Canvas fica fora do ar e ShinyHunters ameaça vazar dados de escolas

Comentários no Hacker News

• Do ponto de vista de quem está na linha de frente, eu dou aula em uma universidade que usa o Canvas e estamos em semana de provas finais
  Hoje às 17:17 EDT recebemos o primeiro e-mail de aviso de indisponibilidade da secretaria acadêmica, seguido por outros às 18:24 e 18:57, mas eles falavam mais sobre procedimentos de compensação e contingência do que sobre o que realmente aconteceu
  Fora “interrupção nacional” e “ataque de cibersegurança”, não houve detalhes, e a universidade também parece não saber mais do que isso
  O que chama atenção é que mandaram orientar os alunos a enviarem por e-mail diretamente aos professores os trabalhos entregues pelo Canvas, o que não passa muita confiança de que isso vá voltar logo
  No meu caso, o impacto pessoal é pequeno. Sou professor de CS, então boa parte do trabalho dos alunos é feita nos equipamentos do departamento e enviada por lá, e as provas de verdade são em papel
  Mais importante: eu nunca confiei no boletim de notas do Canvas, então publico as notas lá apenas para conferência dos alunos, enquanto o registro original sempre fica em uma planilha local
  Mas para muitos colegas isso é um desastre do nível de “o prédio pegou fogo e todas as provas e livros de notas sumiram”
  Até professores que só dão aula presencial migraram a maior parte das avaliações para o recurso de “quiz” do Canvas, aplicam até as provas finais por lá e usam o boletim do Canvas como registro original
  A administração também vinha incentivando isso, dizendo que “facilita o envio das notas”. Esses professores podem ter pouco ou nenhum material dos alunos fora dali, e os próprios alunos podem não ter nada para reenviar por e-mail, porque fizeram tudo dentro do Canvas; até notas e presença podem ter sido mantidas só lá
  Se tiverem enviado as notas parciais de março, talvez pelo menos isso esteja acessível, mas pode ser só isso mesmo
  Meu palpite é: ou resolvem em poucas horas, ou vai levar semanas. Se houver backup com air gap e for só subir servidores novos, é a primeira opção; se não, é a segunda. Não parece haver muito meio-termo
  Se isso não estiver resolvido até amanhã de manhã, realmente não sei como a nossa universidade e muitos professores pelo país vão conseguir lançar notas de forma justa e razoável
  Num cenário extremo, talvez tenham de fazer como no semestre da pandemia, e como no semestre em que dois grandes prédios acadêmicos da nossa universidade realmente pegaram fogo uma semana antes das finais: até disciplinas que normalmente dão nota por letra teriam de ser lançadas como aprovado/reprovado. O que mais daria para fazer?
  Claro, dava para não colocar todos os ovos na mesma cesta e não confiar tanto na “nuvem”, mas esse barco já partiu. Fico curioso se alguém vai tirar alguma lição disso no longo prazo
  Atualização: às 23:45 EDT, a instância do Canvas da nossa universidade voltou a funcionar. Espero que continue assim, mas por precaução vou baixar algumas coisas

  • Quando um aluno conclui um quiz ou algo do tipo, é muito simples enviar esse registro por e-mail ao aluno
    O fato de não fazerem isso é claramente porque querem controlar os dados, e eu realmente não entendo por que as universidades não exigem isso
  • Trabalho com TI na área educacional e nós também quase não sabemos de nada
    Hoje, tudo o que sabemos veio de threads no Reddit e no Hacker News. Nas comunicações oficiais não se falou em ataque em nenhum momento, mas a página de login tinha sido alterada pelo ShinyHunters
  • Também parece viável uma abordagem híbrida. Criar correndo uma prova final ou projeto e dar ao aluno a opção entre aprovado/reprovado ou a nota real
    E fico torcendo para que chegue o dia em que o SaaS desapareça e a gente possa voltar a implantar software que controla e modifica conforme a necessidade
  • Fico pensando se não bastava marcar uma única prova e definir a nota da disciplina a partir dela
    Na verdade, esse seria o jeito certo; notas de tarefas ao longo do semestre, ou pior ainda, nota por presença, não são necessárias para avaliar se o aluno aprendeu o conteúdo. Faz a prova e pronto

• Surpreende ver tão poucos comentários nesta thread. Provavelmente milhões de estudantes estão sendo afetados no período mais estressante do ano
  Eu já detestava o Canvas e provavelmente todas as outras empresas de LMS, mas esta falha é especialmente irônica porque aconteceu exatamente no momento em que as universidades, por causa das exigências de conformidade com a ADA, vêm obrigando todos os professores sem exceção a colocar todo o material no Canvas
  Por exemplo, até mandar os alunos consultarem um PDF num site pessoal é explicitamente proibido
  Acho que muita gente aqui não percebe o quanto muitos docentes também detestam ser obrigados a usar o Canvas

  • Ainda não conseguiram me obrigar. Mas é triste ver quantos professores de computação não conseguem nem manter a infraestrutura online básica necessária para apoiar suas aulas. Claro, a universidade também não facilita
    Outra preocupação séria que tenho com o Canvas é a possibilidade de estarem usando todo o material publicado pelos professores para treinar substitutos de IA. Os colegas fazem bastante humor negro sobre isso, mas quase não vejo ação concreta
  • Hoje em dia, parece que estudantes e usuários do HN não têm tanta sobreposição. Pelo que sei, sou uma exceção relativamente rara :)
    Até agora, a administração mandou um e-mail começando com “o Canvas informa que”, e uma hora depois outro dizendo que “o Canvas está indisponível por tempo indeterminado”, para mostrar que entende a gravidade
    Para quem não conhece, o Canvas é mais ou menos uma wiki de curso com recursos como quizzes embutidos
  • Transmissão ao vivo das aulas pelo Canvas é muito popular. Bastante aluno simplesmente assiste do dormitório
    Então os estudantes talvez tenham de voltar para a sala de aula, o que pode ser um espetáculo à parte. No primeiro dia, a sala costuma ficar quase lotada, às vezes até com gente em pé, e depois vai esvaziando. Em turmas de 100 alunos, pode chegar um ponto em que só uns 10 aparecem
    Se o Canvas não voltar rápido, o caos no mundo real pode aumentar bastante também por causa disso
  • Não entendo de que forma o Canvas seria mais acessível do que HTML e PDF
    Tudo bem, leitor de PDF não é o ideal para leitor de tela, mas não bastaria subir também uma cópia em .html?

• Deveria ser ilegal qualquer empresa pagar resgate de ransomware. Sem exceção, nunca se deveria pagar
  A punição para os atacantes deveria estar ligada ao sistema que eles comprometeram. Se atacaram um hospital e alguém morreu, isso deveria dar prisão perpétua ou pena de morte. A pena mínima precisa ser dolorosa o suficiente para desestimular o ataque
  Claro que isso sozinho não resolve, e as empresas também precisam ser responsabilizadas por investir pouco em segurança. Todo ataque deveria investigar se a empresa atendia às melhores práticas consensuais do setor, padrões de equipe etc.; se não atendia aos requisitos, deveria haver punição exemplar

  • O que deveria ser ilegal é operar um serviço inseguro, especialmente quando ele lida com dados pessoais
    Violações continuam acontecendo e ninguém se importa. No pior caso, a empresa perde alguns clientes e compra um pouco de “monitoramento de crédito”
    Depois de incidentes assim deveria haver auditoria e denúncia criminal. Executivos deveriam ir para a cadeia por falhas de segurança por negligência. Se alguém pode ser preso por fraude contábil, também deveria poder ser preso por fraude em promessas de cibersegurança
    Eles afirmam cumprir vários padrões de segurança https://www.instructure.com/en-au/trust-center/compliance
    Eu gostaria de ver, numa auditoria posterior, quanto disso foi realmente implementado
  • Acho que o foco deveria ser dificultar o envio de dinheiro para criminosos no exterior. /hmm/ plataformas de criptomoeda que viabilizam transferências para agentes maliciosos /hmm/
  • Quando os países vão começar a tratar ciberataques como atos de guerra?
    Se soldados norte-coreanos fossem aos EUA e roubassem US$ 200 milhões em ouro de Fort Knox, haveria retaliação. Mas se tiram a mesma quantia hackeando empresas americanas, o governo federal não faz nada
  • Não parece muito provável que “penas mínimas dolorosas” desestimulem de forma confiável cidadãos estrangeiros ou governos estrangeiros
  • Se alguém assalta um banco e uma pessoa lá dentro morre de ataque cardíaco, isso é homicídio qualificado no contexto de crime grave
    Eu adoraria ver o mesmo princípio aplicado a ataques de ransomware, extorsão e vazamento de dados. Se isso leva alguém ao suicídio, é homicídio

• Meus filhos estão no meio da semana de provas finais. Está um caos total
  As universidades não sabem de nada, o Canvas insiste que está em “scheduled maintenance”, e um professor disse que “não tem cópia offline do material”, o que parece bastante imprudente
  Uma turma de uma disciplina popular provavelmente vai acabar fazendo prova em papel, enquanto outras turmas aparentemente já fizeram mais cedo hoje uma prova no Canvas com regra do tipo “segunda tentativa vale metade dos pontos”
  Quanto tempo até nomes e notas aparecerem em algum dump de dados?
  Isso é como o TurboTax, nos EUA, marcar “scheduled maintenance” em 14 de abril

  • “Scheduled Maintenance” é papo furado total e, honestamente, faz o Canvas parecer ainda pior
    Pela página de status, aparentemente isso ainda conta como 99,996% de uptime. Bom lembrar disso

• Um amigo que dá aula no MIT disse que foi atingido por isso
  Achei irônico e meio triste que um lugar como o MIT não tivesse equipe de TI para manter uma solução on-premise para esse tipo de uso
  Mas aí descobri que o MIT tinha um sistema próprio e recentemente migrou para o Canvas. Devem estar se arrependendo agora
  Nos últimos 10 anos, parece que as decisões de construir internamente vs comprar penderam demais para comprar, o que é uma pena
  Claro, organizações devem focar em sua competência central, e às vezes faz sentido terceirizar o que não é competência central. Mas sempre há desvantagens

  • Sistemas próprios são caros de manter e normalmente não acompanham, mesmo em comparação com as opções comerciais atuais
    LMS é simplesmente um software absurdamente complexo. Eu me envolvi com a versão própria da minha universidade quando estava na graduação
  • Comecei minha carreira em tecnologia na área de educação, então isso não me surpreende nem um pouco
    Gente de TI ambiciosa e competente não fica muito tempo na educação. Os salários são muito baixos em comparação com a indústria
    Onde eu trabalhava, depois de certo tempo de casa você tinha direito a uma aposentadoria confortável, então a equipe de TI tentava terceirizar o máximo possível para não assumir nenhum risco com fundos de aposentadoria. A lógica era culpar consultores por tudo e trabalhar o mínimo possível
    É literalmente um lugar onde sonhos morrem
    O MIT é famoso por grandes professores e alunos, mas no fim operar uma universidade é algo bem padronizado. Não precisa de um gênio rockstar para administrar servidores de plataforma de aula

• Sou aluno de Stanford, e esta indisponibilidade está causando um impacto enorme na universidade toda
  Ao contrário de escolas da Costa Leste como Brown, Harvard e MIT, nós estamos em trimestre, então acabamos de sair das provas de meio de período
  Felizmente, o departamento de CS é totalmente independente do Canvas, mas a maior parte das minhas disciplinas de humanas não é
  Uma aula de história da arte pediu para enviar o trabalho intermediário para uma pasta no Google Drive, e outra disciplina suspendeu os quizzes semanais
  Isso mostra o quanto alunos e professores dependem do Canvas. Espero que isso reacenda a discussão sobre se afastar de uma plataforma que, do ponto de vista do estudante, já não era grande coisa

  • O fato de o ShinyHunters ter descido ao ponto de atingir estudantes e jovens mentes americanas realmente parece cruzar uma linha
    Uma coisa é mirar empresas; outra é mexer com estudantes. Estudantes deveriam ficar fora disso

• A resposta do Canvas está péssima. Não há comunicação nem atualizações de status
  Parece que a plataforma inteira foi comprometida, e o fato de ainda não haver um único relatório real sobre a violação de segurança já ocorrida também passa uma imagem muito ruim
  Como a maioria das escolas nos EUA está em período de provas finais, fico curioso para ver quão rápido vão aparecer violações de SLA e processos judiciais

  • Já lidei bastante com a Canvas/Instructure. A tecnologia é aceitável
    A cultura parece cheia de arrogância, sustentada pela posição de mercado deles

• Antigamente, muitas universidades operavam sistemas estudantis próprios ou on-premise
  Este é o lado ruim da centralização em nuvem. Quando a infraestrutura é comprometida, não são uma ou duas instalações isoladas que sofrem, mas todo mundo
  Fico imaginando como se sentem agora em relação a essa decisão. Por outro lado, poder dizer “a culpa não é nossa” talvez seja mais confortável do que se fosse uma vulnerabilidade do próprio sistema

  • Quando uma vulnerabilidade é descoberta num software, hackers podem atacar de forma automatizada centenas de instalações separadas com a mesma facilidade
    Dependendo da falha, pode até ser mais fácil se administradores on-premise não tiverem aplicado todas as medidas de segurança recomendadas
    Na verdade, o que mais me intriga é se a Instructure tem responsabilidade financeira nisso. A falha técnica foi do lado da Instructure, mas quem está recebendo a demanda de resgate são as universidades, o que é interessante
    Estou acostumado com SLA de uptime; como seria um SLA de violação de segurança?
  • Se a universidade tivesse gasto tempo e dinheiro construindo um sistema próprio e ele fosse hackeado, a culpa seria dela
    Agora ela pode sair da mesa como um dealer de blackjack, batendo as mãos e mostrando as palmas, sem responsabilidade. Talvez essa seja uma das maiores vantagens de usar um produto em vez de construir
  • Ainda assim, desse jeito é mais seguro. Especialmente porque, com hacking impulsionado por IA, está ficando mais difícil contar com segurança por obscuridade
    Também tem valor poder culpar outra parte, e cair junto quando todo mundo cai

• Quando eu estava no ensino médio, em 2016 ou 2017, encontrei um XSS muito simples no formulário de envio de tarefas e avisei meu professor de programação
  Depois disso, o Canvas bloqueou minha conta e eu recebi a minha primeira, e talvez única, detenção depois da aula. Bons tempos

  • Em linha parecida, o software de bloqueio da escola barrava YouTube e embeds, mas permitia quando vinham do Canvas
    Foi inteligente desativarem o editor HTML dos comentários de discussão, mas esqueceram que, como era um editor rich text, dava para colocar código em data:text/html e copiar o elemento como HTML formatado para colar o embed assim mesmo
    Também rodei o conjunto completo de XSS de exemplo do DOMPurify e encontrei uma forma de fazer o computador de alguém baixar conteúdo personalizado
  • Você por acaso explorou a vulnerabilidade de fato antes de contar ao professor?

• Se alguém souber dos bastidores, fiquei me perguntando se o Parchment também foi potencialmente afetado
  A Instructure comprou a empresa há alguns anos, e ela lida com uma quantidade enorme de históricos escolares
  Edit: https://status.parchment.com/ diz: “Canvas, Canvas Beta e Canvas test estão indisponíveis no momento, mas estamos monitorando simultaneamente todos os outros ambientes de produto, incluindo o Parchment. Até o momento, não há motivo para acreditar que os recursos do Parchment tenham sido afetados”