Studenter hacket NTNU - kunne endre egne karakterer

Publisert: Oppdatert: 17.04.18 18:43

Del saken på:

Lenken er kopiert
INNENRIKS

Et sikkerhetshull oppdaget over lunsjbordet kunne gitt en gjeng med masterstudenter full kontroll over professorenes brukerkontoer på NTNUs internsystem.

– Vi har funnet et sikkerhetshull som lar deg overta en hvilken som helst bruker, for eksempel en professors. Det holder at de trykker på en helt vilkårlig lenke. Tilgangen er den samme som om vi hadde hatt brukernavn og passord, sier Eirik Fosse (24).

Han er mastergradsstudent i informatikk ved NTNU, og har sammen med en liten gruppe medstudenter hacket sitt eget universitet.

Med kontrollen over en slik bruker har studentene mange muligheter - dersom de har onde hensikter:

  • De kan endre karakterer
  • De kan slette eller endre egne og andres oppgaver og innleveringer
  • De kan få tilgang på sensitive dokumenter
  • De kan sende epost fra kontoen
  • De kan spre annen, enda mer skadelig programvare

– Nesten usynlig

For å få slik tilgang var gruppa avhengig av å lure målet til å trykke på feil lenke, litt som i et tradisjonelt phishing-angrep. Blackboard-plattformen til NTNU er imidlertid mye mer sårbar. Der kan du sende lenker mottakeren må åpne - for eksempel til en oppgave du har skrevet. Denne lenken kan både kjøre den ondsinnede programvaren i nettleseren din, og lede det intetanende offeret til en helt legitim innlevering - uten at dette er synlig for offeret.

– Det var utfordrende å komme oss gjennom sikkerheten, men på ingen måte umulig. I og med at det vil være nesten usynlig kan vi ikke utelukke at noen har gjennomført et slikt angrep tidligere, sier Sondre Hjetland (23).

Gjengen med studenter falt imidlertid ikke for fristelsen, og varslet Blackboard som har tettet sikkerhetshullet når denne saken er publisert.

– Du kan sammenligne det med å finne et hus der nøklene sto glemt i døra. Noen ville kanskje tatt med seg alt av verdi, mens vi åpnet døra og tittet inn, før vi sa fra at døra sto ulåst, sier Michael McMillan (24).

Motivasjonen var heller aldri å bruke sikkerhetshullet til egen vinning.

– Vi kjedet oss rett og slett. Vi sitter sammen på masterlesesalen, og det er greit med avveksling fra lange dager. I tillegg er det jo gøy å drive med, fortsetter McMillan.

Kan i praksis endre standpunkt

Studentene fant sikkerhetshullet da de la merke til at nettadressen de lastet opp innleveringene sine til, var den samme som selve Blackboard-systemet. En av dem fikk en intuisjon om at siden kanskje ikke kontrollerte opplastingene godt nok. Etter drøye fem timer med prøving og feiling hadde gruppen hacket systemet.

Arbeidet fremstår mest sannsynlig uforståelig for de fleste, men studentene forteller at de brukte en kombinasjon av flere teknikker, hvorav den viktigste betegnes som «cross-site scripting». Underveis fant de tegn på at selskapet bak plattformen var klar over sårbarheten, og hadde gjort tiltak for å styrke sikkerheten.

At hullet de fant likevel ikke var tettet skikkelig er kritikkverdig, mener studentene. De setter også spørsmålstegn ved hvor viktig sikkerhet var da NTNU valgte denne leverandøren.

– Sikkerhet har nok vært en del av ligningen, men hvor tungt har det veid? Vi mistenker at pris og funksjonalitet har vært viktigere.

Sikkerhetshullet gir ikke tilgang til å endre standpunktkarakteren din, men i mange fag er det endelige resultatet helt eller delvis basert på resultatene som lagres på Blackboard. I flere fag er standpunktskarakteren den samme som én enkeltkarakter lagret først på Blackboard.

Millioner av brukere

– Etter en grundig analyse kunne sikkerhetsteamet vårt identifisere en konfigurasjonsendring som ville muliggjøre ekstra beskyttelse. Sikkerhetsteamet gjennomførte også en omfattende og detaljert analyse av NTNUs system som ikke viste noe bevis for at sårbarheten var blitt utnyttet, skriver talsperson D’Anthony White fra Blacboard i en uttalelse til VG.

Plattformen brukes av en rekke utdanningsinstitusjoner verden over, og skal være den største i USA. På sin egen nettside hevder selskapet å ha tusener av kunder og millioner av brukere. Sikkerhetshullet oppdaget av studentene var til stede i hele systemet, ikke bare på deres universitet.

Seksjonsleder for digital sikkerhet på NTNU, Stian Husemoen, skryter av studentenes evner, men sier universitetet foretrekker at ingen tester systemenes sårbarheter på egenhånd.

– Men vi setter stor pris på at studentene varslet oss raskt da de kom over den. De har opptrådt både ryddig og spilt med åpne kort, sier han til VG.

Fant nytt hull underveis

Da masterstudentene hjalp NTNU og Blackboard å tette hullet fant de enda en måte å få kontroll på brukere på, og er ikke imponert over systemets beskyttelsesmekanismer.

Husemoen understreker at sikkerhet er viktig når NTNU går til anskaffelse av kostbare systemer som Blacboard, og hevder det ikke er noe som tyder på at noen har gjort lignende oppdagelser som masterstudentene, men utnyttet dem.

– Vi har gode logger som ville oppdaget uautoriserte endringer om noen hadde fått mistanke om det. Vi gjorde også en full gjennomgang av loggene da vi ble oppmerksomme på sårbarheten av studentene, og kan si oss sikre på at ingen andre har utnyttet denne svakheten tidligere, sier Husemoen.

Å spore opp noen som hacket NTNU på denne måten vil være svært vanskelig, sier imidlertid studentene som oppdaget sårbarheten. På spørsmål om han kan utdype hvilke metoder som er brukt for å forsikre seg om at ingen har benyttet seg av sårbarheten, sier Husemoen at Blackboard må svare på dette. Selskapet har ikke svart på VGs gjentatte oppfølgingsspørsmål om dette.

PS! Sikkerhetshullet er tettet hos Blackboards systemer i alle land, når denne saken publiseres.

Denne artikkelen handler om