Učenje od doma ogroža našo (informacijsko) varnost

Zastoj javnega življenja, ki ga je povzročil korona virus je prinesel potrebo po uporabi tehnologij, ki omogočajo delo od doma in učenje na daljavo. Po prvem tednu prisilne uvedbe e-učenja, je ministrica za izobraževanje izjavila, da »izobraževanje na daljavo teče dobro, bolje od pričakovanega«, a kot kaže, se za lepo fasado skriva nekoliko bolj neprijetna realnost.

Številne šole so se e-izobraževanja lotile precej nepripravljene. Nekatere uporabljajo spletne učilnice Moodle, marsikatera pa gradiva objavlja kar na spletni strani, učenci pa z učitelji komunicirajo preko e-pošte. Posledica je velika zmeda, starši se pritožujejo, da se različne stvari nahajajo na več mestih in da sistem ni enoten, po nepotrebnem se izgublja energija. Nekateri za e-izobraževanje uporabljajo kar storitev eAsistent, komercialno rešitev podjetja eŠola d.o.o.

Pri tem je potrebno poudariti, da je javni zavod Arnes za slovenski šolski sistem v okviru več projektov digitalizacije šolstva postavil storitev Arnes Učilnice, kjer vsem vzgojno izobraževalnim zavodom (tako šolam, kot univerzam) ter tudi drugim javnim zavodom (npr. muzejem, itd.) popolnoma brezplačno nudi spletne učilnice Moodle. Gre za odprtokodni sistem za postavitev spletnih učilnic, ki je v zadnjih letih postal nekakšen standard pri e-učenju, saj velja za najbolj popularen sistem za e-učenje na svetu.

Arnes pa šolskemu sistemu ne nudi samo gole infrastrukture. Pripravili so podrobna navodila za uporabo spletnih učilnic Moodle ter serijo izobraževanj za uporabnike sistema (učitelje). Tako v obliki delavnic, ki so jih izvajali v živo, kot tudi v obliki spletnih tečajev. Na Arnesu so uporabo e-učenja med učitelji in pedagoškimi delavci aktivno spodbujali, a učitelji so e-učenje videli zgolj kot dopolnilo, ali bodo sistem uporabljali ali ne, pa je bilo prepuščeno njihovi lastni presoji. In morda ravnatelju, če jih je skušal nekoliko bolj aktivno spodbuditi k uporabi teh tehnologij.

Zato ne čudi, da je spletne učilnice uporabljal manjši del tehnoloških navdušencev med učitelji. Večini učiteljev pa je to predstavljalo nepotrebno breme v katerem niso videli smisla.

Do izbruha korona krize. Zdaj je interesa nenadoma veliko, a novih orodij se ni mogoče naučiti uporabljati kar čez noč, še večji problem pa je prilagoditev učnega procesa, ki zahteva še več časa in predvsem razmisleka in načrtovanja s strani učitelja. Večino učiteljskega kadra je tako korona kriza ujela precej nepripravljene.

Posebno poglavje predstavljajo videokonferenčni sistemi. Arnes je postavil storitev VOX, ki pa je nekoliko zastarela, saj zahteva Adobe Flash. Adobe Flash je aplikacija, oz. spletni vtičnik, ki je bil znan po številnih varnostnih ranljivostih. Adobe Flash se že nekaj let ne razvija in ne posodablja več, dokončno pa naj bi bil pokopan konec letošnjega leta.

Kar pomeni, da gre za tehnologijo, ki je skrajno zastarela. Zato ne preseneča, da so imeli ob »prisilni« uvedbi izobraževanja na daljavo številni uporabniki s tem konferenčnim sistemom tehnične težave, zaradi česar je Arnes začel iskati alternative (po mojih informacijah bodo na voljo v kratkem).

Prav tako so alternative pričele iskati številne šole in fakultete. Skupina računalniških navdušencev (med njimi je tudi avtor tega članka), je iz lastnih sredstev in brezplačno postavila strežniško infrastrukturo na kateri teče odprtokodni videkonferenčni sistem Jitsi Meet. Sistem omogoča varne in popolnoma brezplačne avdio in videokonference, brez registracije in brez omejitev. Omogoča tudi deljenje zaslona. Udeleženci na računalniku ne potrebujejo nikakršnega dodatnega programja, pač pa zgolj spletni brskalnik. Program smo prevedli tudi v slovenščino. Enak sistem na svoji infrastrukturi postavlja tudi Arnes, naša skupina pa z Arnesovimi strokovnjaki (brezplačno) sodeluje pri izmenjavi izkušenj.

Kljub temu, da je sistem na voljo povsem brezplačno, pa številne šole raje uporabljajo Microsoft Teams, precej pa se je razširila tudi uporaba aplikacije Zoom. Ob tem nihče ne pomisli, da z uporabo tovrstnih aplikacij izobraževalne institucije učence, dijake in študente silijo v to, da uporabljajo rešitve velikih korporacij, da svoje osebne podatke delijo z korporacijami in da jih s tem posredno tudi silijo, da na svoje računalnike nameščajo varnostno sporno programsko opremo.

Poglejmo si konkreten primer.

Varnostne ranljivosti videokonferenčnega sistema Zoom

Zoom je videokonferenčni produkt leta 2011 ustanovljenega podjetja Zoom Video Communications. Zoom se je do pred kratkim oglaševal kot platforma, ki ponuja šifriranje podatkov od pošiljatelja do prejemnika (tim. end-to-end šifriranje), a so pri spletnem mediju The Intercept ugotovili, da to ne drži povsem oziroma da gre pri teh trditvah za zavajajoče oglaševanje. Kot so ugotovili na The Interceptu, je v aplikaciji Zoom šifriranje podatkov od pošiljatelja do prejemnika implementirano samo za tekstovno komunikacijo.

Za avdio in video podatke pa Zoom uporablja TLS šifriranje, ki pa poteka le od odjemalcev do strežnika, kar pomeni, da je podatke na strežniku mogoče prestreči in dešifrirati. Povedano drugače – upravitelji Zoom strežnikov bi tehnično gledano govorni in video komunikaciji uporabnikov preko Zoom platforme lahko povsem neopazno prisluškovali.

Na enak način ima sicer šifriranje izveden tudi odprtokodni sistem Jitsi Meet, a je med sistemoma ena pomembna razlika, ki jo bomo pojasnili v nadaljevanju. Podjetje Zoom je bilo namreč pred kratkim zaloteno, da je prodajalo osebne podatke uporabnikov Facebooku. Podjetje sicer trdi, da zbirajo le prometne in servisne podatke, do vsebine pogovorov pa da zaposleni ne morejo, niti da te vsebine ne prodajajo ali tržijo.

A konec marca je bila v Kaliforniji proti podjetju Zoom vložena tožba, saj naj bi podjetje s Facebookom nezakonito delilo osebne podatke uporabnikov, kar pa so uporabnikom zamolčali. Aplikacija Zoom namreč za vsak konferenčni klic Facebooku pošlje podroben seznam osebnih podatkov, vključno s podatki o tem katero napravo je uporabnik uporabil za dostop do konference ter njen oglaševalski ID. Ti podatki so se delili s Facebookom in to ne glede na to ali je imel uporabnik Facebook račun ali ne. Zaradi tega početja, ki so ga odkrili in podrobno opisali v spletnem mediju The Vice, je podjetje Zoom tudi tarča preiskave tožilstva ameriške zvezne države New York. Zoom sicer trdi, da so podatke o uporabnikih po novem prenehali pošiljati Facebooku.

Seveda seznam »težav« s tem še zdaleč ni končan.

Kot so ta teden ugotovili v spletnem mediju The Vice, se zaradi težave v nastavitvah funkcije Company Directory lahko zgodi, da osebni podatki uporabnikov Zooma (konkretno: elektronski naslov in fotografija uporabnika) pridejo v roke nepooblaščenim osebam.

Zoom namreč omogoča, da s funkcijo Company Directory iščemo osebe, ki se v Zoom prijavijo z elektronskim naslovom, ki pripada isti domeni. Povedano drugače: če se v Zoom prijavi več oseb s poštnim naslovom @telefoncek.si, bo Zoom vsem uporabnikom te domene omogočal da se vidijo med seboj, saj predpostavlja, da gre za zaposlene istega podjetja.

Tak način razmišljanja seveda ima svojo logiko, razen, kadar gre za uporabnike, ki uporabljajo e-pošto na domeni @gmail.com, @yahoo.com, itd. Pri teh Zoom funkcije Company Directory ne omogoča. A obstaja še cel kup manjših ponudnikov e-pošte, recimo siol.net, kjer pa Zoom predpostavi, da gre za sodelavce znotraj istega podjetja in jim omogoči da vidijo e-naslove in fotografije drug drugega, omogoča pa jim tudi, da med seboj vzpostavljajo videoklice.

Nadalje so varnostni raziskovalci odkrili tudi, da je preko Zooma mogoče ukrasti uporabniško ime in geslo za dostop do Windows računa uporabnika. To je mogoče tako, da napadalec v besedilnem pogovoru žrtvi pošlje poseben niz znakov. Zoom namreč tekstovne nize, ki so videti kot hiperpovezava, samodejno pretvori v hiperpovezavo, ki jo žrtev lahko klikne. V tem primeru, se nato preko povezave napadalcu pošlje tim. zgoščena vrednost NTLM, ki jo napadalec lahko uporabi za dostop do sistema in mrežnih virov (tim. pass-the-hash napad). Za uspešno izvedbo napada je sicer potrebno nekaj znanja.

Precej bolj enostavna pa je izvedba tim. Zoom bombinga.

Zoom namreč na začetku ni omogočal zaščite konferenčne sobe z geslom (Jitsi Meet to možnost ima, Zoom jo je uvedel šele ob razkritju napada), kar je zlonamernim napadalcem omogočilo, da so uganili ID sobe v kateri je potekala videokonferenca in se konferenci pridružili brez povabila. Znani so primeri, ko je npr. nekdo vpadel na srečanje anonimnih alkoholikov in začel žaliti in provocirati udeležence, nekdo drug je motil spletni pouk, nekdo pa je s pomočjo Zoom bombinga širil nacistično propagando.

Še nekaj varnostnih ranljivosti so odkrili v različici aplikacije za računalnike Mac. Varnostni raziskovalec (in bivši uslužbenec NSA) Patrick Wardle, ki je sedaj zaposlen v Applovem podjetju Jamf je razkril, da napadalec preko Zooma na Mac računalnike lahko namesti zlonamerno programsko opremo, poleg tega pa lahko na skrivaj pridobi dostop do kamere in mikrofona.

Poleg tega je Zoom pri namestitvi na MacOS skušal pridobiti administratorski dostop (tim. root) pri čemer pa je uporabljal podobne tehnike kot zlonamerna programska oprema.

Kot je ugotovil varnostni raziskovalec Felix Seele, je Zoom zlorabljal namestitvene skripte v MacOS na način, da se je namestil na računalnik v mapo /Applications brez da bi se uporabnik izrecno strinjal z namestitvijo. V primeru, da uporabnik ni imel administratorskih pravic, pa je Zoom zagnal posebno orodje zoomAutenticationTool, ki se uporabniku predstavilo kot »System« in ga na ta način skušalo zavesti, da je vnesel administratorsko geslo.

In seveda ni nikakršno presenečenje, da ima Zoom tudi posebno funkcijo, ki jo imenujejo sledenje pozornosti udeležencev, ki omogoča, da moderator srečanja vidi ali udeleženci srečanja gledajo Zoom aplikacijo ali pa morda v ozadju delajo kaj drugega. S tem sicer ne bi bilo nič narobe, a bi bilo prav, da so udeleženci srečanja o tem jasno obveščeni.

Skratka, aplikacija Zoom je sporna zaradi številnih razlogov. Zato ni prav, da šolski sistem učence, dijake in študente sili k uporabi tovrstnih rešitev. Še posebej, če ima na voljo brezplačne alternative. In to take, ki spoštujejo zasebnost uporabnikov in ki njihovih osebnih podatkov ne pošiljajo internetnim korporacijam.

Se bodo tokrat ustrezne institucije ustrezno odzvale?

Razkritje: avtor tega besedila sodeluje pri projektu UstavimoKorono.si, ki nudi informacije o bolezni COVID-19, ukrepih in pripomočkih za zaščito pred okužbo, pripravlja prikaze statistik razvoja bolezni v Sloveniji in tujini in omogoča brezplačne videokonference za delo ali šolanje od doma.