Заметка о ЕГЭ
﹌﹌﹌﹌﹌Стерто тату на руке,
С бутылки сорван ярлык.
Кто-то идет на ЕГЭ?
Или кто-то уже не сидит?)
Атеистом был ровно до первого:
“Сегодня вам предстоит…”.
А сегодня с правдой и верою,
Даже с крестиком, наспех нацепленным,
В пункт неспеша семенит.
Эпиграф – ничто иное как отрывок пьесы, ключевой объект которой для меня, увы и ах, позади. Не, ну в качестве развлечения можно без рецепта и ограничений в числе повторений принимать участие в ежегодной государственной лотерее, в одном из немногих мероприятий подобного рода с возможностью получения выигрыша, необлагаемого налогом. То-то и оно! регулировать было бы сложно - что для одного победа, то для иного фиаско. Словом, никаких подводных, играйте и выигрывайте!
А я в минуты между подготовками к экзамену читала что-то интересное из “околоинформационнойбезопасности”, нечто качественное из OSINT, тестировала из интереса NMAP, знакомилась с забавными исследованиями «журналистов-ресечеров» с громкими выводами о прошлом политически ценных изображений на основе всего одной методики форензики (зато подача эффектная), вспоминала «гугл-дорки» и все ждала июля, чтобы вернуться к томам Таненбаума – сделать пару шагов назад для разбега, так сказать)). А «гугл-дорки» тема довольно интересная, предельно простая для понимания и почти не требующая серьезного специфического бэкграунда. Вот некоторые материалы для начального знакомства:
Johnny Long “Google Hacking for Penetration Testers”
https://kali.tools/files/dorks/google.txt
https://www.exploit-db.com/google-hacking-database
Изучу доскональнее – опубликую сразу в одном посте интересные находки, а в честь причины столь неожиданно появившейся свободы во времени делюсь с листингом директории с используемым на всех этапах ЕГЭ (и не только) ПО. Всегда было любопытно узнать об аспектах организации, увы, и искать особо не пришлось:
http://orcoko.ru/ppe/
Сами руководства также доступны на сайте «ФЦТ» http://www.rustest.ru после авторизации, но скачиваемы и по поисковому запросу, который вы без труда составите. Или вот еще учебные материалы для организаторов: https://edu.rustest.ru/course/view.php?id=11
Однако особая «ценность» листинга директории РЦОИ Орловской области по сравнению с иными публикациями на сайтах региональных РЦОИ и ФЦТ в возможности напрямую скачать программное обеспечение.
При беглом знакомстве с представленными руководствами можно сделать вывод о заметно улучшенном механизме организации ГИА за последние годы. Это с одной стороны. А с другой – вот руководство, вот упоминание основного и резервного порталов для проведения экзамена (eem.rustest.ru, rsv-eem.rustest.ru), вот и намеренная «перегрузка» ресурса. Да и подробная информация об альтернативных методиках получения ключа доступа к ЭМ… Хотя это все довольно беглый взгляд, но было бы желание.
Еще пару поисковых запросов и натыкаемся на http://rcoi.rtyva.ru/index.php/klyuch, здесь ключ выдается после авторизации в определенное время в режиме «онлайн», ну и еще один найденный документ дает излишне конкретную информацию о некоторых аспектах:
Да не, никто не говорит, что шаблон паролей общий, но тем хуже, если они были созданы региональными экспертами самостоятельно, а не сгенерированы или хотя бы "были бы обязаны соответствовать" минимально введенным требованиям. Проверить несложно, «брутфорс и никакой капчи», но не стоит.
Вот еще интересная штука http://85.142.162.117/exp/, обучаемся, так сказать, проверять экзаменационные работы, ну и авторизация легко «проходима».
Тоже вполне интересные для анализа сведения:
https://synapsenet.ru/searchorganization/organization/1037739049105-fgbu-fct
https://synapsenet.ru/searchorganization/organization/1037739049105-fgbu-fct/zakazchik
https://zakupki.kontur.ru/customers/7729392599
Вот такая вот закупка сейчас актуальна «продление поддержки программных продуктов VMware», такие знакомые виртуальные машинки, забавно, да?
Можно еще глянуть доки у исполнителей, попадались интересные, вроде презентации новых функций ПО ППЭ с перечнем действий «в случае…». А зачем иметь навыки, выходящие за пределы социальной инженерии, если все на ладони?
И вот такая инструкция мне показалась интересной, вот ее отрывки:
А еще вот интересная статья: http://okbsapr.ru/gruntovich_2016_1.html
Это все, конечно, обрывочные сведения, которые тем не менее дают начальную базу для более глубокого анализа. Ясное дело, что если нарушения и исходят со стороны участников экзамена, то чаще всего они прибегают к более простым методикам доступа к информации, где объекты волнующего упования – бумажные носители, телефоны. Но стоит признать, что если углубить знания в методиках OSINT, составлять майндкарты, использовать некоторые инструменты, которые использовать не стоит, и потратить на анализ открытого пространства хотя бы сутки – вероятно, мы получим намного более систематизированную информацию. Однако при этом, скорее всего, поймем, что потенциальный источник «зла» если и существует, то, скорее, он будет крыться не в упущениях технической части, а в логике действий человека. То что и было найдено за кратчайший отрезок времени – следствие того, что «сеть», будучи чем-то сложно регулируемым, сама того не ведая, обладает взаимодополняемыми "узлами". И здесь стоит отметить, что ситуация на самом деле довольно штатная: организация имеет продвинутые решения в области информационной безопасности, а ведь главная уязвимость – ее сотрудники, их психология, уникальные рычаги взаимодействия с ними. Те, кто думают, что их ни в чем не провести, имеют гораздо больший шанс быть обманутыми. Но это, конечно, отступление и тема несколько иной статьи)
Имеются также новости, касающиейся возможной «цифровизации» экзаменов с привнесением заданий, для выполнения которых необходимо будет использование сети Интернет. Это довольно необычное решение, т.к. работать с интерактивными системами на экзаменах естественнонаучного цикла и взаимодействовать с текстовой информацией на экзаменах гуманитарного профиля мне представляется более рациональным без "сетевого" подключения) Во всяком случае, представители ФИПИ отметили, что данный проект требует тщательной разработки и апробаций. Сложно загадать, насколько расширится список правил проведения экзамена в таком формате – одной фильтрации трафика явно будет мало, однако не стоит забывать и следующее: больше возможностей, шире спектр контролирующих правил – выше желание их обойти.
Данная статья создана исключительно для ознакомления и не призывает к действиям!