Høgskolen ble varslet flere ganger om grovt sikkerhetsbrudd. Har ikke engang registrert en hendelse: – Jeg blir helt oppgitt!

[Martin Braathen Røise]

Høgskolen ble varslet flere ganger om grovt sikkerhetsbrudd. Har ikke engang registrert en hendelse: – Jeg blir helt oppgitt!

[Gjest Slettet-aEAbw77a]

Oi, 170 000 studenter på campus?

[87F1QM4Z]

Fy faen for en idiot. Går ut med fullt navn og skryter av at han har brutt straffelovens paragraf 145? Kan straffes med bøter eller fengsel i 6 mnd. Han har funnet en ulåst dør til et hus. Deretter har han gått inn og snoket i skuffer og skap. Han burde stoppet og varslet om dette med en gang, og ikke begynt å lete etter 300(!) passord.

[GOAXT8WU]

"IT-sjefen innrømmer elendige rutiner" - hvor står det i teksten?

[Kurt Lekanger]

Oi, 170 000 studenter på campus?

 

Hei, det er rettet. :-)

[Torkelv]

Fy faen for en idiot. Går ut med fullt navn og skryter av at han har brutt straffelovens paragraf 145? Kan straffes med bøter eller fengsel i 6 mnd. Han har funnet en ulåst dør til et hus. Deretter har han gått inn og snoket i skuffer og skap. Han burde stoppet og varslet om dette med en gang, og ikke begynt å lete etter 300(!) passord.

Jeg varslet jo om det med en gang.. Etter 5 måneder uten at noe ble gjort gikk jeg til digi, spurte også om å være anonym, men dem mente det var bedre med navn. Jeg lastet sevfølgelig ikke ned eller så på filer heller. Bildene jeg sendte digi var fra mitt eget område. Det eneste jeg gjorde var å se hvor mange wp-conf.php filer som lå åpent, noe som gir et inntrykk av hvor mange passord som ligger åpent. Det ble gjort lenge etter jeg sa ifra, for at folk skulle innse hvor alvorlig feilen var.

[Tonje Tambur]

 

Fy faen for en idiot. Går ut med fullt navn og skryter av at han har brutt straffelovens paragraf 145? Kan straffes med bøter eller fengsel i 6 mnd. Han har funnet en ulåst dør til et hus. Deretter har han gått inn og snoket i skuffer og skap. Han burde stoppet og varslet om dette med en gang, og ikke begynt å lete etter 300(!) passord.

Jeg varslet jo om det med en gang.. Etter 5 måneder uten at noe ble gjort gikk jeg til digi, spurte også om å være anonym, men dem mente det var bedre med navn. Jeg lastet sevfølgelig ikke ned eller så på filer heller. Bildene jeg sendte digi var fra mitt eget område. Det eneste jeg gjorde var å se hvor mange wp-conf.php filer som lå åpent, noe som gir et inntrykk av hvor mange passord som ligger åpent. Det ble gjort lenge etter jeg sa ifra, for at folk skulle innse hvor alvorlig feilen var.

Det er vel ingen (utenom kanskje 87F1QM4Z) som er i tvil om at torkel93 sin varsling er til gavn for både høgskolen og studentene.

[KHPRD8LE]

LOL Typisk millenniumgenerasjonen, de tar ikke inn over seg at folk gir fanden i det som ikke er skriftlig.

[Simon W. Hall]

Fy faen for en idiot. Går ut med fullt navn og skryter av at han har brutt straffelovens paragraf 145? Kan straffes med bøter eller fengsel i 6 mnd. Han har funnet en ulåst dør til et hus. Deretter har han gått inn og snoket i skuffer og skap. Han burde stoppet og varslet om dette med en gang, og ikke begynt å lete etter 300(!) passord.

Troll harder!

edit:

Jeg sier det, men jeg bet egentlig på for lenge siden^^

 

Siden jeg nå har brukt litt tid på dette så kan jeg jo dele mine tanker her.

Og forhåpentligvis så vil det skinne et lys på at denne personen gjorde det som var riktig.

Synes jeg.

 

-----

 

Vel.

 

Han har ikke "skaffet seg uberettiget tilgang"

Han fant en tilfeldig url som tok han til et for han ukjent sted.

 

Ingen kan derfor argumentere med at han har fått "urettmessig innsyn i og bruk av data".

 

Han gjorde heller ikke noe med integriteten til systemet, mener jeg.

(Ser at loven muligens gjør det.)

 

Han gjorde en oppdagelse.

Det kom ikke noen advarsel fra systemet om at han ikke burde være der.

Og han sa ifra så fort han fant ut hva han hadde kommet over.

 

Skulle han heller ha solgt passordene på svartemarkedet?

 

For det virker ikke som at det er noe logging eller autentisering av noe slag i dette systemet?

 

De misset noe så simpelt som validering av input?

 

Det er ikke lov i 2017.

 

I dag så velger man seg et rammeverk som har dette innebygget, og så bygger man programmet/appen sin på det.

 

Dette er garantert noe som ble laget for moroskyld av en student for mange år siden (håper jeg).

Denne personen var nok mer opptatt av å få programmet sitt til å virke, enn sikkerheten i det?

 

Det var i det minste ikke kode som skulle vært brukt i produksjon.

 

Og etterhvert som det dukker opp flere kommentarer på denne artikkelen, så var det en wordpress installasjon?

 

Nyere wordpress installasjoner har automatisk oppdatering av kjernesystemet.

Var det en plugin som var problemet her?

 

Og her kommer en påstand.

Lovverket er på dette punktet utdatert.

 

Eneste måten vi som et samfunn kan bli sikrere på, er at mennesker som dette forteller andre når de finner feil.

 

For å få rettet dette så fort som mulig.

 

"security by obscurity" fungerer ikke i lengden!

 

Så godt som alle store selskap har i dag programmer på plass for å belønne mennesker som sier ifra om sikkerhetsproblemer. "Bug-bounty".

 

Dette burde vi ha noe om i lovverket mener jeg.

 

USA har noe som ligner på det.

 

Jeg stiller også store spørsmål ved hva det å "skaffe seg tilgang" egentlig betyr?

 

Hvis jeg setter opp et åpent trådløst nettverk som hvem som helst kan koble seg til, og jeg sniffer passord på det nettverket.

Har jeg da skaffet meg tilgang til noe?

 

Noen måtte gjøre et valg om å koble seg til _mitt_ nettverk på et tidspunkt.

 

Jeg leste denne masteroppgaven før jeg skrev dette, det er rundt 20 sider med "kjøtt" i den.

"Datainnbrudd – strl. § 145 - annet ledd - En juridisk oppgave":

https://brage.bibsys.no/xmlui/bitstream/handle/11250/284375/bachelor_Hatlem.pdf?sequence=1

 

Fra denne masteroppgaven:

"Videre står det at overtredelsen kan være fullbyrdet selv om gjerningspersonen ikke har gjort seg kjent med dataene eller programutrustningen. Vilkåret er oppfylt så fort gjerningspersonen har skaffet seg adgang til dem.

Det vil si at det har blitt skaffet tilgang, og ikke nødvendigvis at data har blitt eksponert for gjerningspersonen.

 

Det er integritetshensynet som krenkes når adgangen er skaffet"

 

HÆ?

 

Så portscanning er et lovbrudd?

 

Hele denne loven er ute å kjører.

 

Et annet tankeeksperiment.

Jeg har en person jeg ønsker å finne ut mer om.

Jeg vet hvor denne personen bor, og jeg vet hva det trådløse nettverket til denne personen heter (SSID).

 

Så stiller jeg meg på utsiden av huset hans med en sterkere sender som har samme navn (SSID)

 

Har jeg skaffet meg tilgang til noe?

 

Enhetene hans gir jo frivillig fra seg informasjon til meg.

 

Du kan også se mye moro hvis du har et nettverkskort i noe som heter "promiscuous mode" (lyttemodus). Da kan man høre mye.

 

Denne personen hadde ikke god nok sikkerhet på det trådløse nettverket og enhetene sine.

 

Du har selvfølgelig helt rett i at loven, som den er skrevet i dag, kan se på dette som et brudd på den.

 

Men er det lurt?

 

edit2: beklager til personen som trykket liker før jeg dumpet en hel masse dritt her.

Endret 17. mars 2017 av Simon W. Hall

[Torkelv]

LOL Typisk millenniumgenerasjonen, de tar ikke inn over seg at folk gir fanden i det som ikke er skriftlig.

 

En annen student sendte også mail til skolen med informasjon om problemet. Datatilsynet ble også varslet på mail to ganger, men der fikk vi beskjed om å snakke med skolen igjen, selvom vi hadde snakket med skolen 3+ ganger.

Vet ikke hvorfor digi ikke skrev noe om det.

[Frobe]

Fy faen for en idiot. Går ut med fullt navn og skryter av at han har brutt straffelovens paragraf 145? Kan straffes med bøter eller fengsel i 6 mnd. Han har funnet en ulåst dør til et hus. Deretter har han gått inn og snoket i skuffer og skap. Han burde stoppet og varslet om dette med en gang, og ikke begynt å lete etter 300(!) passord.

Og dette var så viktig for deg å si at du opprettet en ny bruker her på forumet?    

 

Hvilken stilling har du i IT-avdelingen på HSN?

Endret 17. mars 2017 av Frobe

[5XFC9DRF]

Fy faen for en idiot. Går ut med fullt navn og skryter av at han har brutt straffelovens paragraf 145? Kan straffes med bøter eller fengsel i 6 mnd. Han har funnet en ulåst dør til et hus. Deretter har han gått inn og snoket i skuffer og skap. Han burde stoppet og varslet om dette med en gang, og ikke begynt å lete etter 300(!) passord.

 

Han sier jo selv at "IT-avdelingen ble straks varslet" da han tilfeldigvis kom over feilen. Etter 3 varslinger fortjener HSN en liten smell. Ingen ting som er mer irriterende en folk som ikke tar jobben seriøst. Tror på ingen måte at Torkel har ment noe vondt med dette, ville vell bare hjelpe ?

[0laf]

Tilgang til wp-config er jo aldri bra, men har Velure faktisk prøvd disse kredentialene for å se om de virker?

 

Dette er jo Wordpress, det er fullt mulig å sette det opp slik at det som er lagret i wp-config ikke nødvendigvis er de korrekte kredentialene, eller begrense databasetilgang til localhost eller annet lokalt nettverk, slik at det på ingen måte er åpent utad, og således ikke er noen sikkerhetsrisiko.

 

Man registrer jo at IT-sjefen presiserer at sårbarheten ikke eksponerer hverken de ansatte eller studentenes interne hjemmeområde, og at disse områdene er sikret og bare tilgjengelig fra skolens interne nett?

 

Når man i tillegg ser ut til å måtte være innlogget som registrert bruker i skolens nett for å i det hele tatt få tilgang til wp-config, som i følge IT-sjefen ikke direkte eksponerer noen sårbarhet, så er det vel også et tillitspørsmål, hvorpå man stoler på at skolens elever ikke ødelegger for alle andre når de er innlogget å sitter på skolens interne nett lokalt.

Endret 17. mars 2017 av adeneo

[Torkelv]

Tilgang til wp-config er jo aldri bra, men har Velure faktisk prøvd disse kredentialene for å se om de virker?

 

Dette er jo Wordpress, det er fullt mulig å sette det opp slik at det som er lagret i wp-config ikke nødvendigvis er de korrekte kredentialene, eller begrense databasetilgang til localhost eller annet lokalt nettverk, slik at det på ingen måte er åpent utad, og således ikke er noen sikkerhetsrisiko.

 

Man registrer jo at IT-sjefen presiserer at sårbarheten ikke eksponerer hverken de ansatte eller studentenes interne hjemmeområde, og at disse områdene er sikret og bare tilgjengelig fra skolens interne nett?

 

Når man i tillegg ser ut til å måtte være innlogget som registrert bruker i skolens nett for å i det hele tatt få tilgang til wp-config, som i følge IT-sjefen ikke direkte eksponerer noen sårbarhet, så er det vel også et tillitspørsmål, hvorpå man stoler på at skolens elever ikke ødelegger for alle andre når de er innlogget å sitter på skolens interne nett lokalt.

 

Om du leier du plass på et webhotell, mener du at du skal ha tilgang til alle andre sine filer der også?

Du skal selvfølgelig kun ha tilgang til din egen katalog, og som bruker skal den katalogen fungere som root for deg (https://en.wikipedia.org/wiki/Chroot). Tilfellet på skolens server var at du kunne gå ut av din egen katalog og inn på andre sin.

 

"Stole på at studenter ikke ødelegger for hverandre", det er jo en helt lattelig påstand, det er ikke slik sikkerhet skal fungere, spesielt ikke når det er så lett å gjøre det på en annen måte.

 

Passordene er selvfølgelig ikke testet, sjekket ikke om de inneholdt passord en gang. Men da jeg fant ut av feilen lå mitt eget passord i en db-konfigurasjonsfil som andre kunne ha tilgang til. Mest sansynlig fungerer nok ikke alle de passordene lenger, men om bare noen få fungerer er det forsatt veldig ille.

Jeg gjorde kun et søk på wordpress filer. Det lå nok mange andre config filer med andre navn der også. IT-studentene på Ringerike lærer ikke wordpress, men de bruker forsatt database. Antallet hadde nok minst doblet seg om jeg hadde gjort et grundigere søk.

 

Veldig mange har ikke peiling på sikkerhet og bruker det samme passordet og brukernavnet mange steder. Hva er sansynligheten for at det har skjedd her? Da har man plutselig tilgang til mailer, studentweb osv..

[0laf]

Om du leier du plass på et webhotell, mener du at du skal ha tilgang til alle andre sine filer der også?

Du skal selvfølgelig kun ha tilgang til din egen katalog, og som bruker skal den katalogen fungere som root for deg (https://en.wikipedia.org/wiki/Chroot). Tilfellet på skolens server var at du kunne gå ut av din egen katalog og inn på andre sin.

 

Så med andre ord så hadde du tilgang til andre studenters område, og IT-sjefens uttalelse, som hevder at feilen ikke eksponerer hverken de ansatte eller studentenes interne hjemmeområde, men at disse områdene er godt sikret infrastruktur, og dermed bare er tilgjengelig fra skolens interne nett, er helt feil?

 

I så fall er det grovt, å bør rettes snarest, og du bør kanskje kontakte denne IT-sjefen å forklare at han har misforstått totalt hva dette dreier seg om?

[d'espresso]

[Torkelv]

Så med andre ord så hadde du tilgang til andre studenters område, og IT-sjefens uttalelse, som hevder at feilen ikke eksponerer hverken de ansatte eller studentenes interne hjemmeområde, men at disse områdene er godt sikret infrastruktur, og dermed bare er tilgjengelig fra skolens interne nett, er helt feil?

 

I så fall er det grovt, å bør rettes snarest, og du bør kanskje kontakte denne IT-sjefen å forklare at han har misforstått totalt hva dette dreier seg om?

 

 

Både ja og nei.

Alle studenter og ansatte kan logge inn på sitt eget hjemmeområde, og kan derfra gå inn i andre sine mapper.

 

"Ved hjelp av en enkel PHP-kommando kan hvem som helst navigere seg fritt rundt på webområdet som 17 000 studenter kan boltre seg på."

Det er det som er feil ^

Hvem som helst kan ikke gjøre det, kun dem som har tilgang til et område på serveren.(Alle studenter/ansatte).

 

Jeg regner med at det er det IT-sjefen sikter til, at det har vært god sikkerhet rundt systemet, men den interne sikkerheten har vært dårlig.

Vil likevel si at det er en feil utalelse da, områdene til studentene og ansatte har jo vært eksponert til alle studenter og ansatte, bare ikke til hvem som helst.

 

Ble nok en del misforståelser da jeg snakket med journalisten på telefon.

Men da jeg snakket med IT-avdeling på skolen viste jeg dem visuelt på en pc hvordan man kunne laste ned andres filer. Så at det har vært misforståelser der skjønner jeg ikke..

 

Serveren ble stengt i dag tidlig da, så de holder nok på å fikse det nå.

[Jonathan Doe]

Dette er ikke noe nytt. Jeg studerte på Høgskolen i Vestfold for ~10 år siden og gjorde dem oppmerksom på *akkurat* den samme sårbarheten. For det ble jeg belønnet med 3 ukers utestengelse fra studentnettet, noe som var langt ifra optimalt da jeg bodde i tilknyttende studentboliger.

 

Og nei, jeg logget aldri inn med noen av de godt synlige brukernavnen/passordene - noe jeg gjorde uttrykkelig klart da jeg rapporterte det inn. I løpet av den resterende tiden fant jeg 3-4 ytterlige sårbarheter, men meldte jeg dem inn? Nei, selvfølgelig ikke etter den behandlingen jeg hadde fått tidligere.

[Frobe]

Dessverre er mange av reaksjonene dere har opplevd ikke overraskende, de som varsler om at noen ikke har gjort jobben sin blir ofte straffet.

 

Når den norske straffeloven i tillegg er skrevet slik den er så kan varslere også straffes juridisk.

De som unnlater å sikre dataene sine godt nok gjør ikke noe galt, men de som oppdager det gjør i teorien noe ulovlig.

Vår datasikkerhet skal derfor beskyttes av frykt for å bli oppdaget og tatt av politiet...

Endret 18. mars 2017 av Frobe

[Gjest MKII]

Overrasker meg ikke basert på min erfaring med HSN. Forsøker man å varsle om problemer der blir man stort sett møtt med unskyldninger og bortforklaringer i stedet for at det sees på problemet. Evalueringer av forelesere virker det som at jevnt over ignoreres uavhengig av hvor dårlige og utdaterte foreleserene er enten det gjelder fagkunnskap, pedagogiske evner, eller begge deler. At denne skolen nå skal forsøke å bli universitet synes jeg og flere andre er tragikomisk og lignende.