Sikkerhedshul pivåbent på 8. måned: Studerende kan snyde med karakterer

2. juni 2010 kl. 06:599
Sikkerhedshul pivåbent på 8. måned: Studerende kan snyde med karakterer
Illustration: Heine Pedersen©.
Et sikkerhedshul i Københavns Universitets e-læringssystem gør det muligt for de studerende at udføre handlinger med lærer-rettigheder ? og dermed ændre i karaktererne. Otte måneder efter hullet blev rapporteret, er det stadig ikke lukket.
Artiklen er ældre end 30 dage

Alt, hvad der skal til, er en lille stump Javascript indsat på rette sted i Københavns Universitets e-lærings- og kursusadministrationssystem Absalon.

Herefter kan man få adgang til at ændre i de data, systemet indeholder ? herunder lærerens karaktergivning af de studerendes opgaver.

Hullet er af typen cross site scripting (XSS) og blev opdaget af en studerende i eftersommeren 2009 i forbindelse med et kursus i ?Advanced Programming?, som ph.d.-studerende Morten Ib Nielsen afholdt på Datalogisk Institut, DIKU.

»Det var jo meget sjovt, at en studerende kunne ændre banneret på forsiden af Absalon til en reklame for DIKUs studenterportal DIKUtal. Men vi indrapporterede selvfølgelig sårbarheden, så hullet kunne blive lukket,« siger Morten Ib Nielsen til Version2.

Artiklen fortsætter efter annoncen

Med den rette indtastning af Javascript i Absalons html-editor åbnede hullet nemlig mulighed for, at scriptet også kunne køres, når en person med underviser-rettigheder loggede på systemet. Og hermed var der pludselig fri adgang til at ændre i de opgave-karakterer, som mange lærere bruger systemet til at holde styr på.

Morten Ib Nielsen oplyser dog, at den endelige, officielle karakter-indberetning stadig foregår på papir, men at mange undervisere tager udgangspunkt i dataene fra Absalon, når blanketterne skal udfyldes.

Men hvad værre er, så står hullet stadig pivåbent trekvart år efter det blev indrapporteret.

»Det er et stort problem. Især fordi Absalon bliver brugt så meget, som det gør. Men der har hverken været udmeldinger til lærerne om, at hullet var lappet, eller at man skulle tage de nødvendige forholdsregler ? som for eksempel at gemme sin egen kopi af de givne opgavekarakterer,« siger Morten Ib Nielsen.

Artiklen fortsætter efter annoncen

Ifølge Version2's oplysninger er der dog flere undervisere på DIKU, der på grund af hullet nu har taget deres egne, interne forholdsregler, så man ikke risikerer at give forkerte karakterer.

Det gør ondt på it-folk
Samtidig vækker Københavns Universitets håndtering af problemet bekymrede miner på Datalogisk Institut.

»Det gør ondt som it-mand, når man her otte måneder efter kan se, at problemet stadig er der. En mulig forklaring er, at producenten har en lang opdateringscyklus, og at Universitetet i mellemtiden har valgt at mørklægge sagen for at undgå, at hullet blev udnyttet,« siger Morten Ib Nielsen.

I Uddannelsesservice på Københavns Universitet, som er ansvarlig for Absalon-systemet, er man glad for Version2's fokus på sikkerhedshullet. Truslen om en kritisk artikel har nemlig i den grad fået leverandøren, det norske firma it's Learning, ud af starthullerne, og meldingen er sent tirsdag eftermiddag, at man har identificeret hullet og nu er i gang med at teste en patch.

Artiklen fortsætter efter annoncen

»Jeg har tjekket indberetningen fra sidste efterår og kan se, at tilbagemeldingen dengang var, at vi på system-niveau skulle ændre visse rollers adgang til at redigere html i systemet. Det gjorde vi efter bedste evne, men jeg kan nu forstå, at problemet stadig ikke er løst,« siger fuldmægtig i Uddannelsesservice, Peter Aagerup Jensen.

»Men det er utroligt så mange ting, der sker forbløffende hurtigt, når man fortæller leverandøren, at der er en artikel om hullet under opsejling. Vores leverandør Uni-C ekspederer straks sagen videre til norske IT's learning, der ved middagstid i dag (tirsdag red.) siger, at fejlen er fundet, og at de håber at have en løsning klar senere på dagen. Den er dog endnu ikke kommet,« siger Peter Aagerup Jensen sent tirsdag eftermiddag.

9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
2. juni 2010 kl. 11:17

Hvorfor kan man sætte et JavaScript ind i en HTML Editor? Det burde man ikke kunne!

3
2. juni 2010 kl. 11:52

Man burde ikke så mange ting, men de fleste CMSer har ofte diverse indlysende sikkerhedshuller, der ikke er lukket af i årevis, så man fx via et [SLETTET] nemt kan luske et javascript ind. Naturligvis både et sjusket og usikkert udgangspunkt - men også en fordel for frække eksterne udviklere, der gennem disse kan ændre på CMS-designet, uden at rette i systemets besværlige grundkodning, tak!

2
2. juni 2010 kl. 11:30

Absalons HTML-editor er i forvejen forkert på så mange måder at man tror det er løgn. F.eks. erstatter den automatisk linieskift med
-tags, hvilket vil sige at du skal skrive al din HTML på én enkelt linie for at den ikke bliver formateret forkert. Dette er blot én blandt mange hovedpiner.

Fejl som disse er blevet rapporteret, men det virker ikke som om at KU's fejlrapporter er specielt højt prioriterede hos It's Learning (som vist også har hele den norske folkeskole som kunde) hvilket er lidt alarmerende.

Jeg tror personligt at KU ville være bedre stillet ved at hyre en flok udviklere til at tilpasse et af de eksisterende Open Source e-læringssystemer der eksisterer.