Eirik Fosse (24) og kompisene klarte å finne et alvorlig sikkerhetshull i Blackboard, og tror det finnes flere.

Informatikkstudenten Eirik Fosse, som fant dette sammen med Michael McMillan (24) og Sondre Hjetland (23), forklarer at sikkerhetshullet ga mulighet til å ta over en professors bruker i Blackboard. Da kunne man utføre handlinger på vegne av professoren, alt fra å endre karakterer på oppgaver som er rettet, slette andres oppgaver eller sende ut mail.

– Vi fant to måter å lure filteret som skulle fjerne ondsinnet kode på, og det er ganske sannsynlig at det finnes flere måter å lure dette filteret på. Det blir vanskeligere å utføre tilsvarende angrep etter at Blackboard nå har gjort flere tiltak for å tette hullet.

Fosse forklarer at Itslearning hadde et lignende sikkerhetshull for en stund siden, men at det ikke var like alvorlig. Der kunne man ikke ta over brukeren til andre, i motsetning til det Fosse og kameratene klarte på Blackboard.

– Itslearning hadde en bedre løsning enn det Blackboard har. Vi foreslo disse endringene til Blackboard, men de mente det ville bli for tungvint å implementere. Jeg tror likevel ikke studentene i utgangspunktet har noen grunn til å frykte for sikkerheten sin framover.

–Det er vanlig med uoppdagede feil

Prorektor for utdanning, Anne Borg ved NTNU sier at universitetet jobber generelt systematisk med IT-sikkerhet. Sikkerhetshullet som ble oppdaget mener hun har blitt fulgt opp på en god måte.

– Det er vanlig at store datasystemer har uoppdagede feil selv om vi har prosesser og rutiner for å oppdage flest mulige feil. Det er en normal situasjon med sikkerhetsoppdatering på alle datasystemer fordi noen oppdager feil. Dette har blitt gjennomført i dette tilfellet.

Videre forklarer hun at NTNU har etablert et brukerforum med studenter og ansatte fra alle fakultet, for å få innspill til hvilke tiltak som vil føre til størst forbedring av Blackboard de kommende årene.

– I tillegg jobber vi med opplæring og veiledning til undervisere, og samarbeider med undervisere rundt beste praksis, slik at vi kan utvikle best mulig bruk av Blackboard i undervisningen. Dette mener vi vil bidra til at både studenter og ansatte opplever Blackboard som et godt verktøy.