'Schoolcomputers zo lek als een mandje'

Stichting Kennisnet, die scholen ondersteunt op it-gebied, heeft geconstateerd dat veel schoolcomputers gemakkelijk te kraken zijn. Leerlingen kunnen bijvoorbeeld toegang krijgen tot de administratie en hun eigen cijfers bijwerken.

In het kader van het onderzoek, dat plaatsvond tussen het najaar van 2006 en het voorjaar van 2007, werd bij veertien scholen uitgeprobeerd of het mogelijk was toegang te krijgen tot vertrouwelijke informatie, zowel van binnenuit via het schoolnetwerk als van buitenaf via internet. Geen van de scholen bleek optimaal beveiligd. Bij vijf zou het zelfs hoogstwaarschijnlijk mogelijk zijn toegang te krijgen tot het administratieve netwerk, zij het niet via internet. De onderzoekers hebben overigens niet daadwerkelijk ingebroken, omdat zij de gevolgen van de test beperkt wilden houden.

Op de meeste scholen zijn de beheerders zich er zeer goed van bewust dat leerlingen nogal eens uitproberen waar ze zoal toegang toe kunnen krijgen. Vaak is dan ook het leerlingennetwerk fysiek gescheiden van het administratieve netwerk. De onderzoekers constateerden echter dat door administratieve toepassingen die via internet te benaderen zijn, deze beveiliging goeddeels weer ongedaan wordt gemaakt. Zwakke wachtwoorden, waar ook naar werd gezocht, werden nauwelijks gevonden. Wel was veel hardware, zoals printers en netwerkapparatuur, nog voorzien van de fabriekswachtwoorden.

De conclusie van Kennisnet is dat er aan de computerbeveiling op scholen nog heel wat te verbeteren valt. Ook op pogingen tot inbraak zou men wel wat attenter mogen zijn. Bij navraag bleken de hackpogingen van de onderzoekers vrijwel nooit opgemerkt te zijn. Een leerling die meent via een hack de eindexamenopgaven te kunnen bemachtigen zal echter van een koude kermis thuiskomen: die staan niet op een computer maar liggen in een verzegelde enveloppe in de kluis.

IT-banen

Reacties (116)

Verwijderd 21 januari 2008 12:03

Ik ben ooit zelf zo dom geweest om het netwerk van mijn oude school te kraken.
Eigenlijk kwam het neer op linux live cd, password hashes kopieren en brute force erop.
Tijdje rondsnuffelen netwerk uitpluizen, leerlingen database bekijken.
Na een jaartje of wat rond gezworven te hebben kon ik het (dom achteraf) niet laten om uiteindelijk een keer die firewall rules te wijzigen zodat al het verkeer van en naar de domaincontroller blokkeerde. geen computer die het meer deed dus.

Waar het mij om gaat is de manier waarop scholen hiermee omgaan.
Ik heb nooit proefwerken gestolen of gevoelige informatie gepubliceerd maar ik kan jullie zeggen dat die netwerken boordevol 'leuke' informatie staan. Ik werd een week geschorst om het hacken, verdere concequenties tegen het beleid op school zijn er nooit geweest.

Vanuit mijn ogen is het toch te gek voor woorden dat zoveel informatie zo brak beveiligd is dat zelfs een 4de klasser (met wel intresse in computers maar niet geweldig goed) zomaar een netwerk kan kraken en de systeembeheerders hierover geen verantwoording hoeven af te leggen.

Simpele dingen als logfiles zijn volgensmij nooit bekeken (dan hadden ze mijn inlog sesies allang gezien). Het proberen een vpn naar buiten aan te leggen had ook direct gezien moeten worden. en Uberhaupt leerlingen en leraren op dezelfde servers laten draaien. Biijvoorbeeld de leerlingen harddisk-ruimte mappen stonden in de zelfde sub als de leraar mappen.
Bovendien lijkt het me toch dat je als administrator elke maand of 2 maanden je wachtwoord wijzigd? (dat doe ik zelfs op mijn eigen webservertje) dat is in een jaar ook niet gebeurd.

Aan het geld ligt het niet, teminste 3 racks vol servers voor een kleine 200 computers en 1600 accounts.

Uiteindelijk heb ik zelf het probleem moeten verhelpen en ik kan jullie vertellen dat de systeembeheerders bar weinig verstand van hun eigen netwerk hebben. Vanuit mij gezien komt het over als: windows wizard volgen en gaan, indien crash overnieuw installeren en weer wizard volgen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 17:43]

Pietervs @Verwijderd • 21 januari 2008 12:54

Uiteindelijk heb ik zelf het probleem moeten verhelpen en ik kan jullie vertellen dat de systeembeheerders bar weinig verstand van hun eigen netwerk hebben.
Helaas geldt voor veel scholen dat er geen budget is voor "echte" systeembeheerders, zeker niet op middelbare of lagere scholen. Het wordt gewoon belegd bij een leraar die er belangstelling voor heeft, en daarom zo "gek" is zijn vrije tijd erin te steken (weet ik uit ervaring: heb enkele malen geassisteerd bij een school om daar wat zaken op orde te krijgen).

Verwijderd @Pietervs • 21 januari 2008 14:05

Ik wil er niet te ver op ingaan maar salaris is (in het geval op mijn oude school) niet zo'n probleem.Mede omdat er in 'sectie' ICT 5 mensen rondlopen.

een gemiddelde net afgestuuderde hbo ICT'er is niet belachelijk duur en heeft ruim genoeg verstand van zaken.

Maargoed ik kan me voorstellen dat het vaak neerkomt op een leraar die 'het wel een beetje kan'. dan ligt het probleem ook 100% bij het management wat onvoldoende belang hecht aan dit soort zaken.

kimborntobewild @Verwijderd • 21 januari 2008 22:31

Je moet niet alleen kijken naar de gemiddelde net afgestudeerde HBO'er, want er zijn ook veel oudere werknemers die wettelijk gezien meer loon moeten ontvangen. Trouwens die zijn ook niet echt goedkoop. Dan moet je meer naar MBO kijken.

kimborntobewild @Pietervs • 21 januari 2008 22:17

Helaas geldt voor veel scholen dat er geen budget is voor "echte" systeembeheerders

Of: er wordt geen budget beschikbaar gesteld voor GENOEG beheerders. Bijv. 1 beheerder op veel te veel PC's. Ook luistert 't management niet altijd goed naar de beheerder(s).

zomaar een netwerk kan kraken en de systeembeheerders hierover geen verantwoording hoeven af te leggen.

Als 't management niet luistert naar de beheerder(s), dan zou je misschien eerder moeten kijken naar de verantwoording van 't management. 'T management bezuinigt regelmatig te vaak op ICT omdat 't geld op is. Omdat scholen overheidsinstellingen zijn, is 't ook vreemd te noemen dat de systeembeheerders niet bij een landelijke 'overheids-helpdesk' terecht kunnen o.i.d.

[Reactie gewijzigd door kimborntobewild op 22 juli 2024 17:43]

Verwijderd 21 januari 2008 12:17

Een leerling die meent via een hack de eindexamenopgaven te kunnen bemachtigen zal echter van een koude kermis thuiskomen: die staan niet op een computer maar liggen in een verzegelde enveloppe in de kluis.

En maakt de school zelf een eindexamenopgaven of krijgen ze deze van een externe organisatie? Zodra het van intern afkomstig is dan heb je de kans dat de enveloppe wel netjes in de kluis ligt, maar het brondocument waar deze mee gemaakt is wel te benaderen is. Of hebben ze het op een tiepmachine geschreven?

Ik als ex-systeembeheerder op een school weet dat het moeilijk is, en dat veel dingen ook zo lek als een mand zijn. Maar dat krijg je als alle organisaties die software aanleveren zo aan "closed source" hangen, en alleen support geven voor Windows. Je kan niet zomaar andere 3rd party software draaien, omdat het dan vaak niet meer correct samenwerkt. Laten we maar niet spreken over de brakke methoden hoe software geprogrammeerd is, software die bv alleen wil werken als administrator. Ik als beheerder kan dan niet veel meer doen dan toch administrator rechten geven. De school (lees management) wil vaak niet inzien wat voor problemen het met zich mee kan brengen als ze niet goed kijken naar wat voor software ze aanschaffen, laat staan dat ze nadenken over beveiliging.

Althans dit is mijn ervaring op een kleine school (300 leerlingen), als systeembeheerder/netwerkbeheerder.

Verwijderd @Verwijderd • 21 januari 2008 13:00

De examens worden door een centrale organisatie(CITO dacht ik) gemaakt en verspreid lijkt me. Iedereen(landelijk) krijgt immers dezelfde opgaven

kimborntobewild @Verwijderd • 21 januari 2008 22:21

Een voorbeeld van die brakke software is vz-verlof (verlofprogramma voor de medewerkers). De aangemaakte wachtwoorden in dat programma staan in gewone tekst in een password.* bestandje... (,,)

[Reactie gewijzigd door kimborntobewild op 22 juli 2024 17:43]

renevanh 21 januari 2008 15:56

Leerlingen willen niet alleen werken, ze willen graag de boel slopen (en er dan voor op hun donder krijgen

)

Dus:
- Fysiek gescheiden netwerken voor leerlingen en administratie
- Goed geconfigureerde AD, DNS en DHCP servers
- Goede proxy (Squid), Firewall is leuk maar niet noodzakelijk (Smoothwall is wel erg makkelijk)
- GEEN USB sticks toestaan op leerlingen PC's (alternatieven: Floppy, mail, FTP naar homedir, VPN)
- Geen leerlingen zonder begeleiding achter leerlingen PC's
- Administratie accounts moeten elke maand hun wachtwoord wijzigen
- Iemand die weet wat ie doet en er voor de leerlingen en het personeel is. Vaste systeembeheerder dus.

De succesformule voor een veilig en werkend schoolnetwerk.

MAX3400 21 januari 2008 11:28

Hier is niks nieuws aan. En voordat de argumenten langs gaan komen dat Kennisnet voor een groot gedeelte op Windows draait; ongeveer 10 jaar geleden was het ook al een eitje om met een bruteforce-programma (naam even kwijt) alle passwords van de sector Informatica en Informatiekunde aan de HHS binnen te hengelen.

Probleem was nog niet eens toegang krijgen tot de files waarin de passwords waren opgeslagen als wel dat de UltraSparcs nogal lang nodig hadden om dit om te zetten naar leesbare tekst; CPU-power was toen nog redelijk dun gezaaid en vanwege de geldende policies omtrent home-dirs was je eigenlijk verplicht om met 3 man in te loggen, home-dirs te sharen en e.e.a. realtime te compileren/ontleden.

VisionMaster @MAX3400 • 21 januari 2008 12:15

Tja, je kon vrij eenvoudig de shadow file pakken op het HHS en inderdaad brute forcen. En verder moest je wel weten dat de Sun Ultra10's sneller waren en voldoende /tmp hadden voor al je speelgoedjes in vergelijking met de Classic Sparcs die ze hadden. Tegenwoordig is dit nog steeds een probleem en kan je beter een oplossing gebruiken die je inlog gegevens elders ophaalt, zodat jezelf niet dit soort files als normale gebruiker kan lezen en misbruiken.

DeMoN @VisionMaster • 21 januari 2008 13:55

Bedoel je niet de /etc/passwd file aangezien vroeger nog niet met shadow werd gewerkt en deze in de huidige tijden sowieso niet world readable is? Kon je die shadow wel pakken dan was het wel heel erg gesteld met de security

Verwijderd 21 januari 2008 11:36

Aangezien kennisnet de scholen ondersteunt bij hun IT verhaal, gaan ze nu hand in eigen boezem steken of is dit een poging klantjes te werven?

VisionMaster @Verwijderd • 21 januari 2008 12:17

De scholen zijn nog altijd zelf verantwoordelijk voor hun eigen reilen en zeilen in hun eigen domein. Allerlei taken kunnen worden overgenomen en beheert door Kennisnet, maar de administratie en leerlingen bestanden zijn nog altijd lokale aangelegenheden.

dj.verhulst 21 januari 2008 12:54

de belangrijkste oorzaak is Geld
een school investeerd liever in een nieuwe uitrusting gymzaal of kantine dan in een goede infrastructuur met V lan , en voldoende systeembeheerders die niet overvraagt worden.

Verwijderd 21 januari 2008 11:55

Vorige week hoorde ik van mijn broerdje dat het netwerk op zijn school plat lag... Een leerling van een nevenlocatie had het adminwachtwoord gekraakt... Lijkt me toch dat de systeembeheerders een tool hebben die keyloggers detecteerd...?

uit mijn VO schooltijd weet ik ook nog dat er veel te rommelen was

leeraren die na het maken van een SO voor volgendeweek niet uitlogde, ect

Het is en zal altijd een wetloop blijven tussen de systeembeheerders en de slimme nerds in de klas...

VisionMaster @Verwijderd • 21 januari 2008 12:27

Wedloop? Dat zou betekenen dat er evenveel slimme systeembeheerders zijn als slimme nerds in de klas. Mijn ervaring is meestal dat het aantal slimme nerds al sinds jaren meer is dan de systeembeheerders. Het aantal groeit aan beide kanten, maar de scholen moeten echt een keer een slimme inhaalslag gaan maken.

Het begint bij veel software die niet geen beveiliging kent behalve een plaintext (hooguit gehasht) wachtwoord authenticatie systeem. Dat is eind jaren '70 al veelvuldig bewezen als een foute oplossing bij de eerste telnet hacks.

Behalve de cijferlijsten vind ik het veel bezwaarlijker dat prive gegevens van leerlingen ook zo in te lezen zijn. We hebben het hier over leerlingen die serieuze persoonlijke en sociale gegevens in dit soort databases hebben staan. Dit is aangemaakt door vooral de leraren op de basischolen waar ze allerlei dingen over de leerlingen verzamelen om aan specialisten door te spelen.

Dat laatste vind ik veel interessanter dan de cijferlijsten die opstraat liggen, dat is simpelweg dom, dit andere vind ik ernstig.

[Reactie gewijzigd door VisionMaster op 22 juli 2024 17:43]

Het @Verwijderd • 21 januari 2008 12:16

Het is en zal altijd een wetloop blijven tussen de systeembeheerders en de slimme nerds in de klas...

Ik blijf het alleen jammer vnden dat de nerds van de klas vaak flink bestraft worden voor het vinden van beveiligingsrisico's. Goed, je moet er geen misbruik van maken, maar als je op welke wijze dan ook het adminwachtwoord bemachtigt en daarmee naar de admin gaat moeten ze juist blij zijn dat je ze aanwijzingen tot verbetering geeft.

Verwijderd @Het • 21 januari 2008 13:06

Je heb helemaal gelijk! Systeembeheer is in gebreken gebleven, leerling geeft het aan, omdat alle admin passwords gewijzigd moeten worden licht het netwerk plat, leerling krijgt de schuld... Zo lus ik er idd ook nog een paar...

JackPoint @Het • 21 januari 2008 19:03

Bij ons willen ze in gaat stellen dat je een slagroomtaart krijgt bij elke lek die je meld. Hierdoor laat je die slimme nerds lekker mee helpen met het beveiligen van je netwerk!

Yavaris 21 januari 2008 11:53

Nou blijft dit natuurlijk net zo'n 'oorlog' als als kopieerbeveiligingen en mensen die ze kraken. Je kan het netwerk nog zo goed beveiligen, het grootste gat is altijd de mensen die het gebruiken.

Zo hoorde ik laatst iemand zeggen dat ze op *alles* van het schoolnetwerk konden door even snel een keylogger op de pc van de netwerkbeheerder te zetten toen hij even koffie ging halen. Ze hadden z'n wachtwoord en toen was het feest. Het scheiden van netwerken heeft dan ook weinig zin meer.

Vorlon @Yavaris • 21 januari 2008 12:41

Als netwerkbeheerder moet je toch eigenlijk wel beter weten dan je pc niet te locken als je van je werkplek weg bent. Zoiets moet gewoon een automatisme zijn.

Saven @Vorlon • 21 januari 2008 13:46

Hardware keylogger

Niemand die zijn bedrading elke dag controleert

wouzy @Vorlon • 21 januari 2008 13:57

/edit Saven was me voor

hier nog een link met voorbeeld: http://www.keelog.com/keylogger_comparison.html

[Reactie gewijzigd door wouzy op 22 juli 2024 17:43]

Verwijderd 21 januari 2008 11:26

Zowiezo kom je al een heel end als je een bepaalde range aan computers alleen toelaat op het administratieve gedeelte van het netwerk. Vroeger kregen wij ook les in het omzeilen van wachtwoorden dmv raden, tips, hints, en goed zoeken. Daar waren leuke programma's voor geschreven door onze leraar zelf.

Ik scheld iemand dan om eerlijk te zijn ook verrot als iemand mij om een manier gaat zitten vragen hoe die het netwerk omzeilen kan om zijn cijfers aan te passen.

SMGGM 21 januari 2008 11:31

Hebben wij vroeger ook eens geprobeerd in het middelbaar. We zijn toen beland bij de inlogscripts die we zonder problemen zomaar konden wijzigen.
Het probleem ligt meestal bij de persoon die er verantwoordelijk voor is. Dat zijn meestal leerkrachten (en sorry moest het beledigend zijn) maar meestal niet de beste in het gebied (meestal dan omdat het loon niet echt zo schitterend is om echte specialisten aan te nemen).
Daarbij zit een school (zeker als je met IT richtingen zit) soms met leerlingen die er meer vanaf weten dan de leerkracht en dat is het soms maar een kwestie van tijd dat hij dingen vindt zoals de inlogscripts die elke PC automatisch uitvoert bij het opstarten van een PC in het computerpark.

Soldaatje @SMGGM • 21 januari 2008 12:52

Dan moeten ze maar geen computer gebruiken.

Als mensen er niet mee om kunnen gaan en geen geld hebben voor een beheerder dan moeten ze er niet aan beginnen.

Natuurlijk geen optie vandaag de dag dus gewoon personeel aannemen, dan maar wat minder keus in de kantine.

Verwijderd @Soldaatje • 21 januari 2008 14:35

De keus in de kantine verminderen zou het salaris van een goeie IT-er niet goedmaken hoor...
Het is altijd de hobby geweest op school om zoveel mogelijk te slopen in die computersystemen, want de leraren waren eikels en die systeembeheerders prutsers. Onder het mom van Bart Simpsons wijze woorden: "That'll teach you to teach me!" Wat was het leven toen toch makkelijk

Ondertussen lijkt het kinderachtig en onverantwoordelijk (damn you, responsibility!)

Geen computers zou ook geen oplossing zijn.
Er zou gewoon één goede oplossing moeten komen die landelijk ingezet kan worden. Uitgezocht door een slim team studenten die als afstudeerproject zich hiermee bezighouden.

Cheap, eenzijdig en effectief.

Verwijderd @SMGGM • 21 januari 2008 15:26

Bij ons idem, in eerste instantie kon je zelfs het netwerk binnendringen via de BIOS, later is dat weliswaar beveiligd, maar veilig was het zeker niet.
Ik had intelliAdmin gedownload (de gratis trial) en dat was al voldoende om de beheerder een plaatje van de teletubies als achtergrond te geven.

Belachelijk hoe de 'beveiliging' nu is op schoolcomputers.

TheCapK @SMGGM • 22 januari 2008 17:09

Wij hadden er zo een die zijn password in zijn agenda had opgeschreven. En laat die agenda nou regelmatig open op tafel liggen. Wat heeft ie kunnen zoeken waar de fout zat dat hij niet ingelogd kon komen het ene moment en het andere moment weer wel.
En wij zaten er als onschuldige lammetjes bij en verwisselden de wachtwoorden zodra hij het lokaal uitliep.
Beveiligen is leuk maar het moet wel goed gebeuren. Dat was 20 jaar geleden niet en dat is vaak, helaas, nu nog steeds niet. Wat helpen programmatuur als de mensen zelf niet eens letten op waar ze hun wachtwoorden laten?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (116)

Sorteer op:

Weergave: