DoS aanvallen op (Smart)scho(o)len – vervolg

Folluwup op https://www.ba.be/denial-of-service-aanvallen-op-smartschoolen/

Als stukjesschrijver heb je vaak ook reactie op wat je schrijft. En gezien ik mijn brood al lang niet meer verdien met mijn pen is dat een goeie zaak: ik schrijf stukken om mijn verontwaardiging, bezorgdheid of mening kwijt te raken. En vooral, met de vaak dromerige hoop, om een klein steentje te kunnen verleggen en het allemaal beter te maken.   Het is ook de rol van de journalistiek en media om alles voldoende scherp te stellen dus ik klaag ook niet als een journalist de scherpste passages uit mijn stukken haalt.

Zo ook het stukje over de Denial-of-service aanvallen op scholen en in mindere mate smart school. Ik vermeld in mijn stuk duidelijk dat er een aspect cover-your-ass inzit voor de leverancier van de smartschool toepassing. Telkens als je zoiets schrijft, mag je je aan reactie verwachten en eigenlijk is dit ook wat ik wil bereiken. Ik wil dat problemen opgelost worden en dat de algemene veiligheid een stapje beter wordt.

Onze vrienden van smartschool hebben net als de hele ICT-sector een tsunami over zich heen gekregen en, zo goed en zo kwaad als ze kunnen, met beperkte middelen alles drijvende gehouden.  Maar naar mijn mening is er nog werk aan bepaalde aspecten van hun omgeving. Neem nu het punt waar je binnenkomt school.smartschool.be verwijst allemaal naar één collocatie in Nederland. Ik wil jullie niet vervelen met technische details maar hier is nog wat verbeterruimte: 1 host voor alle entrypoints (*.smartschool.be dus ook bv zweinstein.smartschool.be of notso.smartschool.be we mogen eens lachen),  geen DNSSEC, wildcard SSL setup die nog End-of-life protocollen TLS 1.0 en 1.1 ondersteunt.  Opvallend is ook dat de responstijd van infrastructuur van overal reageert op +- 10ms (best OK dus)  maar vanop een telenet-lijn pas na +- 30ms. Soit, kan een momentopname zijn.

En ja misschien is cover-your-ass zeggen wel scherp gesteld maar ik zeg ook dat het een standaard reflex is van veel ICT-leveranciers en medewerkers is om eerst de klant in vraag te stellen en als een soort reflex er vanuit te gaan dat het probleem wel eens aan de andere kant kan liggen.  Voorbeelden hiervan genoeg, hoe vaak heb je al gehoord “it’s not a bug, it’s a feature”. Al te vaak moet je als eindklant eerst bewijzen dat het probleem aan de andere kant ligt, een standaard blinde vlek in onze sector waar ik zelf ook af en toe aan lijdt. 

Diensten aanbieden via Internet is een complexe business, het is moeilijk om end-to-end de werking van een dienst te garanderen als je maar een stukje van de keten in handen hebt en voor de rest moet vertrouwen op best effort van een partij die je niet kent.  Het is traag of het werkt niet is niet altijd een antwoord waar je iets mee aankan.  En het feit dat er een hoop digital natives eenzaam in hun kamertje teveel vrije tijd hebben om Denial-of-service-aanvallen op te zetten helpt ook niet.

Het is ook niet eenvoudig voor een ICT-coordinator om een (D)DoS-aanval of om het even welk netwerk-probleem op een correcte manier proberen vast te stellen.  In omgevingen met een beperkt budget zoals het onderwijs is het onmogelijk om hier dure oplossingen of consultants tegen te gooien om de miserie uit de wereld te helpen.  En daar zit de crux van dit verhaal: hoe kunnen we ervoor zorgen dat hier de veiligheidsinfrastructuur veiliger, beter wordt zonder dat er grote budgetten noodzakelijk zijn ?  

Waarom bouwen we met een aantal vrijwilligers geen gestandardiseerde open source oplossing die overal uitgerold wordt ?  Misschien kan de Vlaamse overheid hier zelfs een beperkt budget voor voorzien, subsidies moeten niet altijd naar dans, dressings of keukens gaan.  Als je hiervoor de nodige training via afstandsonderwijs en ondersteuning door vrijwilligers of – waarom niet – door ICT-studenten op voorziet is dit een gedegen oplossing.

Ik denk dat dit, net als het auditten van de infrastructuur, een geweldige proefopdracht voor ICT-studenten kan zijn. Ik zou het volgend jaar in ieder geval al willen opnemen in de security labo’s.