Sikkerhetshull i skoleportal: Mener han kan få tilgang til dine barns webkamera

Da den tyrkiske IT-eksperten fortalte norske itslearning om løsningen som kunne gi ham tilgang til norske elevers webkamera, fikk han beskjed om at det skulle være slik.

[Oppdatering 26.01.18: itslearning melder at de har stoppet muligheten for å kjøre script fra filer fra files.itslearning.com, slik at det ikke lenger er mulig å be om for eksempel kameratilgang.]

– Med et enkelt klikk kan jeg kontrollere nettleseren din. Jeg kan få tilgang til kameraet på datamaskinen din, utføre phishing-angrep og sende deg til andre nettsteder, uten at du advares om det, forklarer tyrkiske Mustafa Kamal Can til VG.

Det kan han gjøre via skoleportalen itslearning. Det norske programmet brukes daglig av elever og lærere i over halvparten av Norges kommuner. På verdensbasis har portalen omkring syv millioner aktive brukere.

Kan avlytte tastetrykkene

Itslearning har kjent til problemet siden november, uten å gjøre noe med det.

– Vi er ikke enige i at det er et sikkerhetshull. Vi tillater brukerne å legge filer med script i åpne webfiler, som kan deles med andre. Spørsmålet er mer om man kan misbruke tilliten elever har til itslearning, og lure folk slik. Det har vi vurdert, og kommet til at det ikke er en fare, sier Jon-Kåre Hansen, teknologidirektør i itslearning.

Tyrkiske Mustafa Kemal Can studerer programmering ved et universitet i Istanbul som bruker itslearning. I november i fjor sjekket han sikkerheten, og oppdaget at han kunne overta webkameraet på andre maskiner via sin bruker på itslearning.

Samme sårbarhet ga ham også muligheten til å installere såkalte keyloggere, som fanger opp ethvert tastetrykk fra datamaskinen det angriper.

Vet elever kan la seg lure

28. november kontaktet han itslearning om muligheten. To dager senere fikk han svar fra Raymond Lund i itslearning: De kommer ikke til å tette sikkerhetshullet, selv om de er klar over at elever som bruker itslearning kan la seg lure:

«Vi behandler innhold som ligger på files.itslearning.com som tredjepartsinnhold. Med andre ord: Vi stoler ikke på det. Vi erkjenner imidlertid at brukerne våre stoler mer på innhold fra et itslearning-nettsted. Vi vurderer løsninger som skal gjøre brukerne oppmerksomme på det», skrev itslearning i sitt svar til Kemal Can.

Utenlandske hackere har allerede vist interesse for norske data. 8 januar i år ble datasystemene til Helse Sør-Øst angrepet. Ifølge helseforetaket ble angrepet begått av en avansert og profesjonell aktør.

Kan vurdere endring

Jon-Kåre Hansen avviser at den tyrkiske hackerens funn er et sikkerhetsproblem for itslearnings brukere.

– Vi skanner periodisk etter ulike kjente typer sikkerhetsproblemer, og ville med stor sannsynlighet ha oppdaget det. Avsenderen av lenken må også ha en brukerkonto på itslearning, så vi vil kunne se hvem som forsøkte å skaffe seg tilgang.

Han mener at foreldre ikke behøver være bekymret for at utenforstående skal skaffe seg tilgang til deres barns datamaskin via itslearning.

– Men hvis en kommune som bruker vårt program er bekymret for dette, kan de slå av funksjonen som åpner for dette. Og hvis det viser seg å være en bekymring hos flere, tar vi det opp til vurdering igjen.