De tre studentene meldte fra om sikkerhetshullet rett etter at de oppdaget det. Det er ansvarlig for datasikkerheten ved NTNU veldig glad for. Slik fikk universitetet og firmaet bak datasystemet tettet hullet med en gang.

- Slik jeg har oppfattet dette, har de gjort alt rett, sier leder John Krogstie for institutt for datateknologi og informatikk der de tre studentene er i ferd med å avslutte masteren sin.

- De har funnet sikkerhetshull i datasystemet og sagt fra om det. Det virker som om de har gjort alt på riktig måte, sier Krogstie.

Professor John Krogstie er instituttleder for datateknologi og informatikk. Foto: ntnu

NTNU tok grep med en gang

- Studentene varslet oss i februar. Da gjorde vi noen grep for å hindre at noen kunne ta over andres brukerkontoer. Etter det har vi jobbet tett med Blackboard som etter dette har gjort sikkerhetsoppdateringer på sitt system, forteller Stian Husemoen. Han er seksjonssjef for Digital sikkerhet ved NTNU.

- Vi så alvorlig på det og måtte ta grep og gjøre endringer med en gang, sier han.

- Potensialet hadde vært stort dersom andre hadde funnet feilen.

- Kjempeflinke studenter

Han er veldig glad for at de tre studentene varslet med en gang de oppdaget det. Slik fikk NTNU og Blackboard rettet feilen før de tre offentliggjorde hva de hadde funnet.

- De er kjempeflinke og har vist en dyp innsikt og forståelse, sier sjefen for datasikkerhet på Norges fremste universitet innen datasikkerhet som fag.

- Jeg har også inntrykk av at Blackboard er glad for at de varslet, sier Stian Husemoen. Han forteller at selskapet tok varselet svært alvorlig og at NTNU og Blackboard har arbeidet tett sammen med studentene for å løse problemet.

Stian Husemoen er seksjonssjef for Digital sikkerhet ved NTNU.

- Kan andre ha utnyttet samme feil?

- Vi er ganske sikre på at det ikke har skjedd. Alt blir loggført, og Blackboard gjorde en full gjennomgang av loggen uten å finne noe. Vi hadde oppdaget misbruk ganske enkelt, sier han. NTNU er svært fornøyd med måten Blackboard har håndtert situasjonen.

- Er det flaut for NTNU at det blir avdekket sikkerhetshull i datasystemene?

- Det er vanlig at store datasystemer har uoppdagede feil selv om vi har prosesser og rutiner for å oppdage flest mulige feil. Det er en normal situasjon med sikkerhetsoppdatering på alle datasystemer fordi noen oppdager feil, sier Husemoen. Han er ikke så glad for at de tre studentene testet ut sikkerheten på egen hånd, men han er fornøyd med at de varslet med én gang.

- Vanlig å rapportere om feil

- Jeg er også tilfreds med måten Blackboard responderte. Vi må ta høyde for at det kan være feil ved systemene våre.

- Det er vanlig å rapportere om hull når man finner det, sier NTNU-student Michael McMillan. Han slår fast at det ville være å krysse en alvorlig grense dersom de hadde utnyttet hullet. De gjorde ikke det.

Kjedet seg

De tre studentene ved institutt for datateknologi og informatikk satt i februar på mastersalen på Gløshaugen i Trondheim for å skrive. De kjedet seg og begynte å snakke om sikkerhetshull i datasystemene. Slik fant de ut at det var mulig å ta over brukerkontoen til andre på e-læringsplattformen Blackboard.

Det er her studentene leverer inn oppgaver og kan kommunisere med andre studenter eller forelesere. Dersom de fikk en professor eller andre forelesere til å klikke på en lenke, kunne de ta over kontoen.

- Ved å maskere det som en innlevering, ville det være lett å få en foreleser til å klikke på lenken, sier en av de tre studentene, Michael McMillan til Adresseavisen.

Kunne overta brukerkontoen

- I brøkdelen av et sekund kunne vi gjennomføre et angrep mot professorens nettleser og ta over brukerkontoen til vedkommende.

Med kontrollen over en slik bruker har studentene mange muligheter – dersom de har onde hensikter, skriver VG.

- Vi kunne endre karakterer på innleverte oppgaver, legge ut filer, sende e-poster, spre skadelig programvare og få tilgang på sensitive opplysninger, sier Michael McMillan.

Han forteller til Adresseavisen at de utførte angrepet på hverandre. De fungerer som hjelpelærere og har derfor også status som forelesere i datasystemet. Slik kunne de teste ut at det var mulig å ta over brukerkontoen til for eksempel en professor.

Det er to år siden NTNU sa adjø til Itslearning og erstattet det med Blackboard.

Varslet med en gang

- Vi varslet både NTNU og Blackboard med en gang vi oppdaget det. Det ble godt tatt imot, særlig av NTNU, sier Michael McMillan. Han forteller at de har brukt mye tid på å forklare hva de har gjort og diskutere løsninger både med sikkerhetsfolkene til NTNU og Blackboard.

Har sikret seg jobb

De tre studentene blir ferdige med masteroppgaven sin i vår. Eirik Fosse  og Michael McMillan har som studenter startet en egen bedrift, BustByte,  og skal etter planen jobbe der når de er ferdige som studenter.

Sondre Hjetland har allerede sikret seg jobb i konsulentselskapet Bredvid.