Studenter hacket NTNU - kunne endre egne karakterer

Et sikkerhetshull oppdaget over lunsjbordet kunne gitt en gjeng med masterstudenter full kontroll over professorenes brukerkontoer på NTNUs internsystem.

Oppdatert 17. april 2018

Artikkelen er over to år gammel

les også Datasystemene til Helse Sør-Øst angrepet

– Vi har funnet et sikkerhetshull som lar deg overta en hvilken som helst bruker, for eksempel en professors. Det holder at de trykker på en helt vilkårlig lenke. Tilgangen er den samme som om vi hadde hatt brukernavn og passord, sier Eirik Fosse (24).

Han er mastergradsstudent i informatikk ved NTNU, og har sammen med en liten gruppe medstudenter hacket sitt eget universitet.

Med kontrollen over en slik bruker har studentene mange muligheter - dersom de har onde hensikter:

De kan endre karakterer

De kan slette eller endre egne og andres oppgaver og innleveringer

De kan få tilgang på sensitive dokumenter

De kan sende epost fra kontoen

De kan spre annen, enda mer skadelig programvare

les også Sikkerhetshull i skoleportal: Mener han kan få tilgang til dine barns webkamera

– Nesten usynlig

For å få slik tilgang var gruppa avhengig av å lure målet til å trykke på feil lenke, litt som i et tradisjonelt phishing-angrep. Blackboard-plattformen til NTNU er imidlertid mye mer sårbar. Der kan du sende lenker mottakeren må åpne - for eksempel til en oppgave du har skrevet. Denne lenken kan både kjøre den ondsinnede programvaren i nettleseren din, og lede det intetanende offeret til en helt legitim innlevering - uten at dette er synlig for offeret.

– Det var utfordrende å komme oss gjennom sikkerheten, men på ingen måte umulig. I og med at det vil være nesten usynlig kan vi ikke utelukke at noen har gjennomført et slikt angrep tidligere, sier Sondre Hjetland (23).

Gjengen med studenter falt imidlertid ikke for fristelsen, og varslet Blackboard som har tettet sikkerhetshullet når denne saken er publisert.

– Du kan sammenligne det med å finne et hus der nøklene sto glemt i døra. Noen ville kanskje tatt med seg alt av verdi, mens vi åpnet døra og tittet inn, før vi sa fra at døra sto ulåst, sier Michael McMillan (24).

Motivasjonen var heller aldri å bruke sikkerhetshullet til egen vinning.

– Vi kjedet oss rett og slett. Vi sitter sammen på masterlesesalen, og det er greit med avveksling fra lange dager. I tillegg er det jo gøy å drive med, fortsetter McMillan.

HACKERNE: Michael McMillan, Eirik Fosse og Sondre Hjetland (fra venstre) studerer sammen på NTNU, og oppdaget en metode for å endre sine egne karakterer i et fem timer langt avbrekk fra arbeidet med masterstudiene. Foto: Privat

Kan i praksis endre standpunkt

Studentene fant sikkerhetshullet da de la merke til at nettadressen de lastet opp innleveringene sine til, var den samme som selve Blackboard-systemet. En av dem fikk en intuisjon om at siden kanskje ikke kontrollerte opplastingene godt nok. Etter drøye fem timer med prøving og feiling hadde gruppen hacket systemet.

Arbeidet fremstår mest sannsynlig uforståelig for de fleste, men studentene forteller at de brukte en kombinasjon av flere teknikker, hvorav den viktigste betegnes som «cross-site scripting». Underveis fant de tegn på at selskapet bak plattformen var klar over sårbarheten, og hadde gjort tiltak for å styrke sikkerheten.

les også De kjemper mot hackerne

At hullet de fant likevel ikke var tettet skikkelig er kritikkverdig, mener studentene. De setter også spørsmålstegn ved hvor viktig sikkerhet var da NTNU valgte denne leverandøren.

– Sikkerhet har nok vært en del av ligningen, men hvor tungt har det veid? Vi mistenker at pris og funksjonalitet har vært viktigere.

Sikkerhetshullet gir ikke tilgang til å endre standpunktkarakteren din, men i mange fag er det endelige resultatet helt eller delvis basert på resultatene som lagres på Blackboard. I flere fag er standpunktskarakteren den samme som én enkeltkarakter lagret først på Blackboard.

Millioner av brukere

– Etter en grundig analyse kunne sikkerhetsteamet vårt identifisere en konfigurasjonsendring som ville muliggjøre ekstra beskyttelse. Sikkerhetsteamet gjennomførte også en omfattende og detaljert analyse av NTNUs system som ikke viste noe bevis for at sårbarheten var blitt utnyttet, skriver talsperson D’Anthony White fra Blacboard i en uttalelse til VG.

Plattformen brukes av en rekke utdanningsinstitusjoner verden over, og skal være den største i USA. På sin egen nettside hevder selskapet å ha tusener av kunder og millioner av brukere. Sikkerhetshullet oppdaget av studentene var til stede i hele systemet, ikke bare på deres universitet.

Seksjonsleder for digital sikkerhet på NTNU, Stian Husemoen, skryter av studentenes evner, men sier universitetet foretrekker at ingen tester systemenes sårbarheter på egenhånd.

– Men vi setter stor pris på at studentene varslet oss raskt da de kom over den. De har opptrådt både ryddig og spilt med åpne kort, sier han til VG.

Fant nytt hull underveis

Da masterstudentene hjalp NTNU og Blackboard å tette hullet fant de enda en måte å få kontroll på brukere på, og er ikke imponert over systemets beskyttelsesmekanismer.

Husemoen understreker at sikkerhet er viktig når NTNU går til anskaffelse av kostbare systemer som Blacboard, og hevder det ikke er noe som tyder på at noen har gjort lignende oppdagelser som masterstudentene, men utnyttet dem.

– Vi har gode logger som ville oppdaget uautoriserte endringer om noen hadde fått mistanke om det. Vi gjorde også en full gjennomgang av loggene da vi ble oppmerksomme på sårbarheten av studentene, og kan si oss sikre på at ingen andre har utnyttet denne svakheten tidligere, sier Husemoen.

Å spore opp noen som hacket NTNU på denne måten vil være svært vanskelig, sier imidlertid studentene som oppdaget sårbarheten. På spørsmål om han kan utdype hvilke metoder som er brukt for å forsikre seg om at ingen har benyttet seg av sårbarheten, sier Husemoen at Blackboard må svare på dette. Selskapet har ikke svart på VGs gjentatte oppfølgingsspørsmål om dette.

PS! Sikkerhetshullet er tettet hos Blackboards systemer i alle land, når denne saken publiseres.

Publisert: 17.04.18 kl. 14:10 Oppdatert: 17.04.18 kl. 18:43