De HvA had het digitaal zwaar te verduren afgelopen najaar, want informaticastudent Sander de Vos begon in september met zijn studie. Binnen vier dagen na zijn eerste schooldag ontdekte hij een privacylek op het DLWO, waarmee hij zonder veel moeite de persoonsgegevens kon achterhalen van medestudenten. Een paar maanden later ontdekte hij samen met medestudent Tijme Gommers een fout in de implementatie van versleutelingsprotocollen (SSL) op de beveiligde inlogpagina’s van de HvA en de UvA.
Inmiddels zijn De Vos en Gommers gevraagd om eens kritisch te kijken naar de computerbeveiliging op de HvA. ‘Half januari gaan we in gesprek met de ICT-afdeling. Daarna gaan we een security audit uitvoeren. We zullen proberen gebruikersnamen en wachtwoorden van studenten te achterhalen. Maar of dat gaat lukken, dat weet ik niet.’
Nietsvermoedend
Het lek in november haalde landelijke publiciteit. Met een laptop en een speciaal geprogrammeerd computertje met een antenne wisten de studenten de gegevens uit te lezen van studenten die inlogden op secure.uva.nl en id.hva.nl als zij inlogden op het wifi-netwerk van De Vos en Gommers. ‘Stel je voor dat we ons netwerk “eduroam” hadden genoemd. Alle studenten en medewerkers loggen daar nietsvermoedend op in, waardoor we al hun HvA- en UvA-inloggegevens hadden kunnen inzien,’ vertelde De Vos in november.
Het probleem: de implementatie van het encryptie-protocol SSL (secure layers socket) dat communicatie op het internet beveiligt, was op beide sites verouderd. ‘Op zich waren de beveiligingscertificaten zelf wel up to date, maar de implementatie was ouderwets,’ vertelt De Vos nu.
Opgelost
Er werd een weekend lang hard geklust bij de HvA, maar in de loop van zondag waren alle certificaten geüpdatet en de implementatie was een stuk beter. Directeur ICT Services van de UvA en de HvA Bert Voorbraak werkte er met zijn team aan om dit voor elkaar te krijgen. In een brief in Folia Magazine in december schrijft hij dat zij een ‘onvoldoende veilige situatie’ hebben opgelost dat weekend. Voor de kerstvakantie zijn de it'ers bovendien druk bezig geweest om de rest van de sites helemaal veilig te krijgen. 'De afgelopen periode hebben we flink gewerkt om alles op orde te krijgen,' vertelt Voorbraak.
Ook het privacylek dat begin van het jaar door De Vos ontdekt werd is gedicht. ‘Je kon namelijk een al geactiveerd account opnieuw activeren met een nieuw wachtwoord,’ zo legt De Vos uit. ‘Zo lang je studentnummer en het bijbehorende e-mailadres had, kon je dus wachtwoorden resetten.’ Er werd onmiddellijk een tijdelijke oplossing ingezet, waardoor studenten naar de klantenservicebalie moesten om zich aan te melden. ‘Inmiddels kun je dat gewoon weer online doen. Maar dan nu wel veilig,’ aldus Voorbraak.
Veilig?
Zijn de HvA-website en alle webtoepassingen dan nu wel veilig? ‘Veiligheid staat in ieder geval hoger op de agenda,’ vertelt De Vos. ‘We zien nog steeds dat er wijzingen worden gedaan.’ In de brief in Folia schrijft Voorbraak niet te pretenderen dat er nooit iets mis kan gaan met de beveiliging van de systemen van de UvA en de HvA. 'Wij horen daar alert op te zijn en als studenten of anderen ons daarop wijzen staan wij daar zeer voor open. Wij kunnen daar ook van leren en onszelf verbeteren. We waarderen dit soort meldingen hogelijk en behandelen deze immer met de allerhoogste prioriteit. Het feit dat we altijd een snelle reactie koppelen aan al die meldingen toont dat aan. Ons CERT-team is hiervoor 24 uur per dag en 7 dagen per week beschikbaar en zij kunnen altijd een beroep doen op betrokken ICT Services-medewerkers die meteen aan de slag gaan.'
Toekomst
De Vos is nog steeds voldoende kritisch op de HvA. Hij kan zich namelijk niet helemaal vinden in deze uitspraak van Voorbraak. Volgens hem doet de hogeschool nog steeds te weinig om de veiligheid van studentgegevens te garanderen. Als voorbeeld neemt hij zijn eigen voorstel om te helpen. Hoewel de ICT-dienst onmiddellijk na het incident contact op nam met de jongens, duurt het nog even voor zij de beveiliging gaan testen. ‘Er gaat een behoorlijke tijd overheen. Wij meldden het in november, maar we testen de beveiliging op zijn vroegst eind januari.’ En bovendien gebeurde dit pas nádat het in de media kwam, stelt hij. ‘Wij hebben het drie weken ervoor telefonisch gemeld, maar daar is niets mee gedaan.’
In de toekomst gaan de jongens in ieder geval proberen goed contact te onderhouden met de ICT-dienst. ‘Ze zeggen dat ze er heel veel aan hebben. De gegevens van studenten moeten natuurlijk wel veilig blijven.’
Inmiddels zijn De Vos en Gommers gevraagd om eens kritisch te kijken naar de computerbeveiliging op de HvA. ‘Half januari gaan we in gesprek met de ICT-afdeling. Daarna gaan we een security audit uitvoeren. We zullen proberen gebruikersnamen en wachtwoorden van studenten te achterhalen. Maar of dat gaat lukken, dat weet ik niet.’
Nietsvermoedend
Het lek in november haalde landelijke publiciteit. Met een laptop en een speciaal geprogrammeerd computertje met een antenne wisten de studenten de gegevens uit te lezen van studenten die inlogden op secure.uva.nl en id.hva.nl als zij inlogden op het wifi-netwerk van De Vos en Gommers. ‘Stel je voor dat we ons netwerk “eduroam” hadden genoemd. Alle studenten en medewerkers loggen daar nietsvermoedend op in, waardoor we al hun HvA- en UvA-inloggegevens hadden kunnen inzien,’ vertelde De Vos in november.
Het probleem: de implementatie van het encryptie-protocol SSL (secure layers socket) dat communicatie op het internet beveiligt, was op beide sites verouderd. ‘Op zich waren de beveiligingscertificaten zelf wel up to date, maar de implementatie was ouderwets,’ vertelt De Vos nu.
Opgelost
Er werd een weekend lang hard geklust bij de HvA, maar in de loop van zondag waren alle certificaten geüpdatet en de implementatie was een stuk beter. Directeur ICT Services van de UvA en de HvA Bert Voorbraak werkte er met zijn team aan om dit voor elkaar te krijgen. In een brief in Folia Magazine in december schrijft hij dat zij een ‘onvoldoende veilige situatie’ hebben opgelost dat weekend. Voor de kerstvakantie zijn de it'ers bovendien druk bezig geweest om de rest van de sites helemaal veilig te krijgen. 'De afgelopen periode hebben we flink gewerkt om alles op orde te krijgen,' vertelt Voorbraak.
Ook het privacylek dat begin van het jaar door De Vos ontdekt werd is gedicht. ‘Je kon namelijk een al geactiveerd account opnieuw activeren met een nieuw wachtwoord,’ zo legt De Vos uit. ‘Zo lang je studentnummer en het bijbehorende e-mailadres had, kon je dus wachtwoorden resetten.’ Er werd onmiddellijk een tijdelijke oplossing ingezet, waardoor studenten naar de klantenservicebalie moesten om zich aan te melden. ‘Inmiddels kun je dat gewoon weer online doen. Maar dan nu wel veilig,’ aldus Voorbraak.
Veilig?
Zijn de HvA-website en alle webtoepassingen dan nu wel veilig? ‘Veiligheid staat in ieder geval hoger op de agenda,’ vertelt De Vos. ‘We zien nog steeds dat er wijzingen worden gedaan.’ In de brief in Folia schrijft Voorbraak niet te pretenderen dat er nooit iets mis kan gaan met de beveiliging van de systemen van de UvA en de HvA. 'Wij horen daar alert op te zijn en als studenten of anderen ons daarop wijzen staan wij daar zeer voor open. Wij kunnen daar ook van leren en onszelf verbeteren. We waarderen dit soort meldingen hogelijk en behandelen deze immer met de allerhoogste prioriteit. Het feit dat we altijd een snelle reactie koppelen aan al die meldingen toont dat aan. Ons CERT-team is hiervoor 24 uur per dag en 7 dagen per week beschikbaar en zij kunnen altijd een beroep doen op betrokken ICT Services-medewerkers die meteen aan de slag gaan.'
Toekomst
De Vos is nog steeds voldoende kritisch op de HvA. Hij kan zich namelijk niet helemaal vinden in deze uitspraak van Voorbraak. Volgens hem doet de hogeschool nog steeds te weinig om de veiligheid van studentgegevens te garanderen. Als voorbeeld neemt hij zijn eigen voorstel om te helpen. Hoewel de ICT-dienst onmiddellijk na het incident contact op nam met de jongens, duurt het nog even voor zij de beveiliging gaan testen. ‘Er gaat een behoorlijke tijd overheen. Wij meldden het in november, maar we testen de beveiliging op zijn vroegst eind januari.’ En bovendien gebeurde dit pas nádat het in de media kwam, stelt hij. ‘Wij hebben het drie weken ervoor telefonisch gemeld, maar daar is niets mee gedaan.’
In de toekomst gaan de jongens in ieder geval proberen goed contact te onderhouden met de ICT-dienst. ‘Ze zeggen dat ze er heel veel aan hebben. De gegevens van studenten moeten natuurlijk wel veilig blijven.’
