17 июля 2013

Инциденты с безопасностью в образовательной сфере: почему они происходят

Бизнес

Сегодняшние образовательные учреждения — в США, по крайней мере, — настолько же компьютеризированы, сколь и любые коммерческие структуры и государственные учреждения, а иногда, если речь идёт об университетах технологической направленнсоти, и в куда большей степени. Образовательные организации работают с личными данными людей в цифровом виде, используют информационную инфраструктуру и… и естественно испытывают те же самые проблемы, что и бизнес и госучреждения. Иногда даже в куда более «жёсткой» форме. В этом материале мы рассмотрим несколько инцидентов последнего времени и попробуем понять причины.

redmondОдна из самых нашумевших историй имела место в школьном округе Lake Washington School District: осенью 2012 года компьютерный вирус Goblin (Virus.Win32.Goblin.gen) поразил разом огромное количество компьютеров в школах, располагающихся в этом округе. Да, это именно вирус: он не распространялся по сетям, как это делают черви, это был полиморфный файловый вирус, который, правда, очень любил засиживаться на сетевых ресурсах. Заражал он файлы с расширениями .exe, .dll и .scr (скринсейверы), кроме того пытался скачивать из интернета другие вредоносные программы и передавать некоторые данные о заражённом компьютере на удалённый сервер.

Вполне, казалось бы, заурядная пакость… Но заразила она 25000 компьютеров во всех 50 школах округа. Округа, к слову, располагающегося вблизи Редмонда, где находится штаб-квартира Microsoft. В этих школах в большом количестве учатся дети сотрудников этой корпорации. И вот, можно сказать, на задворках разработчиков Windows — такая катастрофа?

Оказалось, что именно в 2012 году администрация округа раздала всем учащимся в личное пользование ноутбуки, которые предполагалось использовать как дома, так и на уроках. Только вот, похоже, никому не пришло в голову, что ноутбуки неплохо было бы оснастить какой-нибудь защитой от вредоносного софта. Потому что представитель управления образовательного округа заявил, что на все компьютеры установлены антивирусы и файерволлы уже после того, как распространилась зараза. То есть, изначально никаких антивирусов там не было.

Аналогичная ситуация, хотя и менее масштабная, случилась потом, уже в апреле этого года, в Нью-Гэмпшире, в Salem School District. Червь «неизвестного происхождения» практически вывел из строя местные интернет-каналы. Округ использовал 85 серверов, каждый из которых надо было проверить.

И снова со стороны местного чиновника слышится: «В настоящий момент мы задействуем антивирусную программу, и затем будем проверять все рабочие станции по отдельности».

А раньше антивирус был ли?

Помимо вирусов и прочих зловредов образовательные учреждения — как это странно! — подвергаются взломам, как снаружи, так и изнутри.

Группировка «хактивистов» GhostShell осенью 2012 года опубликовала 120 тысяч разрозненных массивов данных, угнанных из баз крупнейших университетов, куда «хактивисты» предварительно нанесли визиты невежливости в рамках, как водится, «кампании» с громким названием Project Westwind.

В опубликованных массивах содержатся 36 623 уникальных электронных адреса, десятки тысяч имён студентов, преподавателей и обслуживающего персонала. Тысячи логинов, паролей в хэшированном и незашифрованном виде, адреса, телефонные номера, а также совсем уж личные данные — пол, даты рождения, гражданство, этническая принадлежность, статусы гражданского состояния. К счастью, не опубликованы (или просто отсутствуют) номера кредитных карт и полисов социального страхования, — данные, считающиеся наиболее важными.

Чего хотели GhostShell? Они утверждают, что поводом для их «кампании» стали «(завышенная) плата за обучение, политические пристрастия, жёсткие правила обучения и неясные перспективы выпускников на трудоустройство». В общем, боролись за народное благо… путём SQL-инжекций.

Потом было много споров по поводу того, насколько действительно могла кому-то навредить эта утечка данных, но факт самой утечки остаётся фактом.

Таким же фактом является взлом одного сервера Университета штата Миссисипи, где в результате действий (предположительно) хакера Gevolus из группировки Brazilian Cyber Army в Сети утекли пароли, почтовые и электронные адреса более 500 студентов и преподавателей, а также информация о приёме учащихся.

msuniver

По-видимому, Gevolus не более чем демонстрировал свои незаурядные способности, потому что никакого рационального содержания в его действиях не просматривается.

А вот, например, трое ушлых студиозусов Университета Пердью, проникникшие на серверы alma mater, действовали со вполне рациональными намерениями: поправляли себе оценки. Причём дошло до смешного: один как-то раз переправил себе А на А+ (примерно как к пятёрке пририсовать ещё и плюс), не говоря уж о каких-то низких баллах.

При этом на серверы они проникли совсем уж оригинальным способом — подсунули преподавателям, имеющим полномочия на доступ, клавиатуры, идентичные тем, которыми те пользовались, но — с аппаратными кейлоггерами. Говорят, хитрость — разновидность ума, однако тут студентам не хватило мозгов на то, чтобы честно заработать высокие баллы по изучаемым дисциплинам, зато хватило хитрости, чтобы использовать кейлоггеры… И не хватило ума толком замести следы: после нескольких месяцев расследования двое затейников оказались арестованы, а третьего поймать не могут, поскольку он уехал на родину в Японию.

Ну, и наконец, хороший пример, как метко наведённая DDoS-атака наносит больше косвенного ущерба, нежели прямого: в мае 2013 года на один сервер в образовательном округе Chico Unified School District был осуществлён DDoS, для которого использовались компьютеры в Китае, США и Европе. Атака была достаточно мощной, но главная проблема заключалась в том, что тем же интернет-каналом пользовались ещё несколько госучреждений, в результате лишившихся доступ в Сеть минимум на три дня. Администраторы CUSD сменили веб-адрес и задействовали более широкий интернет-канал, но это помогло лишь на время: атаки возобновились. По всей видимости, серверы в итоге перенесли в защищённую от DDoS-атак инфраструктуру. Вопрос же, кто это сделал, остался открытым. В конечном счёте, в интернете немало инструкций, как устроить атаку, и предложений арендовать соответствующие мощности для неё. Так что любой школьник, затаивший обиду, мог попытаться свести счёты таким образом.

Итого: вирусы, взломы, внутренние диверсии, DDoS-атаки — все неприятности, с которыми сталкивались и продолжают сталкиваться коммерческие компании и госучреждения, постигают и образовательную сферу. При этом, судя по вышеприведённым историям последнего времени как раз с информационной защитой дела там обстоят неважно. Да, от хитроушлых двоечников, которые подсовывают профессорам клавиатуры с «жучками», мало что может помочь. А вот от вирусов и червей, равно как и от эксплуатации уязвимостей в серверном ПО, средства имеются :-) Просто на них, похоже, предпочитают экономить.

…На социальном ресурсе Reddit чуть менее года назад появилась обширная запись от молодого системного администратора, студента, которому после отбытия его прежнего руководителя препоручили управление инфраструктурой небольшой (и весьма небогатой) школы в США. Судя по описанию автора, инфраструктура эта была чем-то вроде одеяла, сшитого из разноцветных кусков ветоши.

Так, навскидку: несколько десятков компьютеров на базе домашних версий Windows XP и, в лучшем случае, Vista; некоторым десктопам — десять лет в обед; у всех — локальные администраторские права; два «сервера» представляют собой виртуальные машины CentOS, обе — на базе одного и того же десктопа Dell — автор пытался убедить начальство переехать на Google Drive, но только не пользоваться вот этим. Ну, а самое главное — никакого резервного копирования, потому что прежний системный администратор был, что называется, приходящим и все копии хранил у себя в собственном офисе (который располагался не на территории школы). При этом администрация школы всерьёз раздумывала над тем, а не внедрить ли у себя BYOD…

Прочитав весь постинг, половина комментаторов настойчиво рекомендовала его автору рвать оттуда когти, да побыстрее, пока что-нибудь не рухнуло, а его не сделали крайним.

minefield

Впрочем, другая половина комментаторов давала компетентные и иногда вдобавок крайне юморные рекомендации, что тут можно — и нужно — и срочно нужно! — сделать.

Один из комментаторов отметил, что за последние три года ему уже раз двадцать приходилось «выкапывать школы из похожих ситуаций». Если это правда, то причины, по которым образовательные учреждения в США так часто испытывают проблемы с защитой своих данных и инфраструктуры, оказываются легко объяснимы.