Kui nutt tuleb kooli…

9. sept. 2013 Anto Veldre RIA infoturbe ekspert - 4 kommentaari

Erinevatel konverentsidel on palju räägitud turvalisusest. Turvaline on nii koolitee kui ka koolis olek. Ühtlasi on meie õpilased (ning ka koolid) astunud sammu edasi virtuaalsesse maailma, kus samamoodi tuleb mõelda turvalisusele. Alanud õppeaasta muudab mind natuke murelikuks kooli arvutivõrkude ülesehituse suhtes, sest suhteliselt hiljuti on nutiseadmete kasutus on tõusnud plahvatuslikult. Ühelt poolt tunnen rõõmu ja uhkust, kuid teisalt leian, et midagi tuleks panna ka iga õpetaja ja kooli südamele.

Nutt tuleb kooli

Statistika näitab, et 96% õpilastel on taskus WiFi-võimelised vidinad. Pole vahet, kas selleks on mobiiltelefon, tahvelarvuti või pilte WiFi teel üles laadiv fotoaparaat. Eesti haridussüsteem on liberaalne ja innovaatiline, seega õppe-eesmärgil on need elektroonilised vahendid igati oodatud abimehed. Teeme aga väikese matemaatilise tehte. Minu enda nutitelefon suudab igas sekundis WiFi kaudu üles lükata 2 megabitti. Kui 200 õpilasega kooli kõik TOE-seadmed (BYOD – bring your own device) panna korraga tööle, siis genereerib see teoreetiliselt kuni 0,5 GBit liiklusmahtu sekundis. Mina küll ei tea kooli, mille võrguseadmed säärasele toorele jõule vastu kestaksid. Tulemuseks on aeglane või olematu internet ja purustatud unistus ainetunnis  seadmetega midagi asjalikku teha.

Kui veidi tehnilisemaks minna, siis sellist ressursside ühiskasutust võis korraldada klubina seni kuni kasutajaid oli 10 või 15. Kahesaja kasutajaga korral ei saa klubist enam juttugi olla, koolis lisanduvad õpilastele veel ka lapsevanemad, sõbrad jne. Vaba WiFi osutub probleemiks mitmel põhjusel, millest esimene on  kuritahtlik paroolikogumine ja viimane see, et nutikas üksik-kasutaja suudab teatavate tehniliste nippidega blokeerida terve võrgu töö. Kui kasutaja jäetakse identifitseerimata ning  tehnosüsteem ei taga jälitatavust (ma ei julge alaealiste puhul rääkida vastutusest), siis tulemuseks on olukord, kus üks „nutiföön” ja üks tasuta levitatav võrgutestimisprogramm löövad koolivõrgu kestvalt umbe. Täiesti juhuslikult toimub see muidugi mõne e-kontrolltöö ajal – olukord, millist me möödunud õppeaasta jooksul koolides juba kohtasime.

Ühest küljest tahame ise kaasa toodud (=BYOD) nutividinate kasutamist õppeprotsessis igati soodustada, korraldades e-teste ja individuaalset e-õpet, teisalt aga, pole kahtlustki, et esimene nutitelefoniga kohale lennanud rähn suudab kindla käega hävitada kooli arvutivõrgu kui tsivilisatsiooni eelposti.

Nutt tuleb peale

15 aastat tagasi oli paradigma väga lihtne – kooli vähesed arvutid tuli mistahes vahenditega omavahel kokku siduda. Tänast kõikehõlmavat internetisuhtlust ei saa paraku turvaliselt pidada olukorras, kus puudub tagasiside selle tegeliku funktsioneerimise kohta. Kui koolile kukub kaela turvaintsident, siis selle lahendamiseks on vaja monitooringut, viirustõrjet, eeldada võib ka nimelist autentimist, vee- ja tulekindlat logiserverit ning üht-teist veel. Kooli võrgule esitatavad nõuded on päris kõrgel ning sarnanevad nõuetega keskmisest suuremas erafirmas.

Näiteks Tallinn on koolide sideküsimuse lahendanud sedasi, et majja tuuakse optiline kaabel ja kooli arvutikappi paigutatakse võimas kommutaator (switch). Kohapealse võrgu peab kool aga ise välja ehitama. Tekib huvitav probleem, kus peakommutaator ei kuulu koolile ning seda monitoorida ei lubata. Kool ei tea, kui mitu ta bitti ajaühikus tarbib. Ning kes tarbib – kas on suurimaks kulutajaks direktor või 3. klassi koolikluti tutikas nutikas. Selliseid küsimusi aga keegi küsida ei oska või ei taheta. Asjad ju sisuliselt  töötavad ning kes ikka tahab segase olukorra juures vastutust võtta. Näiteks kui koolis peaks juhtuma küberkiusamise intsident, siis kes välja uurib, kuidas täpselt see juhtus. Praegu laiutatakse lihtsalt käsi – pole võimalik välja uurida ja seega on rahu majas – meie selliste probleemidega ei tegele. Halvemal juhul on terve kooli võrk noorte häkkerite üle võetud ja nad siis vaikselt toimetavad sealt omi musti tegusid … täiesti karistamatult.

Võrk

Mulle tegelikult „nuhkimine” ei meeldi. Samas, ilma heatahtliku monitooringuta enam ei saa ja vahel võib vaja minna kellegi/millegi väljafiltreerimist. Väljakutseks on aga tõik, et kas koolivõrkude praegune ülesehitus täna üldse võimaldab mingisugustki monitooringut.

Tehnika, mis seda võimaldab, ei ole odav. Kooli võrguseadmete soovituslik hinnaklass tuleneb kahest asjaolust: monitoorimise võimalikkus – ning (kooli tingimustes üpris loomulik nõue) – kaitse häkkimise vastu, millele lisandub päris kõrge tootlikkusnõue. Jälle lihtne matemaatiline näide: 20 klassiarvutit tekitavad sisselülitamise või aktiivse kasutuse hetkel infovoo igaüks kuni 20-30 MBit/sek, mis omakorda tähendab, et klassist välja viiv pordikiirus peab olema vähemalt 1GB/sek. Kui palju maksaks aparaat, mis  suudab sel kiirusel pornosaite välja filtreerida või koolitunni ajaks sotsiaalvõrke ja mängukoopaid blokeerida?

Rahakott seab omad piirangud ka võrgu ülesehitusele. Koolimaja arhitektuur tingib väga pikad ühendustraadid ning vajaduse päris piisava pordiarvuga kommutaatorite järele igas segmendis. On kõva sõna,  kui kool suudab endale muretseda 100MBit/sek pordikiirusega kommutaatorid ja need juhtumisi omavad algelist SNMP tuge. Inimesi, kes suudaksid võrgule ka monitooringulahenduse otsa keevitada, pole koolide infojuhtide seas just ülearu palju. Monitooringulahendusi nagu Cacti või Zabbix, haridusalal üldiselt ei teata.

Soovitused oleksid sellised:

a) nõutagu vastutavalt isikult arvutivõrgu dokumentatsiooni. Lisaks raamatupidamises vajaminevale infole (nagu seerianumber ja hind) olgu kirjas ka võrguaadressid, võrgukaardi „sõrmejälg” (ehk MAC aadress), juhtmete plaan, arvutite vastavus kommutaatori portidega;

b) juba järgmises hankes soovitan väga mõelda SLA (teenusetaseme lepingu) kvaliteedi üle ning teha koos omavalitsusega eeltööd selgitamaks, missuguseid haldus- ja hooldusteenuseid kool siis tegelikult ikkagi vajab. Võrguressursside monitooring peaks tänapäeva olema baaspaketis;

c) kui on häid kontakte Kaitseliidu küberüksuse meestega, siis kutsuge nemad koolivõrgu turvalisust tagama. Kõigepealt on neil mõningaid tehnilisi lahendusi (S4A) ja siis on neil huvi kogemuste omandamiseks nn „kahtlastes” võrkudes. Koostööst tõuseb kindlasti kasu mõlemale osapoolele;

d) koolidesse on vaja häid spetsialiste, mis omakorda tähendab ka vastavat palka ning koolitusi. Mõistan, et hariduses pole kunagi raha piisavalt, samas … loodus tühja kohta ei salli ning ussipesa taoline koolivõrk asustatakse soovimata külaliste poolt suhteliselt kiiresti.


4 kommentaari teemale “Kui nutt tuleb kooli…”

  1. Joel L ütleb:

    Konkreetselt küberkiusamise näite kohta — kui keegi koolist õela kommentaari kirjutab, siis et tagantjärele autorit teada saada, on vaja eelnevalt logida põhimõtteliselt kogu võrguliikluse sisu. Või eksin oluliselt?

    Lisaks, kuidas on seis kooli-kontekstis võrguliikluse detailse logimise õigusliku poolega — kas seda võib lihtsalt teha, kas on vajalik nõusolek, jne jne?

  2. Anton ütleb:

    Eksid oluliselt , kiusamise fakti saab tuvastada ka triviaalsemate uurimismeetoditega, kuigi elektrooniline jälgimine seda hõlbustab ei ole vajalik kogu sisu aktiivne monitooring. Internetikiusamist on alati lihtsam tuvastada juba pelgalt isikute ringi piiramisega ilma tehnilistesse detailidesse süübimata, kui joonlauaga tati pritsimist või peale tunde kooli taga togimist.

    Õiguslik pool on nagu ikka , võrgukasutuse reeglid ja need reeglid ei või olla vastuolus kehtiva õiguskorraga.

    lisaks BYOD nähtusele tuleb ka nutitajatel arvestada teise dimensiooniga BYOS (bring your own security ehk võta ka lisaks seadmele turvalisus kaasa) sest alati ei pruugi teised nutikad rünnata võrku vaid suunata oma “kiusamise” vahetult kellegi seadme vastu kas füüsiliselt või virtuaalselt. Näiteks lõhkuda ära kiusatava tehnika, hoida teda kinni ja installida sinna samal ajal viiruseid või teha seda salaja või kiusata teda väljaspool koolivõrku mõnes muus internetikeskkonnas mille monitoorimine ei saa ju olla kooli ülesanne

    Parimaks distsiplineerijaks on sageli raha ja kool ei pea alati pakkuma kõigile kõike ja nii võib iga nutikas surfida oma nutipaketis mille ta saab oma sideoperaatorilt ja koolil jääb üle organiseerida ainult mingi nutikalt privaatne ja turvaline pilvevõrgu teenus neile kes seda koolis mingiks ühistegevuseks soovivad, kui selline tegevus on ühisvõrgus planeeritud. See vähendab hoobilt kooli jaoks võrgule esitatavad nõuded ja ründevõimalusi saab ahendada arvutiklassi kohtvõrgu tasemele või ainult teatud personalile mõeldud privaatsete võrkudele.

  3. Joel L ütleb:

    Mu eesmärk ei olnud kindlasti kogu esseed rünnata, vaid pigem saada rohkem selgitusi selle kohta, et mis on need konkreetsed stsenaariumid, mille puhul näiteks (ulatuslik) logimine abiks oleks.

    Samuti õigusliku poole pealt — mõistan, et alati tuleb järgida kehtivat õiguskorda, aga murekohaks on just täpsem info selle kohta, et mida see õiguskord lubab või keelab.

    Kindlasti on võrgu üldise tervise seisukohalt kasulik see, kui saab õpilase või õpetaja, kes on otsustanud kooli võrku rünnata (kasvõi lihtsalt üritades kogu läbilaskevõimet üksi ära kasutades) hiljem tuvastada, aga nt õpilaste WiFI-võrgu ummistumine ei ole vist kellelegi jaoks piisavalt halvav probleem, et see sunniks suuri investeeringuid (nii ajalisi kui rahalisi) tegema.

    Ja samuti, kui me räägime kooli võrkude tehnilisest küljest, siis pole kindlasti kuigi sobivaks näiteks tuua see, et “keegi annab õpilasele peksa ja võtab ta telefoni ära”. Samuti on võimalik kaasõpilase õpik pooleks rebida, aga ma ei peaks seda näiteks õpikukirjastamise valdkonda kuuluvaks probleemiks.

  4. Anton ütleb:

    Oih, kas mu kommentaar tundus ründav 🙂 ei olnud nii mõeldud.

    BYOS on sellesuhtes natuke teine , kui õpiku rebimine, kuna füüsiliselt rünnatud seade volla sillaks laiemale ründele koolile kuuluva võrgu või võrgu kasutajate vastu. Õpikut võib ju ka puruks rebida koolist väljas, aga see tekitab probleeme ainult õpiku omanikule, seadet võib rünnata ka mujal ja kasutada just võrgu ründeks või oma hilisemate tegude varjamiseks jne. Vektoreid on lihtsalt rohkem millega võrgu valdaja võiks osata arvestada.

    Sul on õigus. Võrgu, kui sellise jaoks ei ole vaja teha palju kulutusi, aga üks peamistest põhjustest miks kool peaks olema turvalisuses väga tasemel (oma kulutusi arvestades) on see, et kaitsta võrku ühenduvaid inimesi (lapsi) kes ei oska ohtu, kiusamist, lollitamist jne karta.

    Võrk on juba kord selline tüütu asi, et seal saab teha minimaalsete teadmistega või paari klikiga totaalset segadust, sniffida paroole ja pääseda teiste meili, veebikeskkondade jne kontodele ja saata sealt valeinfot, see kõik ei ole turvamata võrgus mingi probleem, selleks on isegi brauserite pluginad jne. Seda saab teha suvalises kohvikus ja saab ka koolis, kodus (harjutada) jne. Iga võrgu omanik peaks nüüd mõtlema kas tema võrgus on see kõik lihtsalt võimaldatud või on see sama lihtsalt võimatuks tehtud.

    Ma ise ei ole ühegi kooli võrku kasutanud, aga lastega ja internetiga on mul kogemusi omajagu. 6 aastasele ei ole probleemiks petta intenretikeskkondades mänge muutes skoore otse operatiivmälus, aeglustades protsessori tööd või muutes otse võrgupakettide sisu ja sellised oskused kasvavad märgatavalt inglise keele oskuse arenemisega. See kõik on reaalsus ja seda reaalsust ei kannusta alati pahatahtlikkus vaid lihtsalt areneva mõistuse soov lõputult proovida ja saavutada mingi naiivne eesmärk.

    Mis puutub lausjälgimisse, siis siin peaksin tegema eraldi uurimistöö, et ammendavalt vastata. Selline andmekogu iseenesest võib ju olla võrguvälisek ründeks kasutatav infokogu või eraldi ründe objektiks jne. Aga alustada võib ilmselt mõne ISP võrgureeglite lugemisega või teenuselepingu lugemisega.

Kirjuta kommentaar

Õpetajate Lehel on õigus avaldada teie kirjutatud kommentaar paberväljaandes. Kommentaari pikkus ei tohi ületada 3000 tähemärki. Õpetajate Lehe kodulehe kommentaarid on modereeritavad ja avaldatakse pärast toimetamist hiljemalt kommentaari saatmisele järgneva tööpäeva hommikuks. Lehel on õigus jätta saadetud kommentaar kodulehel avaldamata. Iga kommentaari edastaja arvuti IP-aadress, sessiooni identifikaator ja kommenteerimise aeg salvestatakse andmebaasis. Õpetajate Leht ei vastuta kommentaaride sisu eest!