Nederlandse schoolcomputers prooi voor hackers
De ICT-veiligheid van scholen laat nog te wensen over. Dat blijkt uit een beperkte ‘ethical hack’ - een inbraakpoging met toestemming – die in opdracht van Stichting Ict op School werd uitgevoerd. In een brief naar alle scholen voor basis- en voortgezet onderwijs vestigt Ict op School de aandacht op de risico’s die scholen hierdoor lopen en de mogelijkheden om de beveiliging te verbeteren.
Stichting Ict op School liet eind 2004 op vier basisscholen en twee scholen voor voortgezet onderwijs een zogenaamde ‘ethical hack’ uitvoeren; dit is een inbraakpoging waarbij de systemen benaderd worden alsof het door een computerkraker gebeurt. Na toestemming van de directeur of de bovenschools ICT-coördinator, en in principe zonder medeweten van de lokale ICT-coördinator, voerden specialisten op gebied van computerbeveiliging een beperkt aantal testen uit.
Bij de uitgevoerde testen is getracht via internet (‘van buitenaf’) het interne netwerk te benaderen, eventueel aanwezige draadloze netwerken te gebruiken en toegang te krijgen tot administratieve systemen. Vanuit kostenoverwegingen is geen grootschalige test uitgevoerd. De uitgevoerde tests geven dus slechts een indicatie van de mate waarin de
betreffende scholen beveiligd zijn.
Resultaten
Op alle zes scholen was op gebied van beveiliging in principe wel wat aan te merken; bij drie scholen was sprake van een situatie waar kwaadwillende personen te eenvoudig ongeautoriseerde toegang van binnenuit en van buitenaf konden verkrijgen.
Aandachtspunten
Punten waar de hackers tegenaan liepen waren o.a:
- Op twee locaties zijn draadloze netwerken aangetroffen. In beide gevallen waren de netwerken onbeveiligd en van buiten het schoolterrein benaderbaar.
- Er werden enkele accounts aangetroffen zonder wachtwoord of met een standaard wachtwoord.
- Tijdens de test werden ondermeer printers, cd-rom-servers, printerswitches, switches, een videoserver en een kopieermachine aangetroffen die een mogelijke toegang bieden voor hackers.
- Op diverse scholen was toegang tot systemen mogelijk doordat niet de laatste versie van de software was toegepast.
- Rechten. Rechten op systemen worden niet altijd zorgvuldig toegekend en beheerd.
De scholen hebben meestel een leraar of vader 'die wel wat
verstand heeft van computers' als systeembeheerder. Wat
vreemd dat dan de beveiliging wel wat tegen valt.......
waaruit blijkt dat schoolcomputers prooi kunnen zijn voor
crackers. Deze moeten nodig gehackt om dat te
voorkomen.
wiskunde leraars zijn. De meeste leerlingen weten er meer
van dan de leraar zelf!
Maar je hebt gelijk dat de logica in bepaalde
besturingssystemen ver te zoeken is waarbij het zou schelen
wanneer die programmeurs in hun jonge jaren ook wat exacte
vakken zouden hebben meegekregen ;)
server.. lekker stable en snel.. groot gelijk die hackers :)
volgooien die hap
Doh, welke hacker wil r nou niet een 100mbit dumpje op een
universiteits-
server.. lekker stable en snel.. groot gelijk die hackers :)
volgooien die hap
van persoonlijk verkregen privileges s'il vous plaît, ben je
per slot van rekening student voor ;)
rotzooitje...
Doh, welke hacker wil r nou niet een 100mbit dumpje op een
universiteits-
server.. lekker stable en snel.. groot gelijk die hackers :)
volgooien die hap
Of je helpt de school een handje, zo te lezen ken je dat
soort situaties of neRtwerken al.......??
Dit is dus geen ethical hack maar een security audit
waaruit blijkt dat schoolcomputers prooi kunnen zijn voor
crackers. Deze moeten nodig gehackt om dat te
voorkomen.
Een security audit is een onderzoek van binnenuit (het beoordelen van
instellingen). Een ethical of legal hack is het testen van de beveiliging door
gebruik te maken van technieken en tools die hackers ook gebruiken,
maar dan op verzoek van de opdrachtgever.
Dit is dus geen ethical hack maar een security audit
waaruit blijkt dat schoolcomputers prooi kunnen zijn voor
crackers. Deze moeten nodig gehackt om dat te
voorkomen.
Een security audit is een onderzoek van binnenuit (het
beoordelen van
instellingen). Een ethical of legal hack is het testen van
de beveiliging door
gebruik te maken van technieken en tools die hackers ook
gebruiken,
maar dan op verzoek van de opdrachtgever.
het blijkbaar niet begrijpt nog een keer: 'ethical hack' en
'legal hack' zijn pleonasmen. Een security audit door
een hacker is altijd een onderzoek op verzoek van de
opdrachtgever. Bij een goede security-audit worden ook tools
die crackers gebruiken ingezet.
Op basis van de daaruit voortvloeiende informatie kunnen de
systemen waterdicht worden gehackt zodat deze beter zijn
geconfigureerd en dus beter zijn bestand tegen
crackers/inbrekers/onverlaten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
