Dark Web’deki Okullar

Haziran 28, 2019

Okul sınavlarınız, plandığınız gibi geçmedi mi? Bu, herkesin başına gelebilir. Sınavları iyi gitmeyen öğrencilerin çoğu, kendilerini toparlayıp sınavlara yeniden girerler veya hedeflerini değiştirirler. Ancak bazı durumlarda öğrenciler başarılı olmak için hile yapmaya yönelebilir.

Yıllar içinde bu eğilimin taleplerini karşılayan bir yeraltı sektörü oluştu. Bu sektör, okul sistemini hacklemeyi anlatan tartışma forumları ve nasıl yapılır videolarından kara borsada satışa sunulan sahte sertifikalara ve diplomalara kadar her türlü hileyi içeriyor. Biz de bu sektörü biraz incelemeye ve okullar ile üniversitelerin kendilerini ve öğrencilerini korumak için neler yapabileceklerini araştırmaya karar verdik.

Notlara erişim sağlama/h2>

Birçok okulda okul etkinlikleri, ev ödevleri, değerlendirmeler, ebeveyn ve aile iletişimi ve daha birçok etkinlik için web tabanlı bilgi platformları kullanılmaya başlandı. Bu sistemlerin bazıları internete açık ve en yaygın olarak kullanılanlar dahil olmak üzere birçoğu geçmişte güvenlik açıklarıyla ilgili sorunlar yaşamış.

En popüler okul bilgi platformlarından birisi PowerSchool adlı bir platform. PowerSchool platformunun, geçmişte bir güvenlik açığı (CVE-2007-1044) sorunu yaşadığı biliniyor. Bu güvenlik açığı, saldırganın özel olarak geliştirilen bir URL aracılığıyla yönetici klasörünün içeriklerini listemesine izin veriyor. Bu güvenlik açığının etkisi, Web sunucusunun ayarlarına ve yönetici klasörünün içeriğine bağlı.

Ancak bu açık gibi güvenlik açıkları ve güvenlik açıklarından yararlanan yazılımlar, saldırganın doğrulama işlemini atlatmasına veya not hacker’larının aradığı türde bilgilere erişim sağlamak için kullanıcı ayrıcalıklarını artırmasına izin vermiyor. Bunun için daha kolay bir yöntem var: hesap kimlik bilgilerini kullanmak.

Diğer birçok platform gibi PowerSchool’un ağ geçidi de yalnızca kullanıcı adları ve parolalar ile korunuyor.

2019’un Mart ayında, öğrencilerin notlarını değiştirmek ve devamsızlık günlerinin sayısını azaltmak için PowerSchool sistemini hackledikleri iddia edildi. İnsanlar, çoğunlukla aynı hesap bilgilerini birden çok sitede kullandığı için bu portal’ların çalınmış veya yeniden kullanılan hesap bilgileriyle hacklenme ihtimali oldukça yüksektir. Bu hesaplar farklı yöntemlerle çalınabilir: Öğretmenin klavyesine yapıştırdığı bilgileri kopyalamaktan tutun da okul veya üniversite ağını gerçekten hackleyip kimlik bilgilerini toplamaya kadar pek çok değişik metot kullanılıyor. Öğrenciler, bunun için yeraltı piyasasından kiralık bir hacker tutmayı da tercih edebiliyor.

Kara borsadaki hackleme hizmetleri ve sahte diplomalar

12 Haziran’da internet üzerinden gerçekleştirdiğimiz bir araştırma sonucunda hackleme hizmetlerine ve istediğiniz kurumun istediğiniz bölümünden gerçek gibi görünen sahte sertifikalara, diplomalara ve derecelere rastladık. Üstelik, bunları satın almak da çok kolay. Bir sipariş formunu doldurup iletişim bilgilerinizi vermeniz yeterli.

Eğitim sektöründe güvenliği iyileştirme

Peki okullar, yüksek okullar, üniversiteler ve işe alım için akademik dereceleri doğrulamak isteyen işverenler, kendilerine sunulan belgenin gerçek olduğundan emin olmak için neler yapabilir?

Sertifikalar ve diplomalar söz konusu olduğunda başvurulan kuruluşlar, belgenin doğruluğunu belgeyi düzenleyen kurumla görüşerek teyit etmelidir. Eğer öğrencinin söz konusu başarıyı elde ettiğine dair herhangi bir kayıt yoksa elinizdeki belge büyük ihtimalle sahtedir.

Web tabanlı bilgi sistemlerindeyse personelin, öğrencilerin ve bilgilerin güvenliğini sağlamak için bazı temel önlemlerin alınması çok yararlı olacaktır:

  • Öğrenci kayıtlarına, notlarına ve değerlendirmelerine erişim için kullanılan alanlar başta olmak üzere mümkün olan her yerde iki faktörlü doğrulama yöntemlerini kullanın. Güçlü ve kullanışlı erişim kontrolleri belirleyerek hacker’ın sisteminizde yatay şekilde hareket etmesini zorlaştırın.
  • Kampüste biri personele, diğeri öğrencilere yönelik olmak üzere iki ayrı ve güvenli kablosuz ağ sistemi kurun. Ziyaretçiler için izole edilmiş üçüncü bir ağ kurma fikri de mantıklıdır.
  • Personeller için güçlü bir parola politikası oluşturun ve uygulayın ve herkesi kimlik bilgilerinin gizliliğini her zaman korumaları konusunda teşvik edin.
  • Geniş bir yelpazedeki çeşitli tehditlere karşı kapsamlı koruma için güvenilir bir güvenlik çözümü kullanın.