Implementace bezpečnostních prvků LMS Moodle

Implementace bezpečnostních prvků LMS Moodle

T
T
Česká zemědělská univerzita v Praze
Provozně ekonomická fakulta
Doktorská vědecká konference
7. února 2011
THINK TOGETHER
Think Together 2011
Implementace bezpečnostních prvků LMS Moodle
Implementation of security improvements in LMS Moodle
Václav Lohr, Petr Benda, Štěpán Tesař
230
Abstrakt
Úvod
Příspěvek charakterizuje případovou implementaci možností
zabezpečení LMS Moodle na České zemědělské univerzitě
v Praze. V kontextu rozvoje internetových služeb založených
na nejnovějších technologiích a principech Web 2.0 dochází
postupně k inovacím současného prostředí celouniverzitního
e-learningového systému Moodle. Jednou z priorit tohoto
systému je zajištění bezpečnosti při psaní testů. Množina metod,
které je v současnosti možné použít ke zvýšení zabezpečení
testování, byla v roce 2010 rozšířena o modul nazvaný Moodle
Inspector.
Klíčová slova
Na začátku roku 2007 byl LMS Moodle na adrese moodle.czu.
cz oficiálně schválen jako celouniverzitní e-learningový systém
České zemědělské univerzity v Praze. Od té doby byl několikrát
upgradován, postupně vylepšován a stále zabezpečován, aby
reflektoval aktuální potřeby univerzity ve vztahu k pedagogům
a studentům. Počet uživatelů z počátečních několika stovek
vzrostl na současných 15 000 aktivních uživatelů. Se zvyšováním
počítačové gramotnosti a schopností studentů v oblasti práce
s internetovými systémy rostou nároky na stupeň zabezpečení
LMS Moodle. V souvislosti s tímto trendem byly v minulém
roce vyvinuty nové moduly, jejichž cílem je například detekce
podvodného jednání v průběhu testu.
Moodle, LMS, ČZU, Web 2.0, bezpečnost, testování
Cíl příspěvku a metodika zpracování
Abstract
This article defines the case implementation of ways how to
secure the LMS Moodle at the Czech University of Live Sciences
in Prague. In the context of the development of internet services
based on the latest technologies and principles of Web 2.0 few
gradual inovations of the current university e-learning system
Moodle are executed . One of the priorities of this system is
ensuring the security during testing procedure. The set of
methods that are possible to use to decrease the security of
testing has been supplemented with a module called Moodle
Inspector.
Cílem příspěvku je shrnutí hlavních bezpečnostních opatření
realizovaných v rámci Moodle a popis implementace modulu
Moodle Inspector do LMS Moodle na ČZU v Praze, která
proběhla v roce 2010. Moodle Inspector byl navržen jako nástroj
dohledu, který je schopen zpětně analyzovat uživatelské
chování a zjistit, zda při testu nebyly využívány jiné moduly
systému. Alternativním požadavkem oproti analýze chování
po testu bylo zabránění přístupu k jiným modulům, než je
modul test. Toto opatření nebylo realizováno a článek se
v diskusní části zabývá jeho analýzou.
Key Words
Moodle, LMS, CULS, Web 2.0, security, testing
ISBN: 978-80-213-2169-4
231
Základ zabezpečení LMS Moodle
Zabezpečení přístupu k testům
Standardní součásti Moodle
Samotné zabezpečení testu v LMS Moodle se skládá ze třech
částí. První z nich je heslo. To je nastaveno vyučujícími před
testem a je možné jej kdykoliv změnit. Bez znalosti hesla není
možné chráněný test spustit.
Pro případ, že by chtěl student zneužít znalost hesla a zúčastnit
se testu z místnosti, která není k testu určená, eventuelně
například prostřednictvím Wi-Fi sítě, je možné pro test nastavit
omezení přístupu na síťovou adresu. Na ČZU byly díky
Středisku správy sítí Odboru informačních a komunikačních
technologií (OIKT) stanoveny rozsahy IP adres pomocí masek
podsítě pro jednotlivé učebny. Toho bylo využito v Moodle
ČZU k rozšíření o submodul testu: „Výběr učebny“. Výběr
učebny zajišťuje omezení na IP adresy rozsahu konkrétní
učebny (v rámci budov FLE, PEF, TF, rektorátu, nebo kolejí).
Vyučující tím zajistí, že test není možné spustit z jiné, než
dozorované učebny.
Třetí možnost zabezpečení testu – spuštění testu v novém
maximalizovaném okně, které není možné přesouvat a prohlížet
zdrojový kód stránky. Problém tohoto typu zabezpečení
spočívá v tom, že obecně neexistuje možnost, jak takového
zabezpečeného okna v internetovém prohlížeči dosáhnout.
Vzhledem k tomu, že se jednalo o nespolehlivý typ zabezpečení
– v souvislosti s povahou internetových prohlížečů – založený
na technologiích na straně klienta, byla podpora tohoto druhu
zabezpečení v Moodle ČZU zrušena.
Základem zabezpečení LMS Moodle je přihlašování uživatelů
– jejich autentizace, ochrana kurzu klíčem k zápisu, ochrana
testu formou hesla, možnost omezení stanic, ze kterých je test
dostupný (pomocí IP adres) a integrovaný režim zabezpečení
testu. [1,3,4]
Na České zemědělské univerzitě v Praze (dále jen ČZU) se
využívá speciálně upravená autentizace. Jde o kombinovanou
formu přihlašování spojenou ze dvou zdrojů. Prvním zdrojem
je databáze Oracle, jejíž pomocí jsou autentizováni studenti.
Druhým zdrojem autentizujícím zaměstnance, je systém Novell
pomocí adresáře LDAP. Smíšený způsob autentizace provádí
podobné kroky při ověřování obou skupin uživatelů a ukládá
lokální kopie identit pro případ nedostupnosti některého
z autentizačních zdrojů. Výhodou lokálních kopií je nezávislost
na stoprocentní dostupnosti dalších zdrojů. V případě, že je
však uživatel funkčním autentizačním systémem odmítnut,
systém Moodle jej převede do zvláštní kategorie a zabrání jeho
vstupu. [2]
Klíč k zápisu u kurzu je dalším důležitým prvkem, který hraje
roli při zabezpečení. Kurzy, které nemají nastavený žádný
klíč k zápisu, jsou v některých případech omylem využity ze
strany studentů, kteří následně nemají možnost se z kurzu
odhlásit a musejí kontaktovat své vyučující, aby je odhlásili.
Zákaz odhlašování studentů bez vědomí vyučujících z kurzů je
nastaven proto, aby měli vyučující kontrolu a úplné informace
o tom, kdo se do jejich kurzu kdy přihlásil a co v něm dělal.
Je to důležité například v situaci, kdy by byly bez vědomí
vyučujících odcizeny a šířeny studijní materiály z jejich kurzů.
Think Together 2011
Dostupné z: http://www.thinktogether.cz/
Specifická opatření realizovaná na ČZU
Rozdělení bezpečnostních opatření
V rámci ČZU byl implementován rozsáhlý soubor vzájemně
propojených bezpečnostních opatření. Je sice možné jejich
separátní užití, ale silné zabezpečení vzniká teprve užitím
kombinovaným. Na úrovni aplikačního software existují
dvě vrstvy. Jde o zabezpečení nastavitelná v samotném LMS
Moodle – již uvedené použití hesla a „výběr učebny“ – a
také zabezpečení internetového prohlížeče. Dalšími prvky
zabezpečení jsou nastavení síťových prvků informačních a
komunikačních systémů a také podpůrné systémy pro dohled
nad činnostmi probíhajícími v průběhu testů v LMS.
Aplikační software
Nastavení prohlížeče pro „režim zabezpečené učebny“ spočívá
ve využití vlastního proxy serveru pro realizaci internetových
požadavků. V takovém případě jsou přijaty pouze požadavky
směřující na LMS Moodle, nikoliv jiné. Prohlížeč nemůže být
v průběhu testování v zabezpečené učebně zneužit k jiným
činnostem (chatování na internetu, zasílání e-mailů, využívání
sociálních sítí a podobně). [3]
Na úrovni operačního systému jsou realizována opatření,
která zabraňují (prostřednictvím profilu uživatele) spouštění
neautorizovaných aplikací – nelze tedy spustit vlastní
internetový prohlížeč – a zabraňují připojení síťových disků
a externích paměťových úložišť. Tím je docíleno stavu, kdy si
uživatel nemůže odesílat a odnášet zadání testů nebo podobné
materiály. Podmínkou zabezpečení učeben je přítomnost
speciálního software na pracovních stanicích, který zajišťuje
vzdálené centralizované nastavování profilů. Tímto software
ISBN: 978-80-213-2169-4
jsou vybaveny všechny centrálně spravované učebny OIKT
ČZU v Praze. [2]
Síťová nastavení
Síťová nastavení zabezpečené učebny jsou upravena tak, aby se
z povolených prohlížečů uživatelé mohli dostat pouze na LMS
Moodle. Konkrétní detaily nastavení síťových prvků nejsou
z důvodu ochrany systému veřejně publikovatelné. [2]
Moodle Inspector
V roce 2010 byl na ČZU vytvořen subsystém LMS Moodle
nazvaný Moodle Inspector. Základním požadavkem na tento
nový subsystém byla potřeba identifikace zneužití modulů
LMS Moodle v průběhu testu. Východiskem byla informace,
která uváděla možnost zneužití přístupu k jiným modulům,
než je modul test v LMS Moodle i v případě aktivace všech
druhů výše definovaných zabezpečení. Realizace nového
modulu proběhla v období 05-08/2010 a od září 2010 byl
spuštěn testovací provoz. Od nového akademického roku byl
systém nasazen do ostrého provozu.
V rámci testování modulu Moodle Inspector došlo k odladění
drobných chyb implementace a současné řešení již dokáže
plně identifikovat pokusy o podvodné jednání v průběhu
psaní testů.
Mezi odhalené druhy pokusů o podvod při psaní testů patří
například:
• použití modulu blog k ukládání testových otázek, nebo
hledání jejich řešení,
• práce s uživatelskými profily (s obdobným záměrem),
• zasílání zpráv,
233
• použití chatu,
• další obdobné akce.
Realizace modulu Moodle inspector
V rámci realizace modulu Moodle Inspector bylo využito
základních vlastností LMS Moodle – zejména subsystému pro
logování činností uživatelů. [5]
require_once(‚../config.php‘);
require_once(‚../lib/weblib.php‘);
Přístup k modulu je umožněn pouze administrátorům a
vyučujícím příslušného kurzu.
$result = mysql_query(„SELECT sortorder FROM {$CFG>prefix}role WHERE shortname = ‚teacher‘“);
V modulu jsou detekována práva přístupu a následně po
výběru příslušného testu dojde k načtení provedených akcí ze
záznamů o činnosti.
echo ‚<strong>Podezřelé akce z předchozích dnů</strong>‘;
Systém umožňuje zvlášť načítání akcí z dnešního dne a
zvlášť akcí starších, což je důsledkem optimalizace datového
úložiště. Nejčastěji je požadován přístup právě k aktuálním
záznamům.
Diskuse
Jedním z alternativně realizovatelných požadavků na
zabezpečení Moodle bylo úplné omezení přístupu k ostatním
modulům systému mimo modul Quiz (Test). Tento požadavek
byl analyzován a ve výsledku označen za neproveditelný ze
dvou důvodů: 1. Detekce spuštěného testu u konkrétního
uživatele a následné zabránění práce s jinými moduly by byla
výkonnostně náročná a došlo by vzhledem k současnému
Think Together 2011
využívání Moodle k neúměrnému zatížení systému, které
by se mohlo projevit zpomalením, eventuelně i nežádoucími
výpadky. 2. Některé požadavky na testy dovolují uživatelům
v průběhu práce s testem používání jiných zdrojů, včetně
čerpání z materiálů v kurzu, komunikace s ostatními a podobně.
Z důvodu potřeby vyhovění většině uživatelských požadavků
bylo striktní omezení přístupu „pouze k testu“ odmítnuto.
Závěr
Zabezpečení dosud realizovaná v celouniverzitním
e-learningovém systému Moodle na České zemědělské
univerzitě v Praze dosahují nadstandardně dobrých výsledků
v průběhu testování studentů. Ohlasy na implementované
změny zaznamenané jejich autory byly pozitivní a případné
připomínky ze strany jejich uživatelů přispěly k dalším
zlepšením. Oblast bezpečnosti je široká a vyžaduje od
implementátorů rozsáhlé znalosti propojené napříč celým
systémem. Vždy je důležité zapojení celého souboru opatření
a jejich síla záleží na nejslabším článku tohoto pomyslného
řetězu.
Výhodou řešení realizovaného na ČZU v Praze (oproti jiným
řešením popisovaným například v [3] a [4]) je možnost
spouštění testů ze všech centrálně spravovaných učeben,
přičemž tyto nemusejí být výlučně vyhrazeny pouze pro psaní
testů a jsou tak vždy využitelné podle aktuální potřeby.
Testy v LMS Moodle zahrnuté do klasifikace studentů by měly
probíhat pouze pod dohledem vyučujících a z míst, která
mají garantovanou rychlost a kvalitu připojení k Internetu.
Praxe ukázala, že vzhledem k nastavení síťových zařízení
a propustnosti sítě je v současné době psaní zápočtových
a zkouškových testů ideální pouze z učeben v areálu
univerzity.
Dostupné z: http://www.thinktogether.cz/
Přesto, že je technické zabezpečení stále dokonalejší, nikdy
nebude takové, aby zabránilo všem možnostem zneužití
systému. Lidský faktor je základním prvkem bezpečnosti a i
když může kontrola studentů pedagogům připadat zbytečná,
praxe stále připomíná, že určité procento studentů si stále
hledá způsob, jakým bezpečnostní opatření systému obejít.
ISBN: 978-80-213-2169-4
LITERATURA
1. MOORE, Jonathan, et al. MoodleDocs [online]. 48729.
2006-02-10, 2009-11-29 [cit. 2010-12-19]. Security. Dostupné
z WWW: <http://docs.moodle.org/en/Security>.
2. HRADECKÝ, Ondřej, et al. Závěrečná zpráva o činnosti
OIKT za rok 2009 [online]. 2010 [cit. 2010-12-18]. ČZU
v Praze. Dostupné z WWW: <dl.webcore.czu.cz/file/
dHREV2hseGJYbDA9>.
3. FICTUMOVÁ, Jarmila; MIKŠÍK, Daniel. ELF – Moodle
na FF MU v Brně [online]. 2007 [cit. 2010-12-19]. Počátky
elektronického testování studentů Katedry anglistiky.
Dostupné z WWW: <http://www.phil.muni.cz/elearning/
clanky/35_fictumova_miksik.pdf>.
4. JUNEK, Tomáš, et al. KOMPLEXNÍ ZABEZPEČENÍ
POČÍTAČOVÉ UČEBNY PRO TESTOVÁNÍ V SYSTÉMU
MOODLE [online]. 2006 [cit. 2010-12-18]. Univerzita
Karlova v Praze, Lékařská fakulta v Plzni. Dostupné z
WWW:
<http://everest.natur.cuni.cz/konference/2006/
prispevek/navratil.pdf>.
5. HERNANDEZ, J.; CHAVEZ, M. Moodle Security
Vulnerabilities : 5th International Conference on Electrical
Engineering. In Computing Science and Automatic
Control, NOV 12-14, 2008. Mexico : IEEE, 345 E 47TH ST,
NEW YORK, NY 10017 USA, 2008. s. 199-204. ISBN 978-14244-2498-6.
235