un blog de Radu Dumitru

Uitați-vă și pe canalul meu de YouTube! Un subscribe ajută enorm.

Dacă site-ul Ministerul Educației poate fi spart ușor, ce știm despre algoritmii de repartiție la licee?

14 Jun 2018  ·

TEHNOLOGIE  ·

15 comentarii

Dacă ați urmărit știrile, poate ați văzut că site-ul Ministerului Educației, edu.ro, rula un script ce folosea calculatoarele vizitatorilor pentru a genera criptomonede pentru băieții deștepți ce-au știut să instaleze un astfel de script în site.

În limbaj mai simplu, site-ul fusese modificat pe ascuns, iar calculatoarele vizitatorilor erau folosite, în acele secunde sau minute cât timp browserul avea deschisă pagina edu.ro, pentru a face calculele matematice complexe ce pot genera criptomonede.

Securitatea vizitatorilor nu era compromisă, dar e urât să le folosești procesorul pentru câștig propriu. Scriptul respectiv se pare că era CoinHive, care generează moneda numită Monero.

CERT-RO a intervenit, a curățat site-ul, iar ultima știre este că investighează dacă cineva din interior a pus acel script sau a fost o breșa de securitate și un atacator din exterior a modificat site-ul Edu.

Problema este alta: dacă cineva a reușit să modifice site-ul, ce garanție mai au sutele de mii de părinți că restul informațiilor din site nu sunt modificate?

Pe Edu se afișează listele cu repartițiile copiilor la școli și licee, parcă și rezultatele de la bacalaureat, plus variante de subiecte. Cum știi că nu sunt modificate?

Cum știi că, pentru o sumă de bani, cineva cu acces nu modifică site-ul pentru a repartiza elevul X la un anumit liceu sau pentru a-i crește nota? Mi se pare că Ministerul Educației ar trebui să dea mai multe detalii despre cum asigură securitatea acestor procese. Mai mult, prin prisma noului GDPR, Ministerul Educației ar trebui să spună și dacă cineva a avut acces la datele a sute de mii, poate milioane de copii din bazele lor de date sau doar o fost o injecție simplă de cod într-un Drupal neactualizat.

    15 comentarii

  1. poate ca siteul doar comunica o repartitie, nu o decide?
    nu cred ca liceele isi iau listele de pe site, ci direct de la sursa.

    atentie, nu spun ca algoritmul de repartitie e perfect, complet fara hibe, etc..
    dar mi se pare ca legatura pe care o faci acum este malitioasa (pentru ca lipsit de cunostinte tehnice nu esti).

    crezi ca daca cineva ar sparge siteul loteriei si ar afisa numerele de pe biletul propriu la castigatoare.. i-ar da cineva premiul?

      (Citează)

    • Da, dar să presupunem că obții acces și la servere și algoritmul de repartiție.

      john2381: crezi ca daca cineva ar sparge siteul loteriei si ar afisa numerele de pe biletul propriu la castigatoare.. i-ar da cineva premiul?

      Nu, dar poate sparge și algoritmul.

      Întrebarea este alta: dacă s-ar întâmpla asta, ar anunța public problema sau ar da premiul și ar merge pe burtă în continuare, ca să nu strice încrederea în loterie?

        (Citează)

  2. Ma indoiesc serios ca site-ul ministerului comunica in ambele sensuri cu o baza de date. Mai ales tinand cont ca de obicei bazele de date din ministere ruleaza pe carbuni si aburi si cel mult rezulta un .xls din ele in care mai muncesti 2 zile ca sa poti da ceva mai departe.

      (Citează)

  3. Nu cred ca un site in Drupal face repartitia…

      (Citează)

  4. Ca cineva care a lucrat la edu.ro acum multi ani, iti pot spune ca repartitiile se fac integral offline, dupa ce optiunile tuturor elevilor au fost introduse manual in sistem. Dupa ce algoritmul ruleaza, sunt generate, printre altele, pagini statice cu listele de elevi. Paginile respective sunt apoi uploadate online. Asadar, desi lista e afisata pe domeniul mare edu.ro, de fapt e gazduita ca sub-domeniu si nu prea poata fi sparta fiindca e statica (nu e legata la baza de date care gazduieste rezultatele).

      (Citează)

    • Corect, asa stiam si eu ca se fac offline de catre Siveco.

        (Citează)

    • Asta sună bine. Acum sunt curios ce acces au cei din Siveco la sistem și dacă, în caz de probleme, ar spune că s-a întâmplat ceva.

      De-a lungul timpului, o mulțime de companii au încercat să mușamalizeze hackingul sau problemele cu angajații.

        (Citează)

  5. Eu cred ca cineva din fiecare inspectorat judetean, face un .xls la mana, probabil ce se vede pe site e rezultatul a multor oameni si doar informativ pentru public. Restul datelor si le transfera intre ei… multa munca cum se poarta in .ro.
    @john2381 Analogia cu rezultatul numerelor Loto e foarte buna.

      (Citează)

  6. Apropo, aplicația Autorității Electorale Permanente (AEP) a fost realizata de Siveco.

      (Citează)

  7. Exact, ăsta mi se pare mai degrabă un articol alarmist, sub nivelul care ar fi de așteptat de la un inginer care înțelege măcar principial cum merge tehnologia. Site-ul din fața unei companii nu este cu adevărat reprezentativ pt tehnologia din companie.

    A fost acum cîțiva ani o situație că cineva a spart site-ul NASA, dar asta nu înseamnă nici unul din 2 lucruri:
    (1) NASA sucks. Fals. Specialitatea celor de la NASA este zborul spațial, nu site-urile de web. Site-ul este facut de niște angajați care ar putea proveni de la orice altă companie sau chiar este cumpărat cu totul de la o companie de web design

    (2) toate planurile navetelor spatiale și a lui Saturn V sînt compromise. Fals. Site-ul de web nu este echivalent cu sistemele informatice interne.

      (Citează)

    • Eu întreb ce garanție ai că serverele din spate sunt bine securizate împotriva hackingului sau a angajaților cu interese alternative. Tu îmi zici doar că sunt diferite de serverul web; știam asta.

        (Citează)

  8. articol de tipul “scareware”, aproape perfect pentru un tabloid. lipseste doar un titlu mai puternic, in rest are toate atributele: de la o eroare/problema de securitate – rezulta aproape sigur ca totul e posibil eronat, si daca tot suntem aici trebuie neaparat sa vina cu acte ( sa spuna daca bla bla gdpr)

    genul asta de postari le avea senatorul Urban in care dadea in toata lumea, si mai trimitea si adrese cu antetul de la senat

      (Citează)

  9. Serios ? Ce sa mai vorbim de alegeri in cazul asta… ??

      (Citează)

    Alătură-te discuției, lasă un mesaj

    E-mail-ul nu va fi publicat. Fără înjurături și cuvinte grele, că vorbim prietenește aici. Gândiți-vă de două ori înainte de a publica. Nu o luați pe arătură doar pentru că aveți un monitor în față și nu o persoană reală.

    Apăsați pe Citează pentru a cita întreg comentariul cuiva sau selectați întâi anumite cuvinte și apăsați apoi pe Citează pentru a le prelua doar pe acelea. Link-urile către alte site-uri, dar care au legătură cu subiectul discuției, sunt ok.


    Prin trimiterea comentariului acceptați politica de confidențialitate a site-ului.



    Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.

    Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri

    Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.

sus