Schoolcomputers vrij eenvoudig te kraken
21/01/2008 11:27
Kennisnet ICT op school
Persbericht
Zoetermeer, 21 januari 2008
Schoolcomputers vrij eenvoudig te kraken
Om te kijken hoe het met de beveiliging van computers en netwerken op scholen gesteld is, liet Stichting Kennisnet in 2007 een zogenaamde 'ethical hack' uitvoeren. Deze test is een gesimuleerde aanval op de beveiliging van de automatisering. De ethical hack is uitgevoerd op vier basisscholen en tien scholen voor voortgezet onderwijs. Het onderzoek is uitgevoerd in de periode najaar 2006 voorjaar 2007. Het blijkt dat op bijna iedere school iets aan te merken is.
Een 'ethical hack' is een gesimuleerde inbraak waarbij de test systemen benadert alsof het door een computerkraker (hacker) gebeurt. Het verschil daarbij is dat het uitvoeren van een dergelijke test gelimiteerd in tijd is en dat er duidelijk grenzen zijn tot hoever de test mag en kan gaan.
Resultaten
Uit de resultaten blijkt dat op bijna iedere school iets aan te merken is. Bij vijf scholen was sprake van een situatie waar misbruik mogelijk kan leiden tot ongeautoriseerde toegang van binnenuit en van buitenaf. Bij het benaderen van scholen van buitenaf is het niet gelukt het administratieve netwerk te bereiken. Met de kennis opgedaan vanuit het interne netwerk was dat bij genoemde vijf scholen zeer waarschijnlijk wel mogelijk.
In de meeste gevallen zijn scholen uit het voortgezet onderwijs zich bewust van het feit dat er altijd leerlingen zijn die aan de grenzen van de beveiliging 'peuteren'. Al te onderzoekende leerlingen worden aangesproken op hun verantwoordelijkheid en soms ook uitgenodigd om mee te denken over verbeteringen.
Ook het gebruik van wachtwoorden is getest. Hieruit blijkt dat wachtwoorden over het algemeen zorgvuldig worden gekozen. Hardware, vooral netwerkcomponenten en printers bleken wel herhaaldelijk te zijn voorzien van standaard meegeleverde wachtwoorden. Deze dienen vervangen te worden.
Het complete rapport is te downloaden vanaf www.ictopschool.net/snel/ethicalhack2007.
Ethical hack in 2004
In 2004 liet Ict op school (nu Kennisnet) ook al een dergelijk onderzoek uitvoeren. Ten opzichte van het onderzoek van 2004 is het opvallend dat bijna alle scholen uit het basisonderwijs en voortgezet onderwijs professionele netwerkcomponenten in gebruik hebben genomen.
Aanbevelingen
Uit de test bleek dat een gestructureerd beveiligingsbeleid en het continue onder de aandacht brengen van ict-beveiliging scholen helpt bij het beveiligen van hun computers en netwerken. Daarnaast is het belangrijk dat regelmatig onderzoek wordt uitgevoerd naar de stand van zaken van de beveiliging, ook de menselijke factor bij de beveiliging speelt hierbij een rol.
http://www.ictopschool.net/snel/ethicalhack2007
http://www.kennisnetictopschool.nl