Michael McMillan, Sondre Hjetland og Eirik Fosse fant et hull i sikkerheten til NTNUs Blackboard-system.

Blackboard-hackerne mener studentene ikke trenger å frykte for sikkerheten sin

Eirik Fosse (24) og kompisene klarte å finne et alvorlig sikkerhetshull i Blackboard, og tror det finnes flere.

Publisert Sist oppdatert

Informatikkstudenten Eirik Fosse, som fant dette sammen med Michael McMillan (24) og Sondre Hjetland (23), forklarer at sikkerhetshullet ga mulighet til å ta over en professors bruker i Blackboard. Da kunne man utføre handlinger på vegne av professoren, alt fra å endre karakterer på oppgaver som er rettet, slette andres oppgaver eller sende ut mail.

– Vi fant to måter å lure filteret som skulle fjerne ondsinnet kode på, og det er ganske sannsynlig at det finnes flere måter å lure dette filteret på. Det blir vanskeligere å utføre tilsvarende angrep etter at Blackboard nå har gjort flere tiltak for å tette hullet.

Les også: NTNU-studenter oppdaget et sikkerhetshull som gjorde at de kunne ta over en hvilken som helst brukerkonto

Fosse forklarer at Itslearning hadde et lignende sikkerhetshull for en stund siden, men at det ikke var like alvorlig. Der kunne man ikke ta over brukeren til andre, i motsetning til det Fosse og kameratene klarte på Blackboard.

– Itslearning hadde en bedre løsning enn det Blackboard har. Vi foreslo disse endringene til Blackboard, men de mente det ville bli for tungvint å implementere. Jeg tror likevel ikke studentene i utgangspunktet har noen grunn til å frykte for sikkerheten sin framover.

Les også: En programmeringsfeil gjorde at en vugge spilte inn lyd hos en barnefamilie i syv måneder før det ble oppdaget av NTNU

–Det er vanlig med uoppdagede feil

Prorektor for utdanning, Anne Borg ved NTNU sier at universitetet jobber generelt systematisk med IT-sikkerhet. Sikkerhetshullet som ble oppdaget mener hun har blitt fulgt opp på en god måte.

– Det er vanlig at store datasystemer har uoppdagede feil selv om vi har prosesser og rutiner for å oppdage flest mulige feil. Det er en normal situasjon med sikkerhetsoppdatering på alle datasystemer fordi noen oppdager feil. Dette har blitt gjennomført i dette tilfellet.

Les også: Totalt 32 søkere til ph.d.-stillinger opplevde å få blant annet sine personnummer og vitnemål lagt åpent ut på internett.

Videre forklarer hun at NTNU har etablert et brukerforum med studenter og ansatte fra alle fakultet, for å få innspill til hvilke tiltak som vil føre til størst forbedring av Blackboard de kommende årene.

– I tillegg jobber vi med opplæring og veiledning til undervisere, og samarbeider med undervisere rundt beste praksis, slik at vi kan utvikle best mulig bruk av Blackboard i undervisningen. Dette mener vi vil bidra til at både studenter og ansatte opplever Blackboard som et godt verktøy.

nyheter
Powered by Labrador CMS