BEZPIECZEŃSTWO PLATFORMY MOODLE

Moodle jest środowiskiem nauczania zdalnego, dostępnym przez przeglądarkę in-ternetową. Platforma jest rozprowadzana jako oprogramowanie Open Source zgodnie z licencją GNU GPL, jest zatem bezpłatna, co jest jedną z przyczyn jej popularności. Moodle jest systemem przetwarzającym również znaczną liczbę tzw. danych wrażli-wych, podlega typowym zagrożeniom i dotyczą go typowe procedury w zakresie za-pewnienia bezpieczeństwa. Utrzymaniu akceptowalnego poziomu bezpieczeństwa platformy ma służyć zestaw podstawowych zaleceń [110], w którego skład wchodzi:

Rozdział 15 146

• wykonywanie kopii bezpieczeństwa (samego systemu oraz treści edukacyjnych), • wykonywanie regularnych aktualizacji, również samej aplikacji,

• używanie silnych haseł dla administratora i nauczycieli, • stosowanie i egzekwowanie odpowiedniej polityki haseł,

• przydzielanie uprawnień nauczycieli tylko zaufanym użytkownikom, • nieuruchamianie na serwerach produkcyjnych środowisk testowych, • wykorzystanie podwójnych zapór sieciowych, w tym sprzętowych, • używanie kluczy dostępu do wszystkich kursów,

• korzystanie z danych o zagrożeniach i o stwierdzonych podatnościach.

Wymienione zalecenia mają charakter ogólny i stanowią zbiór luźno powiązanych propozycji, w związku z czym ich przydatność nie jest wielka. Znacznie szerzej wymienione zagadnienia omówione są w literaturze [21, 58], ale i tam punktem cięż-kości pozostaje bezpieczeństwo serwera i informacji w nim przechowywanych anali-zowane z punktu widzenia dostawcy usługi. Tymczasem co najmniej równie istotny jest punkt widzenia użytkownika platformy e-learningowej wykorzystującego ją jako wsparcie procesu dydaktycznego, a to oznacza konieczność wzięcia pod uwagę rów-nież zagrożeń bezpieczeństwa, jakie wiążą się z pozostałą częścią systemu – siecią komputerową i stacjami roboczymi. Ma to podstawowe znaczenie dla efektywności i wiarygodności procesu oceny. System Moodle dostarcza co prawda (skromnego) zestawu narzędzi (będzie o nich mowa w p. 14.2.2), umożliwiających przeciwdziała-nie w pewnym (ograniczonym) stopniu wspomnianym zagrożeniom, jednak sposób ich użycia, jak i większość zagadnień związanych z bezpieczeństwem sieciowym oraz bezpieczeństwem procesów realizowanych na stacjach roboczych pozostawiona została inwencji i odpowiedzialności użytkownika o uprawnieniach nauczyciela, który niekoniecznie musi być do tej roli przygotowany. Dodatkowo, na poziom bezpieczeń-stwa kursów Moodle ma wpływ uboga i trudno dostępna dokumentacja, niespieszna reak-cja zespołu projektowego na zgłaszane luki w bezpieczeństwie, praktyka polegająca na usuwaniu luk dopiero w kolejnych wersjach i mało skuteczny system informowania o wykrytych podatnościach [23].

15.2.1. ZAGROŻENIA BEZPIECZEŃSTWA W PROCESIE EKSPLOATACJI

Istnieje grupa specyficznych zagrożeń związanych z charakterem procesu informa-cyjnego, w którym system Moodle jest wykorzystywany. Ich waga wynika z rozbież-nych celów aktorów oraz złożoności, nieprzewidywalności, a niekiedy również błę-dów w organizacji środowiska, w jakim proces przebiega. Egzaminowanie z wykorzy-staniem platformy Moodle w oczywisty sposób angażuje – oprócz serwera – sieć komputerową oraz stacje robocze wykorzystywane przez osoby poddawane testom. Najistotniejsze zagrożenia dla tego procesu można scharakteryzować w następujący sposób:

Z1. niepewność adekwatności, czyli wątpliwość co do stopnia samodzielności w wykonywanych zadaniach egzaminacyjnych i pewności odzwierciedlania stanu wiedzy zdającego,

Z2. zagrożenie podmianą tożsamości uczestnika egzaminu, czyli deklarowaniem nieprawdziwej tożsamości przez osobę uczestniczącą w teście albo deklaro-wanie tożsamości właściwej, ale uczestniczenie w teście w sposób skryty, celowo spoza środowiska kontrolowanego przez osobę zarządzającą procesem testowania,

Z3. zagrożenie utratą poufności treści zadań egzaminacyjnych, Z4. zagrożenie dla dostępności systemu.

Wymaganie adekwatności (Z1) wykonywania testów oznacza również, że egzami-nujący oczekuje, że egzaminowany nie będzie miał dostępu do innych pomocy niż te, na których używanie zezwolił, w szczególności że nie będzie on mógł ani wyszukiwać odpowiedzi w Internecie, ani komunikować się w sposób skryty z zorganizowaną gru-pą wsparcia. W dobie rozwoju technologii komunikacyjnych zagrożenie to stanowi narastający, coraz poważniejszy problem. E. Weippl proponuje [87], by sale egzami-nacyjne wyposażać w systemy zakłócające łączność komórkową, co jest oczywiście możliwe, acz kosztowne niestety.

Egzaminujący chciałby mieć również pewność, że jest w stanie zidentyfikować osoby uczestniczące w teście (Z2) niezależnie od tego, jak autoryzują się one wobec systemu i że żadna nie będzie mogła „podrzucić” systemowi sfałszowanej pracy. Do tej kategorii należą przypadki skrytego, nieuprawnionego uczestnictwa w teście z lo-kalizacji znajdującej się poza kontrolą osoby przeprowadzającej egzamin, np. z kawia-renki internetowej lub z dowolnego miejsca będącego w zasięgu uczelnianego punktu dostępowego WiFi.

Zagrożenie dla poufności treści zadań egzaminacyjnych (Z3) oznacza możliwość skopiowania i upublicznienia zarówno całej puli zadań testowych, jak i treści zadań przydzielanych w trakcie testu poszczególnym jego uczestnikom, często już w trakcie trwania egzaminu.

Zagrożenie Z4 polega na celowych działaniach, które mogą być podjęte w sytuacji, w której osoba poddana procedurze testowej zdaje sobie sprawę z nikłych szans na pozytywny wynik testu i podejmuje próbę (niekiedy z udziałem osób trzecich) spowo-dowania upadku systemu, zablokowania komunikacji lub innych działań o podobnych skutkach.

15.2.2. OPCJE KREATORA QUIZÓW MOODLE’A SŁUŻĄCE ZMNIEJSZENIU POZIOMU RYZYKA

Istotą działań dotyczących poprawy bezpieczeństwa jest znaczące obniżenie poziomu ryzyka. System Moodle wyposażony został w (skromny) zestaw narzędzi, które można w tym celu wykorzystać, należy jednak pamiętać, że na poziom ryzyka mają wpływ

Rozdział 15 148

podatności wynikające z nieprzemyślanej lub kompletnie przypadkowej organizacji środowiska laboratoryjnego i sieciowego, w którym proces egzaminowania jest prze-prowadzany. Podatności te powinny zostać zidentyfikowane, ich wpływ uwzględniony [70].

Kreator quizów Moodle’a wyposażony został w zestaw opcji, które mogą być wy-korzystane w celu zwiększeniu bezpieczeństwa procesu egzaminowania:

A. każdy element kursu Moodle’a, również quiz, może być niedostępny i niewi-doczny dla jego uczestników tak długo, jak jest to konieczne,

B. quiz może mieć ustawiony bezwzględny czas startu i zakończenia (odliczany przez zegar serwera),

C. uruchomienie quizu na stacji roboczej może być uzależnione od podania hasła; jest ono identyczne dla całego quizu i wszystkich użytkowników oraz obowią-zuje do jego zmiany lub wyłączenia opcji,

D. dostęp do quizu może być ograniczony do pewnej grupy (grup) stacji robo-czych o określonych explicite adresach IP,

E. możliwe jest ustawienie tzw. ”bezpiecznego okna”; ustawienie tej opcji skut-kuje przesłaniem skryptu, który teoretycznie powinien spowodować wyświe-tlenie na stacji roboczej zawartości quizu w nowym – pełnoekranowym oknie przeglądarki, pozbawionym narzędzi nawigacji oraz wyłączenie niektórych funkcji interfejsu GUI, tj. kopiowanie ekranu, przełączanie między aplikacja-mi, menu kontekstowego wywoływanego prawym klawiszem myszy itp. Przemyślane użycie opcji A i B zmniejsza ryzyko związane z zagrożeniem różnego rodzaju penetracją obiektu, który jest widoczny w sieci zgodnie z zasadą, że prawdo-podobieństwo złamania zabezpieczeń i penetracji i jest wprost proporcjonalne do cza-su jego dostępności.

Uzależnienie dostępu do quizu od hasła (opcja C) umożliwia ograniczenie zagro-żenia Z1 związanego z nieadekwatnością egzaminu. Hasło powinno być podawane grupie osób uczestniczących w teście tuż przed jego rozpoczęciem, co ogranicza moż-liwość wzięcia w nim udziału poza kontrolą osoby przeprowadzającej test. Hasło to jest jednak tak długo tajne, jak długo uczestnicy egzaminu go nie znają. Od momentu ujawnienia może ono być przekazane (przez SMS, komunikator internetowy czy inne środki techniczne) komukolwiek, co umożliwia uczestniczenie w procesie egzamino-wania osobie spoza grupy kontrolowanej przez egzaminującego, o ile możliwość ta nie została wyeliminowana w inny sposób.

Teoretycznie takim dodatkowym sposobem jest posłużenie się opcją (D) umożli-wiającą ograniczenie puli stacji roboczych, z których możliwe jest uzyskanie dostępu do quizu. Weryfikacja następuje na podstawie zgłaszanego adresu IP stacji, a grupa dopuszczalnych adresów określana jest dla każdego quizu indywidualnie. Skuteczność opcji (D) (jak również E) zależy od topologii i organizacji środowiska sieciowego po stronie użytkownika platformy oraz od typu i konfiguracji oprogramowania wykorzy-stywanego na stacjach roboczych i konfiguracji samych stacji roboczych. Skuteczność

ta może być więc ograniczona lub żadna. Wspomniane hasło może być w praktyce zmienione dopiero w momencie, kiedy ostatnia osoba z grupy aktualnie egzaminowa-nej otworzy okno z zadaniami egzaminacyjnymi i czas ten może zostać wykorzystany przez intruza na próbę uruchomienia quizu. Identyfikacja takiej sytuacji nie jest łatwa, wymaga od osoby nadzorującej egzamin natężenia uwagi i śledzenia zdarzeń zacho-dzących w systemie przy braku narzędzi wspomagających i ostrzeżeń. Opisane zagro-żenie jest realne i nietrudno się osobiście zetknąć z próbami przeprowadzanymi w sposób podobny do opisanego.

Nieskuteczność zastosowania opcji D i E jest najczęściej skutkiem braku możliwo-ści technicznych, np. możliwomożliwo-ści odpowiedniego zarządzania adresami, możliwomożliwo-ści dostosowania istniejącej topologii sieci uczelnianej do potrzeb i rodzaju oraz własno-ści użytkowych wykorzystywanego sprzętu sieciowego, albo braku inicjatywy i nie-wykorzystania istniejącej możliwości rekonfiguracji sieci tak, by zabezpieczenia mo-gły być w pełni wykorzystane.

Instytucja edukacyjna najczęściej ma własny serwer Moodle’a wykorzystywany zarówno do udostępniania materiałów dydaktycznych jak i do przeprowadzania testów i egzaminów. Wymagane jest, aby serwer ten był widoczny z Internetu, a dla osób uprawnionych dostęp do wspomnianych materiałów powinien być nieograniczony, co oznacza, że serwer powinien być widoczny na jednym z przydzielonej instytucji puli oficjalnych adresów internetowych. Zarówno serwer Moodle’a, jak i laboratoria wy-korzystywane do celów e-edukacji i e-egzaminowania są zwykle umieszczone za za-porą sieciową (i słusznie) oraz za NATem1. W takiej sytuacji NAT, ze względu na konieczność dostępu z zewnątrz do świadczonych usług, odwzorowuje rzeczywisty adres internetowy serwera Modle’a na adres IP z puli adresów wewnętrznych w sto-sunku 1:1. Całą resztę adresów wewnętrznych, – a przynajmniej tę część, która przy-pada na laboratoria, w tym i te, które wykorzystywane są jako pracownie egzamina-cyjne – konfiguruje się w tzw. trybie przeciążenia portu, co oznacza, że wszystkim wewnętrznym adresom IP odpowiada jeden (lub kilka) adres zewnętrzny. W konse-kwencji z poziomu serwera Moodle adresy stacji w sieci wewnętrznej są najczęściej nierozróżnialne. W wyjątkowo nieprzemyślanej konfiguracji może być tak, że każdy komputer, który dołączy się do sieci wewnętrznej przez WiFi i otrzyma przez DHCP adres IP z puli adresów wewnętrznych, będzie widziany przez Modle jako stacja o adresie IP identycznym z pozostałymi stacjami.

Podobna sytuacja może wystąpić, gdy serwer Moodle’a będzie funkcjonował nie na odwzorowywanym 1:1 adresie wewnętrznym, lecz na jednym z oficjalnych adre-sów internetowych. Dla NATa będzie się znajdował po stronie zewnętrznej i przy jego najprostszej a spodziewanej konfiguracji należy oczekiwać opisanego efektu. W takiej

1 NAT (ang. Network Address Translation) – metoda prezentowania (ukrywania) komputerów nale-żących do sieci prywatnej pod wspólnym adresem IP; [tu:] NAT – urządzenie wykonujące czynność translacji adresów (przyp. red.).

Rozdział 15