Aquestos són els conjunts de correus intercanviats arrel de donar-me'n compte (de fet, de que els alumnes m'ho diguessin, com es veu a les cartes) d'un problema de seguretat dels ordinadors enviats per la conselleria:
10/6/2012: Correu enviat per jo al Coordinador TIC del nostre Institut, i reenviat per aquest a la conselleria:
Tenim un forat de seguretat molt important amb els equips Ubuntu.
Resulta que tant els ultraportàtils dels alumnes com els ordinadors de professor de les aules tenen una opció d'engegada (les de mode de recuperació) que permet a QUALSEVOL PERSONA canviar la contrasenya de QUALSEVOL COMPTE, inclosa la ubtadmin. Una volta canviada la contrasenya, poden entrar com administradors i veure les contrasenyes de qualsevol xarxa wifi que tenguin configurades.
Al menys dos alumnes de segon coneixen la tècnica (de fet me l'han explicat ells i, com és normal, he hagut de valorar amb punts extra la seva habilitat tecnològica).
Les nostres contrasenyes wifi de moment estan protegides ja que des de que les hem canviat, jo no les he introduit a cap ordinador d'alumnes (i tampoc de professor, si no record malament), però la de la conselleria ja la saben (encara que crec que de moment no l'estan sabent aprofitar pel tema de tipo de encriptat d'empresa)
Crec que s'hauria d'informar a Palma del foradàs que han deixat (supòs que ho han fet per facilitar la configuració d'equips si algun administrador s'oblidava la contrasenya i pensant que els alumnes són àsens)
11/6/2012: Resposta del responsable de la conselleria
Bon dia Rafel,
Gràcies per la informació
però això ja ho sabíem. Com podeu imaginar sempre que es té accés físic a un
ordinador es té la possibilitat d'accedir al seu contingut d'una manera més o
menys difícil. Són de coneixement "public" les innumerables utilitats
existents al mercat, i de fàcil ús la majoria, que permeten fer el que han fet
aquests alumnes.
En aquest cas ens trobem
davant una clara falta disciplinaria que no hauria de ser valorada
positivament. Les contrasenyes, així com el contingut que aquestes protegeixen
són de caràcter privat i per tant accions que posin en perill la informació
protegida per aquestes podrien ser considerades en moltes ocasions com a
delictives.
A nivell d'exemple
comentar-te que no són poques les persones que han vist truncada la seva
activitat professional en determinades empreses per haver modificat/eliminat
sistemes d'accés.
Salutacions,
--
______________________________
Coordinació Suport Tècnic
Conselleria d'Educació,
Cultura i Universitats DG d'Universitats, Recerca i Transferència del
Coneixement Servei d'Informàtica Educativa i Suport Tècnic a Centres
19/6/2012: Carta enviada (a través del coordinador TIC) al responsable de la conselleria.
Bon dia. Som en Xisco Huguet, professor de tecnologia.
En
primer lloc vull agrair el to conciliador de la teva resposta, però
també vull expressar el meu total desacord en el contingut de la mateixa
ja que:
- Encara que l'accés físic a un ordinador suposi la
possibilitat d'accedir al seu contingut, hi ha maneres de dificultar
seriosament l'accés, cosa que amb el sistema explicat no es pot
considerar que sigui especialment difícil.
- Aquest cas no consider que sigui una greu falta
disciplinària ja que no hi ha hagut ni danys, ni accés a informació
sensible, sinó que hi ha hagut curiositat i esperit de descubriment. En
cap moment he alentat als alumnes a que buscassin forats de seguretat
sinó que he premiat per un costat el seu esforç desinteressat per
conèixer aspectes relacionats directament amb la meva assignatura i per
l'altre la seva ingenuitat per explicar-me aquestos sistemes a canvi
d'uns pocs punts. Com les explic el primer dia de classe, conèixer el
problema és el primer pas per arreglar-los, que és el que fa la
tecnologia
- Igual que algunes persones han vist truncada la
seva activitat professional, altres han aconseguit una brillant
activitat professional en empreses de seguretat informàtica o han rebut
reconeixement internacional gràcies a aquesta curiositat, ben conduida,
en trobar forats de seguretat per evitar precisament que altres persones
malintencionades les puguin usar delictivamente.
A jo m'extranyava que no fossiu conscients del forat
però pensava que havieu minimitzat la seva importància a canvi de major
comoditat de manteniment. Vaig donar per fet que en un sistema que té
fama de ser dels meus segurs com és el Linux, hi hauria sistemes
d'eliminar (o al menys dificultar) aquestes possibilitats i que en el
servei d'informàtica educativa el coneixerieu. Sembla que estava
equivocat, no?
Per acabar dir que amb el meu plantejament acadèmic
no som partidari d'usar la ignorància i la prohibició per reduir el risc
d'accions incorrectes, sinó preferesc l'aprenentatge i l'educació
perque els meus alumnes, sabent el màxim que puguin saber, escullin usar
els seus coneixements de forma positiva.
Cap comentari:
Publica un comentari a l'entrada