26/06/2019

Ciemna strona internetu a edukacja

Zagrożenia

Egzaminy szkolne niezupełnie poszły zgodnie z planem? Zdarza się. Większość osób, które spotkała taka sytuacja, postanowiła ponownie przystąpić do testów lub zmieniła cele. Jednak znajdą się i tacy, którzy wolą oszukać swoją drogę do sukcesu.

Na przestrzeni ostatnich lat czarny rynek bardzo się rozwinął: powstaje coraz więcej for dyskusyjnych i filmów instruktażowych związanych z włamywaniem się do systemów szkolnych w celu fałszowania certyfikatów i dyplomów, które następnie są wystawiane na sprzedaż w internetowych podziemiach. Postanowiliśmy sprawdzić, w jaki sposób szkoły mogą ochronić siebie i swoich studentów.

Uzyskiwanie dostępu do ocen

Wiele szkół wykorzystuje internetowe platformy do udostępniania informacji o zajęciach, pracach domowych czy ocenach oraz do komunikacji rodziców z nauczycielami. Do niektórych można dostać się nawet bez konieczności logowania, inne mają znane luki w zabezpieczeniach.

Za granicą jedną z najpopularniejszych szkolnych platform informacyjnych jest PowerSchool. Wiadomo, że zawiera ona lukę (CVE-2007-1044), która umożliwia osobom postronnym wyświetlenie zawartości folderu administratora przy użyciu specjalnie utworzonego adresu URL. Potencjał wykorzystania tego błędu zależy od ustawień serwera sieciowego oraz zawartości foldera.

Jednak mimo że wiadomo o istnieniu tych luk i exploitów, atakujący nie ominą dzięki nim autoryzacji ani nie zwiększą swoich uprawnień w celu uzyskania dostępu do informacji związanych ze szkołą. W tym celu mogą użyć łatwiejszego sposobu: skorzystać z danych logowania do konta.

Dostęp do konta w systemie PowerSchool, podobnie jak w wielu innych platformach, jest chroniony tylko przy użyciu nazwy użytkownika i hasła.

Podobno w marcu 2019 roku studenci włamali się do systemu PowerSchool w celu zmiany ocen i zmniejszenia liczby swoich nieobecności. A ponieważ ludzie często wykorzystują te same dane logowania do swoich kont w wielu serwisach, bardzo prawdopodobne jest, że włamania na takie portale kończą się sukcesem dzięki skradzionym lub poddanych recyklingowi danych logowania do kont. Dane dostępowe można uzyskać na różne sposoby: czasami są one zapisane na kartce samoprzylepnej przyczepionej do klawiatury nauczyciela, a czasami uzyskiwane są na drodze autentycznego włamania do szkolnej sieci i zgromadzenia danych logowania. Studenci mogą również zatrudnić do tego celu hakera.

Usługi włamaniowe i sfałszowane dyplomy na czarnych rynkach

W efekcie przeprowadzonego przez nas 12 czerwca badania internetowego znaleźliśmy ofertę, której przedmiotem była usługa włamania oraz wyglądające bardzo realnie sfałszowane certyfikaty, dyplomy i oceny dla wybranego przedmiotu lub instytucji. Osoba zainteresowana musiała wypełnić jedynie formularz zamówienia i podać informacje kontaktowe.

Poprawa bezpieczeństwa w dziedzinie edukacji

Co mogą zrobić szkoły, uczelnie, a nawet pracownicy, którzy chcą poznać dowody na akademickie osiągnięcia, aby upewnić się, że nie są oszukiwani?

Jeśli chodzi o certyfikaty i dyplomy, organizacje powinny weryfikować ich autentyczność w instytucjach, które je wydały. Jeśli nie posiadają one informacji na temat danego studenta, który rzekomo uzyskał jakieś kwalifikacje, prawdopodobnie to oszustwo.

W przypadku internetowych systemów informacyjnych wystarczy przestrzegać kilku podstawowych zasad, dzięki którym zostanie zwiększone bezpieczeństwo personelu, studentów i informacji:

  • Wszędzie tam, gdzie to możliwe, wprowadź uwierzytelnianie dwuetapowe, zwłaszcza do uzyskiwania dostępu do rekordów o studentach, ocenach i osiągnięciach. Ustaw silne i adekwatne środki kontroli dostępu, aby utrudnić hakerowi przedostanie się do systemu.
  • Ustaw dwie oddzielne, odpowiednio zabezpieczone sieci bezprzewodowe: jedną dla personelu i drugą dla studentów. Dobrym pomysłem może być również wydzielenie trzeciej, izolowanej sieci dla gości.
  • Wśród pracowników wprowadź solidną politykę haseł i i wymuś jej stosowanie. Zachęcaj wszystkich, aby nie udostępniali swoich danych dostępowych innym.
  • Używaj niezawodnego rozwiązania bezpieczeństwa w celu zapewnienia wszechstronnej ochrony przed wieloma różnymi zagrożeniami.