Schoolcomputers vrij eenvoudig door scholieren te kraken
Door scholen gebruikte computersystemen zijn eenvoudig te kraken door scholieren zodat zij toegang tot de leerlingenadministratie, cijferlijsten en proefwerken met antwoorden kunnen krijgen. Kennisnet onderzocht, net als het drie jaar geleden deed, de beveiliging bij verschillende scholen. Bij de uitgevoerde tests is gekozen voor een tweetal tests van buitenaf (via Internet), waarbij websites en/of het administratieve lokale netwerk (LAN) werd benaderd en aangevallen, en een test op locatie waarbij getest werd of er toegang mogelijk was tot administratieve systemen en draadloze verbindingen.
Bij de test werd ook gekeken naar de mate waarin een eventuele school-website kwetsbaar was voor computerkrakers. Was een website bij een provider ondergebracht (hosting, in tegenstelling tot een situatie waarbij de website draait op een computer die in beheer is van de school zelf) dan viel de website buiten de (beheer)verantwoordelijkheid van de school en daarmee buiten de test.
Net als 3 jaar geleden was er op bijna iedere school iets aan te merken. Bij 5 scholen was sprake van een situatie waar misbruik mogelijk kan leiden tot ongeautoriseerde toegang van binnenuit en van buitenaf. Bij het benaderen van scholen van buitenaf is het niet gelukt het administratieve netwerk te bereiken. Met de kennis opgedaan vanuit het interne netwerk was dat bij genoemde 5 scholen zeer waarschijnlijk wel mogelijk.
Pappen en nathouden
In de meeste gevallen zijn de Voortgezet Onderwijs (VO) scholen zich bewust van het feit dat er altijd leerlingen zijn die aan de grenzen van de beveiliging "peuteren". Ict beheerders houden het gebruik van het netwerk redelijk goed in de gaten en samen met medewerkers van de school weet men vaak redelijk welke leerlingen "te zeer onderzoekend" zijn. Herhaaldelijk worden deze leerlingen aangesproken op hun verantwoordelijkheid. Ook worden zij uitgenodigd om mee te denken over verbeteringen. Een benadering die typisch lijkt voor het onderwijs. In tegenstelling tot het vorige onderzoek maken nagenoeg alle scholen gebruik van een hosting provider.
Ten opzichte van het onderzoek van 2004 is het opvallend dat bijna alle Primair Onderwijs (PO) en alle VO scholen professionele netwerkcomponenten in gebruik hebben genomen.
Schoudersurfende scholieren
Een aantal administratieve toepassingen (onder meer het veel gebruikte programma Magister en Schoolvision) is via het internet (web interfaces) te benaderen. In het geval dat leraren/leraressen deze toepassingen, vanuit de computer in het klaslokaal, benaderen bestaat de kans dat. medewerkers zo inloggegevens "verspelen" aan leerlingen die over de schouder meekijken (zo bleek in 2 gevallen dat een leraar inlogde terwijl zijn activiteiten zichtbaar waren op het digitale schoolbord). Het gebruik van dergelijke toepassingen in de klas kent nog een ander risico, namelijk het niet afsluiten van de toepassing terwijl men het lokaal verlaat.
Weinig zwakke wachtwoorden
Onderdeel van de test was het testen van zwakke wachtwoorden. Opmerkelijk was dat er geen wachtwoorden werden gevonden anders dan enkele blanco wachtwoorden, wachtwoorden gelijk aan gebruikernaam of standaard- wachtwoorden. Evenals 3 jaar geleden kiest men blijkbaar redelijk zorgvuldig wachtwoorden.
Hardware, vooral netwerkcomponenten en printers bleken herhaaldelijk voorzien van standaard meegeleverde wachtwoorden. Deze dienen vervangen te worden. Met voldoende tijd en geduld kan iemand toegang tot systemen verkrijgen.
leerlingen "te zeer onderzoekend" zijn. Herhaaldelijk worden deze
leerlingen aangesproken op hun verantwoordelijkheid
belevingswereld van vastgeroest incacapabele figuren. Bestraf leerlingen
die zich als cracker gedragen, en geef 'hackers' een cijfer voor hun
prestatie.
Een leraar die zijn wachtwoord inklopt terwijl er leerlingen over z'n
schouder meekijken = een sukkel. Zo iemand moet geen
computeronderwijs geven.
Wanneer zwakke en/of standaardwachtwoorden het probleem zijn, dan ligt
de schuld niet bij de onderzoekende leerling maar bij de school zelf. De
school wordt geacht verstand te hebben van leerlingen, en zou kunnen
weten dat zij zich zo gedragen. Onderzoekendheid hoort erbij op die
leeftijd, jammer dat oude vastgeroeste rechtse ballen dat niet begrijpen en
het er stelselmatig uit proberen te stampen.
Vergeet dan ook niet het volgende stukje te quoten he,
nutteloos pijpzeiken kan iedereen:
Ict beheerders houden het gebruik van het netwerk redelijk
goed in de gaten en samen met medewerkers van de school weet
men vaak redelijk welke leerlingen "te zeer onderzoekend"
zijn. Herhaaldelijk worden deze leerlingen aangesproken op
hun verantwoordelijkheid. Ook worden zij uitgenodigd om mee
te denken over verbeteringen. Een benadering die typisch
lijkt voor het onderwijs
leerlingen over z'n
schouder meekijken = een sukkel. Zo iemand moet geen
computeronderwijs geven.
Niet alleen leraren die computeronderwijs geven gebruiken
deze administratieve toepassingen, maar ook leraren in
andere vakken die totaal geen feeling met een pc hebben.
Onderzoekendheid hoort erbij op die leeftijd, jammer dat
oude vastgeroeste rechtse ballen dat niet begrijpen en het
er stelselmatig uit proberen te stampen.
Wat heeft dit nou te maken met "oude vastgeroeste rechtse
ballen"? De politieke voorkeur van de docent in kwestie
lijkt me totaal niet relevant. Overigens gaat het om
docenten van middelbare scholen. Ik verwacht dat het
merendeel hiervan niet rechts stemt.
Verder kan een leerling best 'te onderzoekend' zijn.
Onderzoekend is goed, hoort bij de leeftijd enz., maar er
zijn grenzen ook voor iemand van die leeftijd. Een leerling
weet heel goed dat ie te ver gaat op het moment dat ie
cijfers gaat aanpassen in de administratie.
Ik ben het wel met je eens dat een leraar die z'n wachtwoord
laat afkijken een beetje dom bezig is.
belevingswereld van vastgeroest incacapabele figuren. Bestraf leerlingen
die zich als cracker gedragen, en geef 'hackers' een cijfer voor hun
prestatie."
Stellen dat een leerling te onderzoekend is hoeft geen waardeoordeel te
zijn, maar kan ook een objectieve observatie zijn. Er wordt ook niet
gesteld dat leerlingen die te onderzoeken zijn gestraft dienen te worden.
Sterker nog, er wordt gesteld dat die leerlingen soms worden
uitgenodigd om mee te denken over de beveiliging, en dat betekent dus
dat er ook waardering is voor hun kennis.
aangezien dit geregeld wordt door 'Heuthink ICT' die naast beroerde
beveiliging ook een uitermate rot service hebben qua afhandelen en
producten opsturen."
Beetje onnodig om de betreffende leverancier hier met naam en toenaam
te noemen. Daarnaast kan je ook op eigen initiatief aangeven dat de
leverancier prutswerk levert, en advies geven over het verbeteren van de
beveilging.
Mij is nog nooit gevraagd of ik iets wist om de hele meuk te
verbeteren aangezien dit geregeld wordt door 'Heuthink ICT'
die naast beroerde beveiliging ook een uitermate rot service
hebben qua afhandelen en producten opsturen.
Staat altijd netjes om leveranciers met naam te noemen en vervolgens af
te branden. petje af.
beetje bij te blijven met IT apparatuur, dan is er bijna
geen geld voor goede beveiliging. zoveel mensen werken met
zwakke wachtwoorden en geen goede beveiliging, alleen is dat
meestal een minder groot probleem dan op een school met erg
veel potentieel kandidaten die wel een beetje lol willen hebben.
middelbare scholen kun je hackers aantreffen, en dan maakt het niet uit
hoe sterk een beveiliging is want een puber die kan hacken en genoeg tijd
heeft, komt er wel in.En is het niet de droom van elke puber die zich
verdiept in hacken om zijn school te hacken en cijfers aan te passen ? Het is beter de leerlingen in de gaten te houden waarvan blijkt dat ze de kennis bezitten om het te doen...dat helpt meer.
de pan uit swingen - toch wat belangrijke zaken dat men kan doen.
1. Maak duidelijk in een overeenkomst met de leerlingen wat mogelijk
is en wat niet kan. Verbind daaraan de nodige sancties.
2. Administratief en leerlingen-netwerk fysisch scheiden (zowel
Internet als lokaal)
3. Degelijke firewall met proxy , filtering en audit mogelijkheden.
4.Investeer meer in extra ict-mensen dan in hardware
5. Goeie policies. Geef leraars dezelfde - mits kleine aanpassingen -
dezelfde rechten als leerlingen
6. Geen USB , geen DVD/CD en lokale hd's voor de leerlingen.
(Verhinder in ieder geval dat leerlingen in home-dirs applicaties
kunnen uitvoeren)
7. Laat een audit uitvoeren op je netwerk door een specialist/hacker.
Ik heb dat laten uitvoeren op Linux en Windows netwerken in scholen.
In alle audits werden de netwerken in een minimum van tijd gekraakt.
Er zijn mogelijkheden - zowel met Linux of met Windows - maar
meestal wordt dit door gebrek aan kennis van het ICT personeel in de
scholen heel slecht geïmplementeerd.
Is er niet genoeg budget voor dit soort zaken dan is de discussie
overbodig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
