Хакер #305. Многошаговые SQL-инъекции
Хакеру из Санкт-Петербурга удалось взломать систему централизованного тестирования Министерства образования РФ. В качестве наглядного примера он набрал максимальное количество баллов по самым трудным предметам.
Централизованное тестирование проходит в выпускных классах некоторых школ, а также в специализированных центрах, как в бумажном, так и в электронном виде. Его результаты могут засчитываться школами вместо выпускных экзаменов, а некоторыми вузами и вместо оценок за вступительные экзамены.
Ранее в Минобразования России считали, что система тестирования обладает достаточно высокой степенью защиты. Диск высылался в учреждения, где будут проводиться испытания непосредственно перед началом экзаменов. Задания и варианты правильных ответов находятся в зашифрованном виде. Запустить программу мог лишь ответственный за проведение тестирования, который получал специальный пароль.
Кроме того, сама тестовая программа может запускаться только на специально отведенных для этого компьютерах и следит за всеми действиями пользователей, чтобы предотвратить мошенничество.
Несмотря на все эти меры безопасности, питерский хакер Sp0Raw смог раздобыть программу Минобразования и написать собственный генератор ключей, подбирающий пароли к файлу, в котором находятся задания теста и правильные ответы. В результате, на пробном тестировании Sp0Raw смог набрать 100 баллов из 100 в тестах по русскому языку и математике повышенной сложности, что практически невозможно.
В интервью "Ведомостям" хакер заявил, что его интерес заключался в том, чтобы исследовать систему. "Я помню, как смотрел фильмы, вроде "Хакеров", и смеялся. Думал: "Интересно, когда подобное можно будет в России сделать?". И вот, похоже, настали времена. А тут еще и электронные паспорта ввести собираются - вообще раздолье", - сказал Sp0Raw.
В Минобразовании РФ факт взлома признали, добавив, что это лишь единичный случай: из протестированных 111000 человек обмануть систему удалось лишь одному. Между тем, урок будет учтен, и в центре намерены значительно усилить меры безопасности, например, полностью изменить схему шифрования заданий.
"Если до сих пор на подбор пароля требовались четыре дня, то теперь потребуются, минимум, четыре недели", - говорит директор Центра тестирования при Минобразовании РФ Владимир Хлебников. Кроме того, отныне процесс тестирования будет организован таким образом, чтобы диск поступал в вузы непосредственно в день проведения тестирования, а каждый предмет был бы записан на отдельном компакт-диске.