Sikkerhedshul pivåbent på 8. måned: Studerende kan snyde med karakterer
Alt, hvad der skal til, er en lille stump Javascript indsat på rette sted i Københavns Universitets e-lærings- og kursusadministrationssystem Absalon.
Herefter kan man få adgang til at ændre i de data, systemet indeholder ? herunder lærerens karaktergivning af de studerendes opgaver.
Hullet er af typen cross site scripting (XSS) og blev opdaget af en studerende i eftersommeren 2009 i forbindelse med et kursus i ?Advanced Programming?, som ph.d.-studerende Morten Ib Nielsen afholdt på Datalogisk Institut, DIKU.
»Det var jo meget sjovt, at en studerende kunne ændre banneret på forsiden af Absalon til en reklame for DIKUs studenterportal DIKUtal. Men vi indrapporterede selvfølgelig sårbarheden, så hullet kunne blive lukket,« siger Morten Ib Nielsen til Version2.
Med den rette indtastning af Javascript i Absalons html-editor åbnede hullet nemlig mulighed for, at scriptet også kunne køres, når en person med underviser-rettigheder loggede på systemet. Og hermed var der pludselig fri adgang til at ændre i de opgave-karakterer, som mange lærere bruger systemet til at holde styr på.
Morten Ib Nielsen oplyser dog, at den endelige, officielle karakter-indberetning stadig foregår på papir, men at mange undervisere tager udgangspunkt i dataene fra Absalon, når blanketterne skal udfyldes.
Men hvad værre er, så står hullet stadig pivåbent trekvart år efter det blev indrapporteret.
»Det er et stort problem. Især fordi Absalon bliver brugt så meget, som det gør. Men der har hverken været udmeldinger til lærerne om, at hullet var lappet, eller at man skulle tage de nødvendige forholdsregler ? som for eksempel at gemme sin egen kopi af de givne opgavekarakterer,« siger Morten Ib Nielsen.
Ifølge Version2's oplysninger er der dog flere undervisere på DIKU, der på grund af hullet nu har taget deres egne, interne forholdsregler, så man ikke risikerer at give forkerte karakterer.
Det gør ondt på it-folk
Samtidig vækker Københavns Universitets håndtering af problemet bekymrede miner på Datalogisk Institut.
»Det gør ondt som it-mand, når man her otte måneder efter kan se, at problemet stadig er der. En mulig forklaring er, at producenten har en lang opdateringscyklus, og at Universitetet i mellemtiden har valgt at mørklægge sagen for at undgå, at hullet blev udnyttet,« siger Morten Ib Nielsen.
I Uddannelsesservice på Københavns Universitet, som er ansvarlig for Absalon-systemet, er man glad for Version2's fokus på sikkerhedshullet. Truslen om en kritisk artikel har nemlig i den grad fået leverandøren, det norske firma it's Learning, ud af starthullerne, og meldingen er sent tirsdag eftermiddag, at man har identificeret hullet og nu er i gang med at teste en patch.
»Jeg har tjekket indberetningen fra sidste efterår og kan se, at tilbagemeldingen dengang var, at vi på system-niveau skulle ændre visse rollers adgang til at redigere html i systemet. Det gjorde vi efter bedste evne, men jeg kan nu forstå, at problemet stadig ikke er løst,« siger fuldmægtig i Uddannelsesservice, Peter Aagerup Jensen.
»Men det er utroligt så mange ting, der sker forbløffende hurtigt, når man fortæller leverandøren, at der er en artikel om hullet under opsejling. Vores leverandør Uni-C ekspederer straks sagen videre til norske IT's learning, der ved middagstid i dag (tirsdag red.) siger, at fejlen er fundet, og at de håber at have en løsning klar senere på dagen. Den er dog endnu ikke kommet,« siger Peter Aagerup Jensen sent tirsdag eftermiddag.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
