Leerlingen geschorst na wachtwoorddiefstal
vrijdag 21 januari 2011, 13:54 door Job de Jong, 18 reacties
Een viertal leerlingen van een Rotterdamse school is betrapt op het inbreken op het schoolsysteem, om daar hun rapportcijfers te bewerken. "Die leerlingen die tegen betaling ook cijfers van andere leerlingen hebben veranderd, zijn van school gestuurd. Voor de andere leerlingen zijn passende maatregelen genomen." Zo laat de school in een brief aan de ouders weten.
De wijze waarop de leerlingen zichzelf toegang hebben verleend is niet helemaal duidelijk. "Onderzoek heeft uitgewezen dat een aantal leerlingen op niet toegestane wijze in het bezit is gekomen van de beveiligingscode van het cijferregistratiesysteem. Met behulp van deze code zijn cijfers in het systeem aangepast."
Een leerling van de school vertelt het AD, dat het niet moeilijk geweest moet zijn om de wachtwoorden te achterhalen van de leraren, omdat die deze soms open en bloot, per vergissing als gebruikersnaam opgaven. De inbraak kwam aan het licht toen de cijfers van de leerlingen op de computer, tijdens een cijfercontrole, niet overeen kwamen met de cijfers die leraren in hun notitieboek hadden staan.
Reacties (18)
21-01-2011, 14:10 door
Syzygy
De wijze waarop de leerlingen zichzelf toegang hebben verleend is niet helemaal duidelijk. "Onderzoek heeft uitgewezen dat een aantal leerlingen op niet toegestane wijze in het bezit is gekomen van de beveiligingscode van het cijferregistratiesysteem.
en
Een leerling van de school vertelt het AD, dat het niet moeilijk geweest moet zijn om de wachtwoorden te achterhalen van de leraren, omdat die deze soms open en bloot, per vergissing als gebruikersnaam opgaven.
waar willen ze die leerlingen voor aanklagen , OPPORTUNISME ???
Ze moeten die leraren van school sturen, 100000 strafregels: Ik moet beter met de beveiliging van de school data omgaan.
21-01-2011, 14:31 door
ej__
Tsja, waarom kunnen leerlingen ueberhaupt bij het administratieve netwerk? Dat is toch wel gescheiden van het leerlingennetwerk he? Er is namelijk een goede (zeer goede zelfs) reden om dat te doen. Zie het artikel.
En ja, ik ken de discussie van de docenten die dat zo onhandig vinden... Been there, done that (vanuit ICT oogpunt).
En ja, ik ken de discussie van de docenten die dat zo onhandig vinden... Been there, done that (vanuit ICT oogpunt).
21-01-2011, 15:34 door
custoditus
De netwerk/systeembeheerder(s) en leraren zouden zich diep moeten schamen dat dit mogelijk is geweest.
De school moet blij zijn met deze leerlingen omdat ze er nu i.i.g. voor hebben gezorgd dat de beveiliging wat beter bekeken wordt en aangepast.
Maar goed, ik heb vroeger ook nooit op een school gezeten waar de beveiliging wel in orde was.
Ik had in die tijd trouwens graag mijn cijfer Duits wat bewerkt ;)
De school moet blij zijn met deze leerlingen omdat ze er nu i.i.g. voor hebben gezorgd dat de beveiliging wat beter bekeken wordt en aangepast.
Maar goed, ik heb vroeger ook nooit op een school gezeten waar de beveiliging wel in orde was.
Ik had in die tijd trouwens graag mijn cijfer Duits wat bewerkt ;)
21-01-2011, 15:55 door
2tirds
Ja, maar toch is het ook belangrijk dat die leerlingen duidelijk gemaakt wordt dat je niet crimineel mag zijn buiten het boekje mag gaan. Dat betekend dus dat ze in het discutabele geval een grap hadden moeten uithalen waarvan we allemaal weten dat je op zon manier heel makkelijk, nog makkelijker zelfs, de potentie van zo'n aanval / slechte beveiliging kunt duiden. Mits je je eigen opleiding serieus neemt.
Voorbeeld stelling dus, liefst wel in verhouding. Feit is en blijft dat de security branche over het algemeen onvolwassen, onvolledig en belangrijk veel ongestandaardiseerd is. Zelfs binnen MSDN. Leeftijd (en dus maatschappelijk bewustzijn) van cruciaal belang waar het gaat om strafmaat bepaling.
[edit]
oh dat wilde ik ook even toegeven: HEEL blij moeten ze zijn dat er nog zelfdenkende menswezens op die leeftijd rondlopen, daarom denk goed om de straf en zorg dat zoiets productief in de samenleving terecht komt uiteindelijk!!! ik zou zeggen laat hun die computers maar eens onbetaald en goed gefundeerd, onder begeleiding, doorschoffelen om ervoor te zorgen dat hun toekomstige werkgevers dat diploma nog vertrouwen ;p
[/edit]
Voorbeeld stelling dus, liefst wel in verhouding. Feit is en blijft dat de security branche over het algemeen onvolwassen, onvolledig en belangrijk veel ongestandaardiseerd is. Zelfs binnen MSDN. Leeftijd (en dus maatschappelijk bewustzijn) van cruciaal belang waar het gaat om strafmaat bepaling.
[edit]
oh dat wilde ik ook even toegeven: HEEL blij moeten ze zijn dat er nog zelfdenkende menswezens op die leeftijd rondlopen, daarom denk goed om de straf en zorg dat zoiets productief in de samenleving terecht komt uiteindelijk!!! ik zou zeggen laat hun die computers maar eens onbetaald en goed gefundeerd, onder begeleiding, doorschoffelen om ervoor te zorgen dat hun toekomstige werkgevers dat diploma nog vertrouwen ;p
[/edit]
21-01-2011, 16:59 door
custoditus
@2tirds
Dat is natuurlijk (ook) helemaal waar.
Dat is natuurlijk (ook) helemaal waar.
21-01-2011, 18:01 door
Syzygy
Zijn we allemaal opeens heiliger dan de Paus ??
We hebben hier te maken met leraren die duidelijk niets snappen van hedendaagse techniek en beveiligingen.
Die te dom zijn een een beetje goed password te bedenken.
Een paar "slimme" opportunistische snuiters weten op zeer eenvoudige manier in te loggen in het systeem en hun cijfertjes te manipuleren. Geen doodzonde in mijn ogen en ook geen opstap naar zware criminaliteit..
Geef ze een flinke schrobbering en daar is de kous mee af.
Als ik de kans kreeg in mijn tijd dan deed ik dat ook, het was toen alleen een boekje en nu is het digitaal.
We hebben hier te maken met leraren die duidelijk niets snappen van hedendaagse techniek en beveiligingen.
Die te dom zijn een een beetje goed password te bedenken.
Een paar "slimme" opportunistische snuiters weten op zeer eenvoudige manier in te loggen in het systeem en hun cijfertjes te manipuleren. Geen doodzonde in mijn ogen en ook geen opstap naar zware criminaliteit..
Geef ze een flinke schrobbering en daar is de kous mee af.
Als ik de kans kreeg in mijn tijd dan deed ik dat ook, het was toen alleen een boekje en nu is het digitaal.
Geen responsible disclosure, wel gefraudeerd.
Meteen van de school schoppen en nooit meer ergens toelaten, lijkt mij het beste.
Meteen van de school schoppen en nooit meer ergens toelaten, lijkt mij het beste.
Door Syzygy: Zijn we allemaal opeens heiliger dan de Paus ??
We hebben hier te maken met leraren die duidelijk niets snappen van hedendaagse techniek en beveiligingen.
Die te dom zijn een een beetje goed password te bedenken.
Een paar "slimme" opportunistische snuiters weten op zeer eenvoudige manier in te loggen in het systeem en hun cijfertjes te manipuleren. Geen doodzonde in mijn ogen en ook geen opstap naar zware criminaliteit..
Geef ze een flinke schrobbering en daar is de kous mee af.
Als ik de kans kreeg in mijn tijd dan deed ik dat ook, het was toen alleen een boekje en nu is het digitaal.
We hebben hier te maken met leraren die duidelijk niets snappen van hedendaagse techniek en beveiligingen.
Die te dom zijn een een beetje goed password te bedenken.
Een paar "slimme" opportunistische snuiters weten op zeer eenvoudige manier in te loggen in het systeem en hun cijfertjes te manipuleren. Geen doodzonde in mijn ogen en ook geen opstap naar zware criminaliteit..
Geef ze een flinke schrobbering en daar is de kous mee af.
Als ik de kans kreeg in mijn tijd dan deed ik dat ook, het was toen alleen een boekje en nu is het digitaal.
Ze moeten niet gaan huilen als ze van school getrapt worden, het inbreken is op zich niet zo heel erg, mits dit wordt gemeld aan de systeembeheerder. Het kwalijke is meer, dat ze de cijfers veranderd hebben en daarom verdienen ze het ook om van school gekickt te worden!
Door custoditus: De netwerk/systeembeheerder(s) en leraren zouden zich diep moeten schamen dat dit mogelijk is geweest.
De school moet blij zijn met deze leerlingen omdat ze er nu i.i.g. voor hebben gezorgd dat de beveiliging wat beter bekeken wordt en aangepast.
De school moet blij zijn met deze leerlingen omdat ze er nu i.i.g. voor hebben gezorgd dat de beveiliging wat beter bekeken wordt en aangepast.
Blij zijn? Het is nu wel te laat, het kwaad is al geschied. Maar van school sturen vind ik wel erg ver gaan voor zoiets, een week schorsing+corvee was toch ook wel goed geweest lijkt me.
Nice, bij ons was een leraar die zijn wachtwoord in de adresbalk zette. Ik kwam op zijn account maar heb verder niks gedaan ivm straffen als deze.
21-01-2011, 22:53 door
ej__
Nee, we hebben niet te maken met domme leraren. We hebben te maken met slecht ingerichte ict. Ook lange of moeilijke wachtwoorden helpen niet (lees hardware keyboard sniffer)... Richt het beter in. Zorg dat de leerlingen gewoon geen toegang hebben.
22-01-2011, 09:12 door
Syzygy
Door ej__: Nee, we hebben niet te maken met domme leraren. We hebben te maken met slecht ingerichte ict. Ook lange of moeilijke wachtwoorden helpen niet (lees hardware keyboard sniffer)... Richt het beter in. Zorg dat de leerlingen gewoon geen toegang hebben.
De ICT is er in het voordeel van de leerlingen hoor !!
De leerlingen hebben ook geen toegang (mits ze de username en password) kennen.
Dat werkt zo in elk bedrijf.
Als je echter de username en password van een collega kent dan kun je onder zijn credentials inloggen, waarom moet het op een school anders zijn.
Het scheiden van de systemen slaat ook nergens op, wat wil je dan doen, aparte kamertjes voor de leraren met aparte pc's in een apart netwerk ?? Het moet wel werkbaar/betaalbaar blijven.
Het enige wat je nog kunt doen is inloggen met user name en password en token maar dan moeten die leraren niet hun calculatortje naast hun pc laten liggen.
22-01-2011, 12:33 door
ej__
Door Syzygy:
De ICT is er in het voordeel van de leerlingen hoor !!
De leerlingen hebben ook geen toegang (mits ze de username en password) kennen.
Door ej__: Nee, we hebben niet te maken met domme leraren. We hebben te maken met slecht ingerichte ict. Ook lange of moeilijke wachtwoorden helpen niet (lees hardware keyboard sniffer)... Richt het beter in. Zorg dat de leerlingen gewoon geen toegang hebben.
De ICT is er in het voordeel van de leerlingen hoor !!
De leerlingen hebben ook geen toegang (mits ze de username en password) kennen.
Fout. De leerlingen hebben ook geen toegang TENZIJ ze de username en password kennen.
Dat werkt zo in elk bedrijf.
Toch maar eens beter opletten dan, in grote bedrijven zijn netwerken gesegmenteerd. Sterker nog, vaak heeft de directie een volledig eigen netwerk.
Als je echter de username en password van een collega kent dan kun je onder zijn credentials inloggen, waarom moet het op een school anders zijn.
Omdat een school geen bedrijf is? Of voeg 2factor authenticatie toe, dan kan de leerling niets.
Het scheiden van de systemen slaat ook nergens op, wat wil je dan doen, aparte kamertjes voor de leraren met aparte pc's in een apart netwerk ?? Het moet wel werkbaar/betaalbaar blijven.
En waarom is dat onwerkbaar? Een leraar hoort in de klas les te geven. En niet achter zijn pc'tje te frutselen. En ja, zo heb ik wel eens een grote school ingericht. Was prima werkbaar. Administratie is nu eenmaal iets anders dan lesgeven. En betaalbaar blijven? Die paar extra pc'tjes? Dat stelt op het totaal niet veel voor hoor.
Het enige wat je nog kunt doen is inloggen met user name en password en token maar dan moeten die leraren niet hun calculatortje naast hun pc laten liggen.
Dat zeg ik. En bijvoorbeeld een RSA key is geen calculatortje, daar kun je nog steeds niets mee. Net als met het ding van de rabo, of van abn amro. Daar heb je los ook niets aan.
22-01-2011, 13:54 door
digitalegevaren
Door ej__: Nee, we hebben niet te maken met domme leraren. We hebben te maken met slecht ingerichte ict. Ook lange of moeilijke wachtwoorden helpen niet (lees hardware keyboard sniffer)... Richt het beter in. Zorg dat de leerlingen gewoon geen toegang hebben.
Zouden er echt leerlingen zijn die een hardware keyboard sniffer kunnen installeren (best veel moeite en zo'n ding kost geld). Op een school voor ICT zou je zoiets verwachten maar hier niet. Als ik als leerling slechte cijfers had en ik kreeg de kans om een wachtwoord te zien of onthouden zou ik het ook doen.
De school had de leerlingen de consequenties duidelijker moeten uitleggen voor het stelen/gebruiken van de inloggegevens. Op de meeste scholen gebeurd dit gewoon door een briefje wat ondertekend moet worden, doe dit mondeling. Ook de docenten moet zeer duidelijk gemaakt worden hoe ze om moeten gaan met hun wachtwoorden.
Van school sturen is echter wel een hele zware straf. Laat die leerlingen gewoon een geheimhoudingscontract tekenen en proberen om de beveiliging van het schoolsysteem uit te testen. Dit is namelijk niet iets wat alleen op deze school gebeurd, dit gebeurd op iedere school waar leerlingen de kans krijgen om dit te doen!
22-01-2011, 14:03 door
ej__
Hoezo geavanceerd? Keyboard kabel er uit. Sniffer aan keyboard kabel. Keyboard kabel terug in computer.
Uitlezen: keycode ingeven en terugbladeren. Dat is echt alles.
Breng mensen niet in de verleiding is een veel betere strategie dan op straffen vertrouwen. En pubers contracten laten tekenen? Ze zijn nog niet eens tekenbevoegd, dat is een wassen neus.
Uitlezen: keycode ingeven en terugbladeren. Dat is echt alles.
Breng mensen niet in de verleiding is een veel betere strategie dan op straffen vertrouwen. En pubers contracten laten tekenen? Ze zijn nog niet eens tekenbevoegd, dat is een wassen neus.
22-01-2011, 19:00 door
Syzygy
@ ej
Dat van tenzij heb je goed , mits is vaut in deze context.
Je kunt inderdaad de boel segmenteren middels VLAN's maar dan moet een leraar weer een eigen PC hebben of in ieder geval een poortje/outlet voor zijn VLAN maar als de de leerling daar een laptopje in plopt en de username en password van een leraar weet ben je ook weel het haasje.
Eigen glas of koper voor een directeur of management clubje zie je nauwelijks (en ik doe dit al 15 jaar bij grote bedrijven).
Bij zeer gevoelige netwerken (je snapt wel welke) heb je out of band controle maar dat is alleen voor beheer.
Een school is echter wel een bedrijf.
Er werken leerkrachten en het bedrijf levert leerlingen af.
Definitie: bedrijf
Uitspraak: b??dr?if het -woord bedrijven Zelfst. Naamw. 1 plek waar goederen worden geproduceerd of diensten worden verleend om geld te verdienen.
De dienst die ze verlenen is het "opleiden van leerlingen"
Een leraar moet ook gewoon in de klas zijn cijfers kunnen bijwerken,. Veel scholen werken ook met een Wifi netwerk, Internet Portal etc. Het gemak dient de mens. Dit is natuurlijk goed te beveiligen maar als de leraren laks met die beveiliging omgaan is er natuurlijk niets aan te doen.
Officieel heet dat een RSA SecurID Token Calculator dus is het een CALCULATOR ( hij berekent het namelijk)
en daar heb je wel wat aan als je de PIN code hebt van die leraar.
Dom als de leraren zijn ( lees het verhaal) zullen die leraren die pin code op de achterkant van de caculator plakken/schrijven, de leerling drukt op de calculator knop en logt in met het gegenereerde nummer.
Dat van tenzij heb je goed , mits is vaut in deze context.
Je kunt inderdaad de boel segmenteren middels VLAN's maar dan moet een leraar weer een eigen PC hebben of in ieder geval een poortje/outlet voor zijn VLAN maar als de de leerling daar een laptopje in plopt en de username en password van een leraar weet ben je ook weel het haasje.
Eigen glas of koper voor een directeur of management clubje zie je nauwelijks (en ik doe dit al 15 jaar bij grote bedrijven).
Bij zeer gevoelige netwerken (je snapt wel welke) heb je out of band controle maar dat is alleen voor beheer.
Een school is echter wel een bedrijf.
Er werken leerkrachten en het bedrijf levert leerlingen af.
Definitie: bedrijf
Uitspraak: b??dr?if het -woord bedrijven Zelfst. Naamw. 1 plek waar goederen worden geproduceerd of diensten worden verleend om geld te verdienen.
De dienst die ze verlenen is het "opleiden van leerlingen"
Een leraar moet ook gewoon in de klas zijn cijfers kunnen bijwerken,. Veel scholen werken ook met een Wifi netwerk, Internet Portal etc. Het gemak dient de mens. Dit is natuurlijk goed te beveiligen maar als de leraren laks met die beveiliging omgaan is er natuurlijk niets aan te doen.
Officieel heet dat een RSA SecurID Token Calculator dus is het een CALCULATOR ( hij berekent het namelijk)
en daar heb je wel wat aan als je de PIN code hebt van die leraar.
Dom als de leraren zijn ( lees het verhaal) zullen die leraren die pin code op de achterkant van de caculator plakken/schrijven, de leerling drukt op de calculator knop en logt in met het gegenereerde nummer.
Als oud-leerling van deze school, moet ik toegeven dat je geen wijsneus hoeft te zijn op ICT gebied om dit te kunnen doen.
Een groot deel van de leraren , gooit de beamer aan en logt hierna in op zijn pc.
Door in plaats van de gebruikersnaam , het wachtwoord in te vullen is dit dus te zien voor heel de klas.
Er hoeft dus maar 1 oplettend studentje te zijn en "bam" de tienen zullen de leraar om de oren vliegen.
Alhoewel de student achteraf niet slim is om het te gaan verkopen, is dit eigenlijk meer de fout van school/de leraar ?
Wat ik me dan afvraag , is wat er nou met deze leraar gebeurt ? En de cijfers , wie weet hoelang dit al zo gaat.
Zover ik weet gebeurden dit soort dingen ook al op deze school zo'n 4 jaar geleden. Alleen waren leraren wat alerter en werd het achteraf in de doofpot gestopt.
Een groot deel van de leraren , gooit de beamer aan en logt hierna in op zijn pc.
Door in plaats van de gebruikersnaam , het wachtwoord in te vullen is dit dus te zien voor heel de klas.
Er hoeft dus maar 1 oplettend studentje te zijn en "bam" de tienen zullen de leraar om de oren vliegen.
Alhoewel de student achteraf niet slim is om het te gaan verkopen, is dit eigenlijk meer de fout van school/de leraar ?
Wat ik me dan afvraag , is wat er nou met deze leraar gebeurt ? En de cijfers , wie weet hoelang dit al zo gaat.
Zover ik weet gebeurden dit soort dingen ook al op deze school zo'n 4 jaar geleden. Alleen waren leraren wat alerter en werd het achteraf in de doofpot gestopt.
Tsja, niet iedereen gaat even handig met zijn wachtwoorden om... Een leraar van mij riep ooit zijn wachtwoord zelfs door de klas heen, toen ik in moest loggen nadat ik zijn computer in verband met het aansluiten van een beamer opnieuw op had gestart.
Ik weet dat er toen vanaf zijn account toetsen en antwoorden zijn gejat en er vervolgens pornografische afbeeldingen op zijn gedownload, maar dát is het risico van je wachtwoord door een vol klaslokaal schreeuwen. Gelukkig had zijn account op het cijfersysteem andere wachtwoorden, anders was de schade niet te overzien geweest ben ik bang.
In elk geval, dit is nog een vrij simpele methode. Ik heb zelf meermaals daadwerkelijk beveiliging omzeilt of ontweken op het schoolnetwerk, en als je dan zo braaf bent om het te melden bij systeembeheer krijg je het antwoord dat het wel meevalt. Tótdat je opeens het netwerk plat blijkt te kunnen leggen of bij toetsen en examens, medische gegevens van leerlingen en financiële gegevens van de school kunt. Pas dán willen ze misschien luisteren... Als je dan ook nog een ontwerpfout in het cijfersysteem vindt, nemen ze je nog niet serieus. Dat je vervolgens niks met die gegevens mag doen (En zéker niet verkopen aan je medeleerlingen) is dan wel weer logisch.
Conclusie: leraren moeten voorzichtiger zijn, leerlingen eerlijker, en systeembeheerders moeten leerlingen die fouten opsporen belonen!
Ik weet dat er toen vanaf zijn account toetsen en antwoorden zijn gejat en er vervolgens pornografische afbeeldingen op zijn gedownload, maar dát is het risico van je wachtwoord door een vol klaslokaal schreeuwen. Gelukkig had zijn account op het cijfersysteem andere wachtwoorden, anders was de schade niet te overzien geweest ben ik bang.
In elk geval, dit is nog een vrij simpele methode. Ik heb zelf meermaals daadwerkelijk beveiliging omzeilt of ontweken op het schoolnetwerk, en als je dan zo braaf bent om het te melden bij systeembeheer krijg je het antwoord dat het wel meevalt. Tótdat je opeens het netwerk plat blijkt te kunnen leggen of bij toetsen en examens, medische gegevens van leerlingen en financiële gegevens van de school kunt. Pas dán willen ze misschien luisteren... Als je dan ook nog een ontwerpfout in het cijfersysteem vindt, nemen ze je nog niet serieus. Dat je vervolgens niks met die gegevens mag doen (En zéker niet verkopen aan je medeleerlingen) is dan wel weer logisch.
Conclusie: leraren moeten voorzichtiger zijn, leerlingen eerlijker, en systeembeheerders moeten leerlingen die fouten opsporen belonen!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.