Olin tänään tutustumassa erääseen peruskoulu-lukion atk-luokkaan, jossa monen muun koulun tapaan on käytössä taiwanilaisen Lentenin Reborn-PCI-kortit, eli tietokone palautuu alkuperäiseen tilaansa uudelleenkäynnistyksen yhteydessä. Tuollaisen ratkaisun avulla esim. kioskikoneista ei tarvitse huolehtia, sillä niihin mahdollisesti tarttuneet haitakkeet poistuvat uudelleenkäynnistyksen yhteydessä.
Vaikkakin järjestelmän päivittäminen pysyvästi on mahdollista, valitettavan usein näin ei tehdä, eikä tässäkään tapauksessa. Tietokone oli asetettu olemaan valittamatta päivityksistä, ja niinpä koneesta löytyikin Windows XP SP 2 ja Firefoxista vanha 2-sarjan versio. En ryhtynyt tilanteen sopimattomuuden takia tarkemmin järjestelmää analysoimaan, mutta en lähtisi noin konfiguroidulla koneella tekemään mitään nettiselausta ihmeellisempää. Eli en kirjautuisi mihinkään, en kirjoittaisi esim. blogiani ja vielä vähemmän liittäisin järjestelmään omaa massamuistiani (=muistitikkua/ulkoista kiintolevyä…).
Kun vielä järjestelmässä kaikki käyttävät samoja tunnuksia, on tietoturva ja yksityisyys käytännössä olemattomia. Edes niin yksinkertaista toimenpidettä kuin Firefoxin yksityisyystietojen automaattista poistoa ei ollut kytketty päälle, ja näinpä vielä selaimen sulkemisen jälkeenkin seuraavalla käyttäjällä on melko vapaa pääsy edellisen käyttäjän tietoihin (keksit, välimuistit, sivuhistoria…).
Ottanen yhteyttä kyseisen kunnan IT-osastoon ensi tilassa ja tiedustelen hieman noista tietoturva-aukoista. Vähintä mitä he voivat tehdä on ilmoittaa järjestelmän käyttäjille (käytännössä siis oppilaat ja opettajat) ymmärrettävällä suomen kielellä että käytännössä kaikki syötetyt salasanat voidaan kaapata, ja näin on saattanut jo tapahtua.
Jos minun mielipidettäni korjaustoimenpiteiksi kysyttäisiin, suosittelisin maksimaalista siirtymistä Linux-verkkoon. Linux-verkossa jokaisella käyttäjällä voi olla oma käyttäjätunnus ja NFS-verkkojaossa oma kotikansio ja yhteiskansio. Muutenkin oikeuksien hallinta olisi helppoa ja worst case scenariossa käyttäjä voisi vaarantaa vain oman turvallisuutensa. Luonnollisestikin tällöinkin täytyy palvelimien ja työasemien päivityksistä huolehtia, mutta nuo voi asettaa päivittymään automaattisesti.
Jos (ja kun, näin uskon) oppilaitokset ovat myyneet sielunsa Microsoftille, hieman lievempi toimenpide olisi tehdä jokaiselle käyttäjälle oma tunnus ja verkkojakoihin oma kotikansio, kuten tiedän monien pienempienkin yhteisöjen (kuten työpaikkani, Oriveden seurakunnan) tehneen.
Mutta joo, kunhan ehdin joskus kotiinikin niin voisi laittaa sähköpostia tuosta asiasta, kirjoitan tänne sitten lisää kun heiltä kommenttia saan.
