Zarządzanie kontami użytkowników w dużej organizacji to zdecydowanie twardy orzech do zgryzienia. Niestety, sposób w jaki pracownicy CI PW rozwiązali problem dystrybucji haseł przyprawia o ból głowy nawet osoby niezwiązane z branżą security.
Jakiś czas temu Politechnika Warszawska udostępniła wszystkim swoim studentom możliwość skorzystania z pakietu Microsoft Office 365. Ponieważ w jego skład wchodzą również usługi pocztowe oraz OneDrive, każdy użytkownik otrzymał indywidualny adres e-mail oraz co nieco przestrzeni na swoje prywatne pliki.
Takie hasło, że nikt nie odgadnie
Schemat generowania haseł użytkowników opisuje instrukcja: “Zasady korzystania z kont studenckich”, w której możemy przeczytać:
Parametry serwera studenckiego domeny pw.edu.pl:
Dostęp do poczty z adresu: https://portal.office.com
Login ID to: [email protected]
Hasło:
- dwie pierwsze litery miejsca urodzenia (małe litery)
- ostatnie 3 cyfry numeru albumu (indeksu)
- znak specjalny zależny od ostatniej cyfry numeru albumu (indeksu): 0 – ), 1 – !, 2 – @, 3 – #, 4 – $, 5 – %, 6 – ^, 7 – ?, 8 – *, 9 – (
- pierwsza litera imienia ojca (duża litera)
- pierwsza litera imienia matki (duża litera)
Dlaczego to zły pomysł?
Najważniejszą część hasła i zarazem login, potencjalny atakujący może uzyskać na wiele sposobów. Jednym z nich może być spisanie numerów indeksów z ogłoszeń rozwieszonych w rozmaitych zakątkach Politechniki. Nie jest to jednak niezbędne, ponieważ zapytania Google takie jak “wyniki egzaminu site:pw.edu.pl”, czy “wyniki kolokwium site:pw.edu.pl” wystarczą do zdobycia kilkuset aktywnych loginów. Jeszcze większe żniwa może zebrać, jeżeli uda mu się odnaleźć listę przyznanych stypendiów albo listę opłat za niezaliczone przedmioty (czyli tzw. warunków).
Oprócz numeru indeksu, atakujący do przejęcia czyjegoś konta potrzebuje jeszcze dwóch pierwszych liter miejsca urodzenia, oraz pierwsze litery imion rodziców. W tej sytuacji niezwykle pomocna może okazać się statystyka.
Powołując się na listę najpopularniejszych imion dostępną na Wikipedii, wśród ojców obecnych studentów należy spodziewać się głównie Andrzejów, Krzysztofów, Marków, Piotrów, Tomaszów i Marcinów. Ich matki to natomiast Małgorzaty, Anny, Ewy, Elżbiety, Agnieszki i Katarzyny. Nietrudno policzyć, że daje to 5 unikalnych pierwszych liter imion męskich i 4 unikalne litery imion żeńskich. Przestrzeń poszukiwania jest zatem iloczynem kartezjańskim: { A, K, M, P, T } x { M, A, E, K }, który sumarycznie wygeneruje zaledwie 20 różnych par liter do sprawdzenia.
Analogicznie można postąpić podczas poszukiwania miasta urodzenia. Dobry pierwszy traf stanowi Warszawa, a ponieważ chodzi jedynie o dwie pierwsze litery, przy okazji atakujący sprawdzi Wałbrzych, Wadowice i Warkę. Następne próby mogą uwzględniać miasta ościenne Warszawy (np. Legionowo, Pruszków), miasta z których studenci najczęściej migrują, aby studiować na Politechnice Warszawskiej (szczególnie biorąc pod uwagę miejscowości z województwa mazowieckiego, podlaskiego, warmińsko-mazurskiego oraz lubelskiego), albo po prostu duże miasta według liczby mieszkańców (Kraków, Łódź, Wrocław etc).
Dlaczego to bardzo zły pomysł?
Dobrze przygotowany atak jest w stanie masowo ujawnić hasła większości studentów, a każda dodatkowa informacja znacznie go przyspiesza. Co prawda Microsoft w swoich usługach może i zapewne stosuje rozwiązania takie jak fail2ban (banowanie IP po przekroczeniu dozwolonej liczby prób zalogowania), throttling (celowe wydłużenie czasu odpowiedzi podczas logowania), czy ograniczenie liczby jednoczesnych połączeń. Niestety żadne z tych działań prewencyjnych nie powstrzymają osoby odpowiednio mocno zdeterminowanej, a przede wszystkim wyposażonej w czas i pokaźnych rozmiarów botnet złożony na przykład z użytkowników VPN albo routerów. Łamanie haseł nie jest jednak konieczne, jeżeli atakujący posłużyłby się socjotechniką.
Na niektórych wydziałach Politechniki papierowe indeksy przechowywane są w dziekanatach, na specjalnie przeznaczonych do tego regałach. Nie jest niczym dziwnym, że student chce zabrać (niekoniecznie swój) indeks z regału lub go tam odłożyć. “Poprosił mnie kolega, jest chory.” – któż nie poczułby się przekonany, słysząc takie słowa? Pierwsza strona indeksu (zgodnie z Rozporządzeniem Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów) zawiera numer albumu, miejsce urodzenia oraz imię ojca. Przy założeniu, że jedyna nieznana informacja, czyli pierwsza litera imienia matki jest jakąś dużą literą alfabetu łacińskiego, do odgadnięcia pełnego hasła wystarczy 21 prób.
Można jednak pójść jeszcze o krok dalej i… zwyczajnie zapytać studentów o ich numer indeksu, miejsce urodzenia i ewentualnie pierwsze litery imion rodziców. Chociażby pod pretekstem przeprowadzania ankiety o kierunkach migracyjnych studentów. Ponieważ numery indeksów najczęściej nie są traktowane jako dane osobowe, a miejsce urodzenia nie wydaje się niczym unikalnym, ani zbyt intymnym, podstawiony “ankieter” nie powinien mieć problemu z uzyskaniem przynajmniej tych dwóch informacji. Dalej czeka go jedynie prosty atak słownikowy na dwie ostatnie litery hasła.
Jak się zabezpieczyć?
Tutaj znajduje swoje miejsce najbardziej zaskakująca odpowiedź: nie da się. Panel internetowy Office 365 odmawia współpracy w tym zakresie, jednocześnie zaznaczając, że metoda zmiany hasła powinna być przewidziana przez organizację zarządzającą kontem:
Instrukcja udostępniona studentom nie przewiduje jednak takiej możliwości. Nie jest również możliwe zrobienie tego przez USOS lub system rekrutacyjny.
Sytuacja jest o tyle dramatyczna, że niektóre wydziały wymuszają wykorzystanie nowych skrzynek pocztowych przy kontaktach wewnątrzuczelnianych. Zrobiły tak między innymi Wydział Mechaniczny Energetyki i Lotnictwa i Wydział Fizyki (błędnie wskazując, że hasłem początkowym jest hasło do systemu USOS). Dla odmiany wydział Matematyki i Nauk Informacyjnych wykłada “kawę na ławę” i w instrukcji dla swoich studentów pisze:
Ponieważ wzór hasła do skrzynki centralnej pozwala łatwo przejąć cudzą skrzynkę, bardzo proszę uważać w trakcie korzystania ze skrzynki.
Ewentualne zażalenia lub pochwały nt. centralnych skrzynek pocztowych proszę kierować pod adresem CI PW.
Warto podkreślić również, że podlinkowana wcześniej instrukcja na stronie wydziału MiNI powołuje się na Załącznik do pisma Prorektora, który wprost ogłasza:
Co może się zdarzyć, gdy ktoś przejmie Twoją skrzynkę?
Możliwe scenariusze uwzględniają:
- Przeczytanie całej zawartości skrzynki mailowej i jej pobranie.
- Pobranie wszystkich dokumentów zapisanych w OneDrive.
- Podjęcie próby dokonania czynności administracyjnych w imieniu zhakowanego studenta (np. zmiana hasła do innej usługi).
- Dystrybucję złośliwego oprogramowania lub phishing w imieniu studenta.
- Złośliwe zapisywanie lub wypisywanie z przedmiotów bez wiedzy ofiary.
- Kradzież wszystkich danych studenta dostępnych w systemie USOS, w tym informacji o rozliczeniach, ocenach, przyznanych stypendiach itp.
Jestem studentem PW, co robić?
Dopóki polityka haseł nie zostanie zmieniona, całą korespondencję wychodzącą i przychodzącą należy traktować jako publicznie dostępną. Wysoce odradza się też korzystanie z udostępnionego studentom pakietu Office 2016, który umożliwia synchronizację dokumentów z “politechnicznym” OneDrive. Co najważniejsze, nie należy logować na to konto swoich smartfonów i tabletów. Przypadkowe włączenie synchronizacji (o ile już nie jest ona włączona domyślnie) może spowodować wyciek prywatnych zdjęć, filmów, dokumentów, a nawet zapisanych kontaktów wraz z numerami telefonów (dotyczy telefonów z systemem Windows Phone).
Dlaczego jedna z najlepszych uczelni technicznych w Polsce, w imieniu “poprawienia jakości obsługi administracyjnej studentów” wymusza na nich korzystanie z poczty elektronicznej gwarantującej żenująco niski poziom bezpieczeństwa korespondencji? Czy pracownicy Politechniki zajmujący się badaniami z zakresu bezpieczeństwa opiniowali to rozwiązanie?
Przygotowaliśmy listę pytań, którą wysłaliśmy wczoraj do rzecznika prasowego Politechniki. Chcieliśmy się dowiedzieć:
- Dlaczego Politechnika postanowiła narzucić użytkownikom hasła tworzone wg przewidywalnego schematu, wbrew przyjętym dobrym praktykom?
- Dlaczego Politechnika uniemożliwia użytkownikom zmianę tak narzuconego hasła wbrew nie tylko dobrym praktykom ale i zdrowemu rozsądkowi?
- Kto zadecydował o przyjęciu takich zasad zarządzania hasłami użytkowników?
- Czy pracownicy Politechniki zajmujący się kwestiami bezpieczeństwa informacji opiniowali przyjęte rozwiązania?
- Dlaczego nikt nie poinformował studentów o ryzyku towarzyszącym takiemu rozwiązaniu?
Niestety do momentu publikacji artykułu dowiedzieliśmy się jedynie, że pytania zostały przesłane do Dyrektora Centrum Informatyzacji Politechniki Warszawskiej, Pana Janusza Zajkowskiego. Nikt więcej nie kontaktował się z nami by udzielić odpowiedzi.
Quo vadis, Politechniko?
Aktualizacja 2017-11-21 22:30
Jak informuje jeden z naszych Czytelników, już na początku września wysłał do administratora systemu pytanie jak ma zmienić swoje hasło. Do tej pory czeka na odpowiedź…
Aktualizacja 2017-11-21 23:10
Nasi Czytelnicy informują również, że poczynając od bieżącego semestru, schematyczne hasła pojawiły się też w systemie USOS (patrz punkt: „Hasła do serwisów…”). Co zabawne, studenci którzy dołączyli w latach 2014-2016 posiadają hasła, które sami wybrali sobie podczas składania elektronicznego podania rekrutacyjnego. Od października br. zdecydowano jednak, aby nadawać wszystkim studentom przewidywalne hasła.
Sprostowanie: Hasła nowo przyjętych studentów są ustawiane w sposób bezpieczny, jedynie instrukcja na stronie USOSa wprowadzała w tej sprawie w błąd.
Inny czytelnik wskazuje również, że system rejestracji na lektoraty Studium Języków Obcych PW nie wymaga podania żadnego sekretu podczas logowania się na konto studenckie. Po podaniu prawidłowego wydziału, imienia, nazwiska i numeru indeksu studenta istnieje możliwość zapisania lub wypisania go z lektoratu. Istnieją pogłoski, że zdarzały się przypadki nieautoryzowanego wypisywania kolegów z lektoratów, co miało na celu dopisanie się do grupy w której miejsca już się skończyły.
Sprostowanie PW
We wtorek 28 listopada 2017 r. otrzymaliśmy tekst sprostowania od rzecznika prasowego PW:
Wdrożenie usługi poczty elektronicznej wraz z Office 365 na Politechnice Warszawskiej jest wdrożeniem opartym o tzw. „konfigurację hybrydową”. Wdrożenie pozwala studentom oraz pracownikom, m.in. na dostęp do laboratoriów komputerowych za pomocą takich samych loginów i haseł, jak do poczty elektronicznej. Konsekwencją wdrożenia jest fakt, że możliwość zmiany hasła jest dopuszczalna tylko na serwerach znajdujących się w infrastrukturze Politechniki Warszawskiej. Od chwili wdrożenia usługi – w przypadku studentów – możliwość zmiany hasła istnieje poprzez:
- stacje robocze w laboratoriach komputerowych PW, które korzystają z uwierzytelnienia z usługi katalogowej uruchomionej w Centrum Informatyzacji PW;
- portal zmiany hasła.
Ze względu na to, że informacja o możliwości zmiany hasła nie została odpowiednio wyeksponowana, podjęto decyzję o przeniesieniu portalu zmiany hasła w miejsce bardziej widoczne wraz z instrukcją zmiany hasła.
Warto podkreślić, że sprostowanie nie odnosi się do kwestii stosowania niebezpiecznych domyślnych haseł. Politechnika Warszawska postanowiła również nie wyjaśniać dlaczego do czasu publikacji naszego artykułu, istnienie portalu zmiany hasła nie było podane do publicznej wiadomości. Na naszą skrzynkę redakcyjną otrzymywaliśmy również sygnały od co najmniej 3 osób, że Service Desk PW nie chciał takiej informacji udzielić.
Komentarze
Rzeczywiście wstyd.
Office 365 ma domyślnie włączone wymuszanie zmiany hasła po pierwszym zalogowaniu.
Office 365 może ma domyślnie włączone wymaganie zmiany hasła przy pierwszym logowaniu, ale jak jest zablokowana zmiana hasła, to go nie zmienisz. Skutkuje to odcięciem dostępu do skrzynki – możesz się zalogować na stare hasło, ale od razu jest monit o zmianę, której dokonać nie możesz, a bez której nie dostaniesz się dalej :-)
Dodatkowy wstyd to fakt, że login w nazwie maila nie powinien zgodnie z RFC zawierać samych cyfr – czy w PW jest inaczej niż na innych uczelniach i mają na początku litery?
Kolejny wstyd to ZMUSZANIE studentów do używania czegoś co odbierze im prywatność. Przecież to produkt Microsoftu, a użytkownik ma DOBROWOLNIE wyrazić zgodę umowę licencyjną w tym politykę prywatności, a nie w sposób WYMUSZONY z góry naciskami PW.
Czy zachowano więc w tym względzie prawo do wolności człowieka, czy już jesteśmy na granicy niewolnictwa na Politechnice Warszawskiej?
Ach, już od dawna brakowało mi tego GNUJowskiego pieprzenia zwolenników teorii spiskowych
Chyba pomyliłeś fora i pojęcia. Teorie spiskowe to kosmici, chemtrails, czy to, że nigdy nie było człowieka na księżycu itp.
Tutaj Office365 działa w wersji pół-federated – czyli ze stacjonarnymi serwerami Exchange na uczelni trzymającymi m.in. pocztę oraz usługą chmurową obsługującą rzeczy takie, jak SharePoint, OneDrive i AzureAD. To nie jest tak, że MS wszystko z danymi może – umowa podpisywana przez MS z klientami korporacyjnymi ma o wiele więcej wyłączeń przetwarzania danych, niż umowa o konto MS trzymane w całości w MS. Poza tym już lepiej MS niż Google – ichniejsza zasię umowa konta zezwala im nawet na czytanie maili w celu profilowania reklam (sic!).
Pamiętam jak dziś na mojej Alma Mater było tak samo. Mieliśmy USOS, a w nim, a jakże spis wszystkich studentów. Z lewej para imię nazwisko, z prawej numer indeksu.
Po jakimś czasie zmieniono pocztę z uczelnianej na microsoftową. Login to pierwsza litera imienia i nazwisko@cośtam.pl, hasło, a jakże, numer indeksu. Nie pamiętam czy można było zmienić hasło, ale sama taka kombinacja już była dość niebezpieczna.
@Damian: Oddano w darmowy użytek twoje dane osobowe Microsoftowi, ale cóż jeżeli nie trzeba było pisać o prolongatę, nie przychodziły tam żadne oceny ani dane z większą ilością danych to jeszcze „nic nie masz do ukrycia”. A zgody na politykę prywatności i umowę licencyjna wyraziły się same za Ciebie. Pewnie dając Ci konto żadnej zgody do podpisania nie dostałeś.
Często was czytam i studiuję na Politechnice Warszawskiej… ale nie zwracałem waszej uwagi, ponieważ nie sądziłem, że o tym powstanie artykuł. :-)
Dodam tylko (kopiąc leżącego), że jeśli wcześniej (przed wprowadzeniem tego wzoru hasła) miałeś ustawione inne (kiedyś dało się zmienić) to sami zmienili Ci hasło! :)
A jeszcze robili ze mnie głupiego „jak mogłem 'zapomnieć’ jak wzór do hasła jest na stronie politechniki”, skoro hasło miałem w menadżerze haseł typu KeePass i było stworzone zgodnie ze sztuką!
Jako absolwent mogę śmiało napisać, że takiego burdelu i poziomu niekompetencji jak COI PW ze świecą szukać… Nie bez powodu od lat skrót ten nieoficjalnie rozwijany jest jako „Centrum Opóźniania Internetu” a o wiele lepszą robotę robią koła naukowe.
Z linkowanej w artykule instrukcji na stronie wydziału MiNI wynika, że niektóre wydziały posiadają własne, niezwykle użyteczne ficzery (np. wysyłanie maili do wszystkich osób zapisanych na dany przedmiot) wypracowane przez lokalnych administratorów. Jednocześnie decyzja administracyjna nakazuje migrację na nowe skrzynki pocztowe, które zwyczajnie utrudnią im pracę, ponieważ takich funkcji nie mają. Quo vadis?
Dodam jeszcze debilniejszą rzecz. TE SAME kryteria są stosowane w odniesieniu do pracowników PW! Zmiany haseł pracowniczych odbywają się na zasadzie „podaj nam nowe hasło, to my ci ustawimy”.
Do tego… rozkręca się niezły spór kompetencyjny pomiędzy COI a pozostałymi jednostkami organizacyjnymi PW. COI rości sobie prawa do zastąpienia wszystkich dotychczasowych rozwiązań swoim, bez delegowanych pracownikom administracji jednostek uprawnień do swoich jednostek i możliwości odrębnego kształtowania ich polityki. „Zmuszono” jakiś czas temu większość CA do przyjęcia tego debilnego systemu… na szczęście nie wszystkich (jeszcze?) :)
Ad3: No i PW wdraża system rodem z uczelni humanistycznej… przecież to woła o pomstę do nieba! Na EiTI są studenci roczników dyplomowych, którzy z chęcią podjęliby się napisania czegoś o wiele lepszego (i bardziej przystosowanego do realiów PW) niż usos. Tyle w temacie.
Na Wydziale Elektrycznym napisano i wdrożono system o niebo lepszy od USOSa i wszystkiego,co udało się stworzyć na WEiTI. Niestety, władze PW nie chcą wesprzeć tego systemu, który mógłby stać się wizytówką PW.
Szkoda tylko, że Wydział sam zdecydował się przejść na USOSa ;)
Decyzja nie należy bezpośrednio do władz wydziału. Aktualnie system wydziału elektrycznego dalej działa i dostaje nowe funkcjonalności.
Usos przejął tylko funkcje zarządzania opłatami za studia (z perspektywy studenta, nie wiem jak u pracowników).
Wydział Elektryczny nie „zdecydował się” na przejście na USOS tylko został do tego zmuszony. Jak na razie formalność jest spełniona a ISOD (dzięki Bogu! i jednemu pracowitemu człowiekowi) ma się coraz lepiej :D
Piszecie o szukaniu danych do „przejęcia „… a jak tak patrze na USOSweb to okazuje się że podają sami jak na tacy…
Jakby pokusił sie o mały skrypt to mozna dużo a nawet wiecej..
https://usosweb.usos.pw.edu.pl/kontroler.php?_action=katalog2/index
(wyszukanie pracownika/studenta)
Jako student WIPu przez rok miałem przyjemność korzystać z systemu Wydziału Elektrycznego. Był on dość logiczny i relatywnie prosty w użytkowaniu (choć logowanie do niego było niestety oparte o schemat). W zeszłym roku ktoś podjął decyzję o migracji na system USOS, co wywołało straszny harmider – zarówno studenci, jak i administracja nie umieli go używać, co spowodowało spore problemy na samym początku roku. Jedyna dobra rzecz, jaką przyniósł ten system to możliwość ustawienia własnego loginu i hasła.
To, co jest wyżej napisane o zapisach na lektoraty językowe to 100% prawda (nie mówiąc o tym, że strona zawsze dostaje DDoSa i nie wyrabia).
Świetny pomysł, szkoda, że EITi nie zrobiło tego same przez poprzednie 20 lat, po drugie od kilku lat nie istnieje COI tylko CI. Proszę o douczenie.
Zapewniam, że Elka ma doktorów, którzy mogliby być promotorami takiej pracy. Tylko że się nie wychylą, bo COI/CI (zwał jak zwał) zmiażdżyłoby te plany w zarodku, dodatkowo wykładając grube pieniądze na licencje na system, który nie powstał na PW.
Wdrażanie czegoś pochodzącego z innej uczelni przy tym, by powstał na PW system w 100% pasujący do realiów PW to tak, jakby system na potrzeby MIT pisał Uniwersytet Bostoński. Klapa wizerunkowa całkowita.
Ad4: z pewnością, w przypadku rozwoju softu dla PW na PW, koszty opłacenia ich autorów i dalszego rozwoju z pewnością byłyby mniejsze niż haracz licencyjny za usosa i inne „doklejane” systemy.
Ad5: komuś kiedyś rzuciłem przy okazji małych gadek w CA dotyczących tych migracji – niech migrując zrobią to jak należy – czyli: potworzą poddomeny o nazwach zgodnych z nazwami podjednostek, przydzielą na nie ileś tam wykupionych CAL-ek z puli dostępnych i delegują uprawnienia do poddomeny adminom IT tych podjednostek – to wtedy możemy gadać o migracji.
Zapewniam, że USOS jako taki nie jest tu niczemu winien (wiem, co mówię, bo administruję częścią USOSa na jednym z wydziałów UW). To nie USOS wymusza stosowanie schematycznych haseł, tylko przyjęte przez administrację konkretnej jednostki akademickiej głupie procedury. Akurat u nas hasło można określić dowolnie, a w przypadku jego zagubienia nowe jest nadawane w bezpieczny sposób.
Więc po co użyto w ogóle bez wyraźnej zgody studentów, zmuszając ich do tego – poczty i pakietu office 365, który ogoli ich z danych osobowych i prywatności?
Oho, pojawił się tutaj link do strony mojego ukochanego wydziału, do wspaniałej podstrony dotyczącej przedmiotu Podstawy Technologii Informacyjnej (do tej pory nie wiem do czego odnosi się skrót „puk”). Niezły oldskul, co nie?
Podstawy Urządzeń Komputerowych sprzed epoki wszechsieciowości?
Tak a propos tekstu – jeśli atakujący zrobi lepszy research, to ogarnie też, że w Legionowie nie ma szpitala, więc nie ma sensu literki L nawet próbować. Legionowianie rodzą się albo w Warszawie, albo w Nowym Dworze.
Dobrze skrojony zbiór poszukiwania pozwala znacznie przyspieszyć ataki słownikowe, ale nie jest konieczne, aby był idealny. Wszystko zależy od tego, ile czasu atakujący jest w stanie poświęcić na „rekonesans”. Zaufana Trzecia Strona nie zamierza jednak łamać haseł użytkowników. Zamieszczone opisy potencjalnych scenariuszy ataków wykorzystane zostały w celu „otwarcia oczu” osobom decyzyjnym, które do tej pory nie zauważyły żadnych nieprawidłowości.
Zawsze można rodzić w domu, a nie w szpitalu ;)
Na uwm olsztyn dostalem kiedys dostep do wifi uczelnianego [email protected]:12345678 bez mozliwosci zmiany. Takze nie tylko na uw maja gdzieś irs studentów.
Tutaj należałoby natychmiast protestować. Ktoś może podszyć się pod Ciebie, wykorzystując Twój numer albumu. Ewentualny kontakt policji z administratorem sieci może zakończyć się niemal natychmiastowym przekazaniem Twoich danych osobowych wraz z odważnym stwierdzeniem „tak, to na pewno on to zrobił, przecież jest w logach”.
Uczelniane WiFi można potraktować analogicznie do WiFi w restauracji, galerii handlowej, dworcu, czyli olać stawiając na własny pakiet data, nawet router mobilny dla laptopa, smartfona itp. Gorzej może być z uczelnianym mailem, jeśli jest on jedynie słusznym kanałem komunikacji z wykładowcami
to akurat tylko wifi… maile mogą być użyte znacznie ciekawiej, nie zapominajmy, że wifi uczeliate to zapewne hotspot czyli obrona może być – ktos zna lub wpisał randomowo znając zasady hotspota nr indeksu kogokolwiek i coś nabroił, ale mac karty pokaże że to nie ten rzekomy student (student nawet zmieniajac mac nie użyłby własnego kompa/nr indeksu)
Nie słyszeli, że szewc bez butów chodzi? Może to zbytnie uproszczenie ale wiele tłumaczy. Można też domniemać, że pracownicy COI PW są wychowani w etosie hakerów z MIT i podążając przykładem twórców internetu, nie dopuszczają do siebie myśli o istnieniu „cyber-zagrożeń”. W skrócie – popatrzcie ile oni mają lat to wszystko się wyjaśni, dlaczego tak skonstruowali system.
Prawdopodobnie osoby zajmujące się security nie zostały w ogóle zapytane o zdanie. Szkoda.
„a nawet zapisanych kontaktów wraz z numerami telefonów”
jeśli się włączy synchronizację z outlookiem to i na androidzie
co prawda trzeba to robic przez exchange i się trochę z tym pobawić, ale da się
a po co ktoś miałby to robić dla uczelnianego maila? cóż, ludzie są dziwni…
Powiedziałbym tak: nie ważne co na tych kontach jest/będzie, ważne co może być. Z tego samego powodu dziury w ziemi oznacza się biało-czerwoną taśmą BHP. Niby wszyscy patrzą pod nogi, ale może lepiej przeciwdziałać.
Jak ktoś kto tworzył te zasady mógł nie zdawać sobie sprawy z dostępności różnorodnych danych osobowych….
Szperając w Google w ciągu 5 minut można znaleźć plik, w którym podane są numery indeksów oraz IMIONA i NAZWISKA studentów (ochrona danych osobowych tak bardzo…). idąc dalej wpisując w wyszukiwarkę popularnego portalu społecznościowego imię i nazwisko można znaleźć imiona rodziców oraz miejsce w którym osoba mieszka – potencjalne miejsce urodzenia – wszystko podane jak na tacy… ręce opadają.
„Dlaczego to bardzo zły pomysł?”
Wciąż lepszy, niż 12345. :)
Do jednego z systemów na PW loginem jest nr indeksu a hasłem 111111 – na szczęście w tym przypadku chociaż da się je zmienić ;)
„Nasi Czytelnicy informują również, że poczynając od bieżącego semestru, schematyczne hasła pojawiły się też w systemie USOS (patrz punkt: „Hasła do serwisów…”). Co zabawne, studenci którzy dołączyli w latach 2014-2016 posiadają hasła, które sami wybrali sobie podczas składania elektronicznego podania rekrutacyjnego. Od października br. zdecydowano jednak, aby nadawać wszystkim studentom przewidywalne hasła.”
A to jest akurat kłamstwo :)
Dlaczego? Tak wynika z instrukcji dostępnej na stronie głównej USOSa.
Hasła były z systemu rekrutacyjnego, po prostu ktoś nie zaktualizował treści instrukcji żeby dodać kolejny rok
Ok. Rozumiem wszystkie negatywne opinie, ale proszę zaproponować sposób jak szybko i bezpiecznie dostarczyć nowe hasła dla kilku/ kilkunastu tysięcy osób. Poza tym „studenci roczników dyplomowych, którzy z chęcią podjęliby się napisania czegoś o wiele lepszego (i bardziej przystosowanego do realiów PW) niż usos” – trochę niepoważna wypowiedź, bo stworzenie oprogramowania to jest zwykle mała część projektu, później trzeba to oprogramowanie utrzymywać i rozwijać, a studenci (autorzy) już nie będą studentami.
Przecież ten problem był już kiedyś rozwiązany. Studenci podczas składania podania rekrutacyjnego mogli samodzielnie wybrać swoje hasło.
> Rozumiem wszystkie negatywne opinie, ale proszę zaproponować sposób jak szybko i bezpiecznie dostarczyć nowe hasła dla kilku/ kilkunastu tysięcy osób.
Istnieje coś takiego jak System Uwierzytelniania PW, który jest używany do USOSa – można przypuszczać po nazwie, że da się go wykorzystać do autoryzacji gdzie indziej, a na to Microsoft pozwala.
Sam fakt, że muszę posiadać przynajmniej 4 hasła, by funkcjonować na PW (USOS, wydziałowe, BG i teraz ta skrzynka), jest mało normalny i mało bezpieczny. Mogliby stworzyć (albo użyć) jakieś API do autoryzacji.
I kto miałby ten jeden system wdrożyć i nim zarządzać? CI? To ja dziękuję…
Na maila, podawanego w trakcie rejestracji? ;-)
Nawet jeżeli można jakoś zrozumieć nadawanie POCZĄTKOWYCH haseł według takiego schematu, to dlaczego ZABLOKOWANO możliwość ich późniejszej zmiany na własne? To jest największy absurd…
> stworzenie oprogramowania to jest zwykle mała część projektu, później trzeba to oprogramowanie utrzymywać i rozwijać, a studenci (autorzy) już nie będą studentami.
A jaki to problem zatrudnić tych studentów choćby na zleceniu celem utrzymania tego softu na danej uczelni? Wyjdzie z pewnością taniej, niż roczna opłata licencyjna za korzystanie z usosa i technologii, na których się opiera (bo są odrębnie licencjonowane!).
No i już wiadomo, gdzie na studia nie iść. Poza tym to niezbity dowód na to, że ci co mają nauczać nowych specjalistów sami, za przeproszeniem, wielkie G wiedzą. I tacy „eksperci” profesorkowie co dyplom w laysach znaleźli dumają potem za ciężkie pieniądze takie systemy…
No nie do końca – to na co lwia część osób narzeka, to fakt że dobra zmiana w wykonaniu COI/CI ma być jedyną słuszną, więc inne systemy które do tej pory działały wylecą.
Na szczęście RODO już nadchodzi i zrobi porządek z takim niedbalstwem. Politechnice Warszawskiej oraz innym uczelniom i organizacjom wykorzystującym Office 365 radziłbym jednak zmienić procedury przed wejściem RODO. Generalnie normą jest, że Office 365 wymusza zmianę hasła na własne. A tak ogólnie to kompromitacja megatotalna. Niby uczelnia na wysokim poziomie, a w kwestii bezpieczeństwa haseł na poziomie młodszych grup w przedszkolu. Gdy dojdzie do jakiegoś ataku, to można pozwać uczelnię za rażące niedbalstwo z jej winy (brak możliwości zmiany hasła na własne nieprzewidywalne, więc student lub wykładowca nie był w stanie utrudnić włamania na swoje konto poprzez nadanie własnego hasła przynajmniej z założenia trudnego do odgadnięcia przez osoby trzecie). Pozostaje nadzieja, że kompromitacja na łamach W3S otrzeźwi władze PW oraz innych organizacji wykazujących się podobną nonszalancją w niebezpiecznych czasach.
Niestety nam przekonanie graniczące z pewnością, że temat zostanie olany.
Ciekawe dlaczego nikt nie zadaje pytania, ile PW dostała kasy za wprowadzanie Office365?
Przemilczę, że nie ma to jakiegokolwiek sensu, bo w 99,9999999% przypadków spokojnie wystarczy darmowy Open Office lub libre office.
Później oczywiście są gadki typu, bo żeby znaleźć pracę trzeba znać MS Office. Jasne, skoro za moje pieniądze uczy się ludzi od gimnazjum nie jak kopać doły tylko, że „łopata” Microsoftu to jedyna łopata.
To ja się jeszcze zapytam, czy konto do biblioteki UW wciąż MUSI składać się WYŁĄCZNIE z cyfr? Nawet nie pamiętam, jak bardzo wrażliwe dane tam były (pewnie mniej niż na office 365), ale i tak było to fajne…
I ten artykuł jest jedyne potwierdzeniem, że polska cyfryzacja jest na poziomie poniżej wód gruntowych! Jeden nawet najwybitniejszy umysł nic nie zdziała w społeczności o takim poziomie wiedzy! A taki poziom wiedzy otrzymują na studiach w obecnych uczelniach! Pozostaje jeszcze tylko pytanie… Kto takim specjalistom dał szanse na obronę dyplomu? Czy już tylko wystarczy opłacać studia aby dostać dyplom magistra?
Szanowni Państwo,
Co do Office to niestety darmowe rozwiązania pozstają w tyle za MS, ale prawda jest taka, że do zastosowania PRO, bardziej powinniśmy uczyć LATEX’a. Jest chyba na MINI, a powinien być wszędzie. Dla Excela nie ma konkurencji w rozwiązaniach darmowych. Dodatkowo akurat nie jest on używany przez potencjalnych pracodawców. Co nie znaczy, że 99% ludzkoście nie przeżyje z tym co daje Google czy MS w formie online.
PS. Dyrektorzy CI to albo Andrzej Zajkowski albo Janusz Stańczyk. Trochę ich zmerdżowaliście.
PPW
Nie my, to komunikat otrzymany bezpośrednio z PW.
To nie znaczy, że na studentach macie prawo wymuszać zgodę na użycie OneDrive oraz Office365 czy poczty, do której wgląd ma Microsoft i w swojej polityce prywatności jawnie mówi, że dane osobowe zawarte w korespondencji będą wykorzystywane do różnych celów.
Student powinien sam zawnioskować o mail i pakiet office, jeżeli jest zainteresowany, powinien mieć indywidualnie nadane hasło oraz mieć opcję jeżeli kontakt jest tylko mailowy – podania własnego adresu e-mail w dowolnej domenie, nawet własnej wykupionej.
Wedle UoODO i RODO niedopuszczalne jest zmuszanie kogoś do wyrażania zgody lub robienia tego za niego. To powinno zostać przez studentów skierowane wraz z dowodami do GIODO. Opłata za sprawę 10zł.
Czytałeś politykę prywatności konta osobistego MS, a ta niewiele wspólnego ma z umową korporacyjną, a dodatkowo na usługę pół-federated :)
Do tego pragnę dodać, że hasło do biblioteki trzeba zapisać na karteczce, zeby Pani bibliotekarka przepisała xddd
Do pierwszego zalogowania się do platformy do robienia testów z angielskiego nie trzeba wiedzieć nic prócz numeru indeksu, bo hasło kazdy ma takie samo (JEST ZAPISANE NA ICH STRONIE) a zmiana hasła na własne nie jest wymagana
Imiona rodziców i miejsce urodzenia często można znaleźć na FB.
Ja dostałem wczoraj sms od Dyrektorki krakowskiej szkoły Cosinus z przypomnieniem o zajęciach, gdzie zrobiła literówkę w adresie strony i zamiast moj[dot]cosinus[dot]pl wysłała mojcosinus[dot]pl, a tam podobna historia z pakietem Office ;)
Zainteresowanym problemem dystrybucji tysięcy haseł polecam lekturę
tekstu: https://www.giac.org/paper/gsec/2024/distributing-passwords-applications/103503
W skrócie, początkowe hasła bazujące na publicznie znanych informacjach są tanim i wygodnym rozwiązaniem dla mniej krytycznych systemów. Jednak trzeba wtedy bezwzględnie wymusić zmianę hasła po pierwszym zalogowaniu.
Microsoft to poważny gracz i jestem przekonany, że jego system oferuje taką funkcjonalność. Tym bardziej ciekawe byłoby poznanie przyczyn, dla których administracja PW zdecydowała się na zablokowanie mechanizmu zmiany hasła.
W Office 365 można ustawic odpowiednią polityke do haseł, nie rozumiem dlaczego PW sie wylamala z dobrze działającego systemu… i zaczela tworzyc hasla z tak waznych danych. Przecież dostep do poczty to małe piwo. Same hasła dają duzo wiecej na tej podstawie mozna sklonowac cała baze studentów. Ile tam jest studentów? Chcieli szybko wdrozyc 365, ale nie wyszło i klops.
W końcu! Przez kilka godzin udało się im coś do zmiany haseł postawić!
https://passwordreset.pw.edu.pl/RDWeb/Pages/en-US/Password.aspx
Szkoda, że tyle to trwało
Akurat. Wypełniłem formularz, wypluło mi że zmienili pomyślnie, ale logowanie nadal działa tylko przy podaniu automatycznie generowanego hasła.
Poczekaj chwile, może jest jakaś synchronizacją z chmurą ? ;)
Ściślej: zmieniając hasło tutaj, składasz kolejkę zmiany hasła na serwerze pomocniczym AD wypromowanym i wydelegowanym do tego przez domenę stacjonarną. Zanim zmiana wypropagowana będzie do całego AD i Exchange minie trochę czasu (ok. 5-15 minut) :)
Domena się zgadza, kłódeczka jest czyli nic tylko zmieniać.
Nie dziwie się, że Pan Janusz Zajkowski nie odpowiedział – taka osoba nigdy nie pracowała w Centrum Informatyzacji PW… :))
Ale mógł odpisać Andrzej Stańczyk!!!!!! Hańba!!!!!!!!!
Pewnie celowo skierowali do nieistniejącej osoby, by móc sprawę zakończyć. W końcu z3s nie wie kto tam pracuje, a że skierowali sprawę źle i nie wiedzą kto u nich pracuje, jest normalnym, że nie ma odpowiedzi.
Na mojej alma mater konta domyślnie zabezpieczono uniwersalnym (jednym) dla różnych usług hasłem będącym numerem pesel. Oczywiście wyraźnie zwrócono uwagę na potrzebę jego zmiany. I tu OK.
Szkoda tylko, że materiały udostępniane przez wykładowców stoją na zwykłym ftp (ftp://ftp.wsiz.rzeszow.pl), a by uzyskać do nich dostęp należy się zalogować. Nie muszę chyba tłumaczyć zagrożenia.
Takie hasła również są podatne na złamanie. Cztery cyfry PESELu stanowią numer porządkowy (przy czym parzystość dzieli na różne płcie). Roczniki studentów są przewidywalne. Liczbę iteracji łamania pojedynczego takiego hasła można oszacować jako 365*5000 (znając rok urodzenia oraz płeć). To jakoś tak poniżej 2 milionów możliwych haseł. Łamanie nieprzewidywalnego hasła złożonego z 5 małych liter alfabetu łacińskiego jest 3.5 raza trudniejsze.
Ciekawe… czytam sobie takie wieści o których aż strach się bać. Ciekawe jest też to że wasza strona trackuje takich clickbajtnietych studentów politechniki na podstawie loginu gmaila… ale sami zapomnieliście dodać informacji o trakowaniu więc troche jakby kocioł przyganiał garnkowi co nie?:)
co do samego maila to tam większość studentów sama nie zna hasła, a używa go tylko w celu msdn-aa. nie znam nikogo kto by używał tego konta, chyba tylko jakaś ameba z windowsem 98. Poza tym włamanie na czyjeś konto i jego użycie to juz przestępstwo takie jak stalking internetowy przy użyciu google analitics, kradzież tożsamości czy pobicie. Czy ktoś ryzykowałby zawias/więzienie po to by poznać moją średnią ocen którą i tak wpisze na linkedin? wątpie…
> „przestępstwo takie jak stalking internetowy przy użyciu google analitics”
:D
A nawet nie proboj z tego korzystać jak zmieniłes kierunek, syf po bazach danych jest taki ze po zmianie wydziału logować sie nie moge juz rok, i jeszcze sie nikomu tego odkrecic nie dało, jedyne co mnie cieszy, ze nikt mi sie nie włamie do konta, bo nie działa, ale boje sie jakie setki maili od wykładowcow tam leżą.