Sikkerhedshul pivåbent på 8. måned: Studerende kan snyde med karakterer
Alt, hvad der skal til, er en lille stump Javascript indsat på rette sted i Københavns Universitets e-lærings- og kursusadministrationssystem Absalon.
Herefter kan man få adgang til at ændre i de data, systemet indeholder ? herunder lærerens karaktergivning af de studerendes opgaver.
Hullet er af typen cross site scripting (XSS) og blev opdaget af en studerende i eftersommeren 2009 i forbindelse med et kursus i ?Advanced Programming?, som ph.d.-studerende Morten Ib Nielsen afholdt på Datalogisk Institut, DIKU.
»Det var jo meget sjovt, at en studerende kunne ændre banneret på forsiden af Absalon til en reklame for DIKUs studenterportal DIKUtal. Men vi indrapporterede selvfølgelig sårbarheden, så hullet kunne blive lukket,« siger Morten Ib Nielsen til Version2.
Med den rette indtastning af Javascript i Absalons html-editor åbnede hullet nemlig mulighed for, at scriptet også kunne køres, når en person med underviser-rettigheder loggede på systemet. Og hermed var der pludselig fri adgang til at ændre i de opgave-karakterer, som mange lærere bruger systemet til at holde styr på.
Morten Ib Nielsen oplyser dog, at den endelige, officielle karakter-indberetning stadig foregår på papir, men at mange undervisere tager udgangspunkt i dataene fra Absalon, når blanketterne skal udfyldes.
Men hvad værre er, så står hullet stadig pivåbent trekvart år efter det blev indrapporteret.
»Det er et stort problem. Især fordi Absalon bliver brugt så meget, som det gør. Men der har hverken været udmeldinger til lærerne om, at hullet var lappet, eller at man skulle tage de nødvendige forholdsregler ? som for eksempel at gemme sin egen kopi af de givne opgavekarakterer,« siger Morten Ib Nielsen.
Ifølge Version2's oplysninger er der dog flere undervisere på DIKU, der på grund af hullet nu har taget deres egne, interne forholdsregler, så man ikke risikerer at give forkerte karakterer.
Det gør ondt på it-folk Samtidig vækker Københavns Universitets håndtering af problemet bekymrede miner på Datalogisk Institut.
»Det gør ondt som it-mand, når man her otte måneder efter kan se, at problemet stadig er der. En mulig forklaring er, at producenten har en lang opdateringscyklus, og at Universitetet i mellemtiden har valgt at mørklægge sagen for at undgå, at hullet blev udnyttet,« siger Morten Ib Nielsen.
I Uddannelsesservice på Københavns Universitet, som er ansvarlig for Absalon-systemet, er man glad for Version2's fokus på sikkerhedshullet. Truslen om en kritisk artikel har nemlig i den grad fået leverandøren, det norske firma it's Learning, ud af starthullerne, og meldingen er sent tirsdag eftermiddag, at man har identificeret hullet og nu er i gang med at teste en patch.
»Jeg har tjekket indberetningen fra sidste efterår og kan se, at tilbagemeldingen dengang var, at vi på system-niveau skulle ændre visse rollers adgang til at redigere html i systemet. Det gjorde vi efter bedste evne, men jeg kan nu forstå, at problemet stadig ikke er løst,« siger fuldmægtig i Uddannelsesservice, Peter Aagerup Jensen.
»Men det er utroligt så mange ting, der sker forbløffende hurtigt, når man fortæller leverandøren, at der er en artikel om hullet under opsejling. Vores leverandør Uni-C ekspederer straks sagen videre til norske IT's learning, der ved middagstid i dag (tirsdag red.) siger, at fejlen er fundet, og at de håber at have en løsning klar senere på dagen. Den er dog endnu ikke kommet,« siger Peter Aagerup Jensen sent tirsdag eftermiddag.
Kommentarer (12)
Absalons HTML-editor er i forvejen forkert på så mange måder at man tror det er løgn. F.eks. erstatter den automatisk linieskift med <br/>-tags, hvilket vil sige at du skal skrive al din HTML på én enkelt linie for at den ikke bliver formateret forkert. Dette er blot én blandt mange hovedpiner.
Fejl som disse er blevet rapporteret, men det virker ikke som om at KU's fejlrapporter er specielt højt prioriterede hos It's Learning (som vist også har hele den norske folkeskole som kunde) hvilket er lidt alarmerende.
Jeg tror personligt at KU ville være bedre stillet ved at hyre en flok udviklere til at tilpasse et af de eksisterende Open Source e-læringssystemer der eksisterer.
-
0 -
0
Man burde ikke så mange ting, men de fleste CMSer har ofte diverse indlysende sikkerhedshuller, der ikke er lukket af i årevis, så man fx via et [SLETTET] nemt kan luske et javascript ind.
Naturligvis både et sjusket og usikkert udgangspunkt - men også en fordel for frække eksterne udviklere, der gennem disse kan ændre på CMS-designet, uden at rette i systemets besværlige grundkodning, tak!
-
0
-
0
der ved middagstid i dag (tirsdag red.) siger, at fejlen er fundet
Og jeg har netop fundet ud af hvorfor Titanic sank, der var et kæmpe hul i skroget.
Fællesnævneren for de to huller er at man skal være temmelig inkompetent for at de ikke er åbenlyse.
-
0
-
0
"Morten Ib Nielsen oplyser dog, at den endelige, officielle karakter-indberetning stadig foregår på papir"
Det virker en smule gammeldags at inberette karakterer på papir. Sidder der så nogen og scanner/taster det ind i et andet system?
Det må kunne gøres bedre.
-
0
-
0
Sidder der så nogen og scanner/taster det ind i et andet system?
Taster, ja. Da jeg var hjælpelærer skulle vi eksportere de karakterer der var givet vha. Absalons CSV-eksporteringsvæktøj. Sammen med karaktererne eksporteres dog også alle de kommentarer der var givet, og Absalon glemte at escape CSV-delimiters, hvilket gjorde den resulterende fil ubrugelig.
-
0
-
0
Københavns Universitet svarer:
Selvom vi synes at artiklens overskrift er lige hårdt nok skåret, så anerkender vi selvfølgelig det fundamentale problem og den lidet kønne håndtering af det. Men vi fik sat en prop i hullet - og det nærmest på klokkeslet samtidig med at artiklen gik i luften her på Version2.
Sagen gør at vi nu vil give Absalon et grundigt eftersyn, når det handler om sikkerhed.
Tak for øvrige kommentarer i tråden. Jeg tror vi kan udpege 'udviklingspotentiale' i det meste IT - både på Københavns Universitet og udenfor. Men jeg ved, at der netop nu arbejdes på en IT-løsning der kan afløse papiret i indberetning af karakterer, sådan som Tobias skriver. Den sidste kommentar fra Ulrik lyder om en regulær bug. Den tager jeg med til leverandøren...
Venlig hilsen
Peter Aagerup Jensen, Fuldmægtig, Uddannelsesservice, Københavns Universitet, Frue Plads 4, 1668 Kbh K, tlf 35 32 40 73
-
0
-
0
Det virker en smule gammeldags at inberette karakterer på papir. Sidder der så nogen og scanner/taster det ind i et andet system? Det må kunne gøres bedre.
Ja, ja og ja.
-
0
-
0
Jeg har både set og indberettet nogle stykker af huller i den klasse, jeg har aldrig set nogen af dem blive rettet ordentligt. Enten bliver henvendelsen helt ignoreret, eller også retter man kun netop nok til at demo exploitet ikke virker.
Koden skal kigges igennem af en rigtig hacker, folk der bare tror at de ved noget om sikkerhed eller programmering duer ikke.
-
1
-
0
@Jacob:
Helt enig. Det er præcis, hvad jeg anbefalede uddannelsesservice.
Spørgsmålet er, hvor man kan hyre den slags kapaciteter - nogle forslag?
-
0
-
0
Nu skal jeg nok passe på med at kalde mig selv for en rigtig hacker, dels kunne det give nogle uheldige komplikationer, og dels lever mængden af praktiske erfaring nok ikke helt op til titlen.
Når det er sagt så mener jeg da at jeg har ganske godt styr på huller i webapplikationer. Jeg formåede aldrig at sætte en forretning op, det er tilsyneladende ikke et emne folk har lyst til at snakke om, og det gør det svært at få en ordentlig kundekontakt. Men hvis det nu rent faktisk viser sig at der findes en seriøs kunde så er det da værd at genoverveje ideen.
-
0
-
0
Problemet er vel ikke så meget at finde huller, men at finde brugbare og tidsvarende lapper. Og det er vel CMS-leverandørens opgave, selv om han åbenbart ikke lige prioriterer sine kunders behov.
En rigtig hacker? Nej, men de kan da bare ringe til mig alligevel ;) - vi er vel mange, med den slags øjne. Men KU har jo ekspertisen selv i huset, det er da bare at lave en konkurrence om exploits for de studerende.
-
0
-
0
