cross-postowane z: https://szmer.info/post/243842

Sprawa dotyczy uczelni niemieckich - nie mam pojęcia, jak sprawa wygląda na polskim podwórku. Artrykuł jest za paywallem, więc podsumowuję na bazie mastodona Evy Wolfangel. Dziennikarze technologiczni badali kwestie związane z cyberbezpieczeństwem na niemieckich uczelniach. Znaleźli wiele krytycznych luk bezpieczeństwa oraz prywatnych informacji, do których nie powinni mieć dostępu.

Łącznie testowi poddano 73 szkoły wyższe, korzystając z umieszczonego na Wikipedii spisu niemieckich uczelni (na liście są posortowane według wielkości). Pierwotnie planowano zająć się wszystkimi 421 wymienionymi szkołami, ale już w 15 z pierwszych 73 znaleziono luki w zabezpieczeniach. W przypadku niektórych szkół - na skalę masową. Natrafiono na niezaszyfrowane hasła czy luki potencjalnie umożliwiające ataki typu ransomware. Problem masowego wycieku danych dotknął wielu uniwersytetów i dotyczył wielu aspektów. Dostępne były dane wrażliwe, m. in. dokumentacja z psychoterapii, tajne dokumenty z badań, oceny itp. Możliwość zgłaszania zaistniałych problemów była mocno utrudniona - np. Uniwersytet w Düsseldorfie nie tylko uniemożliwiał kontakt (mail dot. zgłaszania problemów z IT był nieosiągalny), ale też bagatelizował sprawę. Pomocna okazała się tutaj pomoc niezależnej osoby, która oceniła badania dziennikarzy i sama zgłosiła luki bezpieczeństwa zwracając uwagę, że na wydziale z wadliwą infrastrukturą studiuje 10000 studentów.

Uniwersytecie w Tybindze z kolei umożliwiał (przez brak zabezpieczeń) uruchomienie własnego programu na serwerze (zdalne wykonanie kodu). Luka istniała przez 8 lat - zapomniano pobrać odpowiednie zabezpieczenie z dedykowanej do tego strony internetowej, zapomniano w ogóle o istnieniu tejże strony. Niewykluczone, że luka umożliwiała dostęp do systemów centralnych.

W badaniach pojawiła się także kwestia “zdecentralizowanych serwerów”. Wiele uczelni uznało takie rozwiązanie za mniej problematyczne. Tymczasem przestępcy wykorzystujący ransomware zwykle zaczynają właśnie od takich miejsc - w HAW Hamburg zdecentralizowany serwer również stanowił punkt wejścia. A hasła w zdecentralizowanej strukturze nie były zaszyfrowane - wystarczy użytkownik używający tego samego hasła do kilku usług, by dostać się do centralnego serwera.

Interesująca była także reakcja samych szkół na zgłoszenie im zainstniałych problemów. A to jakaś uczelnia odgrażała się oskarżeniem z paragrafów o hakerstwo, a to inna prawem prasowym. Niektóre powoli przystąpiły do zamykania luk w zabezpieczeniach, inne natychmiast wyłączyły dotknięte nimi serwery. Wyższa Szkoła Trier zareagowała wzorowo - natychmiast załatała zgłoszone luki i w ciągu 2 godzin poinformowała o całej sytuacji na swojej stronie.