Jak przejąć konto poczty elektronicznej studenta Politechniki Warszawskiej

dodał 21 listopada 2017 o 21:08 w kategorii Prywatność, Wpadki  z tagami:
Jak przejąć konto poczty elektronicznej studenta Politechniki Warszawskiej

Zarządzanie kontami użytkowników w dużej organizacji to zdecydowanie twardy orzech do zgryzienia. Niestety, sposób w jaki pracownicy CI PW rozwiązali problem dystrybucji haseł przyprawia o ból głowy nawet osoby niezwiązane z branżą security.

Jakiś czas temu Politechnika Warszawska udostępniła wszystkim swoim studentom możliwość skorzystania z pakietu Microsoft Office 365. Ponieważ w jego skład wchodzą również usługi pocztowe oraz OneDrive, każdy użytkownik otrzymał indywidualny adres e-mail oraz co nieco przestrzeni na swoje prywatne pliki.

Takie hasło, że nikt nie odgadnie

Schemat generowania haseł użytkowników opisuje instrukcja: “Zasady korzystania z kont studenckich”, w której możemy przeczytać:

Parametry serwera studenckiego domeny pw.edu.pl:
Dostęp do poczty z adresu: https://portal.office.com
Login ID to: nralbumu@pw.edu.pl
Hasło:

  1. dwie pierwsze litery miejsca urodzenia (małe litery)
  2. ostatnie 3 cyfry numeru albumu (indeksu)
  3. znak specjalny zależny od ostatniej cyfry numeru albumu (indeksu): 0 – ), 1 – !, 2 – @, 3 – #, 4 – $, 5 – %, 6 – ^, 7 – ?, 8 – *, 9 – (
  4. pierwsza litera imienia ojca (duża litera)
  5. pierwsza litera imienia matki (duża litera)

Dlaczego to zły pomysł?

Najważniejszą część hasła i zarazem login, potencjalny atakujący może uzyskać na wiele sposobów. Jednym z nich może być spisanie numerów indeksów z ogłoszeń rozwieszonych w rozmaitych zakątkach Politechniki. Nie jest to jednak niezbędne, ponieważ zapytania Google takie jak “wyniki egzaminu site:pw.edu.pl”, czy “wyniki kolokwium site:pw.edu.pl” wystarczą do zdobycia kilkuset aktywnych loginów. Jeszcze większe żniwa może zebrać, jeżeli uda mu się odnaleźć listę przyznanych stypendiów albo listę opłat za niezaliczone przedmioty (czyli tzw. warunków).

Oprócz numeru indeksu, atakujący do przejęcia czyjegoś konta potrzebuje jeszcze dwóch pierwszych liter miejsca urodzenia, oraz pierwsze litery imion rodziców. W tej sytuacji niezwykle pomocna może okazać się statystyka.

Powołując się na listę najpopularniejszych imion dostępną na Wikipedii, wśród ojców obecnych studentów należy spodziewać się głównie Andrzejów, Krzysztofów, Marków, Piotrów, Tomaszów i Marcinów. Ich matki to natomiast Małgorzaty, Anny, Ewy, Elżbiety, Agnieszki i Katarzyny. Nietrudno policzyć, że daje to 5 unikalnych pierwszych liter imion męskich i 4 unikalne litery imion żeńskich. Przestrzeń poszukiwania jest zatem iloczynem kartezjańskim: { A, K, M, P, T } x { M, A, E, K }, który sumarycznie wygeneruje zaledwie 20 różnych par liter do sprawdzenia.

Analogicznie można postąpić podczas poszukiwania miasta urodzenia. Dobry pierwszy traf stanowi Warszawa, a ponieważ chodzi jedynie o dwie pierwsze litery, przy okazji atakujący sprawdzi Wałbrzych, Wadowice i Warkę. Następne próby mogą uwzględniać miasta ościenne Warszawy (np. Legionowo, Pruszków), miasta z których studenci najczęściej migrują, aby studiować na Politechnice Warszawskiej (szczególnie biorąc pod uwagę miejscowości z województwa mazowieckiego, podlaskiego, warmińsko-mazurskiego oraz lubelskiego), albo po prostu duże miasta według liczby mieszkańców (Kraków, Łódź, Wrocław etc).

Dlaczego to bardzo zły pomysł?

Dobrze przygotowany atak jest w stanie masowo ujawnić hasła większości studentów, a każda dodatkowa informacja znacznie go przyspiesza. Co prawda Microsoft w swoich usługach może i zapewne stosuje rozwiązania takie jak fail2ban (banowanie IP po przekroczeniu dozwolonej liczby prób zalogowania), throttling (celowe wydłużenie czasu odpowiedzi podczas logowania), czy ograniczenie liczby jednoczesnych połączeń. Niestety żadne z tych działań prewencyjnych nie powstrzymają osoby odpowiednio mocno zdeterminowanej, a przede wszystkim wyposażonej w czas i pokaźnych rozmiarów botnet złożony na przykład z użytkowników VPN albo routerów. Łamanie haseł nie jest jednak konieczne, jeżeli atakujący posłużyłby się socjotechniką.

Na niektórych wydziałach Politechniki papierowe indeksy przechowywane są w dziekanatach, na specjalnie przeznaczonych do tego regałach. Nie jest niczym dziwnym, że student chce zabrać (niekoniecznie swój) indeks z regału lub go tam odłożyć. “Poprosił mnie kolega, jest chory.” – któż nie poczułby się przekonany, słysząc takie słowa? Pierwsza strona indeksu (zgodnie z Rozporządzeniem Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów) zawiera numer albumu, miejsce urodzenia oraz imię ojca. Przy założeniu, że jedyna nieznana informacja, czyli pierwsza litera imienia matki jest jakąś dużą literą alfabetu łacińskiego, do odgadnięcia pełnego hasła wystarczy 21 prób.

Można jednak pójść jeszcze o krok dalej i… zwyczajnie zapytać studentów o ich numer indeksu, miejsce urodzenia i ewentualnie pierwsze litery imion rodziców. Chociażby pod pretekstem przeprowadzania ankiety o kierunkach migracyjnych studentów. Ponieważ numery indeksów najczęściej nie są traktowane jako dane osobowe, a miejsce urodzenia nie wydaje się niczym unikalnym, ani zbyt intymnym, podstawiony “ankieter” nie powinien mieć problemu z uzyskaniem przynajmniej tych dwóch informacji. Dalej czeka go jedynie prosty atak słownikowy na dwie ostatnie litery hasła.

Jak się zabezpieczyć?

Tutaj znajduje swoje miejsce najbardziej zaskakująca odpowiedź: nie da się. Panel internetowy Office 365 odmawia współpracy w tym zakresie, jednocześnie zaznaczając, że metoda zmiany hasła powinna być przewidziana przez organizację zarządzającą kontem:

Instrukcja udostępniona studentom nie przewiduje jednak takiej możliwości. Nie jest również możliwe zrobienie tego przez USOS lub system rekrutacyjny.

Sytuacja jest o tyle dramatyczna, że niektóre wydziały wymuszają wykorzystanie nowych skrzynek pocztowych przy kontaktach wewnątrzuczelnianych. Zrobiły tak między innymi Wydział Mechaniczny Energetyki i Lotnictwa i Wydział Fizyki (błędnie wskazując, że hasłem początkowym jest hasło do systemu USOS). Dla odmiany wydział Matematyki i Nauk Informacyjnych wykłada “kawę na ławę” i w instrukcji dla swoich studentów pisze:

Ponieważ wzór hasła do skrzynki centralnej pozwala łatwo przejąć cudzą skrzynkę, bardzo proszę uważać w trakcie korzystania ze skrzynki.
Ewentualne zażalenia lub pochwały nt. centralnych skrzynek pocztowych proszę kierować pod adresem CI PW.

Warto podkreślić również, że podlinkowana wcześniej instrukcja na stronie wydziału MiNI powołuje się na Załącznik do pisma Prorektora, który wprost ogłasza:

Co może się zdarzyć, gdy ktoś przejmie Twoją skrzynkę?

Możliwe scenariusze uwzględniają:

  • Przeczytanie całej zawartości skrzynki mailowej i jej pobranie.
  • Pobranie wszystkich dokumentów zapisanych w OneDrive.
  • Podjęcie próby dokonania czynności administracyjnych w imieniu zhakowanego studenta (np. zmiana hasła do innej usługi).
  • Dystrybucję złośliwego oprogramowania lub phishing w imieniu studenta.
  • Złośliwe zapisywanie lub wypisywanie z przedmiotów bez wiedzy ofiary.
  • Kradzież wszystkich danych studenta dostępnych w systemie USOS, w tym informacji o rozliczeniach, ocenach, przyznanych stypendiach itp.

Jestem studentem PW, co robić?

Dopóki polityka haseł nie zostanie zmieniona, całą korespondencję wychodzącą i przychodzącą należy traktować jako publicznie dostępną. Wysoce odradza się też korzystanie z udostępnionego studentom pakietu Office 2016, który umożliwia synchronizację dokumentów z “politechnicznym” OneDrive. Co najważniejsze, nie należy logować na to konto swoich smartfonów i tabletów. Przypadkowe włączenie synchronizacji (o ile już nie jest ona włączona domyślnie) może spowodować wyciek prywatnych zdjęć, filmów, dokumentów, a nawet zapisanych kontaktów wraz z numerami telefonów (dotyczy telefonów z systemem Windows Phone).

Dlaczego jedna z najlepszych uczelni technicznych w Polsce, w imieniu “poprawienia jakości obsługi administracyjnej studentów” wymusza na nich korzystanie z poczty elektronicznej gwarantującej żenująco niski poziom bezpieczeństwa korespondencji? Czy pracownicy Politechniki zajmujący się badaniami z zakresu bezpieczeństwa opiniowali to rozwiązanie?

Przygotowaliśmy listę pytań, którą wysłaliśmy wczoraj do rzecznika prasowego Politechniki. Chcieliśmy się dowiedzieć:

  1. Dlaczego Politechnika postanowiła narzucić użytkownikom hasła tworzone wg przewidywalnego schematu, wbrew przyjętym dobrym praktykom?
  2. Dlaczego Politechnika uniemożliwia użytkownikom zmianę tak narzuconego hasła wbrew nie tylko dobrym praktykom ale i zdrowemu rozsądkowi?
  3. Kto zadecydował o przyjęciu takich zasad zarządzania hasłami użytkowników?
  4. Czy pracownicy Politechniki zajmujący się kwestiami bezpieczeństwa informacji opiniowali przyjęte rozwiązania?
  5. Dlaczego nikt nie poinformował studentów o ryzyku towarzyszącym takiemu rozwiązaniu?

Niestety do momentu publikacji artykułu dowiedzieliśmy się jedynie, że pytania zostały przesłane do Dyrektora Centrum Informatyzacji Politechniki Warszawskiej, Pana Janusza Zajkowskiego. Nikt więcej nie kontaktował się z nami by udzielić odpowiedzi.

Quo vadis, Politechniko?

Aktualizacja 2017-11-21 22:30

Jak informuje jeden z naszych Czytelników, już na początku września wysłał do administratora systemu pytanie jak ma zmienić swoje hasło. Do tej pory czeka na odpowiedź…

Aktualizacja 2017-11-21 23:10

Nasi Czytelnicy informują również, że poczynając od bieżącego semestru, schematyczne hasła pojawiły się też w systemie USOS (patrz punkt: „Hasła do serwisów…”). Co zabawne, studenci którzy dołączyli w latach 2014-2016 posiadają hasła, które sami wybrali sobie podczas składania elektronicznego podania rekrutacyjnego. Od października br. zdecydowano jednak, aby nadawać wszystkim studentom przewidywalne hasła.

Sprostowanie: Hasła nowo przyjętych studentów są ustawiane w sposób bezpieczny, jedynie instrukcja na stronie USOSa wprowadzała w tej sprawie w błąd.

Inny czytelnik wskazuje również, że system rejestracji na lektoraty Studium Języków Obcych PW nie wymaga podania żadnego sekretu podczas logowania się na konto studenckie. Po podaniu prawidłowego wydziału, imienia, nazwiska i numeru indeksu studenta istnieje możliwość zapisania lub wypisania go z lektoratu. Istnieją pogłoski, że zdarzały się przypadki nieautoryzowanego wypisywania kolegów z lektoratów, co miało na celu dopisanie się do grupy w której miejsca już się skończyły.

Sprostowanie PW

We wtorek 28 listopada 2017 r. otrzymaliśmy tekst sprostowania od rzecznika prasowego PW:

Wdrożenie usługi poczty elektronicznej wraz z Office 365 na Politechnice Warszawskiej jest wdrożeniem opartym o tzw. „konfigurację hybrydową”. Wdrożenie pozwala studentom oraz pracownikom, m.in. na dostęp do laboratoriów komputerowych za pomocą takich samych loginów i haseł, jak do poczty elektronicznej. Konsekwencją wdrożenia jest fakt, że możliwość zmiany hasła jest dopuszczalna tylko na serwerach znajdujących się w infrastrukturze Politechniki Warszawskiej. Od chwili wdrożenia usługi – w przypadku studentów – możliwość zmiany hasła istnieje poprzez:

  • stacje robocze w laboratoriach komputerowych PW, które korzystają z uwierzytelnienia z usługi katalogowej uruchomionej w Centrum Informatyzacji PW;
  • portal zmiany hasła.

Ze względu na to, że informacja o możliwości zmiany hasła nie została odpowiednio wyeksponowana, podjęto decyzję o przeniesieniu portalu zmiany hasła w miejsce bardziej widoczne wraz z instrukcją zmiany hasła.

Warto podkreślić, że sprostowanie nie odnosi się do kwestii stosowania niebezpiecznych domyślnych haseł. Politechnika Warszawska postanowiła również nie wyjaśniać dlaczego do czasu publikacji naszego artykułu, istnienie portalu zmiany hasła nie było podane do publicznej wiadomości. Na naszą skrzynkę redakcyjną otrzymywaliśmy również sygnały od co najmniej 3 osób, że Service Desk PW nie chciał takiej informacji udzielić.