Lek in monitoringssysteem voor scholen gaf toegang tot laptop leerlingen
Onderzoekers hebben in een systeem waarmee scholen de laptops van hun leerlingen kunnen besturen en monitoren verschillende kwetsbaarheden ontdekt waardoor een aanvaller op hetzelfde netwerk de machines had kunnen overnemen. Het gaat in totaal om vier beveiligingslekken in Netop Vision Pro, die vorige maand door de fabrikant zijn verholpen. Dat meldt antivirusbedrijf McAfee.
Via de software kunnen docenten op afstand taken op de schoolcomputers van leerlingen uitvoeren, zoals het blokkeren van websites, het installeren of uitvoeren van applicaties en het delen van documenten. Volgens de onderzoekers hoort Netop Vision Pro in de standaardconfiguratie nooit toegankelijk te zijn vanaf het internet. Door de coronapandemie worden schoolcomputers echter op allerlei netwerken aangesloten, wat het aanvalsoppervlak vergroot, zegt Sam Quinn van McAfee.
De onderzoekers ontdekten dat al het netwerkverkeer van de software onversleuteld wordt verstuurd, waaronder Windowswachtwoorden. Het gaat om het wachtwoord dat een docent gebruikt om op de computer van een leerling in te loggen. Screenshots van de desktops van de leerlingen, die de software continu maakt, worden ook onversleuteld verstuurd naar de leraar. Iedereen op het lokale netwerk kan deze screenshots onderscheppen.
Het tweede probleem was dat de commando's die door een docent naar een computer worden verstuurd door een aanvaller zijn te onderscheppen, aan te passen en opnieuw zijn "af te spelen". Zo zou het mogelijk zijn om willekeurige applicaties te starten. De derde kwetsbaarheid maakte het mogelijk voor een aanvaller om zijn rechten te verhogen.
De gevaarlijkste kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 met een 9,5 werd beoordeeld, was aanwezig in de chatfunctie. Dit beveiligingslek maakte het mogelijk voor een aanvaller op het lokale netwerk om code met systeemrechten op de computer van leerlingen uit te voeren. Daarnaast zou het ook mogelijk zijn om de webcam van de leerlingen over te nemen.
Netop werd op 11 december vorig jaar over de kwetsbaarheden geïnformeerd en kwam eind februari met een beveiligingsupdate. Alleen het netwerkverkeer wordt nog altijd onversleuteld verstuurd. Dat probleem zal via een toekomstige update worden verholpen, aldus Netop.
Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.
Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.
Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.
dit soort systemen huur je van de school, zit een docje bij waarin ze dat uitleggen en graag of niet.
Als je als ouder dit niet leest of er niks om geeft, dan nietl ater komen piepen. Daarnaast, als een docent opmerkt dat er ongepast materiaal op een school-laptop staat, zal die volgens protocol gepaste maatregelen nemen, zoals het verwittigen van de ouders.
Er zitten echt geen vieze leraren naar de picca's van je zoon te loeren.
Wel kwalijk als de school deze software inzet als ze weten dat er wat mee mis is, maar vermoedelijk is dit systeem niet in Nederalnd in gebruik. Geen idee ,ik ben te lui om dat te checken.
Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.
Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.
Als ik ouder was zou ik niet zo blij zijn als een leraar via een camera in de slaapkamer van mijn kinderen kan kijken.
Immers, geen weldenkend mens installeert zoiets op z'n eigen machine...
Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.
Als ik ouder was zou ik niet zo blij zijn als een leraar via een camera in de slaapkamer van mijn kinderen kan kijken.
Dit is niet uniek voor NetOp.
Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.
Als ik ouder was zou ik niet zo blij zijn als een leraar via een camera in de slaapkamer van mijn kinderen kan kijken.
Dit had de bewoording kunnen zijn van een ander gezin (andere ouders).
Er kunnen vele redenen zijn waarom controle door leraren over een laptop (van school) van kinderen niet gewenst is.
Wil je nog een andere reden?
Als ik ouder was zou ik niet zo blij zijn als een leraar de zoektermen over ongesteldheid van mijn puberende dochter kan meelezen.
Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.
Als ik ouder was zou ik niet zo blij zijn als een leraar via een camera in de slaapkamer van mijn kinderen kan kijken.
Dit had de bewoording kunnen zijn van een ander gezin (andere ouders).
Er kunnen vele redenen zijn waarom controle door leraren over een laptop (van school) van kinderen niet gewenst is.
Wil je nog een andere reden?
Als ik ouder was zou ik niet zo blij zijn als een leraar de zoektermen over ongesteldheid van mijn puberende dochter kan meelezen.
Je zoekt redenen om jouw bewijs te halen.
Kan nog erger: Gratis of voor een habbekrats chromebooks verstrekken. (Het zijn geen bejaarden!) En ook al zijn het kinderen: Censuur is altijd foute boel. Want het is een misvatting van zgn. volwassen personen om kinderen voor van alles en nog wat af te schermen terwijl er daarnaast vaak geen taboe bespreekbaar is. Alles dus volgens 'het boekje' wat al 20 jaar achterhaald is. Want kinderen moeten inzien dat er ook een duistere kant aan 'het internet' is. Dat 'de volwassene' niet altijd volwassen is. Denk aan criminelen, hackers en overheden. Een stukje weerbaarheid ipv stiekem foute sites bezoeken of erger...
Kinderen moet je laten beginnen met builds voor Linux. Beveiligingstools ontdekken, websites bouwen, etc. En hierop de lesstof (laten) programmeren. Daar horen natuurlijk ook de basisbeginselen van encryptie bij.
En met die kennis leren kinderen trackers, malware en ads voor wat ze zijn en er zal een generatie ontstaan die al vroeg crap als Windows, Apple, Google, facebook en Twitter kan onderscheiden van kwalitatieve software en fora met serieuze inhoud.
Digitale weerbaarheid wordt m.i. steeds belangrijker.
De huidige ict-lessen op basisscholen/middelbaar onderwijs heeft dus boter op het hoofd mbt gebrekkig bewustzijn over cyber security bij de jongste generatie. Het gemakzucht en de mag-niks-kostenmentaliteit: Ergerlijk en behoorlijk niveau boomer.
Hey kids, googlen doe je thuis maar!
Tijd voor een onmiddellijke en maximale aansprakelijkheid...
Tegenwoordig... of liever gezegd toen ik van de middelbare school af was... mag men toch wel verwachten dat al het netwerk en internet verkeer inclusief dit, keurig netjes beveiligd wordt... Maar helaas... 17 jaar verder, is dit nog steeds niet het geval...
Nee... ik vind het een schande dat dit NOG STEEDS NIET opgelost is... (fyi... dit was hoe ik mijn systeembeheerder hackte :) verkeer afluisteren op BNC kabel xD )
Tegenwoordig... of liever gezegd toen ik van de middelbare school af was... mag men toch wel verwachten dat al het netwerk en internet verkeer inclusief dit, keurig netjes beveiligd wordt... Maar helaas... 17 jaar verder, is dit nog steeds niet het geval...
Nee... ik vind het een schande dat dit NOG STEEDS NIET opgelost is... (fyi... dit was hoe ik mijn systeembeheerder hackte :) verkeer afluisteren op BNC kabel xD )
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
