Leverandør efter udsendelse af trusselsbeskeder via Aula: Nogen har fået fat i brugernavn og adgangskode

Lidt sent i debatten:

Det kunne vel være sådan: Når lille Louise har glemt sit password, så klikker læreren een gang ud for hendes navn på klasselisten og får et simpelt eendags-password på fire tegn som kan skrives på en lap. Selvom Peter også har glemt det, så ødelægges vel ikke dagens tidsskema ?

De MÅ da, som minimum, være stærkt upædagoisk at vise eleverne eksistensen af en liste med passwords eksisterer.

Er det virkelig sådan ? Det synes at fremgå, at passwords er fixed format xxxxyyzzz. Det MÅ da være sværere at huske og lettere at hacke end et password på flere tegn, e..g.: "mors julebag" eller "fars kædesav" eller "hundemad".

Årsagen lå ikke på skolerne men ved en medarbejder der sad langt oppe i systemet med uni-login og derfor havde adgang til brugerkonti i bredforstand så det er langt fra sikkert at adgangen har noget med Aula at gøre men nok mere med uni-login og hvem der har adgang der.

Forhåbentligt blev vedkommende fyret, og dømt til at betale en pæn erstatning til de snageramte?

I det gamle skoleintra har der også været mindst en sag hvor konti på forskeldige skoler blev anvendt til at snage i ting som ikke snages i. Årsagen lå ikke på skolerne men ved en medarbejder der sad langt oppe i systemet med uni-login og derfor havde adgang til brugerkonti i bredforstand så det er langt fra sikkert at adgangen har noget med Aula at gøre men nok mere med uni-login og hvem der har adgang der. Så måske Versions journalister skulle begive sig ud i diciplinen omkring undersøgende journalistik og se på andre en Auls( selv om der nok er flere klik i Aula end i Uni-login)

... hvad siger du så lige til dette:

På Nysted Skole har personalet brugt morgenen på at berolige børn og forældre sammen med politiet, det fortæller skoleleder Brian Brodersen.</p>
<p>Han forklarer, at det er en af skolens elevers Aula-konto, der er blevet misbrugt.</p>
<p>Der er blevet sendt en besked ud fra elevens konto om, at han er blevet truet til at lave den her trussel, og han spørger om nogen kan hjælpe ham og alt muligt andet. Vi har talt med eleven, og han aner ikke, hvad der er op og ned, siger Brian Brodersen og tilføjer:
Det er grovkornet spøg.</p>
<p>Ifølge skolelederen har den pågældende elev aldrig været logget ind på Aula. <strong>Derfor ved de ikke, hvordan det kan lade sige gøre at hacke kontoen.</strong>

Mener du, mere end i forvejen alt for meget? Jo, det kan der godt være tale om.

Tak for svar, Bjarne Nielsen.

Det er muligt, at jeg har misforstået artiklen/historien, for jeg fik indtryk af, at børnenes data/beskeder er blevet yderligere blotlagte - det er måske en misforståelse fra min side.

Skal det forstås sådan, at også børnenes beskeder/oplysninger nu er mere eller mindre offentligt tilgængelige for mange medarbejdere ?

Øh, ja? Det er da nærmest almen viden. Jeg tror, at det var i Kjærulfs Aflyttet, at jeg hørte tale om at en borger var blevet udsat for at sagsbehandlere talte om emnet for den stil, som hun engang i 8. klasse havde skrevet. Jeg husker ikke, om de anså det som værende relevant eller bare prøvede at small-talke, men det må have været både chokerende og ydmygende.

Nu henviser du til Zuboff, og så du ved vel, at hun taler om både "economy of scale" og "economy of scope"; det er ikke nok, med viden om flest mulige, det er også vigtigt at vide mest muligt om dem, og derfor skal der trækkes på så mange forskelligartede kilder som muligt (og det skal gøres så svært som muligt at undslå sig).

For du tror vel ikke på, at projekter, som f.eks. disse, som vi så i en anden artikel, kun skal trække på sundhedsdata:

• Målrettede beskæftigelsesindsatser til ledige borgere (Odense Kommune)
• Bedre match mellem ledige borgere og virksomheder (Københavns Kommune)

Nej, da, for jo bredere datagrundlag vi har, jo bedre forskning og forudsigelser kan vi lave, og jo tidligere kan vi gribe ind og få folk ensrettet og tilbage i folden.

Virksomhederne øjner ny vækstområder, og myndigheder bliver lovet effektiviseringer og besparelser. Og du vil da ikke betale mere i skat end nødvendigt vel? Og vil du tage ansvaret for dem, som vi ikke får opsporet i tide? Win-win-win-win. What's not to like?

Bemærk i øvrigt det selvopfyldende i profetien: hvis det imod forventnint ikke indfrier de lovede mål. som er det ikke ideen, som har fejlet ... så er det fordi, at den ikke er blevet fordret med nok data. Så lad nu være med at sabotere fremtiden ved at stritte imod. Giv den flere data, i bredden og dybden, så skal du bare se løjer!

Måske Frank Stjerne burde læse straffelovens §263 som er den der tages udgangspunkt i vedr. hacking - især stk. 2 ....

https://danskelove.dk/straffeloven/263

Jf. https://www.version2.dk/artikel/strid-med-principperne-gdpr-laerer-kunne-laese-kollegers-private-beskeder-aula-1089454 er det svært at se om det er børnenes beskeder / oplysninger eller om det er information om personale på skolerne eller begge del.

Når man læser Kombit's svar virker det til, at det måske ikke har hensigten at disse beskeder, f.eks. personalesager, skulle migreres over.

Nu ved jeg ikke hvordan data var strukturet i Skoleintra, men man kunne få den tanke og frygte at det var rigtig dårlig struktureret og derfor meget svært at migrere automatisk uden fejl. Der ud over kunne der måske også være beskeder oprettet forkert af personalet i Skoleintra og derfor kommet med over Aula ved en fejl.

Fra Politiken-artiklen:

"»Det kan godt være, at jeg juridisk set er en betroet medarbejder, men rent etisk er den enkelte medarbejder ikke blevet oplyst om, at jeg eller andre - f.eks. ledelsen - kan gå ind og læse deres arkiverede data fra Skoleintra. "

"Hos Kombit siger pressechef Henrik Kirkeskov, at det hele tiden har været meningen, at overførslen af data - også kaldet migreringen - skulle gælde dokumentation, der handlede om børn, så det ikke risikerede at gå tabt i forbindelse med lukningen af Skoleintra."

Skal det forstås sådan, at også børnenes beskeder/oplysninger nu er mere eller mindre offentligt tilgængelige for mange medarbejdere ?

Nu kan lærerne også læse hinandens private beskeder...https://politiken.dk/indland/uddannelse/art7510733/L%C3%A6rer-kunne-pludselig-l%C3%A6se-sine-kollegers-private-beskeder-i-Aula

Fremfor at nogen har fået adgang via en brugerkonto, så kunne det også være en mulighed at nogen har fundet en svaghed et andet sted i systemet. Fx et API kald eller en fil på serveren som kan kaldes direkte, som giver mulighed for at sende en besked. Den salgs ses ofte og behøver ikke nødvendigvis at kræve et større hackerangreb.

Det er vel stadig ikke klart, hvorfor 0. klasse skal i Aula ?

Og husk: Selv børn i 0.-klasse vokser op til at blive væmmelige terrorister en gang, hvis vi ikke passer på. Tidlig opsporing er vejen frem....

I Skoleintra kan enkelte lærere gives adgang til at se elevernes Unilogin. Hvis eleven har lavet koden om, kan den nye kode ikke læses, men læreren kan nulstille koden til standardværdien (som kan læses i klartekst) eller tildeles en ny kode. I Aula er dette ikke muligt, men den unilogin-ansvarlige på skolen kan stadig udskrive en oversigt over elevernes Unilogin (med standardkoden - ikke den evt. ændrede). På nogle skoler synes de (u-) ansvarlige at det er for bøvlet at eleverne laver koden om og indfører forbud mod at ændre koden. Husk i øvrigt, at Unilogin anvendes til stort set alle netbaserede læringsværktøjer - ikke kun Aula og sundhedsundersøgelser.

Vi kan vel være enige om, at disse tal faktisk er cifre.
Tal kan være af vilkårlig længde. Et ciffer er kun et tegn.</p>
<p>(Vi er på et fagmedie)

1. Det ser ud til at du fattede meningen.
2. Det er et fagmedie, men der er ikke sat adgangskontrol op, så vidt jeg ved.
3. Det er en styrke for debatten, hvis medarbejdere i politiet kan bidrage med info om deres fagsystemer, læger/sygeplejersker/lægesekretærer om sundhedsplatformen/EPJ, lærere/skolesekretærer om Aula/Unilogin. Kommentarer som din sender signal om at indblanding er uønsket, når de voksne taler (ofte om noget de ikke ved så meget om som de forestiller sig).
4. Du har ret i at der er tale om cifre - ikke tal.

Så er det vel kun spørgsmålet: Hvpr har læreren denne liste fra?

Et forslag kunne være fra konto oprettelse.

Måske flere personer, der uafhængigt at hinanden, er blevet fristet til at "lave rav i gaden", ...

Ja, eller "Minecraft-serveren". Børn er børn. Men disse børn risikerer at blive mødt af betjente i skudsikre veste og med maskinpistoler.

Er vi ude i, at vi lader bilnøglerne ligge frit fremme, eller stiller benzin, flasker, klude og tændstikker på bordet, og så bagefter bliver forargede over, at børn er børn, og at de opfører sig umodent og uforsigtigt, uden at forstå de fulde konsekvenser?

Jeg har sagt det før, men jeg siger det gerne igen: jeg sidder tilbage med en klar fornemmelse af, at vi gør det forkert. Der skal være plads til at man opfører sig umodent i den alder.

Hvis det er normalen med lister rundt omkring på skolerne, indeholdende brugernavne og adgangskoder, eller lån af hinandens login-oplysninger, er det let for andre at kopiere handlingen med at sende en trussel.

Da jeg i 3. (4.? 5.? det husker jeg ikke lige) tilbage lige før årtusindeskiftet skulle have udleveret login oplysninger til 'Skolekom' foregik det ved at læreren havde en liste med alle logins (som vi i øvrigt alle fik lov at se, sådan som jeg husker det).

Dengang fik vi et password på 3 bogstaver, 2 cifre og yderligere 3 bogstaver. Jeg fik udleveret passwordet: rvw32wrf - det undrer mig at en debatør ovenfor skriver at hans børn har fået udleveret svagere kodeord end vi gjorde for 20 år siden.

Men kære Frank, hvordan har nogen lige simultant fået fat i brugernavn og password for ni forskellige elever på ni forskellige skoler?

Måske flere personer, der uafhængigt at hinanden, er blevet fristet til at "lave rav i gaden", og sende trusler fordi de synes det er sjovt at efterligne den første der gjorde det?

Hvis det er normalen med lister rundt omkring på skolerne, indeholdende brugernavne og adgangskoder, eller lån af hinandens login-oplysninger, er det let for andre at kopiere handlingen med at sende en trussel.

Jeg er over alderen med skolepligtige børn og kender derfor kun Aula og UNI-login ud fra kommentarerne her.

Så er det vel kun spørgsmålet: Hvpr har læreren denne liste fra? Et adgangskodesystem med blot en anelse respekt for brugerne krypterer vel adgangskoderne, så ingen brugere kan andet end at konstatere at en given kode er korrekt eller forkert. Hvis systemet er i stand til at "spytte" en adgangskodeliste, så er det jo kun en "lærer"-konto, der skal kompromiteres.

Det er vel stadig ikke klart, hvorfor 0. klasse skal i Aula ?

Du må finde en ansvarlig du kan sprøge.

Men hvis Alle 32 Elever i 0.A har glemt deres kodeord, så kan det nemt tage hele timen hvis alle 32 koder skal gendannes, og der er ingen garanti for af de kan huske koden efter de har været til frikvarter

så det eneste man skal gætte er brugernavnet det ofte består af <4 tal og bogstaver>.

Det har en fast struktur (3 bogstaver, 2 tal, 3 bogstaver)

Vi kan vel være enige om, at disse tal faktisk er cifre.Tal kan være af vilkårlig længde. Et ciffer er kun et tegn.

(Vi er på et fagmedie)

@Finn: Da min ældste startede i skole i sommers, sagde læreren at vi ikke må ændre kodeordet. Som hun har printet ud og tapet fast til en mappe. Min kone, som er folkeskolelærer i udskolingen, fortæller, at lærere i SkoleIntra var i stand til at trække en liste over brugernavne og adgangskoder i klartekst.

Jeg krydser fingre for at det nye UniLogin bliver mere sikkert.

Nej, kodeordet er ikke enkelt og let at gætte. Det har en fast struktur (3 bogstaver, 2 tal, 3 bogstaver) men det giver stadig i praksis en rimelig kompleksitet...

Når jeg kigger i mine børns mapper hvor skolen har sat et mærkat ind med bugernavn og adgangskode, kan jeg blot konstatere at det for begge børn, ikke er korrekt det du skriver.

Mon det er forskelligt fra kommune til kommune?

Der er nogle voksne der stadig ikke er kommet der til
betyder det så af forældrene ikke skal have adgang til Aula

He he - nej, men man skal selv vide hvordan man resetter sit password hvis man har glemt det :-)

Pointen er sådan set lidt, at på den måde vi "uddanner" børnene, så vænner de sig jo til, at man bare kan spørge en eller anden om hvad deres password er.

Mange voksne er jo lidt undskyldt ved, at de er vokset op med blyant og papir. Men med børnene kunne man jo benytte sig af lejligheden til at lære i praksis lidt om IT sikkerhed.

Kunne det mon tænkes at de børn måske alle sammen spiller minecraft eller er på et eller andet forum/online spil, hvor de også skulle oprette sig med brugernavn og kode. Her har de så valgt at bruge deres unilogin?

Når man så en dag bliver i stand til at huske og forstå betydningen af sit pasword osv., så kan man komme på Aula.

Der er nogle voksne der stadig ikke er kommet der til betyder det så af forældrene ikke skal have adgang til Aula

ville det så ikke være mere relevant at læreren kunne skabe et nyt kodeord til barnet

Muligvis set fra et sikkerheds synspunkt Men hvis Alle 32 Elever i 0.A har glemt deres kodeord, så kan det nemt tage hele timen hvis alle 32 koder skal gendannes, og der er ingen garanti for af de kan huske koden efter de har været til frikvarter

Men kære Frank, hvordan har nogen lige simultant fået fat i brugernavn og password for ni forskellige elever på ni forskellige skoler?</p>
<p>

Ser ud til at de prøver at undgå dette i den nye version af UniLogin hvor der arbejdes med forskellige typer af adgangskoder afhængig af klassetrin. F.eks. benytter 0-3. klasse ikoner fremfor kodeord. Se https://viden.stil.dk/display/OFFSKOLELOGIN/Adgangskodepolitik.

Jeg tror faktisk ikke rigtigt jeg forstår, hvorfor børn i 0-klasse, der ikke er i stand til at huske et password - skal have adgang til Aula? Konceptet er vel simpelt: hvis man ikke er i stand til at håndtere en bruger/password, så arbjeder man med blyant og papir og får udleveret et skema som man kan hænge op derhjemme osv. Når man så en dag bliver i stand til at huske og forstå betydningen af sit pasword osv., så kan man komme på Aula. Eller?

Nej, kodeordet er ikke enkelt og let at gætte.

Hvis det ikke er let at gætte, hvordan kan der så være så mange kompromiterede brugernavn/kodeords-kombinationer? Det er jo ikke ligefrem fordi at der er tale om samme skole, endsige samme kommune eller region?

Det virker til at være en systemisk svaghed.

En mulighed er selvfølgelig, at du mangler et komma: "kodeord er ikke enkle, og nemme at gætte". F.eks. fordi at de er svære at huske, og det gør, at det generelt opstår uhensigtsmæssig, men nødvendig kompenserende adfærd, som gør dem nemme at gætte!

Men igen, mange af de eksempler på nødvendig kompenserende adfærd, som vi har hørt om (og som jeg også selv har mødt, så det virker til at være meget udbredt), forudsætter et vist element af fysisk nærhed, og vil ikke kunne skalere til hele landet.

Hvis brugernavn/kodeord ikke er nemme at gætte, hvordan forklares så de mange eksempler på misbrug, fordelt ud over hele landet? Systemfejl? Systematik i den tilsyneladende kompleksitet?

Derudover er det enkelte password super nemt at gætte og de et mere eller mindre ens allesammen, så det eneste man skal gætte er brugernavnet det ofte består af <4 tal og bogstaver>.

I den forbindelse kunne det være aldeles interessant at se nogle af trusselsbeskederne fra de berørte skoler.

De her børn, kan jo hverken stave eller læse, og har slet ingen forudsætninger for at lave passwords der ikke kan gættes.

Enig. Men hvorfor bliver dem, der bestemmer noget her til lands, så ved med at insistere på, at de skal? Og de skulle være de voksne?

Det er ganske simpelt fordi vi snakker børn ned i 0-klasse. Skulle læreren bruge tid på at ændre password hver eneste gang et barn i klassen havde glemt password, kunne læreren ikke lave andet.

De her børn, kan jo hverken stave eller læse, og har slet ingen forudsætninger for at lave passwords der ikke kan gættes. Derfor har læreren en liste.

Derudover er det enkelte password super nemt at gætte og de er mere eller mindre ens allesammen, så det eneste man skal gætte er brugernavnet det ofte består af <4 tal og bogstaver>.

Nå ja, og så bruges samme login til de elever der har fået udleveret en Chromebook af kommunen til den Google konti de har fået oprettet, så nu kan man også lægge videoer og alt muligt andet op på Youtube i en andens navn...

Så jeg tænker at Ole i 5-6 klasse der ved bare 2% mere end blot at bruge facebook ville være i stand til at lave de "løjer" som der her er sket.

Og jeg må nok indrømme, at tænker jeg tilbage på hvordan jeg selv var i 5-6. klasse. Så havde jeg nok også godt kunnet se det sjove i at sætte Danmark på den anden ende ved at gætte 10 brugernavne og passwords :)

... at Frank Stjerne faktisk ikke ved hvad hackning er:

Hvis man forstår, hvad hacking er, så er det at bryde ind i systemet.

Men kære Frank, hvordan har nogen lige simultant fået fat i brugernavn og password for ni forskellige elever på ni forskellige skoler?

"Lærerne har typisk en liste med elevernes adgangskoder, hvilket er praktisk i en undervisningssammenhæng"

Hvordan kan man forstå det? Hvis barnet har glemt adgangskoden ville det så ikke være mere relevant at læreren kunne skabe et nyt kodeord til barnet. I hvilke andre situationer er det nødvendigt for læreren at have en liste med kodeord?