Virus112 har i de seneste dage undersøgt sikkerheden på en række af landets tekniske skoler, handelsskoler, produktionsskoler samt andre uddannelsesinstitutioner.
Resultatet af vores undersøgelser er nedslående; sikkerheden er ekstremt ringe, mange steder eksisterer den på det nærmeste slet ikke.
Virus112 blev inspireret til at lave et ”rutine tjek” efter Aalborg Tekniske Skole torsdag i sidste uge blev ramt af et hacker angreb. Hackerne brød ind på skolens webserver og ændrede skolens hjemmeside.
Nu lader det til, at mindst ¾ af landets gymnasielle uddannelsesinstitutioner har en ekstremt ringe sikkerhed, hvilket er et antal, der i den grad kom bag på os.
Virus112 benyttede sig af frit tilgængelige og 100% lovlige programmer til at scanne for mulige sikkerhedshuller på en lang række uddannelsesinstitutioner. Det tog ikke mange minutter, før der var data nok til at kunne indlede egentlige angreb.
Hos de første tre skoler som blev udsat for hvad vi kalder en ”rigtig” test (dvs. afprøve om sikkerhedshullerne rent faktisk eksisterede) kom vi igennem uden større besvær.
Ved hjælp af simple og let tilgængelige værktøjer hentet fra forskellige websteder, som omhandler sikkerhed på nettet, tog det mindre end fem minutter at køre et angreb på de pågældende servere. Herefter havde vi fri adgang til at editere web-sitets indhold, tilføje brugere, køre programmer eller hvad hjertet måtte begære.
De 3 skoler er:
Odense Tekniske Skole
Ishøj Tekniske Skole
Skanderborg/Odder Handelsskole
De sikkerhedshuller vi fandt er i mange tilfælde meget gamle, i alt fald set med Internet øjne. Flere af hullerne var allerede opdaget i 1999 og opdateringerne er alle frit tilgængelige på bl.a. Microsofts website.
Det er meget tydeligt, at serverne er blevet sat op af personer med ringe eller slet intet kendskab til computersikkerhed. Stort set alle serverne er sat op med standard indstillingerne fra Microsoft, og samtidig er der installeret alt for mange unødvendige og overflødige services.
Selv de servere der så ud til at være konfigureret fornuftigt kørte ældgamle versioner af server softwaren, hvor der er stor mulighed for at bryde ind og ændre data på serveren.
Kun enkelte af de servere vi scannede stod bag en firewall, hvilket afhjælper en del mulige huller. Dog havde de fleste af serverne så banale sikkerhedshuller, at selv en opdateret og korrekt konfigureret firewall ikke ville give meget beskyttelse.
De huller vi har fundet opridses i det følgende:
- FTP software som ikke er opdateret
- Netbios sessioner som ikke er sikret
- Default Passwords i software pakker er ikke fjernet eller konfigureret
- Elendigt og skødesløst konfigureret IIS (Microsoft webserver)
- Overflødigt og usikkert brug af cgiscripts
- Printer- og Filsharing
- SMTP relaying
Som om det ikke var nok, at de servere vi har testet er fulde af sikkerhedshuller, de er endvidere placeret på skolernes lokale netværk. Det betyder, at en hacker ville kunne bryde ind i skolernes webserver og derved have adgang til at angribe alle elevmaskinerne og i værste fald have mulighed for at angribe administrationsmaskiner og interne servere.
Man kan som skole gøre mange ting for at undgå disse problemer. Den nemmeste og billigste løsning er at ligge sine sider ud til en internet udbyder. Dermed ligger siderne på en server, hvor professionelle folk har en interesse i at holde sikkerheden i top.
Desuden fjerner man muligheden for, at en hacker benytter ens webserver til at få adgang til lokalnetværket. Det vil betyde, at skolen kan nøjes med en mindre kompleks og dermed billigere firewall til at beskytte det lokale netværk.
De værste tilfælde vi har set i forbindelse med denne undersøgelse ville svare til, at rektor på skolen havde sat en gul seddel på hoveddøren om, at nøglen til bagdøren lå under måtten og at alarmen er slået fra.
Vi håber, at en bred pressedækning af problemet kan skabe så meget fokus på problemet, at skolerne nu tager ordentlig fat i problemet inden ondsindede elever eller fremmede hackere vælger at bryde ind.
Skolerne kan gøre en række ting for at beskytte sig, og det behøver ikke nødvendigvis koste mange penge. Men har man ikke den nødvendige kompetence i huset bør man ikke tøve med at købe kompetent ekstern bistand.
Uddannelsesstederne er underrettet og har udbedret sikkerhedshullerne på
anvisning fra Virus112 A/S.
