Të fundit | Katër milionë mungesa të nxënësve në të gjitha shkollat e Kosovës, jo vetëm… Të fundit | Slopaganda: Kur përmbajtja e dobët me IA kthehet në propagandë politike  Të fundit | Pretendohet pa fakte se Rushiti u propozua për presidente pas kërkesës së S… Të fundit | Fotografi e gjeneruar me inteligjencë artificiale paraqitet si “pamje ekskl… Të fundit | Rishikimi i javës: Dominimi i mashtrimeve digjitale (imazhe me IA dhe phish… Të fundit | Me pamje të mëhershme pretendohet pasaktë se Kurti e Gërvalla ishin të prem… Të fundit | Aktgjykimi për sulmin në Banjskë dhe narrativat serbe për “proces politik”… Të fundit | Kujtesa që chatbot-i ruan për ty mund të formësojë realitetin informativ që… Të fundit | Kur fotografia nuk identifikohet me ngjarjen Të fundit | SMS mashtrues në emër të një banke
[ ARTIKULLI ]

Aplikacioni i Trustit mund të sulmohet nga keqpërdoruesit

HIBRID

Opinion nga Blerim Rexha

Trusti, dje pasdite hapi ueb aplikacionin (www.trusti10.org), që të iu mundësoi qytetarëve të Kosovës të aplikojnë për 10% e kursimeve të tyre. Që aplikimi të jetë vetëm online, është padyshim një qasje e mirë sidomos tani në kohë pandemie – dhe për të evituar tollovitë eventuale para sporteleve të Trustit.

Por aplikacioni në formën që është prezantuar (https://bentenapp.azurewebsites.net/) kërkon edhe shumë punë administrative (back office) nga zyrtarët e Trustit – sepse ky ueb aplikacion nuk ka autentikim! Një (keq)përdorues ka mundësi të aplikoj për krejt qytetarët e Kosovës. Algoritmi i gjenerimit të numrit personal (modulo 11) nuk është sekret, dhe një aplikacion i thjesht mund të gjeneroj për disa sekonda krejt numrat personal të qytetareve të Kosovës (detyrë klase për studentët ?). Pastaj sulmuesi jep vetëm llogarinë e tij, në formatin e kërkuar, dhe në faqen e dytë disa numrat të telefonit dhe disa email adresa! Një skenario sulmi kibernetik lehtë i implementueshëm me veglën BurpSuite.

Trusti do të ndalte një sulm të tillë, duke aplikuar teknikat e mbrojtjes me reCAPTCHA. Numri i kërkesave paralele do të zvogëlohej, sikur të përdorej edhe ndonjë algoritëm për ndarje p.sh në bazë të shifrës së fundit të numrit personal (çift/tek) apo ndarje edhe në grupe tjera që do ta zvogëlonte kërkesën.

Aplikacioni është i thjeshtë për përdorim, dhe vërehet qartazi se zhvilluesit e ueb aplikacionit këtu kanë bërë kompromis në dobi të thjeshtësisë së përdorimit (usability) e për më shumë punë krahasuese në “back end” edhe për më shumë punë (manuale në back office) për zyrtarët e Trustit.

Nga aspekti i besueshmërisë (reliability) ueb aplikacionit i mungon edhe nga një email/sms konfirmues, për përmbylljen me sukses të aplikimit.

Trustit tani i mbetet puna më e vështirë – të vërtetoj se kërkesa e parashtruar është legjitime, pra secili qytetarë e ka bërë kërkesën për vete dhe llogaria bankare e dhënë është e parashtruesit të kërkesës. Punë të mbarë!

(Blerim Rexha është profesor i rregullt në Fakultetin e Inxhinierisë Elektrike dhe Kompjuterike të Universitetit të Prishtinës. Profesor Rexha, njëkohësisht është edhe bashkëpunëtor profesional i hibrid.info)

Raporto

Na ndihmoni të përmirësojmë duke na raportuar problemet ose sugjerimet tuaja

0 / minimum 10 karaktere