18.mars i år kunne vi i universitas lese om UiOs mangel på sikkerhet rundt personvern. UiO har brutt personopplysningsloven 3 ganger bare i år.
I kjølvannet av dette, bestemte jeg meg for å utforske litt mer av datasystemet til universitetet. Ting skulle vise seg å ligge vidt åpent. Mulig dere som studerer her vet om dette, dog, jeg vil tro de færreste av de ansatte vet dette.
Tre kjekke verktøy; firefox, en terminal og en filebrowser (nautilus etc). Linux er også en nødvendighet, enten ved å bruke en av skolens linuxterminaler, eller å koble seg til via SSH.
Man bruker først UiO sine nettsider for å finne brukernavnet til personen man vil sjekke filene til. Skriver man inn hele navnet til personen, vil man få opp informasjon som vist under.
Alternativt er det mulig å bruke en terminal, hvor man skriver "finger <navn på person>". Erfaringsmessig får man mer urelevante treff ved bruk av denne metoden.
Vel, deretter må man finne ut på hvilken partisjon og disk denne personen sitt hjemmeområde. Til dette bruker vi verktøyet "jbofh". I en terminal skriver man rett og slett "bofh", og verktøyet starter i terminalen. Skriv så "user info". Trykk enter, så skriv inn brukernavnet. Man vil da få opp nye opplysninger, som vist under.
Ved "Home:"-feltet står det hvor brukeren er lokalisert. Man åpner så filebrowseren, og skriver inn banen. Hvis denne brukeren er uheldig (eller bare uvitende), får man lesetilgang til hjemmeområdet. I dette tilfellet er brukeren uheldig, og sprer sin informasjon med alle studenter på UiO.
Som det kommer frem av bildet, er det ikke alle filene det er leserettigheter på, men de fleste er det. Og dette er en foreleser. For alt man vet kan både obligatoriske oppgaver og fasiter ligge her (eksamener får man vel tilsendt av ekstern partner?).
Hvis man bare vil utforske litt, kan man bare gå til / og lete seg frem derifra, f.eks. /mn/terra. "Problemet" da er en man av og til vil støte på tilfeller som vist under.
Partisjonen inneholder ingen disker. Dette er bare en illusjon, da diskene er skjult for oss andre. Men bruker vi igjen verktøyet bofh, kan man finne ut hva diskene heter ved å skrive "disk list", <enter>, deretter skrive inn partisjonsnavnet (i dette tilfellet terra). Diskene blir da listet opp slik som under (listen er lengre enn det bildet viser).
Master høres jo interessant ut. Skriv inn den ønskede banen i filebrowseren, f.eks. /mn/terra/master-u1.
4 av 8 masterstudenter deler hjemmeområdet sitt. Hvis man vil vite hva disse personene heter, kan man bare skrive user info i bofh. Alternativt skrive person info for å få opp fødselsdato i tillegg.
Ønsket bare å rette søkelyset mot den dårlige sikkerheten UiO har, hvor de lar det være opp til brukerne om de skal dele hjemmeområdet sitt eller ikke. Da jeg oppdaget dette, sjekket jeg rettighetene som var satt på mitt område. Og joda, det var leserettigheter for alle av UiOs brukere.
Dere som studerer på UiO burde ta en chmod 700 på hjemmeområdet deres!
I kjølvannet av dette, bestemte jeg meg for å utforske litt mer av datasystemet til universitetet. Ting skulle vise seg å ligge vidt åpent. Mulig dere som studerer her vet om dette, dog, jeg vil tro de færreste av de ansatte vet dette.
Tre kjekke verktøy; firefox, en terminal og en filebrowser (nautilus etc). Linux er også en nødvendighet, enten ved å bruke en av skolens linuxterminaler, eller å koble seg til via SSH.
Man bruker først UiO sine nettsider for å finne brukernavnet til personen man vil sjekke filene til. Skriver man inn hele navnet til personen, vil man få opp informasjon som vist under.
Alternativt er det mulig å bruke en terminal, hvor man skriver "finger <navn på person>". Erfaringsmessig får man mer urelevante treff ved bruk av denne metoden.
Vel, deretter må man finne ut på hvilken partisjon og disk denne personen sitt hjemmeområde. Til dette bruker vi verktøyet "jbofh". I en terminal skriver man rett og slett "bofh", og verktøyet starter i terminalen. Skriv så "user info". Trykk enter, så skriv inn brukernavnet. Man vil da få opp nye opplysninger, som vist under.
Ved "Home:"-feltet står det hvor brukeren er lokalisert. Man åpner så filebrowseren, og skriver inn banen. Hvis denne brukeren er uheldig (eller bare uvitende), får man lesetilgang til hjemmeområdet. I dette tilfellet er brukeren uheldig, og sprer sin informasjon med alle studenter på UiO.
Som det kommer frem av bildet, er det ikke alle filene det er leserettigheter på, men de fleste er det. Og dette er en foreleser. For alt man vet kan både obligatoriske oppgaver og fasiter ligge her (eksamener får man vel tilsendt av ekstern partner?).
Hvis man bare vil utforske litt, kan man bare gå til / og lete seg frem derifra, f.eks. /mn/terra. "Problemet" da er en man av og til vil støte på tilfeller som vist under.
Partisjonen inneholder ingen disker. Dette er bare en illusjon, da diskene er skjult for oss andre. Men bruker vi igjen verktøyet bofh, kan man finne ut hva diskene heter ved å skrive "disk list", <enter>, deretter skrive inn partisjonsnavnet (i dette tilfellet terra). Diskene blir da listet opp slik som under (listen er lengre enn det bildet viser).
Master høres jo interessant ut. Skriv inn den ønskede banen i filebrowseren, f.eks. /mn/terra/master-u1.
4 av 8 masterstudenter deler hjemmeområdet sitt. Hvis man vil vite hva disse personene heter, kan man bare skrive user info i bofh. Alternativt skrive person info for å få opp fødselsdato i tillegg.
Ønsket bare å rette søkelyset mot den dårlige sikkerheten UiO har, hvor de lar det være opp til brukerne om de skal dele hjemmeområdet sitt eller ikke. Da jeg oppdaget dette, sjekket jeg rettighetene som var satt på mitt område. Og joda, det var leserettigheter for alle av UiOs brukere.
Dere som studerer på UiO burde ta en chmod 700 på hjemmeområdet deres!
Men jeg skjønner ikke hvorfor vanlige brukere har tilgang til den? I følge 
Men jeg er forsåvidt enig i at studenter ikke trenger å ha tilgang til dette verktøyet. Utskriftskvote kan man sjekke via http.
