Nel corso degli anni si è sviluppato un settore nascosto, da forum di discussione a tutorial per hackerare il sistema informatico della scuola o dell’università e creare falsi certificati e diplomi che poi finiscono in vendita sul mercato nero. Abbiamo deciso di analizzare più a fondo questo argomento e capire cosa fanno scuole e università per proteggere se stessi e gli studenti.
Accesso ai voti
Molte scuole hanno introdotto piattaforme web per attività scolastiche, compiti, valutazioni, comunicazioni tra genitori e insegnanti etc. Certe piattaforme sono aperte su Internet e molte altre, anche tra quelle più utilizzate, sono vulnerabili.
Una delle piattaforme più diffuse è PowerSchool, nella quale è stata scoperta una vulnerabilità (CVE-2007-1044) che consentirebbe ai cybercriminali di creare un elenco del contenuto della cartella admin mediante un’URL creata ad hoc. Le conseguenze di questa vulnerabilità dipendono dalle impostazioni del server Web e dal contenuto della cartella.
In ogni caso, vulnerabilità ed exploit di questo tipo non consentono ai cybercriminali di bypassare l’autenticazione o di ottenere autorizzazioni per accedere alle informazioni di cui gli hacker hanno bisogno. Per fare ciò, esiste una via più diretta: utilizzare le credenziali degli account.
Il gateway di PowerSchool, come quello di molte altre piattaforme, è protetto da username e password.
Sembra che a marzo scorso, alcuni studenti siano riusciti ad hackerare PoweSchool per modificare i voti e il registro delle presenze. Poiché in molti riutilizzano le stesse credenziali di accesso su diversi siti, è molto probabile che questi portali siano stati hackerati “riciclando” o rubando account. Tali account possono essere ottenuti utilizzando diversi metodi, da prendere il post-it dalla tastiera dell’insegnante su cui aveva annotato le credenziali a un hackeraggio in piena regola, passando per la raccolta di credenziali d’accesso sulla rete della scuola o dell’università. In alternativa, gli studenti possono anche richiedere i servizi di un hacker sul mercato nero.
Servizi di hackeraggio e diploma falsificati sul mercato nero
Una ricerca online condotta il 12 giugno scorso ci ha portato a un’offerta di servizi di hackeraggio e anche di falsificazione di certificati, diplomi e lauree di un’istituzione a scelta dell’utente. Il procedimento è chiaro e semplice, con tanto di formulario d’ordine e di richiesta d’informazioni.
Migliorare la sicurezza nel campo dell’istruzione
Cosa possono fare scuole, università e anche datori di lavoro che vogliono ottenere prove sulla veridicità dei certificati accademici per essere sicuri che non si abbia a che fare con un documento falsificato?
Quando si tratta di certificati e diplomi, le aziende dovrebbero verificare la veridicità dell’istituto che emette il certificato. Se risulta che lo studente in questione non abbia ottenuto la certificazione, probabilmente si tratta di un falso.
Nel caso di sistemi di informazione Web, bisogna prendere alcune misure per proteggere studenti, staff e informazioni:
- Introducete, dove possibile, una qualche forma ti autenticazione a due fattori, in particolare quando si tratta di voti, valutazioni e registri. Impostate controlli di accesso robusti e adeguati, per evitare che gli hacker possano girovagare nel sistema a proprio piacimento;
- Nei campus meglio adottare due linee wireless separate e sicure, una per lo staff e una per gli studenti. Potrebbe far comodo anche una terza rete isolata per ospiti e visitatori;
- Impostate (e rafforzate) una politica di creazione delle password da far adottare allo staff, esortandoli a mantenere sempre riservate le proprie credenziali di accesso;
- Avvaletevi di una soluzione di sicurezza affidabile che vi protegga da una vasta gamma di minacce.