HACKET BLACKBOARD: NTNU-studentene Michael McMillan, Sondre Hjetland og Eirik Fosse fant en svakhet i studieplattformen Blackboard, og fikk logget seg inn som sine egne forelesere. Foto: Privat
HACKET BLACKBOARD: NTNU-studentene Michael McMillan, Sondre Hjetland og Eirik Fosse fant en svakhet i studieplattformen Blackboard, og fikk logget seg inn som sine egne forelesere. Foto: PrivatVis mer

NTNU-studenter hacket Blackboard

Slik kunne studentene sette egne karakterer

– Et hull som aldri burde vært der, sier studentene som oppdaget alvorlig svakhet.

– Jeg tror egentlig vi bare kjedet oss litt, forteller NTNU-studenten Michael McMillan til Dinside.

– Også så jeg en kamerat som lastet opp en fil til Blackboard, og la merke til at fila ble lastet opp til samme domene som selve Blackboard. Da gikk det en alarm i hodet mitt.

De neste dagene undersøkte McMillan, sammen med studiekameratene Sondre Hjetland og Eirik Fosse, om NTNU sin studieplattform Blackboard kunne knekkes.

Det kunne den. Og det skapte uante muligheter.

ENDRA KARAKTER: Her demonstrerer studentene hvordan de kan sette karakter på sin egen innlevering, når de har logget inn som sin egen foreleser. Foto: Privat
ENDRA KARAKTER: Her demonstrerer studentene hvordan de kan sette karakter på sin egen innlevering, når de har logget inn som sin egen foreleser. Foto: Privat Vis mer

Satt egne karakterer

Blackboard er en plattform for blant annet studenter, i konkurranse med systemer som Fronter og Itslearning. Systemet brukes av mange tusen studiesteder i hele verden, og blant annet av NTNU med sine rundt 40.000 studenter og 7.000 ansatte.

Det McMillan og kameratene oppdaget var flere svakheter som sammen formet et alvorlig sikkerhetshull; et hull som lot dem logge seg inn som sine egne forelesere.

De kunne for eksempel gjøre dette:

  1. Få foreleser til å åpne en fil de selv hadde lastet opp til Blackboard. For eksempel ved å maskere filen som en vanlig innlevering av en oppgave.
  2. Når foreleseren klikket på filen kunne studentene stjele foreleserens Blackboard-«cookie». Den som gjør at forelesere slipper å skrive inn passordet sitt hver gang de skal bruke systemet.
  3. Med denne informasjonskapselen kunne studentene logge seg inn på foreleserens Blackboard-konto. Å ha denne var altså det samme som å ha passordet.
  4. Hva studentene da kunne finne på, er det bare fantasien som setter grenser for. Blant annet sette karakterer på sine egne oppgaver, som igjen er med på å bestemme sluttkarakteren i fagene, eller sende e-poster i forelesers navn.
TOK PÅ ALVOR: Stian Husemoen leder NTNU sin seksjon for digital sikkerhet, og tok varselet fra studentene på alvor. Nå skal hullet være tettet. Foto: Anders Gimmestad Gule / NTNU
TOK PÅ ALVOR: Stian Husemoen leder NTNU sin seksjon for digital sikkerhet, og tok varselet fra studentene på alvor. Nå skal hullet være tettet. Foto: Anders Gimmestad Gule / NTNU Vis mer

Alvorlig sikkerhetshull

Studentene hadde ingen planer om å misbruke hullet selv. De studerer informatikk, og var nysgjerrige. Derfor tok de med seg funnet til både NTNU og Blackboard selv.

– Det ble tidlig klart at dette kunne være en alvorlig svakhet, forteller seksjonsleder for digital sikkerhet på NTNU, Stian Husemoen, til Dinside.

NTNU tok derfor saken på alvor. Nærmest umiddelbart tok de selv grep for å hindre angrepet studentene viste dem, uten at dette tettet hullet i seg selv.

Videre satt NTNU i daglige møter med Blackboard, hvor også studentene var involvert, og for en ukes tid tilbake kom oppdateringene som gjør at NTNU anser hullet som tettet.

– Vi har ikke funnet noen indikasjoner om at svakheten har vært utnyttet av andre, sier Husemoen, som takker studentene for samarbeidet, og er fornøyd med Blackboards oppfølging av saken.

«Burde ikke vært der»

Selv om studenten McMillan er glad for at NTNU og Blackboard tok saken på alvor, synes han det er kritikkverdig at hullet var der i første omgang.

– Jeg tror samtlige studenter ved NTNU som har studert programvaresikkerhet kunne funnet dette hullet, man trenger ikke være veldig dyktig. Dette sikkerhetshullet burde ikke vært der, mener McMillan.

Studentene lurer på hvordan NTNU ikke selv oppdaget svakheten.

– En generell penetrasjonstest eller sårbarhetsskanning ville neppe oppdaget akkurat denne feilen, sier på sin side Husemoen hos NTNU.

– Det var en kombinasjon av flere ulike mindre svakheter som i sum gjorde at en kompetent angriper kunne utnytte de til å ta over sesjonen til en annen bruker.

Sikkerhetsproblemer i sikkerhetsmiljø

For under to uker siden skrev Dagbladet i samarbeid med Dinside om en omfattende dataglipp hos NTNU. Tusenvis av e-poster mellom blant annet forskere og studenter lå åpent ute på nettet, søkbart fra Google.

Sikkerhetsmiljøet på Universitetet i Oslo kalte det en «gullgruve» av personlig, og potensielt sensitiv, informasjon.

Hullet i Blackboard kommer altså i tillegg til dette. Fra universitetet som blant annet er en viktig bidragsyter for både utdanning og forskning på datasikkerhet.

– Ligger det noen ironi her?

– At svakheter oppdages er vanskelig å forsikre seg helt mot, dessverre, sier sikkerhetssjef Husemoen på NTNU.

– Et ordtak i sikkerhetsverden er at alle større datasystemer inneholder minst en uoppdaget feil til, om de så er levert fra Microsoft, Apple, eller Blackboard.

Dinside har forsøkt å få snakke med Blackboard til denne artikkelen, uten hell.