S Lubošem Pavlíčkem z oddělení síťové infrastruktury (OSI) jsme se bavili o situaci zneužití hesel do studijního systému InSIS, podrobnostech útoku a protiopatřeních, které škola zavedla.
Jak jste na útočníka přišli?
Na základě upozornění od uživatelů jsme začali procházet logy. Tím jsme zjistili, že se to týká i dalších řádově stovek uživatelů.
Po jakou dobu útočník na vysoké škole působil?
S největší pravděpodobností tu byl i minulý semestr. Co jsem procházel, tak tu alespoň párkrát byl, a odchytával hesla. Jestli tato situace nastala i dříve, nemohu říci. Hlavně nemáme logy za x roků dozadu. Ani nemáme zákonnou povinnost ukládat logy o síťovém provozu. Doporučení je šest měsíců. V tomto okamžiku máme logy od ledna.
Přístupové údaje získal i k soukromým e-mailům?
Ano, mohlo to být i do jejich mailů, ale nemám možnost to zkontrolovat.
Od uživatelů žádné informace nemáte?
Ne. Tím, že znal hesla do studijního systému, tak se dostal do mailu, co mají ve studijním systému. Tam se také v případě některých uživatelů pohyboval. A musím potvrdit, že v některých případech si nechal poslat resetovací heslo z Facebooku, přečetl si ho tady ve škole a mail smazal.
Už jste informovali všechny uživatele, kterých se to týká?
Informovali jsme všechny, o kterých víme, že se na ně přihlásil teď na podzim. Zkoušíme zjišťovat, od kterých uživatelů získal přístup do bezdrátové sítě. Předpokládám, že dnes by měli být informováni. Logy z minulých semestrů InSISu jsme prošli a uživatele informovali.
Uživatelům doporučujeme, aby si promazávali bezdrátové sítě, které nepoužívají. Tuto metodu útočník používal také
Zasáhl útok i zaměstnance školy?
Mnoho zaměstnanců má školní notebooky. Ty jsou nastavené od nás z výpočetního centra. Tam riziko nehrozí. Někteří zaměstnanci ale nosí soukromý notebook. Narazili jsme na zneužití u pár doktorandů, co současně učí.
Mohl se útočník dostat i do dalších systémů školy?
Teoreticky mohl, ale nenašli jsme žádné zneužití přihlášení do ekonomického, kolejního systému nebo do knihovny.
Je znám už motiv útočníka?
Vůbec. My se můžeme maximálně dohadovat, ale to by byly spekulace. Na základě chování, co tady ve škole dělal, nemohu na motiv přijít.
Takže finanční obohacení vylučujete.
Ano, nic nenasvědčuje, že by se přihlašoval k bankovním účtům, či získané informace prodával. Ve studijním systému v podstatě nic neměnil, pokud vynecháme to, že pár uživatelům smazal mail s resetovacím heslem na Facebook. Samozřejmě u uživatelů zjišťoval informace, jaký mají rozvrh, jakou mají fotku ve studijním systému, na jaké chodí předměty, jaké předměty vystudovali nebo jaké mají známky. To znamená osobní informace. Co by s nimi dělal, to si nedokážu rozumně vysvětlit.
Působil útočník i na jiných vysokých školách v Praze?
Nevím, ale existují indicie, že ano.
O jaké školy se jedná?
V tomto okamžiku to nemohu říct, protože nevím, jestli na těch školách provedli patřičná opatření.
Minulý týden byla jedna osoba identifikována. Nemáte informace, že by se mohlo jednat o více útočníků?
Identifikována byla jedna osoba, jestli působí skupina, to já nevím. Popravdě řečeno tu každý týden mohla chodit jiná osoba a minulý týden se identifikovala právě tato. Pokud je to více osob, určitě spolupracují.
Zavedli jste technická opatření na zabezpečení sítě. Jste nyní už schopni útočníka detekovat?
Jsme schopni zjistit, že tady někdo vysílá bezdrátovou síť. Samozřejmě je potřeba odlišit to, co dělá útočník od toho, že sem do školy přijde student a má na notebooku sdílení internetu. Pokud bude mít na notebooku nebo mobilu sdílení internetu, budeme se snažit dané osoby dohledat, aby to v prostorách školy nedělaly.
Jak rychlá je detekce?
Není v našich silách provádět neustálý monitoring. Z výpisů se o tom dozvíme v řádů hodin, realisticky druhý den. A i při detekování to není s přesností na metry, spíše na místnosti.
Jak správně nastavit konfiguraci pro eduroam:
Podrobné oficiální návody na webu oddělení síťové infrastruktury
| Windows 10 | 1. Stáhnout konfigurační program z https://cat.eduroam.org/?idp=642&profile=2314 2. Spustit stáhnutý program 3. V případě problémů systém Windows restartujte Podrobný návod na webu OSI |
| Windows 7 | 1. Postupovat dle návodu https://osi.vse.cz/eduroam/nastaveni-eduroam/eduroam-windows-7/ |
| Linux | 1. Stáhnout si skript z https://cat.eduroam.org/?idp=642&profile=2314 2. Otevřít terminál a přejít do složky se skriptem 3. Přidělit práva ke spuštění skriptu: chmod +x eduroam-linux-VsevP.sh (pokud název skriptu odpovídá) 4. Spustit skript: ./eduroam-linux-VsevP.sh |
| Android | 1. Stáhnout certifikát z https://eduroam.vse.cz/geotrust.crt. 2. Po stažení v zobrazeném dialogovém okně nastavit název certifikátu: geotrust, použití ověření: WiFi 3. V nastavení systému v sekci Wifi odebrat a znovu přidat síť eduroam 4. V dialogovém okně po kliknutí na připojení eduroam zakliknout ukázat pokročilé nastavení a vyplnit: metoda EAP na PEAP, ověření Phase 2 na MSCHAPV2, certifikát CA vybrat geotrust, indentita: uzivatelskejmeno@vse.cz a heslo Podrobný návod na webu OSI |
ČTĚTE TAKÉ:
Útočník sbíral hesla ve školní síti
