Цифровизация в вузах: удобный сервис или ахиллесова пята образовательного процесса?
Взламывали ли студенты из СНГ электронные системы своих вузов?
Самое короткое время, за которое взламывали электронную систему вузов?
Какие самые слабые места электронных систем вузов?
Как технологические вузы защищают свои информационные системы от студентов?
Насколько безопасно использовать «Мобильный университет»?
6
вопросов
Взлом вместо шпаргалки
В 2013-м году студент Вильнюсского университета взломал систему вуза и исправлял оценки всем желающим за деньги. Были ли такие случаи в России и как университеты защищают свои базы данных — в нашем материале.
Цифровизация в вузах: удобный сервис или ахиллесова пята образовательного процесса?

Если говорить кратко, цифровизация в вузах — это  удобно и необходимо, но небезопасно.

В системе Министерства образования и науки ежедневно происходят 10-15 критических инцидентов информационной безопасности. По данным Университета Иннополис, в I квартале 2017 года в контролируемом нами сегменте сети Минобрнауки РФ (примерно 55 000 типовых автоматизированных рабочих мест) из 137 873 416 событий информационной безопасности было выявлено 98 значимых инцидентов.

Для справки: событие информационной безопасности — это идентифицированное появление определённого состояния системы, сети или сервиса, указывающее на возможное нарушение политики информационной безопасности. Например, отказ защитных мер или возникновение неизвестной ранее ситуации.

Инцидент компьютерной безопасности — появление одного (или нескольких) нежелательных событий информационной безопасности, приводящих к появлению угрозы информационной безопасности. Например, изменение данных о сотрудниках и успеваемости студентов в хранилищах данных вузов.

По сравнению с предыдущим отчетным периодом (IV квартал 2016 года) сейчас идет рост сканирований и попыток подбора паролей к различным информационным системам организации. Кроме того, заметно увеличилась активность вредоносного программного обеспечения.

При этом надо понимать, что технологическую эволюцию не остановить и от цифровизации в области образования не отказаться.

28 июля 2017 года Правительством РФ была утверждена государственная программа «Цифровая экономика». В ней прописано, что к 2024 году Россия должна выпускать 120 000 специалистов в год с высшим образованием в области информационно-телекоммуникационных технологий, 800 000 выпускников высшего и среднего профессионального образования, обладающих компетенциями в области информационных технологий на среднемировом уровне, а доля населения, обладающего цифровыми навыками, должна увеличиться до 40%.

Взламывали ли студенты из СНГ электронные системы своих вузов?

Взламывали, и не раз. В 2012 году один из абитуриентов Открытого университета Сколково путем несложных манипуляций получил полный доступ к исходным кодам, материалам, заявкам на поступление и базам данных сразу 5 сайтов университета. В корыстных целях взломщик это не использовал, а сразу сообщил службе поддержки ресурса, указав на слабые места системы безопасности. Ими оказались: 1) хранение в базах данных паролей в незашифрованном виде; 2) возможность зайти на 5 сайтов под одним пользователем; 3) слишком простой исходный код и плохо сгенерированная капча (картинка, по которой система определяет, что вход совершает человек, а не робот). После обращения хакера служба безопасности ошибки исправила.

В 2015 году студентам удалось взломать автоматизированные информационные системы сразу четырех казахстанских вузов. В Евразийском национальном университете им. Л. Н. Гумилева хакер смог авторизоваться в системе как администратор и получить 173 000 логинов и паролей студентов. В Казахском агротехническом университете им. С. Сейфуллина взломщики во вкладке «Заявление абитуриента» залили файл с исполняемым расширением, и с помощью него получили доступ ко всем базам данных сервера. В Казахстанско-Британском техническом университете методом «брутфорса» — то есть поиска и взлома пароля путем перебора всех теоретически возможных вариантов — студентам удалось войти в систему и изменить оценки в электронных ведомостях. Как писал сам взломщик, это стало возможным из-за недостаточной надежности паролей преподавателей — они состояли только из 4 цифр — и отсутствия ограничений по количеству попыток авторизации, подбирать пароль можно было сколько угодно раз. Войдя в систему как преподаватель, хакер смог изменить оценки 400 студентов в электронных ведомостях. Правда, за это юношу ждало наказание — его отчислили из университета без права на восстановление.

Самое короткое время, за которое взламывали электронную систему вузов?

10 секунд. Это был сайт вуза на платформе Ruby On Rails (раньше на ней разрабатывали Twitter). В открытом доступе в интернете появился так называемый «эксплойт» — программа, которая позволяла выявить уязвимость платформы и использовать ее для взлома. Можно было просто скачать эксплойт, ввести цель — «сайт универа» и получить доступ к системе. Сейчас, конечно, эту уязвимость исправили, но появляются  новые эксплойты, которые также позволяют взломать систему за 10 секунд. За последние 5 лет их количество только увеличилось.

Какие самые слабые места электронных систем вузов?

Если электронная система сделана «на коленке», разработчики часто не учитывают элементарных вещей. Например, при электронном тестировании ответы на вопросы передаются на ту сторону, которая должна на эти вопросы отвечать. Тестирование проходит через программу, у которой на жестком диске лежит файлик, где хранятся и вопросы и ответы. Наивно думать, что никто его не найдёт, не изучит и не расшифрует. Аналогично в случае, если на машину тестирования вопросы и ответы передаются по сети и грузятся в память процесса. Это ошибка проектирования системы. На компьютер, где проходит тестирование, должны приходить только вопросы. А полученные ответы должны отправляться в некий условный «черный ящик», на сервер, и там уже интерпретироваться. Еще одна «детская» ошибка разработчиков – когда при ответе на тест, система сразу сообщает студенту, правильный он выбрал вариант или нет. Конечно, исправить ответ уже нельзя, но в любом случае это — полезная информация. Особенно если вопросы тестов для всех одинаковые.

У нас была не настолько накопленная система, но и мы находили решения. Ведь бывают тренировочные тесты, и вопросы на них должны отличаться от боевых тестов, иначе можно получить всю базу вопросов перебором вариантов — специальная программа дает тренировочный тест, и если случайно получает 100 баллов, то запоминает ответ. То же самое касается вопросов для основной сдачи и пересдач. Мы в таких случаях использовали так называемых «смертников». Это ребята которые, совершенно не готовясь, приходили писать тест и на выходе уже знали, какие там были вопросы. У нас было несколько попыток сдачи в течение короткого срока, можно было использовать свои попытки в любые дни. Помимо «смертников» были ещё нужны «ботаны», которые за ночь между попытками подготавливали ответы к добытым вопросам. Потом все это распространялось среди студентов и все сдавали «на ура». «Смертники» потом шли на пересдачу, а «ботаны» сдавали с первой попытки во второй экзаменационный день.

Для автоматизации сбора вопросов и ответов на желаемое количество баллов (некоторые сознательно хотели «четверку», чтобы не выглядеть подозрительно) шли в ход всевозможные технические средства, разработанные студентами. Это были и внешние сервера, маскирующиеся под правильный, и плагины для браузеров, и даже небольшой троянский модуль, основанный на курсовой работе моего приятеля. Всё это стало возможно благодаря ещё одному фактору — информационная система существует не сама по себе, но в некотором окружении, а окружение это выстраивают сотрудники факультета, а не разработчики системы тестирования. И если какая-то лазейка для «притаскиванияя» своего инструментария осталась, её обязательно найдут. Одному из прошлых курсов перекрыли доступ в интернет, и они разместили всё необходимое в локальной сети факультета. У нас был перекрыт доступ в интернет, память компьютера полностью обнулялась после каждого сданного теста, были заблокированы USB-порты, а мы умудрились протащить всё необходимое на дискетах.

И, конечно, социальную инженерию тоже никто не отменял. Система может быть суперзащищенной, но ее используют люди, которые недостаточно бдительны. У нас был случай, когда студенты просто пришли к администратору с просьбой посмотреть оценки в системе. Чтобы войти в нее, администратор должен был ввести логин и пароль на своем компьютере, но для быстроты сделал это на компьютере студента. Администратор не знал, что студент заранее поставил себе на компьютер кейлоггер (вирус, перехватывающий нажатия клавиатуры), и ребята получили администраторский доступ к системе, которым пользовались 2 года. Все это время администратор пароль не менял.

Как технологические вузы защищают свои информационные системы от студентов?

В университете Иннополис мы используем комплексную эшелонированную защиту информационной системы. Это и сетевые и хостовые IDS, межсетевые экраны и маршрутизаторы, различные сетевые устройства и датчики, сканеры защищенности, антивирусные решения, обманные системы или ловушки (honeypot). Последние как раз и помогают вычислить студента, который пытается взломать систему. Происходит это так: на сервере помещается псевдорабочий скрипт, который создает видимость полезного и функционального элемента. Как только хакер пытается его взломать, скрипт делает вид, что поддается. В это время вся система готовит контратаку на нарушителя.

На уровне отдельного АРМ следует использовать электронные замки и средства защиты от несанкционированного доступа (НСД), средства криптографической защиты информации (в том числе VPN, HSM, TPM, прозрачное шифрование колонок реляционных СУБД с учетными данными и данными об успеваемости студентов, средства защиты для NoSQL баз данных), антивирусные средства, межсетевые экраны и системы обнаружения вторжений (СОВ).

Насколько безопасно использовать «Мобильный университет»?

Некоторые университеты России и Европы при цифровизации выбирают путь так называемой «портальной мордочки» — объединяют все жизненно важные информационные системы вуза (систему управления образовательным процессом, систему электронного обучения, бухгалтерии и т.д.) под одним веб-интерфейсом и подключают к этой системе студентов. С точки зрения безопасности это рискованно. В некоторых случаях, взломав такую систему, «талантливый» студент в конце концов может получить доступ даже к финансовым данным вуза.

«Мобильный университет» — решение компании IBS для вузов — работает по-другому. Это платформа, содержащая MDM-функционал (управление мобильными устройствами/mobile device management), интеграционные механизмы, технические средства авторизации и ряд функциональных сервисов для конечных пользователей. Его сервер данных и сервер управления отделены от основного IT-ландшафта вуза, где расположены критически важные базы данных. Взаимодействие информационных систем университета происходит по защищенным протоколам и с использованием специальных программно-аппаратных средств защиты, например, криптошлюзов. Соответственно, студенты, преподаватели и администрация, общаясь посредством сервисов «Мобильного университета», не имеют возможности повлиять на основной IT-ландшафт и его целостность. Максимум, что можно сделать, взломав «Мобильный университет», это, к примеру, увидеть оценки других студентов или их переписку с преподавателем, подсмотреть отправленные работы или посещаемость, но изменить их как-либо не получится.

Представим, что с помощью нашего приложения преподаватель разослал какой-то тест или письменную работу. Студенты на занятии на мобильных устройствах его заполнили. Работы «улетели» преподавателю, он их проверил, одобрил и только тогда отправил оценки в основную IT-систему. В случае письменной работы преподаватель автоматически получит и отчет о результатах проверки работы системой антиплагиата. Причем в зависимости от компетенции и уровня оборудованности вуза педагог может послать оценку со своего устройства в электронную ведомость основной базы, а может по старинке перенести отметки на бумагу, передать в канцелярию, и уже там вручную сотрудники все введут в электронную систему. В любом случае, фиксация всех событий с привязкой к месту исключает фальсификацию.

Конечно, можно предположить, что некий студент-хакер сможет взломать криптошлюз, отделяющий систему сервисов «Мобильного университета» от информационных системы всего вуза и прочие средства защиты внутри вуза. Но если есть одаренный человек, который чувствует в себе потенциал и кураж осуществить взлом, и при этом умудрится избежать наказания, я думаю, что ему учиться дальше не надо — это готовый специалист по безопасности. Советуем ему сразу же направлять свои компетенции в нужное русло, не пытаясь добиться славы хакера. Интересная работа, достойная оплата и перспективы развития — гораздо более сильные мотиваторы, нежели проверка правоохранительных органов и судебной системы.

Что касается защиты основной IT-базы вуза, то в любом зрелом вузе есть служба информационной безопасности, которая должна следить за эксплуатацией ИСПДН (информационных систем обработки персональных данных). Должны работать системы предотвращения атак, антивирусы, фаерволы и т.д. Данная служба должна проводить аттестацию в контролирующих органах на предмет защиты как внешнего периметра, так и отдельных рабочих мест.