Skoleelever fandt grumt sikkerhedshul i Københavns Kommunes software

Illustration: leowolfert/Bigstock
Kodeordet til hele København Kommunes Active Directory lå ukrypteret i et printerværktøj. Da to 9.-klasseelever gjorde opmærksom på sikkerhedshullet, fik de skældud i stedet for tak.

Det krævede hjælp fra to 14-årige skoleelever, før Københavns Kommune opdagede et grimt sikkerhedshul.

Ved at kigge i koden til et printværktøj, der bliver brugt i kommunen, kunne de to unge udviklere konstatere, at brugernavn og password til en kritisk database lå i klartekst.

Det fortæller Bo Thomsen og Frederik Lassen, der går i 9. klasse sammen på Grøndalsvængets skole, i et interview med Version2.

»De lavede et printværktøj, som vi var interesserede i, så vi fik lov til at dekompilere det. Så viste det sig, at de havde en database, hvor brugernavn og password ikke var så heldigt,« fortæller Frederik.

»Det var ikke bare printere, men hele deres AD (active directory, red.), som lå i databasen. Og det hele lå åbent. Alle settingsdatabaser og Uni-login lå der,« siger Bo.

Et Active Directory fungerer typisk som den centrale ’adressebog’ for et Windows-netværk. Og det krævede ikke nogen hacker-tricks at finde frem til passwordet, fortæller Bo.

»Alle, der er bare lidt nørdede, kunne få adgang til brugernavn og password i klartekst. Det stod i koden, i et MySQL-connect-string,« siger han.

Kommunen blev underrettet, og skældte først de to elever ud.

»De blev ikke så glade. Men vores skoleinspektør støttede os, og nu kan vi se, at de har lukket sikkerhedshullet. Så vi hjalp dem jo faktisk,« siger Frederik.

Kodekigget i kommunens print-applikation skulle bruges til værktøjet Computerinfo, som Bo og Frederik selv udvikler. Computerinfo kan indsamle information om computerne på en skole automatisk og spare skolens it-ansvarlige for en hel masse tid. Planen er nu, at værktøjet skal bruges på alle skoler i kommunen.

Læs også kommunens reaktion: Derfor fik Bo og Frederik på 15 skældud for at finde sikkerhedshul

Læs meget mere om Bo og Frederik: Mød fremtidens it-talenter: To 15-årige udvikler software til kommunen

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Benjamin Kristensen

Da jeg gik i gymnasiet (HTX) for et par år siden viste jeg at man kunne dumpe hele deres server via et PHP script (fordi vi havde adgang til serveren som led i programmerings undervisning), de kviterede ved at bortvise i en uge, og truede med at kontakte politiet...
Og jeg prøvede ellerst bare på at være flink... :(

Michael Bojsen

Bestemt ikke. I min gymnasietid forsøgte jeg at få de "computeransvarlige" til at lytte på at standard-passwords (kombination af lærer initialer og fødselsdag) til lærer ikke er vejen frem. Det blev mødt med en løftet pegefinger og advarsel om at grave for meget.

Men da det (af omveje) var muligt at fremskaffe rektors password og give ham en post-it med hans koder i en frokost pause blev jeg indkaldt til samtale. Her blev jeg dog ikke mødt med løftet pegefinger, men derimod spørgsmålet "kan du gøre noget ved det?"

Lars Tørnes Hansen

Utroligt at white hats (de gode) bliver truet med bål og brand når de fremkommer med oplysninger som kan forbedre IT-sikkerhed.

Til dem der modtager oplysninger: Hav nosser nok til at indrømme fejl, og gør som rektoren. "Kan du gøre noget ved det?" - vær positiv over at en sikkerhedsbrist er opdaget før sikkerhedsbristen kunne misbruges.

Henrik Kramshøj Blogger

Det er ekstremt svært som administrator at kende forskel på venligtsindet og ondsindet hacking - faktisk oftest umuligt.

Det er samtidig utroligt svært at kommunikere information om sikkerhedshuller - uden at nogen følger sig trådt over tæerne. Specielt hvis det er en administrator med begrænsede ressourcer, som præcist selv ved hvor skoen trykker - passer formentlig på flere dygtige skole IT-administratorer. Kommer man så begejstret og fortæller om noget der kræver opmærksomhed HER og NU - så er det altså ikke populært.

Så ja, lav for guds skyld hacking - MEGET hacking - men spørg om lov først! Det andet giver mere ballade og så har I færre ressourcer til at hacke (læs: i værste fald en plet på straffeattest og en konfiskeret computer, not nice). Det vil helt sikkert også være relevant at få udført sikkerhedstest af skoler gymnasier, universiteter osv. Det duer bare ikke at gøre det på må og få.

Jeg vil med glæde medvirke til at unge finder ud af hvor nemt det er at opsnappe passwords fra trådløse netværk, vise hvordan man laver SQL injection, osv. Jeg vil også meget gerne tillade at man over internet får lov til at hacke mod systemer som jeg har ansvaret for, vi har gjort det 2 år i træk i PROSA CTF Capture The Flag. Find mine kontaktinformationer og spørg mig, jeg kan nok finde et /21 du kan få lov at scanne ;-)

(og ja, hvis du uden tilladelse scanner systemer som jeg har ansvaret for så forbeholder jeg mig ret til at anmelde dig til politi, myndigheder, og på alle andre måder at gøre livet surt for dig. ;-) )

Det er fedt at se initiativ og det er super at de er opmærksomme på sikkerhed, flere af dem tak!

Log ind eller Opret konto for at kommentere