@mick16
Blog (3)
Komentarze (5)
Recenzje (0)

Bezpieczeństwo informatyczne w polskiej szkole. Prawda czy fikcja?

@mick16Bezpieczeństwo informatyczne w polskiej szkole. Prawda czy fikcja?22.03.2010 12:39

Postanowiłem napisać malutki felietonik zawierający moją własną dygresję na temat bezpieczeństwa informatycznego w polskiej szkole. Pozwolę sobie uzupełnić moją wypowiedzieć fragmentami autentycznych dialogów.

Obecnie jestem uczniem drugiej klasy technikum na kierunku (jak się nietrudno domyślić) technik informatyk. Z chwilą kiedy dostałem się do tej szkoły sądziłem iż świadomość (nauczycieli przedmiotów zawodowych) zagrożeń płynącą z globalnej sieci jest naprawdę spora. Jakież było moje zdziwienie kiedy tak się jednak nie stało. Powód? Opisze tutaj kilka zdarzeń, które utwierdziły mnie w tym, że bezpieczeństwo informatyczne w szkole to zupełna fikcja.

W mojej szkole znajdują się obecnie 4 pracownie komputerowe + 1 pracownia multimedialna (składak) + kilka komputerów w bibliotece. Każda z pracowni pracuje pod kontrolą Windows Server 2003 Small Business Edition, oczywiście z zainstalowanym kontrolerem AD + nie mniej "ciekawy" pakiet SBS Men. W pracowni, w której mam najwięcej zajęć (sieci komputerowe, programowanie), końcówki pracowały pod kontrolą systemu Windows Vista. Dodatkowo te komputery jako jedyne w szkole wyposażone były w technologie Intel PAT (Intel Platform Administration Technology – więcej informacji o tej platformie w linku)

Zdarzenie pierwsze

Pewnego dnia mając zajęcia właśnie w tej pracowni wyposażonej w technologie IPAT podłączyłem patchcordem mojego laptopa do gniazdka sieciowego i po paru chwilach mój firewall (Kaspersky Internet Security 7) wykrył próbę włamania do mojego komputera. Oczywiście natychmiast kliknąłem na szczegóły tego komunikatu i z przerażeniem stwierdziłem iż komputer atakujący mnie ma adres IP 192.168.28.1, czyli serwer tej pracowni(sic!). W ciągu kilku następnych minut firewall zablokował kolne próby włamania z kilku różnych końcówek. Za pomocą Google dowiedziałem się, że za ataki odpowiada robak sieciowy, który infekuje maszyny wykorzystując błędy w systemie Windows, na które oczywiście Microsoft już dawno temu wypuścił stosowną łatkę.

Za pomocą platformy IPAT można zdalnie zarządzać poszczególnymi końcówkami (włączanie, wyłączanie, podpinanie pod domenę, itd). Aby wejść po panelu administracyjnego wystarczyło wpisać w pasku adresu przeglądarki http://192.168.28.1/ipat3/ (Bez hasła, gdyż Pan Administrator źle skonfigurował IPAT'a) i można było szaleć do woli :-)

Fragment pierwszego dialogu:

Ja: Panie [tutaj nazwisko] pana serwera mnie atakuje Nauczyciel: Co, jak to? Ja: No niech Pan zobaczy? (Pokazuje mu okienko z komunikatem programu KIS) Nauczyciel: Bardzo możliwe Michale, ostatnio podłączałem pod serwer pendrive, który przyniósł mi uczeń, bo chciał coś wydrukować i może coś tam wlazło.

Oprogramowanie na serwerze oczywiście nie było zaktualizowane, jak również nie było tam żadnego programu antywirusowego.

Zdarzenie drugie

W naszej innej pracowni pracującej już tym razem pod kontrolą leciwego już Windows XP, gdzie (o zgrozo) są przeglądarki Internet Explorer 6(sic!). W momencie kiedy pierwszy raz to zobaczyłem pomyślałem (Boże zabierz mnie z tego ciemnogrodu!).

Pewnego dnia na naszą lekcje niezapowiedziane przyszła polonistką z zapytaniem czy mogła by skorzystać z jednego z komputerów, gdyż musiała skorzystać z usługi płatności online. Nauczyciel prowadzący zgodził się i nauczycielka usiadła przy jednym z wolnych stanowisk. Oczywiście, skorzystała wtedy z IE6 (Brak zainstalowanych alternatywnych przeglądarek), na niezaktualizowanym i zainfekowanym systemie – myślę, że pozostawię to bez komentarza.

Zdarzenie trzecie

W innej pracowni w której mam przedmiot na nazwie – „Multimedia i Grafika komputerowa” serwer jest tak zainfekowany przez szkodliwe oprogramowanie, że przestał działać poprawiane serwer DHCP, więc konieczna była ręczna konfiguracja protokołu TCP/IP na każdej z końcówek. Na tych stanowiskach NIE MA hasła do lokalnych kont administracyjnych, tak więc na dyskach twardych tych komputerów można znaleźć dosłownie wszystko - gry, muzykę, filmy itp, czego oczywiście nauczyciel prowadzący nie kontroluje.

Formalnie szkoła zakupiła oprogramowanie antywirusowe (Kaspersky Anti-Virus 6), lecz niestety jest on najczęściej źle skonfigurowany, brak klucza licencyjnego lub jego ochrona w czasie rzeczywistym jest wyłączona.

Fragment drugiego dialogu

Ja: Czy nie powinniśmy zaktualizować tych końcówek? Nauczyciel: No, może, ale dużo by było z tym roboty!

Ten tekst powalił mnie na kolana. Po co chodzić od końcówki do końcówki ręcznie ją aktualizować, skoro jest narzędzie WSUS (Windows Server Update Services). Niestety administrator jak widać nie znał tego narzędzia.

Zdarzenie czwarte

W szkole znajduje się 5 Access Pointów. 3 w jednym budynku i 2 w drugim. Każdy uczeń może podłączyć się pod sieć jeśli zna hasło (abc1234567). Z Wi-fi korzysta również Pani dyrektor. Wystarczy użyć pierwszego z brzegu skanera portów, który przeskanuje sieć i można bez problemu mieć dostęp do całej masy dokumentów takich jak wykaz nauczycieli (zawierający imię nazwisko, datę urodzenia, PESEL), listę uczniów pobierających stypendia i całą masę innych dokumentów.

Konkluzja

Bezpieczeństwo informatyczne w szkole to fikcja! Mówi się, że edukacja seksualna jest na bardzo niskim poziomie to co w takim razie powiedzieć o edukacji odnośnie bezpieczeństwa? Co zrobić, aby zmienić ten stan rzeczy?

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.