un blog de Radu Dumitru
un blog de Radu Dumitru
►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄
14 Jun 2018 ·
Dacă ați urmărit știrile, poate ați văzut că site-ul Ministerului Educației, edu.ro, rula un script ce folosea calculatoarele vizitatorilor pentru a genera criptomonede pentru băieții deștepți ce-au știut să instaleze un astfel de script în site.
În limbaj mai simplu, site-ul fusese modificat pe ascuns, iar calculatoarele vizitatorilor erau folosite, în acele secunde sau minute cât timp browserul avea deschisă pagina edu.ro, pentru a face calculele matematice complexe ce pot genera criptomonede.
Securitatea vizitatorilor nu era compromisă, dar e urât să le folosești procesorul pentru câștig propriu. Scriptul respectiv se pare că era CoinHive, care generează moneda numită Monero.
CERT-RO a intervenit, a curățat site-ul, iar ultima știre este că investighează dacă cineva din interior a pus acel script sau a fost o breșa de securitate și un atacator din exterior a modificat site-ul Edu.
Problema este alta: dacă cineva a reușit să modifice site-ul, ce garanție mai au sutele de mii de părinți că restul informațiilor din site nu sunt modificate?
Pe Edu se afișează listele cu repartițiile copiilor la școli și licee, parcă și rezultatele de la bacalaureat, plus variante de subiecte. Cum știi că nu sunt modificate?
Cum știi că, pentru o sumă de bani, cineva cu acces nu modifică site-ul pentru a repartiza elevul X la un anumit liceu sau pentru a-i crește nota? Mi se pare că Ministerul Educației ar trebui să dea mai multe detalii despre cum asigură securitatea acestor procese. Mai mult, prin prisma noului GDPR, Ministerul Educației ar trebui să spună și dacă cineva a avut acces la datele a sute de mii, poate milioane de copii din bazele lor de date sau doar o fost o injecție simplă de cod într-un Drupal neactualizat.
Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.
Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri
Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.
Îți place blogul meu?
Apasă acest buton înainte de a cumpăra de la eMAG
și vei susține acest site.
Magazine recomandate:
Flanco devine primul Smart Discounter electro-IT din Romania (și ce înseamnă asta)
Oferte bune de la Revoluția Prețurilor de la eMAG
Articole interesante de citit astăzi – 14 aprilie 2024
Iranienii au lansat un atac aerian care doar îi face să pară neputincioși
iPhone 16 probabil va introduce un buton dedicat de fotografiere și îmi place ideea aceastaCopyright © 2006 - 2018 nwradu blog.
Reproducerea textelor și a imaginilor ce-mi aparțin este posibilă numai în sistem "creative commons Attribution Non-Commercially Share-alike 3.0 CC BY-NC-SA".
Termene și condiții | Politica de confidențialitate | Politica de cookies
15 comentarii
14/06/2018 la 7:17 AM
poate ca siteul doar comunica o repartitie, nu o decide?
nu cred ca liceele isi iau listele de pe site, ci direct de la sursa.
atentie, nu spun ca algoritmul de repartitie e perfect, complet fara hibe, etc..
dar mi se pare ca legatura pe care o faci acum este malitioasa (pentru ca lipsit de cunostinte tehnice nu esti).
crezi ca daca cineva ar sparge siteul loteriei si ar afisa numerele de pe biletul propriu la castigatoare.. i-ar da cineva premiul?
john2381(Citează)
16/06/2018 la 7:32 AM
Da, dar să presupunem că obții acces și la servere și algoritmul de repartiție.
Nu, dar poate sparge și algoritmul.
Întrebarea este alta: dacă s-ar întâmpla asta, ar anunța public problema sau ar da premiul și ar merge pe burtă în continuare, ca să nu strice încrederea în loterie?
nwradu(Citează)
14/06/2018 la 7:45 AM
Ma indoiesc serios ca site-ul ministerului comunica in ambele sensuri cu o baza de date. Mai ales tinand cont ca de obicei bazele de date din ministere ruleaza pe carbuni si aburi si cel mult rezulta un .xls din ele in care mai muncesti 2 zile ca sa poti da ceva mai departe.
Gaelex(Citează)
14/06/2018 la 7:53 AM
Nu cred ca un site in Drupal face repartitia…
alex(Citează)
16/06/2018 la 7:33 AM
Nu, dar depinde ce poți accesa acolo pe lângă front-end.
nwradu(Citează)
14/06/2018 la 9:16 AM
Ca cineva care a lucrat la edu.ro acum multi ani, iti pot spune ca repartitiile se fac integral offline, dupa ce optiunile tuturor elevilor au fost introduse manual in sistem. Dupa ce algoritmul ruleaza, sunt generate, printre altele, pagini statice cu listele de elevi. Paginile respective sunt apoi uploadate online. Asadar, desi lista e afisata pe domeniul mare edu.ro, de fapt e gazduita ca sub-domeniu si nu prea poata fi sparta fiindca e statica (nu e legata la baza de date care gazduieste rezultatele).
ionel(Citează)
14/06/2018 la 1:11 PM
Corect, asa stiam si eu ca se fac offline de catre Siveco.
JeanValjean(Citează)
16/06/2018 la 9:16 AM
Asta sună bine. Acum sunt curios ce acces au cei din Siveco la sistem și dacă, în caz de probleme, ar spune că s-a întâmplat ceva.
De-a lungul timpului, o mulțime de companii au încercat să mușamalizeze hackingul sau problemele cu angajații.
nwradu(Citează)
14/06/2018 la 9:21 AM
Eu cred ca cineva din fiecare inspectorat judetean, face un .xls la mana, probabil ce se vede pe site e rezultatul a multor oameni si doar informativ pentru public. Restul datelor si le transfera intre ei… multa munca cum se poarta in .ro.
@john2381 Analogia cu rezultatul numerelor Loto e foarte buna.
Anonim(Citează)
14/06/2018 la 9:41 AM
Apropo, aplicația Autorității Electorale Permanente (AEP) a fost realizata de Siveco.
george(Citează)
14/06/2018 la 10:06 AM
Exact, ăsta mi se pare mai degrabă un articol alarmist, sub nivelul care ar fi de așteptat de la un inginer care înțelege măcar principial cum merge tehnologia. Site-ul din fața unei companii nu este cu adevărat reprezentativ pt tehnologia din companie.
A fost acum cîțiva ani o situație că cineva a spart site-ul NASA, dar asta nu înseamnă nici unul din 2 lucruri:
(1) NASA sucks. Fals. Specialitatea celor de la NASA este zborul spațial, nu site-urile de web. Site-ul este facut de niște angajați care ar putea proveni de la orice altă companie sau chiar este cumpărat cu totul de la o companie de web design
(2) toate planurile navetelor spatiale și a lui Saturn V sînt compromise. Fals. Site-ul de web nu este echivalent cu sistemele informatice interne.
alias(Citează)
16/06/2018 la 9:19 AM
Eu întreb ce garanție ai că serverele din spate sunt bine securizate împotriva hackingului sau a angajaților cu interese alternative. Tu îmi zici doar că sunt diferite de serverul web; știam asta.
nwradu(Citează)
14/06/2018 la 10:33 AM
articol de tipul “scareware”, aproape perfect pentru un tabloid. lipseste doar un titlu mai puternic, in rest are toate atributele: de la o eroare/problema de securitate – rezulta aproape sigur ca totul e posibil eronat, si daca tot suntem aici trebuie neaparat sa vina cu acte ( sa spuna daca bla bla gdpr)
genul asta de postari le avea senatorul Urban in care dadea in toata lumea, si mai trimitea si adrese cu antetul de la senat
dudu(Citează)
16/06/2018 la 9:19 AM
Vezi mai sus.
nwradu(Citează)
18/06/2018 la 2:31 PM
Serios ? Ce sa mai vorbim de alegeri in cazul asta… ??
Mocasinul(Citează)