Badanie bezpieczeństwa stron placówek oświatowych

Data publikacji: 19/11/2020, CERT Polska

Zespół CERT Polska między 19 czerwca a 15 sierpnia 2020 przeprowadził nieinwazyjne badanie bezpieczeństwa stron placówek oświatowych. Badanie objęło 22 396 stron, stanowiących 17 911 unikalnych domen oraz 6602 unikalnych adresów IP. Większość z nich stanowiły szkoły podstawowe (6815), przedszkola (5272) oraz licea ogólnokształcące (1266). Listę stron do badania pozyskano z wykazu szkół i placówek oświatowych (stan z 20.05.2020).

W badaniu posłużono się otwartoźródłowym oprogramowaniem skanującym, skryptami własnymi, a także znanymi CERT Polska źródłami danych. Poza technicznymi aspektami funkcjonowania strony ocenie poddano dane rejestrowe a także rozkład w podziale na domeny najwyższego poziomu oraz niższych poziomów. Poza powyższym sprawdzono również:

    • Czy strona jest hostowana na serwerze wspólnie ze stronami innych placówek oświatowych
    • Otwarte porty i działające na nich usługi
    • Wykorzystywane systemy zarządzania treścią (CMS)
    • Znane podatności w wykorzystywanych wersjach systemu zarządzania treścią (Joomla, WordPress)
    • Wyszukiwanie ścieżek i plików w tzw. głębokim ukryciu, np. plików z kopią zapasową, plików konfiguracyjnych czy folderów z włączonym listingiem plików
    • Podatności w usługach działających na serwerze
    • Obecność i poprawność konfiguracji certyfikatów TLS
    • Poprawność konfiguracji baz MySQL
    • Poprawność konfiguracji FTP
    • Poprawność konfiguracji serwerów pocztowych
    • Poprawność konfiguracji DNS

Z przeprowadzonych badań wyłonił się szereg problemów mogących mieć wpływ na cyberbezpieczeństwo stron placówek oświatowych. Na kilku tysiącach stron wykryto przynajmniej jedną podatność o klasyfikacji wysokiej. Tylko 44% stron miało poprawnie skonfigurowany certyfikat TLS służący do szyfrowania połączenia, a aż 94% stron szkół nie posiadało poprawnie skonfigurowanych mechanizmów bezpieczeństwa pozwalających na ochronę przed podszywaniem się pod adresy email w ich domenach.
Ataki z wykorzystaniem znalezionych podatności mogły prowadzić do przechwycenia danych obecnych na serwerach, umieszczenia na stronach treści niepożądanych, czy w przypadku gdy strona była utrzymywana w obrębie sieci szkoły, włamanie do jej infrastruktury.

Dedykowany działaniu zespół w sposób ciągły informował właściwych administratorów o zidentyfikowanych błędach poważnych. Łącznie, przynajmniej jeden błąd poważny odnaleziono na 4 824 stronach. Wszystkie przypadki błędów niższej kategorii a także zalecenia dotyczące stosowanych przez organizacje praktyk, zostały zebrane i przekazane w dokumencie podsumowującym całościowe sprawdzenie.

Badanie poza konkretnymi przykładami obecności błędów pozwoliło w sposób kompleksowy określić obszary, w których administratorzy stron (nie tylko placówek oświatowych) najczęściej popełniają błędy. Na tej podstawie Zespół CERT Polska, w podsumowaniu badania, przygotował zestaw zaleceń, z którego może skorzystać każdy administrujący stroną w internecie.
Badanie bezpieczeństwa stron internetowych placówek oświatowych zostało wykonane w ramach obowiązków zespołu CSIRT NASK, wynikających z ustawy o Krajowym Systemie Cyberbezpieczeństwa i częściowo sfinansowane z dotacji podmiotowej z części budżetu państwa, której dysponentem jest minister właściwy do spraw informatyzacji.

Pełną treść raportu można pobrać z naszego działu z publikacjami.