20:01
8/5/2018

Opisywanie wpadek bezpieczeństwa na uczelniach wyższych to już nasza tradycja. W poprzednich trzech odcinkach pisaliśmy m.in. o wyciekach CV studentów i niedociągnięciach systemów bubliotecznych, ujawnianiu dokumentów z PESEL-ami oraz o koparkach kryptowalut na stronach uczelni. To wszystko było okraszone drobniejszymi klasycznymi wpadkami w stylu “brak BCC” albo “głębokie ukrycie”.

Kontynuujemy cykl i od razu ujawniamy, że w tym odcinku mamy przypadki dotyczące następujących uczelni:

  • Akademia Górniczo-Hutnicza w Krakowie (po raz czwarty w naszym cyklu :)),
  • Politechnika Warszawska (również po raz czwarty!),
  • Politechnika Wrocławska (po raz drugi!),
  • Uniwersytet Ślaski w Katowicach (po raz trzeci!),
  • Politechnika Śląska (po raz drugi)
  • Akademii Morska w Gdyni,
  • Uniwersytet Mikołaja Kopernika w Toruniu,
  • Uniwersytet Ekonomiczny w Katowicach,
  • Uniwersytet Ekonomiczny we Wrocławiu.

Poza tym wspomnimy o wątpliwości co do komputerów w punkcie ksero Wyższej Szkoły Informatyki i Zarządzania w Rzeszowie. Wrócimy też do tematu studniówek i powzdychamy do Ministerstwa Sprawiedliwości za ciągłe ignorowanie problemu bezpieczeństwa osób zdających egzamin adwokacki czy radcowski.

Zaczynamy.

Akademia Górniczo-Hutnicza i wyszukiwarki oraz pliki z hasłami

Ciągle powracającym problemem jest uruchamianie przez uczelnie różnych wyszukiwarek studentów. Na stronie wydziału geologii AGH w Krakowie znalazł się interesujący formularz.

Pod innym adresem była nowsza wersja tego samego narzędzia! Wpisanie do tej wyszukiwarki czyjegoś nazwiska zwracało imiona, nazwiska i numery albumu.

Jeszcze ciekawsze wyniki dostawało się wpisując w pierwszym polu cyfrę “1”.

W pierwszej wersji wyszukiwarki naliczyliśmy ponad 8,4 tys. zestawów imię, nazwisko, numer.

Czytelnik, który powiadomił nas o tej wyszukiwarce, znalazł również publicznie dostępny plik PDF z nazwiskami i numerami PESEL 147 osób, którym przyznano lub nie przyznano miejsc w domu akademickim. Dokument zawierał także imię ojca, informacje o dochodzie na osobę oraz o złożeniu wniosku o stypendium socjalne.

Ostatnią z ciekawostek wypatrzonych na serwerze AGH był plik o niepokojącej nazwie passwd.txt. Zawierał ponad 2,4 tys. wierszy takich jak te.

Wszystko co tutaj opisaliśmy zostało usunięte kilka godzin po tym, jak zgłosiliśmy sprawę AGH. Myśleliśmy, ze to będzie koniec, ale potem nasz Czytelnik wyszperał coś takiego.

Ten plik akurat to nie był żaden wyciek. Pensje były zbyt wysokie, a nazwisk nie udało się skojarzyć z pracownikami uczelni. Biuro prasowe AGH szybko zapewniło nas, że to prawdopodobnie plik stworzony na potrzeby jakichś zajęć.

Politechnika Warszawska – wyszukiwarka studentów

Na pewnej stronie ciągle znajduje fajna wyszukiwarka studentów PW. Wystarczy wpisać kilka znaków, aby znaleźć nazwiska zawierające dany łańcuch.

Kliknięcie na wynik wyszukiwania wyświetla informacje o przedmiotach, na które dany student jest zapisany.

Narzędzie interesujące, ale jednak niebezpieczne (przynajmniej naszym zdaniem). Adres, na którym wyszukiwarka ciągle jest dostępna, nie należy do uczelni. Autor wyszukiwarki udostępnił skrypt na Githubie i po jego pobieżnym przejrzeniu można było ustalić, że pobiera on dane z systemu ERES2 udostępnianego przez samą Politechnikę. Dane z systemu można było przeglądać także bez skryptu, posługując się zwykłą przeglądarką. Obecnie system nie udostępnia tak wielu danych jak wcześniej.

Do autora skryptu trudno mieć pretensje skoro stworzył jedynie narzędzie ułatwiające przeglądanie publicznie dostępnych informacji. Tylko co na to uczelnia, która udostępniła nazwiska z numerami albumów? Już nie raz pisaliśmy, że udostępnianie tak zorganizowanych danych może być niebezpieczne.

Zgłosiliśmy sprawę Politechnice. Rzeczniczka PW Izabela Koptoń-Ryniec po 6 dniach poinformowała nas, że “dostęp do numerów albumów i zajęć studentów został zablokowany”, a ponadto “ogólnodostępność danych w systemie ERES zakwalifikowano jako incydent bezpieczeństwa”.

W odniesieniu do stron pozostających poza domeną uczelni tj. pw.edu.pl, Politechnika Warszawska nie jest ich administratorem, w związku z czym nie ma możliwości edycji danych na tych stronach zawartych.
Jednocześnie administratorzy stron pozostających w domenie pw.edu.pl zostali poinformowani o odpowiedzialności z tytułu publikowania danych osobowych.
W najbliższym czasie zostanie również przygotowana informacja na potrzeby poszczególnych Wydziałów Politechniki Warszawskiej, o tym jakie dane mogą być publikowane na ogólnodostępnych stronach uczelni.

Politechnika Śląska – zmiana ocen była możliwa

Jeden z naszych Czytelników – Grzegorz – niegdyś związany z Politechniką Śląską, odnalazł na pulpicie stacji roboczej w sali laboratoryjnej plik o nazwie lab_pro_lite. Domyślił się, że była to wersja systemu  LabPro z roku 2006 (Lab Pro to internetowy katalog do zajęć laboratoryjnych). Grzegorz nie wiedział, czy była to wersja wykorzystywana jako robocza wersja dla studentów, czy jako materiał dydaktyczny. Prosta analiza struktury katalogów dała jednak wiedzę o tym gdzie znajdują się backupy bazy danych.

Grzegorz zauważył, że dane dostępowe na konta administracji nie różnią się pomiędzy zrzutem bazy z 2014 roku a tym z 2018. Ustalił, że można uzyskać dostęp do systemu oceniania, danych personalnych, zmiany ocen. Nie wykorzystał tego dostępu w złośliwy sposób, ale też nie był pewien czy i jak to zgłosić. Postanowił przekazać sprawę nam, a my skontaktowaliśmy się z Politechniką.

Po przeanalizowaniu sprawy rzecznik uczelni Paweł Doś przekazał nam następujące wyjaśnienie.

Wymieniona wersja i plik były użytkowane w wymienionej sali laboratoryjnej przez studentów wyłącznie w celach przykładowej instalacji i wypełnienia podstawowymi danymi prostego systemu wspomagania prowadzenia elektronicznego katalogu zajęć laboratoryjnych, jakim jest oprogramowanie Labpro. Oczywiście wymieniony plik nie powinien pozostać na pulpicie żadnego komputera po zakończeniu wymienionych zajęć, ponieważ stwarzało to m.in. zagrożenie wykorzystania jego zawartości w sposób zasygnalizowany przez Państwa. Zawartość komputerów w salach laboratoryjnych jest cyklicznie odtwarzana do stanu początkowego, obsługa wymienionych sal laboratoryjnych zwiększyła częstotliwość takiego odtwarzania i wprowadziła dodatkowe ograniczenia.

Uczelnia przekazała nam jeszcze dodatkowe informacje o skali problemu i podjętych działaniach.

a) zasady sporządzania backupu systemu Labpro zostały zmienione, na wymienionym serwerze nie są aktualnie sporządzane i przechowywane kopie zapasowe systemu;
b) wszystkie hasła dostępowe zostały zmienione, zarówno tzw. administratorów, jak i kilkunastu nauczycieli, którzy korzystają z systemu, oraz studentów, którzy za pomocą systemu komunikują się z nauczycielami;
c) system Labpro jest systemem o niewielkim zasięgu, jest wykorzystywany w jednej jednostce wewnętrznej Politechniki Śląskiej, obecnie przez kilkunastu nauczycieli akademickich; w systemie są stosowane sztywne reguły tworzenia dedykowanych loginów oraz hasła niepowiązane z innymi systemami Uczelni, co zdecydowanie ogranicza możliwość wykorzystania ew. ujawnionych danych;
d) system Labpro ma charakter narzędzia wspierającego komunikację pomiędzy nauczycielem pracującym z sekcją laboratoryjną i studentami z takiej sekcji – wystawiania ocen cząstkowych za poszczególne zadania, przesyłania raportów i informacji zwrotnych; do wprowadzania przez nauczycieli akademickich ocen dokumentujących formalnie zaliczenie wszelkich form zajęć dydaktycznych na Politechnice Śląskiej służą inne systemy, w szczególności  System Obsługi Toku Studiów  z modułem EKOS (Elektroniczny Katalog Ocen Studenta) oraz Platforma Zdalnej Edukacji;
e) żaden z nauczycieli akademickich nie zgłosił niepoprawności we wprowadzonych w systemie Labpro ocenach i przesłanych sprawozdaniach; system dokumentuje wewnętrznie każde logowanie i opatruje wszystkie wprowadzane oceny i sprawozdania znacznikiem czasowym; przegląd tych logów i logów serwera nie wykazał niepoprawności we wprowadzaniu danych do systemu (oprócz nietypowych aktywności związanych z dostępem do folderu backups w roku 2014 i 2018);
f) w systemie w odniesieniu do studentów są wykorzystywane mimimalne dane: imię, nazwisko, dane związane z logowaniem i przynależność do grupy studenckiej; ograniczono elementy funkcjonalności systemu Labpro, które nie były intensywnie wykorzystywane, a które są udostępniane przez inne systemy uczelni, m.in. Platformę Zdalnej Edukacji; w szczególności ograniczono dostęp do materiałów pomocniczych do domeny Politechniki Śląskiej.

Politechnika Warszawska – system usterek

Wydział Matematyki i Nauk Informacyjnych PW rozwiązał problem usterek poprzez informatyzację. Na specjalnej stronie uruchomiono system zgłaszania i monitorowania usterek.

Wiedza o usterkach jest podwójnie cenna. Po pierwsze, łatwo się podać za kogoś kto przyszedł naprawić okno w pokoju pracowników albo – co gorsza – przyszedł naprawić komputer czy drukarkę. Po drugie, niektóre usterki dotyczyły systemów dostępu.

Cała ta wiedza dostępna bez logowania! Wystarczyło znać adres strony do zgłaszania, a skoro my go poznaliśmy to inni też mogli.

Po raz kolejny mieliśmy przyjemność z panią rzecznik PW Izabelą Koptoń-Ryniec.

Bardzo dziękujemy za zasygnalizowanie problemu. System zgłaszania usterek, o który Państwo pytają, miał w założeniu służyć zgłaszaniu usterek błahych, nie stanowiących poprzez sam fakt upublicznienia zgłoszenia, zagrożenia dla wydziału lub uczelni. Pragniemy podkreślić, że dostęp do pomieszczeń umożliwia nie tylko karta, ale i zwykły klucz. Dodatkowo sale są zabezpieczone monitoringiem i całodobową ochroną gmachu. Kwestia zmiany systemu, tak aby administrator po zgłoszeniu ukrywał informacje krytyczne, była już przez nas badana w związku z czym podejmować będziemy dalsze działania w kierunku racjonalizacji funkcjonowania systemu. Niemniej w okresie przejściowym postanowiliśmy zabezpieczyć cały system hasłem, co już nastąpiło.

Racjonalizacja systemów bezpieczeństwa. Piękne pojęcie. Oby każdy! Oby częściej!

Politechnika Wrocławska i “dziwna właściwość poczty”

To był bardzo ciekawy problem. Studenci PWr korzystają z poczty studenckiej, którą cechują adresy w formacie nr_indeksu@student.pwr.edu.pl. Nasza Czytelniczka przy okazji wykonywania pewnego zadania zorientowała się, że po skonfigurowaniu poczty w programie zewnętrznym mogła wysłać e-maile z dowolnych adresów bez żadnych danych uwierzytelniających! Co więcej…

z ciekawości podmieniłam mail źródłowy na dziekanat@pwr.edu.pl i również po wykonaniu programu otrzymałam na swoją skrzynkę maila z dziekanatu!!! Pokazałam tę właściwość kilku znajomym i prowadzącemu, wzajemnie z różnych adresów źródłowych  wysyłaliśmy sobie maile o różnej treści. Oczywiście tylko w gronie studenckim i w ramach testów, ale zaszokowało nas to, że w ten sposób możemy wysłać komuś, czy to prowadzącemu, czy studentowi maila z dziekanatu, od rektora, od innego prowadzącego czy studenta – od każdego z pwr do każdego z pwr o dowolnej treści.

Na szczęście nie można było wysłać maila z tego serwera na inne np. Gmail, bo to wymagało uwierzytelniania. Mimo to “dziwna właściwość poczty” stwarzała wiele zagrożeń.

Studenci ostrzegali się wzajemnie w tej sprawie. My zaś podpytaliśmy władze uczelni, które przesłały nam oświadczenie “iinformatyków”.

Odnośnie braku autoryzacji zapewniamy, że zostanie ona włączona dla poczty wewnętrznej. Dla poczty wysyłanej na zewnątrz zawsze była wymagana. Dodatkowo trwają prace nad wprowadzeniem zmian w konfiguracji systemu pocztowego. Mają one na celu ograniczenie możliwości wysyłania poczty w domenie uczelni z dowolnego MTA. Proces wprowadzania zmian konfiguracji jest długotrwały. Szacujemy zakończenie wspomnianych prac podczas najbliższej przerwy międzysemestralnej.

Jednocześnie informujemy, iż nie są nam znane przypadki wykorzystania słabości protokołu SMTP na Politechnice Wrocławskiej. Pracownicy mają możliwość stosowania w klientach pocztowych certyfikatów osobistych X509, umożliwiających podpisywanie i szyfrowanie korespondencji.”

Do czasu naprawienia poczty radzimy… w ogóle nie ufać w autentyczność nadawców w wewnętrznej poczcie PWr.

Politechnika Wrocławska – usterka aplikacji

Nasz Czytelnik zauważył ciekawą lukę w aplikacji ASAP Politechniki Wrocławskiej. Aplikacja umożliwiała m.in. pobranie zaświadczenia o samodzielnym napisaniu pracy dyplomowej.

Problem w tym, że link do oświadczenia miał dość przewidywalny format.

Można było zmienić m.in. ID autora, aby pobrać zaświadczenie innej osoby.

Można było również zmienić document_id aby pobrać zaświadczenie dla pracy z innym tytułem, ale to wydaje się mniejszym problemem.

Uczelnia zareagowała szybko, ale niestety ASAP jest produktem dostarczonym przez zewnętrznego dostawcę.

Obecnie pracujemy nad wdrożeniem zabezpieczenia tymczasowego.  Jednocześnie monitorujemy serwis pod kątem nieuprawnionego dostępu użytkowników do danych innych kont – napisał Andrzej Charytoniuk z Działu Informacji i Promocji PWr.

Dzień później dostaliśmy informację, że problem został rozwiązany, tzn. możliwość pobierania „obcych” dokumentów została zablokowana.

Uniwersytet Mikołaja Kopernika w Toruniu

Na stronie UMK znalazły się niezabezpieczone katalogi z plikami.

Były tam m.in. zadania egzaminacyjne z odpowiedziami, materiały edukacyjne i puste formularze (np. deklaracje dotyczące prac dyplomowych). Jeden z naszych Czytelników widział tam plik o nazwie passwords.txt. My się do niego nie dokopaliśmy, ale za to znaleźliśmy potwierdzenia przelewów z danymi osobowymi oraz dokumenty wypełniony wniosek o stypendium z oświadczeniem o dochodach. Dane nie wyglądały na przypadkowe.

Uczelnia stwierdziła, że “adres należy do studenta” i “dyrektor Instytutu zwrócił się już do niego z prośbą o jak najszybsze zablokowanie swoich danych”. Nie wiemy na jakiej zasadzie uczelnia udostępnia swoim studentom powierzchnię na serwerze, ale jeśli trzymacie jakieś dane na jej serwerach to upewnijcie się, czy są one bezpieczne.

Uniwersytet Ekonomiczny w Katowicach

Na początku marca wyciekły dane części studentów Uniwersytetu Ekonomicznego w Katowicach. Doszło do wysłania do studentów wiadomości, która zawierała załącznik z peselami, numerami dowodów i adresami zamieszkania razem z aneksem do umowy. Uczelnia postanowiła ostrzec studentów, że mogą naruszyć prawo rozpowszechniając dalej ujawnione w ten sposób dane.

Wiele osób odebrało tę wiadomość jako rodzaj groźby. My natomiast chcieliśmy wiedzieć więcej o wycieku, więc 9 marca 2018 r. spytaliśmy o sprawę Marka Kiczkę, rzecznika Uniwersytetu.

Odpowiedź otrzymaliśmy następnego dnia roboczego.

Miejsce wycieku danych dotyczyło wyłącznie Wydziału Zarządzania i obejmowało dane około stu studentów.

Początkowo znamiona wycieku wskazywały na błędy systemu, jednak w drodze weryfikacji określono, iż był to błąd ludzki oraz zła interpretacja działania programu do obsługi studentów.

Wyciek został zauważony wieczorem w piątek 23 lutego br. Niezwłocznie w sobotę rano usunięte zostały e-maile z danymi z systemu wirtualny dziekanat. W trosce o zabezpieczenie danych oraz z uwagi na bezpieczeństwo samych studentów, w poniedziałek wysłano do studentów e-mail informujący o wycieku i konieczności permanentnego usunięcia danych oraz ich ewentualnych kopii (Uniwersytet nie ma możliwości ingerowania w prywatne skrzynki studentów).

Jednocześnie zabezpieczone zostały informacje o tym, które dane trafiły do studentów. Zweryfikowano również, czy do wycieku nie doszło na pozostałych wydziałach, pouczono pracowników oraz podjęto decyzję o przeprowadzeniu szkoleń z zakresu ochrony danych osobowych. Specjalne szkolenie odbyło się 9 marca br. Wobec osób odpowiedzialnych za wyciek wyciągnięto konsekwencje. Uniwersytet wyraża żal z powodu zaistniałej sytuacji i dołoży wszelkich starań, by zdarzenia takie nie miały więcej miejsca.

Reakcja dobra. Zwłaszcza to uderzenie się w pierś i wyznanie, że to jednak nie był “mityczny błąd systemu” — a jak to zwykle bywa, błąd człowieka, tłumaczony mniej spersonifikowanym i enigmatycznym oraz buntującym się”systemem”. Ciekawe natomiast jest to, że Uniwersytet nie mógł skasować e-maili ze skrzynek studentów. Zastanawia nas, czy było to wyzwanie moralne czy techniczne…

Znów kryptowaluty!

Widzieliśmy już kopanie kryptowalut przez stronę uczelni, ale żeby ktoś to robił na komputerach w sali ćwiczeniowej? Jeden z Czytelników doniósł nam, że właśnie coś takiego dzieje się na Uniwersytecie Warmińsko-Mazurskim w Olsztynie. Nasz Czytelnik znalazł na niektórych maszynach koparkę XMRIG.EXE.

Czytelnik sugerował, ze koparkę musiał zainstalować ktoś z uprawnieniami administratora, jednak ta osoba nie musiała działać świadomie. XMRIG.EXE może być zainstalowany niechcący np. jako dodatek do innego darmowego oprogramowania.

Zgłosiliśmy sprawę uczelni. Pani Wioletta Ustyjańczuk poinformowała nas, że wcześniej nikt tego nie zgłaszał władzom uczelni. Podjęto działania, które mają na celu usunięcie koparek i ewentualnie ustalenie kto za to odpowiadał.

Uniwersytet Ślaski i CyberChaos

Poniżej prezentujemy wam zrzut strony Instytutu Historii tej uczelni. Czy znajdziecie niepasujący element?

 

Osoby spostrzegawcze widzą wiadomość od grupy/osoby CyberChaos. Daliśmy znać uczelni, bo zmiana była wprowadzona 12 kwietnia, a jeszcze 16 kwietnia wiadomość była na stronie. CyberChaos wcześniej interesował się Politechniką Śląską…

Akademia Morska w Gdyni i Rejs Niepodległości

Ministerstwo Gospodarski Morskiej i Żeglugi Śródlądowej zorganizowało konkurs pn. Rejs Niepodległości. Zaliczyliśmy go do wpadek uczelnianych, ponieważ od strony technicznej konkursem zajmowali się pracownicy Akademii Morskiej w Gdynii.

Nagrodą w konkursie był udział w jednym z etapów rejsu żaglowca „Dar Młodzieży” dookoła świata. Dla laureatów opracowano formularz, w którym podawali oni swoje dane tj. numery dowodów osobistych, paszportów, adresy zamieszkania i kontakty do osób bliskich. Osoby te miały również podać preferowany odcinek rejsu, w którym miały wziąć udział.

Aby uzyskać dostęp do formularza z wymienionymi danymi danymi, wystarczyło podać imię, nazwisko oraz datę urodzenia. Lista laureatów pojawiła się na stronie konkursu, więc… imiona i nazwiska były na tacy. Daty urodzenia można było ustalić np. szperając po Facebooku.

Niektóre osoby miały problem z formularzem więc organizator prosił o przesyłanie danych e-mailem.

Nasz Czytelnik i uczestnik konkursu doniósł nam, iż…

…znalazła się osoba która wykorzystała brak profesjonalizmu organizatorów i pozmieniała wybory etapów części laureatów działając na własną korzyść. Co skutkowało unieważnieniem przydziału odcinków, a osoby które już zdążyły uzyskać urlop, zaplanować czas (mówimy o rejsach trwających nawet ponad 2 miesiące!) zostały na lodzie.

Organizator miał świadomość tego, co się stało. Nadano hasła do formularzy i te hasła przesłano zwykłym mailem.

Organizator uznał też, że mimo wszystko nie może się czuć odpowiedzialny za dane laureatów, jakie dało się znaleźć w social mediach (w czym jest nieco racji, choć nie usprawiedliwia to słabych zabezpieczeń formularza).

O sprawę pytaliśmy Ministerstwo Gospodarki Morskiej. Przyznało ono, że formularz nie był zabezpieczony jak należy. Informację cytowaną poniżej otrzymaliśmy z biura prasowego ministerstwa (nikt nie podpisał się pod nią z nazwiska).

Natychmiast po zgłoszeniu uwagi na ten temat Ministerstwo zleciło Akademii Morskiej w Gdyni stworzenie lepszego zabezpieczania formularzy uczestników Rejsu. Po otrzymaniu sygnałów o możliwych nieprawidłowościach natychmiast poleciliśmy Akademii Morskiej stworzenie nowego formularza, do którego dostęp każdy z uczestników otrzymał poprzez unikatowe, jednorazowe hasło. Poprosiliśmy także Akademię Morską o wyjaśnienia. Wynikało z nich, że na szczęście nie doszło do włamania na serwery AM i nie stwierdzono wycieku danych. Administratorzy AM sprawdzili logi na urządzeniach sieciowych i  nie znaleźli żadnych niepokojących zapisów.

Owszem, włamania nie było bo…

mem

Uniwersytet Ekonomiczny we Wrocławiu

Tak wygląda proces podbijania legitymacji studenckich na wrocławskim UE. Zdjęcie mówi wszystko :)

Punkty ksero

Pewien Czytelnik napisał do nas list z przemyśleniami na temat punktów ksero.

Do punktu wchodzimy po schodkach, do pokoju podzielonego ladą, na której stoi pięć komputerów, monitory ustawione są przodem do klienta i tyłem do sprzedawcy, przez to miejsce przewija się kilkadziesiąt jak nie kilkaset osób dziennie i każda z nich aby coś wydrukowac przychodzi z pendrivem lub loguje się na email, czy nie uważacie że przez takie rozwiązanie zainstalowanie keylogera z pendrivea (nikt nie zwróci uwagi na to że ktoś wkłada pendrive do komputera), i zbieranie kilkudziesięciu/kilkuset passów do kont studentów jest nadzwyczaj proste? Czy istnieją może rozwiązania które skutecznie uniemożliwiają instalacje takiego oprogramowania lub może punkty są zobowiązane bronić się przed tego typu atakami odgórnie? Sam nie zbadalem dogłębnie sprawy ale z tego co wiem komputery działają na systemach XP, i po krótkim przeszukaniu dysku nie znalazłem nawet antywirusa.

Zasadność przedstawionych w liście obaw potwierdziła się w innym liście od innego Czytelnika, studenta Wyższej Szkoły Informatyki i Zarządzania w Rzeszowie.

Całkiem niedawno korzystałem z uczelnianego punktu ksero drukując pewne dokumenty. Polegało to na tym, że do laptopa na ksero podłączałem swojego pendrive’a, wskazywałem osobie z obsługi który to plik, następnie dokonywała ona wydruku.(…) Parę dni temu kolega który również korzystał z punktu ksero powiedział mi, że wszystkie jego pliki na pendrivie po podłączeniu go do laptopa w punkcie ksero zmieniły swoje rozszerzenie na “*.lnk” i stał się niemożliwe do otworzenia. Zaciekawiony daną sytuacją podłączyłem swojego pendrive’a do  komputera po czym okazało się, że i moje pliki i katalogi zmieniły rozszerzenie na “*.lnk”.

Późniejsze przeskanowanie pendrive’a Avastem pokazało jedno zagrożenie.

Na wszelki wypadek daliśmy uczelni znać o możliwym problemie. \

Rzecznik prasowy WSIiZ Dominik Łazarz zapewnił nas, że skontaktował się w imieniu uczelni z Prezesem stowarzyszenia ABSOLWENT, które prowadzi punkt ksero. Przy okazji ustalił, że…

  • Na komputerze jest zainstalowane oprogramowanie antywirusowe. Stowarzyszenie ma świadomość, że interesanci przynoszą na różnych nośnikach materiały do wydruku i czasami są one zawirusowane.
  • Pracownicy Stowarzyszenia  sprawdzili podejrzany komputer i zapewnili, że wszystko wydaje się być dobrze.
  • Co jakiś czas robione jest dodatkowe skanowania, a ostatnio cały system był na komputerze “stawiany” pod koniec 2017 r.

Nie mamy pewności, czy problemy były efektem podłapania wirusa w punkcie ksero, ale problem jest godny wspomnienia i jeśli będziecie obserwować jakieś dziwne rzeczy po wizycie w takich punktach, dawajcie nam znać.

Egzaminy adwokackie/radcowskie ciągle bez antywirusów

To może nie jest problem ściśle uczelniany, ale jednak związany z kształceniem prawników. I niestety ciągle aktualny mimo naszych narzekań. Już w roku 2016 pisaliśmy, że wzięcie udziału w egzaminie adwokackim lub radcowskim wymaga przyniesienia komputera z odinstalowanym antywirusem. To nie jest dobry pomysł, aby w określonym momencie czasowym wymagać od wielu prawników odinstalowywania antywirusów. Ministerstwo tłumaczy, że nigdy nie zaobserwowano żadnych problemów więc nie ma się czym przejmować.

Mamy rok 2018 i czytając ogłoszenie na stronie Okręgowej Izby Adwokackiej przekonacie się, że nic się nie zmieniło. W tym ogłoszeniu przeczytamy nie tylko, że program antywirusowy ma być odinstalowany. Przeczytamy także, że uczestnicy egzaminu mają złożyć pisemne oświadczenie z deklaracją o świadomości ryzyka!

Uprzejmie informuję, że do dnia 27 lutego 2018 r. włącznie, zdający egzamin przed Komisjami Egzaminacyjnymi (…) składa pisemną informację o wyborze sposobu rozwiązywania zadań egzaminacyjnych w formie odręcznej albo przy użyciu własnego sprzętu komputerowego. W przypadku wyboru rozwiązania zadań przy użyciu własnego sprzętu komputerowego zdający składa także pisemne oświadczenie o akceptacji warunków związanych z użyciem własnego sprzętu komputerowego, zawierające deklarację, że znane są mu zagrożenia związane z użyciem tego sprzętu.

Część adwokatów jest świadoma ryzyka bo pisze do nas na ten temat. Czy wszyscy mają tę świadomość? Nie wiemy. Ministerstwo Sprawiedliwości z pewnością ciągle nie jest świadome ryzyka!

Tymczasem w pewnym Technikum

Zejdźmy z poziomu adwokackiego na poziom szkół średnich. Czytelnik podesłał nam taką oto fotkę z zespołu szkół w Aleksandrowie Kujawskim. Popatrzcie jak ktoś się napracował, aby zamazać PESEL-e czarnym markerem. Totalnie nie da się ich odczytać. Totalnie (białe kwadraty zostały dodane przez czytelnika, który nam to podesłał):

PESELE na szkolnym turnieju (bez HTTPS)

W poprzednim odcinku uczelnianych wpadek narzekaliśmy trochę na krakowski Zespół Szkół Energetycznych, który używał numerów PESEL jako loginów do platformy głosowania na najlepszych nauczycieli. Niestety nie była to jedyna szkolna inicjatywa ze zbiórką PESEL-i w tle. Ta sama dzkoła zorganizowała także e-sportowy turniej ZSE CUP, na który można się zarejestrować przez taką stronę.

Nie dość, że zbierane są numery PESEL to jeszcze ich przesyłanie odbywa się przez niezabezpieczone połączenie. Najbezpieczniej byłoby  nie brać udziału w tym turnieju.

Studniówki po raz drugi!

Już w poprzednim odcinku Uczelnianych wpadek pisaliśmy o szkołach średnich, które zbierają PESEL-e osób idących na studniówkę. Wspominamy o tym raz jeszcze, bo Technikum nr 5 w Częstochowie opracowało naprawdę drakoński regulamin studniówki.

Usiądźcie wygodnie.

Regulamin przewidywał zbieranie PESEL-i i adresów osób towarzyszących w liście dla uczniów…

…a także stworzenie “listy dla wpuszczających”, która dodatkowo zawierała numery dokumentów (np. dowodów osobistych).

Dowiedzieliśmy się, ze wszystkie te dane zbierane były od uczniów na zwykłej kartce papieru, do której mógł mieć wgląd “każdy, kto chciał coś uzupełnić”. Podanie numeru dokumentu było konieczne aby dostać się na sale (numer był sprawdzany).

Najchętniej doradzilibyśmy uczniom tego Technikum, aby nie brali udziału w studniówce. Uwierzcie nam. To jest przereklamowane wydarzenie i z biegiem czasu człowiek nabiera do niego dystansu. Niestety Technikum nr 5 w Częstochowie przygotowało opłaty dla osób, które na studniówkę nie pójdą (sic!).

Regulamin przewiduje, że…

Uczniowie mający bardzo trudną sytuację materialną mogą zwrócić się do Komitetu Organizacyjnego podaniem o zwolnienie z części opłat. Podanie musi zaopiniować wychowawca. Decyzję o zwolnieniu podejmuje Komitet Organizacyjny.

Podstawy prawnej nie podano, ale organizator studniówki (zespół rodziców zwany Komitetem Organizacyjnym) wydaje się być bardzo pewnym swojego prawa do pobierania opłat nawet za niepójście na studniówkę. Tylko co by się stało, gdyby ktoś naprawdę nie zapłacił? Komitet uruchomi komornika?

No dobrze… wiemy, że w niektórych szkołach w cenie studniówki jest także prezent dla nauczyciela. Ale mimo wszystko ten regulamin robi zabawne wrażenie.

To nadal nie koniec!

Dziękujemy tym, którzy wytrwali. Dzisiejsza, 4 z kolei kompilacja Uczelnianych Wpadek była dość długa. Ale to nie koniec…

Regularnie zgłaszacie nam problemy z ochroną danych w Waszych szkołach i uczelniach. Być może więc zgłosiliście nam jakąś uczelnianą wpadkę, a nie widzicie jej tutaj. Oznacza to, że możemy być jeszcze w trakcie wyjaśniania sprawy, czekamy na załatanie problemu, albo z innych powodów musieliśmy odłożyć publikację. Nie martwcie się jednak. To z pewnością nie jest ostatni odcinek tego cyklu — wszystkie zgłoszenia ujrzą światło dzienne.

I oczywiście czekamy na więcej. Jakby co, to wiecie gdzie podsyłać nam materiał na kolejne odcinki ;)

Przeczytaj także:

42 komentarzy

Dodaj komentarz
  1. “System jest źle zaprojektowany i wykonany” – klasyka. Podwozie też było złe…

  2. Nie tylko te szkoły wyświetlają dane wszystkich osób. Jedna ze szkół (rodzaju i nazwy podawać nie będę, bo nie chcę aby ktoś to wykorzystał w jakimś złym celu), którą poznałem też ma takiego babola. Tylko, że tam trzeba być zalogowanym aby widzieć dane (imie nazwisko) innych osób. W jaki sposób? Po zalogowaniu wystarczy zmienić cyfry w adresie i już podawane są dane (imie i nazwisko) innego studenta… I chyba coś jeszcze, ale nie chce mi się tego teraz sprawdzać…

  3. Mailto na końcu kieruje na jakiś odwrotny adres : )

    pl.niebezpiecznik@redakcja ;

  4. Niekonczaca sie historia. RODO powinno zatem obowiazywac rowniez urzedy i uczelnie, ale oczywiscie taniej wymagac od firm aby edukowaly caly kraj.

    • W PL mamy autonomię uczelni, więc teoretycznie bez zgody jej rektora nawet CBA nie może zrobić nalotu ;)

    • RODO jak najbardziej obowiązuje również uczelnie.

    • Mozesz wskazac, gdzie w RODO jest napisane, ze urzedy i uczelnie sa z niej wylaczone ? Thx

    • Nie tam, ale w ustawie o szkolnictwie wyższym jest taki oto zapis:
      4.1: Uczelnia jest autonomiczna we wszystkich obszarach swojego działania na zasadach określonych w ustawie.
      A poniżej cały katalog obszarów działalności uczelni, włącznie z ogólnopolską bazą POL-on i, co najciekawsze, finansami.

      No i dalej:
      227.3: Służby państwowe odpowiedzialne za utrzymanie porządku publicznego i bezpieczeństwa wewnętrznego mogą wkroczyć na teren uczelni tylko na wezwanie rektora. Służby te mogą jednak wkroczyć z własnej inicjatywy na teren uczelni w sytuacji bezpośredniego zagrożenia życia ludzkiego lub klęski żywiołowej, zawiadamiając o tym niezwłocznie rektora.

  5. jako bylemy studentowi pw, bylemu administratorowi systemow na jednym z wydzialow (w pieknych latach ’90) i osobie zajmujacej sie wtedy hobbystycznie bezpieczenstwem powiem tak: lezka mi sie w oku kreci, przywolaliscie dawne wspomnienia

    – na jednym z wydzialow byl wywieszony formularz do zakladania kont przed zajeciami, konta byly bez hasla (na netware 3.x, ale tez ciekawe). oczywiscie kazdy kto sie wpisal dostawal konto

    – u siebie zostawialem studentom roznego rodzaju niespodzianki. np. na stacjach studenckich (ladowanych z nfs) znane bylo haslo na roota (bo czemu nie, mogli sie zaladowac ze swojej dyskietki i mieliby to samo). natomiast uruchomienie su i wpisanie tego hasla na serwerach studenckich powodowalo wyslanie wall-a do wszystkich zalogowanych zeby powiadomic ze ich mlodszy kolega wlasnie stawia pierwsze kroki w security

    – z kontami na unixach bylo na wiekszosci wydzialow w miare prosto. jesli ktos chcial (a wszyscy chcieli zeby np. zostawic sesje irc w screenie) to mogl zademonstrowac ze mniej wiecej wie o co chodzi (zeby nie bylo obciachu) i dostawal konto za 6 krolewskich albo flaszke.

    stare piekne czasy, szkoda ze to bylo 20 lat temu. pamieta jeszcze ktos?
    btw dla tych co pamietaja plearn: u nas byl plwatu21

  6. Strona Instytutu Historii UŚu to wygląda jakby sama zbiegła z muzeum ;)

  7. Niezła jest ta historia z egzaminami bez antywirusa. Prawnicy rozwiązali problem po prawniczemu – przerzucili ryzyko na zainteresowanego przez pisemne oświadczenie, zamiast to ryzyko wyeliminować.

  8. Parę lat temu w pewnej piekarni przed długim weekendem na ladzie była wystawiona kartka z zapisami na chleb – imię, nazwisko, PESEL w 3/4 już wypełniona. Aż chciałem zrobić zdjęcie. Pozdrawiam

  9. w UMK to zapewne wydział fizyki i kierunek informatyka stosowana, tam dostajemy konto bashowe i dostep do subdomeny, możemy sobie zrobić katalog public_html a w nim trzymać pliki widoczne na zewnątrz, a wiec użytkownik zrobił to specjalnie

  10. To passwd.txt to moglibyście trochę bardziej zaczarnić. Marię Kurek i Zbigniewa Wagnera wypatrzyłem ;)

    • I jeszcze prawie otwartym tekstem Dominik z pierwszej linijki. Bo w nazwisku pierwszą i ostatnią literę widać, a reszta jest w /home. Zresztą większości nazwisk idzie się po nazwach katalogów domowych domyślić.

  11. Odnośnie punktów ksero na uczleniach. Jest taki przypadek w Katowicach na Uniwersytecie Śląskim wydział pedagogiki i psychologii. Na ksero i komputerze wisi informacja że komputer może być zainfekowany i że wkłada się pendrive na własną odpowiedzialność. Po czym dziewczyna musiała już coś wydrukować na tej uczelni i po przyjściu do domu dała mi go do sprawdzenia. Cały pendrive był zainfekowany jakimiś pasciami. Najlepsze jest to że jest tam jakiś informatyk ale nawet się tego nie podejmie i tak w koło wszyscy narzekają że mają zainfekowane laptopy m.in wykładowcy.

  12. W punkcie ksero zamiast pendrive-ów trzeba wkładać dyskietki 3,5″ zabezpieczone przed zapisem. :)

  13. > Komitet uruchomi komornika?
    A po co komornik? Wystarczy wstrzymać świadectwo, tak jak za nieoddanie książki do biblioteki.

  14. Znam dziurę na politechnicę białostockiej – zgłoszę jak RODO zacznie funkcjonować – można wyszukać studentów, pracowników, adres e-mail, telefon, a czasami nawet zdjęcia!

    • RODO z tego co koledzy pisali wyżej nie będzie obowiązywać urzędów, ani uczelni, gdyż nie są oni biznesami komercyjnymi.

    • @Anon
      Prywatne też?

    • @Anon
      RODO obowiązuje wszystkie organy administracji publicznej w tym uczelnie. W RODO nie chodzi o komercyjność tylko o sam fakt gromadzenia danych.

    • Uczelnie to państwo w państwie, dopóki rektor nie wyrazi zgody, żadna służba państwowa nie może się wtrącać w jej działanie (tzw. autonomia uczelni – w zamierzeniu ustawodawcy umożliwia apolityczność badań naukowych i działalności uczelni jako takiej).

  15. Ech, łezka się w oku kręci… przypomniały mi się stare dzieje adminowania na polibudzie…

    To było jeszcze w czasach przedsshowych, a nawet w niektórych budynkach przedipowych. Jak już się pojawił SSH to nie wszędzie można było wyłączyć telnet, bo nie było klienta ssh na DOSa. Królował FTP i nieszyfrowany SMTP bez autoryzacji. X11 bez MIT-MAGIC-COOKIE. Raj dla co bardziej rozgarniętych studentów – ale większość tych rozgarniętych była na tyle rozgarniętych, że nie robiła bajzlu, co najwyżej niewinne żarciki.

    Były dwa “poważne” incydenty. Jeden – ktoś wysłał z kompa w czytelni maila na president@whitehouse.gov z niewybredną treścią. SS zareagowało (przez ambasadę), ale… po sześciu miesiącach, więc nic konkretnego się nie dało ustalić. Odpisalismy grzecznie, że dowody zabezpieczone dla ewentualnego dochodzenia, ale żadna nasza literkowa agencja nie zgłosiła się…

    Drugi – porno na kontach studenckich w ~/public_html. Tylko JPGi, żadnych HTMLi. Logi Apache’a zabite wpisami GET z całego świata. Brak logowań interaktywnych na te konta, tylko FTP STOR/DELE. Ślady (logowania FTP, referery HTTP) prowadziły do firmy z Sosnowca oferującej takie materiały za pieniądze. Spryciarze chmurę sobie zrobili z naszego serwera, tylko skąd wzięli loginy i hasła? Nie było włamu. Właściciele kont (wyłącznie z wydziałów “nieinformatycznych”, więc mało kumaci) tłumaczyli się, że nic nie wiedzą, jakoby mieli jakieś konto, albo że wykładowca kazał założyć, ale nie korzystali. Procedura zakłądania kont była raczej szczelna, wymagała pokazania się i legitymacji :-)
    Nie udało się ustalić szczegółów procederu, podejrzewaliśmy, że ktoś skupował albo wyłudzał loginy i hasła od “nietechnicznych” studentów. Raport poszedł do rektora, ale czy jakaś akcja prawna z tego była – nie wiem, chyba nie.

  16. Znaczy jeśli student na swoim koncie na serwerze uczelnianym opublikował jakieś dane to to też jest wpadka uczelni? Analogicznie jeśli klient firmy hostingowej opublikuje coś nie tak na swojej stronie to jest to wpadka firmy hostingowej?

    Co do tego, że każdy ma dostęp do danych na liście – a podpisywaliście kiedyś jakąś petycję, albo udzielali poparcia jakiemuś kandydatowi do startu w wyborach?

    A jeszcze nie tak dawno numer telefonu można było znaleźć w książce telefonicznej a przyciski domofonu były podpisane nazwiskami…

  17. Kwestię egzaminu dla adwokatów / radców prawnych przerabiałem kilka lat temu przy okazji egzaminu żony. Nazwać tę sytuację kuriozum to mało. Przez egzaminem pojawiło się demo, które należało przetestować na swoim komputerze i tym samym sprawdzić, czy “aplikacja końcowa” zadziała podczas egzaminu. Pomijając wspomniane odinstalowanie programu antywirusowego było wiele innych aspektów, które doprowadziły do tego, że po kilku dniach walki z różnymi komputerami, z różnymi systemami i kilkukrotnym zwróceniem się do pomocy technicznej, kupiłem żonie nowy komputer (i tak był planowany) z “czystym” Win10 i w końcu program do egzaminu zadziałał. Pomoc techniczna ograniczała się do stwierdzeń “musi działać”, a nie działało.

  18. Czym są “systemy bublioteczne”?

    • Systemami bibliotecznymi zawierającymi buble.

    • Nie istnieje ogólna metoda dowodzenia jakości oprogramowania czyli taka, która dałaby wyczerpującą listę bubli lub informację, że bubli brak. Istnieją tylko metody szczegółowe dowodzenia, które mogą wykryć bubel ale brak wykrycia nie oznacza, że ich nie ma. Zatem każdy system biblioteczny to potencjalny system bublioteczny. :)

  19. Odnośnie fragmentu o malware w punkcie ksero, znam podobną historię z salami komputerowymi na jednym z większych wydziałów AGH (chociaż historia pewnie powtarza się w wielu innych miejscach). Komputery w niektórych salach nie posiadają dostępu do Active Directory, istnieje jedno konto ogólnodostępne per stacja, przez co stanowiska są zasyfione różnego rodzaju wirusami. Wkładając pendrive mamy bardzo dużą szansę, że wyniesiemy z uczelni jakąś “niespodziankę”. Raz podłączyłem pendrive w celu zbadania sprawy, skan antywirusem pokazał malware i 2 trojany. Sprawa oczywiście była zgłaszana do prowadzących przedmioty w tych salach, ale oni rozkładają ręce.
    Dodam, że minęły już 3 lata od mojego pierwszego zgłoszenia tej sytuacji pracownikom uczelni, a podczas niedawnych zajęć koledze znowu “zjadło” pendrive’a…

  20. GPG się kłania! GnuPG!

    Nie było by żadnego problemu, gdyby każdy uczeń miał swój własny podpis elektroniczny, certyfikowane odpadają, bo po co komu płacić, ale jest przecież fantastyczny system GPG i niech nikt nie mówi, że społeczeństwo jest głupie, wygenerowanie sobie pary kluczy jest bardzo proste, zresztą od czego są ci informatycy? Niech napiszą kawałek aplikacji, albo kawałek skryptu… Ja szczęściarzem jestem jednak, że informatyki uczyłem się za czasów komputerów i386sx…

    • > certyfikowane odpadają
      Czemu? Uczelnie to duzi klienci dużych CA, mają często własne sub-CA i zresztą każda legitka to w istocie stykowy cert (tyle że niekwalifikowany i bez odpowiednich OID-ów). Wyrobienie studentowi e-mailowego czy nawet TLS-owego przecież nic by nie kosztowało, poza tym poczta w takim W10 obsługuje S/MIME standardowo.

  21. Jeżeli chodzi o AGH, to pliki passwd – jeszcze nieshadowane, były dostępne w masowych ilościach jeszcze 20 lat temu. JtR łamał grube dziesiątki haseł w pierwszych minutach działania.

    A teraz, drogie dzieci, kto mi powie – jak się ma RODO do 5 kolumny #etc#passwd.

  22. ‘mityczny błąd systemu’… U nas w korpo jak pracownik kliknie nie tam gdzie trzeba, to mówi się klientowi, że to były ‘technical issues’ ;)

    • Redmine pewnej firmy i opisy zmian statusu zgłoszeń:
      — Closed: u mnie działa
      — Closed: nic Pan do DT nie wysyłał (oczywiście ze skrzynki imap z “wysłanych” wiadomość zniknęła)
      — Closed: kiedy nie działało? (po 3 dniach od naprawy)
      — Closed: pebkac

  23. WBHiIŚ w dalszym ciągu przy składaniu papierów na studia doktoranckie wymaga skanu dowodu osobistego, nie wiem jak na inne stopnie ani jak jest na innych wydziałach ale w tym konkretnym przypadku jest to wymóg opisany w warunkach rekrutacji. Do dzisiaj zmiana hasła w bibliotece następuje po zapisaniu nowego na kawałku papieru, logowanie do sieci PW wifi odbywa się na podstawie peselu oraz hasła generowanego przez system które jest banalne do zgadniecia znając kogoś tylko trochę, to samo hasło jest do maila studenckiego

    • Na EiTI hasło do wifi jest odrębne od hasła do Studia2/Eresa, a dodatkowo można je (od niedawna, z różnym skutkiem) zresetować właśnie przez Studia2. Gdyby tylko prowadzący serwer Studia2 znał cokolwiek innego niż perl i HTML 4.01 z lat dziewięćdziesiątych, to system mógłby działać jako tako – niestety jest jeszcze beton w formie nie dawania przyzwolenia na oddolne zmiany. Uwalanie pomysłów studentów na nowe systemy obsługi studiów elastycznych, brak jakichkolwiek badań, zamówienia z wolnej ręki dawane korporacjom tam, gdzie można było wystawić przetarg albo wręcz poprosić jakiegoś promotora o poprowadzenie realizacji takiego systemu w ramach pracy dyplomowej wraz z pełną dokumentacją… przykłady by mnożyć.

  24. W moim liceum od kwietnia na głównym korytarzu wisi lista wszystkich zdających maturę razem z peselami. Przypadkowa osoba może wejść do szkoły i zrobić zdjęcie. Z tego co wiem w innych liceach jest podobnie :(

    • Są dwa główne problemy:
      – PESEL nie jest wystarczająco chroniony przed właśnie takim wypisywaniem go “na ulicy” – łatwo o kradzież tożsamości
      – >40% ludzi nie zna własnego PESEL-u (sic!)

  25. data urodzenia, imię i nazwisko to dane wrażliwe???? Każdy takie informacje udostępnia chociażby na swoim facebooku

  26. Brak uwierzytelniania na SMTP poczty PWr pokazywał nam prowadzący zajęcia z bezpieczeństwa jakieś 8 lat temu. Co ciekawe – niedługo później wybuchła afera z tym związana i serwer faktycznie został zabezpieczony (sprawdziłem osobiście). Fajnie, że ktoś otwiera stare dziury :).

  27. Co do podbijania legitymacji, nie wiem jak na tej uczelni, ale np na AGH i tak te legitymacje są jeszcze za biurkiem przykładane do czytnika, aby sprawdzić czy można im przedłużyć ważność więc jeżeli tam jest podobnie to mogliby im przywieźć nawet wagon legitymacji do podbicia

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.