Publikujemy rozwinięcie poprzedniego artykułu na temat Politechniki Warszawskiej, który wywołał dość spontaniczne, aczkolwiek sprzeczne ze sobą reakcje. Niektórzy upierają się, że problemu nie ma i nie było, inni ostrzegają i proszą o zmianę haseł…
Dzień zero: pytania bez odpowiedzi
W poniedziałek 20 listopada, przed publikacją artykułu Jak przejąć konto poczty elektronicznej studenta Politechniki Warszawskiej, przesłaliśmy do osoby odpowiedzialnej za kontakt z mediami następujące pytania:
- Dlaczego Politechnika postanowiła narzucić użytkownikom hasła tworzone wg przewidywalnego schematu, wbrew przyjętym dobrym praktykom?
- Dlaczego Politechnika uniemożliwia użytkownikom zmianę tak narzuconego hasła wbrew nie tylko dobrym praktykom ale i zdrowemu rozsądkowi?
- Kto zadecydował o przyjęciu takich zasad zarządzania hasłami użytkowników?
- Czy pracownicy Politechniki zajmujący się kwestiami bezpieczeństwa informacji opiniowali przyjęte rozwiązania?
- Dlaczego nikt nie poinformował studentów o ryzyku towarzyszącym takiemu rozwiązaniu?
Ponieważ wtedy żadnej odpowiedzi (poza informacją o przekazaniu sprawy dalej do nieistniejącego dyrektora Janusza Zajkowskiego[sic!]) nie otrzymaliśmy, przystąpiliśmy do publikacji pierwszego materiału.
Dzień pierwszy: publikujemy materiał
Artykuł spotyka się z olbrzymim odzewem i niemal natychmiast wywołuje burzę w komentarzach w serwisie i na Facebooku. Przedstawiamy wybrane komentarze z ostatnich kilku dni:
Dzień drugi: ostrzeżenie w ISOD
Mijają dwa dni od publikacji pierwszego artykułu. Prodziekan Wydziału Elektrycznego, dr inż. Włodzimierz Dąbrowski publikuje ostrzeżenie w systemie ISOD. Prodziekan powołuje się bezpośrednio na Z3S jako źródło informacji. Warto podkreślić, że dr Dąbrowski jest jedyną osobą, która postawiła sprawę jasno. Serdecznie mu za to dziękujemy.
Również dzień drugi: Kwestia certyfikatów SSL
Nasz artykuł oprócz zamieszania najwyraźniej spowodował także dobre zmiany, ponieważ po jednym dniu od jego publikacji instrukcja „Zasady korzystania z kont studenckich” została wzbogacona o informacje na temat możliwości zmiany hasła przez portal passwordreset.pw.edu.pl. Z danych zawartych w logach Certificate Transparency wynika, że sama subdomena istnieje od co najmniej 15 listopada 2016 roku, bo wtedy właśnie wystawiono na nią pierwszy certyfikat SSL. Pomimo że certyfikat jest ważny dwa lata, z niewyjaśnionych przyczyn administrator Politechniki, dnia 22 listopada 2017 roku (dzień po publikacji artykułu) zażądał wydania nowego certyfikatu, posługując się przy tym innym kluczem publicznym RSA niż wcześniej. Tak prezentuje się obecnie używany certyfikat:
Okoliczności w jakich oryginalny certyfikat z 2016 roku „poszedł w odstawkę” pozostają nieznane. Jedno jest pewne: wystawienie nowego certyfikatu oznacza, że wystąpiły jakieś okoliczności, które uniemożliwiły wykorzystanie poprzedniego (przykładem takiej okoliczności może być zgubienie klucza albo hasła do niego). Dziwnym trafem okoliczności te zaistniały właśnie dzień po opublikowaniu artykułu.
Można oczywiście posłużyć się argumentem, że system zmiany hasła istnieje i działa już od roku. Nie ma to zbyt dużego znaczenia dla tej sprawy, ponieważ jego istnienie ujawniono dopiero dzień po interwencji Zaufanej Trzeciej Strony. Wyszukiwanie w Google hasła „passwordreset.pw.edu.pl” (wraz z cudzysłowami) na obecną chwilę zwraca wyłącznie trzy wyniki:
Jeśli ustawimy ograniczenie czasowe wyników do 20 listopada 2017, to odpowiedzi nie ma wcale. Nawet jeżeli taki portal istniałby wcześniej, przed 21 listopada 2017 roku nie był on nikomu znany. Także serwisy takie jak archive.org czy PassiveTotal nie zawierają śladów istnienia portalu zmiany hasła przed publikacją naszego artykułu.
Dzień trzeci: zmiany w instrukcji
Instrukcji Zasady korzystania z kont studenckich otrzymuje kolejne poprawki, tym razem pojawia się link do dokumentu Procedura zmiany hasła. Z metadanych dostępnych w programie Adobe Reader wynika, że został on utworzony wczesnym rankiem, dwa dni po publikacji artykułu.
Dzień czwarty: odpowiedź rzecznika prasowego
Dnia 24 listopada (piątek) o godzinie 9:56, redakcja Zaufanej Trzeciej Strony otrzymuje od rzecznik prasowej dosyć zaskakującą i nad wyraz lakoniczną odpowiedź na przesłane w poniedziałek 5 pytań:
Szanowny Panie,
uprzejmie informuję, że przekazane przez Państwa serwis: https://zaufanatrzeciastrona.pl/post/jak-przejac-konto-poczty-elektronicznej-studenta-politechniki-warszawskiej/
informacje dotyczące kont poczty elektronicznej studentów Politechniki Warszawskiej nie są zgodne ze stanem faktycznym.
Z wyrazami szacunku
Izabela Koptoń-Ryniec
Kierownik Sekcji Komunikacji Społecznej Rzecznik prasowy
Biuro Rektora
Politechnika Warszawska
Ponieważ w ciągu ostatnich czterech dni sporo się wydarzyło, postanowiliśmy zapytać czy informacje były wcześniej zgodne ze stanem faktycznym. Tego samego dnia o godzinie 11:30 otrzymaliśmy dodatkowe wyjaśnienie:
Szanowny Panie,
potwierdzam, że przekazane przez Pana informacje dotyczące kont poczty elektronicznej studentów Politechniki Warszawskiej nie były i nie są zgodne ze stanem faktycznym.
Z wyrazami szacunku
(stopka – przyp. red)
Na tym niestety kończy się nasz kontakt z Sekcją Komunikacji Społecznej, która pomimo licznych próśb postanowiła nie wskazywać, które konkretnie informacje podane przez Z3S nie są lub nie były zgodne ze stanem faktycznym. Mimo naszego zaproszenia Politechnika Warszawska nie skorzystała z ustawowego prawa do publikacji sprostowania.
Zdarzało się nam już, że na niewygodne pytania nie otrzymywaliśmy żadnej odpowiedzi. Pierwszy raz jednak rzecznik prasowy pytanej instytucji nie tylko nie odpowiada na żadne pytanie, ale jednocześnie zarzuca nam kłamstwo i nie udziela dodatkowych wyjaśnień. Celem przytoczonych przez nas pytań było rozwianie wątpliwości czytelników (w tym studentów PW!) związanych z bezpieczeństwem ich danych, szczególnie osobowych.
W międzyczasie: Aplikacja „Change Password” w Office 365
Jakiś czas później użytkownicy politechnicznego Office 365 otrzymują powiadomienia (bez oznaczonej daty i godziny) o udostępnieniu im nowej aplikacji „Change Password”:
Dzień szósty: kontakt czytelnika
W tuż przed publikacją tego artykułu, w niedzielę kontaktuje się z nami jeden z czytelników Z3S. Informuje, że w pierwszej połowie 2016 roku kontaktował się mailowo z ServiceDesk PW, zadając następujące pytania (wytłuszczenia nasze):
1. Dlaczego do wdrożenia skrzynek został użyty portal zewnętrzny?
1.1. W jakim stopniu moje dane osobowe zostały przekazane podmiotowi trzeciemu jakim jest firma Microsoft odpowiedzialna za platformę office.com? Na jakiej podstawie mogli Państwo przekazać te dane bez mojej zgody?
(…)
2. Co należy rozumieć przez punkt 1.1 na stroniehttps://www.ci.pw.edu.pl/Uslugi/Service-Desk/FAQ-Najczesciej-zadawane-pytania
[3]? – „Wszyscy studenci [..], którzy nie podali kont e-mail na etapie rekrutacji […]”
Sformułowanie sugeruje, że podany przeze mnie w ramach rekrutacji adres email mogę używać zamiast centralnej skrzynki do określonych potem rzeczy… jednak w samym pliku „załącznik do pisma Prorektora_20151201.docx” z informacją jest, że używanie tej skrzynki jest obowiązkowe.
2.1 Jeśli jednak mogę używać maila z rekrutacji oficjalnego kontaktu z uczelnią, to jak rozpatrywane są aliasy? Podany przeze mnie mail zawiera alias (’+p’), jednak maile wysyłane są z głównego adresu – czy wpływa to na poprawne rozpoznanie adresu jako przynależącego do mnie? Jeśli tak, to czy jest możliwość zmiany tego adresu?Techniczne:
3. Czy jest możliwość dostępu do nowej poczty przez SMTP i IMAP/POP3?
(Strona podaje taką konfigurację tylko dla @stud.pw.edu.pl, a nie @pw.edu.pl)
4. Zażalenie/pytanie: Czemu opcja zmiany hasła nie jest dostępna?
4.1 Zażalenie: Hasła są przewidywalne.
Po półtora miesiąca, CI PW pokusiło się o wysłanie czytelnikowi następującej odpowiedzi:
Dzień dobry,
Na chwilę obecną poczta studencka jest wciąż na etapie wdrożenia.
NIe wszystkie elementy zostały przygotowane i nie wszystkie jeszcze są dostepne.
Zakończenie projektu przewidujemy w czerwcu 2016 r.
Pozdrawiamy,
CI-PW
Czerwiec 2016 minął, lecz również w przypadku tego kontaktu nie udało się uzyskać żadnych odpowiedzi na zadane pytania, nawet te związane z konfiguracją poczty.
Naprawdę dało się lepiej…
Odnosząc się do poprzedniego artykułu, czytelnicy alarmowali nas o tym, że hasła początkowe do kont bibliotecznych na PW zapisywane są na papierowych formularzach. Ponadto obsługa biblioteki po zeskanowaniu legitymacji studenckiej ma dostęp do jego hasła w postaci otwartego tekstu.
Otrzymaliśmy również informację na temat systemu rejestracji na lektoraty Studium Języków Obcych w którym uwierzytelnienie polega na wybraniu wydziału oraz podaniu swojego imienia, nazwiska oraz numeru indeksu.
Wszystkie te problemy, wraz z naczelnym problemem uwierzytelniania do Office 365 da się rozwiązać poprzez integrację z istniejącym już USOSowym serwerem CAS. Po kolei:
- Dokumentacja systemu Ex Libris wykorzystywanego w bibliotekach PW posiada osobną podstronę zatytułowaną: Using CAS for User Authentication, która tłumaczy w jaki sposób krok po kroku wdrożyć integrację z CAS.
- System Studium Języków Obcych najprawdopodobniej został wytworzony samodzielnie i opiera się na technologii PHP. Producent Jasig CAS zapewnia oficjalnego klienta napisanego w tej technologii, który nazywa się phpCAS. Najprostsza integracja sprowadza się do napisania kilkunastu linijek kodu.
- Uwierzytelnianie w Office 365 da się zrealizować za pomocą Microsoft Active Directory Federation Services (ADFS). Ten natomiast da się zintegrować z serwerem CAS za pomocą gotowych rozwiązań.
Oczywiście zawsze występują pewne problemy wdrożeniowe związane z prawidłowym wiązaniem kont pomiędzy systemami. W perspektywie długoterminowej, ponoszenie comiesięcznych kosztów utrzymania wielu różnych systemów logowania nie jest uzasadnione, jeżeli możliwe jest podjęcie jednorazowego wysiłku związanego wprowadzeniem prawdziwego centralnego uwierzytelniania. A przypominamy, że rozwiązuje to niemal wszystkie problemy z logowaniem, ponieważ:
Studenci, którzy zostali zarejestrowani w systemie po raz pierwszy począwszy od roku akademickiego 2014/2015 logują się używając własnego hasła z systemu Rekrutacja PW.
A system Rekrutacja PW podczas rejestracji umożliwia ustawienie własnego, bezpiecznego hasła. W razie wystąpienia takiej konieczności, możliwa jest zmiana tego hasła za pośrednictwem systemu USOS.
Podsumowanie
Stan na wieczór 26.11.2017: po interwencji portalu Z3S studentom udostępniono możliwość zmiany hasła. Powstały też odpowiednie instrukcje, które wyjaśniają jak to zrobić. Rzecznik prasowa PW utrzymuje, że cała sytuacja nie miała miejsca i pasywnie odmawia odpowiedzi na zadane przez nas pytania. Schematyczne hasła startowe nadal są stosowane, a zmiana hasła z technicznego punktu widzenia nie jest wymuszana.
Jesteśmy zadowoleni, że sytuacja uległa częściowej poprawie. Niestety sposób w jaki Politechnika Warszawska przeprowadza informatyzację, a w szczególności w jaki sposób podchodzi do obsługi incydentów bezpieczeństwa wciąż pozostawia bardzo wiele do życzenia.
Sprostowanie PW
We wtorek 28 listopada 2017 r. otrzymaliśmy tekst sprostowania od rzecznika prasowego PW:
Wdrożenie usługi poczty elektronicznej wraz z Office 365 na Politechnice Warszawskiej jest wdrożeniem opartym o tzw. „konfigurację hybrydową”. Wdrożenie pozwala studentom oraz pracownikom, m.in. na dostęp do laboratoriów komputerowych za pomocą takich samych loginów i haseł, jak do poczty elektronicznej. Konsekwencją wdrożenia jest fakt, że możliwość zmiany hasła jest dopuszczalna tylko na serwerach znajdujących się w infrastrukturze Politechniki Warszawskiej. Od chwili wdrożenia usługi – w przypadku studentów – możliwość zmiany hasła istnieje poprzez:
- stacje robocze w laboratoriach komputerowych PW, które korzystają z uwierzytelnienia z usługi katalogowej uruchomionej w Centrum Informatyzacji PW;
- portal zmiany hasła.
Ze względu na to, że informacja o możliwości zmiany hasła nie została odpowiednio wyeksponowana, podjęto decyzję o przeniesieniu portalu zmiany hasła w miejsce bardziej widoczne wraz z instrukcją zmiany hasła.
Warto podkreślić, że sprostowanie nie odnosi się do kwestii stosowania niebezpiecznych domyślnych haseł. Politechnika Warszawska postanowiła również nie wyjaśniać dlaczego do czasu publikacji naszego artykułu, istnienie portalu zmiany hasła nie było podane do publicznej wiadomości. Na naszą skrzynkę redakcyjną otrzymywaliśmy również sygnały od co najmniej 3 osób, że Service Desk PW nie chciał takiej informacji udzielić.
Komentarze
Leśnodziadczenie na PW ma się w najlepsze. Dobrze, że chociaż EiTI ma swojego hiperbezpiecznego ERESa.
Mam nadzieję, że ten hiperbezpieczny to sarkazm.
„A, bo Z3S to taki nietoperz, co się niepotrzebnie czepia wszystkiego. Hasła były dobre i działały, a teraz trzeba coś zmieniać i odpowiadać na głupie pytania.” Tak właśnie było, prawda? Ot – mentalność: bylejakość i tumizwisizm.
Politechnika Wrocławska ma podobnie: np. hasła do biblioteki trzymane plaintextem i ustawione domyślnie na PWR[NR_INDEKSU]
Jest lepiej, bo nawet po zmianie, hasła muszą mieć pomiędzy 4 a 6 znakami, małe litery bądź cyfry.
Zamieszanie z hasłami na Polskich uczelniach to norma. Część informacji jest dostępna po podaniu numeru indeksu, imienia i nazwiska.
Brak też centralnego systemu uwierzytelniania. Sam studiuję na AGH, a obecnie w banku haseł mam chyba z 6 różnych kont na domenę agh.edu.pl, bo do każdej usługi tworzy się osobne konto.
Usługi centralnego uwierzytelniania często występują, tylko najczęściej kilka na raz ;)
Pani rzecznik prasowa jeszcze pracuje po takiej wtopie? Nie chcę zbyt mocno narzekać, ale w prywatnej firmie spodziewałbym się kick&bana w postaci dyscyplinarki za takie jawne „lecenie w kulki” (żeby uniknąć innego słownictwa).
Nie będzie kick&ban bez interwencji z poziomu ministerstwa. Dlaczego?
A próbowaliście googlać nazwiska jakie nosi pani kierownik? No właśnie…
Myślisz że Pani rzecznik odpowiedziała tak sama z siebie? Mocno wątpię. Przyszedł prikaz, że ma udawać Greka i nie udzielać żadnych informacji.
Przecież odpowiedziała KIEROWNIK komunikacji. Czyli osoba która decyduje co mówią światu zewnętrznemu. Myślę, że nie chodzi o arogancję, tylko o kompetencję, a raczej ich braku. W przytoczonej wcześniejszej komunikacji pisał student, a takiego można olać. Tutaj mamy dziennikarza który nie dał się zbyć, i problem! Co robić!?
Pani KIEROWNIK komunikacji Izabela widać zapomniała, że czasy się zmieniły i do pozycji dołączona jest odpowiedzialność.
Człowieku w jakim świecie ty żyjesz, który rzecznik lub kierownik komunikacji dużej instytucji przekazuje swoje stanowisko, gdzie ty się uchowałeś ????
Teraz zacznie się wysyp zgłoszeń do Z3S od właścicieli webaplikacji, bo za free piszą co i jak skonfigurować, żeby było dobrze… :D
Pani rzecznik otrzymała polecenie sluzbowe i je wykonala. Zrodel arogancji nalezy szukac wyzej.
zdaje się że to jest dosyć powszechnie stosowane w dzisiejszych czasach:
„Nigdy do niczego się nie przyznawaj, złapią cię pijanego w samochodzie, to mów, że nie piłeś, znajdą ci dolary w kieszeni, to mów, że to pożyczone spodnie, a jak cię złapią na kradzieży za rękę, to mów, że to nie twoja ręka. Nigdy się nie przyznawaj.”
budżetówka rządzi się własnymi prawami :)
Tymczasem Wydział Elektroniki i Technik Informacyjnych PW ma odseparowany system skrzynek pocztowych. Nie ma co prawda wymuszonej zmiany hasła, ale hasło musi spełniać standardy. W przypadku WEiTI po interwencji Wydziałowej Rady Samorządu zmieniono podejście do publikacji danych dotyczących studentów: podawania np. na tacy indeksu+imienia+nazwiska przez Dziekanat, itd…
Należy pamiętać, że Wydziały nie zawsze używają systemów scentralizowanych w skali Uczelni – dotyczy to w szczególności Wydziałów Matematyki i Nauk Informatycznych oraz WEiTI.
Ale fakt – Studium Języków Obcych jechało po bandzie. Nie jedna osoba została strollowana przez kolegów i zapisana na języki w SJO.
Widzę, ze lekceważenie i traktowanie jak idiotę przez pracowników PW nie dotyczy tylko studentów, ale tez osoby z zewnątrz. Po kilku latach studiowania tam mam bardzo złą opinie na temat tych wszystkich przemądrzałych zgredow, wiec ta sytuacja w ogóle mnie nie zaskoczyła.
Proponuje zadać pytania w trybie dostępu do informacji publicznej, w końcu uczelnia korzysta z pieniędzy podatników :). Szkoda tylko potem kar za bezczynność także z naszych podatków ;).
Pani Izabela Koptoń-Ryniec Kierownik Sekcji Komunikacji Społecznej Rzecznik prasowy jak widać zna rozkaz 227 czyli ani kroku w tył.
Ciekawe czy ludzie w CI PW nie maja hasel w stylu admin1 do swojej poczty albo serwerow.
nie, mają qwerty, sprawdzone;)
Warto zwrócić jeszcze uwagę na instrukcję znajdującą się na portalu zmiany hasła. Zgodnie z metadanymi powstała ona 22.11.2017 23:31
Pamiętam jak zapomniałem kiedyś hasła do WiFi na EiTI. Poszedłem do jakiegoś admina, który przez SSH odpalił plsql, zrobił select password from users where index = 'tu-mój-numer-indeksu’ i zapytał czy to moje hasło, przytaknąłem i ładnie podziękowałem :)
No akurat hasła do wifi nigdy nie są hashowane :/
bo tak technicznie to jest „pre-shared key (PSK)” a nie hasło
ten ciąg znaków musi być znany po obu stronach (klient i punkt dostępowy)
Nieprawda. WPA-EAP nie bazuje na stałym kluczu wstępnym, tylko na uwierzytelniającej zaufanej „trzeciej stronie” (serwerze RADIUS) do którego właśnie lecą wszystkie requesty o uwierzytelnienie na podstawie danych z nagłówków EAP i ich treści. Jeżeli protokoły uwierzytelniania byłyby ograniczone do EAP-PEAP/MSCHAPv2, to dałoby się stosować NT-hash zamiast plaintekstu po stronie serwera – natomiast gdy aktywny jest na serwerze jakikolwiek inny protokół (np. zwykły CHAP) to serwer musi znać hasło plaintekstowe, by móc do czego porównać materiał od usera albo wytworzyć odpowiedniego hasha :)
Dąbrowski był skur* na egzaminie ale tu stanął na wysokości zadania. Szacun.
A mówiłem im w dziekanacie co pół roku, że można się do nich włamać, podszyć za studenta i kiedyś znajdzie się ktoś kto zechce się za to zabrać, no i proszę… prezent od z3s :-D
dzięki, choć szkoda, że już nie skorzystam
GIODO do nich wyslijcie na kontrole :D
Chyba na kawkę i pogaduchy o modnych seniorkach.
No i popsuliście prace naukowe nad masową obróbką maili prowadzone przez niejakiego MitM. Teraz trzeba pisać kupę dodatkowych skryptów i wprowadzać nowe punkty awarii :)
3 lata po tej publikacji, PW wciąż ma nieogarnięta kwestię kont i bezpieczeństwa.
Dzięki z3s, robicie świetną robotę!