SIKKERHET

Lurte universitetenes «sikre» systemer trill rundt med noen få linjer kode: – Det var ekstremt enkelt

100 linjer kode var alt som skulle til for å lure Safe Exam Browser trill rundt. Studenten forteller til digi.no at han ikke utnyttet sårbarheten selv, men rapporterte den til HiØ med en gang den var avdekket. – Dette var ekstremt enkelt, sier studenten til digi.no.
100 linjer kode var alt som skulle til for å lure Safe Exam Browser trill rundt. Studenten forteller til digi.no at han ikke utnyttet sårbarheten selv, men rapporterte den til HiØ med en gang den var avdekket. – Dette var ekstremt enkelt, sier studenten til digi.no. Bilde: Bård Halvorsen
30. juni 2017 - 06:00

– Dette var ekstremt enkelt å utnytte, sier en student til digi.no etter at det er funnet enda et sikkerhetshull i norske universiteter og høgskolers nyeste våpen mot juks på eksamen.

Safe Exam Browser (SEB) brukes for å forhindre juks ved 18 forskjellige læresteder på landsbasis. Studentene må selv laste ned programmet på maskinene de benytter seg av.

Se demonstrasjon av sårbarheten nederst i saken.

Programvaren skal så stenge tilgangen til funksjoner og filer inntil eksamen er gjennomført.

Digitaliserer eksamen

Fortsatt foregår store deler av skriftlig eksamen for hånd ved en rekke norske studiesteder. Derfor jobber norske læresteder nå intensivt med å digitalisere de skrivetunge oppgavene. 

Studenten digi.no har snakket med ønsker å være anonym, men sier sårbarheten ble avdekket som følge av egen interesse for sikkerhetsproblematikk. 

– Når du har adgang til minnet på en datamaskin, kan du i praksis gjøre hva som helst, forklarer studenten til digi.no. Han varslet om feilen umiddelbart da den ble oppdaget.

Utnytter utklippstreet

Sikkerhetsfeilen studenten avdekket kan utnyttes fordi SEB kjører lokalt på elevens maskiner. Dermed kan elever med litt teknisk innsikt infiltrere programmet, og overstyre sikkerhetsmekanismene.

Konkret utnytter sårbarheten utklippstavlen i Windows. Microsoft har et eget programmeringsgrensesnitt som lar utviklere adressere denne funksjonaliteten enkelt ved hjelp av en «get»-funksjon. 

Dermed kan elevene ved hjelp av sårbarheten tjatte med hverandre ved å kopiere og lime inn tekst. De kopierte tekststrengene sendes så til en SQL-server, som mottakeren har tilgang til. 

(artikkelen fortsetter under) 

Studenten som avdekket feilen skriver følgende på egen sikkerhetsblogg: – Noe av det første jeg la merke til var friheten SEB ga deg til å kopiere og lime-inn tekstdata. Du har altså full kontroll over det samme «utklippstavlen» som alle andre prosesserer på datamaskinen har sammen med SEB. Lese og sette data fra utklippstavlen kan enklere og mye mindre tekniske programmeringsspråk som VB og C# gjøre. Også script-språk som VBS,Python og Powershell kan lese og modifisere data i utklippstavlen. Konseptet er enkelt: vi benytter oss av utklippstavlen som en tekstbasert chat. Vi lar andre lese og modifisere data via et webpanel. 100 linjer VB, noe PHP,js og SQL senere var det klart. Programmet kan også kjøre usynlig i bakgrunnen. <i>Foto: Colourbox</i>
Studenten som avdekket feilen skriver følgende på egen sikkerhetsblogg: – Noe av det første jeg la merke til var friheten SEB ga deg til å kopiere og lime-inn tekstdata. Du har altså full kontroll over det samme «utklippstavlen» som alle andre prosesserer på datamaskinen har sammen med SEB. Lese og sette data fra utklippstavlen kan enklere og mye mindre tekniske programmeringsspråk som VB og C# gjøre. Også script-språk som VBS,Python og Powershell kan lese og modifisere data i utklippstavlen. Konseptet er enkelt: vi benytter oss av utklippstavlen som en tekstbasert chat. Vi lar andre lese og modifisere data via et webpanel. 100 linjer VB, noe PHP,js og SQL senere var det klart. Programmet kan også kjøre usynlig i bakgrunnen. Foto: Colourbox

Rapporterte feilen umiddelbart

– Programvaren kjører i bakgrunnen og overvåker utklippstavlen. Den kjører som en usynlig prosess, og vil derfor ikke bli oppdaget, sier den sikkerhetsinteresserte studenten til digi.no.

Etter at han rapporterte sikkerhetsfeilen til Høgskolen i Østfold (HiØ) i mai har lite blitt gjort med sårbarheten. 

HiØ forteller til digi.no at de øyeblikkeligtok kontakt med leverandøren av programvaren da sikkerhetshullet ble rapportert inn. Tilbakemeldingene fra Inspera – som selger SEB – var da at dette var noe de skulle ta tak i. 

Ruller ut fiks

Bjørn Rustberggard er daglig leder i det norske selskapet. Inspera leverer en komplett løsning for digital vurdering og eksamen til nordiske universiteter og norske universiteter og høyskoler .

Inspera-sjefen sier at utviklerne deres begynte å jobbe på en fiks straks problemstillingen ble kjent.

– Det rulles ut en fiks i god tid før neste eksamensperiode står på trappene i november, forklarer Rustberggard til digi.no.

Ifølge ham er det umulig å sikre seg helt når elevene får lov til å benytte medbragt PC til eksamenslokalene. Allikevel mener han at Safe Exam Browser er sikker nok. 

Planen er å ta selskapet internasjonalt.

Ville blitt oppdaget

Rustbergaard sier at programsnutten HiØ-studenten skrev ville blitt oppdaget av overvåkningsprogramvaren som hører med til løsningen.

Den skal ifølge Inspera-sjefen flagge alle prosesser som tilsynelatende er suspekte. 

Sårbarheten vedrørende utklippstavlen ville ifølge ham blitt avdekket hvis en elev hadde forsøkt å dumpe store tekstmengder som HTTP-trafikk når eksamen er i gang

Bjørn Rustberggard har tidligere bodd i Silicon Valley. Der hentet han 20 millioner dollar i investeringsmidler til selskapet Wevideo. Nå har han planer om å ta Safe Exam Browser ut i verden. <i>Foto: Privat</i>
Bjørn Rustberggard har tidligere bodd i Silicon Valley. Der hentet han 20 millioner dollar i investeringsmidler til selskapet Wevideo. Nå har han planer om å ta Safe Exam Browser ut i verden. Foto: Privat

– Det ville blitt oppfattet som mistenkelig aktivitet av våre operatører, flagget, og eskalert videre via rette kanaler, konkluderer Rustberggard.

– Inspera ville ansatt studenten

Han er imidlertid imponert over HiØ-studentens kreativitet og innsikt i komplekse sikkerhetsspørsmål.

Den daglige lederen forteller til digi.no at sikkerhetskompetanse er noe Inspera hele tiden er på leting etter. Ifølge ham kunne selskapet vært interessert i å gi vedkommende en stilling som sikkerhetkonsulent. 

– Flinke folk er vi hele tiden på jakt etter. Dette er definitiv en student vi kunne ansatt. At vedkommende har avdekket denne feilen viser at han tenker utenfor boksen, samtidig som han er opptatt av sikkerhet. Det er sånne folk vi trenger. Sikkerhetsfeilen er noe vi tar med oss videre i våre analyser, sammenfatter Rustberggard til digi.no. 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.