Керівництву Вищої Школи Економіки
Як ви всі знаєте, у Вищій Школі Економіки діє так звана LMS - електронна система забезпечення навчального процесу. Запровадження такої системи - гарне і прогресивне рішення, за яке наше керівництво можна похвалити. Подібні системи вже давно використовуються і в західних вузах, і в безлічі вітчизняних.
І все б нічого, але система має ряд недоліків, через які використовувати її стає як мінімум незручно, а в ряді випадків - просто небезпечно.
Решті ж ми в подробицях опишемо, за що ми так не злюбили LMS.
1. Система незручна.
Так, звичайно, звикнути можна до чого завгодно, в тому числі і до жахливого, непродуманого інтерфейсу. Але навіщо звикати до поганого? Спробуйте-но згадати, скільки хвилин вашого життя ви користувалися LMS без відчуття, що систему написали явно не люди і явно не для людей?
Згадаймо також дрібні недоліки реалізації: якщо двоє людей, скажімо, Андрєєв Антон і Андрєєв Олександр відправлять свої роботи викладачеві, в системі їх файли будуть мати однакові імена - andreev_a, що може призвести до плутанини.
2. Система "дірява" наскрізь.
Використовувана в LMS система управління контентом eFront має безліч дрібних багів, невеликих XSS-вразливостей і великих дірок, що дозволяють здійснити SQL-ін'єкції, підвищити привілеї або завантажити в систему довільний PHP-код. Переконайтеся в цьому: зайдіть на google.ru та наберіть "efront exploit". Ви побачите десятки сторінок, де будуть описані в подробицях методи злому, уразливості і будуть дані повні інструкції, дотримуючись яких систему зможе зламати навіть школяр.
Все ще не вірите, що LMS вразлива? Чи вважаєте, що все це під силу тільки досвідченим хлопцям, які пам'ятають сотні команд консолі напам'ять і сплять в обнімку з клавіатурою? Тоді зайдіть в систему і в поле "Пошук" введіть що-небудь, що закінчується на лапки, наприклад qwerty # 'Ну як? Якщо сформувати більш складний запит, то зможете витягнути з системи вміст практично будь-якої таблиці з бази даних. Основи SQL - це все, що для цього треба знати.
Скажемо більше, в системі дірок, що дозволяють провернути такий трюк, відразу кілька, і по кожній з них є інформація в інтернеті. Щоб скористатися ними, не потрібно навіть бути зареєстрованим в системі!
Нарешті, LMS має ряд вразливостей, що дозволяють підвищити привілеї та / або змусити сервер виконати довільний PHP-код. Це означає, що зловмисник може зробити з системою що завгодно, починаючи від виправлення власних і чужих оцінок, закінчуючи модифікацією її під свої потреби.
А зробити це, як ми вже говорили, може хто завгодно. Особливо якщо врахувати, що вихідні коди системи викладені в інтернеті.
Ось так. Як бачите, LMS є за що не любити. І навіть якщо виключити питання особистої приязні / неприязні, це не скасовує того _факта_, що система до використання в навчальному процесі _полностью_ непридатна.
Ми, студенти Вищої Школи Економіки, не хочемо вчитися в незручній, непродуманої, небезпечною системі.
Ми не хочемо, щоб окремі особистості, скориставшись недосконалістю системи, виправляли собі оцінки або проходили тести. Хоч навчання і не комп'ютерна гра, але чітера тут все одно ніхто не любить.
Ми не хочемо, щоб наші особисті дані або наша особиста переписка була доступна будь-якій людині "з вулиці" або використовувалася проти нас.
Ми закликаємо керівництво Вищої Школи Економіки:
1. Розібратися з тим, хто і чому допустив впровадження такої неякісної системи. За це напевно були заплачені гроші, і до того ж чималі.
2. Як мінімум - усунути описані вище недоліки, а бажано - вибрати для впровадження іншу систему.
Ми закликаємо викладачів Вищої Школи Економіки:
1. По можливості відмовитися від використання цієї системи до тих пір, поки описані вище проблеми не будуть усунені. Це у ваших інтересах.
2. Направити керівництву ВШЕ свої пропозиції про те, як змінити ситуацію, що склалася.
Ми закликаємо студентів Вищої Школи Економіки:
1. Звернутися до викладачів з пропозицією відмовитися від використання цієї системи в її нинішньому вигляді.
Можливо, у вас є до нас питання і претензії:
(?) Як вже доконала вся ця громадська метушня зі зверненнями, протестами, відкритими листами, мітингами, а тут ви знову.
(!) Звикайте. Або звикайте використовувати систему, яка вам не подобається, обговорюючи між собою, як же вона жахлива, або звикайте до того, що знайдуться люди, яким такий стан справ не до душі.
(?) Ви займаєтеся порожньою балаканиною.
(!) Ні, ми висуваємо конкретні проблеми і пропонуємо їх вирішувати. Якщо це - пусті балачки, то що тоді заяви нашого керівництва?
(?) Ви тільки критикуєте, нічого не пропонуючи.
(!) Ми пропонуємо. І наша пропозиція - знайти іншу систему замість eFront, або написати її самостійно, силами "вишки". Як компромісний варіант, ми могли б запропонувати оновити eFront до актуальної версії, але це не вирішило б проблему з інтерфейсом і з персональними даними, та й багато дірок залишило б відкритими.
(?) Вже пізно щось змінювати, система впроваджена, переробляти її буде занадто дорого або клопітно
(!) Збої, що виникли під час навчального року, можуть обійтися дорожче - як по грошах, так і з людських ресурсів. Причому в такому випадку проблеми можуть виникнути як у студентів, так і у викладачів. Тому ми і пишемо влітку, коли є ще час щось змінити.
(?) Де ж ви раніше-то були, борцуни ви нетямущі?
(!) Вчилися. Терпіли. Думали, що проблеми ці тимчасові і хоча б до літа їх виправлять. Але очевидно, що якщо ці проблеми не були вирішені без нашої участі за рік, то думати, що вони будуть вирішені без нашої участі за півтора місяці - нерозумно.
(?) Що ви так панікуєте? Систему ж ще ніхто не зламав.
(!) Звідки ви це знаєте? Інформація про відвідування зберігається в тій же базі даних, що і інформація про користувачів і особисті повідомлення. Хакери можуть видалити інформацію про те, що вони були в системі або намагалися її зламати.
(?) Але ж інцидентів-то не було.
(!) По-перше, звідки ви це знаєте, ви стежите за роботою LMS? По-друге, коли будуть і якщо будуть, то буде вже пізно.
(?) Ви самі і є хакери, які зламали систему, а тепер намагаєтеся відвести від себе підозри.
(!) Досить абсурдне припущення, враховуючи, що, по-перше, ніхто нікого не підозрював, а по-друге, що хакеру набагато вигідніше "залягти на дно" і, скажімо, пропонувати студентам за гроші виправляти оцінки, ніж висовуватися в люди.
(?) Тоді звідки ви знаєте стільки Детальні відомості про роботу LMS?
(!) Вся інформація, яку ми тут виклали, відкрита і загальнодоступна. Вихідні тексти системи eFront, основи LMS, викладені творцями на сайті sourceforge.net, а дані про уразливість є, наприклад, на securitylab.ru або exploit-db.com. Не потрібно бути хакером, щоб все це дізнатися. Потрібно просто вміти користуватися гуглом.
(?) У вас нічого не вийде.
(!) У нас може вийти хоч щось: керівництво може до нас прислухатися і хоча б задуматися про те, чи всі вони роблять правильно. Це - теж результат.
У будь-якому випадку гірше не буде.
Копія цього листа буде відправлено керівництву ВШЕ і адміністраторам LMS. Ви також можете надіслати копію цього листа всім зацікавленим особам.
Петиція LMS небезпечна і повинна бути замінена до Керівництву Вищої Школи Економіки була створена і написана Васіліхін Ростислав Вікторович ([email protected]). Ця петиція знаходиться на публічному інтернет-сервері www.OnlinePetition.ru. Власники служби та спонсори не пов'язані з петицією. З технічних та інших питань звертайтеся на [email protected]