Τομέας Ψηφιακής Πολιτικής: Κίνδυνος για κακόβουλους χρήστες στη σχολική εφαρμογή του Webex;

News
24 Νοέ, 2020

Η εταιρία IBM, συνεργάτις της CISCO, ανακοίνωσε πως το πρόγραμμα Webex, η πλατφόρμα που πρέπει να χρησιμοποιούν οι μαθητές για να παρακολουθήσουν τα μαθήματα τους, έχει τρία σοβαρά κενά ασφάλειας (CVE-2020-3441, CVE-2020- 3471, CVE-2020-3419).

Εκμεταλλευόμενος αυτά τα κενά, ένας κακόβουλος χρήστης μπορεί να παρευρίσκεται σε ένα μάθημα ως αόρατος (ghost), δηλαδή χωρίς να εμφανίζεται στην λίστα παρευρισκομένων, με αποτέλεσμα ο δάσκαλος να μην γνωρίζει ποιος πράγματι παρακολουθεί το εικονικό μάθημα. Μάλιστα, ο χρήστης-ghost μπορεί να παραμείνει στο μάθημα ακόμα και αν ο καθηγητής προσπαθήσει να τον διώξει. Κυρίως όμως, μπορεί να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες των μαθητών, όπως τα ονόματά τους, τα email τους και οι διευθύνσεις IP των συσκευών τους. Να σημειωθεί πως, σύμφωνα με την IBM, μια απλή ενημέρωση της εφαρμογής δεν είναι αρκετή για να προστατευτούν οι χρήστες της εφαρμογής· για κάθε συνεδρία, θα πρέπει να χρησιμοποιείται διαφορετικός μοναδικός κωδικός.

Το πρώτο ερώτημα που προκύπτει, και το οποίο πρέπει να απαντήσει η κυβέρνηση, είναι κατά πόσον υπήρξε κάποια διαρροή δεδομένων μαθητών, λόγω αυτών των κενών ασφαλείας. Δεύτερον, έχουν ενημερωθεί οι καθηγητές για το τι πρέπει να κάνουν ώστε να προστατεύουν τους μαθητές τους από αυτή την απειλή; Θα μπορέσει το σύστημα να αντέξει πιθανόν επιπλέον φόρτο εργασίας ή θα καταρρεύσει ακόμα μια φορά; Τρίτον, έκανε η κυβέρνηση έκθεση εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ), ως προς τους κινδύνους για τα δικαιώματα και τις ελευθερίες των δεδομένων των μαθητών και τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων;

Πολύ σοβαρά ερωτήματα όμως προκύπτουν και ως προς τους λόγους επιλογής του Webex. Συγκεκριμένα, αναρωτιόμαστε αν το Υπουργείο Παιδείας (σε συνεργασία πιθανόν με το Υπουργείο Ψηφιακής Διακυβέρνησης) συνέταξε συγκριτική έκθεση των διαθέσιμων επιλογών, προτού καταλήξει στο συγκεκριμένο προϊόν. Είναι γνωστό ότι το Webex απευθύνεται πρωτίστως σε χρήση εταιρικών meetings, όχι σε διαδικασίες τηλεκπαίδευσης. Άλλωστε, πολλά ιδιωτικά ιδρύματα και πανεπιστήμια επιλέγουν άλλες, καταλληλότερες και πλέον στοχευμένες, λύσεις. Σκοπεύει η κυβέρνηση να εξηγήσει με ποια διαδικασία έγινε η επιλογή της πλατφόρμας, καθώς και τη σχετική μελέτη στην οποία -ελπίζουμε να- βασίστηκε; Εάν το Webex είναι το πλέον κατάλληλο, γιατί η κυβέρνηση εμμένει στην αποκλειστική χρήση του στα δημόσια αλλά όχι και στα ιδιωτικά ιδρύματα; Επιπλέον, πώς διασφαλίζεται η ασφάλεια μαθητών και εκπαιδευτικών από παρόμοια περιστατικά στα ιδιωτικά ιδρύματα, τα οποία είναι επίσης αρμοδιότητα του Υπουργείου;

Εν τέλει, πότε σκοπεύει να δημοσιοποιήσει η κυβέρνηση τη σύμβαση με τη Cisco για τη χρήση Webex στη δημόσια εκπαίδευση και να σταματήσει να επικαλείται έκτακτες συνθήκες εννέα μηνών για να αυθαιρετεί;

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-info-leak-PhpzB3sG

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-infodisc-4tvQzn4

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-auth-token-3vg57A5r

https://www.zdnet.com/article/cisco-webex-bugs-allow-attackers-to-join-meetings-as-ghost-users/

Τομέας: Ψηφιακής Πολιτικής | 210-3810671 | [email protected]

Ο τομέας επεξεργάζεται κυρίως πολιτικές αναφορικά με τις ψηφιακές υποδομές, το λογισμικό και τη μηχανοργάνωση στη χώρα, την πρόσβαση όλων στην τεχνολογία και το διαδίκτυο χωρίς γεωγραφικά ή ταξικά εμπόδια, την τεχνολογική κυριαρχία έναντι μονοπωλιακών συμφερόντων, καθώς και την διαφύλαξη της ουδετερότητας του διαδικτύου.

Θέλεις να μαθαίνεις για τις δράσεις του ΜεΡΑ25; Γράψου εδώ.

Μετάβαση στο περιεχόμενο