Openbare pentest classroom scanners in Lipsius
Op maandag 28 maart wordt een zogeheten pentest uitgevoerd om de veiligheid te checken van de classroom scanners. Deze personentellers in universitaire gebouwen zijn in december tijdelijk uitgezet na de onrust die ontstond over privacy-aspecten van de apparaten. De pentest wordt uitgevoerd in het Lipsius-gebouw van de Faculteit Geesteswetenschappen. Lees hieronder wat dit voor jou betekent.
Wat is een pentest?
Een pentest is een penetratietest waarbij ethical hackers systemen en netwerken onderzoeken op kwetsbaarheden. Deze hackers proberen voor een opdrachtgever (in dit geval de universiteit) ongeautoriseerd toegang te verkrijgen tot informatie en/of systemen. Hiermee kunnen eventuele kwetsbaarheden aan het licht komen die vervolgens met de opdrachtgever (de universiteit) worden gedeeld in een rapportage. In deze rapportage wordt ook geadviseerd op welke wijze deze kwetsbaarheden verholpen kunnen worden.
Wanneer is de pentest?
De pentest vindt plaats op maandag 28 maart van 09:00-17:00 uur.
Waar is de pentest?
De pentest wordt uitgevoerd in een ruimte op de begane grond van het gebouw Lipsius aan de Cleveringaplaats 1 van de Faculteit Geesteswetenschappen. Tegelijkertijd zal er een informatiebalie in de centrale hal op de begane grond zijn waar vragen beantwoord kunnen worden.
Wie voert die pentest uit?
De pentest wordt uitgevoerd door een ethical hacker van een extern bureau (LBVD) en twee ethical hackers die nog studeren.
Wat gebeurt er tijdens de pentest?
Tijdens deze pentest wordt onderzocht of een recente firmware-update van de fabrikant (firmware is vaste software die nodig is voor de werking van een apparaat, maar waarin de gebruiker zelf geen wijzigingen kan aanbrengen) en de wijzigingen aan het netwerk de eerder aangetoonde kwetsbaarheden hebben verholpen. Dit wordt getest met een beperkt aantal scanners die op die dag tijdelijk worden aangezet. Het onderzoek wordt gedaan vanuit het perspectief van een aanvaller die misbruik wil maken van het systeem, door zowel vanaf het internet als via het interne netwerk zichzelf toegang te geven tot de informatie en systemen. Daarnaast wordt onderzocht welke kwetsbaarheden er zijn als hackers direct in de sensoren zelf binnen proberen te komen.
Welke scanners staan aan en wat betekent dit voor passanten?
De volgende scanners in het Lipsius staan tijdelijk aan om de pentest goed te kunnen uitvoeren: bij de entree/hoofdingang, bij de zuid-ingang, en verder in de zalen 0.01, 0.02, 0.03, 0.05 en 0.28. De scanners worden aangezet op het hoogste veiligheidsniveau, hierbij komen gegarandeerd geen mensen in beeld. De informatie wordt ook niet opgeslagen. De scanners die worden aangezet tellen alleen de aanwezigen/passanten voor de pentest (zij zijn dus onzichtbaar).
Waarom is de pentest eigenlijk openbaar?
Het doel van de open demonstratie van het werk van de ethical hackers is om openheid en transparantie te betrachten bij de vervolgstappen met de scanners, zoals deze pentest. We willen aan onze gemeenschap ‘live’ laten zien wat we met de sensoren doen, zoals deze test, en waarom we dat doen. We willen medewerkers en studenten betrekken bij de wijze waarop we de komende periode omgaan met de veiligheids- en privacyaspecten die bij een dergelijk systeem komen kijken. Er zijn daarom ter plekke deskundigen aanwezig die vragen kunnen beantwoorden.
Kunnen medewerkers/studenten meekijken/vragen stellen?
Op 28 maart is de hele dag een informatiebalie bij de receptie in het Lipsius geopend voor eventuele vragen.
Wat gebeurt er met de resultaten van deze pentest?
De resultaten van de pentest worden met de Universiteit Leiden gedeeld middels een rapportage waarin ook adviezen worden meegenomen om de eventuele gevonden kwetsbaarheden te verhelpen. Mochten de resultaten positief zijn, dan betekent dit overigens niet dat de sensoren meteen weer worden aangezet. Deze pentest is alleen bedoeld om de veiligheid te controleren en eventueel verder te kunnen verbeteren, andere aspecten worden hierin niet meegenomen. De universiteit neemt pas een besluit als ook de rapportage over privacy-aspecten afgerond is en neemt in dit besluit ook mee de inzichten die zijn opgehaald tijdens het wetenschappelijke symposium ‘Technologie en vertrouwen’ van 2 februari.