Manote, kad jūsų asmens duomenys t.y. asmens kodas, adresas, telefonas,el.paštas, vardas, pavardė bei jūsų šeimos hierarchija yra apsaugoti nuo pašalinių???
PAGALVOKITE DAR KARTĄ!
Šioje pamokoje parodysime, kaip atsainiai į duomenų apsaugą žiūri tiek informacines sistemas gaminanti įmonė UAB "Idamas", tiek užsakovas - Vilniaus miesto savivaldybė.
Kieno tai kaltė - paliekam išsiaiškintie patiems dalyviams, nors programisiai.lt mano, kad tokios techninės spragos - gamintojų problema ir neapdairumas, o gal nebuvo keliami reikalavimai apsaugoti sistemoje esančius duomenis. Mes to nespėliosime, tiesiog parodysime, kokios spragos yra šioje sistemoje, kaip jomis galima pasinaudoti per 2 minutes, neturint jokių programavimo žinių ir įgyjant sistemoje administratoriaus teises t.y. Jūs galėsite peržiūrėti visų asmenų duomenis, redaguoti jų informaciją, trinti ją, prirašyti papildomų duomenų ir t.t.
ISPĖJAME: duomenų naikinimas, keitimas, sistemos darbo trikdimas - yra nusikaltimas. Programisiai.lt to neskatina, norime parodyti, kokios gali būti pasekmės, kai gaminamos nesaugios informacinės sistemos.
Kaip prisijungti prie elektroninio dienyno per 2 minutes
- Atsidarykite naršyklėje adresą http://edienynas.vilnius.lt/login/
- Reikia prisijungti prie elektroninio dienyno. Jei esate šio dienyno vartotojas, tai galite padaryti su savo asmens kodu ir slaptažodžiu. Jei neesate sistemos dalyvis, pateikiame prisijungimo vardą: 38954884957 ir slaptažodį: 38954884957 (Tas pats "asmens kodas"). (Kaip buvo gautas slaptažodis paaiškinsime vėlesnėse pamokose). Būkite tolerentiški visai bendruomenei ir netrinkite duomenų, kadangi kiti negalės pamatyti šios situacijos rimtumo, jei projekto neuždarys Vilniaus savivaldybė).
- Prisijungus matomas toks vaizdelis:
- Atsidarykite puslapio kodą. Spaudžiame bet kur puslapyje dešinį pelės klavišą pasirenkame komandą view source, FIREFOX spaudžiame CTRL + U (tą patį veiksmą atliekanti komanda). Čia turime susirasti žodį „session“. Spaudžiame CTRL+F ir vedame šį žodį į paieškos laukelį. Randame kažką panašaus į:
return callToServer('http://edienynas.vilnius.lt/new/server.php?module=system&action=logout.php&
session=9cc528f4e976834cfc475b22e97e1e288b')
- Mums labiausiai rūpi parametras „session=“. Nusikopijuokite skaičiukus (pavyzdyje pavaizduoti raudonai), kuriuos matote savo puslapio kode. Tai yra Jūsų sesijos numeris. O sesijoje saugomi Jūsų prisijungimo duomenys.
- Dabar viskas dar papraščiau.
Naujame naršyklės lange ar kortelėje (tik toje pačioje naršyklėje) įveskite į adresų eilutę tokį adresą:
http://edienynas.vilnius.lt/new/server.php?module=system&action=menu_change_role.php&session=c30231ed6907274ca15cba2eba983e62&role_id=5 - Pakeiskite raudoną tekstą į savo sesijos numerį, kurį gavote 5 instrukcijų punkte, o žalią tekstą pakeiskite norimo vartotojo teisių lygio skaičių.Pakeitę parametra role_id į šiuos numeriukus, prieisite prie tam tikro lygio galimybių:
6 – sistemos adminas (kol kas nieko nėra)
5 – mokyklos vadovas
4 – klasės vadovas
3 – mokytojas
2 – tėvas - Čia Jūs galėsite daryti absoliučiai viską, ką daro pagrindinis mokyklos administratorius (mokyklos vadovas). Galėsite matyti tėvų, mokytojų, vaikų - visus asmeninius duomenis, matyti kaip jie mokosi, kaip lanko mokyklą, kokie jų pažymiai. Galbūt norėsite jiems parašyti gerą įvertinimą, kadangi jų pavardė graži, o gal perkelti į kitą mokyklą.Pateikiame pavyzdį, vieno iš knygelės kontaktų. Kadangi, mes tikrai nenorime atskleisti jokių asmeninių duomenų, informaciją yra išbraukta, tačiau kiekvienas prisijungęs, prie sistemos, ją gali peržiūrinėti. Pasitelkus papildomas žinias ir priemones iš sistemos galima gauti daugiau nei 42 000 Vilniaus gyventojų asmeninius duomenis.
- Trumpas video filmukas, kaip greitai, galima prieiti prie visų sistemos duomenų:
Visą reikalingą informaciją, kaip naudoti sistema rasite: http://edienynas.vilnius.lt/demo Čia pateikti viso šio projekto moduliai ir demonstracinė versija t.y. visa informacija, kaip sistema veikia. Užeikite į MOKYKLOS VADOVAS ir pasimokykite kaip naudotis vadovo funkcijomis, žinias pritaikykite naršydami po tikrą sistemą.
BET ČIA DAR NE VISKAS... apsilankykite svetainėje www.programisiai.lt
Jei Jus sudomino ši pamokėlė, įveskite savo duomenis į svetainėje esančią registracijos formą ir gaukite daugiau informacijos apie elektroninio dienyno saugumo pažeidžiamumus. Prisijunkite ir mes Jus išmokysime, kaip gauti visų mokyklų duomenis. Tai gali padaryti net pirmokas! Taip pat informuosime, apie kitas nesaugias viešas sistemas, kur gali nutekėti JŪSŲ duomenys. Mes išmokysime Jus apsisaugoti nuo informacinio amžiaus pavojų. Tai nemokama, tai paprasta, tai įdomu ir naudinga.
http://www.programisiai.lt
