image

Lek in monitoringssysteem voor scholen gaf toegang tot laptop leerlingen

maandag 22 maart 2021, 17:00 door Redactie, 22 reacties

Onderzoekers hebben in een systeem waarmee scholen de laptops van hun leerlingen kunnen besturen en monitoren verschillende kwetsbaarheden ontdekt waardoor een aanvaller op hetzelfde netwerk de machines had kunnen overnemen. Het gaat in totaal om vier beveiligingslekken in Netop Vision Pro, die vorige maand door de fabrikant zijn verholpen. Dat meldt antivirusbedrijf McAfee.

Via de software kunnen docenten op afstand taken op de schoolcomputers van leerlingen uitvoeren, zoals het blokkeren van websites, het installeren of uitvoeren van applicaties en het delen van documenten. Volgens de onderzoekers hoort Netop Vision Pro in de standaardconfiguratie nooit toegankelijk te zijn vanaf het internet. Door de coronapandemie worden schoolcomputers echter op allerlei netwerken aangesloten, wat het aanvalsoppervlak vergroot, zegt Sam Quinn van McAfee.

De onderzoekers ontdekten dat al het netwerkverkeer van de software onversleuteld wordt verstuurd, waaronder Windowswachtwoorden. Het gaat om het wachtwoord dat een docent gebruikt om op de computer van een leerling in te loggen. Screenshots van de desktops van de leerlingen, die de software continu maakt, worden ook onversleuteld verstuurd naar de leraar. Iedereen op het lokale netwerk kan deze screenshots onderscheppen.

Het tweede probleem was dat de commando's die door een docent naar een computer worden verstuurd door een aanvaller zijn te onderscheppen, aan te passen en opnieuw zijn "af te spelen". Zo zou het mogelijk zijn om willekeurige applicaties te starten. De derde kwetsbaarheid maakte het mogelijk voor een aanvaller om zijn rechten te verhogen.

De gevaarlijkste kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 met een 9,5 werd beoordeeld, was aanwezig in de chatfunctie. Dit beveiligingslek maakte het mogelijk voor een aanvaller op het lokale netwerk om code met systeemrechten op de computer van leerlingen uit te voeren. Daarnaast zou het ook mogelijk zijn om de webcam van de leerlingen over te nemen.

Netop werd op 11 december vorig jaar over de kwetsbaarheden geïnformeerd en kwam eind februari met een beveiligingsupdate. Alleen het netwerkverkeer wordt nog altijd onversleuteld verstuurd. Dat probleem zal via een toekomstige update worden verholpen, aldus Netop.

Reacties (22)
22-03-2021, 17:05 door Anoniem
Heel eng!

Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.
22-03-2021, 17:39 door Anoniem
Door Anoniem: Heel eng!

Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.
Ik zou uberhaupt niet blij zijn met proctoring software, voor mezelf of mijn kinderen (if i had any).
22-03-2021, 17:55 door Anoniem
Door Anoniem: Heel eng!

Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.

dit soort systemen huur je van de school, zit een docje bij waarin ze dat uitleggen en graag of niet.
Als je als ouder dit niet leest of er niks om geeft, dan nietl ater komen piepen. Daarnaast, als een docent opmerkt dat er ongepast materiaal op een school-laptop staat, zal die volgens protocol gepaste maatregelen nemen, zoals het verwittigen van de ouders.
Er zitten echt geen vieze leraren naar de picca's van je zoon te loeren.

Wel kwalijk als de school deze software inzet als ze weten dat er wat mee mis is, maar vermoedelijk is dit systeem niet in Nederalnd in gebruik. Geen idee ,ik ben te lui om dat te checken.
22-03-2021, 18:46 door Anoniem
Dit bewijst maar weer eens dat het op scholen nog wel vaker slecht gesteld is met de online veiligheid van de scholieren. Wachtwoorden überhaupt moeten willen versturen over het internet is geen goed idee, laat staan zonder encryptie. Ook vind ik het persoonlijk nogal schadelijk dat een probleem op 11 december gemeld wordt en 101 dagen later nog altijd niet verholpen is.
22-03-2021, 19:53 door Anoniem
'k ben benieuws hoe graperflapperhuis dit gaat rijmen met 'encryptie moet zwakker want anders kinder prono'...
22-03-2021, 20:42 door Anoniem
McAfee nadat ze John McAfee's adviezen negeerden doet dus andermaal een McAfeetje, virus software ontwikkelen die onvoldoende uitontwikkeld was en dat verkopen als "veiligheidsproduct" voor scholen........ bekend herhalend euvel ook bij Norton Antivirus van jaren terug.
22-03-2021, 22:00 door Anoniem
Door Anoniem: Heel eng!

Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.
Het is geen privé laptop, maar eentje van school!!!!
22-03-2021, 22:22 door Anoniem
Weer een closed source oplossing met idiote implementatie.
22-03-2021, 22:27 door Anoniem
Door Anoniem: McAfee nadat ze John McAfee's adviezen negeerden doet dus andermaal een McAfeetje, virus software ontwikkelen die onvoldoende uitontwikkeld was en dat verkopen als "veiligheidsproduct" voor scholen........ bekend herhalend euvel ook bij Norton Antivirus van jaren terug.
Graag een linkje met het BEWIJS , dat deze monitoring software een virus is!
22-03-2021, 22:32 door Anoniem
Door Anoniem:
Door Anoniem: Heel eng!

Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.
Het is geen privé laptop, maar eentje van school!!!!

Als ik ouder was zou ik niet zo blij zijn als een leraar via een camera in de slaapkamer van mijn kinderen kan kijken.
23-03-2021, 07:07 door Anoniem
Het zal wel een laptop van school geweest zijn.
Immers, geen weldenkend mens installeert zoiets op z'n eigen machine...
23-03-2021, 08:44 door Anoniem
je dns op safe zeten een optie ?
23-03-2021, 09:52 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Heel eng!

Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.
Het is geen privé laptop, maar eentje van school!!!!

Als ik ouder was zou ik niet zo blij zijn als een leraar via een camera in de slaapkamer van mijn kinderen kan kijken.
Je haalt er weer een ander onderwerp bij, het ging om privé foto's!
23-03-2021, 13:13 door Anoniem
Security by design valt bij de meeste ontwikkelaars op dove oren. Marketing afdeling van bedrijven is er ook niet in geinteresseerd, het idee moet een product worden dat zo snel mogelijk verkocht kan worden om de aandeelhouders tevreden te houden. Cijfertjes wegen meer dan veiligheid.
Dit is niet uniek voor NetOp.
23-03-2021, 14:45 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Heel eng!

Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.
Het is geen privé laptop, maar eentje van school!!!!

Als ik ouder was zou ik niet zo blij zijn als een leraar via een camera in de slaapkamer van mijn kinderen kan kijken.
Je haalt er weer een ander onderwerp bij, het ging om privé foto's!

Dit had de bewoording kunnen zijn van een ander gezin (andere ouders).

Er kunnen vele redenen zijn waarom controle door leraren over een laptop (van school) van kinderen niet gewenst is.

Wil je nog een andere reden?

Als ik ouder was zou ik niet zo blij zijn als een leraar de zoektermen over ongesteldheid van mijn puberende dochter kan meelezen.
23-03-2021, 16:25 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Heel eng!

Als ik ouder was zou ik niet zo blij zijn als een leraar bij de privé-foto's van mijn kinderen kan komen.
Het is geen privé laptop, maar eentje van school!!!!

Als ik ouder was zou ik niet zo blij zijn als een leraar via een camera in de slaapkamer van mijn kinderen kan kijken.
Je haalt er weer een ander onderwerp bij, het ging om privé foto's!

Dit had de bewoording kunnen zijn van een ander gezin (andere ouders).

Er kunnen vele redenen zijn waarom controle door leraren over een laptop (van school) van kinderen niet gewenst is.

Wil je nog een andere reden?

Als ik ouder was zou ik niet zo blij zijn als een leraar de zoektermen over ongesteldheid van mijn puberende dochter kan meelezen.
Ik wist niet, dat tegenwoordig zoektermen over jouw puberende dochter verplichte kost op haar school laptop is.
Je zoekt redenen om jouw bewijs te halen.
24-03-2021, 00:56 door Anoniem
Joh het is toch al hopeloos in veel gevallen gebruiken ze google chrome books... lekker al je data van je kinderen bij google
24-03-2021, 08:50 door Anoniem
Gesloten en afgebakende software die niks mag kosten dus. Met dit soort crappy software moeten kinderen wegwijs worden mbt ict?
Kan nog erger: Gratis of voor een habbekrats chromebooks verstrekken. (Het zijn geen bejaarden!) En ook al zijn het kinderen: Censuur is altijd foute boel. Want het is een misvatting van zgn. volwassen personen om kinderen voor van alles en nog wat af te schermen terwijl er daarnaast vaak geen taboe bespreekbaar is. Alles dus volgens 'het boekje' wat al 20 jaar achterhaald is. Want kinderen moeten inzien dat er ook een duistere kant aan 'het internet' is. Dat 'de volwassene' niet altijd volwassen is. Denk aan criminelen, hackers en overheden. Een stukje weerbaarheid ipv stiekem foute sites bezoeken of erger...

Kinderen moet je laten beginnen met builds voor Linux. Beveiligingstools ontdekken, websites bouwen, etc. En hierop de lesstof (laten) programmeren. Daar horen natuurlijk ook de basisbeginselen van encryptie bij.
En met die kennis leren kinderen trackers, malware en ads voor wat ze zijn en er zal een generatie ontstaan die al vroeg crap als Windows, Apple, Google, facebook en Twitter kan onderscheiden van kwalitatieve software en fora met serieuze inhoud.
Digitale weerbaarheid wordt m.i. steeds belangrijker.

De huidige ict-lessen op basisscholen/middelbaar onderwijs heeft dus boter op het hoofd mbt gebrekkig bewustzijn over cyber security bij de jongste generatie. Het gemakzucht en de mag-niks-kostenmentaliteit: Ergerlijk en behoorlijk niveau boomer.

Hey kids, googlen doe je thuis maar!
24-03-2021, 09:29 door Anoniem
Briljant. Dit is nu juist een reden om daar terughoudend mee te zijn. Het antwoord is steevast drang, als het al niet dwang is. En nu is waar voor gewaarschuwd is en wat als aluhoedjes en dergelijke steeds weggezet is dus - uiterst voorspelbaar - daar.

Tijd voor een onmiddellijke en maximale aansprakelijkheid...
25-03-2021, 14:31 door Anoniem
Vroeger.... Toen ik net naar de middelbare school ging... Toen had ik dit al aangekaart bij Danware (Netop) dat al dit verkeer onversleuteld was... Ik kreeg toen te horen: snotneus je bent lastig. Ga eens wat anders doen dan ons lastig te vallen.... Vroeger.... Toen ik nog op de middelbare school zat... toen was TeamViewer ok al haar verkeer onversleuteld aan het verzenden...

Tegenwoordig... of liever gezegd toen ik van de middelbare school af was... mag men toch wel verwachten dat al het netwerk en internet verkeer inclusief dit, keurig netjes beveiligd wordt... Maar helaas... 17 jaar verder, is dit nog steeds niet het geval...

Nee... ik vind het een schande dat dit NOG STEEDS NIET opgelost is... (fyi... dit was hoe ik mijn systeembeheerder hackte :) verkeer afluisteren op BNC kabel xD )
25-03-2021, 21:26 door Anoniem
Door Anoniem: Vroeger.... Toen ik net naar de middelbare school ging... Toen had ik dit al aangekaart bij Danware (Netop) dat al dit verkeer onversleuteld was... Ik kreeg toen te horen: snotneus je bent lastig. Ga eens wat anders doen dan ons lastig te vallen.... Vroeger.... Toen ik nog op de middelbare school zat... toen was TeamViewer ok al haar verkeer onversleuteld aan het verzenden...

Tegenwoordig... of liever gezegd toen ik van de middelbare school af was... mag men toch wel verwachten dat al het netwerk en internet verkeer inclusief dit, keurig netjes beveiligd wordt... Maar helaas... 17 jaar verder, is dit nog steeds niet het geval...

Nee... ik vind het een schande dat dit NOG STEEDS NIET opgelost is... (fyi... dit was hoe ik mijn systeembeheerder hackte :) verkeer afluisteren op BNC kabel xD )
Teamviewer bestaat sinds 2005!
26-03-2021, 11:03 door Anoniem
Wat maakt dat toch uit hé. Het gaat maar om kinderen.
Sinds zo medio 2006 hebben we gaandeweg immers meer en meer invasieve maar hele "moderne" standaarden als het gaat om wanneer gegevens en identiteiten kwetsbaar zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.