11:23
11/2/2011

Dziś rano otrzymaliśmy od studenta Politechniki Śląskiej wiadomość, w której zacytował otrzymany od władz uczelni komunikat. Zobaczą go wszyscy studenci tej uczelni, kórzy spróbują zalogować się na swoje konto i sprawdzić plan zajęć:

Politechnika Śląska i hasła studentów

Treść komunikatu (zachowano pisownie oryginału, wytłuszczenia nasze):

“W wyniku bledu w konstrukcji programu ATS4, obslugujacego plan studiów (plan.polsl.pl) wykradziono dane rejestracyjne uzytkowników, którzy z tego programu ostatnio korzystali. Intruz zna nazwe uzytkownika oraz tresc zastosowanego hasla. Dane te pozwalaja na nieuprawniony dostep do skrzynki pocztowej uzytkownika.

W zwiazku z tym faktem prosimy o pilna zmiane uzywanego w domenie student.polsl.pl hasla. Zmiany mozna dokonac po zalogowaniu sie do Modulu Studenta SOTS (menu Nawigacja) lub korzystajac z procedury odzyskiwania hasla do Modulu Studenta SOTS, która zakonczy sie wygenerowaniem nowego hasla. Blad zostal usuniety, zagrozenie ponownego wykradzenia hasla nie wystepuje.

Za niezawinione utrudnienie przepraszamy.

Zespól Eksploatacji i Bezpieczenstwa Sieci Centrum Komputerowego, Dyrekcja Centrum Komputerowego.”

Uwaga studenci Politechniki Śląskiej! Najprawdopodobniej błąd nie został usunięty, szczegóły poniżej.

Wyciek danych utrudnia pracę Politechniki Śląskiej

Jak dodaje inequation, kolejny student Politechniki Śląskiej, który się z nami skontaktował w tej sprawie:

Atak nie uderzył za mocno w studentów (niewiele osób korzysta z logowania się do ATS4, gdyż plany są i tak publicznie dostępne, a własne konto przyspiesza jedynie dostęp do planu własnej grupy). Uderzył natomiast w prowadzących, jak można przeczytać na “internetowych kartkach dla studentów” jednego z nich:

Gabriel Drabik – informacje dla studentów

Komunikat pracownika uczelni, który doznał szkód w wyniku wycieku

Warto jednak pochwalić uczelnie, że do wycieku danych podeszła poważnie i sprawnie (uniważnione certyfikaty).

Dziury w serwisach Politechniki Śląskiej

Tymczasem pierwszy ze studentów Politechniki Śląskiej kontynuuje swoją relację:

Błędy w module planu były zgłaszane wielokrotnie, jednak nikt z osób odpowiedzialnych za poziom bezpieczeństwa nie kiwnął palcem by cokolwiek zmienić. O dziwo, po rzekomym wykradnięciu danych, wciaż błędów w module nie naprawili, jedynie wyłączyli generowanie informacji o błędach.

Prosząc nas o zmianę danych w domenie student.polsl.pl dają do zrozumienia, że i te dane mogły trafić w niepowołane ręce — w tym KOMPLETNE dane personalne studenta wliczając numer PESEL/dowodu osobistego.

Dodatkowo, student podpowiada, jak można wykryć podatności w oprogramowaniu wykorzystywanym przez uczelnie, nie dotykając nawet tej konkretnej instancji oprogramowania.

Z poniższego sposóbu sami często korzystamy podczas testów penetracyjnych na “żywym organizmie” — nigdy do końca nie wiadomo jak zadziała exploit, a jeśli ubije atakowaną usługę, game over. Dlatego warto zestawić w domowym zaciszu środowisko testowe, które maksymalnie dokładnie będzie odwzorowywało testowaną sieć/serwer.

Sam rozkład zajeć korzysta z komercyjnego modułu *układacza planow* ATS4 [prodykt firmy AMEplus z Gliwic — dop. innego studenta PolSl], który oferuje na swojej stronie wersje demonstracyjną online. Brawo, wersja demostracyjna rownież jest podatna na ataki:


http://www.ats4.com/www/ats4_d.php
`--> http://212.106.159.105/demo/plan.php?[usunięto]

i tym samym, pomimo zmian na plan.polsl.pl strukture bazy danych wciąż można pozyskać.

Student kończy swojego pełnego żalu i frustracji e-maila takim zdaniem:

Nie czepiałbym sie, gdyby nie fakt, że w dodatku beznadziejnie zrealizowała je prywatna firma za kasę podatników… Chcę tylko zwrocić uwagę na to prezentowane przez nasze uczelnie niedbalstwo i olewactwo. Wstyd by na politechnice zatrudniającej setki rzekomo wykwalifikowanych pracowników, nie znalazła się kompetenta osoba, która zrobi porządnie stronę domową danego wydziału — lepiej wykorzystać państwowe pieniądze na kupno zewnętrznej usługi i to w dodatku bez jej sprawdzenia (choćby prostymi automatami).

A następnie wymienia listę URL-i podatnych na SQL injection i XSS, które z przyczyn oczywistych prezentujemy w “ocenzurowanej” formie.

http://fizyka.polsl.pl/pl/news_powiekszenie.php[usunięto]
http://matfiz.polsl.pl/aktualnosci.php[usunięto]
http://matfiz.polsl.pl/galeria.php[usunięto]

I w ramach bonusu, odsyła nas do Google’owego zapytania, które pokazuje, że to nie koniec problemów…

Politechnika Śląska

Politechnika Śląska

I na koniec, jeszcze raz oddajmy głos inequationowi, drugiemu studentowi Politechniki Śląskiej, który podsumowuje obecną sytuację, w jakiej znaleźli się zarówno studenci jak i pracownicy naukowi uczelni:

W tym roku na polsl wprowadzono system EKOS (Elektroniczna Karta Osiągnięć Studenta), który zastąpił papierowe
karty zaliczeniowe. Wpisów do niej nauczyciele dokonują poprzez webinterfejs będący częścią SOTS i posiadający bardziej złożony system
autoryzacji niż część dla studentów. Studenci nadal muszą zbierać wpisy do indeksu, i te jest dużo łatwiej uzyskać, bo kadra jest jeszcze niezaznajomiona z EKOSem, i na wpis w nim trzeba czekać trochę dłużej. A teraz, dzięki wyciekowi haseł, nawet, jeśli ktoś ma wszystkie wpisy w indeksie, to nie może go złożyć do dziekanatu, dopóki Centrum Komputerowe nie powydaje wszystkim nauczycielom nowych certyfikatów.

Poprosiliśmy o komentarz władze uczelni, czekamy na odpowiedź. Tymczasem, wszystkich żądnych wrażeń studentów przestrzegamy przed wykorzystywaniem jakichkolwiek błędów w webaplikacjach do pobierania uczelnianych danych — wasi koledzy z Politechniki Wrocławskiej próbowali i dobrze się to nie skończyło, sprawa trafiła do prokuratury.

Od Redakcji

O ile rzeczywiście dziwi fakt, że tak podstawowe błędy znajdowały się w tak ważnej aplikacji, a uczelnia nie reagowała na bugreporty, to aby być sprawiedliwym należy wspomnieć o tym, że często pracownicy uczelni, którzy posiadają merytoryczną wiedzę w danym temacie nie są w stanie wpłynąć na budowę/zabezpieczanie danego projektu — bo nie pozwala im na to prawo. Dodatkowo, osoby te z reguły mają niestety nikły wpływ na wybór podwykonawcy danego projektu — do podejmowania takich decyzji należy legitymować się, oprócz wiedzy, również władzą — a ten atrybut, paradoksalnie, na niektórych uczelniach jest ważniejszy od wiedzy….

Aktualizacja 14:49
Krzysztof Nałęcki, reprezentujący Centrum Komputerowe Politechniki Śląskiej, operatora sieci uczelnianej odpowiedział na przesłane przez nas pytania:

W polsl (dalej ten skrót będzie używany) eksploatowany jest System Obsługi Toku Studiów – produkt własny. Wydarzenie o którym głośno dotyczy programu obsługi planu zajęć o nazwie ATS4, który jest produktem obcym i nie jest częścią SOTS – choć z nim współpracuje – i tu jest przyczyna. W sieci uczelni stosowana jest zasada jednokrotnego logowania do domeny – Active Directory. Autorzy programu ATS4 mieli wykorzystać ten sposób autoryzacji. Bez naszej wiedzy (nie mamy dostępu do kodu) zastosowali „skrót” polegający na lokalnym buforowaniu danych identyfikacyjnych użytkownika – mechanizm zupełnie zbyteczny, bo przy pierwszym logowaniu musieli korzystać z autoryzacji przez AD a jeśli para ID/hasło się nie zgadzała z tym, co mieli zapamiętane (bo rozsądny użytkownik okresowo zmienia hasło) to ponownie weryfikowali w AD (i znów sobie zapamiętywali L). Do tego buforowane dane zabezpieczyli w dziecinny sposób itd.

Niebezpiecznik: W jaki sposób dowiedzieliście się Państwo o wycieku/włamaniu?
Krzysztof Nałęcki: Z pisma przesłanego przez niezidentyfikowana osobę do władz uczelni – pon. 7 lutego 2011, godz. 13.25. Po sprawdzeniu podjęliśmy działania naprawcze – konieczny był udział autorów programu ATS4. Źródło zostało „zasypane” w środę (9 lutego) i do użytkowników, których dane mogły zostać przejęte skierowano pismo o znanej Panu treści.

N: Czy znacie Państwo tożsamość włamywacza? I jeśli tak, to czy zamierzacie Państwo podjąć działania prawne w tej kwestii?
KN: Zajmowaliśmy się usunięciem przyczyny a nie szukaniem chłopca, który zauważył że król jest nagi. Coś tam wiemy. Decyzja o podjęciu działań prawnych (lub przyznaniu nagrody specjalnej) nie jest w naszych kompetencjach.

N: Czy stwierdzenia studentów, że błędy były znane od dawna i od dawna raportowane do władz uczelni są stwierdzeniami prawdziwymi? I jeśli tak, to dlaczego nikt nie zajął się naprawą zgłaszanych przez studentów błędów?
KN: Nie. Pierwszy raport który do nas dotarł spowodował działania jak w [odpowiedzi na pyt. — dop. red.] 1. Podobno (nie potrafię potwierdzić, więc to tylko plotka) ww. chłopiec (a może dziewczynka) informował autorów programu (firma zewnętrzna).

Podtrzymujemy zatem naszą redakcyjną opinię (przedstawioną w ostatnim akapicie tego artykułu), że nie zawsze winy wszystkich błędów i niepowodzeń należy doszukiwać się w pracownikach uczelni opiekujących się danymi projektami (tu: administrującymi uczelnianą siecią). Na niektóre rzeczy oni po prostu nie mają wpływu (choćby nie wiem jak chcieli). Miejmy nadzieję, że wykonawca systemu ATS4 szybko poprawi jakość swojego kodu.

Przeczytaj także:

41 komentarzy

Dodaj komentarz
  1. Byłbym zdziwiony gdyby w tym ostatnim bastionie socjalizmu cokolwiek działało jak należy…. Kto studiował na Polsl i np. wrocławskiej – ma porównanie.

  2. Ludzie na PG jest to samo. Hasła są zapisywane w bazie danych jawnie, do odzyskania potrzebny numer PESEL i numer indeksu. Politechniki nie przykładają się w ogóle do jakiegokolwiek poziomu zabezpieczeń i prywatności

  3. Brzmi znajomo… Pracowałem dłuższy czas na Politechnice Krakowskiej. Tam praktycznie wszystkie serwisy stoją na Joomli, PHP na serwerach jest nieaktualizowany od lat. Kilkakrotnie dochodziło do hec, bo studentom udawało się złamać mod_security.

    Smutna prawda jest taka – większośc polskich uczelni to relikty PRL-u, oparte na feudalnym systemie zarządzania. Do tego trwonią bezmyślnie pieniądze podatników – Dział Informatyzacji PK zatrudnia co najmniej kilkanaście, jak nie kilkadziesiąt osób, z których tylko nieliczni reprezentują sobą jakikolwiek poziom.

    Na szczęście się stamtąd wyrwałem, bo inaczej pozostawało tylko siedzieć i czekać aż coś solidnie pierdyknie :D

  4. http://www.zpss.aei.polsl.pl/index.php?va=viewpage&vaid=90&idp=17&vaid_top=77#bio polemizowałbym z brakiem wpływu na budowę/zabezpieczenie projektu – wystarczy zerknąć na biografię (2001-2006, temat i wynik pracy doktorskiej)

  5. Psst: *ż*ądnych! Chyba, że o prawo- (albo i lewo-) rządnych chodzi…

  6. dane studentów WE Politechniki Białostockiej też można kupić, starczy mieć dojście w jednym z akademików ;)

  7. Dostałem niedawno info od kumpla, potwierdzam, dziurawe jak ser szwajcarski.

  8. A nasz system jest tworzony przez nasz wydział :P
    I nie odczuwam żadnego zagrożenia…

  9. Też chciałem napisać parę zdań nt. wycieku danych z serwerów Politechniki Śląskiej.
    Sprawa bezpieczeństwa na uczelni jest strasznie zaniedbywana.
    Sam plan zajęć, który ostatnio znalazł się na celowniku, jest dziurawy chyba od samego początku swojego istnienia, czyli chyba od 2008 roku – bo wtedy został wdrożony na całej uczelni.
    Przeanalizujmy najpierw samą aplikację od ats4. Wielkie pieniądze i jeszcze większe błędy. Normalna praca przy planie może zakończyć się błędami, który wypisują zapytania SQL… w dodatku ładnie poformatowane, z pełnymi ścieżkami… żyć nie umierać. Aplikacja nie filtruje danych w żaden sposób i to w żadnym miejscu, więc w zasadzie nawet przez przypadek możnaby dropnąć całą tabelę :P XSSy, LFI, żyć nie umierać.
    Nie można się więc dziwić, że dane wyciekły z bazy, gdy do systemu można logować się poprzez użytkownika admin*** (wstaw coś w gwiazdki ;p) co w zasadzie nie jest nawet przełamaniem zabezpieczeń. Bo kto zabroni mi posiadać użytkownika o takiej nazwie?
    Manipulowanie SQLem to najmniejszy problem całego tego zamieszania.
    Teraz wchodzi uczelnia ze swoim całkowitym brakiem profesjonalizmu. Do planu ma dostęp tylko kilka osób. Proces rezerwacji sali na kolowkia albo jakieś wydarzenia może trwać nawet kilka tygodni, bo z tego co zauważyłem, starostowie roku biegają do jednego gościa i błagają go o to, aby na planie znalazł im jakąś salę.
    Parę użytkowników, a z tego co mówiono, do bazy wpisywane są dane wszystkich pracowników wraz z ich hasłami do innych usług, np. Platformy Zdalnej Edukacji – przez którą m.in. wystawia się oceny studentom z przedmiotów. Nie wspominam tutaj już o systemach takich jak EKOS czy SOTS, skrzynkach mailowych itd itp.
    Oprócz grzebania w SQLu można pokusić się u dużą ciekawszą zabawę. Po zalogowaniu się do planu można każdemu pracownikowi zrobić urlop, studenci mogą dostać kilka godzin dziekańskich… BA, nawet można zrobić sobie kolejne święto na uczelni, ponieważ jest możliwość ogłoszenia godzin rektorskich. Bo takie fajne funkcje wymyślił ats4.
    Najśmiejszniejszym jest to, że uczelnia przed wyciekiem mogłaby się obronić nawet poprzez zastosowanie tępych Magic Quotes. Ale co się spodziewać od administratora, który robi sobie centrum warezowe Europy w serwerowni (pisano o tym w niebezpieczniku)? Co się spodziewać od człowieka, który błędnie konfiguruje uczelnianą sieć wifi Edurom i po dwóch miesiącach słuchania skarg od studentów, jednym kliknięciem wszystko poprawia? Co sie spodziewać od ludzi, którzy stawiają w pokojach naukowych sieci po WEPie? Albo takich, którzy decydują się na organizowanie kolokwiów zaliczeniowych w domu poprzez stronę WWW, która również pozwala na dowolne manipulacje danych?
    Co się można spodziewać od ludzi, którzy straszą 10 latami banicji na uczelni w momencie, gdy student nie dopatrzy się różnicy w błędnie replikowanych bazach danych elektronicznego indeksu?
    A co się spodziewać od firmy, która nie odpowiada na maile, ma dziurawe aplikacje i w dodatku ma stronę, gdzie popełniają te same błędy?
    I niech nie leją wody, że wszystko zostało załatane.
    No…. i oczywiście wszystkie te wnioski są wylewane na podstawie udostępnionej wersji demonstracyjnej. Ciekawe czy ktoś się pokusi kiedyś o zmiane w planie… tym prawdziwym :)

  10. I jeszcze jedna uwaga z polsl – oceny z ekosu(“genialnego wynalazku” dla pan z dziekanatu) nie sa widoczne dla studentow w czasie rzeczywistym, tylko musza byc RECZNIE odswiezone przez pracownika dziekanatu… wydzial automatyki, elektroniki i INFORMATYKI

  11. niekompetencja siega o wiele glebiej :) to czubek gory w tym miescie z w3

  12. heh, w końcu się posypało, od prawie 5 lat czekałem i się zastanawiałem kiedy coś d*pnie. Niestety, państwowa uczelnia – żaden prestiż…

  13. vZzd00n(Vizzdoom?) napisał:
    “Ale co się spodziewać od administratora, który robi sobie centrum warezowe Europy w serwerowni(…)”
    Nie chce bronić nikogo z pracowników wydziału/uczelni, ale to o czym pisałeś, miało miejsce w CK, które jest firmą hostingową, nie pracują na niej pracownicy naukowi PolSl, rzekomy warez, nie nalezal do nich, tylko byl to serwer wykupiony przez jakiegoś klienta, więc nie mieszaj rzeczy kompletnie ze sobą nie powiązanych i nie siej niepotrzebnych, fałszywych stwierdzeń. Z resztą twojego komentarza musze sie niestety zgodzić:(

  14. z tego co wiem, na jednym z wydziałów stoi sprzętowy firewall, za prawie 100tys zł i pracuje od kilku miesięcy jako kabel, który puszcza po prostu cały ruch tam i z powrotem. administratorzy twierdzą że się musi “wygrzać” ;)

  15. A moze jednak nawet nie wylaczyli debug info? ;)
    https://plan.polsl.pl/plan.php?type=10&id=6471

  16. Na polsl jest burdel i to dosłownie!

    Dodam jeszcze kilka swoich uwag!
    1. Na uczelni jest system MSDNA, gdzie zeby zalogować siętrzeba było (nie wiem jak teraz) jeszcze 2 lata temu logować się tylko z przeglądarki IE, gdzie jak wiadomo przegladarka ma mase bledow, a logowanie odbywało się poprzez protokol HTTP. Logowanie polegało na przekazaniu w formatce prywatnego hasła do systemu SOTS, gdzie admin MSDNA, logował się ręcznie do tego systemu i sprawdzał czy jesteś nadal studentem i generował ci hasło do rejestracji produktów MS, ktore mozna legalnie wtedy uzywac!

    2. Jestem obecnie studentem 3ciego semestru i prosiłem emailem prowadzącego o informacje co mam na koniec z laboratorium. Prowadzący odpisał mi, że mam sobie sprawdzić w systemie elektronicznych ocen dostepnym w SOTS. Wszedlem i patrze a tam oceny z poprzedniego semestru, a juz trwał drugi tydzien sesji. Napisałem mu ze jest jakis blad, a on mnie odesłał do Centrum Komputerowego lub dziekanatu i mi nie powie!:)
    W dziekanacie pani powiedziała mi, że musze poczekac jeszcze z tydzien moze sie pojawia, a ja pytam: Jak to mam na koniec sesji czekac zeby sie dowiedziec czy ja wogole mam ocene? To wyslala mi do CK, ale ostatecznie w swoim komputerze pozwolila mi podejrzec wlasne oceny.

  17. Jesteśmy sławni :D. Szkoda że z takiego powodu :P.
    Niestety, wiele rzeczy u nas leży i aż wstyd; teoretycznie uczelnia ma szkolić przyszłych informatyków, tych którzy będą tworzyli takie systemy – a tu taka kompromitacja.
    Szyfrowanie sieci w pokojach naukowych WEPem akurat bardzo się przydaje ;). Przydaje się, jak padnie ogólnodostępny Eduroam (ostatnimi czasy jakby się poprawiło, ale pamiętam jeszcze jakie cuda były rok czy dwa temu – a i teraz się zdarzają) i trzeba połączyć się z czymś innym ;).
    Owszem, zdarzają się u nas i bardzo wartościowi prowadzący, bywają całkiem dobrze działające rozwiązania – ale martwi że nie wszystko takie jest.

  18. Dlatego uczelniom nalezy ufac [podawac swoje dane] jedynie w trakcie rekrutacji, gdzie jest to wymagane. Dobrowolnie swoich danych nigdy nie podawalem, do zadnych programow sprawdzania planu, etc. Od tego sa tablice, strony. Logowanie sie po plan? wtf? absurd.
    Generalnie zauwazylem, ze najbardziej do zinformatyzowania wszystkiego ciagnie ludzi niekompetentnych, czego rezultaty sa pozniej oplakane, nie wspominajac juz o silnym uzaleznieniu od infrastruktury sieciowej [patrz: dr, ktory nie moze wpisac zaliczen bez cert. ABSURD].

  19. 1. Centrum Komputerowe(CK) zajmuje się głównie obsługą sieci dla polsl. Dodatkowo stanowi zaplecze techniczne(“nie działa mi **** – co mam zrobić?”) dla władz uczelni. Wydziały mają lokalnych adminów i własne reguły dotyczące tego kto, czym i jak zarządza(w tym sieci bezprzewodowe – dostęp do eduroam z access pointów ck jest zawsze bezproblemowy)
    2. Tak, jak w każdej innej strukturze państwowej/biurokratycznej, zakup czy to sprzętu, czy softu wymaga przetargu. Do przetargu rzadko staje kilka firm, najczęściej przetarg wygrywa najlepsza oferta od firmy *, która
    jako jedyna zgłosiła się do przetargu. W takich sytuacjach ciężko mówić o pieniądzach i konkurencyjności, skoro nie ma z czego wybierać.
    3. Od kilku już lat (między innymi) CK stara się przekonać władze do wprowadzenia jednolitego, spójnego systemu informatycznego do zarządzania uczelnią. Do tej pory w polsl działa kilkanaście różnych systemów, w większości pisanych przez firmy zewnętrzne. Dostępu do źródeł brak, a CK nie ma zasobów ludzkich, które miały by czas/mogły by bawić się w badanie blackboxów. Jedyne co “zewnętrznym” możemy zrobić, to zapewnić miejsce w serwerowni.
    4. Elektroniczny katalog ocen studenta(ekos) jest wdrażany w tym semestrze. Oczywistym jest fakt, że mogą się pojawiać jakieś problemy i niedogodności. Jeżeli jakiś prowadzący się na was wypiął, to sorry ale ekos ma na dzień dzisiejszy być stabilny i funkcjonalny, a nie stanowić główne i jedyne źródło informacji dla studentów.
    5. Jeżeli ktoś używa takiego samego hasła w AD i na potrzeby certyfikatu osobistego to przepraszam, ale to fail nie po stronie CK. Nie wszyscy prowadzący tak mmają i nie wszyscy muszę zmieniać certyfikaty.

  20. Skoro to politechnika, kształci również przyszłych Informatyków-fachowców ze świetnym papierem. Szkoda tylko, że owi studenci na zaliczenie jakiegoś przedmiotu nie dostają zadania odnośnie np. znalezienia luki w systemie uczelni. Zamiast zatrudniać firmy zewnętrzne może znalazł by się student, który by to załatał. Ale co tam profesorowie mogą wiedzieć o tym, licz całki studencie!

  21. Takie rzeczy, nie tylko na PŚ : )

  22. missing_link: pkt. 5 bombowy :-) Dzięki za komentarz.

  23. missing_link: CK zajmuje sie obsluga sieci swiatlowodowej na naprawde duzym obszarze, polsl akurat jest przez nich podlaczane do netu, ale to nie jest ich jedyne/glowne zajecie.

  24. Jeeee! Przesunąć środki ze stypendiów socjalnych na zatrudnienie Jeremiah Grossmana z Whitehat Security za 100k PLN na pentest!

  25. Lepiej sprzedać tego sprzętowego kablo-firewalla za 100K.

  26. I tak dowiadujemy się że na uczelni studiują chłopcy i dziewczynki, oraz że jak zwykle w tym kraju porażka jest wytykaną palcem sierotą.

  27. za http://www.ats4.com/www/wydarzenia.php:
    03.07.2009 Uniwersytet Jagielloński układa plan w ATS4
    :

  28. Problem nie dotyczy wyłącznie uczelni, taki sam problem z dostawcami i bezpieczeństwem tworzonych przez nich aplikacji mają praktycznie wszyscy. Z jednej strony jest spory problem z definiowaniem wymagań dotyczących bezpieczeństwa, z drugiej – weryfikacją ich spełnienia. Podkreślam, że chodzi mi tu o wymagania niefunkcjonalne, a nie “funkcje bezpieczeństwa” typu uwierzytelnienie do systemu.

    Takie przypadki pokazują, że “certyfikaty” dotyczące bezpieczeństwa tworzonych aplikacji mogłyby być przydatne. Uważam, że dobrym kierunkiem jest OWASP ASVS. Doskonały nie jest, ale pozwala ocenić bezpieczeństwo badanej (właściwie: weryfikowanej) aplikacji względem zdefiniowanych wymagań. W dodatku powinien dawać powtarzalne rezultaty, choć z uwagi na pewne niejednoznaczności i różnice w interpretacji jeszcze tego warunku do końca nie spełnia.

    Wymagania ASVS wymuszają stosowanie dobrych praktyk przy tworzeniu aplikacji, a nie jedynie przyklejanie łatek na znalezione dziury. Efekt takiego podejścia jest zdecydowanie lepszy.

    Pozostaje wymagać od dostawcy dostarczenia:
    – deklaracji stosowania,
    – wyników weryfikacji aplikacji względem wymagań ASVS (poziom 2A lub/i 2B),

    Szkoda, że nie ma(?) jeszcze zapisu dyskusji z krakowskiego spotkania OWASP dotyczącego ASVS :)

    A przyszli informatycy powinni się uczyć nie tyle jak dziury w aplikacjach znajdować, ale jak powinien wyglądać proces tworzenia oprogramowania, by prawdopodobieństwo wystąpienia dziur w produkcie końcowym zostało zminimalizowane.

  29. Hah to jest nic :) Sprawdźcie sobie stronę wydziału cybernetyki na Wojskowej Akademii Technicznej… Stara joomla z dopisanymi kilkoma linijkami kodu własnego który jest podatny praktycznie w każdym miejscu :) Wystarczy poszperać przy planie zajęć i w kilka chwil wychodzą podatności. E-dziekanat też pozostawia wiele do życzenia… Niby szkolą informatyków a sami zaprezentować się nie potrafią…
    Podobna sytuacja jest z serwerem głównym WATu odrobina oględzin i można znaleźć ogrom starego podatnego oprogramowania.

    Uczelnia obstawiła się ogrodzeniem, ochroną i bramkami a w sieci rozwija czerwony dywan z napisem WELCOME…

  30. No proszę…
    Współsprawcy (współtwórcy) inwigilacji naszej codzienności (m.in. projekt INDECT – o którym warto troszkę poczytać w sieci) – padają ofiarą swojej ignorancji (a może arogancji?).
    Kto mieczem wojuje…

  31. Anno: Mówisz o WAT? Przecież ich serwery można bez problemu skanować każdym skryptem i napotkać ciekawe wyniki ;-)

  32. “student 2011.02.12 09:09 | #

    I tak dowiadujemy się że na uczelni studiują chłopcy i dziewczynki, oraz że jak zwykle w tym kraju porażka jest wytykaną palcem sierotą.”

    Ale ze co? ale o co chodzi? pierwsza czesc zdania kompletnie nielogiczna, bo raczej oczywista; a w drugiej piszesz o jakims palcu-sierocie. No chyba, ze usilowales napisac o osobach, a wiec “sierotOM”. Goraco polecam lekture jakiejs ksiazki, jesli oczywiscie zdrowie w porzadku. Jesli nie, to krotki tekst na poziomie, a nie tylko fora i spolecznosciowki. Bycie obywatelem danego kraju to nie tylko przywileje, ale i obowiazki: np obowiazek prawidlowego wyslawiania sie w formie pisemnej i ustnej.

  33. Plan ATS to jeszcze pol biedy. Hitem (wielu) sezonów jest program do obsługi ocen z laboratoriów przedmiotowych – LABPRO. Korzysta z niego PÓŁ WYDZIAŁU, w tym tworcy planu ATS… Ile razy bylo zglaszane, ze dodanie roota to zaden problem. Odpowiedz zawsze ta sama – to jest niemozliwe prosze pana, wiemy o tym lub zwykle olanie sprawy. Mogą się tylko cieszyć, że jakiś absolwent nie zapodał drop database albo trunka. A były takie plany.

  34. @Heinrich: ale jemu nie chodziło o sierotom. Porażka jest sierotą – czyli nikt się nie zgłasza na bycie jej ojcem, nikt się nie przyznaje do winy. Ale wytykanie palcem? Niebezpiecznik napisał o problemie, ale czy ktoś jeszcze pcha się do wytykania palcem? Osoby związane z uczelnią zdają się umywać ręce i zamiatać pod dywan. Chyba, że atak w tej wypowiedzi był na studentów komentujących tu pod postem na Niebezpieczniku, że wytykają palcem zamiast przyznać spierdoliłem, płacę podatek VAT od konsumpcji nad Wisłą, żeby finansować tak nieidealny decisionmaking process w rozwoju oprogramowania dla instytucji tresujących; obiecuję od przyszłego roku zahodować kartofle i ograniczyć swoją opodatkowaną monetarną wymianę.

  35. Heinrich

    Jak na prawidłowo wysławiającą się osobę zgubiłeś trochę za dużo ogonków… Nigdy nie słyszałeś o powiedzeniu “Sukces ma wielu ojców, porażka jest sierotą”?

  36. […] zaawansowanemu, 2-składnikowemu uwierzytelnieniu, nawet jeśli zdarzy się tak, że nasze hasło wycieknie albo ktoś je nam wykradnie/podsłucha — to atakujący nic nie będzie w stanie […]

  37. Heinrich jaką lekturę polecasz? Elementarz? Masz problem ze zrozumieniem zdań wielokrotnie złożonych, ba, nawet nie potrafisz zrozumieć zdania, gdzie szyk został celowo zamieniony. Ja nie chcieć wiedzieć co ty sobie ubzdurać, ja nie odpowiadać za to.

    O dorosłych ludziach nie mówi się “chłopcy i dziewczynki”, chyba że ktoś chce się wyrazić pogardliwie.

    Do tej porażki wynikającej z zaniedbania nikt się nie przyzna, teraz wszyscy będą odbijać piłeczkę, zamiast spojrzeć prawdzie w oczy. Może wina spadnie na tego “chłopca”?

  38. @Heinrich:
    To smutne, ale zaliczasz się do tych biednych ludzi, którzy nic nie potrafią sobą reprezentować, ale sami myślą, że pozjadali wszystkie rozumy. Podczas gdy ty człowieku nie potrafisz czytać. Naprawdę, analfabetyzm wtórny jest wszechobecny i dzięki Internetowi dziś bardzo widoczny, więc pamiętaj, że czytanie != rozumienie i na przyszłość się zastanów zanim zrobisz z siebie totalnego imbecyla.

  39. Jako ze *wycieki* danych instytucji panstwowych sa chodliwym dziennikarskim towarem, gazeta.pl w bardzo *umiejetny* sposob przeredagowala wasz artykul, dodajac studenta Ryszarda oraz Rafala, ktorzy rzekomo zgosili informacje poprzez usluge ‘alert’. Szkoda tylko, ze nawet dobrze nie potrafia przeredagowac artykulu, przekrecajac czesc faktow oraz podkrecajac atmosfere dla wiekszej kontrowersji, ale coz, taki poziom *gazety* ;)
    http://wiadomosci.gazeta.pl/Wiadomosci/1,80273,9112340,Haker_wykradl_dane_studentow.html

  40. Jestem pracownikiem Polsl i jest mi wstyd i szkoda ekipy zajmującej sie informatyzacja uczelni. Z obecnymi władzami Politechnika staje się niewydolnym molochem, a dobre chęci są zamienione i dewastowane nakazowo-rozdzielczą biegunką kolejnych zarządzeń rektorskich. Przykładowo osoby z własnej woli zajmujące sie siecią w pewnym momencie dostały zarządzenie , z którego wynika, ze to, co do tej pory robiły po godzinach na zasadzie hobby jest ich powinnością, której nie wykonywanie może byc powodem konsekwencji służbowych. Kazdy rozsądny człowiek w takim momencie zaczyna kłaść lage. To fakt, ze jest tu wielu zdolnych informatykow,ale wobec zleceń za krocie na bzdury wyprowadzanych w famach tzw. przetargów poza uczelnie nikt sam z własnej woli nie tknie czegoś, co za niezłą kase robi firma zewnętrzna. Szczególnie przy takiej a nie innej drodze formalnej narzuconej przez władze…

  41. plan.polsl.pl – obejrzałem ten serwer po lamersku – nmap, xprobe i nikto.
    I co widzę? Windows 2003 serwer?
    Running (JUST GUESSING): Microsoft Windows 2003|XP|2000 (96%), Motorola Windows PocketPC/CE (87%)
    Aggressive OS guesses: Microsoft Windows Server 2003 SP2 (96%), Microsoft Windows XP SP2 (96%), Microsoft Windows Server 2003 R2 SP2 (93%), Microsoft Windows XP SP2 or Server 2003 SP2 (93%), Microsoft Windows Server 2003 SP1 or SP2 (92%), Microsoft Windows XP SP2 or SP3 (91%), Microsoft Windows XP SP3 (91%), Microsoft Windows Server 2003 SP1 (91%), Microsoft Windows Small Business Server 2003 (90%), Microsoft Windows
    Service Info: OS: Windows

    Wszystkie wersje Windows serwer 2003 miały błąd w obsłudze stosu tcp, pozwalający włamać się na shell użytkownika system bezpośrednio z netu, protokołem tcp (ten sam, co Windows Xp).
    I nie słyszałem, żeby ktoś kiedyś naprawił ten błąd w Windows 2003, usunięto go dopiero w Windows 2008 -r2.

    I taki serwer ktoś wystawia do internetu?
    Podobno tam jest wydział informatyki?
    I nie ma sprzętu, czy procedury, żeby taki super serwer Windows 2003 odgrodzić od netu serwerem choćby z Debianem albo Ubuntu, i Nginxem lub Lighttpd jako proxy filtrujący regexem zapytanie HEAD i POST idące do serwera MS?
    Bo Microsoft IIS httpd 6.0 też ma taką historię hardcorowych dziur, że ja bym go w ogóle nie brał.
    Co do samej strony z planem zajeć, to wygląda, jakby ją stolarz robił, w czasie, kiedy na świecie jest już Web 2.0
    W dodaktu płaci się za program, który można ze 3 razy lepiej zrobić na Wydziale Informatyki (tam przecież uczą programowania w php i baz sql)?
    Czy może nie można?… i nie uczą?

    Czy po takim numerze, ktoś jeszcze uwierzy w jakość dyplomu (z informatyki) z tej uczelni, czy takim dyplomem będzie można sobie …. podetrzeć w najlepszym razie.

    Bo raczej nie kupuje się butów u szewca, widząc, że chodzi boso….

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: