image

Ernstige lekken in Blackboard-implementatie UvA ontdekt

dinsdag 23 mei 2017, 09:45 door Redactie, 8 reacties
Laatst bijgewerkt: 23-05-2017, 11:24

Onderzoekers hebben ernstige beveiligingslekken in de Blackboard-implementatie van de Universiteit van Amsterdam (UvA) ontdekt waardoor ze de accounts van meer dan 10.000 gebruikers konden overnemen. Blackboard is een online leeromgeving voor onderwijsinstellingen.

Het kan onder andere worden gebruikt voor het aanmaken van vakken, inschrijven van studenten en het aanbieden en beoordelen van huiswerk. Het wordt door universiteiten wereldwijd gebruikt. In Nederland is de UvA de grootste gebruiker met meer dan 30.000 studenten. Onderzoekers Bram ter Borch en Auke Zwaan besloten naar de Blackboard-implementatie van de UvA te kijken. Ze hadden gedurende een maand twee dagen per week de tijd om naar kwetsbaarheden te zoeken.

Ter Borch en Zwaan vonden allerlei verschillende kwetsbaarheden. Zo werd de inlogpagina via https aangeboden, maar werden gebruikers na het inloggen automatisch naar http gestuurd. De cookies werden ook alleen voor http geplaatst. "Het bleek niet mogelijk te zijn om veilig in te loggen, zelfs als een gebruiker https zou afdwingen konden we het eenvoudig filteren", aldus de onderzoekers.

Op deze manier konden de onderzoekers sessies van ingelogde gebruikers overnemen. Zodra een gebruiker op Blackboard is ingelogd is het echter mogelijk om het wachtwoord te veranderen zonder het oude wachtwoord eerst op te geven. Zodoende konden niet alleen sessies, maar ook accounts worden gekaapt. Verder bleek de Blackboard-installatie van de UvA van 2013 te dateren en allerlei bekende beveiligingslekken te bevatten, hoewel die niet ernstig waren, zo stellen de onderzoekers.

Accounts overnemen

De grootste problemen kwamen aan het licht toen Ter Borch en Zwaan via een script de gegevens van 143.000 gebruikersaccounts verzamelden en ontdekten dat sommige gebruikers voor hun gebruikersnaam, voornaam en achternaam dezelfde naam gebruikten. Daardoor kwamen ze tot het idee dat sommige gebruikers misschien hun gebruikersnaam ook als wachtwoord gebruiken. Iets wat inderdaad het geval bleek te zijn. Bijna 11.000 gebruikers hadden hun gebruikersnaam als wachtwoord. Het ging niet alleen om studenten, maar ook om ruim 300 accounts die volledige rechten over tenminste één vak hadden. Eén account die op deze manier werd gehackt had zelfs toegang tot ruim duizend vakken. Op deze manier konden nog niet gepubliceerde examens worden verkregen die studenten nog moesten afnemen.

Ook bleek het mogelijk om kwaadaardige code te injecteren op pagina's die vaak door studenten bekeken worden. Het gaat om de homepages van vakken op Blackboard. Als een willekeurig account die pagina dan bezocht, konden de onderzoekers namens dat account alle acties uitvoeren. Zo konden de onderzoekers zichzelf kunnen laten toevoegen aan andere vakken als docent, of zelfs als administrator van heel Blackboard. Dit was ook de manier om bijvoorbeeld cijfers aan te passen of malware onder studenten te verspreiden.

De onderzoekers begonnen vorig jaar april hun onderzoek en presenteerden de resultaten een maand later in mei. In september beweerde de UvA dat de problemen waren verholpen, maar bijna alle problemen zijn volgens de onderzoekers nog steeds aanwezig. Vervolgens vroegen ze de UvA begin dit jaar om een update, maar er kwam geen antwoord, waarop ze nu hun bevindingen via dit rapport (pdf) openbaar hebben gemaakt. Daarin waarschuwen ze dat de UvA dicht bij een ernstig datalek is en de universiteit maatregelen moet nemen. "Aangezien Blackboard de grootste applicatie is die de UvA host en tal van kwetsbaarheden bevat, zou het niet verrassend zijn als dit onderzoek alleen het topje van de ijsberg blootlegt. Wat duidelijk is, is dat de UvA informatiebeveiliging en de databeveiliging van hun systemen serieuzer moet nemen."

Reacties (8)
23-05-2017, 10:21 door Anoniem
"Hakcun! Hakcun! Hackun!"

Terwijl jullie ook wat nuttigs hadden kunnen vertellen. Hetzelfde probleem in het pdfje, dat daarmee automatisch de status van broddelrapport krijgt.

Toch gek, dat er al 20 jaar twijfels zijn over het (verplichte) gebruik van zo'n brok commerciele zwarte doos software op universiteiten, en dat het dan dus 20 jaar kost voordat iemand er eens naar gaat kijken. En dat die er dan ook een nietszeggend broddelwerkje van maakt. Fijn, nuttig, constructief, academische qualiteit enzo.
23-05-2017, 10:54 door Anoniem
Dank voor dit artikel redactie!
Heb vandaag een melding gemaakt bij de Autoriteit Persoonsgegevens.
23-05-2017, 11:31 door Anoniem
Door Anoniem: "Hakcun! Hakcun! Hackun!"

Terwijl jullie ook wat nuttigs hadden kunnen vertellen. Hetzelfde probleem in het pdfje, dat daarmee automatisch de status van broddelrapport krijgt.

Toch gek, dat er al 20 jaar twijfels zijn over het (verplichte) gebruik van zo'n brok commerciele zwarte doos software op universiteiten, en dat het dan dus 20 jaar kost voordat iemand er eens naar gaat kijken. En dat die er dan ook een nietszeggend broddelwerkje van maakt. Fijn, nuttig, constructief, academische qualiteit enzo.

Zou je wat specifieker kunnen zijn waarom je denkt dat het broddelwerk is? Heb je voorbeelden en wat zou je veranderen om de kwaliteit te verbeteren? Dit lijkt meer op ad hominem aanvallen en een hoop geschreeuw, zonder inhoudelijk op de zaak in te gaan. Daarmee diskwalificeer je je op voorhand, en dat is niet fijn, nuttig of constructief.
23-05-2017, 12:51 door Anoniem
Door Anoniem:
Door Anoniem: "Hakcun! Hakcun! Hackun!"

Terwijl jullie ook wat nuttigs hadden kunnen vertellen. Hetzelfde probleem in het pdfje, dat daarmee automatisch de status van broddelrapport krijgt.

Toch gek, dat er al 20 jaar twijfels zijn over het (verplichte) gebruik van zo'n brok commerciele zwarte doos software op universiteiten, en dat het dan dus 20 jaar kost voordat iemand er eens naar gaat kijken. En dat die er dan ook een nietszeggend broddelwerkje van maakt. Fijn, nuttig, constructief, academische qualiteit enzo.

Zou je wat specifieker kunnen zijn waarom je denkt dat het broddelwerk is? Heb je voorbeelden en wat zou je veranderen om de kwaliteit te verbeteren? Dit lijkt meer op ad hominem aanvallen en een hoop geschreeuw, zonder inhoudelijk op de zaak in te gaan. Daarmee diskwalificeer je je op voorhand, en dat is niet fijn, nuttig of constructief.
Originele argumenten waar je mee komt. Vooral ook omdat je kennelijk geen idee hebt wat "ad hominem" betekent. Er staat nergens iets dat de auteurs zelf inhoudsloos zijn of dat hun persoon anderszins negatief belicht, wat is wat je beschrijft als je het over een argumentum ad hominem hebt, maar wel dat het werk dat ze afgeleverd hebben ondermaats is.

Tegenvoorbeeld. Stel, ik zeg: Mischien weet jij het ook wel niet wat een werk academisch maakt. Mischien ben je wel gewoon een leeghoofd dat niets anders kan dan moeluke woordun oprakelen waarvan je eigenlijk niet weet wat ze betekenen maar je vindt ze wel interessant klinken. Dit zeggen is wel een argumentum ad hominem, want dan zeg ik dat er iets aan jouw persoontje schort. Dat gebeurde nergens in wat jij aanhaalt als zou het een argumentum ad hominem zijn.

Overigens een wijze les waar nog wel meer mensen goed aan zouden doen om te proberen te snappen: Er is nogal een verschil tussen een persoon afkraken en zijn gedragingen afkraken. Gedragingen kun je veranderen en wellicht verbeteren, veel makkelijker dan je (vermeende) persoonlijkheid.


Het probleem is simpel: Gebrek aan substantie, verhuld met bangmaakwoorden die ondertussen niets meer betekenen. Je hebt er al niets aan in een persbericht van een computer security bedrijf, en in iets wat voor academisch moet doorgaan is het hemeltergend. Academische respectabiliteit gaat verder dan computer modern, weet je.
23-05-2017, 14:43 door Anoniem
Even reagerend op Anoniem op 12:51: ik zie in je eerste bericht en op je volgende bericht eerlijk gezegd ook geen inhoudelijk argument, ad hominem of niet. De personen hebben 8 dagen aan het rapport gewerkt en komen met een waslijst aan problemen. Wat is exact het probleem? "Hemeltergend" en "gebrek aan substantie" is prima, maar onderbouw het dan met voorbeelden waar het universitaire aspect zwaar de mist in gaat. Ik zie alleen dat een security audit is uitgevoerd op basis van OWASP, en die opzet lijkt geslaagd. Als student-assistent heb ik heel wat slechtere documenten gezien van universitaire studenten, inclusief bijna-afgestudeerden.
23-05-2017, 14:44 door PietdeVries - Bijgewerkt: 23-05-2017, 15:17
Door Anoniem:
Originele argumenten waar je mee komt. Vooral ook omdat je kennelijk geen idee hebt wat "ad hominem" betekent <snip>

Top, prima, goed bezig. In plaats van aan te geven waarom je vindt dat "jullie" (daarmee verwijs je naar de auteurs van het artikel, toch?) broddelwerk leveren (want een pdf-je ergens heeft kennelijk hetzelfde probleem), probeer je de discussie om te leiden naar een theoretische verhandeling over academisch werk. Niet reageren op de inhoud maar op de vorm... Mooi hoor, staat je goed. Maar nu terug naar het onderwerp: hoe zou jij het artikel geschreven hebben en welke aanvulling heb je?
23-05-2017, 15:15 door Anoniem
Door PietdeVries:
Door Anoniem:
Originele argumenten waar je mee komt. Vooral ook omdat je kennelijk geen idee hebt wat "ad hominem" betekent <snip>
Top, prima, goed bezig.
Dank je, Piet. Gebeurt niet vaak dat je wat nuttigs toevoegt maar deze keer heb je fijn de spijker op de kop geslagen.

Want ja, als jij selectief mag lezen dan mag ik dat ook. Op het gevaar af oververhitte hersens te veroorzaken: Is dit wel of geen "tu quoque", en waarom dan wel of niet?

Waar je al twee keer overheen gelezen hebt: Ze hadden ook zo kunnen schrijven dat ze zich niet hoefden te bedienen van boemannen-van-de-interwebs. Je doet het beter door je te beperken tot te zeggen wat je wel weet, niet wat je aannamegewijs toeschrijft. Heb ik hier al tot vervelens toe aangestipt, maarja, er moet en er zal met boemannen gesmeten worden, en vooral niet verteld wat er werkelijk aan de hand is. Zo rolt de "computer security" industrie nou eenmaal. Maar in het bijzonder valt op dat het toch redelijk tegen de geest van de hier omgeslagen academische mantel ingaat.
23-05-2017, 22:41 door karma4
Netjes geschreven rapport. Ik kan me niet voorstellen dat het resultaat door UvA was voorzien. Heb je een mooi intern studieobject en geen trammelant om zoiets elders te organiseren en dan krijg je als resultaat ..
Je moet wat voor studenten over hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.