Εντοπισμός αδυναμίας στο Ανοικτό Πανεπιστήμιο οδηγεί σε άντληση πληροφοριών
17:11 4/11/2011
- Πηγή: Ksipnistere
Άγνωστος hacker με το ψευδώνυμο «ginzo» εντόπισε αδυναμία SQL Injection στην κεντρική ιστοσελίδα του Ανοικτού Πανεπιστημίου. Σύμφωνα με πληροφορία που έλαβε η συντακτική ομάδα του SecNews από άγνωστο, ο «ginzo» με χρήση της αδυναμίας που εντόπισε, άντλησε σημαντικά δεδομένα του Πανεπιστημίου, τα οποία πλέον βρίσκονται στην.....
κατοχή του. Μάλιστα στο μήνυμα τονίζεται ότι «είναι μερικά δείγματα από τα δεδομένα που έχει
στην κατοχή του, που τόσο καιρό όμως κρατούσε στην αφάνεια, αλλά ήρθε ο καιρός να φανούν επιτέλους μερικά πράγματα.». Η αδυναμία που εντοπίστηκε από τον «ginzo».
του επέτρεψε να αντλήσει την πλήρη δομή της βάσης δεδομένων της ιστοσελίδας, καθώς και πλήρη δεδομένα. Τμήμα της δομής της βάσης μπορείτε να δείτε παρακάτω, ενώ πλήρη στοιχεία της δομής, όπως ακριβώς μας κοινοποιήθηκαν από τον άγνωστο:
Σημαντικό στοιχεία από την δομή της βάσης, όπως διαπιστώνουμε από το παραπάνω Screenshot, είναι ότι ο Hacker φαίνεται να διαθέτει πρόσβαση σε στοιχεία όπως Κάρτες,προσωπικά στοιχεία και πληροφορίες των φοιτητών των ετών 2005,2006, δεδομένα της γραμματείας του Πανεπιστημίου, στοιχεία κωδικών πρόσβασης των διαχειριστών της ιστοσελίδας καθώς και πρόσβαση στην βάση δεδομένων των Διπλωματικών της σχολής. Τα ανωτέρω συμπεράσματα προκύπτουν από την διαρροή της δομής της βάσης, όπως μας κοινοποιήθηκε.
Είναι σημαντικό να αναφέρουμε ότι το Ελληνικό Ανοικτό Πανεπιστήμιο έχει επενδύσει στην Ηλεκτρονική Ασφάλεια των δεδομένων, μιας και υπάρχει υψηλός όγκος ανταλλαγής δεδομένων μεταξύ φοιτητών και καθηγητών. Χρησιμοποιεί ευρέως την Ηλεκτρονική Πανεπιστημιακή Ταυτότητα (smart card), η οποία μοιάζει πολύ εξωτερικά με τη γνωστή πιστωτική κάρτα, εσωτερικά όμως διαφέρει σημαντικά από αυτήν. Μέσα σε αυτήν αποθηκεύεται το ψηφιακό πιστοποιητικό του χρήστη, το οποίο του παρέχει την δυνατότητα για ψηφιακή υπογραφή και κρυπτογράφηση, οι οποίες μπορούν να χρησιμοποιηθούν σε υπηρεσίες ασφάλειας όπως πιστοποίηση, ακεραιότητα δεδομένων και εμπιστευτικότητα. Για να γίνει αυτό η έξυπνη κάρτα ενσωματώνει ένα μικροεπεξεργαστή, ο οποίος βρίσκεται κάτω από μια επαφή, προσαρμοσμένο στη μια πλευρά της. Η Ηλεκτρονική Πανεπιστημιακή Ταυτότητα αποτελεί τον πυρήνα για την ασφάλεια των πληροφοριακών συστημάτων του ΕΑΠ και είναι το κλειδί για την πιστοποίηση του απορρήτου των συναλλαγών. Η ανωτέρω υπηρεσία υποστηρίζεται πλήρως από Υποδομή Δημοσίου Κλειδιού που έχει υλοποιηθεί στο Ανοικτό Πανεπιστήμιο.
Στο SecNews δεν κοινοποιήθηκε η αδυναμία(ή αδυναμίες) που χρησιμοποιήθηκαν για την εν λόγω πρόσβαση. Δεν ξεκαθαρίζεται επίσης επακριβώς ποια είναι τα δεδομένα που άντλησε ο «ginzo» και αν στις βάσεις που διαθέτει πρόσβαση έχει δυνατότητα αλλοίωσης βαθμολογιών ή δεδομένων φοιτητών. Οι υπεύθυνοι δικτύου και διαχειριστές του Πανεπιστημίου πρέπει άμεσα να εξετάσουν την σημαντικότητα της αδυναμίας,καθώς και αν επηρεάστηκαν εσωτερικά συστήματα του Πανεπιστημίου από την επίθεση του hacker ή αν προχώρησε σε αλλοίωση στοιχείων. Παραμείνετε συντονι
κατοχή του. Μάλιστα στο μήνυμα τονίζεται ότι «είναι μερικά δείγματα από τα δεδομένα που έχει
του επέτρεψε να αντλήσει την πλήρη δομή της βάσης δεδομένων της ιστοσελίδας, καθώς και πλήρη δεδομένα. Τμήμα της δομής της βάσης μπορείτε να δείτε παρακάτω, ενώ πλήρη στοιχεία της δομής, όπως ακριβώς μας κοινοποιήθηκαν από τον άγνωστο:
Σημαντικό στοιχεία από την δομή της βάσης, όπως διαπιστώνουμε από το παραπάνω Screenshot, είναι ότι ο Hacker φαίνεται να διαθέτει πρόσβαση σε στοιχεία όπως Κάρτες,προσωπικά στοιχεία και πληροφορίες των φοιτητών των ετών 2005,2006, δεδομένα της γραμματείας του Πανεπιστημίου, στοιχεία κωδικών πρόσβασης των διαχειριστών της ιστοσελίδας καθώς και πρόσβαση στην βάση δεδομένων των Διπλωματικών της σχολής. Τα ανωτέρω συμπεράσματα προκύπτουν από την διαρροή της δομής της βάσης, όπως μας κοινοποιήθηκε.
Είναι σημαντικό να αναφέρουμε ότι το Ελληνικό Ανοικτό Πανεπιστήμιο έχει επενδύσει στην Ηλεκτρονική Ασφάλεια των δεδομένων, μιας και υπάρχει υψηλός όγκος ανταλλαγής δεδομένων μεταξύ φοιτητών και καθηγητών. Χρησιμοποιεί ευρέως την Ηλεκτρονική Πανεπιστημιακή Ταυτότητα (smart card), η οποία μοιάζει πολύ εξωτερικά με τη γνωστή πιστωτική κάρτα, εσωτερικά όμως διαφέρει σημαντικά από αυτήν. Μέσα σε αυτήν αποθηκεύεται το ψηφιακό πιστοποιητικό του χρήστη, το οποίο του παρέχει την δυνατότητα για ψηφιακή υπογραφή και κρυπτογράφηση, οι οποίες μπορούν να χρησιμοποιηθούν σε υπηρεσίες ασφάλειας όπως πιστοποίηση, ακεραιότητα δεδομένων και εμπιστευτικότητα. Για να γίνει αυτό η έξυπνη κάρτα ενσωματώνει ένα μικροεπεξεργαστή, ο οποίος βρίσκεται κάτω από μια επαφή, προσαρμοσμένο στη μια πλευρά της. Η Ηλεκτρονική Πανεπιστημιακή Ταυτότητα αποτελεί τον πυρήνα για την ασφάλεια των πληροφοριακών συστημάτων του ΕΑΠ και είναι το κλειδί για την πιστοποίηση του απορρήτου των συναλλαγών. Η ανωτέρω υπηρεσία υποστηρίζεται πλήρως από Υποδομή Δημοσίου Κλειδιού που έχει υλοποιηθεί στο Ανοικτό Πανεπιστήμιο.
Στο SecNews δεν κοινοποιήθηκε η αδυναμία(ή αδυναμίες) που χρησιμοποιήθηκαν για την εν λόγω πρόσβαση. Δεν ξεκαθαρίζεται επίσης επακριβώς ποια είναι τα δεδομένα που άντλησε ο «ginzo» και αν στις βάσεις που διαθέτει πρόσβαση έχει δυνατότητα αλλοίωσης βαθμολογιών ή δεδομένων φοιτητών. Οι υπεύθυνοι δικτύου και διαχειριστές του Πανεπιστημίου πρέπει άμεσα να εξετάσουν την σημαντικότητα της αδυναμίας,καθώς και αν επηρεάστηκαν εσωτερικά συστήματα του Πανεπιστημίου από την επίθεση του hacker ή αν προχώρησε σε αλλοίωση στοιχείων. Παραμείνετε συντονι
Keywords
ανοικτο πανεπιστημιο, εν λόγω, hacker, sql, injection, καιρος, ηλεκτρονική, smart, ΕΑΠ, βασεις, sql, ηλεκτρονική, ογκος, αγνωστος, αδυναμια, βρισκεται, γινει, δυνατοτητα, δειτε, δομη, υπαρχει, εν λόγω, ετων, υπηρεσια, υπηρεσιες, μπορειτε, ομαδα, πιστοποιηση, υπογραφη, ταυτοτητα, τμημα, ψηφιακη, ψηφιακο, αγνωστο, ασφαλεια, hacker, injection, μοιαζει, πληροφοριες
Τυχαία Θέματα
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Blogs
- ΛΙΓΟ ΠΡΙΝ ΤΟ ΛΟΥΚΕΤΟ ΤΟ ALTER ΜΕΤΑ ΤΙΣ ΕΞΕΛΙΞΕΙΣ ΜΕ ΤΟΝ ΒΓΕΝΟΠΟΥΛΟ
- Λεκές σε σουέτ παπούτσια
- Η ΚΟΙΝΟΤΗΤΑ ΕΦΕΔΡΩΝ ΕΙΔΙΚΩΝ ΔΥΝΑΜΕΩΝ ΥΙΟΘΕΤΕΙ ΤΟ ΚΑΣΤΕΛΌΡΙΖΟ! ΕΞΑΙΡΕΤΙΚΗ ΠΡΩΤΟΒΟΥΛΙΑ ΤΗΣ ΚΕΕΔ ΠΟΥ ΠΡΕΠΕΙ ΟΛΟΙ ΝΑ ΔΙΑΔΩΣΕΤΕ...
- "Fuck You Papandreou" . Το βίντεο που έχει κατακλύσει το διαδίκτυο
- ΣΟΚ ΓΙΑ ΤΟ ΜΑΞΙΜΟΥ Η ΑΠΟΧΩΡΗΣΗ ΑΝΔΡΟΥΛΑΚΗ ΑΠΟ ΤΗΝ ΨΗΦΟΦΟΡΙΑ
- ΣΟΚ: Το CNN ισχυρίζεται πως ο Λαμπρινίδης δεν διέψευσε απόλυτα το τύπωμα δραχμών!
- Καρατζαφέρης: Ο Παπανδρέου είναι Αρχολίπαρος, ο Σαμαράς Σπουδαρχίδης. Τι εννοεί ο ποιητής;
- Πόσο μειώνονται οι συντάξεις και ποιες εξαιρούνται με τις νέες ρυθμίσεις
- Χωρίς κεντρικό δελτίο απόψε το ALTER
- ΠΡΟΣΟΧΗ: ΣΤΗΝ ΕΛΛΑΔΑ ΕΛΛΟΧΕΥΕΙ Ο ΚΙΝΔΥΝΟΣ ΔΙΚΤΑΤΟΡΙΑΣ
- Δημοφιλέστερες Ειδήσεις Ksipnistere
- Η ΚΟΙΝΟΤΗΤΑ ΕΦΕΔΡΩΝ ΕΙΔΙΚΩΝ ΔΥΝΑΜΕΩΝ ΥΙΟΘΕΤΕΙ ΤΟ ΚΑΣΤΕΛΌΡΙΖΟ! ΕΞΑΙΡΕΤΙΚΗ ΠΡΩΤΟΒΟΥΛΙΑ ΤΗΣ ΚΕΕΔ ΠΟΥ ΠΡΕΠΕΙ ΟΛΟΙ ΝΑ ΔΙΑΔΩΣΕΤΕ...
- ΠΡΟΣΟΧΗ: ΣΤΗΝ ΕΛΛΑΔΑ ΕΛΛΟΧΕΥΕΙ Ο ΚΙΝΔΥΝΟΣ ΔΙΚΤΑΤΟΡΙΑΣ
- Βιομηχανία παράνομων νομιμοποιήσεων Αλβανών στην Ήπειρο!
- Εντοπισμός αδυναμίας στο Ανοικτό Πανεπιστήμιο οδηγεί σε άντληση πληροφοριών
- ΚΑΚΛΑΜΑΝΟΣ-ΔΗΜΗΤΡΟΠΟΥΛΟΣ
- Πόσο Γουστάρω που σας... Γλεντάει το ΠΑΣΟΚ (εσείς δεν το ψηφίσατε;)
- Τα γυρνάνε Παναρίτη και Λiτζέρης...
- Μπακογιάννη: Ο ΓΑΠ έχει Ξεφτιλίσει την Ελλάδα
- Είναι γλυκές οι καρέκλες!
- Σαμαράς ως συνεχιστής Παπανδρέου.
- Τελευταία Νέα Ksipnistere
- Εντοπισμός αδυναμίας στο Ανοικτό Πανεπιστήμιο οδηγεί σε άντληση πληροφοριών
- Η ΚΟΙΝΟΤΗΤΑ ΕΦΕΔΡΩΝ ΕΙΔΙΚΩΝ ΔΥΝΑΜΕΩΝ ΥΙΟΘΕΤΕΙ ΤΟ ΚΑΣΤΕΛΌΡΙΖΟ! ΕΞΑΙΡΕΤΙΚΗ ΠΡΩΤΟΒΟΥΛΙΑ ΤΗΣ ΚΕΕΔ ΠΟΥ ΠΡΕΠΕΙ ΟΛΟΙ ΝΑ ΔΙΑΔΩΣΕΤΕ...
- Τα γυρνάνε Παναρίτη και Λiτζέρης...
- Είναι γλυκές οι καρέκλες!
- " ΚΥΒΕΡΝΗΣΗ ΕΘΝΙΚΗΣ.....ΣΩΤΗΡΙΑΣ "
- Πόσο Γουστάρω που σας... Γλεντάει το ΠΑΣΟΚ (εσείς δεν το ψηφίσατε;)
- ΠΡΟΣΟΧΗ: ΣΤΗΝ ΕΛΛΑΔΑ ΕΛΛΟΧΕΥΕΙ Ο ΚΙΝΔΥΝΟΣ ΔΙΚΤΑΤΟΡΙΑΣ
- Μπακογιάννη: Ο ΓΑΠ έχει Ξεφτιλίσει την Ελλάδα
- ΚΑΚΛΑΜΑΝΟΣ-ΔΗΜΗΤΡΟΠΟΥΛΟΣ
- Βιομηχανία παράνομων νομιμοποιήσεων Αλβανών στην Ήπειρο!
- Τελευταία Νέα Κατηγορίας Blogs
- 51 Υποτροφίες Εξωτερικού (03/11/2011)
- Χαμός και στον Φίλαθλο
- Στο Συμβούλιο της Επικρατείας οι προσφυγές για το τέλος επιτηδεύματος
- ΣΟΚ ΓΙΑ ΤΟ ΜΑΞΙΜΟΥ Η ΑΠΟΧΩΡΗΣΗ ΑΝΔΡΟΥΛΑΚΗ ΑΠΟ ΤΗΝ ΨΗΦΟΦΟΡΙΑ
- Ψήφος Εμπιστοσύνης: Πάμε όλοι τρελάδικο
- "Fuck You Papandreou" . Το βίντεο που έχει κατακλύσει το διαδίκτυο
- Εκτυπώσιμο ημερολόγιο...
- Ο Παπανδρέου έχει βάλει “Ταλιμπάν” να βολιδοσκοπουν βουλευτές!
- Ανεπίτρεπτη ενέργεια από το χώρο του ΠΑΜΕ
- 04-11-11 Συνάντηση για τον σχεδιασμό και τον προγραμματισμό του εκπαιδευτικού έργου των Πρότυπων Πειραματικών Σχολείων
