– Dette var ekstremt enkelt å utnytte, sier en student til digi.no etter at det er funnet enda et sikkerhetshull i norske universiteter og høgskolers nyeste våpen mot juks på eksamen.
Safe Exam Browser (SEB) brukes for å forhindre juks ved 18 forskjellige læresteder på landsbasis. Studentene må selv laste ned programmet på maskinene de benytter seg av.
Se demonstrasjon av sårbarheten nederst i saken.
Programvaren skal så stenge tilgangen til funksjoner og filer inntil eksamen er gjennomført.
Digitaliserer eksamen
Fortsatt foregår store deler av skriftlig eksamen for hånd ved en rekke norske studiesteder. Derfor jobber norske læresteder nå intensivt med å digitalisere de skrivetunge oppgavene.
Studenten digi.no har snakket med ønsker å være anonym, men sier sårbarheten ble avdekket som følge av egen interesse for sikkerhetsproblematikk.
– Når du har adgang til minnet på en datamaskin, kan du i praksis gjøre hva som helst, forklarer studenten til digi.no. Han varslet om feilen umiddelbart da den ble oppdaget.
Utnytter utklippstreet
Sikkerhetsfeilen studenten avdekket kan utnyttes fordi SEB kjører lokalt på elevens maskiner. Dermed kan elever med litt teknisk innsikt infiltrere programmet, og overstyre sikkerhetsmekanismene.
Konkret utnytter sårbarheten utklippstavlen i Windows. Microsoft har et eget programmeringsgrensesnitt som lar utviklere adressere denne funksjonaliteten enkelt ved hjelp av en «get»-funksjon.
- Fikk du med deg denne: Student brukte ti sekunder på å lure seg igjennom universitetets «sikre» systemer
Dermed kan elevene ved hjelp av sårbarheten tjatte med hverandre ved å kopiere og lime inn tekst. De kopierte tekststrengene sendes så til en SQL-server, som mottakeren har tilgang til.
(artikkelen fortsetter under)
Rapporterte feilen umiddelbart
– Programvaren kjører i bakgrunnen og overvåker utklippstavlen. Den kjører som en usynlig prosess, og vil derfor ikke bli oppdaget, sier den sikkerhetsinteresserte studenten til digi.no.
Etter at han rapporterte sikkerhetsfeilen til Høgskolen i Østfold (HiØ) i mai har lite blitt gjort med sårbarheten.
HiØ forteller til digi.no at de øyeblikkeligtok kontakt med leverandøren av programvaren da sikkerhetshullet ble rapportert inn. Tilbakemeldingene fra Inspera – som selger SEB – var da at dette var noe de skulle ta tak i.
Ruller ut fiks
Bjørn
er daglig leder i det norske selskapet. Inspera leverer en komplett løsning for digital vurdering og eksamen til nordiske universiteter og norske universiteter og høyskoler .Inspera-sjefen sier at utviklerne deres begynte å jobbe på en fiks straks problemstillingen ble kjent.
– Det rulles ut en fiks i god tid før neste eksamensperiode står på trappene i november, forklarer
til digi.no.Ifølge ham er det umulig å sikre seg helt når elevene får lov til å benytte medbragt PC til eksamenslokalene. Allikevel mener han at Safe Exam Browser er sikker nok.
Planen er å ta selskapet internasjonalt.
Ville blitt oppdaget
Rustbergaard sier at programsnutten HiØ-studenten skrev ville blitt oppdaget av overvåkningsprogramvaren som hører med til løsningen.
Den skal ifølge Inspera-sjefen flagge alle prosesser som tilsynelatende er suspekte.
Sårbarheten vedrørende utklippstavlen ville ifølge ham blitt avdekket hvis en elev hadde forsøkt å dumpe store tekstmengder som HTTP-trafikk når eksamen er i gang
– Det ville blitt oppfattet som mistenkelig aktivitet av våre operatører, flagget, og eskalert videre via rette kanaler, konkluderer
.– Inspera ville ansatt studenten
Han er imidlertid imponert over HiØ-studentens kreativitet og innsikt i komplekse sikkerhetsspørsmål.
Den daglige lederen forteller til digi.no at sikkerhetskompetanse er noe Inspera hele tiden er på leting etter. Ifølge ham kunne selskapet vært interessert i å gi vedkommende en stilling som sikkerhetkonsulent.
– Flinke folk er vi hele tiden på jakt etter. Dette er definitiv en student vi kunne ansatt. At vedkommende har avdekket denne feilen viser at han tenker utenfor boksen, samtidig som han er opptatt av sikkerhet. Det er sånne folk vi trenger. Sikkerhetsfeilen er noe vi tar med oss videre i våre analyser, sammenfatter
til digi.no.