Divný svět. Trestal bych školu, že nedokázala náležitě zabezpečit osobní data studentů, což vidím jako mnohem větší problém. Změny mohl provést kdokoliv i mimo studentů zvenčí a pachatel mohl být neznámý a nikdy neobjeven. Nejsem si jist, zdali instituce v dotyčné zemi mají možnost laxně zabezpečit takto citlivá a prakticky osobní data. U nás za to firmy někdy (dle libosti soudce asi) dostávají pokuty (tmobile, mall.cz je tuším v řešení atd.) U PC nemá diletant co dělat. Stejně jako za volantem.
No a jak byste si to v praxi představoval. 2FA přes SMS? Ale SMS je přece taky nebezpečné! Nebo čipové karty? Opravdu si myslíte, že je to reálné, když s informačním systémem pracují ve škole všichni kantoři, i technicky nepolíbení. Zapomene kartu (nebo mobil) doma, nic neudělá. Bude to všechny obtěžovat mnohem víc, než bude reálný přínos.
Kromě toho je málo studentů tak blbých, aby tohle zkoušelo - studium, i když u nás bezplatné, není ani u nás zadarmo. A za tohle je 100% vyhazov ze školy, což ale nebrání soudnímu vymáhání náhrady škody.
Navíc to je i pro toho hackera trošku složitější - může měnit jen hodnocení toho učitele, kterému hacknul účet, takže sobě i případným zákazníkům může vylepšit několik málo předmětů, ale jen těch právě otevřených - po konci zkouškového je klasifikace uzavřena a opravy vyžadují schválení vedení a technicky zásah administrátora.
Navíc se všechno loguje, takže jde v takovém případě dohledat změny a odkud byly provedeny. Oběti to přidá práci, protože bude muset porovnat zaznamenané hodnocení s primárními doklady (odevzdanými písemkami apod.).
Což je samo o sobě zcela dostačující, viz příslušné ISO normy. Požadavek na "authentication" není nijak zvlášť přísný, není to jaderný reaktor. Ale to není jediný požadavek na IS, jsou tam i integrity a accountability, které v tomhle případě dostaly na frak. Prostě je strašně zvláštní, že se to dozvěděli až po tak dlouhé době. Nástrojů je celá řada: email učiteli s přehledem změn, informace o posledním přihlášení atd. IS by prostě měl dát nástroje takové, aby učitel ihned poznal, že někdo zneužil jeho přihlašovací údaje. A měl pak umět všechny změny označit tak, aby je bylo možné odstranit.
Zkrátka mě zaráží, že se na to přišlo až po takové době a jen náhodou. To studijní systém nemá dovolit. Na nějakou dvoufaktorovou autentizaci se vykašlete, tady je třeba zapracovat na tom, aby neoprávněné změny neušly pozornosti.
"... ve kterých měl sobě a některým spolužákům měnit výsledky zkoušek..."
Poškodil školu. Kandidáta na "stýpko", když už ...., z něj nedělá nalezení díry, ale to, jak s daným nálezem naložil. A dotyčný s tím naložil minimálně na vyhazov. Když už nic tak je to podvod ... ta díra je jenom prostředek k jeho uskutečnění.
To je asi jako kdyby někdo vzal někomu z kabátu peněženku, všechno utratil, vybrakoval mu kartu a až ho po nějakém vyšetřování chytí, tak ty bys mu ještě dal nálezné a snadi i medajli za zásluhy. Nejsi padlý na hlavu?
To je vpohode ... CVUT - KOS ... uzasnej system umoznujici 150 loginu (na skole s nekolika tisicema studentu, lol), umoznujici vypsat cviceni pro 100 lidi u predmetu kterej ma zapsano 500lidi (megalol) a pochopitelne umoznujici libovolne zadavat a menit znamky, vcetne toho, ze si posleze dojdes na studijni a nechas tu znaku zapsat do indexu ... (ubermegalol).
Amici sou 150let za vopicema, protoze to co pisu je tak nekdy z roku +-96 (a nedelal bych si moc iluze o tom, ze to dneska funguje jinak)
Myslíš tohle? http://www.bugemos.com/?q=taxonomy/term/228 :-D