αναγνωριστε μαθηματα στους hackers!

[CKFoxB]

στο site των δικτυων αμα πατησεις πανω στην 2η και την 3η σειρα ασκησεων σε βγαζει στα site της δαπ και της πασπ αντιστοιχα...

[xrokos]

Δε χάκεψαν το ΔΙΑ αλλά το eclass.
Το ότι κάνει redirect στα sites της ΔΑΠ και της ΠΑΣΠ δε σημαίνει ότι το έκανε η ΔΑΠ και η ΠΑΣΠ.
Για πολύ ασφάλεια μιλάμε!

[PASCAL]

Σιγά, εδώ στα Πληροφοριακά παίζει να κατέβασαν(κάποιος /-οι) φοιτητές τις λύσεις ασκήσεων από το eclass από φοιτητές που τις είχαν ανεβάσει και γι' αυτό έγινε όλο αυτό το μπέρδεμα με τις αντιγραφές.

Όσο για τα έργα της ΠΑΣΠ-ΔΑΠ στο ΔΙΑ να μιλήσουμε για "χάκεμα" ή για πρόσβαση από τα μέσα???

[SeniorCarbone]

Yπόψιν, σήμερα έκλεισε μια μεγάλη τρύπα στο eclass.(την οποία εκμεταλλέυτηκαν κάποιοι για να αντιγράψουν εργασίες κτλπ.)
Μετά από ψάξιμο που έγινε από τους υπεύθυνους του eclass (κ τους ευχαριστώ πολύ)
βρέθηκε μία (απο τις πολλές όπως φαίνεται) τρύπες του eclass η οποία ήταν ένα ανοικτό directory
το οποίο περιείχε μια λίστα με όλες τις εργασίες που είχαν κατατεθεί στο μάθημα και μπορούσε ο καθένας
να έχει πρόσβαση απλά επισηνάπτοντας το όνομα του καταλόγου στο URL του μαθήματος.
Όπως και να χει η συγκεκριμένη τρύπα έκλεισε και καλό θα ήταν να ελεγχθεί και άλλο το eclass πριν ξαναδώσουμε projects.
Όσο για το ΔΑΠ κ ΠΑΣΠ hack που έγινε το ένστικτο μου λέει πως δεν έγινε από αυτές τις παρατάξεις (αν έγινε από παρατάξεις)
και πολύ πιθανό να είναι κάποιου είδους αντίδραση στην τρύπα που τους κλείσαμε.

[sandra]

Τελικά με τις εργασίες που είχαν υποκλαπεί τι έγινε?

[Zifnab]

Αυτό με το directory που λες ήταν μόνο για το συγκεκριμένο μάθημα ή γενικά σε κάθε μάθημα?

Δηλαδή με αυτή τους την αντίδραση δείχνουν ότι έχει και άλλη τρύπα...?

Κάτι ξέρω που τα δίνω από τους τελευταίους

[sandra]

Δεν αλλάζετε και όνομα στο τοπικ για να μην υπάρξουν γκρίνιες για άδικη κατηγορία?

[xrokos]

Εσείς που κλείνετε τις τρύπες στο eclass με το πάσο σας, δεν είναι ανάγκη να βιάζεστε!
Δε μπορώ όμως να καταλάβω πως οι άνθρωποι που διαχειρίζονται το eclass δεν ξέρουν τις τρύπες και τις ξέρουν οι ΑΛΛΟΙ. Μήπως κάτι δεν πάει καλά;

PS: Mods αλλάξτε το θέμα του τόπικ!

[Zifnab]

H σχολή μας δεν φημίζεται για την ασφάλεια στον οδηγό σπουδών, πόσο μάλλον και στην πράξη...
Απλά πράγματα: Αφού μπείτε στα Δίκτυα Επικοινωνιών...:
http://eclass.aueb.gr/claroline/work/wo ... 3%E5%F9%ED

Και οι φάκελοι που γίνονται επιλογή κάνουν redirect ... O πρώτος δεν έχει πειραχτεί όμως

Έχουν δλδ και πρόσβαση στην php λογικά?!!! Mωρε μπράβο

[SeniorCarbone]

@sandra
Έχει ενημερωθεί ο καθηγητής κ περιμένω απάντηση.
Φαντάζομαι πλέον οι αποδείξεις είναι υπεραρκετές.

@zifnab
Σε όλα τα μαθήματα ήταν οπόσο κατάλαβα.
Ότι έχει σίγουρα έχει και άλλα backdoors και το σημερινό συμβάν το αποδεικνύει απλά ελπίζω
πλέον καμία πόρτα να μην οδηγεί στις εργασίες μας.

Όσο για τους αντιγραφείς δεν θα προχωρήσω παραπέρα, ξέρουν οι καθηγητές τα ονόματα τα τους κτλπ,
απλά ας φροντίσουν να είναι πιο προσεκτικοί από δω και πέρα και να αρχίσουν να διαβάζουν και τίποτα, δεν είμαστε νηπιαγωγείο.

[fo@]

Απλά ερασιτεχνική δουλειά σε θέματα ασφαλείας. Να λεγα ότι το eclass είναι και κάτι φοβερό. Το αντίθετο μάλλον μιας και οι λειτουργίες του είναι πρωτόγονες. Πολύ ενδιαφέρομαι να μάθω πόσα δαπανήθηκαν συνολικά για το σύστημα αυτό.

[Master_ex]

Πάντως σύγχρονο ή όχι αν εξαιρέσεις το θέμα ασφαλείας οι λειτουργίες του είναι πολύ χρήσιμες σε όλους τους φοιτητές. Βέβαια σίγουρα αξίζει προσπάθεια βελτίωσης του. Όσο για το ποσό που στοίχησε αφού είμαστε στην Ελλάδα δεν θα μου έκανε εντύπωση να ακούσω κανένα υπέρογκο ποσό.

[iorulezz]

Τώρα εξηγείται λοιπόν πως γίνεται να έδωσαν την ίδια εργασία με μένα στις Δομές δύο παιδιά που δεν ήξερα καν τα ονόματά τους... Απίστευτο!!!

[Zifnab]

Πρέπει να διορθώθηκε το πρόβλημα?!

Με βάση τα προηγούμενα link δεν με οδηγεί στις σελίδες των παρατάξεων πια....

edit: To πρόβλημα επανήλθε...

Το 3ο link οκ
To 1o http://www.dias.aueb.gr
και το 2ο της dap

Αν κάποιος προλάβει το View Source πριν το redirection, θα βρει μέσα στον κώδικα το :

Code: Select all

<script type="text/javascript">window.location="http://www.dias.aueb.gr"</script>

[shodanjr_gr]

Το source του eclass είναι διαθέσιμο εδώ : http://download.eclass.gunet.gr/dload.php


Από περιέργεια, ο τρόπος με τον οποίο γίνεται το login στο index.php είναι λίγο "naive" ή μου φαίνεται; (βλέπω να παίρνει κατευθίαν την τιμή της $_POST["uname"] χωρίς να την ελέγχει για escape characters ή τίποτα τέτοιο...).

[netharis]

βρέθηκε μία (απο τις πολλές όπως φαίνεται) τρύπες του eclass η οποία ήταν ένα ανοικτό directory
το οποίο περιείχε μια λίστα με όλες τις εργασίες που είχαν κατατεθεί στο μάθημα και μπορούσε ο καθένας
να έχει πρόσβαση απλά επισηνάπτοντας το όνομα του καταλόγου στο URL του μαθήματος.

Μα οι εργασίες δεν υποτίθεται οτι αποθηκεύονται σε ξεχωριστό fileserver;
Tα directories με τα file των εργασιών είναι πάνω στο eclass?

[Erevodifwntas]

Ερώτηση: αν κάποιος χάκεψε το eclass και έκλεψε εργασίες... μετά τις έδωσε με το όνομά του? για να δούμε τι θα δούμε....

[SeniorCarbone]

@netharis
μια λίστα ήταν με κάποια links στο directory "..URLμαθήματος/work"
στα αρχεία των εργασιών (με κωδικοποιημένο όνομα)
και έτσι μπορούσαν να κατεβαστούν πολύ εύκολα με ένα απλό ftp πχ.
Άμα κοιτάξεις άλλα eclass άλλων ελληνικών πανεπιστημίων που δεν έχουν απαγορεύσει την
πρόσβαση θα καταλάβεις.

@erevodifwntas
ναι, ξέρουμε ποίοι είναι και απότι φαίνεται το χουν ξανακάνει.

[StormRider]

@erevodifwntas
ναι, ξέρουμε ποίοι είναι και απότι φαίνεται το χουν ξανακάνει.

Από πού ξέρετε ποιοι είναι? Το μάθημα είναι ανοιχτό ή θέλει λογαριασμό για να το δεις?
Πάντως θεωρώ αρκετά ανόητο κάποιος να κατεβάσει μια εργασία και μετά να τη στείλει ακριβώς την ίδια...

Αναρωτιέμαι τί είδους κυρώσεις θα υπάρξουν... και αν θα πρέπει, γιατί αν κάτι τέτοιο είναι συστηματικό δεν μπορώ να φανταστώ ότι θα τα κατάφερναν ιδιαίτερα στις εξετάσεις...

[nantia_86]

ελπίζω τουλάχιστον αυτοί, που εκμεταλλεύτηκαν αυτή την αδυναμία του eclass, να τιμωρηθούν με κάποιο τρόπο...

[CKFoxB]

γιατι να τιμωρηθουν? δεν φτανει που ξεστραβώνουν τους καθηγητες! εγω προτείνω να τους περνανε και κανενα μαθημα...

[SeniorCarbone]

Όπως και να χει είναι τελείως lame να αντιγράψεις τέτοιου είδους εργασίες κ ακριβώς όπως είναι
(ούτε καν fonts δεν άλλαξαν και άφησαν και τα bold).
CKFoxB δεν ξεστράβωσαν κανένα καθηγητή, αυτό εμείς το κάναμε.
Εγώ προσωπικά άμα έβλεπα αυτή την αδυναμία θα ενημέρωνα τον κ Ανδρουτσόπουλο να το φτιάξουν,
αλλά είναι και τα ethics του καθενός...
Το τι θα τους κάνουν δεν με νοιάζει, θα το αναλάβει ο κ. Κωνσταντόπουλος όπως μου είπαν, τουλάχιστον ελπίζω να βαθμολογηθούμε εν τέλη.