Uczelniany hacking
Wiedza 3 lutego 2017 Krzysztof Sadecki
Uniwersytety, uczelnie oraz inne instytucje szkolnictwa wyższego zawierają mnóstwo bardzo ciekawych informacji. Informacjami tymi mogą być numery kart kredytowych, numery kont, adresy e-mail, dokumentacja medyczna i uczelniana, wiele rekordów związanych z personelem uczelni, informacje na temat komunikacji student-pracownik, ewidencji bibliotecznych, rejestry własności intelektualnej. Jednocześnie te systemy są przeznaczone do przechowywania oraz udostępniania danych, natomiast są zupełnie nieprzystosowane do ochrony przed atakami cyberprzestępców.
W rezultacie systemy IT uczelni wyższych są ulubionym celem hakerów.
Oczywiście każdy cyberatak może mieć tragiczne konsekwencje dla danej instytucji. Haker przede wszystkich chce się włamać, niekoniecznie chce coś ukraść i za swoje czyny nie zapłaci zbyt dużej ceny. Natomiast w przypadku instytucji szkody mogą iść w miliony złotych, nie mówiąc już o doszczętnie zniszczonej reputacji.
Dlaczego hakerzy kierują się do systemów akademickich?
Badanie instytucji SANS informuje nas wszystkich, że mniej niż połowa szkół ma tak naprawdę wprowadzoną ocenę ryzyka oraz program przeciwdziałania incydentom. Sieci uczelniane są bardzo często narażone na ataki internetowe, ponieważ są to głównie sieci otwarte, które posiadają wiele punktów dostępowych. Dodatkowo uniwersytety nie potrafią skutecznie przeciwdziałać pishingowi oraz innym oszustwom. Cyberprzestępcy tak naprawdę nie marnują czasu i wykorzystują wszystkie możliwe luki.
Najbardziej niepokojące w tym wszystkim jest to, że wiele ataków przechodzi niezauważenie. Naruszenie bezpieczeństwa stanowi tak naprawdę stałe zagrożenie, ale wielu wydziałom IT przy uniwersytetach brakuje zasobów, aby móc stale monitorować poziom bezpieczeństwa oraz podjąć aktywne działania w celu zapewnienia bezpieczeństwa i integralności swoich baz danych.
Hakerzy zwykle mogą sprzedawać wszystkie te informacje w wielu ciemnych zakątkach internetu, wszędzie tam, gdzie informacje finansowe mają drugorzędne znaczenie, natomiast wszelkiego rodzaju dane osobowe stanowią gorący towar. Dodatkowo wiele uniwersytetów posiada programy partnerskie z firmami oraz organizacjami rządowymi, co czyni je podatne także na cyber-szpiegostwo.
Znane przypadki ze świata, a szczególnie ze Stanów Zjednoczonych
Na potrzeby tego artykułu zostały przejrzane dane z Educause Centter for Analysis and Research. Badania te wykazały, że od roku 2005 do 2014 roku zostało zgłoszone 562 naruszeń bezpieczeństwa w 324 placówkach na teranie USA.
To znaczy, że naruszenia bezpieczeństwa zdarzały się częściej niż raz na tydzień. Jednak z powodu niezgłaszania lub niewykrycia wszystkich incydentów, ich liczba jest prawdopodobnie kilkakrotnie razy większa. Co najfajniejsze, wśród wszystkich zgłoszonych naruszeń, 77 procent pochodziło z terytorium USA. W lutym 2014 zostało naruszone bezpieczeństwo University of Maryland, co spowodowało kradzież rekordów ponad 300 tysięcy wykładowców, studentów oraz pracowników. W maju 2014 roku ofiarą cyberprzestępców padł Butler University, a ukradzionych zostało 163 tysiące rekordów. Na Weber University student Joseph W. Langford został oskarżony o naruszenie bezpieczeństwa informatycznego. Prawdziwe rozmiary kradzieży nie są znane.
Główne luki w zabezpieczeniach uczelni wyższych
Fakty są takie, że systemy informatyczne uczelni wyższych są wylęgarnią incydentów informatycznych i placem zabaw dla hakerów. Teraz zostaną omówione główne słabości sieci akademickich, jakie zwiększają szansę na infiltrację sieci uczelnianych.
Po pierwsze na uczelniach obowiązują słabe praktyki, jeśli mówimy o sposobie generowania haseł. Tak naprawdę słabość ta jest w czołówce ataków na uczelnie wyższe, a to wszystko z powodu złych praktyk generowania haseł. Pracownicy uczelni wyższych oraz studenci nie rozumieją ryzyka, jakie niesie za sobą ponowne wykorzystanie tego samego hasła do wszystkich usług informatycznych. Bardzo często używają tego samego hasła na portalach internetowych, sieciach społecznościowych lub dla innych adresów e-mail. Bardzo często także mają podobne pytania jeśli chodzi o przypominanie hasła. Może być tak, że samo złamanie hasła może być bardzo trudne dla hakera, ale odpowiedź na pytanie zawarte w przypomnieniu hasła może ich nasunąć na odpowiedni trop.
Większość studentów oraz wykładowców posiada niewystarczającą wiedzę na temat ataków pishingowych. Tak naprawdę zmorą ostatnich lat są różne dziwne wiadomości e-mail. Hakerzy mogą wysyłać Ci wiadomości e-mail, aby dowiedzieć się, jak się nazywasz oraz zebrać informacje z sieci społecznościowych, jakie publikujesz na swój temat. Dodatkowo studenci oraz pracownicy mogą stać się ofiarami e-maili, które zawierają złośliwe linki oraz załączniki, służące hakerom do zarażania pojedynczego komputera lub całej sieci złośliwym oprogramowaniem. Jeśli uda się to hakerowi, może uruchomić większy atak, na przykład DDOS – Distributed Denial Of Service.
Kolejnym ważnym czynnikiem ryzyka jest ryzyko związane z BYOD. Tak naprawdę wyższe uczelnie są rajem dla wszelkiego rodzaju urządzeń. Studenci przynoszą różne urządzenia, takie jak telefony, tablety, smartfony lub inne urządzenia, jakie można podłączyć do sieci uczelnianej. Pracownicy robią to samo ze swoimi urządzeniami prywatnymi. Urządzenia te są bardzo łatwym celem dla hakerów, ponieważ nie są aż tak zabezpieczone jak centra danych lub osobiste laptopy. Na czarnym rynku oprogramowanie do masowego łamania urządzeń mobilnych kosztuje całe 79 dolarów. Ponadto hakerzy mogą wyciągać informacje za pośrednictwem złośliwych aplikacji i niebezpiecznych przeglądarek internetowych, instalowanych na smartfonach.
Kolejnym ryzykiem, jakie powinno być wzięte pod uwagę jest słaba polityka bezpieczeństwa. Wszyscy możemy się zgodzić, że otwarty dostęp do sieci uczelnianych jest naprawdę super, ale może on spowodować wiele nieoczekiwanych konsekwencji. Należy pamiętać, że zainstalowanie oprogramowania antywirusowego lub zapory sieciowej nie sprawi tak naprawdę, że sieci i systemy komputerowe będą z dnia na dzień coraz bardziej bezpieczne. Wystarczy jeden wykradziony dysk twardy lub urządzenie USB, aby zdarzył się incydent, kosztujący uczelnie miliony złotych. Dodatkowo bardzo często studenci podłączają swoje urządzenia do niezabezpieczonych sieci WiFi w pobliżu miejscowych uczelni.
Szablon akceptowalnego użycia sieci
Specjalnie dla uczelni wyższych opracowaliśmy szablon zasad, który obejmuje wszystkie zasady i zastosowanie środków bezpieczeństwa, jakie są niezbędne do wzmocnienia bezpieczeństwa uniwersyteckich systemów informatycznych. Nazwijmy go sobie AUP – Accetable Use Policy. Zauważcie, że w tym przypadku zarówno studenci, jak i pracownicy oraz wykładowcy mają istotną rolę, którą muszą dokładnie odegrać.
AUP dla studentów
Unikaj życia społecznościowego. Social media są bardzo dobre do interakcji z przyjaciółmi i rodziną, ale nie powinniście się nadmiernie angażować w sieci społecznościowej. Spójrzcie w ustawienia swoich sieci społecznościowych oraz skonfigurujcie je tak, że ustalicie osoby, jakie widzą wasze zdjęcia, filmy i informacje publiczne.
Ustal limit działań, jakie podejmujesz w otwartej sieci WiFi. Bezpłatny dostęp do internetu jest błogosławieństwem. Ale nawet jeśli sieć uniwersytecka jest chroniona hasłem, to i tak możecie być w tej samej sieci co hakerzy. A więc powinniście ograniczać dostęp do rachunków finansowych i innych newralgicznych punktów, a jeśli już musicie z nich korzystać, używajcie systemów VPN.
Przeglądaj wiadomości, jakie przychodzą Ci na adres e-mail. Wasze uczelniane konta e-mail są tak naprawdę centrum waszego życia akademickiego. Niestety konta e-mail są także pożywką dla hakerów. Możecie otrzymywać wiadomości e-mail zawierające szkodliwe linki lub załączniki, które przekierują Was na strony pod kontrolą hakerów. Każdą wiadomość e-mail należy czytać bardzo uważnie, aby uniknąć na przykład przypadków bezpośredniego logowania na strony hakerów.
Chroń swoje hasła. Jeśli mówimy o ochronie haseł, mamy na myśli tworzenie silnych, unikatowych haseł, jakie są znane tylko i wyłącznie Wam. Koniecznie musicie się nauczyć korzystać z menedżerów haseł w celu centralizacji zarządzania hasłami. Odnajdźcie swojego ulubionego menedżera haseł i zainstalujcie go na wszystkich swoich urządzeniach mobilnych.
Koniecznie naucz się blokować swoje urządzenie. Czy wiecie w jaki sposób zabezpieczyć urządzenie? Zarówno cyfrowo jak i fizycznie? Podczas gdy coraz więcej uczelni przykłada ogromną wagę do bezpieczeństwa cyfrowego, to i tak nie jest w stanie wychować swoich studentów w poczuciu znaczenia fizycznego zabezpieczenia urządzeń. Większość urządzeń, w tym laptopy oraz tablety zostały zaprojektowane z myślą o fizycznym zabezpieczeniu. To właśnie zabezpieczenie fizyczne sprawia, że Wasze urządzenia przestają być atrakcyjnym celem dla złodzieji.
AUP dla pracowników i wykładowców
Oczywiście wykładowcy oraz pracownicy uczelni wyższych także powinni przestrzegać wszystkich wymienionych wyżej zaleceń, ponieważ także są podatni na tego typu zagrożenia. Ale pracownicy mogą zrobić o wiele więcej niż studenci. Poniżej znajduje się lista przykazań, jakich powinni przestrzegać.
Koniecznie twórz kopie zapasowe. Bardzo dobrą praktyką jest tworzenie kopii zapasowych wszystkich danych, jakie są zapisane w sieci uniwersyteckiej. Mimo że większość ataków ma na celu kradzież danych lub informacji, to jednocześnie należy liczyć się z tym, że trzeba posiadać szybki sposób odzyskania skasowanych danych. Kopie zapasowe można tworzyć poprzez zapisywanie informacji w chmurze obliczeniowej, na dysku twardym komputera oraz na innych nośnikach wymiennych, takich jak dyski flash lub DVD.
Koniecznie aktualizuj oprogramowanie. Zobaczcie, że robaki, malware, trojany i wirusy komputerowe to także częste sposoby działania cyberprzestępców, mające na celu uzyskanie dostępu do poufnych informacji. Upewnijcie się, że wasze systemy są chronione przez auto-aktualizowane oprogramowanie. Aktualizacje oprogramowania zawierają zwykle wszystkie istotne ulepszenia i poprawki, mające na celu podniesienie bezpieczeństwa systemów informatycznych, dlatego bardzo ważne jest to, żeby się aktualizowały automatycznie.
Naucz się bezpiecznie usuwać dane. Podczas przenoszenia komputerów z jednego miejsca na drugie lub przekazując sprzęt do innych organizacji, należy się koniecznie upewnić, czy wszystkie newralgiczne dane zostały rzeczywiście usunięte. Uważajcie, usuniecie plików niekoniecznie oznacza usunięcie danych. Personel i pracownicy naukowi mogą zwykle korzystać za darmo z dobrego oprogramowania do usuwania danych z urządzeń.
Koniecznie stwórz narzędzie do rejestrowania urządzeń. Na portalach internetowych większości uczelni, zarówno pracownicy jak i wykładowcy oraz studenci mogą zarejestrować swój prywatny sprzęt. Sprzęt ten jest potem także rejestrowany przez prywatną firmę ochroniarską. Zaletą z rejestracji jest to, że jeżeli wasz sprzęt zostanie skradziony lub zagubiony, zewnętrzny zespół bezpieczeństwa jest w stanie wykryć złodzieja w momencie kiedy ponownie połączą się z siecią. Studenci powinni być oczywiście przeszkoleni z korzyści, jakie niesie za sobą rejestracja urządzeń.
Koniecznie zaplanuj politykę łagodzenia incydentów bezpieczeństwa. Chociaż wszyscy wiemy, w jaki sposób można zapobiegać atakom cybernetycznym, to i tak czasami się wydarzają złe rzeczy. Najlepszą rzeczą jaką można zrobić, to dogadanie się z zewnętrzną firmą ochroniarską, która jest w stanie wykrywać zagrożenia. Zakres odpowiedzialności tych firm powinien także obejmowac obowiązek ochrony polityki bezpieczeństwa.
Wnioski
Jak sami widzicie, zmienia się cel ataków cyberprzestępców. Kiedyś ich głównym celem były pieniądze, natomiast obecnie są to głównie dane osobowe. Uczelnie i szkoły wyższe są kopalnią danych osobowych, a więc powinny wdrożyć szablon zasad bezpieczeństwa, jaki będzie akceptowalny dla wszystkich i jaki będzie miał na celu ochronę własności uczelni oraz studentów.
Read it in english version: http://www.businessmantoday.us/university-hacking/