niech sie juz nie dziwia. Z takimi lukami i bez opieki te systemu juz dawno zostaly spenetrowane przez wszystkich zainteresowanych. Nikt sie tym nie chwali bo po co (i czym? :P) grunt ze sprzedaly sie dane osobowe.

    Na PWr spam na maila zaczalem dostawac zaraz na drugi dzien po zalozeniu konta na uczelnianej poczcie. Na osobnego maila, ktorego na poczatku podalem w paru miejscach do kontaktu kiedy nie mialem jeszcze zalozonej skrzynki, spam zaczal przychodzic po kilku tygodniach. System zapisow mial takie luki, ze jak je z kumplem zobaczlismy, to az siedlismy i zaplakalismy…

    Oczywiscie wszystko rozmywa sie o kase, ktorej zwyczajnie nie ma z powodu slabego dofinansowania od panstwa, gownianego prawa i durnowatego zarzadzania budzetem uczelni.
    Ludzie pisza tutaj ze wystarczyloby zmodernizoac. Tylko ze trzeba na to miec kase. Inni pisza, ze sami by przeniesli i poprawili… Ta, jasne. Te systemy pisali tacy sami jak wy. “Po co brac firme, sami zrobimy w ramach pracy licencjackiej i bedzie git.” A potem czlowiek sie uplynnia jak sie orientuje ile roboty na tym wolontariacie jest i stoi sobie taki systemik bez opieki 10 lat…

    Najgorsze jest to, ze uczelniane serwery/systemy/oprogramowanie to idealny przyklad jak to wyglada na poziomie panstwa. Wszystko jest po taniosci, po znajomosci, po lapowce, kijowe, bez opieki, bez nadzoru, nikt nic nie wie, jak dziala, to po co drazyc. Zeby to mialo rece i nogi, to nalezaloby wszystko zaorac lacznie z ludzmi tym sie zajmujacymi, ale nikt tego nie zrobi bo koszty finansowe i spoleczne bylyby ogromne.

    Jak kogos interesuje, to polecam przyjzec sie wdrozeniu systemu kadrowo-placowego na UAM-ie :] Ja sie dziwie ze jeszcze CBA sie za to nie wzielo :D

    • Uczelnia ma rolę, oprócz dydaktycznej, badawczą, a w krajach bardziej rozwiniętych technologicznie przede wszystkim badawczą. I to uczelnie powinny być pionierami, a nie wydawać pieniądze na gotowe technologie, w których same nie maczały palca.

      > człowiek się upłynnia
      A dokumentacja? I nie chodzi tu już bezpośrednio o Eresa, bo system jest napisany w tak archaicznym języku programowania, że prawie nikt obecnie się już tego nie uczy (Fortran), lecz przede wszystkim o to, że w branży IT projekt robiony na zlecenie firmy/uczelni, która bierze na niego prawa autorskie i opiekę techniczną, powinien być udokumentowany w stopniu wystarczającym do tego, żeby inny programista znający język wszedł z marszu i się od razu zorientował, co ten kod robi.

  19. az mi sie lezka w oku zakrecila.
    ERES zmora kazdego studenta, cud ze gosciu sie w ogole dobil…

    mem mi sie marzy:
    Moj ex-wydzial — “taki piekny”

    • I tak Eres lepszy po stokroć od Usosa. Zwłaszcza w okresie rejestracyjnym.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.