Een Delftse student heeft eind juli via tests ontdekt dat de nieuwste versie van de digitale leeromgeving Blackboard een kwetsbare plek bevat.
Jochem van Dieten, student chemische technologie en voorzitter van Online Internet (Oli), heeft na zijn ontdekking contact opgenomen met de Amsterdamse vestiging van het Amerikaanse bedrijf Blackboard. Aanvankelijk leek dat weinig respons op te leveren, maar inmiddels is Blackboard bezig de kwetsbare plek te repareren. “Het allergrootste risico is inmiddels bezworen”, zegt Alf Moens, security manager van de TU Delft. “Door de reparaties kan een Blackboard-gebruiker niet langer het password van een medegebruiker achterhalen.”
Moens meent dat Blackboard en de inmiddels gewaarschuwde onderwijsinstellingen blij mogen zijn dat Van Dieten de zwakke plek ontdekt heeft. Het gesignaleerde probleem is volgens Moens ‘ernstig genoeg voor Blackboard om snel mee aan de slag te gaan.’ De TU Delft was een van de weinige onderwijsinstellingen in Nederland die van plan was om de nieuwe versie het komende academische jaar al volledig te gebruiken. Inmiddels is besloten de functie file sharing nog even uit te schakelen tot Blackboard met een oplossing komt. “Ik verwacht dat dat eind 2005 zal zijn”, aldus Moens. Studenten kunnen dus geen misbruik maken van de kwetsbare plek.
Waar is nu de achilleshiel te vinden? De nieuwe release van Blackboard kent als belangrijk nieuw element een Blackboard Content System. Studenten krijgen 200 megabyte opslagruimte om informatie op te slaan. Documenten kunnen gedeeld worden met anderen . met iedereen of enkel met personen met authenticatie: dat bepaalt de Blackboard-gebruiker steeds zelf. “De kracht van Blackboard is dat het één groot permissiesysteem is”, legt Van Dieten uit. “Bovendien kunnen studenten nu steeds bij hun opgeslagen informatie, waar ze ook zijn. Dat is winst.”
Van Dieten was dus enthousiast, maar toen hij voor alle zekerheid wat tests uitvoerde, ontdekte hij dat het met enig doorzettingsvermogen en vernuft mogelijk is om een Blackboard-sessie van een medegebruiker heimelijk te kapen en zo aan allerlei informatie te komen.
Daarvoor moet het slachtoffer wel eerst worden verleid om een pagina in de Blackboard-storage van de kwaadwillende gebruiker te bezoeken. Van Dieten: “Dat kun je uitlokken door bijvoorbeeld een link naar een handleiding voor het online downloaden van films op één van je pagina’s te plaatsen.” Middels een cookie en een door Van Dieten van het web geplukt stukje javascript kan de sessie dan worden overgenomen. Onder sommige omstandigheden was het zelfs mogelijk het wachtwoord te weten te komen, maar dat euvel is dus al door Blackboard verholpen.
De motieven om een sessie over te nemen kunnen uiteenlopen, zegt Van Dieten. “Een student kan zich voordoen als een andere student in een mail aan diens vriendin. Zulke practical jokes zijn relatief onschuldig, al gaat het uiteindelijk wel om een strafbaar feit. Erger is het als een student ongezond nieuwsgierig is naar het werk en de bestanden van zijn medestudenten.”
Van Dieten beschrijft ook een worst case scenario, al is dat risico inmiddels uit de wereld geholpen. “Op de TU Delft werkt men toe naar één NetID dat alle passwords gaat vervangen. Als je via Blackboard zo’n NetID kunt achterhalen, zullen sommige mensen buiten de TU Delft daar zeker voor willen betalen. Het biedt toegang tot alle elektronische diensten van de TU Delft en je kunt goedkoop softwarelicenties kopen.” Moens benadrukt dat dergelijk misbruik reden kan zijn voor de universiteit om de studie van de dader te beëindigen.
Op zich is het technische euvel niet nieuw, vertelt Van Dieten. “Maar voor de komst van het Content System konden enkel docenten er misbruik van maken. Zij hadden niet echt een motief om dat te doen.”
Van Dieten is tevreden met de manier waarop de TU Delft na zijn waarschuwing het probleem heeft aangepakt. Hij is minder ingenomen met de manier waarop Blackboard reageerde op zijn verhaal, dat naast een nauwkeurige beschrijving suggesties bevatte om de zwakke plekken te repareren. “De boodschap kwam niet over. Ik belde naar de Amsterdamse vestiging, en werd door het front office doorverbonden met een support engineer die zei dat hij me niet kon helpen: ik kon op de website een formulier invullen. Dat formulier bleek onvindbaar. Een mailtje naar info@blackboard.com bleek niet aan te komen. Door nog eens naar de Amsterdamse vestiging van Blackboard te bellen, kreeg ik het e-mail adres van een andere Blackboard-manager, maar dat leverde weer een standaardantwoord op.”
Uiteindelijk vond er een kort telefoongesprek tussen Van Dieten en Blackboard plaats, maar pas nadat Van Dieten gedreigd had de publiciteit te zoeken. Een goed gesprek wil Van Dieten het niet noemen. “We hebben het niet gehad over oplossingen of over de haperende communicatie.”
Alf Moens vindt niet dat Blackboard een steekje heeft laten vallen. “Ik denk ook niet dat men bij Blackboard al van het probleem op de hoogte was, en het liever stil wilde houden. Maar voor de boodschapper van het slechte nieuws is het helaas nooit makkelijk om tot de juiste personen door te dringen.” Van Dieten denkt dat Blackboard hem de publiciteit niet in dank zal afnemen. “Maar gebruikers hebben het recht om dit te weten. En nu bestaat er druk om het probleem snel op te lossen.”
Jochem van Dieten, student chemische technologie en voorzitter van Online Internet (Oli), heeft na zijn ontdekking contact opgenomen met de Amsterdamse vestiging van het Amerikaanse bedrijf Blackboard. Aanvankelijk leek dat weinig respons op te leveren, maar inmiddels is Blackboard bezig de kwetsbare plek te repareren. “Het allergrootste risico is inmiddels bezworen”, zegt Alf Moens, security manager van de TU Delft. “Door de reparaties kan een Blackboard-gebruiker niet langer het password van een medegebruiker achterhalen.”
Moens meent dat Blackboard en de inmiddels gewaarschuwde onderwijsinstellingen blij mogen zijn dat Van Dieten de zwakke plek ontdekt heeft. Het gesignaleerde probleem is volgens Moens ‘ernstig genoeg voor Blackboard om snel mee aan de slag te gaan.’ De TU Delft was een van de weinige onderwijsinstellingen in Nederland die van plan was om de nieuwe versie het komende academische jaar al volledig te gebruiken. Inmiddels is besloten de functie file sharing nog even uit te schakelen tot Blackboard met een oplossing komt. “Ik verwacht dat dat eind 2005 zal zijn”, aldus Moens. Studenten kunnen dus geen misbruik maken van de kwetsbare plek.
Waar is nu de achilleshiel te vinden? De nieuwe release van Blackboard kent als belangrijk nieuw element een Blackboard Content System. Studenten krijgen 200 megabyte opslagruimte om informatie op te slaan. Documenten kunnen gedeeld worden met anderen . met iedereen of enkel met personen met authenticatie: dat bepaalt de Blackboard-gebruiker steeds zelf. “De kracht van Blackboard is dat het één groot permissiesysteem is”, legt Van Dieten uit. “Bovendien kunnen studenten nu steeds bij hun opgeslagen informatie, waar ze ook zijn. Dat is winst.”
Van Dieten was dus enthousiast, maar toen hij voor alle zekerheid wat tests uitvoerde, ontdekte hij dat het met enig doorzettingsvermogen en vernuft mogelijk is om een Blackboard-sessie van een medegebruiker heimelijk te kapen en zo aan allerlei informatie te komen.
Daarvoor moet het slachtoffer wel eerst worden verleid om een pagina in de Blackboard-storage van de kwaadwillende gebruiker te bezoeken. Van Dieten: “Dat kun je uitlokken door bijvoorbeeld een link naar een handleiding voor het online downloaden van films op één van je pagina’s te plaatsen.” Middels een cookie en een door Van Dieten van het web geplukt stukje javascript kan de sessie dan worden overgenomen. Onder sommige omstandigheden was het zelfs mogelijk het wachtwoord te weten te komen, maar dat euvel is dus al door Blackboard verholpen.
De motieven om een sessie over te nemen kunnen uiteenlopen, zegt Van Dieten. “Een student kan zich voordoen als een andere student in een mail aan diens vriendin. Zulke practical jokes zijn relatief onschuldig, al gaat het uiteindelijk wel om een strafbaar feit. Erger is het als een student ongezond nieuwsgierig is naar het werk en de bestanden van zijn medestudenten.”
Van Dieten beschrijft ook een worst case scenario, al is dat risico inmiddels uit de wereld geholpen. “Op de TU Delft werkt men toe naar één NetID dat alle passwords gaat vervangen. Als je via Blackboard zo’n NetID kunt achterhalen, zullen sommige mensen buiten de TU Delft daar zeker voor willen betalen. Het biedt toegang tot alle elektronische diensten van de TU Delft en je kunt goedkoop softwarelicenties kopen.” Moens benadrukt dat dergelijk misbruik reden kan zijn voor de universiteit om de studie van de dader te beëindigen.
Op zich is het technische euvel niet nieuw, vertelt Van Dieten. “Maar voor de komst van het Content System konden enkel docenten er misbruik van maken. Zij hadden niet echt een motief om dat te doen.”
Van Dieten is tevreden met de manier waarop de TU Delft na zijn waarschuwing het probleem heeft aangepakt. Hij is minder ingenomen met de manier waarop Blackboard reageerde op zijn verhaal, dat naast een nauwkeurige beschrijving suggesties bevatte om de zwakke plekken te repareren. “De boodschap kwam niet over. Ik belde naar de Amsterdamse vestiging, en werd door het front office doorverbonden met een support engineer die zei dat hij me niet kon helpen: ik kon op de website een formulier invullen. Dat formulier bleek onvindbaar. Een mailtje naar info@blackboard.com bleek niet aan te komen. Door nog eens naar de Amsterdamse vestiging van Blackboard te bellen, kreeg ik het e-mail adres van een andere Blackboard-manager, maar dat leverde weer een standaardantwoord op.”
Uiteindelijk vond er een kort telefoongesprek tussen Van Dieten en Blackboard plaats, maar pas nadat Van Dieten gedreigd had de publiciteit te zoeken. Een goed gesprek wil Van Dieten het niet noemen. “We hebben het niet gehad over oplossingen of over de haperende communicatie.”
Alf Moens vindt niet dat Blackboard een steekje heeft laten vallen. “Ik denk ook niet dat men bij Blackboard al van het probleem op de hoogte was, en het liever stil wilde houden. Maar voor de boodschapper van het slechte nieuws is het helaas nooit makkelijk om tot de juiste personen door te dringen.” Van Dieten denkt dat Blackboard hem de publiciteit niet in dank zal afnemen. “Maar gebruikers hebben het recht om dit te weten. En nu bestaat er druk om het probleem snel op te lossen.”
Comments are closed.