-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Przygotowali honeypoty na studentów. Zdajesz test on-line próbujesz znaleźć w sieci odpowiedzi? Możesz trafić na serwis-podpuchę, który oflaguje Cię jako oszusta [USA]

18 lutego 2022, 19:25 | W biegu | komentarzy 13

Zdawanie egzaminów online wydaje się wygodne szczególnie w obecnych czasach. Istnieją oczywiście różne mechanizmy sprawdzające czy zdający egzamin nie oszukuje (np. monitorowanie kamery). Ale osoby zdające egzaminy też próbują różnych sposobów na oszukanie systemu monitorowania. Tym samym dochodzimy do pewnego kontrowersyjnego znaleziska.

Część amerykańskich uniwersytetów używa systemu wspierającego egzaminowanie o nazwie Honorlock. Co w tym dziwnego? Doniesienia, że jego twórcy rejestrują domeny-podpuchy, zawierające (niby) odpowiedzi na pytania, które pojawiają się na zdawanym egzaminie:

The sites Wilson found are bare bones. They have names like “gradepack[.]com” and “quizlookup[.]com.” They’re largely a catalog of thousands of apparent test questions that are sometimes bizarrely specific.

Tego typu serwisy zbierają aktywność danego użytkownika (co tam było wyszukiwane, ruchy myszki, w co było klikane, …) wraz z adresem IP. Może w trakcie egzaminu zdawanego na komputerze, ktoś próbował poszukać prawidłowych odpowiedzi korzystające ze smartfona podłączonego do tej samej sieci WiFi?

Jak polepszyć pozycjonowanie wyżej wskazanych serwisów? Jedna z technik mówi o specjalnym „oznaczaniu pytań” wprowadzanych przez osobę tworzącą egzamin:

Profesor przesyła pytania egzaminacyjne do Honorlocka, który następnie je watermarkuje przepisując je za pomocą kombinacji substytutów normalnych angielskich liter i znaków.

A professor submits exam questions to Honorlock which then „watermarks” them by rewriting them using a combination of substitutes for normal English letters and characters.

Może chodzi np. o zamiany typu: litera I (duże I) na l (małe el)? Ew. triki klasy punycodes?

Ta technika rzeczywiście zadziała, jeśli ktoś skopiowałby pytanie i wrzucił do Google w celu znalezienia odpowiedzi. Duża szansa że dość wysoko dostanie serwis-podpuchę. Nie jesteśmy za oszukiwaniem, ale takie działanie to już chyba zbyt duża inwazja w prywatność…

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. m

    Ktoś tutaj nie odrobił lekcji z dostępności. Takie watermarkowanie pytań zaburza działanie programów odczytujących zawartość ekranu, wykorzystywanych przez osoby miewidome do obsługi komputera. Tak dla przykładu, gmail.com z a zamienionym na bardzo podobnie wyglądającą cyrylicę może zostać odczytane jako gie em cyrillic small letter a il kropka com. Stany to nie Polska, tam, zwłaszcza w edukacji, dostępność zrobiona być musi, i nie jedna już firma za jej brak spore kary zapłaciła.

    Odpowiedz
  2. Johny

    Inwazja w prywatność. Spoko. Niech was taki oszukujący lekarz później leczy ekipo sekuraka…

    Odpowiedz
    • Czasem mamy wrażenie że taki już leczy ;-)

      Odpowiedz
  3. Konrad

    Nigdy nie rozumiałem ściągaczy. Odbębnią studia oszukując, kupią magisterkę, dostaną papier a potem pracują na słuchawce.

    Odpowiedz
    • Miszel

      Kolega chyba nie miał w ramach interdyscyplinarki „Ochrony środowiska” albo czegoś podobnego na Informatyce.

      Odpowiedz
  4. Mr Remose

    Odpowiedź na ostatnie pytanie brzmi NIE.

    Uważam że każda próba oszukiwania powinna być wykrywana i piętnowana. Czy całe nasze życie ma się opierać li wyłącznie na kolejnych próbach oszukiwania. Najpierw nauczycieli, potem pracodawców…

    Odbyłem ciekawą rozmowę jakiś czas temu. Nakreślę kontekst a później przejdę do pointy.
    Pracuję na co dzień w likwidacji szkód. Mam już kilkunatoletnie doświadczenie i dziesiątki tysięcy oględzin za sobą, ogólnie, nie jedno widziałem. Trafił się raz klient który kłamał „w żywe oczy”. Ewidentnym było że szkoda powstała w innych okolicznościach niż podawał klient, wynikało to z ujawnionych śladów.
    I teraz rodzi się pytanie… czy to już jest próba wyludzenia odszkodowania? Czy może jeśli dostanie odmowę wyplaty to sprawa będzie zamknięta bo wykryto próbę przecież jeszcze przed wypłatą? Czy zgłaszać próbę na policję? W końcu skoro dostanie odmowę to nikt materialnej szkody nie poniesie.
    A teraz podbijmy stawkę do maksimum pozostając w analogii do powyższego przykładu. Czy nieudana próba zabójstwa (np. nietrafiony strzał z pistoletu który nie ranił potencjalnej ofiary) należy piętnować, w końcu nikomu nic się nie stało, nikt materialnej i fizycznej szkody nie poniósł.

    Podsumowując mój wywód, uważam że każdy zamiar zachowania sprzecznego z przyjętą normą prawną i etyczną powinien być piętnowany (rozpatrywana winna być ewentualną umyślność i okolicznosci łagodzące).

    W przypadku opisanym w artykule trudno byłoby mówić o nieumyślności jeśli student celowo wyszukuje pytania egzaminacyjne ie trafia na podstawiony serwer.

    Proszę się powstrzymać od komentarzy ad personam, wiem w jakim państwie żyjemy i jakie mamy poszanowanie konstytucji i praw. Wyraziłem swoją opinię która może być sprzeczna z Twoimi poglądami. Jeśli tak jest to odnieś się do mojej wypowiedzi merytorycznie. Z góry dziękuję.

    Pozdrawiam

    Odpowiedz
    • Abc

      Przecież branża w której pracujesz jest jedną z tych które świadomie robią klienta w wuja. Bardzo słaby przykład.

      Odpowiedz
    • Miszel

      Czy oferowanie ubezpieczenia od wszystkiego gdzie „nie ma gwiazdek” to już oszustwo czy jak się okaże, że połowa przypadków jest jednak wyłączona mikro czcionką w OWU to już wina klienta, że nie przeczytał 40 stron?”

      Odpowiedz
      • Joanna

        Pracuje jako analityk danych ubezpieczeniowych w stanach. Wszystkie gwiazdki o których mówisz, to nie widzimisię firm ubezpieczeniowych, a zasady odgórnie narzucane przez departamenty i zasady matematyczne. W wykluczeniach muszą znaleźć się rzeczy i sytuację, których ubezpieczyć się po prostu nie da ze względu na brak niezależności. Np wojna – wtedy jednocześnie wszyscy ubezpieczeni chcieliby pieniądze, co sprowadziłoby firmę do bankructwa. Jest mnóstwo zasad, których ubezpieczyciele muszą przestrzegać.

        Odpowiedz
    • Stalin, czy to ty?

      „każdy zamiar zachowania sprzecznego z przyjętą normą prawną i etyczną powinien być piętnowany”

      czyli myślozbrodnia. Orwell dawno to opisał.

      Odpowiedz
      • Mr Remose

        Porównam więc ten przypadek do fotoradaru.

        W sytuacji gdy kierujący przesztrzega przepisów fotoradar nawet nie rejestruje jego przejazdu. W sytuacji gdy prędkość zostanie przekroczona to zostanie ukarany mandatem.

        Co do stwierdzenia „każdy zamiar” może rzeczywiście było niefortunnie zastosowane. Miałem na myśli celowe wyszukiwanie odpowiedzi do testów (i analogicznie z oznakowanymi fotoradarami, trudno nie zauważyć takiego wielkiego żółtego ustrojstwa na słupie. A jednak są osoby które mimo to intencjonalnie przekraczają dozwoloną prędkość za co winni zapłacić mandat).

        Odpowiadając na pozostałe zarzuty.
        ABC, Miszewski- tak współpracuję z firmą która postępuje średnio uczciwie, niemniej moje doświadczenie zawodowe pokazuje że około 40 – 50% poszkodowanych już na etapie zgłoszenia naciąga rozmiar szkody do granic możliwości (a może wypłacą bez oględzin, a może ulepię samochód w garażu jak zapłacą jak za naprawę w ASO to mi coś zostanie, itp)

        Zofię tylko pozdrowię indywidualnie.

        A Płęta to jednak poprawie pointa. Nie chcę odsyłać do słowników bo byłoby to nieeleganckie. Szkoda też że twój argument jest co najwyżej ad personam, a nie ad casum.

        Pozdrawiam

        Odpowiedz
    • Zofia

      Merytorycznie? Proszę bardzo. Stek bzdur i stalinowskie myślenie. Ot merytoryczna odpowiedź

      Odpowiedz
    • Płęta

      E czego? Pointy? Nie konsensusu lub sedna? tylko pointy. Powinieneś być w tym momencie ukarany przez twój system ponieważ nie mieścisz się w normach używając niepoprawnie języka.

      Odpowiedz

Odpowiedz na sekurak