Beheer

Security
Scholengemeenschap Spieringshoek Schiedam

Leerlingen sjoemelen met cijfers na hack

Hacker op Schiedamse scholengemeenschap Spieringshoek (4 havo) geschorst.

SG Spieringshoek in Schiedam © RTV Rijnmond
8 juni 2017

Hacker op Schiedamse scholengemeenschap Spieringshoek (4 havo) geschorst.

Enkele tientallen leerlingen van scholengemeenschap Spieringshoek in Schiedam hebben de cijfers van hun proefwerken aangepast. Dat kon omdat een klasgenoot erin was geslaagd het slecht beveiligde leerlingvolgsysteem van de school te hacken.

De fraude is vorige week ontdekt, maar volgens bronnen speelt de zaak al langer. Dat meldt RTV Rijnmond op haar site.

De hackende scholier zit in 4 havo en zat al langere tijd thuis. Klasgenoten hebben gezegd dat de jongen van plan was naar een andere school te gaan. De hacker is geschorst; de school wil hem definitief wegsturen. De computerinbraak is gemeld bij de politie, die een onderzoek is gestart.

Voor de gein

Een medeleerling vertelt dat de jongen in eerste instantie probeerde voor de gein het schoolnetwerk binnen te dringen. Dat lukte tot zijn verbazing vrij gemakkelijk. Hij had toegang tot cijferlijsten en leerlingendossiers. Daarnaast kon hij een lijst met de netwerkwachtwoorden van alle docenten inzien. Leerlingen uit verschillende jaargangen van Spieringshoek kregen die wachtwoorden doorgespeeld, en konden zo hun eigen cijfers aanpassen.

Rector Ter Laak van Spieringshoek bevestigt dat er gesjoemeld is met cijfers. Hij wil niet veel kwijt over het incident. De school is nog volop in gesprek met ouders en leerlingen en wil dat onderzoek niet beïnvloeden. “Belangrijkste is dat ons waarschuwingssysteem deugt, want de alarmbellen zijn afgegaan nadat het systeem zelf grote wijzigingen ontdekte. En we hebben gelukkig voldoende back-ups, dus de oorspronkelijke cijfers zijn allemaal weer teruggeplaatst”, aldus Ter Laak.

Sommige leerlingen zeggen niets van de aanpassingen te weten, anderen bevestigen hun medewerking. Een deel van hen is geschorst.

Lees meer over Beheer OP AG Intelligence
2
Reacties
Anoniem 08 juni 2017 16:30

Als (heel) oud Spieringshoeker verbaas ik me er over dat er bestanden op een server staan met leesbare wachtwoorden. Het is al tientallen jaren NOT-done om wachtwoorden leesbaar op te slaan. Sterker nog: ook encryptie (versleuteling) van wachtwoorden is eigenlijk ten strengste verboden, want iets wat je encrypt kun je ook weer decrypten. In plaats daarvan dienen wachtwoorden, direct na het invoeren ge-hashed te worden. Hashing is ook een soort van encryptie, maar onomkeerbaar. Uit een hash kun je NOOIT meer het originele wachtwoord terugtoveren. (Wiskundig is hashing een vorm van projectie - uit een geprojecteerde schaduw kun je niet meer de kleur van je jas bepalen). Je vraagt je misschien af: hoe kun je een wachtwoord dan controleren? Nou, simpelweg door het ingevoerde wachtwoord weer te hashen en de twee hash-codes met elkaar te vergelijken. Veelgebruikte methodes zijn MD5 en SHA hashing.
Maar wacht: er bestaan databases met de SHA en/of MD5 hashcode van duizenden veelgebruikte wachtwoorden. Door in zo'n database te zoeken kun je soms een wachtwoord achterhalen, toch? Ook hier zijn al tientallen jaren diverse oplossingen voor, zoals bijvoorbeeld het automatisch toevoegen van een zogenaamde SALT-tekst voor of achter het wachtwoord, zodat de hashcodes voor dezelfde passwords niet overal identiek zijn.
Hoe je het ook oplost: het opslaan van wachtwoorden in een file op de server kan anno 2017 echt niet meer! Foei!

Anoniem 08 juni 2017 16:30

Als (heel) oud Spieringshoeker verbaas ik me er over dat er bestanden op een server staan met leesbare wachtwoorden. Het is al tientallen jaren NOT-done om wachtwoorden leesbaar op te slaan. Sterker nog: ook encryptie (versleuteling) van wachtwoorden is eigenlijk ten strengste verboden, want iets wat je encrypt kun je ook weer decrypten. In plaats daarvan dienen wachtwoorden, direct na het invoeren ge-hashed te worden. Hashing is ook een soort van encryptie, maar onomkeerbaar. Uit een hash kun je NOOIT meer het originele wachtwoord terugtoveren. (Wiskundig is hashing een vorm van projectie - uit een geprojecteerde schaduw kun je niet meer de kleur van je jas bepalen). Je vraagt je misschien af: hoe kun je een wachtwoord dan controleren? Nou, simpelweg door het ingevoerde wachtwoord weer te hashen en de twee hash-codes met elkaar te vergelijken. Veelgebruikte methodes zijn MD5 en SHA hashing.
Maar wacht: er bestaan databases met de SHA en/of MD5 hashcode van duizenden veelgebruikte wachtwoorden. Door in zo'n database te zoeken kun je soms een wachtwoord achterhalen, toch? Ook hier zijn al tientallen jaren diverse oplossingen voor, zoals bijvoorbeeld het automatisch toevoegen van een zogenaamde SALT-tekst voor of achter het wachtwoord, zodat de hashcodes voor dezelfde passwords niet overal identiek zijn.
Hoe je het ook oplost: het opslaan van wachtwoorden in een file op de server kan anno 2017 echt niet meer! Foei!

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.