Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 101, views: 34.348 •
Submitter: Kenos

Er zitten tientallen lekken in de e-learningsoftware Blackboard, zo melden Nederlandse onderzoekers. De zwakheden stellen aanvallers in staat onder meer cijfers van studenten aan te passen. Blackboard onderzoekt de zaak.

In het meest extreme geval kan een student zelfs onterecht afstuderen door de zwakheden in het systeem, ontdekten onderzoekers Jobert Abma en Michiel Prins van het beveiligingsbedrijf Online24. Bovendien loopt de privacy van studenten gevaar via de software, meldt Webwereld. In totaal vonden de onderzoekers tijdens hun onderzoek 84 lekken in Blackboard Academic Suite 8.0. In de nieuwste versie 9.1 zouden veel van deze lekken al gedicht zijn, waaronder lekken die cross site scripting-aanvallen mogelijk maken.

Blackboard gaat kijken naar de zwakheden, maar chief architect Bob Alcorn relativeert het gevaar voor gebruikers. "Dit zijn veel voorkomende kwetsbaarheden in alle webgebaseerde applicaties." Het is onduidelijk of de kwetsbaarheden in de praktijk al zijn uitgebuit.

Blackboard is wereldwijd in gebruik bij 74 procent van de topuniversiteiten, aldus de site van de software suite. In Nederland maken universiteiten, hogescholen en roc's gebruik van het systeem voor e-learning. Onder meer de TU Delft, Universiteit van Amsterdam en Rijksuniversiteit Groningen maken gebruik van het systeem.

Reacties (101)

Reactiefilter:-11010101+169+23+30
Het scheen dat een jaar of vijf geleden nog simpele SQL-injectie bij dit systeem mogelijk was. Belachelijk eigenlijk. Goed dat er nu aandacht voor komt, en slechte corporate software onder de loep genomen wordt.
Tja, hoezo belachelijk? Elke dag worden er lekken/exploits gevonden in stukken software waar voorheen nooit gedacht van zou zijn dat daar uberhaupt een lek zou kunnen zitten..
Tja nu zie je SQL-injectie als iets simpels, maar in het begin had niemand door dat het kon, en nu is het jou dus ook geleerd wat je moet doen om SQL-injectie te voorkomen, maar zo zijn er nog duizenden andere lekken, en nog vele die nog niet gevonden zijn.

Juist bij webapplicaties is de kans op lekken een stuk groter omdat er nog eens een boel meer factoren bij komen kijken dan bv bij een local app..
Tja nu zie je SQL-injectie als iets simpels, maar in het begin had niemand door dat het kon, en nu is het jou dus ook geleerd wat je moet doen om SQL-injectie te voorkomen, maar zo zijn er nog duizenden andere lekken, en nog vele die nog niet gevonden zijn.
Er zijn ook tooltjes die je site kunnen checken op SQL injecties (dmv brute force). Ik denk niet dat met een blik goede testers nog SQL-injectie's zal tegenkomen.
Helaas kan het bij ons op school niet. Gezien zelfs de docenten er zelf al problemen mee hebben om cijfers toe te voegen, ga ik me er niet eens aan wagen!
docenten in het algemeen zijn nu niet direct mensen waarvan het ICT-technisch vernuft hoge toppen scheert.

voorlopig blijf ik het grappig vinden dat lectors ook oefeningen of zelfs examens op BB laten afleggen, terwijl dit niet verplicht in een bewaakte omgeving gebeurd. overlaatst nog iemand horen opscheppen over het feit dat hij een 19 had omdat zijn zus de oefeningen had gemaakt
Helaas is ook onze docent programmeren niet in staat blackboard deftig te laten werken :( Idem met enige andere toch-best-technisch-aangelegde figuren, die gewoonlijk liever hun eigen site scripten dan met Blackboard te rommelen.
Newsflash, programmeurs zijn over het algemeen niet goed in IT-zaken. Ja ze kunnen programmeren maar als het op servers aankomt bedenken ze de meest vreemde oplossingen die vaak slecht werken, niet te beheren zijn of onveilig zijn geďmplementeerd omdat ze lui zijn . (slechte wachtwoorden bijvoorbeeld)

Ja ik heb ervaring daarmee. :P
Jouw docenten proberen het via de legale manier te doen,
Op de illegale manier is het misschien makkelijker, ook bij jou op school.
Blackboard gaat kijken naar de zwakheden, maar chief architect Bob Alcorn relativeert het gevaar voor gebruikers. "Dit zijn veel voorkomende kwetsbaarheden in alle webgebaseerde applicaties."
Gebaseerd op PHP? ;)
Wat een zwaktebod zeg..., die opmerking van Bob.
Inderdaad, het is (met de nodige kennis) heel goed mogelijk om een waterdicht systeem te maken. Het is een opmerking die je professionaliteit niet ten goede komt. Zo hebben mijn klasgenoten ook een blackboard bug gebruikt om aan wachtwoorden van mensen te komen. Via cross-site injectie. Het probleem was dat men bij het email-veld ook <script> e.d. kon gebruiken (niet zo makkelijk, maar wel bijna). Overigens studeer ik op de Universiteit van Twente waar ze ook Blackboard gebruiken.
Maar wat ik me afvraag, hoe is dit gerelateerd aan Osiris?

Want de definitieve cijfers op de UT komen niet op Blackboard, dat is eigelijk alleen voor vakmaterialen en deelcijfers. Of valt Osiris onder Blackboard? (in dat geval heb ik iets gemist volgens mij..)
Nee, cijfer gedeelte wordt niet gebruikt op blackboard. Daar is osiris voor, en voor zover ik weet zit dat wel goed in elkaar. Soms wordt blackboard gebruikt voor deel-resultaten, en die zijn dus aan te passen. Tentamens worden niet door blackboard geregistreerd. Blackboard wordt gebruikt als vak-ondersteuning niet voor cijfer registratie.
Correct. De administratie van cijfers, inschrijvingen e.d. vindt plaats m.b.v. isis, osiris of het nieuwe sis systeem. Ik ben betrokken geweest bij de conversie naar sis van de universiteit van amsterdam afgelopen zomer en kan verzekeren dat blackboard geheel los staat van van dit systeem.

In sommige gevallen worden cijfers op blackboard weergegeven, maar deze zijn handmatig overgenomen uit de cijfer administratie (of worden door de docent zelf geupload). Het veranderen van de cijfers op blackboard haalt dus niks uit.

[Reactie gewijzigd door poek1e op 30 oktober 2010 14:13]

Correct. De administratie van cijfers, inschrijvingen e.d. vindt plaats m.b.v. isis, osiris of het nieuwe sis systeem. Ik ben betrokken geweest bij de conversie naar sis van de universiteit van amsterdam afgelopen zomer en kan verzekeren dat blackboard geheel los staat van van dit systeem.

In sommige gevallen worden cijfers op blackboard weergegeven, maar deze zijn handmatig overgenomen uit de cijfer administratie (of worden door de docent zelf geupload). Het veranderen van de cijfers op blackboard haalt dus niks uit.
Het kan natuurlijk zo zijn dat er op andere universiteiten of hogescholen wel gebruik word gemaakt van Blackboard als cijferregistratiesysteem.
In principe is dat niet nodig. In het artikel op Webwereld wordt ook de veelgebruikte single sign-on techniek binnen universiteiten aangehaald. Dit wil zeggen dat docenten voor veel systemen binnen de instelling hetzelfde wachtwoord hebben als op Blackboard. Door een docent's wachtwoord te stelen via een kwetsbaarheid in Blackboard, kan men dus ook bij een scala andere applicaties.
Volgens mij betekent single sign-on toch iets anders dan 'hetzelfde wachtwoord voor meerdere applicaties'...
Laten we niet over Osiris beginnen want dat is echt een van de slechtst ontworpen onderdelen van het onderwijssysteem ooit. Slechte interface, mogelijkheden om onder andere namen in te loggen met A-Select en daarna veranderingen door te voeren om maar wat te noemen. (Waarop de antwoord van het systeembeheer is dat zo'n fout niet erg genoeg is om naar te kijken of door te sturen naar de producenten).

Niet dat blackboard perfect is maar het doet zijn nut als je roostersystemen en cijfersystemen appart houd. Er zitten wel wat fouten in zoals inschrijven voor vakken waarna je niet ingeschreven staat en je niet meer kan inschrijven, maar dat is in mijn ogen niet iets dat moeilijk op te lossen is.

Mijn vraag is meer: Hoe verhouden de fouten zich tot geimplementeerde modules van derden? Als die ook schade daardoor ondervinden kan bij die modules (van bijvoorbeeld andere cijfersoftware) wel schadelijk zijn, en nog moeilijker op te sporen.

[Reactie gewijzigd door Sloerie op 30 oktober 2010 14:58]

Gebaseerd op PHP? ;)
Waar lees jij iets over PHP?
Wat een zwaktebod zeg
Nou ja, zwaktebod, eerder een leugen. In de meeste (professionele hobbyprojectjes van 12-jarigen is een ander verhaal) webgebaseerde apps zijn lekken een uitzondering.
Bovendien, zelfs al zou het waar zijn dan nog sta je eigenlijk te beweren "iedereen is incompetent, dus het is niet erg dat wij het ook zijn". Hoe kun je met zo'n instelling ooit chief architect worden...!? :X
Voor hen die het niet weten: blackboard is op jsp gebaseerd. De relevantie om de programmeertaal erbij te betrekken zie ik wel niet direct.
Omdat mensen graag PHP als de amateur/pruts taal zien waar mensen zonder vooropleiding die hier specifiek op gericht is mee aan de slag kunnen.
Dat PHP dezelfde mogelijkheden aanbied als andere talen om een hoop van deze ellende te voorkomen (denk b.v. aan prepared statements) is deze 'experts' niet bekend.
Het probleem blijft dat de prutsers het verkeerd blijven doen doordat ze zich niet goed informeren.

Ik ben het wel met je eens dat PHP geen prutstaal is. Maar het is wel een gereedschap dat goed gebruik niet afdwingt. Dat heeft ook te maken met de doelen die men nastreeft (zoals backwards compatibility), maar ik zou het niet afkeuren als PHP met een wat schonere variant zou komen. Ik meen dat men daar ook mee aan de gang is.

Ik zou er niet voor kiezen omdat ik denk dat er krachtigere tools zijn, maar met de keus voor PHP is opzichzelf niets mis. Mits de ontwikkelaar zijn verstand gebruikt, maar dat geldt voor elke taal.
Wat een onzin zeg, PHP kan net zo veilig of onveilig zijn als bv een .NET gebasseerde website..
Erg verontrustend dat de chief architect er zo in zit. Uiteraard kan en hoort zo'n applicatie gewoon veilig te zijn.
Mag aannemen dat de opmerking dat het voor elke webapp geldt niet als leidend wordt gezien door de firma Blackboard. Dat het een oude versie betreft doet me denken dat een deel van de genoemde fouten door henzelf al zijn opgelost.

Fouten komen altijd voor maar ik mag hopen dat Blackboard niet alles af doet als "dat kan in elke webapplicatie".

De Rijksuniversiteit Groningen gebruikt echter wel ProgresWWW voor de cijferregistratie.

[Reactie gewijzigd door Maximus op 30 oktober 2010 13:12]

Je mag je wel wat verdiepen in ProgressWWW.

Dit is een systeem ontwikkeld door de Letterenfaculteit, door politieke spellejtes is dat systeem uiteindelijk leidend geworden voor de hele Rijksuniversiteit Groningen. Dit terwijl meerdere andere faculteiten (bedrijfskunde en Informatica bijvoorbeeld) ook systemen hadden ontwikkeld die, onder andere, niet op MS Access gebaseerd waren. Het systeem van Letteren was duidelijk het zwakste systeem, maarja, informatici kunnen niet zo goed lullen :).

Anyway...

Uiteindelijk is het beheer onder Informatica en daarna het UOCG gekomen. DIe hebben het langzaam omgebouwd van het gare MS Access databaseje naar een echt programma. Echter is het nog steeds spaghetti, omdat een of ander helder licht vroeg in de ontwikkeling bedacht had het ook te verkopen aan andere onderwijsinstellingen, waardoor er dus, door de mensen die het moeten onderhouden, nooit een drastische refactoring ronde heeft plaats kunnen vinden.

ProgressWWW bestaat eigenlijk uit meerdere delen. Een daarvan is de daadwerkelijke database Progress. ProgressWWW is een (volgens mij gespiegelde) database voor toegang via internet, waarvan de changes weer terug gemergde worden in de echte database.

:)

[/offtopic]
En vervolgens is het ook in gebruik genomen bij een hele rits andere instellingen, ach het werkt prima nog geen problemen mee gehad. Wel handig voor tentameninschrijvingen cijfers etc.
Klopt niet helemaal. ProgressWWW is gebaseerd op een nog ouder sql gebaseerd database systeem, zelfs nog erger dan Access. Maar momenteel is het UOCG min of meer klaar met een migratie naar Progress.NET, wat aanzienlijk beter in elkaar zit, zowel qua architectuur als qua database beheer. En ook heel wat meer secure dan het vorige systeem, dat daarom achter ge-encrypte tunnels is verstopt. 't Is maar dat je het weet...
Ah ja dat klopt. Ik ben erg benieuwd naar Progress.Net, dat maakt die taak van het UOCG stukken makkelijker.
Lekken als "cross site scripting". Gebruik een goed framework misschien?
En jij gaat er vanuit dat een 'goed' framework niet een dergelijke fout kan bevatten?
Een framework als symfony escaped altijd alle output in de views.
Verder bevat het ook een goede beveiliging tegen Cross-site request forgery.

Een webdeveloper die gebruik maakt van symfony hoeft zich hierdoor geen zorgen te maken. Tenzij hij/zij deze beveiliging expliciet uitzet.
Had ik dat maar eerder geweten, dan had ik mn P net iets eerder 8)7

Maar OT: hoe gemakkelijk was het dan om je cijfers aan te passen? En hoe gaan de instellingen controleren of de lekken zijn uitgebuit? Het lijkt mij niet te doen om van elke student elk tentamen nog eens even uit de kast te pakken om te zien of de cijfers daarvan wel overeenkomen met het cijfer op blackboard.
Gelukkig wordt blackboard bij de uu niet gebruikt voor de uiteindelijke cijferregistratie, maar een ander systeem.
Ik vraag me af of dat hierdoor kwam.
Progress zeker? Wel op de rug in ieder geval. Nou moet ik zeggen dat ik progress voor cijferregistratie prettiger vindt, omdat blackboard nogal snel onoverzichtelijk wordt.
Nee, UU gebruikt ook Osiris voor cijfers, cursusregistratie e.d.
TUdelft ook, gebruiken ook het cijfersysteem van blackboard zelf niet, maar hebben sinds dit jaar een aparte APP die je tentamens, en je resultaten bijhoud..
Helaas speelt dit al jaren. Bij ons op school wordt voor elk systeem hetzelfde wachtwoord gebruikt. Via XSS kon/kun je op eenvoudige wijze mensen om te tuin leiden en nog een keer hun wachtwoord laten invoeren. Informatica studenten hadden/hebben namelijk een eigen course. Als 'teacher' van een course kan je willekeurige mensen in je course zetten. Door HTML in de naam van de course te zetten kon je nog een inlogvenster tevoorschijn toveren en mensen 'opnieuw' laten inloggen.
Ook kunnen/konden teachers namen van studenten aanpassen en daar HTML bij in zetten. Op het beginscherm van blackboard krijg je die naam te zien... plus de eventuele andere html.

edit:
Typo

[Reactie gewijzigd door Steffannnn op 30 oktober 2010 13:47]

En dat andere systeem is misschien nog wel onveiliger ook...
Als ik dit wist, had ik nooit geleerd voor een tentamen :P
"Dit zijn veel voorkomende kwetsbaarheden in alle webgebaseerde applicaties."
M.a.w. omdat het in het grote domme-fouten-in-webapplicaties-boek staat je deze fouten mag maken. Trieste bedoeding, zeker als het al i.i.g. 8 versies lang erin zat. Reden temeer om dit soort software direkt uit productie te nemen (zeker na het inholland verhaal).
Tja, dan mag je elke software wel meteen uit de productie nemen, want bijna alle software bevat wel lekken/exploits, alleen ben jij er nog niet van op de hoogte..
Er is een verschil tussen claimen dat de fouten in je software standaard fouten zijn versus onverwachte fouten. De eerste categorie had je eruit moeten halen (en ik heb een informatica achtergrond en weet dus heel goed dat foutloze software niet kan).
Een groter probleem is dus dat deze software ook gebruikt wordt voor cijferregistratie. Ik kan je verzekeren als er achterdeuren zitten in een financieel pakket heel erg snel de stekker eruit gaat om reputatieschade te voorkomen (vandaar de inholland referentie). Als dit gemeengoed is in de BB software zal ieder diploma wat van een instituut komt waar dit gebruikt wordt een farce zijn.
Als je cijfers hebt gewijzigd in Blackboard, zijn ze natuurlijk nog niet gewijzigd in het cijfer registratie systeem. Niet dat het daarom maar zou moeten kunnen.
De Universiteit Twente maakt ook gebruik van dit systeem, maar alleen voor informatievoorziening. Cijfers en dergelijke gaan via een aparte administratie met een aparte webapplicatie, die waarschijnlijk wel iets beter in elkaar zit dan Blackboard.
Van zowel de Haagse Hogeschool & de Hogeschool Rotterdam weet ik dat die ook Blackboard gebruik voor e-learning, maar alle cijferregistratie gaat via Osiris.
Toen ik be de TH Rijswijk zat, waren beide system meer plat dan werkend...
Of dat aan de kwaliteit van de system of aan de systeembeheerders daar ligt, heb ik geen idee van.
Bij ons werken Blackboard en Osiris over het algemeen wel, maar misschien hebben de beheerders meer ervaring dankzij het altijd brakke Teletop wat we hiervoor gebruikten.
De Hogeschool Rotterdam gebruikt voor zover ik heb gezien op de opleiding (informatica) N@TSchool voor e-learning.

Niet het meest geweldige pakket, wordt door velen op de informatica opleiding niet gebruikt terwijl andere er bij zweren.

Maar voor cijfers wordt er inderdaad Osiris gebruikt
Bij de opleiding Informatica van de HRO gebruikt de ene docent de public.www map, de andere weer natschool of confluence waardoor het zo'n rommel wordt qua websites die je moet onthouden... Osiris is inderdaad erg gebruiksonvriendelijk, vooral met inschrijven voor keuzevakken.

Blackboard heb ik kort gebruikt op Albeda College. Zat ff te kijken en je ziet gelijk dat ze MD5 gebruiken voor het opslaan van wachtwoorden...

Op dit item kan niet meer gereageerd worden.



Populair: Samsung Gamecontrollers Smartphones Processors Sony Microsoft Apple Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013