Vor ein paar Jahrzehnten war der archetypische Hacker ein gelangweilter Teenager, der in das Netzwerk seiner Schule einbrach, um die Noten zu wechseln, à la Ferris Bueller. Wenn Cybersicherheit heute zur Domäne staatlich geförderter Spionageagenturen und milliardenschwerer Unternehmen geworden ist, kann es erfrischend sein, zu wissen, dass der High-School-Hacker weiterlebt - ebenso wie die offensichtlichen Sicherheitslücken in der Schulsoftware.
Auf der heutigen Defcon-Hackerkonferenz in Las Vegas präsentierte der 18-jährige Bill Demirkapi seine Erkenntnisse aus drei Jahren Hacking nach der Schule, die als High-School-Neuling begann. Demirkapi stöberte in den Weboberflächen zweier gängiger Softwareprodukte, die von den Technologiefirmen Blackboard und Follett verkauft und von seiner eigenen Schule verwendet wurden. In beiden Fällen entdeckte er schwerwiegende Fehler, die es einem Hacker ermöglichen würden, tiefgreifenden Zugriff auf Studentendaten zu erhalten. Insbesondere im Fall von Blackboard hat Demirkapi 5 Millionen gefährdete Datensätze für Schüler und Lehrer gefunden, darunter Schulnoten, Impfberichte, Cafeteria-Bilanz, Zeitpläne, kryptografisch verschlüsselte Passwörter und Fotos.
Demirkapi weist darauf hin, dass ein gelangweilter 16-Jähriger, der nur aus eigener Neugierde motiviert war, so leicht auf diese Unternehmensdatenbanken zugreifen könne, dass seine Geschichte die allgemeine Sicherheit der Unternehmen, die Millionen von Studenten beschäftigen, nicht gut widerspiegelt "Der Zugang, den ich hatte, war so ziemlich alles, was die Schule hatte", sagt Demirkapi. "Der Zustand der Cybersicherheit in Bildungssoftware ist wirklich schlecht, und nicht genug Menschen achten darauf."
5.000 Schulen, 5 Millionen Rekorde
Demirkapi hat eine Reihe von häufigen Web-Fehlern in der Community Engagement-Software von Blackboard und im Student Information System von Follett gefunden, darunter sogenannte SQL-Injection- und Cross-Site-Scripting-Schwachstellen. Für Blackboard ermöglichten diese Fehler letztendlich den Zugriff auf eine Datenbank, die 24 Datenkategorien enthielt, von Telefonnummern über Disziplinaraufzeichnungen bis hin zu Busrouten und Anwesenheitsaufzeichnungen. Allerdings schien nicht jede Schule Daten in allen Bereichen zu speichern. Beispielsweise enthielten nur 34.000 Aufzeichnungen die Impfgeschichte. Die Daten enthielten offenbar mehr als 5.000 Schulen mit insgesamt rund 5 Millionen Einzelunterlagen, darunter Schüler, Lehrer und anderes Personal.
Andy Greenberg ist ein WIRED-Sicherheitsjournalist und Autor des kommenden Buches Sandworm: Eine neue Ära des Cyberwar und die Jagd nach den gefährlichsten Hackern des Kremls.
In Folletts Software hat Demirkapi Fehler gefunden, die einem Hacker Zugriff auf Studentendaten wie Notendurchschnitt, Sonderschulstatus, Anzahl der Sperren und Passwörter verschafft hätten. Anders als in der Blackboard-Software wurden diese Passwörter unverschlüsselt in vollständig lesbarer Form gespeichert. Zu dem Zeitpunkt, als Demirkapi diesen Grad an Zugriff auf Folletts Software erlangt hatte, war er jedoch zwei Jahre in seinen Hacking-Eskapaden und ein wenig besser über rechtliche Gefahren wie das Computer Fraud and Abuse Act informiert, das den unerlaubten Zugriff auf das Netzwerk eines Unternehmens verbietet. Während er angibt, die Daten über sich selbst und einen Freund, der ihm die Erlaubnis erteilt hat, überprüft zu haben, um sicherzustellen, dass die Bugs zum Zugriff geführt haben, hat er die Gesamtzahl der anfälligen Datensätze nicht weiter untersucht oder aufgezählt, wie er es bei Blackboard getan hat. "Ich war in der 10. Klasse ein bisschen dumm", sagt er über seine früheren Erkundungen.
Als WIRED sich an Blackboard und Follett wandte, bedankte sich Folletts Senior Vice President of Technology, George Gatsis, bei Demirkapi für die Unterstützung beim Erkennen der Fehler, die seiner Meinung nach bis Juli 2018 behoben wurden. "Wir waren froh, mit Bill zusammenzuarbeiten und dankbar er wollte diese Dinge mit uns durcharbeiten ", sagt Gatsis. Gatsis behauptete jedoch auch, dass Demirkapi trotz der von ihm ausgenutzten Sicherheitslücken niemals auf andere Follett-Daten als seine eigenen hätte zugreifen können. Demirkapi entgegnet, dass er "zu 100 Prozent Zugriff auf die Daten anderer Personen hatte" und dass er sogar Folletts Ingenieuren das Passwort des Freundes gezeigt hat, der ihn auf seine Informationen zugreifen ließ.
Blackboard dankte auch Demirkapi, argumentierte jedoch, dass aufgrund seiner Analyse niemand anders auf diese Aufzeichnungen zugegriffen habe, weil er eine Sicherheitslücke aufgedeckt hatte. "Wir loben Bill Demirkapi, dass er uns auf diese Sicherheitslücken aufmerksam gemacht hat und sich bemüht, Teil einer Lösung zu sein, um die Sicherheit unserer Produkte zu verbessern und die persönlichen Daten unserer Kunden zu schützen", heißt es in einer Erklärung eines Sprechers von Blackboard. "Wir haben verschiedene Probleme angesprochen, auf die wir von Herrn Demirkapi aufmerksam gemacht wurden, und es gibt keinen Hinweis darauf, dass diese Sicherheitslücken ausgenutzt wurden oder dass auf die persönlichen Daten eines Kunden von Herrn Demirkapi oder einer anderen nicht autorisierten Partei zugegriffen wurde.
Fortgeschrittene hartnäckige Teenager
Demirkapi sagte, er habe die Sicherheitslücken der beiden Unternehmen aus einer Kombination aus Langeweile bei Teenagern und dem Ehrgeiz herausgearbeitet, mehr über Cybersicherheit und webbasiertes Hacken zu erfahren. "Ich habe eine Leidenschaft dafür, Dinge zu zerbrechen", sagt Demirkapi. "Ich wollte unbedingt etwas über das Testen von Webanwendungen lernen, also dachte ich mir, wie cool wäre es, das Notensystem meiner eigenen Schule zu testen?"
Demirkapi merkt an, dass er im Gegensatz zu Ferris Bueller nie versucht hat, die Noten der Schüler zu ändern. Dies hätte einen tieferen Zugriff auf das Blackboard-Netzwerk erforderlich gemacht. In einem anderen Fall nutzte er Fehler in einer College-Zulassungssoftware, um seinen Zulassungsstatus in der Datenbank des Worcester Polytechnic Institute, einem College, für das er sich beworben hatte, auf "akzeptiert" zu ändern. Ein Sprecher des Kollegiums sagte, dass Veränderungen allein nicht ausreichen würden, um ihn zuzulassen.
"Diese Unternehmen geben an, dass sie sicher sind, dass sie Audits durchführen, aber nicht die notwendigen Schritte unternehmen, um sich vor Bedrohungen zu schützen."
Teen Hacker Bill Demirkapi
Nachdem Demirkapi anfing, Fehler in Blackboard und Folletts Software zu finden, gab er an, er habe sich Mühe gegeben, die Unternehmen dazu zu bringen, ihn ernst zu nehmen. Im Winter 2016 versuchte er zunächst, Follett zu kontaktieren, indem er den Technischen Direktor seiner Schule aufforderte, sich in seinem Namen an das Unternehmen zu wenden. Aber wie Demirkapi sich erinnert, sagte sie ihm, die Firma habe seine Bedenken zurückgewiesen. Er sagt, er habe später selbst Nachrichten an Blackboard und Follett per E-Mail und über Follettes Kontaktseite gesendet. Blackboard bedankte sich anfangs für seine Nachricht und sagte, sie würde nachforschen, ging aber nicht weiter. Follett ignorierte ihn insgesamt.
Ein paar Monate später verfolgte Demirkapi einen typischeren Ansatz für einen jugendlichen Hacker. Bei Folletts Fehlern stellte er fest, dass dem Konto seiner Schule eine "Gruppenressource" hinzugefügt werden konnte, eine Datei, die allen Benutzern zur Verfügung stand und, was für Demirkapi noch wichtiger war, eine Push-Benachrichtigung mit dem Namen der Ressource für alle in seiner Schule auslöste Bezirk, der Folletts Aspen App installiert hatte. Demirkapi sandte eine Nachricht mit dem Titel "Hallo von Bill Demirkapi:)" an Tausende von Eltern, Lehrern und Schülern.
Dieser Stunt hat ihn für zwei Tage von der Schule suspendiert. "Es war wirklich unreif von mir, das zu tun, aber ich wusste keinen anderen Weg, um mit einem Unternehmen in Kontakt zu treten, das nicht für Kontakte offen war", sagt Demirkapi.
Wenn es nicht für dieses einmischende Kind war
Im Laufe des Jahres 2018, nachdem Demirkapi die Hilfe des Technologiedirektors seines Schulbezirks und des CERT-Koordinierungszentrums von Carnegie Mellon in Anspruch genommen hatte, gaben die Unternehmen an, endlich zuzuhören. Mit Blackboard, auf dessen vertrauliche Daten er beim Testen der Sicherheit der Software zugegriffen hatte, erarbeitete er einen Vertrag, in dem festgelegt war, dass das Unternehmen ihn nicht verklagen würde, und im Gegenzug hielt er die Schwachstellen des Unternehmens geheim, bis sie behoben waren Er lehnte einen ersten Entwurf ab, in dem Blackboard versuchte, ihn davon abzuhalten, es jemandem zu erzählen, selbst nachdem die Patches durchgegangen waren.
Obwohl beide Unternehmen die von Demirkapi festgestellten Softwarefehler behoben haben, sollte seine Arbeit jeden beschäftigen, der sich um die Sicherheit der Studentendaten kümmert. "Es scheint kein Interesse im Sicherheitsbereich zu bestehen, da die Anreize einfach nicht sehr hoch sind", sagte er und wies darauf hin, dass weder Blackboard noch Follett ein Programm zur Aufdeckung von Fehlern haben, mit dem Sicherheitsforscher belohnt werden, die und finden ihre Schwachstellen. "Diese Unternehmen geben an, dass sie sicher sind, dass sie Audits durchführen, aber nicht die notwendigen Schritte unternehmen, um sich vor Bedrohungen zu schützen."
