Studenter kunne sette karakterer i Blackboard

Sikkerhetshull i Blackboard kunne gi studentene full kontroll over professorens bruker.
NTNU-studentene Eirik Fosse, Sondre Hjetland og Michael McMillan oppdaget sikkerhetshullet i Blackboard. 

NTNU-studentene Eirik Fosse, Sondre Hjetland og Michael McMillan oppdaget sikkerhetshullet i Blackboard. 

NTNU-studentene Michael McMillan, Sondre Hjetland og Eirik Fosse fant et sikkerhetshull som lot dem overta en hvilken som helst bruker, for eksempel en professors, i e-læringssystemet Blackboard.

Tilgangen de fikk i Blackboard ga mulighet til å endre karakterer, slette eller endre egne og andres oppgaver, få tilgang til sensitive dokumenter, sende epost fra kontoen og spre skadelig programvare.

Overrasket over hva de kunne gjøre

- Det er sikkerhetshull i nesten alle systemer, sier McMillan til UA.

Han er derfor ikke så overrasket over at det var sikkerhetshull i Blackboard, men ble overrasket da de oppdaget hvor mye det gikk an å gjøre når de først var inne i systemet.

- Det var også derfor vi valgte å varsle om og gå ut med saken. Dette sikkerhetshullet kan ha blitt misbrukt før vi oppdaget det, sier han til UA.

Det er ikke så lett for dem som ikke er veldig datakyndige å forstå hvor enkelt eller vanskelig det er å hacke systemet. Mcmillan sier til UA at han tror for eksempel mange som har tatt emner i programvaresikkerhet kunne funnet sikkerhetshullet i Blackboard.

For studiekameratene McMillan, Hjetland og Fosse er hacking en hobby, og nylig deltok de i en hackingkonkurranse.

Måtte lure målet

Studentene varslet Blackboard etter å ha oppdaget sikkerhetshullet. Det skal nå være tettet.

McMillan sier til UA at kontakten med NTNU har vært god siden de varslet om saken, og at universitetet har forsøkt å inkludere dem i prosessen med Blackboard. Kommunikasjonen med Blackboard har ikke vært like enkel, ifølge studenten.

For å få tilgang måtte målet lures til å trykke på feil lenke, litt som i et tradisjonelt phishing-angrep, skriver VG, som først omtalte saken. Studentene fant sikkerhetshullet da de la merke til at nettadressen de lastet opp innleveringene sine til, var den samme som selve Blackboard-systemet, skriver avisen. En av studentene fikk en intuisjon om at siden kanskje ikke kontrollerte opplastingene godt nok. De brukte fem timer før de hadde greid å hacke systemet med en kombinasjon av flere teknikker, blant annet «cross-site scripting».

- Det holder at de trykker på en helt vilkårlig lenke. Tilgangen er den samme som om vi hadde hatt brukernavn og passord, sier Fosse til VG.

LES OGSÅ: Kritiserer Blackboard, men møter ikke opp på kursene
LES OGSÅ: Over 40.000 har tatt i bruk Blackboard ved NTNU
LES OGSÅ: Dette er Blackboard-tiltakene NTNU vil sette inn

- Ingen tegn på utnyttelse

– Etter en grundig analyse kunne sikkerhetsteamet vårt identifisere en konfigurasjonsendring som ville muliggjøre ekstra beskyttelse. Sikkerhetsteamet gjennomførte også en omfattende og detaljert analyse av NTNUs system som ikke viste noe bevis for at sårbarheten var blitt utnyttet, skriver talsperson D’Anthony White fra Blacboard i en uttalelse til VG.

Amerikanske Blackboard er et verdensomspennende selskap med over 3000 ansatte og 30 millioner brukere.

– Vi har ikke funnet noen indikasjoner om at svakheten har vært utnyttet av andre, sier seksjonsleder for digital sikkerhet på NTNU, Stian Husemoen, til dinside.no.

Varslet i februar

Nettavisen forklarer hva studentene kunne gjøre:

* Få foreleser til å åpne en fil de selv hadde lastet opp til Blackboard. For eksempel ved å maskere filen som en vanlig innlevering av en oppgave.

* Når foreleseren klikket på filen kunne studentene stjele foreleserens Blackboard-«cookie». Den som gjør at forelesere slipper å skrive inn passordet sitt hver gang de skal bruke systemet.

* Med denne informasjonskapselen kunne studentene logge seg inn på foreleserens Blackboard-konto. Å ha denne var altså det samme som å ha passordet.

* Hva studentene da kunne finne på, er det bare fantasien som setter grenser for. Blant annet sette karakterer på sine egne oppgaver, som igjen er med på å bestemme sluttkarakteren i fagene, eller sende e-poster i forelesers navn.

Ifølge dinside.no varslet studentene om svakheten til NTNU og Blackboard 9. februar. NTNU ga tilbakemelding om at de skulle se på saken samme dag, og et møte ble arrangert tre dager senere. 12. april skal NTNU ha fått bekreftet at sikkerhetshullet var tettet.

LES OGSÅ: E-poster ved NTNU i Gjøvik lå åpent for alle
LES OGSÅ: Canvas valgt til felles plattform for e-læring for 20 institusjoner

Følg UA på Facebook, Twitter og Instagram.






Alle NTNUs studenter og faglærere tok i bruk e-læringssystemet Blackboard i fjor høst. (Illustrasjonsfoto) 
        
            (Foto: KRISTOFFER FURBERG)

Alle NTNUs studenter og faglærere tok i bruk e-læringssystemet Blackboard i fjor høst. (Illustrasjonsfoto)  Foto: KRISTOFFER FURBERG

UA vil gjerne ha dine kommentarer. Kommentarer fra anonymiserte brukere og kommentarer med personangrep vil bli slettet. Kommentarer som inneholder lenker må godkjennes manuelt. Det kan derfor ta noe tid før slike kommentarer dukker opp i kommentarfeltet.
comments powered by Disqus
Siste fra forsiden

Medisinstudentene vil tilbake til pasientene

Medisinstudentene mener den pasientnære undervisningen bør starte opp igjen så raskt som mulig. – Det er en stor del av utdanningen vår, sier leder for medisinstudentene,

Ytring:

Ap, Sp og FrPs lek med spåkula

Vi stiller oss spørrende til hvem som skal ha denne definisjonsmakten på hva som er arbeidsrelevant, og hvordan man kan vite hva arbeidslivet har behov for i de kommende årene?

Dette er medisin mot frafall i videregående

Gjennom solidaritetskorpset kan ungdom mellom 18 og 30 år jobbe frivillig i et annet land i Europa. Det ga meg tryggheten jeg trengte, skriver Sondre Hansen.

Gjesteskribenten:

Hvordan har vi klart oss på NTNU under pandemien?

Hvordan har vi klart oss på NTNU så langt? spør Helge Holden. Her diskuterer han noen av erfaringene med å holde det gående under en pandemi.