Z 13522 szkół i jednostek oświatowych, które pod lupę wziął CERT Polska aż 12771, tj. 94 proc. nie posiada poprawnie skonfigurowanych mechanizmów pozwalających na ochronę przed podszywaniem się pod adresy email w ich domenach – to jeden z wniosków badania dotyczącego stanu bezpieczeństwa stron internetowych placówek oświatowych w Polsce.
CERT Polska przeanalizował ponad 20 tys. stron. Większość z nich to szkoły i przedszkola, ale analizą objęto też placówki takie jak poradnie psychologiczno-pedagogiczne czy ośrodki szkolno-wychowawcze. W trakcie badania zespół CERT Polska zarejestrował 44 039 poważnych błędów, które mogły skutkować krytycznymi problemami bezpieczeństwa, takimi jak utrata poufności lub dostępności. Informacja o wykrytych podatnościach wraz z niezbędnymi rekomendacjami została przekazana administratorom danych stron.
Liczba przebadanych instytucji gdzie zidentyfikowano przynajmniej jeden błąd poważny to 4 824. Informacja o wykrytych podatnościach wraz z niezbędnymi rekomendacjami została przekazana administratorom. Szkoły, które sygnalizowały taką potrzebę, otrzymały też wsparcie w usunięciu błędów.
Nie każda placówka decyduje się na samodzielną rejestrację własnej domeny. Jak podkreślają eksperci CERT Polska, bardzo często korzystają z gotowych rozwiązań przeznaczonych dla szkół, utrzymywanych w obrębie jednego dostawcy. Częstą praktyką jest utrzymywanie stron w ramach dedykowanej platformy dla szkół, grupujących strony pod jedną domeną.
– W momencie, gdy wszystkie usługi na serwerze są na bieżąco aktualizowane, a strona ma jedynie formę reprezentacyjną, taka scentralizowana forma może przynieść korzyści, ponieważ administratorzy stron w poszczególnych szkołach nie muszą pamiętać np. o koniecznych aktualizacjach – wyjaśnia kierownik CERT Polska Przemysław Jaroszewski. – Z drugiej strony, gdy z tego samego serwera korzysta wielu przypadkowych klientów, a nie każdy z nich jednakowo dba o bezpieczeństwo, włamanie do jednego z nich grozi przejęciem pozostałych stron. Przyjęte przez Instytucje podejście powinno wynikać z analizy potrzeb a także uwzględnienia ryzyk związanych z danym podejściem – dodaje.
Popularnością wśród autorów szkolnych stron cieszą się gotowe systemy do zarządzania treścią (CMS). Najczęściej spotykane są Wordpress i Joomla. Sprawdzając wykorzystanie tych dwóch najpopularniejszych eksperci zaobserwowali, że niestety wiele placówek nie dba o bieżącą aktualizację tych systemów, co niesie ze sobą ryzyko nieuprawnionej ingerencji w zawartość strony.
– Aktualizacje są konieczne, ponieważ zawierają poprawki, likwidujące znane luki w zabezpieczeniach. Stare wersje systemu mogą umożliwić osobom postronnym zmianę treści na stronie a nawet umieszczenie na niej złośliwego oprogramowania, które będzie infekowało komputery osób, odwiedzających stronę – podkreśla Przemysław Jaroszewski.
Zagadnienia podlegające sprawdzeniu przez ekspertów to przede wszystkim: dostępność i uzasadnienie usług dostępnych na portach, dostępność i poprawność certyfikatów TLS, system zarządzania treścią strony a także jego wersja, wrażliwe pliki pozostawione na serwerze, poprawność konfiguracji serwerów pocztowych a także DNS. Pozyskane wyniki pokazały, że część z odnalezionych problemów mogła skutkować poważnymi incydentami bezpieczeństwa, takimi jak wyciek danych uczniów lub utrata dostępności do zasobów. Eksperci podkreślili też konieczność aktualizowania danych abonenta w rejestrze domen.
W przypadku znacznej części szkół badanie dostępnych ścieżek ujawniło publiczny dostęp do panelu administracyjnego CMS-a lub bazy danych (np. phpmyadmin). Samo w sobie nie jest to traktowane jako podatność, ale znacznie zwiększa powierzchnię ataku oraz ułatwia eskalację, np. w przypadku uzyskania poświadczeń administracyjnych.
Z przeprowadzonych badań wyłonił się szereg problemów mogących mieć wpływ na cyberbezpieczeństwo stron placówek oświatowych. Dlatego CERT Polska przedstawił kilka podstawowych rekomendacje, które pozwalają niskim nakładem pracy wyeliminować większość z napotkanych problemów:
- Regularnie aktualizować systemy zarządzania treścią, ich wtyczki oraz skórki. Jeśli stron nie jest oparta o tego typu system, aktualizować jej komponenty, jak np. biblioteki javascript.
- Sprawdzić konfigurację i aktualność wykorzystywanych usług, w szczególności serwerów pocztowych i DNS.
- Zadbać o poprawne wystawienie i ważność certyfikatów. Konfigurować automatyczne przekierowanie strony z protokołu http na https.
- Zwracać szczególną uwagę na pliki wystawione publicznie (przez serwer HTTP czy FTP), zwłaszcza na to, czy nie zawierają wrażliwych informacji, takich jak dane osobowe czy dane logowania.
- Uczulić wszystkie osoby, mające dostęp do wprowadzania zmian na stronie, na używanie silnych haseł.
- Zapewnić odpowiednią izolację usług od Internetu i nie pozwalać na dostęp z zewnątrz do usług, do których nie jest to niezbędne (np. baz danych).
- Zadbać o poprawną konfigurację mechanizmów chroniących przed podszywaniem się pod domenę przy wysyłce maili (SPF, DMARC, DKIM).
- Zadbać o poprawność i aktualność danych w rejestrze domen.