去年这个时候,贾加·亨利和其他许多青少年一样享受着夏天。这位17岁的年轻人有一份工作,周末和朋友们一起出去玩,一般都是花很多时间上网。但在7月底,亨利梳了梳头发,穿了一件略微超大号的牛津衬衫,出现在他位于佛罗里达州波尔克县(美国最大的学区之一)的学区委员会面前,概述了他在数字系统中发现的一系列安全漏洞。他的演讲是几个月工作的巅峰之作,重点是10万多名学生使用的软件。
这些漏洞已经修复,但现在全职从事教育技术工作的亨利表示,他的经历说明了美国各地学区面临的挑战,这个问题在新冠肺炎去世后变得更加尖锐。
冠状病毒大流行已经对世界各地的网络安全产生了重大影响。量身定做的网络钓鱼攻击和联系人追踪骗局利用恐惧和不确定性。欺诈者的目标是经济救济和失业救济金。针对医疗保健提供者和其他关键基础设施的勒索软件攻击的风险比以往任何时候都要高。对于企业来说,向远程工作的过渡带来了新的风险敞口,并放大了现有风险。
美国的学区已经存在严重的网络安全缺陷。他们往往缺乏专门的资金和熟练的人员来不断审查和改进网络安全防御。因此,许多学校会犯基本的系统设置错误,或者没有修补旧的漏洞-本质上是为黑客和骗子打开了一扇门。学校和学生还面临第三方教育技术公司的潜在风险,这些公司未能充分保护其平台中的数据。
随着全国各地的学区在春季过渡到远程教育,大流行放大了这些风险。突然之间,数以百万计的教师和学生依赖于视频聊天软件、课程门户网站、数字留言板和其他在线工具。如果设置这些系统时没有进行适当的身份验证和控制,则它们中的任何一个都可能成为攻击的载体。远程访问学校网络的工具(包括VPN和远程桌面协议)可能会被攻击者滥用,从而获得对敏感系统的未经授权的访问权限。上周,美国联邦调查局(FBI)在新冠肺炎危机中发布了关于勒索软件对学校构成威胁的安全警报。根据ZDNet的一份报告,联邦调查局警告说,K-12机构用于网络防御的资源有限,这使得它们很容易受到网络攻击。
根据微软全球威胁活动跟踪器的数据,在过去的30天里,全球教育行业检测到了超过470万起恶意软件事件,占同期报告的所有企业和机构恶意软件事件的60%以上。第二个受影响最大的行业是微软所称的商业和专业服务行业,事件不到100万起。
亨利说,许多学校在安全地迁移到完全数字化的学习体验方面装备不足,所以这些漏洞如此普遍也就不足为奇了。学区争先恐后,威胁分子知道这一点。
亨利说,他第一次对探索自己学校的数字系统感兴趣是在听说它们的成本之后。波尔克县是佛罗里达州第七大学区,有超过10万名学生,近年来,它一直在花费数百万美元开发名为Delta的招生系统,并与外部供应商签订合同,购买一个新的学生信息系统。据报道,学校董事会做出这一改变是出于安全考虑。不过,亨利在2018年9月首次报告了该校新的SIS实施中存在的缺陷。次年3月,他发现达美航空曝光了数据。该应用程序通过应用程序编程接口访问学生的身份信息,如社会保险号。亨利意识到,他可以操纵API,只需更改应用程序用来跟踪每个学生的内部参考ID号,就可以显示其他学生的成绩。
亨利发现的另一个问题是波尔克县使用Microsoft SharePoint Platform(一个协作和存储工具)来管理数据的方式。他注意到,学生和教师集中在一个Sharepoint用户组中,并且都被授予对存储在系统中的文件的相同访问权限。这意味着学生可以访问Sharepoint上的任何内容,包括彼此之间的数据。其中一个文件被标记为包含学生用户名和密码,只是学校账户的学生登录凭据的未锁定明文电子表格。
波尔克县的学校没有回复对亨利的研究发表评论的请求。然而,在2019年7月的会议上,亨利分享了他的发现,学校董事会成员似乎支持他的工作。我已经多次将他介绍给我们的IT员工,波尔克县第一区的校董会代表比利·汤森德说。据我所知,我认为他做了一些非常有用的事情。我认为我们应该认真对待他说的话。
亨利去年还在佛罗里达的两所私立大学的系统中发现并报告了类似的漏洞。他说,当他还是一名学生的时候,所有这些发现都激励着他追求教育技术网络安全的职业生涯。
亨利说:当我看一看的时候,有太多的东西是脆弱的--就是一些愚蠢的脆弱。感觉不舒服。当你参加抓旗帜黑客大赛,或者做一个很酷的错误赏金时,找到东西感觉很好,但你看到了教育系统中的这些缺陷,作为一名研究人员,没有什么值得自豪的。你换了号码,或者你只是看了看!我不是什么天才。很明显,没有其他人在看。
在秋季针对学校的一些特别戏剧性的网络攻击之后,包括多个学区因勒索软件攻击而不得不停课的情况,研究人员表示,将网络安全作为全国学校系统的优先事项的势头开始显现。但是,收集K-12网络安全事件数据的咨询公司EdTech Strategy的创始人道格·莱文(Doug Levin)表示,当新冠肺炎大流行来袭时,所有这些都陷入了停顿。
莱文回忆起学校如何竞相建立在线学习的基础设施时说,突然之间,一切都变得一钱不值。它进入了那种一切都是用橡皮筋和牙签建造的模式。让每个人远程工作和学习、向学生分发设备、连接到本地打印机、处理忘记的密码等等。人们应该关注他们所做的技术决策。即使有更多的时间来为秋季做计划,它仍然是非常不稳定的。
在美国,没有单一的、全面的关于K-12数字安全事件的报道来源。莱文创建了网络事件地图,以跟踪尽可能多的公开披露的攻击-根据法律披露、新闻报道和研究结果汇编而成。但追踪者可能大大低估了实际总事件的数量,因为有这么多事件都是保密的,从来没有公开过。
在过去的三个月里,莱文惊讶地看到K-12网络攻击的公共账户数量减少了,尽管这些账户肯定没有完全消失。目前还不清楚这是否真的代表着事故数量的下降,或者是否有其他因素在起作用。莱文还指出,秋季可能会出现新的数字感染高峰,届时学生、教师和管理人员可能会在几个月来首次回到学校,将他们的设备插入硬连线网络。
虽然这场大流行引发了新的风险暴露,但它也只是加速了已经在整个K-12教育中进行的数字化-这一现象几乎在每个行业都能看到。考虑到学校数字防御中已经存在的裂缝,现在采取预防措施比以往任何时候都更加重要。