Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 56 reacties
Submitter: Big Womly

Het Openbaar Ministerie in BelgiŽ doet onderzoek naar een vermeende diefstal van examens op het Emile Bockstael Atheneum in Laken. Enkele leerlingen zouden de antwoorden op de examenvragen gestolen hebben uit de mailbox van hun docenten.

Het gaat om het examen Frans dat in juni is afgenomen op het Emile Bockstael Atheneum in het Belgische Laken. Er zouden vier leerlingen verdacht worden van het stelen van de bewuste antwoorden, zo meldt deredactie.be op basis van uitspraken van het Belgisch Openbaar Ministerie. De autoriteiten kwamen de verdachten op het spoor nadat hun antwoorden op het examen Frans verdacht veel overeenkwamen met de antwoorden die de docenten voor de examenvragen hadden opgesteld.

Volgens het OM worden de vier leerlingen verdacht van het binnendringen van de mailbox van hun docenten. Daar zouden zij de bewuste antwoorden hebben gevonden. Er werd niet gemeld hoe de eventuele indringers binnen zijn gekomen in de e-mailaccounts van de docenten.

De Belgische politie heeft huiszoekingen gedaan bij de vier verdachten. Het OM denkt eventueel bewijs te kunnen vinden via de computers van de verdachten. De vier leerlingen in kwestie zijn tussen de 17 en 20 jaar oud, aldus de autoriteiten.

Eerder bleek in Nederland sprake te zijn van examenfraude door diefstal. Leerlingen van de Ibn Ghaldoun-school in Rotterdam zouden examens hebben gestolen uit een kluis.

Moderatie-faq Wijzig weergave

Reacties (56)

Als iemand die op de IT afdeling van een school heeft gewerkt, weet ik dat docenten meestal niet al te voorzichtig met hun wachtwoorden omgaan.

Zo worden er bijvoorbeeld per ongeluk wachtwoorden ingetypt in het gebruikernaam veld terwijl de laptop op de smartboard beamer staat aangesloten. Ook worden er wachtwoorden gebruikt zoals 'Oktober2013'.

Studenten worden steeds handiger in dit soort geintjes en dit zullen we steeds vaker zien, afhankelijk of de school aangifte doet van computerfraude, examenfraude, etc.

IT afdelingen op scholen en docenten moeten hier gewoon extra alert op zijn.

[Reactie gewijzigd door TECHcrime op 24 oktober 2013 20:01]

Alleen op scholen? Zou overal moeten. Goede beveiliging moet je gewoon afdwingen. Het is totaal onbegrijpelijk dat bedrijven vaak ook pas wakker worden als er iets gebeurd is. Dan wordt er een crisisteam gevormd om antwoord te geven op de meest obvious vraag: hoe kon dit gebeuren? Ehhhh...eens kijken: sleutel onder mat leggen en een briefje op de deur plakken met een pijl naar de mat misschien? Rings a bell?

Het is niet anders bij overheden, lokaal en landelijk. De enige incentive voor mensen om hun scherm te locken als ze even weglopen is dat je gebak voor de hele afdeling bestelt met hun email. Maar 85% van de mensen laat hun pc onbeheerd achter voor korte of langere tijd, heeft nauwelijks een bescherming op de smartphone. Wat mij betreft vraag je er dan om.

Ik heb op enig moment de knop om gezet en heb op meerdere nivo's mijn eigen beveiliging opgekrikt: lange pincode om smartphone te unlocken (6 cijfers), 2 factor authenticatie voor Gmail, Lastpass voor de moeilijke passwords en een Yubikey. Het kost allemaal een beetje extra moeite, maar we laten onze sleutels ook niet slingeren.

Een bedrijf moet zich hiervan bewust zijn en haar medewerkers ook bewust maken van de noodzaak van een goede beveiliging. Zet desnoods een undercover in; een zogenaamde stagiere die een paar dagen op de afdeling meeloopt en ondertussen kijkt hoe slordig iedereen met de beveiliging omgaat. Dat er al niet hele bevolkingsregisters op straat liggen verbaast me eigenlijk. Er zijn nl hele volksstammen die een lokale kopie van (een deel van) de gegevens op hun pc hebben in een sheet oid. Of de laptop, die gewoon mee de trein in gaat. En dan een keer wordt vergeten...
Het is niet zo makkelijk... two factor authenticatie op je gehele infrastructuur is zonder werkende single-sign-on faciliteit zo goed als onmogelijk. En zelfs bij grote organisaties (die het budget hebben) is SSO niet alom geimplementeerd. Daarom blijf je toch terugvallen op 'eenvoudige' password-based authenticatie.

En daar heb je het volgende probleem:

A] Een wachtwoord moet niet te eenvoudig zijn om te raden.
B] Een wachtwoord moet een beperkte 'houdbaarheid' hebben, zodat een uitgelekt wachtwoord niet lang misbruikt kan worden
C] Een wachtwoord moet gemakkelijk zijn om te onthouden

a en b staan haaks op c... als je elke 4 weken een nieuw wachtwoord moet bedenken wordt het moeilijker om te onthouden, en als je wachtwoord aan 24 complexiteits-regels moet voldoen wordt het niet alleen moeilijk om te raden, maar ook moeilijker om te onthouden.

Als je wachtwoorden vaak moet veranderen worden ze eenvoudiger... als dat niet kan worden ze opgeschreven. Als ze worden opgeschreven moeten ze vaker veranderd worden omdat briefjes kwijt raken en in de handen van derden kunnen vallen.

Het is een paradox... waarvan je niet zomaar kunt zeggen dat wachtwoord gerelateerde vulnerabilities het gevolg zijn van slechte opvoeding van gebruikers of incompetent beheer.

Als je dit allemaal in overweging neemt kun je je voorstellen dat voor bepaalde groepen medewerkers of bepaalde typen werkzaamheden 'het nieuwe werken' nooit tot de mogelijkheden zou moeten behoren.

[Reactie gewijzigd door psyBSD op 24 oktober 2013 21:16]

It's not supposed to be easy...

Ik zit al ruim 25 in de ICT, en ik ken de problemen. Ik weet en snap best dat het moeilijk is om elke 4 weken van password te veranderen. Feit is overigens dat een wachtwoord niet persť als 'kjd398u0())(&(*jdlkfdhj*&@' eruit hoeft te zien om moeilijk kraakbaar te zijn. 'fluitjepoeptralala468' is ook lastig te kraken (voor een computer). Maar dat terzijde.

De door jou genoemde bezwaren mogen natuurlijk nooit een reden zijn om dan maar laks met wachtwoorden en beveiliging om te gaan. Bij grote bedrijven is SSO overigens moeilijker vanwege de diversiteit aan systemen/os-en/applicaties, niet omdat SSO an sich zo ingewikkeld is. Kijk, je kunt eeuwig bezwaren blijven verzinnen en de zaak voor je uit blijven schuiven, maar je schrijft je pincode ook niet op je pas. Toch? (vroeg hij zich hoopvol af).

Ik ken de problemen, maar dat neemt niet weg dat je een effort moet maken. Je kunt je pc fysiek beveiligen (nfc oid) en met iets als LastPass werken. Als je LastPass beveiligt met bv een Yubikey (of ook met een nfc ding), ben je ook al goed bezig. Een voorbijganger kan niets met je pc en als ie je accounts probeert, zijn ze secure genoeg door de secure passwords.

Ik durf het aan dat de meeste password gerelateerde zwakheden door de mens gevormd worden (slechte/insecure passwords). Daarna wederom de mens, maar dan degene die het programma of site beveiligd en dat slecht gedaan heeft zodat de passwords gestolen kunnen worden. Pas daarna komen andere dingen, zoals de genialiteit van de kraker en de onvolkomenheden die in elk systeem op een of ander nivo altijd aanwezig zijn.
Ik probeer deze bezwaren ook niet aan te voeren als excuus voor laksheid. Als je dat erin leest heb ik mij niet goed uitgedrukt. Ik probeer uit te leggen dat een je in een security-policy binnen de meeste organisaties de 'middle-ground' probeert te vinden tussen veiligheid en gebruiksgemak.

Er zijn inderdaad toepassingen waarbij er best veel gebruiksgemak mag worden ingeleverd om aan het gewenste beveiligings-niveau te komen. In de meeste organisaties zal zo'n 80 - 90% elke vorm van beveiliging als een last ervaren, zelfs in de directie. Ik kom zelfs wekelijks systeembeheerders tegen die beveiligings-modellen omzeilen 'omdat het makkelijker is'. Ongeacht de mogelijke gevolgen voor de confidentialiteit en integriteit van de betrokken systemen en informatie.

Mijn punt: Er moet helaas bijna altijd een compromis gesloten worden waarbij er voor een lager beveiligings-niveau wordt gekozen omwille van het 'gebruiksgemak'. Hierbij kun je niet eenzijdig de beheerders, of de werknemers verantwoordelijk houden. Het is het logische gevolg van het spanningsveld waar de partijen zich in bevinden. Als blijkt dat het geimplementeerde beveiligingsniveau niet voldoet, dan doet dat pijn. Maar dan wordt dat in een volgende iteratie (en na wat gezichtsverlies en stress) hersteld. Meestal gebeurt dit voordat een incident plaats vind (of de media haalt), maar soms is men niet zo gelukkig.
Maar dat komt bijna altijd omdat het niet tot de mensen doordringt dat een goede beveiliging belangrijk is.

Ik zie mijn technologisch gehandicapte familie altijd meewarig met het hoofd schudden als ik het over beveiliging heb. Totdat ze een keer een virus hebben of de pc weer helemaal vast loopt door allerlei ellende die ze opgepikt hebben. Want dat mag ik het weer komen oplossen. Gezellig bij al die sacherijnige gezichten. En dan zeg ik maar niet 'I told you so...'. Of natuurlijk als er weer eens iets gehackt is. Ze snappen het niet en willen het niet geloven. Die nerds overdrijven altijd en leven in hun eigen wereld. Ondertussen ben ik de enige in de familie en vriendenkring die nog nooit een virus heeft gehad...

Daarin falen wij IT'ers hopelijk. Daarom zou zo'n infiltrant heel nuttig zijn. Ook heel naar, want na een week (of 3 dagen is denk ik al genoeg) moet ie dan openbaar maken wie wat fout heeft gedaan. En dat is natuurlijk tussen het zere been en voelen mensen zich genaaid. Terwijl ze blij moeten zijn dat het een black hatter was.
Ik zie mijn technologisch gehandicapte familie altijd meewarig met het hoofd schudden als ik het over beveiliging heb. Totdat ze een keer een virus hebben of de pc weer helemaal vast loopt door allerlei ellende die ze opgepikt hebben. Want dat mag ik het weer komen oplossen
Oh, daar ben ik heel makkelijk in. Ik maak het in orde maar dan wel op mijn manier. Gebeurd het daarna nog een keer dat je iets oppikt/oploopt en ik merk dat er geklooid is (geen virusscanner of verouderd, achter lopen met updates, allerhande zut gedownload enz) dan mogen ze het voortaan zelf oplossen. Daar ben ik heel duidelijk en hard in. Mijn schaarse vrije tijd besteed ik liever aan zaken die leuker of meer de moeite waard zijn.
Een wachtwoord hoeft niet gemakkelijk te onthouden zijn. Het moet wel gemakkelijke reproduceerbaar zijn.

Er zijn methodes om een "random" string te genereren, dat je amper kan onthouden als je het zo ziet; maar als je de redenering achter de constructie weet, het eigenelijk heel gemakkelijk is te reconstrueren.
Bij ons in de universiteit in projectgroepen hebben ze daar, als student naar student, een goede oplossing voor: Als je jouw laptop vergeet te locken en dan terugkomt van het toilet of wat dan ook, dan staat er een *apart* filmpje fullscreen op jouw beeld te draaien.

En toen lockte in een keer wel iedereen van ons project zijn/haar laptop.
Tja, op mijn vorige school gebruikte een van de docenten een eigen servertje met daarop een zelf geschreven file-sharing site waarop opdrachten en informatie stond.
Je downloadde dan bijv. 'opdracht-sept.doc', maakte die en leverde die weer in.
We kwamen er al gauw achter dat voor iedere .doc er ook een 'antwoorden.doc' was.
Dus bijv. 'opdracht-sept-antwoorden.doc'........
Op een school waar ik stage liep werd via blackboard de emails van de student/leraar getoont, de login van blackboard werd in een url als GET waarde geplakt waardoor je met WireShark zomaar getmail.php?user=USER&p=PASS voorbij zag komen.
Niet lastig om dan op het account van een leraar in te loggen...
Verder werd er ook op geen enkele manier gekeken naar clients, er was geen monitorings software dus wat er op het netwerk gebeurde was onmogelijk te controleren, laat staan tegen te gaan.
Combineer dit met verkeerd gepatchte poorten in een toetslokaal waardoor je daar gewoon kan internetten tijdens je toetsen en je raadt al waarom velen alleen maar tienen halen...
Beveiliging op scholen is dermate laag dat iedereen, werkelijk iedereen, gaten kan vinden in belangrijke systemen om zo misbruik ervan te maken.
Nou verwacht ik geen onfeilbaar netwerk van een school, maar leraren die zelf een systeem maken omdat de school het niet kan geeft al aan hoe erg het is.
Als IT afdeling moet je dan niet alert zijn, maar betere authenticatie implementeren.
Ook als IT afdeling kan je daar niet altijd wat aan doen. Zo heb ik een docent gehad die de na de introductie van de les haar laptop niet lockte, ingelogd was op de mail, en vervolgens een halfuur tot drie kwartier weg was, waar de klas ook van op de hoogte was. Hoe moeilijk is het dan om gegevens uit de mail te trekken. Iedereen die voorbij kwam kon dat dus gewoon doen. Dat was nota bene een ICT opleiding.

Hoe goed je IT afdeling ook is, wat de vereisten van een wachtwoord zijn, en welke authenticatie methode je ook gebruikt, er is altijd een groep 'domme gebruikers'. Hier kan geen enkele systeembeheerder wat aan doen.

Edit:
Eigenlijk hetzelfde als wjjkoevoets hieronder zegt.

[Reactie gewijzigd door Kontsnorretje op 24 oktober 2013 20:03]

je stelt dan toch een policy in dat deze lokt na 1 minute inactiviteit ofzo.
Om dan te moeten unlocken tijdens het lezen van een artikel op T.net :P
En als iemand het echt op je gemunt heeft kunnen ze mooi staan kijken tot je de hoek om bent, en nu en dan eens voor wat beweging zorgen zodat het scherm niet lockt... Nee hoor, beste beveiliging is niets vanzelf laten gebeuren, zo wordt de user verplicht om het scherm manueel te locken, en dan leren ze plots snel hoor... ;)
ik denk dat uiteindelijk het beste is om, mensen te verplichten om het te locken maar als ze dat vergeten dat dan na enkele minuten vanzelf locked, zo heb ik het ingesteld staan.
Dit soort zaken komen heel erg vaak voor. Een heleboel mensen gebruiken gewoon het "maand" systeem Oktober2013, November2013 etc. Je "voldoet" daarmee aan de complexiteitseisen die ingesteld zijn in GPO en voila. Het is om te huilen, maar de oplossing is helaas niet zo voor de hand liggend. Het is heel makkelijk om te zeggen "scherp de beveiliging maar aan", maar je hebt vaak te maken met mensen die technisch totaal niet onderlegt zijn, geen enkele interesse hebben in de techniek en al helemaal niet lastig gevallen worden met die irritante rot pop-up dat het wachtwoord weer gaat verlopen. Strengere wachtwoordeisen resultaart vaak in een situatie waarin mensen hun wachtwoord opschrijven op een post-it (die men 9/10x diezelfde week nog ergens verliest).

Dat gezegd hebbende zou het mij dan ook niets verbazen dat men of het wachtwoord heeft geraden ofwel ergens gevonden hebben. Heel ver van "Oktober2013" of "Welkom43" zal het wel niet gezeten hebben! Vanaf daar is het natuurlijk een koud kunstje om in de mailbox te komen. Als IT afdeling moet je dan alert zijn en zoveel mogelijk dicht zien te timmeren, zonder dat je Two-factor met certificate based authentication met een passphrase van 200 random tekens invoert.
Bij mij op het werk is het niet toegestaan om hetzelfde getal in opeenvolgende passwords te gebruiken. Ik neem aan dat je het dus wel kunt instellen in de password policies.
aaargggh, paswoord policies. Vreselijke dingen. Zorgen altijd voor een 'systeem' in de paswoorden wat de werkelijke sterkte doet afnemen. Als ik geen getal mag opvolgen dan krijg je wel de eerste 3 letters van de maand, of we gaan a-b-c gebruiken of iets anders. Ik ken niemand die na de 12e paswoord change niet gewoon een systeem heeft. Wanneer gaan beheerders/security mensen nu eens inzien dat een paswoord gewoon nooit een goed beveiligingsmiddel is zolang dit soort zaken afgedwongen worden. Waarom moet ik mijn wachtwoord wijzigen uberhaupt? Omdat iemand die loopt te brute-forcen: dan lock je een account bij een brute-force ipv. iedereen opzadelen met de ellende van een GPO.
Als het is tegen wachwoord delen: ik kan je vertellen dat doen gebruikers ook met een wachtwoord policy. Kun je beter oplossen met een max. 1x inloggen policy dan met een wachtwoord policy. Ik heb nog nooit een valide reden gehoord voor de wachtwoord policy.
Door het wachtwoord te wijzigingen hou je meer controle. Stel je deelt een wachtwoord met een collega omdat die even in je mail kan kijken op een dag dat je vrij bent. Wanneer je je wachtwoord nooit wijzigd zal deze collega ten alle tijden gewoon kunnen inloggen. Wijzig je iedere maand je wachtwoord, dan zal je collega maximaal een maand kunnen inloggen. Ohja, wachtwoorden is gewoon een kwestie van opvoeden. Leer mensen een fatsoenlijk systeem dan hoeven ze weinig te onthouden en je veiligheid neemt enorm toe.
Ik heb iedereen hier geleerd om met Keepass te werken. We hebben vervolgens een idioot systeem streng systeem opgezet om in te kunnen loggen. Niemand klaagt (haha modus: mensen die klagen worden ontslagen :D ) en ik weet dat het overgrote deel, zo niet iedereen, Keepass en truecrypt inmiddels prive ook gebruiken.
Maar, er wordt in het begin wel tijd voor uitgetrokken om mensen te leren. En ja, de eerste werkdag is de beste omdat mensen dan veel meer openstaan. Veiligheid moet in het bloed van de organisatie/instelling zitten. Nog een voordeel, we zijn een jong bedrijf, iedereen komt erbij. Heb je een school dan heb je te maken met mensen die er al (langere) tijd werken.
Complexiteitsregels staan los van wijzigingsregels. Wanneer je een degelijke complexiteit hebt kan het wachtwoord ook langer meegaan, maar dat red je niet met de ingebouwde complexiteitsregel, want die laat veel domme mogelijkheden alsnog toe.
Dat is helemaal ernstig, want vereist dat een deel van het wachtwoord is opgeslagen in plaintext iit een hash. Nog veel erger dan een lek mandje dus.
Niet als ze encrypted opgeslagen zijn natuurlijk....
Bij ons worden PIN codes gegenereerd voor bankkaarten en die zijn ook gewoon encrypted opgeslagen in een database zodat je dezelfde pin krijgt bij een vernieuwing van je kaart.
Kan met wachtwoorden ook.
Je snapt wel dat dit niet zo veilig is als de hash opslaan mag ik hopen? De key voor decryptie staat ook gewoon op het systeem in dat geval. Tuurlijk is verlengen dan vervelend, maar dit kan triviaal opgelost worden door de klant de PIN in te laten stellen op een bankkantoor (veilige omgeving etc. bla.)
wie zegt dat die niet ook als hash wordt opgeslagen ?
(kleine rainbowtable met 10000 hashes, maar vooruit)
Nee password policies zijn niet veel soeps en zeker niet precies in te stellen in de standaard situatie onder Windows 2008/2012 (het is alles of niets en alles is ook nog niet heel veilig). Maar er zijn wel 3de partij tools als ActivePasswords (http://www.wizardsoft.nl/...ords/activepasswords.html). Daar kun je wel allerlei voor de hand liggende reeksen in wachtwoorden verbieden. En dan ook nog per AD groep verschillende eisen.
Als iemand die op de IT afdeling van een school heb gewerkt, weet ik dat docenten meestal niet al te voorzichtig met hun wachtwoorden omgaan.

Zo worden er bijvoorbeeld per ongeluk wachtwoorden ingetypt in het gebruikernaam veld terwijl de laptop op de smartboard beamer staat aangesloten. Ook worden er wachtwoorden gebruikt zoals 'Oktober2013'.

Studenten worden steeds handiger in dit soort geintjes en dit zullen we steeds vaker zien, afhankelijk of de school aangifte doet van computerfraude, examenfraude, etc.

IT afdelingen op scholen en docenten moeten hier gewoon extra alert op zijn.
Inderdaad, dit gaat de komende jaren nog wel flink uit de hand lopen verwacht ik. En niets tegen jou persoonlijk maar de gemiddelde systeembeheerder op een school is nou niet iemand die iets van intrusion detection weet of afdoende beveiliging weet op te zetten en voorlichting weet te geven aan de overige medewerkers.
Middelbare hebben daar geen budget voor. Elke euro aan IT materiaal die geen PC is is verloren. Toen het enkele jaren terug wat moeilijk ging in de IT gingen wij ook eens luisteren naar dat soort scholen. (normaal wijzen we die vragen af) Heel vriendelijke mensen, maar de IT die ik gezien heb was om van te huilen: Afgeschreven servers van een bedrijf die anders in een container zouden gaan, 200? cPC's aan elkaar geknoopt met linksys switches. UTP tot 150m, en hobbyist als beheerder.

Heb daar zo laag ik kon ingeschat, bleek dat ik voor het L2 netwerk alleen het volledige IT budget van +2 jaar vroeg...
Helemaal, om je gewoon kapot te lachen. Bij ons waren alle wachtwoorden van zo ongeveer alle docenten simpelweg de naam van de school. Het wachtwoord van het hoofdaccount van de systeembeheerder (waarmee je het hele network op kon) was zijn geboortedatum. Wat een grap was dat zeg :)
Dit heeft niet specifiek met IT te maken.
Toen ik op school zat hebben medeleerlingen een keer een examen van het bureau van de leeraar meegenomen en gekopieerd. Dit is gewoon de moderne variant daarvan. Het gebeurde vroeger, en nu dus nog steeds, alleen op een iets andere manier.
IT afdelingen op scholen zijn niet alert. Ik zit op een middelbare school, en ik kon zonder enige moeite of hack of wat dan ook Insight platleggen ( programma waarmee ze je scherm kunnen bekijken) examenantwoorden+handleidingen+namen en geslacht van herkansers en CMD opstarten en computertoegang voor leerlingen regelen ( computers vrijgeven of bepaalde leerlingen op afstand uitloggen of PC afsluiten.)

Nou is dat op zich niet zo spannend, maar het feit dat op een school met 2750 leerlingen je zonder enige moeite dat kan doen en zonder enige technische aanleg geeft toch wel aan dat er iets niet helemaal in orde zit.
Zo worden er bijvoorbeeld per ongeluk wachtwoorden ingetypt in het gebruikernaam veld terwijl de laptop op de smartboard beamer staat aangesloten.
haha dit klopt. heeft mijn docent gedaan.
zijn wachtwoord (niet echt belangrijk) was visualstudio2012....
Gewoon mensen in het algemeen. Als je mensen vraagt om een wachtwoord in te tikken... gewoon triestig wat eruit soms komt...
Tsja ICT beveiliging bij scholen, blijft altijd een heikel punt.
Waar veel mensen aan voorbijgaan, naast een beperkt budget en veel leraren die laks zijn met wachtwoorden is dat een school een heel andere situatie is dan de meeste.
In elk ander commercieel bedrijf heb je normaliter enkel te maken met indringers van buiten, je kan je personeel gewoon vertrouwen. Dit houd in dat bijvoorbeeld je receptioniste al een fysieke beveiliging is tegen hackers. Op een school lopen duizenden potentiŽle gevaren (alle leerlingen) rond die alle tijd hebben, en over het algemeen veel handiger zijn met ICT dan al hun leraren (beamertje werkend krijgen tijdens college iemand?)
Dit houd al in dat je de werkstations op alle mogelijke manieren moet dichttimmeren, het bedrade en draadloze netwerk helemaal moet dichttimmeren. En dan heb je dus nog leerlingen die "ouderwets" wachtwoorden stelen uit laatjes, door af te kijken enzovoort.
Voor een ICT afdeling op een school is dit simpelweg niet dicht te timmeren, die moeten zich namelijk ook nog bezig houden met allerlei (meestal verouderde) onderwijsapplicaties draaiende houden en het eindeloze fysieke slopen van PC's zien tegen te gaan/ onderhouden.

Op mijn middelbare school was hier een hele goeie oplossing voor: ouderwetse opvoeding door de leraren/ het kader. Er werd ruiterlijk toegegeven dat systemen hackbaar waren, echter was er ook een goede logging waardoor eigenlijk in alle gevallen achterhaalbaar was wie er voor verantwoordelijk was. En dan werd je dus gewoon geschorst, of moest je je toetsen overmaken, of nablijven ed. Geloof me dan is het snel over, en dat kost vele malen minder dan het Technisch oplossen.

Over het wachtwoord beleid: over het algemeen zie je op scholen inderdaad veel kortere verlooptijden van wachtwoord omdat het risico op uitlekken door die duizenden "hostiles" in je omgeving groter is. Maar tegelijkertijd zie je altijd dat dit ook tot meer low level insecurity lijdt doordat mensen dus de wachtwoorden domweg moeten opschrijven om het bij te kunnen houden blijft een kip en ei verhaal.
Ik vind het eerlijk gezegd ťrg raar dat docenten in BelgiŽ beschikken over de antwoorden op examenvragen, dat is vragen om ellende volgens mij!
In BelgiŽ stellen leerkrachten hun eigen examens op, met hun eigen antwoorden. Er zijn geen centrale eindexamens zoals in Nederland.
Dat is dus sowieso vragen om problemen in de meeste gevallen want een pc heb je zo gehacked, tijden de les een usb stick achter in de pc steken met een auto start progje wanneer hij erin is gestoken werkt al snel op veel scholen sinds die windows xp draaien en hier zelfs draaien er nog veel pc's windows xp sp2 ipv sp3 dat het nog erger maakt :+ , dan is het een kwestie van wachten tot de leraar terwijl de leerlingen aan het werk zijn zijn mail gaat checken en je hebt zijn wachtwoord al met een keylogger...
Is niet vragen om problemen. Als er iets mis gaat, is dat in 1 school op 1 locatie voor enkele klassen. Voor zo ver ik weet nemen de meeste leerkrachten ook geen eigen computer mee maar staan er relatief dichtgetimmerde PCs in de lokalen. Hier staan helemaal geen examens op.

Dit open laten van de mailbox is 1 van de weinige manieren hoe studenten aan de antwoorden kunnen. Een mogelijke oplossing om dit volledig dich te timmeren is een software pakket dat met de eID lezer werkt. Inloggen met je identiteitskaart. En je examens zo uploaden naar de school. Dit zou op zich wel mogelijk zijn als overheidsproject als het echt noodzakelijk zou blijken.

Het grootste punt is hier dat de impact enorm klein is. Worst case moeten nu een paar klassen exact 1 examen opnieuw doen. Meestal zijn er zelfs aparte examens per klas dus je zit met 1 klas waarvan de vragen bekend zijn . Je zit dus met maximum enkele tientallen leerlingen in een rare situatie. Als dit centraal was zit je er met tienduizenden leerlingen die mogelijk hun examenvragen al wisten. De impact is gewoon veel kleiner waardoor draconische maatregelen echt niet nodig zijn. Het risico (betrapt worden, politie over de vloer, voor meerderjarigen tot 4-5 jaar gevangenisstraf volgens de bron) weegt niet op tegen de mogelijkheid om op exact 1 examen je erdoor te kunnen bluffen.

Dit komt absoluut niet eens in de buurt van de tamtam die er rond de gestolen examenvragen in Nederland was. Ik zeg niet dat het perfect is, maar tenzij dat dit veel vaker begint voor te vallen blijven spiekbriefjes en GSMs een veel groter probleem.
Als zij zelf de de examenvragen opstellen, weten ze toch ook de antwoorden? Elke school heeft zijn eigen examens (en dus ook examenvragen) die door de vakleerkracht worden opgesteld en ook verbeterd. Ik weet niet hoe het systeem in Nederland exact is.

[Reactie gewijzigd door HannesB op 24 oktober 2013 20:09]

In nederland wordt het examen gewoon door een centraal bureau gemaakt in plaats dan door de leraren, met uitzondering van school examens natuurlijk maar die zijn meestal niet echt de grootste factor in het slagen van je school carriere. Met uitzondering van bepaalde vakken zoals informatica, wiskunde D en dergelijke die bestaan vaak uit alleen maar school examens.
De docenten stellen elk zelf hun examen op. Daar zijn ze dan ook verplicht om op voorhand antwoord op te geven om, indien er discussie is, te bewijzen dat het antwoord zo is vastgelegd voor aanvang van het examen.

Het is niet zo dat er een nationaal examen is.
Kan het niet gewoon zo zijn dat de studenten in kwestie gewoon goed zijn?
Ala hun leeraar het examen heeft opgesteld neem ik aan dat deze studenten ook door deze leerraar zijn opgeleid.
Dus weten deze studenten hoe deze leeraar graag de antwoorden ziet.
Gewoon een kwestie van toeval?
Btw, als ze het gedaan hebben zijn ze wel stom om de zelfde worden te gebruiken als de leeraar de antwoorden heeft gemaakt.
dat kan heel goed zijn.
ik heb eens een leraar gehad die niet vooruit deed in zijn lessen. aan het einde van het jaar zei hij dan: ik heb in het jaar niet voldoende kunnen leren, dus ofwel doen we de woensdagnamiddag extra lessen, ofwel zeg ik je "waar je een kruisje moet zetten in de cursus" *knipoog*
we kozen voor het tweede. uiteraard heb ik gewoon die stukken rats van buiten geleerd. dus op het examen kon ik letter per letter de cursus opschrijven..
ik kon mijn leerstof, maar toch kan het heel goed zijn dat exact hetzelfde stond als bij de leraar zijn antwoorden..
Bij Wiskunde of Fysica zou je dat nog kunnen beargumenteren maar bij een vak als Frans waarbij iedere leerkracht z'n eigen methode heeft van z'n vragen op te stellen zou ik ten sterkste betwijfelen dat er plots 4 leerlingen uit dezelfde klas bijna dezelfde antwoorden geven op de vragen als de leerkracht z'n oplossing. Dat kan bijna geen toeval zijn als het bv. interpretatie vragen of iets dergelijks zijn.
Haha, doe je het met opzet?
Dus zonder dat er bewijs is (dat al die studenten hetzelfde hebben gegeven als antwoord is geen bewijs) mogen ze een huiszoeking doen? Daar is volgens mij toch ook iets goed mis mee... Hebben we hier dan echt geen privacy meer?
Bij een redelijke verdenking en toestemming van een onderzoeksrechter, is het toegestaan om een huiszoeking te doen. Die huiszoeking dient net om bewijsmateriaal te verzamelen.

Het kan in dit geval net zo goed zijn dat er toestemming van een bewoner is gekregen voor de huiszoeking. Lijkt me niet zo gek als de jonge heren op dit moment nog bij hun ouders zouden wonen.
Dacht zelf even snel aan het volgende:
Examens beginnen altijd begin van de middag. Scholen zorgen voor printcapaciteit en de overheid stuurt s'ochtends de pdf'jes door zodat de concierges alles uit kunnen printen en klaar kunnen leggen.

Maargoed dat is aan de andere kant ook weer erg veel werk. Je zou dan ook een pc moeten aansluiten, die printers+pc offline halen en bijvoorbeeld encrypte usb sticks aangeleverd krijgen ofzo met op de examendag een mailtje met de passcode.

Heb je ook geen gedoe met kluizen en koeriers, maar het is wel veel werk.

[Reactie gewijzigd door Beorge Gush op 24 oktober 2013 20:09]

Het is natuurlijk zo dat in BelgiŽ de examens, zoals hoger reeds gesteld, door de leerkrachten zelf opgesteld worden en een gelekt examen enkel van nut is voor die specifieke klas. Niet voor andere klassen en al zeker niet voor het hele land, zoals dat wel het geval was bij de examens die gestolen waren in de IBN Ghaldoun-school in Rotterdam. In het geval hier spreken we over een 20tal mensen die er baat bij konden hebben, in het Nederlandse geval eventjes 17 000 mensen.
Ik heb al vaak gemerkt dat mensen die totaal niets van IT kennen (dus 95% Belgisch onderwijs), de oorzaak van zulke diefstal wijten aan "hacken". Er heerst precies toch zo'n panieksfeertje rond dat woord, terwijl de kans groter is dat ze gewoon slordig zijn geweest: bijvoorbeeld papieren vergeten in leslokaal, verloren in de wandelgangen, vergeten op het kopieermachine, kinderen van leraars die het delen, of de verkeerde bestemmelingen in een e-mail.

[Reactie gewijzigd door biglia op 24 oktober 2013 22:43]

Als leerlingen konden wij bij ons op school vrij gemakkelijk bij de cijferadministratie van sommige docenten komen door een slecht opgeleide docent op ict-gebied. Het achterlaten van een computer zonder te vergrendelen of uit te loggen gebeurt vaak en geeft leerlingen volledige toegang tot de bestanden van de docenten en daarmee ook de cijfers voor een rapportperiode.

Ik vind het zorgelijk dat docenten hier niet goed mee om kunnen gaan. Zeker bij normale zaken als een wachtwoordverandering gaan mensen vaak wachtwoorden simpeler maken (ik heb vaak genoeg meegemaakt dat er Wachtwoord01 gebruikt werd), een simpele oogwenk gaf me zowat direct het wachtwoord van de docent. En als de docent dan ook nog eens langzaam typte, was het helemaal feest.

Ik zie iets als een vingerafdrukscan authenticatie systeem nog wel toepasbaar op scholen, alhoewel je daarmee tegenwoordig weer gezeur krijgt rondom NSA. Ik vraag me dan ook af hoe mensen op scholen zo veilig mogelijk bepaalde gegevens kunnen opslaan.

De des betreffende docent zal hoogstwaarschijnlijk gewoon zijn wachtwoord in een verkeerd veld hebben ingevuld en daarmee vrijgegeven. Ik zie er daarom best een reden in dat de schuld gedeeltelijk ook bij de docent ligt, die heeft nou eenmaal ervoor gezorgd dat de mailbox gelezen kon worden. Natuurlijk kan ik dit niet met 100% zekerheid zeggen omdat ik niet weet of de leerlingen kennis van ict-beveiliging (wat je nodig hebt om te hacken) hadden.

Alsnog is het jammer voor de leerlingen van dat schooljaar, het resulteert altijd weer tot een twijfelmoment.
" Leerlingen van de IBN Ghaldoun-school in Rotterdam ZOUDEN examens hebben gestolen uit een kluis.". Enlighten me, ik dacht dat dat wel vast stond?
Dat kan zijn omdat het nog niet door de rechter is vastgesteld of om te verhinderen dat boze IBN Galdouners Bauke bij de poort van tweakers staan op te wachten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True