Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties
Bron: News.com, submitter: T.T.

Een toespraak van twee studenten die zouden toelichten hoe in het electronische onderwijssysteem Blackboard ingebroken kan worden en gegevens kunnen worden gewijzigd, is door een Amerikaans gerechtshof verboden na een aanklacht van het bedrijf achter de software, aldus News.com. Blackboard, dat ook door veel Nederlandse universiteiten wordt gebruikt, claimt dat het verbod is opgelegd omdat de informatie onrechtmatig verkregen zou zijn en het bedrijf commerciŽle schade toe zou brengen. Bovendien zou een van de studenten gedreigd hebben met het vrijgeven van code die Blackboards werking nabootst, waardoor deze een 'concurrent' zou worden van de softwarefirma. De studenten zijn echter van mening dat nu inbreuk wordt gepleegd op hun vrijheid van meningsuiting. Aanstaande woensdag wordt bekeken of het tijdelijke verbod permanent zal worden:

The information set to be presented was gleaned after one of the students had physically broken into a network and switching device on his campus and subsequently figured out a way to mimic Blackboard's technology, the company told the judge. Because that alleged act would be illegal under the federal and state laws, publication of the resulting information should be blocked, it argued.
Moderatie-faq Wijzig weergave

Reacties (46)

Het gaat hier NIET om de leeromgeving van blackboard maar om het pasjes systeem van blackboard waarmee je toegang tot gebouwen kan regelen en betalingen kan uitvoeren.
Zie ook het slashdot verhaal waar een kort interview met een van die lui staat. http://features.slashdot.org/article.pl?sid=03/04/14/1846250
Je hebt inderdaad gelijk. Ik vraag me af of ze dit systeem hier wel in nederland gebruiken.
@topic Ik zie ook dat ze nog wel verder gaan dan simpel software namaken.
The signals to and from several BlackBoard readers have been captured, as well as how data is stored on the cards. Using this knowledge Virgil and I have created a drop-in compatible reader, that will work with an existing RS-485 network. Computer code to emulate any reader made as well as hardware specs to wire the readers and control circuits will be launched.
Eigenlijk meer een betere hardware kraak. :9

Virgil;
http://www.romanpoet.org/
Was ik net op het idee gekomen om eens een paar goeie tentamenuitslagen bij mezelf toe te voegen... |:(
Wanneer leren dat soort bedrijven nou eens goed om te gaan met dit soort situatie's ?

Als ze nu juist die studenten hun verhaaltje hadden laten doen en daarna gelijk aankondigen dat het lek gedicht was, kregen ze gratis wat extra positieve reclame. Nu lijkt het net alsof ze iets te verbergen hebben en krijgen ze negatieve reclame.
Denk je dat zodra ze het lek zelf gevonden hebben, ook meteen alle bestaande versies van Blackboard gedicht gaan zijn ? 't Is toch niet meer dan logisch dat ze zoiets gaan tegenhouden, want je wil niet hebben dat al je klanten opeens met een openstaand systeem zitten.

En wat bedoel je met met "Nu lijkt het net alsof ze iets te verbergen hebben en krijgen ze negatieve reclame" ? Deze hele situatie is toch negatief voor hun, het enige wat ze nog kunnen doen is proberen die publicatie tegen te gaan en ondertussen hard werken aan een update. Dat praatje zal er natuurlijk wel komen, maar ondertussen hebben ze wel een patch klaar + rondgestuurd aan hun klanten...

* 786562 c9melvin
Ik bedoel dat bedrijven in het algemeen erg kortzichtig omgaan met mensen die een fout in hun systeem vinden. Deze studenten bewijzen Blackboard een dienst en Blackboard kan toch veel beter hun advies in acht nemen en daar wat mee doen ipv ze voor de rechter dagen. Iedereen weet dat een systeem nooit onkraakbaar is/wordt dus ga dat als bedrijf niet lopen ontkennen. Geef gewoon toe dat er een lek is en reageer daarop door een patch te schrijven waardoor het nog veiliger/stabieler/beter wordt.(mooie marketing)
Ik denk dat je op deze manier helemaal geen negatieve situatie krijgt en dat iedereen alleen maar ziet dat je goede ondersteuning geeft op je product.

Met mijn opmerking over "dat ze iets te verbergen zouden hebben" bedoelde ik meer dat ze gewoon keihard proberen te verhinderen (dat iedereen er achter komt hoe hun systeem te kraken is) wat iedereen al weet (geen enkel systeem is 100% waterdicht). Gebruik dus juist het advies van deze studenten en doe daar je voordeel mee.

Je laatste zin zal wel op jezelf slaan...
Maar als ze echt willen helpen kunnen ze dan misschien niet direct naar Blackboard stappen ipv het zo publiekelijk te bespreken?
Ahum, Ik verbaar me toch weer over jouw kortzinnige en overhaaste reactie.

Acidus, een van de onderzoekers heeft dit al gemeld in 2001!!!! aan het bedrijf Blackboard. Maar Blackboard negeerde hem en heeft geen aanpassingen gedaan aan hun systemen en software.

Zou jij graag willen werken met een onveilig systeem?
Een hacker maakt er toch wel gebruik van. Over dit soort dingen moeten regels opgemaakt worden, wanneer zo iets aan het publiek bekent gemaakt kan worden zo dat je kan kiezen het niet meer te gebruiken (of het risico nemen het toch te doen)
Volgens mij ging het niet alleen om de mogelijkheid om in te breken in dit programma, maar ook om de mogelijke vrijgave van code die het systeem van Blackboard zou imiteren, zodat er op een ongeoorloofde wijze geconcurreerd zou kunnen worden met het bedrijf achter Blackboard. Dat lijkt mij toch een goede reden om een verbod aan te vragen.
Wat is er mis mee dat ze code openbaar maken die hetzelfde doet en dus concurreert? Volgens die redenering zouden alle opensource programma's met closed source concurrenten verboden moeten worden.
... en dat wordt ook hard geprobeerd...
Dat is het officiele verhaal, maar dat geloof je toch zeker zelf niet...
Hmm, idd, maar zoals ook al gezegd is, doen ze dit nou voor extra beveiliging of is het omdat ze dingen te verbergen hebben.....

Het is eerder dom om niet op dit onderwerp in te gaan, daar er nu meer animo is om achter de "codebreaker" van Blackboard te komen....

Mochten ze die toespraak nu wel hebben gehad, tja....dan is dat een voordeel voor eventuele luie hackers....

Maar ja,de goeie zijn er allang achter neem ik aan...
Ookal heb ik waarschijnlijk niet alle achtergrond informatie, maar als ik dit lees zou ik echt iets anders van dat bedrijf verwachten...

"...mmm, jongens, jullie hebben fouten in ons programma gevonden, hier heb je $10.000 p/m om stil te zijn, dan kunnen wij de fouten oplossen... als je daarna nog een lezig wilt houden, ga je gang..."

maar ze kunnen het natuurlijk ook uit principe willen doen...

edit:

@Hellpunk: Inderdaad ja, dingen waar ik nog helemaal niet aan gedacht had! ;)
Dan zouden ze precies hetzelfde bereiken als nu, op twee nadelen na:

- Het kost hen geld.
- Anderen met minder goede bedoelingen zouden wel eens kunnen proberen om nieuwe lekken te vinden en dan geld te eisen (i.e. blackmail). Op deze manier heeft Blackboard wel laten blijken dat er niet met hen gesold kan worden.

Ik denk dat je als klant van Blackboard wel meer tevreden bent met de huidige oplossing: het getuigt van een no-nonsense aanpak met als doel je product (en dus je klant) te beschermen.
hier een stukje van neworder over het laatste beveiligings gat.
Vendor Notification:
The Blackboard team was concerned, quick to respond, open to suggestions, professional, and even took the time to teleconference. Over all Pedram was very impressed with their handling of the situation.

08/07/2002 - Vulnerability discovered.
08/08/2002 - Pedram's University contacted.
08/11/2002 - First contact with David Yaskin at Blackboard.
08/30/2002 - Patch test with my University.
09/01/2002 - Fix made available and announcement made to Blackboard community.
01/21/2003 - Public release.
Deze gast heeft het dus gewoon beter aangepakt.
Quick to respond? Dat is dan iets nieuws... Blackboard staat bekend om zijn complete gebrek aan support, meerdere universiteiten in Nederland zijn daar al tegenaan gelopen. Dat was dan ook mijn eerste gedachte bij dit stukje: ga eerst je klanten maar eens helpen voor je deze juridische acties gaat ondernemen!
Op www.sans.org/rr/casestudies/blackboard.php is hierover nog een leuk verhaal te lezen :Y)
Grappig verhaal, de NT servers waar blackboard op draaide waren daar gehackt, niet blackboard zelf.
Dit gaat weliswaar over de BB leeromgeving en niet over het pasjes systeem waar dit nieuwsitem over gaat.
hier wat achtergronden over waar het echte probleem zit:
( dus NIET is Blackboard zelf!!!)

2.1- So what is CampusWide?
CampusWide is the mostly widely used card access system in America today. It
sadly is the least secure. CampusWide is ID Card solution originally created by
AT&T, and now owned by Blackboard. It is an ID card that can be used to purchase
things from vending /laundry machines, or the college book store just like a
debt card. Its used to check out books from libraries, open computer labs and
buildings at night, gain access to parking decks, and even get you into sporting
events. The CampusWide system gives everyone a card that lets them access both
unattended and attended card readers and Points of Sale. All these actions and
transactions are sent to a central server which stores all the information in a
database. A confirm or deny signal is sent back to the card reader, and the
transaction goes through or is denied. It is fast becoming the way of life on
college campus around the world. You need it to eat, to get into your dorm, to
get into college events, everything.

2.2- CampusWide? I thought it was called X
The CampusWide system has been called lots and lots of names. AT&T first
developed it and called it the AT&T CampusWide Optim9000 System. It was
generally called CampusWide. When Blackboard bought AT&T's system, in 2000, they
also bought another system called Envision from a company named Icollege.
Blackboard then had 2 products, the Blackboard Optim9000 system, and The
Blackboard Envision System. Blackboard is only selling one system, called
Blackboard: Transaction System. However this new system comes in 2 versions, the
Windows Version and the Unix Version. Since AT&T marketed this thing as
CampusWide for short, and did it for a number of years, and since Blackboard has
been doing it for so few, I call the collective whole system CampusWide. When I
refer specifically to the Unix version, I will say Optim9000, and when I referto
the windows version, I will say Envision.
Dat zal wel voor flink wat ophef zorgen! Maarja de code van zoiets mag niet zomaar verspreid worden. Copyright

Ze gebruiken het bij ons op school ook. Als gehackt word krijg je niet eens zulke grote problemen. Dit systeem word vooral gebruikt als communicatie middel. Je hebt verschillende modules waar je als gebruiker in kunt enrollen. Zo kun je mail uitwisselen en bestanden uitwisselen. Als hacker kun je alleen maar erg irritant zijn en een boel verwarring veroorzaken.

/edit windesheim duz :)
Hoezo copyright?

Bovendien zou een van de studenten gedreigd hebben met het vrijgeven van code die Blackboards werking nabootst

IMHO hebben ze van blackboard geen poot om op te staan als ze een dergelijek code vrijgeven.
Als die code ontwikkeld is door middel van reverse-enginering dan is dat een overtreding volgens de Amerikaanse wet.
Dan geef maar eens hier. Na enkele cosmetische wijzigingen is het op grond van Nederlands auteursrecht een nieuw product... En als zodanig bruikbaar.
Tja, blackboard. Er zijn 101 andere betere systemen te bedenken dan Blackboard.
Onze school draait ook blackboard. Leuk en aardig, ziet er goed uit, maar het voldoet absoluut niet. Alleen de RSI dokter kan er blij van worden omdat zn bankrekening gespekt zal worden:
Bij Blackboard is het de bedoeling dat studenten zichzelf inschrijven voor een "course", op zich wel een beetje logisch
Bij ons op school ist zo, dat docenten de studenten inschrijven bij een "course". Probleem hierbij: als je ff snel een groepje wilt toevoegen, ben je een halfuur aan't RSI oefenen: het moet STUDENT VOOR STUDENT, en met een webinterface is dat dus continu pagina laden, toevoegen, submitten, terug, andere student kiezen, submitten... etc.

Praatte afgelopen vrijdag met een docent: "Ik snap niet waarom ze hier voor blackboard gekozen hebben, ik ben docent van twee opleidingen en met een project van een paar weken kunnen die opleidingen samen iets beters maken: Multimedia doet de vormgeving, Informatica de engine erachter en je hebt een produkt wat beter aan je eisen voldoet, en tis ook nog eens goedkoper"
Ik vond dat ie wel degelijk gelijk had.
Heb zelf vaak met blackboard gewerkt, bij ons op de TU kan je gemakkelij grote groepen batch-enrollen, volgens mij kan dat standaard, dus RSI valt wel mee
Je kan studenten toch ook zelf laten aanmelden voor een course? Veel makkelijker en scheelt docenten een hoop werk. Zo gaat het in delft tenminste wel.

http://blackboard.icto.tudelft.nl
Het heerlijke van Blackboard is alleen dat je jezelf als student niet meer uit kan schrijven als je eenmaal ge-enrollt bent. Althans, in onze versie niet. ;)

Nu staat er dus een lijst van courses die al lang niet meer van toepassing zijn en de docent schijnt ons er met de hand uit te moeten gooien. Erg handig. :/
Die jongens hebben zelf toch wel kunnen bedenken dat een lezing over kraken van beveiliging problemen cq. tegenstand zou opleveren.
Publiceren ze hun document op internet?
/edit
Neej. Ik zou het wel interessant vinden :)
Er is wel een inhoudsopgave van de presentatie
'http://216.239.51.100/search?q=cache :rrdoEQlM2v4C:www.yak.net/acidus/campuswide/interz0ness.ppt+&hl=en&ie=UTF-8'
^ bug :)

Een duidelijke beschrijving van de fouten en het systeem:

http://216.239.33.100/search?q=cache:Gnr7EpMC8YUC:www.yak.net/acidus/c ampuswide/faq-campuswide.txt&hl=en&ie=UTF-8

De site van die luitjes;
http://www.se2600.org/acidus/index.html

Kon je trouwens vinden in het artikel van The Noid

Tjusch
lijkt me niet meer dan logisch dat ze deze verbieden, vergelijk met coca-cola:

wel jongens dit is een nagemaakte security-batch en daar staat de safe met de formule, deze batch kan je op deze manier maken en indien nodig geven we je nog wat extra uitleg omdat de makers niet snel genoeg naar ons luisteren.
Vergelijk met Coca Cola? Welk voorbeeld bedoel je hiermee?
En als die studenten al in 2001 dit hadden gemeld, dan zou je toch verwachten dat het tegen deze tijd al gefixt zou moeten zijn.
Het is wel een systeem waar veel van af hangt. In de VS wordt het ook gebruikt voor ID cards op scholen, waarmee je "alles" kunt. Je cola betalen, je eindexamen inleveren, je inschrijven voor vakken, etc. Als dat gekraakt is, kunnen die studenten dat allemaal.

Trouwens: hier is wat meer info te vinden over de exploits. Dit is gewoon de tekst van de sheets, van de Google mirror.
http://www.phys.uu.nl/~venselr/security.txt
In Nederland is dit stuk publiceren (nog) niet illegaal volgens mij, en de methode om het systeem te kraken is echt kinderlijk simpel als ik het zo zie...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True