NTNU-studentene Michael McMillan, Sondre Hjetland og Eirik Fosse fant et sikkerhetshull som lot dem overta en hvilken som helst bruker, for eksempel en professors, i e-læringssystemet Blackboard.
Tilgangen de fikk i Blackboard ga mulighet til å endre karakterer, slette eller endre egne og andres oppgaver, få tilgang til sensitive dokumenter, sende epost fra kontoen og spre skadelig programvare.
Overrasket over hva de kunne gjøre
- Det er sikkerhetshull i nesten alle systemer, sier McMillan til UA.
Han er derfor ikke så overrasket over at det var sikkerhetshull i Blackboard, men ble overrasket da de oppdaget hvor mye det gikk an å gjøre når de først var inne i systemet.
- Det var også derfor vi valgte å varsle om og gå ut med saken. Dette sikkerhetshullet kan ha blitt misbrukt før vi oppdaget det, sier han til UA.
Det er ikke så lett for dem som ikke er veldig datakyndige å forstå hvor enkelt eller vanskelig det er å hacke systemet. Mcmillan sier til UA at han tror for eksempel mange som har tatt emner i programvaresikkerhet kunne funnet sikkerhetshullet i Blackboard.
For studiekameratene McMillan, Hjetland og Fosse er hacking en hobby, og nylig deltok de i en hackingkonkurranse.
Måtte lure målet
Studentene varslet Blackboard etter å ha oppdaget sikkerhetshullet. Det skal nå være tettet.
McMillan sier til UA at kontakten med NTNU har vært god siden de varslet om saken, og at universitetet har forsøkt å inkludere dem i prosessen med Blackboard. Kommunikasjonen med Blackboard har ikke vært like enkel, ifølge studenten.
For å få tilgang måtte målet lures til å trykke på feil lenke, litt som i et tradisjonelt phishing-angrep, skriver VG, som først omtalte saken. Studentene fant sikkerhetshullet da de la merke til at nettadressen de lastet opp innleveringene sine til, var den samme som selve Blackboard-systemet, skriver avisen. En av studentene fikk en intuisjon om at siden kanskje ikke kontrollerte opplastingene godt nok. De brukte fem timer før de hadde greid å hacke systemet med en kombinasjon av flere teknikker, blant annet «cross-site scripting».
- Det holder at de trykker på en helt vilkårlig lenke. Tilgangen er den samme som om vi hadde hatt brukernavn og passord, sier Fosse til VG.
– Etter en grundig analyse kunne sikkerhetsteamet vårt identifisere en konfigurasjonsendring som ville muliggjøre ekstra beskyttelse. Sikkerhetsteamet gjennomførte også en omfattende og detaljert analyse av NTNUs system som ikke viste noe bevis for at sårbarheten var blitt utnyttet, skriver talsperson D’Anthony White fra Blacboard i en uttalelse til VG.
– Vi har ikke funnet noen indikasjoner om at svakheten har vært utnyttet av andre, sier seksjonsleder for digital sikkerhet på NTNU, Stian Husemoen, til dinside.no.
Varslet i februar
Nettavisen forklarer hva studentene kunne gjøre:
* Få foreleser til å åpne en fil de selv hadde lastet opp til Blackboard. For eksempel ved å maskere filen som en vanlig innlevering av en oppgave.
* Når foreleseren klikket på filen kunne studentene stjele foreleserens Blackboard-«cookie». Den som gjør at forelesere slipper å skrive inn passordet sitt hver gang de skal bruke systemet.
* Med denne informasjonskapselen kunne studentene logge seg inn på foreleserens Blackboard-konto. Å ha denne var altså det samme som å ha passordet.
* Hva studentene da kunne finne på, er det bare fantasien som setter grenser for. Blant annet sette karakterer på sine egne oppgaver, som igjen er med på å bestemme sluttkarakteren i fagene, eller sende e-poster i forelesers navn.
Ifølge dinside.no varslet studentene om svakheten til NTNU og Blackboard 9. februar. NTNU ga tilbakemelding om at de skulle se på saken samme dag, og et møte ble arrangert tre dager senere. 12. april skal NTNU ha fått bekreftet at sikkerhetshullet var tettet.