Ernstige lekken in Blackboard-implementatie UvA ontdekt
Onderzoekers hebben ernstige beveiligingslekken in de Blackboard-implementatie van de Universiteit van Amsterdam (UvA) ontdekt waardoor ze de accounts van meer dan 10.000 gebruikers konden overnemen. Blackboard is een online leeromgeving voor onderwijsinstellingen.
Het kan onder andere worden gebruikt voor het aanmaken van vakken, inschrijven van studenten en het aanbieden en beoordelen van huiswerk. Het wordt door universiteiten wereldwijd gebruikt. In Nederland is de UvA de grootste gebruiker met meer dan 30.000 studenten. Onderzoekers Bram ter Borch en Auke Zwaan besloten naar de Blackboard-implementatie van de UvA te kijken. Ze hadden gedurende een maand twee dagen per week de tijd om naar kwetsbaarheden te zoeken.
Ter Borch en Zwaan vonden allerlei verschillende kwetsbaarheden. Zo werd de inlogpagina via https aangeboden, maar werden gebruikers na het inloggen automatisch naar http gestuurd. De cookies werden ook alleen voor http geplaatst. "Het bleek niet mogelijk te zijn om veilig in te loggen, zelfs als een gebruiker https zou afdwingen konden we het eenvoudig filteren", aldus de onderzoekers.
Op deze manier konden de onderzoekers sessies van ingelogde gebruikers overnemen. Zodra een gebruiker op Blackboard is ingelogd is het echter mogelijk om het wachtwoord te veranderen zonder het oude wachtwoord eerst op te geven. Zodoende konden niet alleen sessies, maar ook accounts worden gekaapt. Verder bleek de Blackboard-installatie van de UvA van 2013 te dateren en allerlei bekende beveiligingslekken te bevatten, hoewel die niet ernstig waren, zo stellen de onderzoekers.
Accounts overnemen
De grootste problemen kwamen aan het licht toen Ter Borch en Zwaan via een script de gegevens van 143.000 gebruikersaccounts verzamelden en ontdekten dat sommige gebruikers voor hun gebruikersnaam, voornaam en achternaam dezelfde naam gebruikten. Daardoor kwamen ze tot het idee dat sommige gebruikers misschien hun gebruikersnaam ook als wachtwoord gebruiken. Iets wat inderdaad het geval bleek te zijn. Bijna 11.000 gebruikers hadden hun gebruikersnaam als wachtwoord. Het ging niet alleen om studenten, maar ook om ruim 300 accounts die volledige rechten over tenminste één vak hadden. Eén account die op deze manier werd gehackt had zelfs toegang tot ruim duizend vakken. Op deze manier konden nog niet gepubliceerde examens worden verkregen die studenten nog moesten afnemen.
Ook bleek het mogelijk om kwaadaardige code te injecteren op pagina's die vaak door studenten bekeken worden. Het gaat om de homepages van vakken op Blackboard. Als een willekeurig account die pagina dan bezocht, konden de onderzoekers namens dat account alle acties uitvoeren. Zo konden de onderzoekers zichzelf kunnen laten toevoegen aan andere vakken als docent, of zelfs als administrator van heel Blackboard. Dit was ook de manier om bijvoorbeeld cijfers aan te passen of malware onder studenten te verspreiden.
De onderzoekers begonnen vorig jaar april hun onderzoek en presenteerden de resultaten een maand later in mei. In september beweerde de UvA dat de problemen waren verholpen, maar bijna alle problemen zijn volgens de onderzoekers nog steeds aanwezig. Vervolgens vroegen ze de UvA begin dit jaar om een update, maar er kwam geen antwoord, waarop ze nu hun bevindingen via dit rapport (pdf) openbaar hebben gemaakt. Daarin waarschuwen ze dat de UvA dicht bij een ernstig datalek is en de universiteit maatregelen moet nemen. "Aangezien Blackboard de grootste applicatie is die de UvA host en tal van kwetsbaarheden bevat, zou het niet verrassend zijn als dit onderzoek alleen het topje van de ijsberg blootlegt. Wat duidelijk is, is dat de UvA informatiebeveiliging en de databeveiliging van hun systemen serieuzer moet nemen."
Terwijl jullie ook wat nuttigs hadden kunnen vertellen. Hetzelfde probleem in het pdfje, dat daarmee automatisch de status van broddelrapport krijgt.
Toch gek, dat er al 20 jaar twijfels zijn over het (verplichte) gebruik van zo'n brok commerciele zwarte doos software op universiteiten, en dat het dan dus 20 jaar kost voordat iemand er eens naar gaat kijken. En dat die er dan ook een nietszeggend broddelwerkje van maakt. Fijn, nuttig, constructief, academische qualiteit enzo.
Heb vandaag een melding gemaakt bij de Autoriteit Persoonsgegevens.
Terwijl jullie ook wat nuttigs hadden kunnen vertellen. Hetzelfde probleem in het pdfje, dat daarmee automatisch de status van broddelrapport krijgt.
Toch gek, dat er al 20 jaar twijfels zijn over het (verplichte) gebruik van zo'n brok commerciele zwarte doos software op universiteiten, en dat het dan dus 20 jaar kost voordat iemand er eens naar gaat kijken. En dat die er dan ook een nietszeggend broddelwerkje van maakt. Fijn, nuttig, constructief, academische qualiteit enzo.
Zou je wat specifieker kunnen zijn waarom je denkt dat het broddelwerk is? Heb je voorbeelden en wat zou je veranderen om de kwaliteit te verbeteren? Dit lijkt meer op ad hominem aanvallen en een hoop geschreeuw, zonder inhoudelijk op de zaak in te gaan. Daarmee diskwalificeer je je op voorhand, en dat is niet fijn, nuttig of constructief.
Terwijl jullie ook wat nuttigs hadden kunnen vertellen. Hetzelfde probleem in het pdfje, dat daarmee automatisch de status van broddelrapport krijgt.
Toch gek, dat er al 20 jaar twijfels zijn over het (verplichte) gebruik van zo'n brok commerciele zwarte doos software op universiteiten, en dat het dan dus 20 jaar kost voordat iemand er eens naar gaat kijken. En dat die er dan ook een nietszeggend broddelwerkje van maakt. Fijn, nuttig, constructief, academische qualiteit enzo.
Zou je wat specifieker kunnen zijn waarom je denkt dat het broddelwerk is? Heb je voorbeelden en wat zou je veranderen om de kwaliteit te verbeteren? Dit lijkt meer op ad hominem aanvallen en een hoop geschreeuw, zonder inhoudelijk op de zaak in te gaan. Daarmee diskwalificeer je je op voorhand, en dat is niet fijn, nuttig of constructief.
Tegenvoorbeeld. Stel, ik zeg: Mischien weet jij het ook wel niet wat een werk academisch maakt. Mischien ben je wel gewoon een leeghoofd dat niets anders kan dan moeluke woordun oprakelen waarvan je eigenlijk niet weet wat ze betekenen maar je vindt ze wel interessant klinken. Dit zeggen is wel een argumentum ad hominem, want dan zeg ik dat er iets aan jouw persoontje schort. Dat gebeurde nergens in wat jij aanhaalt als zou het een argumentum ad hominem zijn.
Overigens een wijze les waar nog wel meer mensen goed aan zouden doen om te proberen te snappen: Er is nogal een verschil tussen een persoon afkraken en zijn gedragingen afkraken. Gedragingen kun je veranderen en wellicht verbeteren, veel makkelijker dan je (vermeende) persoonlijkheid.
Het probleem is simpel: Gebrek aan substantie, verhuld met bangmaakwoorden die ondertussen niets meer betekenen. Je hebt er al niets aan in een persbericht van een computer security bedrijf, en in iets wat voor academisch moet doorgaan is het hemeltergend. Academische respectabiliteit gaat verder dan computer modern, weet je.
Originele argumenten waar je mee komt. Vooral ook omdat je kennelijk geen idee hebt wat "ad hominem" betekent <snip>
Top, prima, goed bezig. In plaats van aan te geven waarom je vindt dat "jullie" (daarmee verwijs je naar de auteurs van het artikel, toch?) broddelwerk leveren (want een pdf-je ergens heeft kennelijk hetzelfde probleem), probeer je de discussie om te leiden naar een theoretische verhandeling over academisch werk. Niet reageren op de inhoud maar op de vorm... Mooi hoor, staat je goed. Maar nu terug naar het onderwerp: hoe zou jij het artikel geschreven hebben en welke aanvulling heb je?
Originele argumenten waar je mee komt. Vooral ook omdat je kennelijk geen idee hebt wat "ad hominem" betekent <snip>
Want ja, als jij selectief mag lezen dan mag ik dat ook. Op het gevaar af oververhitte hersens te veroorzaken: Is dit wel of geen "tu quoque", en waarom dan wel of niet?
Waar je al twee keer overheen gelezen hebt: Ze hadden ook zo kunnen schrijven dat ze zich niet hoefden te bedienen van boemannen-van-de-interwebs. Je doet het beter door je te beperken tot te zeggen wat je wel weet, niet wat je aannamegewijs toeschrijft. Heb ik hier al tot vervelens toe aangestipt, maarja, er moet en er zal met boemannen gesmeten worden, en vooral niet verteld wat er werkelijk aan de hand is. Zo rolt de "computer security" industrie nou eenmaal. Maar in het bijzonder valt op dat het toch redelijk tegen de geest van de hier omgeslagen academische mantel ingaat.
Je moet wat voor studenten over hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
