Implementace bezpečnostních prvků LMS Moodle
Transkript
Implementace bezpečnostních prvků LMS Moodle
T T Česká zemědělská univerzita v Praze Provozně ekonomická fakulta Doktorská vědecká konference 7. února 2011 THINK TOGETHER Think Together 2011 Implementace bezpečnostních prvků LMS Moodle Implementation of security improvements in LMS Moodle Václav Lohr, Petr Benda, Štěpán Tesař 230 Abstrakt Úvod Příspěvek charakterizuje případovou implementaci možností zabezpečení LMS Moodle na České zemědělské univerzitě v Praze. V kontextu rozvoje internetových služeb založených na nejnovějších technologiích a principech Web 2.0 dochází postupně k inovacím současného prostředí celouniverzitního e-learningového systému Moodle. Jednou z priorit tohoto systému je zajištění bezpečnosti při psaní testů. Množina metod, které je v současnosti možné použít ke zvýšení zabezpečení testování, byla v roce 2010 rozšířena o modul nazvaný Moodle Inspector. Klíčová slova Na začátku roku 2007 byl LMS Moodle na adrese moodle.czu. cz oficiálně schválen jako celouniverzitní e-learningový systém České zemědělské univerzity v Praze. Od té doby byl několikrát upgradován, postupně vylepšován a stále zabezpečován, aby reflektoval aktuální potřeby univerzity ve vztahu k pedagogům a studentům. Počet uživatelů z počátečních několika stovek vzrostl na současných 15 000 aktivních uživatelů. Se zvyšováním počítačové gramotnosti a schopností studentů v oblasti práce s internetovými systémy rostou nároky na stupeň zabezpečení LMS Moodle. V souvislosti s tímto trendem byly v minulém roce vyvinuty nové moduly, jejichž cílem je například detekce podvodného jednání v průběhu testu. Moodle, LMS, ČZU, Web 2.0, bezpečnost, testování Cíl příspěvku a metodika zpracování Abstract This article defines the case implementation of ways how to secure the LMS Moodle at the Czech University of Live Sciences in Prague. In the context of the development of internet services based on the latest technologies and principles of Web 2.0 few gradual inovations of the current university e-learning system Moodle are executed . One of the priorities of this system is ensuring the security during testing procedure. The set of methods that are possible to use to decrease the security of testing has been supplemented with a module called Moodle Inspector. Cílem příspěvku je shrnutí hlavních bezpečnostních opatření realizovaných v rámci Moodle a popis implementace modulu Moodle Inspector do LMS Moodle na ČZU v Praze, která proběhla v roce 2010. Moodle Inspector byl navržen jako nástroj dohledu, který je schopen zpětně analyzovat uživatelské chování a zjistit, zda při testu nebyly využívány jiné moduly systému. Alternativním požadavkem oproti analýze chování po testu bylo zabránění přístupu k jiným modulům, než je modul test. Toto opatření nebylo realizováno a článek se v diskusní části zabývá jeho analýzou. Key Words Moodle, LMS, CULS, Web 2.0, security, testing ISBN: 978-80-213-2169-4 231 Základ zabezpečení LMS Moodle Zabezpečení přístupu k testům Standardní součásti Moodle Samotné zabezpečení testu v LMS Moodle se skládá ze třech částí. První z nich je heslo. To je nastaveno vyučujícími před testem a je možné jej kdykoliv změnit. Bez znalosti hesla není možné chráněný test spustit. Pro případ, že by chtěl student zneužít znalost hesla a zúčastnit se testu z místnosti, která není k testu určená, eventuelně například prostřednictvím Wi-Fi sítě, je možné pro test nastavit omezení přístupu na síťovou adresu. Na ČZU byly díky Středisku správy sítí Odboru informačních a komunikačních technologií (OIKT) stanoveny rozsahy IP adres pomocí masek podsítě pro jednotlivé učebny. Toho bylo využito v Moodle ČZU k rozšíření o submodul testu: „Výběr učebny“. Výběr učebny zajišťuje omezení na IP adresy rozsahu konkrétní učebny (v rámci budov FLE, PEF, TF, rektorátu, nebo kolejí). Vyučující tím zajistí, že test není možné spustit z jiné, než dozorované učebny. Třetí možnost zabezpečení testu – spuštění testu v novém maximalizovaném okně, které není možné přesouvat a prohlížet zdrojový kód stránky. Problém tohoto typu zabezpečení spočívá v tom, že obecně neexistuje možnost, jak takového zabezpečeného okna v internetovém prohlížeči dosáhnout. Vzhledem k tomu, že se jednalo o nespolehlivý typ zabezpečení – v souvislosti s povahou internetových prohlížečů – založený na technologiích na straně klienta, byla podpora tohoto druhu zabezpečení v Moodle ČZU zrušena. Základem zabezpečení LMS Moodle je přihlašování uživatelů – jejich autentizace, ochrana kurzu klíčem k zápisu, ochrana testu formou hesla, možnost omezení stanic, ze kterých je test dostupný (pomocí IP adres) a integrovaný režim zabezpečení testu. [1,3,4] Na České zemědělské univerzitě v Praze (dále jen ČZU) se využívá speciálně upravená autentizace. Jde o kombinovanou formu přihlašování spojenou ze dvou zdrojů. Prvním zdrojem je databáze Oracle, jejíž pomocí jsou autentizováni studenti. Druhým zdrojem autentizujícím zaměstnance, je systém Novell pomocí adresáře LDAP. Smíšený způsob autentizace provádí podobné kroky při ověřování obou skupin uživatelů a ukládá lokální kopie identit pro případ nedostupnosti některého z autentizačních zdrojů. Výhodou lokálních kopií je nezávislost na stoprocentní dostupnosti dalších zdrojů. V případě, že je však uživatel funkčním autentizačním systémem odmítnut, systém Moodle jej převede do zvláštní kategorie a zabrání jeho vstupu. [2] Klíč k zápisu u kurzu je dalším důležitým prvkem, který hraje roli při zabezpečení. Kurzy, které nemají nastavený žádný klíč k zápisu, jsou v některých případech omylem využity ze strany studentů, kteří následně nemají možnost se z kurzu odhlásit a musejí kontaktovat své vyučující, aby je odhlásili. Zákaz odhlašování studentů bez vědomí vyučujících z kurzů je nastaven proto, aby měli vyučující kontrolu a úplné informace o tom, kdo se do jejich kurzu kdy přihlásil a co v něm dělal. Je to důležité například v situaci, kdy by byly bez vědomí vyučujících odcizeny a šířeny studijní materiály z jejich kurzů. Think Together 2011 Dostupné z: http://www.thinktogether.cz/ Specifická opatření realizovaná na ČZU Rozdělení bezpečnostních opatření V rámci ČZU byl implementován rozsáhlý soubor vzájemně propojených bezpečnostních opatření. Je sice možné jejich separátní užití, ale silné zabezpečení vzniká teprve užitím kombinovaným. Na úrovni aplikačního software existují dvě vrstvy. Jde o zabezpečení nastavitelná v samotném LMS Moodle – již uvedené použití hesla a „výběr učebny“ – a také zabezpečení internetového prohlížeče. Dalšími prvky zabezpečení jsou nastavení síťových prvků informačních a komunikačních systémů a také podpůrné systémy pro dohled nad činnostmi probíhajícími v průběhu testů v LMS. Aplikační software Nastavení prohlížeče pro „režim zabezpečené učebny“ spočívá ve využití vlastního proxy serveru pro realizaci internetových požadavků. V takovém případě jsou přijaty pouze požadavky směřující na LMS Moodle, nikoliv jiné. Prohlížeč nemůže být v průběhu testování v zabezpečené učebně zneužit k jiným činnostem (chatování na internetu, zasílání e-mailů, využívání sociálních sítí a podobně). [3] Na úrovni operačního systému jsou realizována opatření, která zabraňují (prostřednictvím profilu uživatele) spouštění neautorizovaných aplikací – nelze tedy spustit vlastní internetový prohlížeč – a zabraňují připojení síťových disků a externích paměťových úložišť. Tím je docíleno stavu, kdy si uživatel nemůže odesílat a odnášet zadání testů nebo podobné materiály. Podmínkou zabezpečení učeben je přítomnost speciálního software na pracovních stanicích, který zajišťuje vzdálené centralizované nastavování profilů. Tímto software ISBN: 978-80-213-2169-4 jsou vybaveny všechny centrálně spravované učebny OIKT ČZU v Praze. [2] Síťová nastavení Síťová nastavení zabezpečené učebny jsou upravena tak, aby se z povolených prohlížečů uživatelé mohli dostat pouze na LMS Moodle. Konkrétní detaily nastavení síťových prvků nejsou z důvodu ochrany systému veřejně publikovatelné. [2] Moodle Inspector V roce 2010 byl na ČZU vytvořen subsystém LMS Moodle nazvaný Moodle Inspector. Základním požadavkem na tento nový subsystém byla potřeba identifikace zneužití modulů LMS Moodle v průběhu testu. Východiskem byla informace, která uváděla možnost zneužití přístupu k jiným modulům, než je modul test v LMS Moodle i v případě aktivace všech druhů výše definovaných zabezpečení. Realizace nového modulu proběhla v období 05-08/2010 a od září 2010 byl spuštěn testovací provoz. Od nového akademického roku byl systém nasazen do ostrého provozu. V rámci testování modulu Moodle Inspector došlo k odladění drobných chyb implementace a současné řešení již dokáže plně identifikovat pokusy o podvodné jednání v průběhu psaní testů. Mezi odhalené druhy pokusů o podvod při psaní testů patří například: • použití modulu blog k ukládání testových otázek, nebo hledání jejich řešení, • práce s uživatelskými profily (s obdobným záměrem), • zasílání zpráv, 233 • použití chatu, • další obdobné akce. Realizace modulu Moodle inspector V rámci realizace modulu Moodle Inspector bylo využito základních vlastností LMS Moodle – zejména subsystému pro logování činností uživatelů. [5] require_once(‚../config.php‘); require_once(‚../lib/weblib.php‘); Přístup k modulu je umožněn pouze administrátorům a vyučujícím příslušného kurzu. $result = mysql_query(„SELECT sortorder FROM {$CFG>prefix}role WHERE shortname = ‚teacher‘“); V modulu jsou detekována práva přístupu a následně po výběru příslušného testu dojde k načtení provedených akcí ze záznamů o činnosti. echo ‚<strong>Podezřelé akce z předchozích dnů</strong>‘; Systém umožňuje zvlášť načítání akcí z dnešního dne a zvlášť akcí starších, což je důsledkem optimalizace datového úložiště. Nejčastěji je požadován přístup právě k aktuálním záznamům. Diskuse Jedním z alternativně realizovatelných požadavků na zabezpečení Moodle bylo úplné omezení přístupu k ostatním modulům systému mimo modul Quiz (Test). Tento požadavek byl analyzován a ve výsledku označen za neproveditelný ze dvou důvodů: 1. Detekce spuštěného testu u konkrétního uživatele a následné zabránění práce s jinými moduly by byla výkonnostně náročná a došlo by vzhledem k současnému Think Together 2011 využívání Moodle k neúměrnému zatížení systému, které by se mohlo projevit zpomalením, eventuelně i nežádoucími výpadky. 2. Některé požadavky na testy dovolují uživatelům v průběhu práce s testem používání jiných zdrojů, včetně čerpání z materiálů v kurzu, komunikace s ostatními a podobně. Z důvodu potřeby vyhovění většině uživatelských požadavků bylo striktní omezení přístupu „pouze k testu“ odmítnuto. Závěr Zabezpečení dosud realizovaná v celouniverzitním e-learningovém systému Moodle na České zemědělské univerzitě v Praze dosahují nadstandardně dobrých výsledků v průběhu testování studentů. Ohlasy na implementované změny zaznamenané jejich autory byly pozitivní a případné připomínky ze strany jejich uživatelů přispěly k dalším zlepšením. Oblast bezpečnosti je široká a vyžaduje od implementátorů rozsáhlé znalosti propojené napříč celým systémem. Vždy je důležité zapojení celého souboru opatření a jejich síla záleží na nejslabším článku tohoto pomyslného řetězu. Výhodou řešení realizovaného na ČZU v Praze (oproti jiným řešením popisovaným například v [3] a [4]) je možnost spouštění testů ze všech centrálně spravovaných učeben, přičemž tyto nemusejí být výlučně vyhrazeny pouze pro psaní testů a jsou tak vždy využitelné podle aktuální potřeby. Testy v LMS Moodle zahrnuté do klasifikace studentů by měly probíhat pouze pod dohledem vyučujících a z míst, která mají garantovanou rychlost a kvalitu připojení k Internetu. Praxe ukázala, že vzhledem k nastavení síťových zařízení a propustnosti sítě je v současné době psaní zápočtových a zkouškových testů ideální pouze z učeben v areálu univerzity. Dostupné z: http://www.thinktogether.cz/ Přesto, že je technické zabezpečení stále dokonalejší, nikdy nebude takové, aby zabránilo všem možnostem zneužití systému. Lidský faktor je základním prvkem bezpečnosti a i když může kontrola studentů pedagogům připadat zbytečná, praxe stále připomíná, že určité procento studentů si stále hledá způsob, jakým bezpečnostní opatření systému obejít. ISBN: 978-80-213-2169-4 LITERATURA 1. MOORE, Jonathan, et al. MoodleDocs [online]. 48729. 2006-02-10, 2009-11-29 [cit. 2010-12-19]. Security. Dostupné z WWW: <http://docs.moodle.org/en/Security>. 2. HRADECKÝ, Ondřej, et al. Závěrečná zpráva o činnosti OIKT za rok 2009 [online]. 2010 [cit. 2010-12-18]. ČZU v Praze. Dostupné z WWW: <dl.webcore.czu.cz/file/ dHREV2hseGJYbDA9>. 3. FICTUMOVÁ, Jarmila; MIKŠÍK, Daniel. ELF – Moodle na FF MU v Brně [online]. 2007 [cit. 2010-12-19]. Počátky elektronického testování studentů Katedry anglistiky. Dostupné z WWW: <http://www.phil.muni.cz/elearning/ clanky/35_fictumova_miksik.pdf>. 4. JUNEK, Tomáš, et al. KOMPLEXNÍ ZABEZPEČENÍ POČÍTAČOVÉ UČEBNY PRO TESTOVÁNÍ V SYSTÉMU MOODLE [online]. 2006 [cit. 2010-12-18]. Univerzita Karlova v Praze, Lékařská fakulta v Plzni. Dostupné z WWW: <http://everest.natur.cuni.cz/konference/2006/ prispevek/navratil.pdf>. 5. HERNANDEZ, J.; CHAVEZ, M. Moodle Security Vulnerabilities : 5th International Conference on Electrical Engineering. In Computing Science and Automatic Control, NOV 12-14, 2008. Mexico : IEEE, 345 E 47TH ST, NEW YORK, NY 10017 USA, 2008. s. 199-204. ISBN 978-14244-2498-6. 235