cross-postowane z: https://szmer.info/post/243842

Sprawa dotyczy uczelni niemieckich - nie mam pojęcia, jak sprawa wygląda na polskim podwórku. Artrykuł jest za paywallem, więc podsumowuję na bazie mastodona Evy Wolfangel. Dziennikarze technologiczni badali kwestie związane z cyberbezpieczeństwem na niemieckich uczelniach. Znaleźli wiele krytycznych luk bezpieczeństwa oraz prywatnych informacji, do których nie powinni mieć dostępu.

Łącznie testowi poddano 73 szkoły wyższe, korzystając z umieszczonego na Wikipedii spisu niemieckich uczelni (na liście są posortowane według wielkości). Pierwotnie planowano zająć się wszystkimi 421 wymienionymi szkołami, ale już w 15 z pierwszych 73 znaleziono luki w zabezpieczeniach. W przypadku niektórych szkół - na skalę masową. Natrafiono na niezaszyfrowane hasła czy luki potencjalnie umożliwiające ataki typu ransomware. Problem masowego wycieku danych dotknął wielu uniwersytetów i dotyczył wielu aspektów. Dostępne były dane wrażliwe, m. in. dokumentacja z psychoterapii, tajne dokumenty z badań, oceny itp. Możliwość zgłaszania zaistniałych problemów była mocno utrudniona - np. Uniwersytet w Düsseldorfie nie tylko uniemożliwiał kontakt (mail dot. zgłaszania problemów z IT był nieosiągalny), ale też bagatelizował sprawę. Pomocna okazała się tutaj pomoc niezależnej osoby, która oceniła badania dziennikarzy i sama zgłosiła luki bezpieczeństwa zwracając uwagę, że na wydziale z wadliwą infrastrukturą studiuje 10000 studentów.

Uniwersytecie w Tybindze z kolei umożliwiał (przez brak zabezpieczeń) uruchomienie własnego programu na serwerze (zdalne wykonanie kodu). Luka istniała przez 8 lat - zapomniano pobrać odpowiednie zabezpieczenie z dedykowanej do tego strony internetowej, zapomniano w ogóle o istnieniu tejże strony. Niewykluczone, że luka umożliwiała dostęp do systemów centralnych.

W badaniach pojawiła się także kwestia “zdecentralizowanych serwerów”. Wiele uczelni uznało takie rozwiązanie za mniej problematyczne. Tymczasem przestępcy wykorzystujący ransomware zwykle zaczynają właśnie od takich miejsc - w HAW Hamburg zdecentralizowany serwer również stanowił punkt wejścia. A hasła w zdecentralizowanej strukturze nie były zaszyfrowane - wystarczy użytkownik używający tego samego hasła do kilku usług, by dostać się do centralnego serwera.

Interesująca była także reakcja samych szkół na zgłoszenie im zainstniałych problemów. A to jakaś uczelnia odgrażała się oskarżeniem z paragrafów o hakerstwo, a to inna prawem prasowym. Niektóre powoli przystąpiły do zamykania luk w zabezpieczeniach, inne natychmiast wyłączyły dotknięte nimi serwery. Wyższa Szkoła Trier zareagowała wzorowo - natychmiast załatała zgłoszone luki i w ciągu 2 godzin poinformowała o całej sytuacji na swojej stronie.

Cyberbezpieczeństwo & Globalna Inwigilacja
!cyberbezpieczenstwo

    W świecie całkowicie już zcyfryzowanym, cały czas kontrolowanym i inwigilowanym przez big-corpo i niedemokratyczne rządy, potrzeba dzielić się najnowszymi newsami, poradami/instrukcjami, a także wskazówkami, co robić by móc jak najlepiej chronić się przed cyfrowym niebezpieczeństwem: przed działaniami zarówno zwykłych drobnych przestępców, jak i największych światowych mocarstw i wielkich biznesów. Po to powstała ta społeczność.

    Przydatne:

    Inne społeczności o pokrewnych tematach:

    !wolnyinternet@szmer.info — odzyskiwanie kontroli nad internetem przez użytkowników z rąk big korpo i rządów (fediversum i inne)

    !hakt@szmer.info — haktywizm, pozytywna strona wykorzystania technologii w imię dobra ogółu, zmiany

    !linux@szmer.info — os każdego maniaka prywatności

    !programowanie@szmer.info — wolne oprogramowanie, FOSS, free, open-source

    !xmpp@szmer.info — najbardziej prywatny do tej pory protokół komunikacji

    !dailycyberpunk@szmer.info — dokumentowanie współczesnego cyberpunka

    • 0 users online
    • 1 user / day
    • 6 users / week
    • 18 users / month
    • 32 users / 6 months
    • 113 subscribers
    • 251 Posts
    • 261 Comments
    • Modlog