Чем опасен электронный дневник в школе

Ольга Баранец: Почему мы против электронного дневника

Вот, например, мнение одной из мам: «Учитель по своей воле отменила ведение дневников в начальной школе, вернее пустила все в свободное плавание, мотивируя тем, что есть электронный дневник и этого достаточно. В результате возникло много проблем. Ребенок не знает что задано, ждет домой родителей, чтобы узнать дом. задание и оценки за урок. Не сформированы привычки записи в дневник, а значит самоконтроля, нет осознания необходимости самостоятельной подготовки. Надо отметить, что эта традиция (ведения дневника) существует очень давно, и на форзаце дневника есть правила и ответственность за его заполнение и проверку! У младшего вообще проблема, он никогда не знает, что ему поставили и действительно, нет осознания ситуации, нет мотивации что-то улучшить-исправить.»

Что можно к этому добавить!? Действительно ведение бумажного дневника формирует ответственность, обязательность, системность мышления, самоорганизованность. Систематическая запись домашних заданий учит планировать, отслеживать промежуточный результат. Красная пятерка в дневнике – положительное подкрепление твоих усилий, такая же двойка дополнительный стимул к учебе, не говоря уже о записях учителя. Под предлогом освобождения учителей от проверки дневников детей лишили важной воспитательной и образовательной составляющих.

В нашу организацию были предоставлены видеоматериалы, на которых были зафиксированы изменения учителем оценок задним числом, произвольно изменялась посещаемость школы. Такой «плавающий» документ перестает быть в сознании ребенка чем-то важным и перестает нести свою функцию контроля и дополнительного стимула. Собственно все, что и нужно реформаторам – отменить обязательность, контроль, размылить процесс, а дальше наш ленивый мозг сделает свое дело. Учиться тяжело! И тут все подпорки хороши – и строгость родителей, и неминуемый контроль учителя, и наказание, и поощрение. Бумажный дневник – играет в этом процессе свою незаменимую роль именно своей неподкупностью и неизменностью конечного документа. Почему именно бумажного и запись рукой, потому что письменная речь формирует мышление, осознание, память (попробуйте трудную к осознанию мысль записать рукой – увидите как это работает или прочтите статью). Возможно, это связано с тем, что мелкая моторика руки связана с центрами речи, в которые включена вся наша мозговая активность в части сознания и мышления. Когда мы что-то пишем рукой, в мозге происходят соответствующие мыслительные процессы. Набор электронного текста так не работает. Вообще отказ от рукописного текста в обучении (и от бумажных дневников в частности) это медвежья услуга от реформаторов нашего образования, поскольку школа – это не только загрузка мозга суммой знаний, но и формирование аппарата мышления, самоконтроля, органа, который будет ответственен за правильные и быстрые решения, следовательно за будущую успешность ребенка. Рукописное письмо, в частности ведение бумажного дневника – важный способ обучения мозга!

В грефовском образовательном проекте, который постепенно внедряет Минпросвещения обучение ребенка строится без учителя и родителя, исключительно на его самоконтроле, ответственности и самоорганизованности. Какой обман! За эти высшие функции человеческого поведения отвечает префронтовая кора головного мозга, которая у ребенка не развита, а только формируется! Ребенку нечем самоорганизовываться! Именно поэтому дети и считаются детьми и нуждаются в окружении взрослых, которые обеспечивают ответственность, самоорганизованность, самоконтроль. Проверенная годами система: требовательный учитель и контролирующий родитель введена не просто так. Бумажный дневник в ней – тренажер, на котором школьник учится – ответственности (не записал, не выучил, получил неут), самоорганизованности (ты должен сделать это сам и сам отвечаешь за результат) и, наконец, самоконтроле и планированию (ты должен решать когда и что учить, чтобы сдавать домашнее задание в срок). Кстати, из исследований психологов известно, что дети, вынужденные в период взросления нести повышенную ответственность и самоорганизованность в будущем имели более низкие показатели здоровья. Их биологический возраст бы выше реального, т.е. они старели раньше, своих сверстников, у которых было нормальное детство с постепенным взрослением. Вряд ли в проекте Грефа это учитывается, как и вообще здоровье и состояние испытуемых школьников.

С принятием электронных дневников ребенок из объекта превращается в субъект образовательного процесса, пассивным наблюдателем собственной жизни, в которой учитель что-то написал, родитель что-то посмотрел, а я тут вроде и не причем. Это одна крайность. Или в невротика, которого неизмеримо повышенная ответственность за невыполнимый объем заданий толкала к суицидальным мыслям (реальные случаи из обращений в ОУЗС).

Я не пишу о том, что электронный дневник – это прекрасный сбор данных на ребенка, родителя, семью. Мы много об этом говорили в предыдущих публикациях.

Хочу напоследок отметить, что бумажный дневник – это приватное образовательное пространство между ребенком, учителем и родителем. Ведь ребенок учится и все его неудачи – это временный процесс, в котором посторонним нет места. Сегодня два – не получилось, завтра пятерка – молодец! Вот здесь как раз важен конечный результат, а промежуточные – временный процесс. Вынесение всех ошибок, неудач и фиксация их на веки вечные делают ребенка каким-то тотальным неудачником. Еще раз, электронный дневник – медвежья услуга от минпросвета!

Я бы порекомендовала родителям добиваться в школе ведения бумажного дневника, обязать своего ребенка вести бумажный дневник, даже если школа вам отказала и самим в этом случае строго следить за его заполнением.

Подписывайтесь на наши ресурсы:

Наша деятельность ведется на общественных началах и энтузиазме. Мы обращаемся к Вам с просьбой оказать посильную помощь нашей экспертной и правозащитной деятельности по защите традиционной семьи и детей России от западных технологий и адаптированных с помощью лоббистов законов. С Вашей помощью мы сможем сделать еще больше полезных дел в защите традиционной Российской семьи!

Для оказания помощи можно перечислить деньги на карту СБЕРБАНКА 4276 5500 3421 4679,
получатель Баранец Ольга Николаевна
или воспользуйтесь формой для приема взносов:

Источник

Прошло больше трех месяцев с той поры, когда начались настойчивые просьбы классного руководителя о подписании некоего «Соглашения на обработку персональных данных родителей обучающегося», в котором предлагалась «передача данных третьим лицам«, включая данные паспорта, адреса проживания и места работы, а также социального положения. Целью подобного соглашения указывалось «обеспечение наиболее полного исполнения образовательным учреждением своих обязанностей, определенных законом«.

Тем временем, размышляя о новизне степени отчужденности, вводимой электронной учетностью, я наткнулся на интересную новость: «Ростелеком» и Дневник.ру завершили внедрение системы «Контингент-регион» в трех субъектах РФ».

Из нее следует, что система «Контингент-регион» начала разрабатываться и внедряться в рамках «Распоряжения Правительства РФ №2125-р от 25 октября 2014 года об утверждении Концепции создания единой федеральной межведомственной системы учета обучающихся по основным образовательным программам и дополнительным общеобразовательным программам».

Судя по комментариям на различного рода площадках, система эта располагается по адресу http://46.61.224.79/ и может быть задействована из любого региона. «Дневнику» отводится роль интегратора всей системы.

При этом, как заявляется на той же заглавной странице, к проекту уже подключены 31 626 школ, 5 633 912 учеников, 668 584 учителей, 2 935 891 родителей.

Как в этом свете нужно рассматривать пилотное внедрение этого проекта в регионах, пусть даже под брендом «Ростелекома», который на самом деле частно-государственный?

Однако, вчитываясь в текст того самого распоряжения №2125-р, начинаешь понимать, в какую западню ведут все эти красивые картинки.

Для начала зафиксируем, что указанное распоряжение утверждает некую «концепцию создания единой федеральной межведомственной системы учета контингента обучающихся по основным образовательным программам и дополнительным общеобразовательным программам».

Что это за система, поясняется далее: «Межведомственная система представляет собой комплекс информационных систем, предназначенных для учета контингента обучающихся, взаимосвязанных с информационными системами органов государственной власти и государственных внебюджетных фондов, содержащих персональные данные несовершеннолетних«.

То есть вы не просто оказываетесь в некоем безобидном «электронном дневнике». Ваших детей «пришивают» к уже существующим ведомственным информационным системам, включая известные многим «госуслуги». Предпосылками создания подобной системы по мнению правительства является следующее:

— отсутствие достоверной информации о фактическом и прогнозируемом количестве обучающихся различных возрастов, проживающих на территориях и нуждающихся в образовательных услугах, негативно сказывается на решении задач управления сетью организаций, осуществляющих образовательную деятельность по основным образовательным программам и дополнительным общеобразовательным программам;

— недостаточно эффективно решаются задачи территориального планирования строительства дошкольных образовательных организаций и общеобразовательных организаций, не решена проблема выравнивания нагрузки на организации, осуществляющие образовательную деятельность;

— наличие информации о числе родившихся и зарегистрированных по месту жительства обучающихся способствует значительному повышению эффективности решения указанных проблем, однако такая информация сконцентрирована в различных ведомствах и зачастую недоступна в оперативном режиме;

— отдельный интерес представляют сведения обо всех этапах обучения детей, в частности данные о прохождении обучения в различных организациях, осуществляющих образовательную деятельность, включающие в себя общую информацию об организациях, о периодах обучения, об освоенных образовательных программах, об успеваемости, о документах об образовании и (или) о квалификации, документах об обучении;

— известно, что образовательный процесс существенно влияет на такие факторы, как состояние здоровья, будущая социализация и профессиональная успешность обучающихся. Данная информация необходима органам власти при принятии управленческих решений, родителям и обучающимся при выборе организаций, осуществляющих образовательную деятельность. При этом проблему представляет не только получение этих данных из другого ведомства, но и связь данных о здоровье с данными об обучающихся и их этапах обучения;

— несмотря на значительный прогресс информатизации деятельности органов власти всех уровней, существует множество разрозненных ведомственных информационных систем, содержащих различную информацию об обучающихся разных возрастных групп. Не решена проблема единой идентификации обучающихся в различных ведомственных информационных системах. Отсутствие единого эталонного источника персонифицированной учетной записи гражданина значительно усложняет задачу корреляции данных о нем из различных источников. Создание межведомственной системы позволит решить указанные проблемы, а также обеспечит переход на качественно новый уровень функционирования ведомственных информационных систем, содержащих информацию об обучающихся.

Ведь совсем не зря принципами создания этой межведомственной системы являются:

— учет обучающихся в межведомственной системе со дня государственной регистрации рождения и начала обучения в организациях, осуществляющих образовательную деятельность;

— обеспечение условий для персонифицированного учета данных об обучающихся;

— наполнение межведомственной системы данными из информационных систем различных органов государственной власти и государственных внебюджетных фондов в объеме, необходимом для достижения целей, определенных Концепцией;

— обеспечение доступа заинтересованных федеральных органов исполнительной власти и государственных внебюджетных фондов к единым механизмам доступа к данным об обучающихся;

— использование страхового номера индивидуального лицевого счета в качестве единого идентификатора обучающегося для осуществления межведомственного информационного взаимодействия.

Все это дополнятся вот таким вот перечнем персональных данных учащихся, хранимых в системе:

— фамилия, имя и отчество (при наличии)обучающегося;
— пол обучающегося;
— место рождения обучающегося;
— дата рождения обучающегося;
— номер записи акта о рождении обучающегося;
— дата государственной регистрации рождения и наименование органа,который произвел государственную регистрацию рождения;
— гражданство;
— серия и номер паспорта обучающегося (после его получения) или реквизиты иного документа, удостоверяющего личность;
— адрес регистрации обучающегося по месту жительства (по месту пребывания);
— страховой номер индивидуального лицевого счета обучающегося;
— сведения о родителях или законном представителе обучающегося (фамилия, имя, отчество (при наличии), гражданство, адрес регистрации, адрес регистрации по месту жительства (по месту пребывания), серия и номер паспорта или реквизиты иного основного документа, удостоверяющего личность, страховой номер индивидуального лицевого счета);
— общие сведения, данные об этапах обучения, о достижениях и иную информацию, необходимую для решения задач межведомственной системы.

Естественно, что кроме персональной информации система будет содержать «данные о периодах обучения, об освоенных образовательных программах, успеваемости, о документах об образовании и (или) о квалификации, документах об обучении и о сертификатах«.

Это все конечно верно. Но! Глава VII указанной концепции предполагает возложить на Министерство образования и науки РФ «подготовку проектов о внесении в законодательство Российской Федерации в сфере образования изменений, необходимых для создания и функционирования межведомственной системы«, а так же «подготовку при необходимости совместно с заинтересованными федеральными органами исполнительной власти и государственными внебюджетными фондами предложений о внесении в законодательство Российской Федерации изменений, обеспечивающих установление полномочий федеральных органов исполнительной власти и государственных внебюджетных фондов по предоставлению персональных данных граждан Российской Федерации, и предложений, касающихся порядка получения, обработки, хранения и уничтожения персональных данных граждан Российской Федерации«.

Так-то! И всем понятно, что если есть заинтересованные лица, то новые законопроекты будут и создаваться и лоббироваться.

Что в итоге? В итоге мы видим попытку, под вывеской «эффективного решения задач обучения», создать систему тотального контроля за ребенком и его родителями. При участии (и под давлением) частных лиц.

Источник

Внедрение в школах РФ «электронных дневников» и «электронного журнала успеваемости». Что стоит за всем этим?

В связи с внедрением в школах РФ «электронных дневников» и «электронного журнала успеваемости», «электронной очереди для записи в школу по интернету» учащихся общеобразовательных школ хотелось бы сообщить следующее. Огромное количество граждан РФ, родители и педагоги видят опасность в проведении данных мероприятий для учащихся общеобразовательных школс психологической, физической, нравственной, духовной и др. сторон, т.к. это:

1.Повлечет несанкционированный сбор и обработку персональных данных детей, навязывание универсальных электронных кат, присвоение идентификационных номеров (СНИЛС и пр.) без волеизъявления законных представителей;

3. Ежедневное общение с новыми технологиями, подверженного облучению людей магнитными полями нанесет непоправимый вред (психический и физический) и без того ослабленному здоровью наших детей, вызовет различные заболевания, что противоречит ст. 42 Конституции РФ, согласно которой «Каждый имеет право на благоприятную окружающую среду…»;

4. Большое количество граждан нашей области, родителей и педагогов видят опасность в том, что сведения о их детях, да еще и с фотографией, без их согласия, будут помещаться в электронную компьютерную сеть, в том числе в Интернет, а следовательно будут известны всем желающим, в том числе и для криминального мира;

5. Является фактически отрывом родителей от просмотра оценок и замечаний в дневниках на бумажных носителей, что не позволит правильно и своевременно следить за обучением своего ребенка в школе, принимать участие в управлении образовательным учреждением, в становлении детей как личности, воспитании и обучении, исправлении и наставлении;

6. Надлежащая оценка качества обучения учащихся общеобразовательных школ необходимые для школьного учета, т.е. для проставления оценок в дневниках и журналах успеваемости на бумажных носителях уже имеются, успешно функционирует и не требуют каких-либо изменений. Создавать же дополнительные электронные дневники и электронные журналы успеваемости для детей является незаконным и может делаться только с согласия их законных представителей по следующим основаниям.

В соответствии со ст. 43 Конституции РФ каждый имеет право на образование. И это право не ставится под условием согласия или несогласия законных представителей и их детей на использование «электронных дневников» и «электронных журналов успеваемости».

В соответствии со ст. 24 Конституции РФ «Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается…»; Ст.28 Конституции РФ говорит о том, что «Каждому гарантируется свобода совести, свобода вероисповедания…»; Очень подробно регламентируют права детей и взрослых такие ст.ст. Конституции как: 2,3,7,15,17,18,29, 32,33,39,41.

Закон РФ от 10 июля 1992г. №3266-1 «Об Образовании» в преамбуле говорит о том, что «под образованием понимается целенаправленный процесс воспитания и обучения в интересах человека, общества, государства…Образование в РФ осуществляется в соответствии с законодательством РФ…». Ч.1ст.52 закона говорит о том. что «родители(законные представители) несовершеннолетних детей…имеют права ЗАЩИЩАТЬ ЗАКОННЫЕ ПРАВА и ИНТЕРЕСЫ РЕБЕНКА, ПРИНИМАТЬ УЧАСТИЕ в УПРАВЛЕНИИ ОБРАЗОВАТЕЛЬНЫМ УЧРЕЖДЕНИЕМ.

Но никто нашего согласия и помощи в управлении образовательным учреждением на «электронные» нововведения в школе не спрашивал. Наши убеждения и взгляды на это не выяснялись.

Ст. 63 Семейного Кодекса РФ (Права и обязанности родителей по воспитанию и образованию) говорит о том, что «родители имеют права и ОБЯЗАНЫ ВОСПИТЫВАТЬ СВОИХ ДЕТЕЙ. Родители несут ответственность за воспитание и развитие своих детей. Они ОБЯЗАНЫ заботиться о здоровье, психическом, ДУХОВНОМ и НРАВСТВЕННОМ развитии своих детей. Родители имеют ПРЕИМУЩЕСТВЕННОЕ ПРАВО НА ВОСПИТАНИЕ СВОИХ ДЕТЕЙ перед всеми другими лицами…».

А в соответствии со ст. 64 Семейного Кодекса РФ (Права и обязанности родителей по защите прав и интересов детей)«ЗАЩИТА ПРАВ и ИНТЕРЕСОВ ДЕТЕЙ ВОЗЛАГАЕТСЯ НА ИХ РОДИТЕЛЕЙ. Родители являются законными представителями своих детей и выступают в защиту их прав и интересов в отношении с любыми физическими и юридическими лицами. В том числе в судах, без специальных полномочий…».

В соответствии с ч.2 ст.65 Семейного Кодекса РФ (осуществление родительских прав) все вопросы, касающиеся

воспитания и ОБРАЗОВАНИЯ ДЕТЕЙ, РЕШАЮТСЯ РОДИТЕЛЯМИ по их взаимному согласию исходя из интересов детей…».

Решение об «электронных дневниках» и электронного журнала успеваемости» противоречит и гражданскому законодательству, поскольку никто нашего согласия на эти нововведения не спрашивал.

В соответствии с ч.2 ст.1 Гражданского Кодекса РФ граждане (физические лица) и юридические лица приобретают и осуществляют свои гражданские права своей волей и в своем интересе. Они свободны в установлении своих прав и обязанностей на основе договора и в определении любых не противоречащих законодательству условий договора;

Ст.9 Гражданского Кодекса РФ говорит о том, что «Граждане и юридические лица по своему усмотрению осуществляют принадлежащие им гражданские права»;

Ст. 421 Гражданского Кодекса РФ под названием «Свобода договора» констатирует, что «Граждане и юридические лица свободны в заключении договора. Принуждение к заключению договора не допускается…»

Право на получение образования гарантировано и соответствующими Постановлениями Правительства РФ, Указами Президента РФ и другими правовыми актами РФ и не может нарушаться никакими образовательными учреждениями.

Кроме того, многие видят опасность внедрения подобных электронных дневников и журналов в следующем:

-система «электронных дневников и журналов успеваемости» безусловно связана с несанкционированным сбором персональных данных о каждом человеке, начиная с детского возраста, что ведет к построению общества тоталитарного контроля, где каждый шаг учащегося отслеживается при помощи данных устройств. Наличие большого объема информации о несовершеннолетнем делает его уязвимым для различных воздействий и манипуляций со стороны различных структур.

А в соответствии со ст.150 Гражданского Кодекса РФ под названием «Нематериальные блага» «Жизнь и здоровье, достоинство личности, личная неприкосновенность, честь и доброе имя, деловая репутация, неприкосновенность частной жизни, личная и семейная тайна…, право на имя,… и другие нематериальные блага, принадлежащие гражданину от рождения…неотчуждаемы и непередаваемы иным способом…».

В «Основах учения Русской Православной Церкви о достоинстве, свободе и правах человека», принятых Архиерейским Собором 2008 года, обозначено следующее: «. Методы сбора и обработки информации о людях не должны принижать человеческое достоинство, ограничивать свободу и превращать человека из субъекта общественных отношений в объект машинного управления…».

С учетом изложенного, руководствуясь ст.ст. 2,3,7,15,17,18,24,29, 32,33,39,41,43 Конституции РФ, ст.52 Закона РФ от 10 июля 1992г. №3266-1 «Об Образовании», ст.ст.63,64,65 Семейного Кодекса РФ, ст. 1, 9, 421 Гражданского Кодекса РФ я, как законный представитель своего несовершеннолетнего ребенка не даю согласие на ведения его успеваемости по т.н. «электронному дневнику» и «электронному журналу успеваемости».

Источник

Почему «электронные дневники» до сих пор ненадежны в образовании?

Добрый день, хабраюзер!

В этом топике будет затронута проблема, связанная с организацией надежности цифровых информационных систем, являющихся частью процесса современного образования. Если говорить конкретно, то электронных дневников.

Как известно, цифровые внедрения нынче повсеместны: школы и университеты заводят собственные странички в социальных сетях и блогах для информирования о происходящем, редкое учебное заведение не имеет собственного сайта, а электронные журналы вот-вот окончательно вытеснят бумажные… И это лишь часть тех перемен, которые происходят у нас на глазах. Конечно же, в информационный век этому уже не приходится удивляться: люди привыкли, что вся интересующая их информация находится интернете.

Очевидно, эти процессы инкапсулируют в себе и немалую ответственность как со стороны пользователей, так и со стороны разработчиков. Теперь недостаточно, уходя из кабинета, запирать дверь на ключ, оставляя позади нее всё важное. В цифровом мире физическая недоступность не является гарантией безопасности (однако, несомненно, этот аспект крайне важен в плане обеспечения комплексной безопасности). Но, обо всем по порядку.

Проблема #1: человеческий фактор.

«Самая большая уязвимость любой информационной системы — это её пользователь»(с)

С этим высказыванием трудно поспорить — человек есть человек. Именно эта проблема является ключевой в плане надежности и безопасности информационных ресурсов как со стороны пользователей, так и разработчиков. Эта проблема актуальна ровно столько, сколько существует сам человек, а поэтому она не относится к цифровому миру, как таковому. Ведь и во времена, предшествующие цифровым, например, бумажный журнал было доверено переносить конкретному человеку (старосте, кажется), который, в общем-то, мог бы пользоваться своим положением или быть использованным другими своими одногруппниками, что в конечном счете вполне могло привести к подделке оригинальной информации, ее компроментации. Другой пример, когда виновниками выступают уже не доверенные лица, а непосредственные «владельцы» информации. Если рассматривать это на конкретном примере, то легко представить себе обычного, скажем, секретаря, не подумавшего не только забрать, но и вообще закрыть журнал с важной информацией на время своего отсутствия в кабинете. Такое бывает и нередко. Это также может привести к утечке/подделке важных для учреждения сведений.

В современное время примеры неаккуратности человеческого фактора остаются идентичными, разве что бумажки заменяются компьютерами. На самом деле это несет еще большую угрозу. Если запрограммировать и «заразить» бумажку было нельзя, то с компьютерами все обстоит иначе.

Редкий сотрудник (по крайней мере, в сфере школьного образования) нажимает Win+L, отлучаясь по делам, некоторых в принципе не заботит, стоят ли пароли на их учетных записях Windows, а третьи вообще пускают за свой ноутбук чуть ли ни каждого встречного… Все это лишь усугубляет и без того ненадежные системы. Вы можете использовать самые безопасные браузеры, накачать дюжину различных антивирусов и даже использовать уникальный пароль учетной записи, но если пускать за свое место других людей без пристального наблюдения за их действиями, ничто не сможет гарантировать надежность рабочего места и отсутствие утечек.

Теперь хотелось бы привести простой пример эксплуатации «человеческого фактора».

Есть добрый преподаватель географии Иван Иванович, который попросил своего «ученика-компьютерщика» Антона Антоновича разобраться с тем, почему на его компьютере нет звука в презентации(обычная проблема). Ученик, быстро разобравшись с проблемой, пока Иван Иванович пишет на доске материал к следующему уроку, подумывает о перехвате данных своего учителя с этого компьютера(часто это почта, логины-пароли от соц.сетей и электронных журналов и т.д). Заранее Антоном был заготовлен злобный JavaScript-сценарий, являющийся частью его self-made сниффера:

И «ученик-компьютерщик» решает встроить свой скрипт внутрь любимого браузера Ивана Ивановича. Сделать Антон это может как стандартными средствами, предоставленными непосредственно браузерами, так и сторонними, вроде расширений TamperMonkey(Chrome), GreaseMonkey(FireFox) и т.д. После чего он довольно встает с захваченного PC и идет с улыбкой к любимому учителю географии, информируя его о починке исходной проблемы. Но с этого момента все вводимые данные на захваченном компьютере будут течь к Антону. Для более пущего эффекта он может сбросить всю историю браузера, включая запомненные ранее аутентификационные данные из форм.

Кроме того, Антон может попытать счастье и постараться вытащить пароль учетной записи Windows, используя средства наподобие wce (WindowsCredentialsEditor). Ведь вряд ли у Ивана Ивановича десяток различных паролей — так ведь неудобно — поэтому, вполне вероятно, что всего один единственный 😉

Проблема #2: ненадежность информационных ресурсов(электронных журналов)

Начать, пожалуй, следует с того, что ни один электронный журнал, встретившийся мне, не обладал должной системой защиты и системой выявления несанкционированного доступа. Я не хотел бы их перечислять. Все они, с точки зрения *безопасной* авторизации, напоминали какие-то форумы и многочисленные сайты-пиратки, построенные на движке DLE. Везде для входа в свой кабинет нужно было лишь указать логин(который часто представлял из себя email) и пароль. Ни о какой истории входов-выходов и информации об открытых «висячих» сессиях и речи нет. Однако данные, находящиеся внутри, все же представляют определенную ценность.

Рассмотрим пример на реально существующем электронном журнале, который функционировал в течении целого года.
Предположим, тот самый «ученик-компьютерщик» этим же вечером, придя домой и проанализировав свой лог, получил несанкционированный доступ к учетной записи преподавателя:

авторизовавшись, Антон увидел следующую картину:

что натолкнуло его на мысль о том, что имея в руках auth-данные лишь одного сотрудника своего образовательного учреждения(Ивана Ивановича), он может управлять всеми оценками любого юнита, входящего в состав этого учреждения. Это довольно странно, ведь это идет вразрез с простейшими правилами доступа.

Однако к служебной и конфигурационной информации у простого преподавателя доступа все же нет. Зато такой доступ есть у аккаунта администратора учебного заведения:

Здесь приведен один из ключевых конфигурационных разделов журнала. Красным выделено то, что влияет на безопасность и достоверность данных. Далее я хотел бы показать, что часто подобные настройки являются лишь иллюзией, которая еще больше усугубляет положение: ответственные лица полагают, что информация месячной/недельной(и т.д) давности была проверена и заморожена навсегда. Однако, это не так.

Что-либо изменить просто так не удастся, т.к на данный момент уже прошло слишком много времени.

Но если заглянуть в исходный код и посмотреть, как все устроено, можно увидеть следующее:

Синим обозначено то, что якобы не подлежит замене, красным — что изменяемо. Сразу появляется мысль подставить данные из уязвимого красного блока в синий, т.е заменить SPAN на INPUT. После срабатывания JS-события onChange происходит следующее:

Сработала одна из систем, отвечающих за надежность данных. Однако, если вспомнить, что есть HTML-сущности, то комментарий можно будет скрыть.
После нажатия на кнопку и обновления страницы можно увидеть:

Замороженные данные были подвержены изменению? Да. А причина тому кроется в том, что разработчики данного дневника не подумали проверять данные на серверной стороне. Они доверчиво принимают параметры от клиента, а сервер, как зомби, тупо прожевывает их, не сомневаясь в надежности…

Но, как оказалось, комментарии можно и вовсе обойти, а присутствие/отсутствие на конкретном уроке подделать, что в общем-то уже менее серьезно. Достаточно перейти на страницу урока( ↑ ссылка в заголовке таблицы ↑ ):

Здесь есть возможность добавить оценку(значок «плюсик»), но не изменить уже существующую(замороженную). Красным цветом снова показано «уязвимое» место системы, а синим — его эксплуатация. Здесь просто воспользоваться методом замены не получится( нельзя просто так взять и заменить DIV на A ), потому что тег ссылки содержит в себе служебные параметры: ID оценки и ID человека, которому она принадлежит. По нажатию на ссылку всплывает окно, ассоциированное с данными оценки. Поэтому для эксплуатации придется совсем немного подкорректировать параметры ссылки:

Теперь, если произвести замену, изменить и обновить:

Снова удалось заменить замороженные данные. Даже без указания комментария(причины)!
Здесь также наблюдается уязвимость, связанная с односторонней проверкой данных.
Вот таким достаточно простым способом удалось обойти основной раздел, отвечающий за защиту и надежность самых важных данных электронного журнала.

Исследование HTTP-запросов показало, что комментарий не учитывается вообще — это просто сторонний параметр, который может быть и пустым(значение на пустоту проверяется на клиентской стороне).

Возможно, разработчики и проектировщики(если проектировщики вообще были) точно были уверены, что данными функциями будут пользоваться исключительно сотрудники образовательных учреждений… но, на худой конец, ведь вполне может быть и так, что ученик является родственником определенного сотрудника и они пользуются общим компьютером…

Проблема #3: нежелание исправлять свои ошибки.

В начале описания проблемы#2 было сказано, что уязвимый электронный журнал функционировал в течении целого учебного года. Исследование же журнала было проведено почти в самом начале учебного года, разработчики и администрация были проинформированы, однако ни одной ошибки так и не было исправлено за всё прошедшее время. Вполне вероятно, что проблемой#1, связанной с человеческим фактором, воспользовалось множество учеников из разных образовательных учреждений, что в итоге могло привести к массовой подделке исходных данных. Проблема#2 лишь усугубляет эту ситуацию.

Сотрудники образовательных учреждений так же продолжают предоставлять доступ к своим компьютерам каждому встречному, не наблюдая за их действиями. Некоторые позаботились о смене своих «штатных» паролей(или их первоначальной установки). В целом ничего не изменилось, и уровень как безопасности, так и надежности остался на прежнем уровне.

Вывод

Проблема, как и положено, кроется в корне. Чтобы ее можно было как-то искоренить, необходимо заставлять людей задумываться о безопасности их рабочего места, о том, что вокруг «ходит» слишком много угроз. Утечка и несанкционированный доступ — часто лишь вопрос времени не только в контексте современных образовательных учреждений. Но на их примере очень легко убедиться в некомпетентности многих сотрудников. На примере электронного журнала(dnevnik.mos.ru) стало видно, что некомпетентность лишь одного человека может повлечь за собою крах, в данном случае, всей системы оценивания.

Многие школьные учителя еще только осваиваются в плане электронных ресурсов, но когда однажды(уже очень скоро) произойдет повсеместный полноценный переход от «олдскульных» бумажных журналов к электронным, необходимо будет уметь объективно оценивать угрозы не только пользователям, но и разработчикам подобных ресурсов. Необходима тщательно проработанная система авторизации, которая бы позволяла отслеживать неправомерный доступ; необходимы и системы логгирования входов и отслеживания открытых сессий текущего аккаунта; необходимо и как можно более сузить области ответственности отдельных аккаунтов.

Все это в конечном счете позволит доверять современным электронным дневникам и не сомневаться в информации, которую они призваны не только предоставлять, но и оберегать.

Источник