Sign in to follow this  
Followers 0

Að gjörsamlega falla í grunnatriðum öryggis

16 posts in this topic

Posted

Sumir eru ekki hæfir kerfisstjórar. Þessi skóli, eins og allir skóla í landinu keyra Windows sem er hægt að komast inní á einfaldan hátt. Hver sá sem segir að kerfið sé harðlæst og ekki sé að hægt að komast inní það er ekki starfi sínu hæfur.

Nemandi braust inn í tölvukerfi Hagaskóla Fjórtán ára pilti í 9.bekk Hagaskóla tókst að brjótast inn í tölvukerfi skólans og eyða öllum skrám á upplýsingavef sem nemendur og kennarar nota. Tölvukerfið liggur enn niðri. Lögreglan rannsakar nú málið en skólastjóri Hagaskóla segist líta brotið alvarlegum augum. Forsvarsmenn Hagaskóla uppgötvuðu að brotist hefði verið inn í mentor, sem er upplýsingakerfi skólans, síðastliðinn laugardag. Nemendur og kennnarar nota kerfið og eru þar upplýsingar um ástundun, heimalærdóm nemenda, mætingu, athugasemdir kennara og fleira. Klukkan tíu um kvöldið fann lögreglan sökudólginn sem er í 9. bekk skólans. Sesselja Ingibjörg Jósefsdóttir skólastjóri Hagaskóla segir mentor kerfið enn liggja niðri og það sé ónothæft í skólanum. Framkvæmdastjóri Mentors segir kerfið harðlæst og ekki eigi að vera hægt að brjótast inn í það. Hins vegar sé lítið hægt að gera komist nemendur yfir lykilorð starfsmanna. Afrit séu til af öllum skrám sem nemandinn hafi eytt og nokkra daga taki að koma kerfinu í gagnið. Vísir.is
Og miðað við skóla almennt, þá er mjög ólíklegt að til séu góð varaafrit af gögnum skólans. Ég fann ekki neinar upplýsingar um þetta mentor vef forrit skólans.

Share this post


Link to post
Share on other sites

Posted

Það á að verðlauna þessa krakka fyrir að reyna svona á öryggi gagna. :D

Share this post


Link to post
Share on other sites

Posted

En á ekki að reka kennarann. 14 ára krakki veit ekkert í sinn haus miðað við kennarann. Kennari á að passa upp á að lykilorðið sé öruggt. Úr því það þarf að refa einhverjum fyrir þetta.

Share this post


Link to post
Share on other sites

Posted

En á ekki að reka kennarann. 14 ára krakki veit ekkert í sinn haus miðað við kennarann. Kennari á að passa upp á að lykilorðið sé öruggt. Úr því það þarf að refa einhverjum fyrir þetta.
Ef að einn "stelur" á að refsa öðrum fyrir það? :D

Share this post


Link to post
Share on other sites

Posted

Ef að einn "stelur" á að refsa öðrum fyrir það? :D
Ábyrgðin hlýtur að vera hjá kennarnum að deila þessum upplýsingum ekki með öðrum. Eða koma í veg fyrir að fólk geti komist í þessar upplýsingar. Er ósanngjarnt að gera meiri kröfur til kennara en 14 ára barns? Ef þú skilur lyklana eftir í bílnum, honum stolið, færðu bílinn bættan ef hann er tryggður?

Share this post


Link to post
Share on other sites

Posted

Var ekki upphafsmaður þessa þráðar sjálfur sem var dæmdur fyrir innbrot í tölvukerfi framhaldsskóla? Að vísu innbrot með lykilorði sem var aðgengilegt á opnum skrám á þjóninum sjálfum sem nemendur höfðu aðgang að? Af hverju þá að verðlauna þennan fjórtán ára fyrir svipaðan hlut?

Share this post


Link to post
Share on other sites

Posted

Var ekki upphafsmaður þessa þráðar sjálfur sem var dæmdur fyrir innbrot í tölvukerfi framhaldsskóla? Að vísu innbrot með lykilorði sem var aðgengilegt á opnum skrám á þjóninum sjálfum sem nemendur höfðu aðgang að? Af hverju þá að verðlauna þennan fjórtán ára fyrir svipaðan hlut?
Alls ekki verðlauna hann. Skóli er uppeldisstofnun, er það einhver lausn að senda hann heim. Ef kennarinn væri rekinn þá mundi það senda skýr skilaboð til hinna kennaranna að passa lykilorðin betur. Og út í samfélagið, að passa upp á lykilorðin. Bankarnir treysta okkur ekki þeir þruftu að kaupa handa okkur auðkennislykla. Ef það þarf að refsa einhverjum af hverju þá ekki kennaranum? Ég er sáttur við að skömmin sé næg refsing. En það stoppar mig ekki í að velta fyrir mér af hverju ekki að refsa honum líka úr því að nemandanum er refsað.

Share this post


Link to post
Share on other sites

Posted

Var ekki upphafsmaður þessa þráðar sjálfur sem var dæmdur fyrir innbrot í tölvukerfi framhaldsskóla? Að vísu innbrot með lykilorði sem var aðgengilegt á opnum skrám á þjóninum sjálfum sem nemendur höfðu aðgang að? Af hverju þá að verðlauna þennan fjórtán ára fyrir svipaðan hlut?
Ég fékk dóm, en enga refsingu enda ósannað að ég hefði skemmt tölvukerfi skólans. Og var bara dæmdur fyrir eitt atriði (að hafa farið inní tölvukerfið með lykilorðinu) en sýknaður af öllu hinu. En þessi þráður snýst ekki um mig. Þessi þráður snýst um dreng sem olli raunverulegum skaða á tölvukerfi, á meðan ég gerði ekkert slíkt. Samkvæmt íslenskum lögum er fjórtán ára einstaklingur ósakhæfur.

Share this post


Link to post
Share on other sites

Posted

Ábyrgðin hlýtur að vera hjá kennarnum að deila þessum upplýsingum ekki með öðrum. Eða koma í veg fyrir að fólk geti komist í þessar upplýsingar. Er ósanngjarnt að gera meiri kröfur til kennara en 14 ára barns? Ef þú skilur lyklana eftir í bílnum, honum stolið, færðu bílinn bættan ef hann er tryggður?
Er það til bóta að vera rekinn? :D

Share this post


Link to post
Share on other sites

Posted

Og miðað við skóla almennt, þá er mjög ólíklegt að til séu góð varaafrit af gögnum skólans. Ég fann ekki neinar upplýsingar um þetta mentor vef forrit skólans.
Þú getur prófað að kíkja á mentor.is - þetta er vefkerfi fyrir alla grunnskóla held ég. Þarna er meðal annars hægt að fylgjast með hvað börnin eiga að læra heima, einkunir og eiga í samskiptum við kennara/nemendur

Share this post


Link to post
Share on other sites

Posted

Er það til bóta að vera rekinn? :D
Nei sennilega ekki. :LOL

Share this post


Link to post
Share on other sites

Posted

Sumir eru ekki hæfir kerfisstjórar. Þessi skóli, eins og allir skóla í landinu keyra Windows sem er hægt að komast inní á einfaldan hátt. Hver sá sem segir að kerfið sé harðlæst og ekki sé að hægt að komast inní það er ekki starfi sínu hæfur. Og miðað við skóla almennt, þá er mjög ólíklegt að til séu góð varaafrit af gögnum skólans. Ég fann ekki neinar upplýsingar um þetta mentor vef forrit skólans.
Já kannski eru sumir ekki hæfir kerfisstjórar, en vandamálið liggur líka í þeim sem eru að brjótast inn á tölvukerfin og skemma uppsett kerfin.

Share this post


Link to post
Share on other sites

Posted

Já kannski eru sumir ekki hæfir kerfisstjórar, en vandamálið liggur líka í þeim sem eru að brjótast inn á tölvukerfin og skemma uppsett kerfin.
Það er mun auðveldara að verja kerfi fyrir árás "utanfrá" (af internetinu) en "innanfrá". Öryggið og eftirlitið sem fylgir örygginu er mjög kostnaðarsamt og fer algerlega eftir því hversu "sensitive" gögnin eru, ásamt því hversu lengi getur tekið að koma aftur kerfi í gagn sem hefur verið hakkað og skemmt. Í lang flestum tilfellum þegar kerfi eru hökkuð, kemur árásin innanfrá af notendum netssins, en það er mikið dýrara að reyna að koma í veg fyrir slíkt en að ná upp góðu öryggi gagnvart internetinu. Þráðlausa netinu hjá okkur er t.d. haldið eins aðskildu og mögulegt er frá kapalnetinu með Vlan sem stýrt frá routerum og switchum, en aðgangur í serverana er mjög takmarkaður þaðan. Því meira öryggi sem maður hefur því meira starfsfólk þarf til að fylgjast með öllu og því meiri kostnaður í búnaði. Utanfrá er netið varið með mjög öflugum eldveggjum og það er hreinlega enginn aðgangur fyrir neinn utanfrá inn á netið, nema frá fáum ip addressum okkar net/server starfsmannanna. Web og Citrix serverarnir eru ekki tengdir inn á local netið okkar okkar, enda engin ástæða til að leyfa aðgang þar á milli. Ef þú hins vegar þarft aðgang þar á milli þá þýðir það aukinn kostnað og meiri vinnu. S.s. að fer allt eftir því hversu mikils virði datað er fyrirtækinu og hversu mikið downtime fyrirtækið þolir, sem öryggiskröfurnar eru reiknaðar eftir,, svona hálfgert "balance act". Þannig að allt tal um að einhver sé ekki starfi sínu vaxinn án þess að vita aðstæður og fjárráð fyrirtækissins sem um ræðir er svolítið út í hött, því kerfismaðurinn getur verið búinn að hafa varað við þessu fyrir löngu, kannski fyrir daufum eyrum þeirra sem halda utanum peningapung fyrirtækissins. Geri t.d. ekki ráð fyrir því að einhver skóli hafi efni á því að henda mörgum milljónum, jafnvel tugmilljónum, í öryggi netssins, sem inniheldur vinnu nemenda og kennara. Kveðja Grasi

Share this post


Link to post
Share on other sites

Posted

Windows windows windows. Mentor hefur lítið að gera með Windows þessa dagana, allt komið á netið. Og það er harðlæst. En drengurinn hefur komist yfir lykilorð kennara, eða öllu heldur, skólastjóra eða annars yfirmanns. Heimildastjórnun er ágæt í Mentor og fyrst að drengurinn gat eytt öllum gögnum þýðir það að hann var að nota aðgang með miklum heimildum. Sennilega þá meiri en hjá venjulegum kennara. Skaðinn er ekki of mikill, gögnin voru afrituð ágætlega og því endurheimtanleg. En þetta er samt alvarlegt mál og greinilegt skemmdaverk.

Share this post


Link to post
Share on other sites

Posted

Windows windows windows. Mentor hefur lítið að gera með Windows þessa dagana, allt komið á netið. Og það er harðlæst. En drengurinn hefur komist yfir lykilorð kennara, eða öllu heldur, skólastjóra eða annars yfirmanns. Heimildastjórnun er ágæt í Mentor og fyrst að drengurinn gat eytt öllum gögnum þýðir það að hann var að nota aðgang með miklum heimildum. Sennilega þá meiri en hjá venjulegum kennara. Skaðinn er ekki of mikill, gögnin voru afrituð ágætlega og því endurheimtanleg. En þetta er samt alvarlegt mál og greinilegt skemmdaverk.
Mikið rétt Fleebah. Ekkert kerfi er öruggara en veikasti hlekkurinn, en veikasti hlekkurinn er oft starfsfólk sem fer ekki eftir þeim reglum sem settar eru, t.d. í sambandi við meðhöndlun lykilorða, sem síðan einhver annar misnotar. 14 ára krakkar geta verið helvíti klárir þegar það kemur að slíkum hlutum og margar hakkara síður, tól og tæki eru mjög aðgengileg á internetinu ef vel er að gáð, oft mjög einföld tól sem auðvelt er að læra á. Hins vegar legg ég spurningu við það hvort hinn 14 ára hafi haft raunverulegan skilning á því sem hann var að gera og vinnunni og kostnaðinum sem hlaust af athöfnum hans,, og n.b. það er mikið meira sem þarf að gera en "bara" henda afritunum inn aftur. Svo simpelt er það nú alls ekki, því það þarf að fara í gegnum allt kerfið til að athuga hvort hakkarinn hafi skilið eftir sig einhver falin atriði til að komast inn aftur síðar. Kveðja Grasi

Share this post


Link to post
Share on other sites

Posted

Þeir sem eru með aðgang að mentor skrá sig inn á jafn einfaldann máta og notendur á malefnin.com og því alls ekki flókið að komast þar inn, jafnvel á aðgangi einhvers annars. Að einhverjum hafi tekist það á mentor.is er því engin sérstök snilli þótt uppátækinu fylgi einhver frægð í jafningjahópnum.

Share this post


Link to post
Share on other sites
Sign in to follow this  
Followers 0