Student Jochem van Dieten heeft een kwetsbare plek in Blackboard ontdekt. Of beter gezegd: herontdekt. Volgens Van Dieten is het een koud kunstje om de functie file sharing in het Blackboard-content system te misbruiken om andermans bestanden te wissen of voor iedereen openbaar te maken.
Delen
Om dat te bewijzen, heeft hij twee demo’s op zijn website gezet. De boodschap: zodra een argeloze gebruiker van het Blackboard-content system via – bijvoorbeeld – een berichtje op een studentenforum naar een webpagina met verborgen crosssite scripts is gelokt, kunnen nare dingen met zijn bestanden gebeuren.
Van Dieten sloeg in augustus 2005 ook alarm over de risico’s die de functionaliteit file sharing met zich meebracht. De TU Delft besloot toen de functie tijdelijk uit te zetten. Sinds een Blackboard-update in juli 2006 is file sharing weer aangezet. Voorbarig en onverstandig, oordeelt Van Dieten. “Het beste wat studenten die het Blackboard-content system gebruiken nu kunnen doen, is na elke sessie in Blackboard uitloggen. Maar straks vereist het onderwijs dat studenten voortdurend zijn ingelogd op Blackboard. Bovendien wil de TU Delft het inloggen op Blackboard en e-mail koppelen.”
Alf Moens, de security manager van de TU Delft, ziet geen reden voor aanvullende veiligheidsmaatregelen. “We hebben het door Van Dieten geconstateerde probleem voorgelegd aan onze specialisten. De conclusie is dat je niet kunt spreken van gaten in het Blackboard-content system. Om de gebruiker ongewild zo’n kwaadaardig script te laten activeren, moet je hem verleiden een onbekende site te bezoeken. Hier geldt hetzelfde principe als bij het voorkomen van virussen: geen snoepjes van vreemde mensen aannemen.”
Volgens Van Dieten gaat die vergelijking mank. “Ik weet precies hoe je virussen moet vermijden, maar dit zou ook mij kunnen overkomen. Als gebruiker doe je hier weinig tegen. En als een individuele student zijn bestanden kwijt is, weigert de TU Delft ze via een back-up voor hem te achterhalen.” (JP)
Volgens Van Dieten is het een koud kunstje om de functie file sharing in het Blackboard-content system te misbruiken om andermans bestanden te wissen of voor iedereen openbaar te maken. Om dat te bewijzen, heeft hij twee demo’s op zijn website gezet. De boodschap: zodra een argeloze gebruiker van het Blackboard-content system via – bijvoorbeeld – een berichtje op een studentenforum naar een webpagina met verborgen crosssite scripts is gelokt, kunnen nare dingen met zijn bestanden gebeuren.
Van Dieten sloeg in augustus 2005 ook alarm over de risico’s die de functionaliteit file sharing met zich meebracht. De TU Delft besloot toen de functie tijdelijk uit te zetten. Sinds een Blackboard-update in juli 2006 is file sharing weer aangezet. Voorbarig en onverstandig, oordeelt Van Dieten. “Het beste wat studenten die het Blackboard-content system gebruiken nu kunnen doen, is na elke sessie in Blackboard uitloggen. Maar straks vereist het onderwijs dat studenten voortdurend zijn ingelogd op Blackboard. Bovendien wil de TU Delft het inloggen op Blackboard en e-mail koppelen.”
Alf Moens, de security manager van de TU Delft, ziet geen reden voor aanvullende veiligheidsmaatregelen. “We hebben het door Van Dieten geconstateerde probleem voorgelegd aan onze specialisten. De conclusie is dat je niet kunt spreken van gaten in het Blackboard-content system. Om de gebruiker ongewild zo’n kwaadaardig script te laten activeren, moet je hem verleiden een onbekende site te bezoeken. Hier geldt hetzelfde principe als bij het voorkomen van virussen: geen snoepjes van vreemde mensen aannemen.”
Volgens Van Dieten gaat die vergelijking mank. “Ik weet precies hoe je virussen moet vermijden, maar dit zou ook mij kunnen overkomen. Als gebruiker doe je hier weinig tegen. En als een individuele student zijn bestanden kwijt is, weigert de TU Delft ze via een back-up voor hem te achterhalen.” (JP)
Comments are closed.