Canvas fällt aus, ShinyHunters droht mit Veröffentlichung von Schuldaten

Hacker-News-Kommentare

• Aus der Perspektive vor Ort: Ich unterrichte an einer Universität, die Canvas nutzt, und wir sind gerade in der Abschlussprüfungsphase.
  Heute um 17:17 EDT kam die erste Störungsmeldung per E-Mail vom Prüfungsamt, weitere folgten um 18:24 und 18:57, aber der Inhalt drehte sich überwiegend um Ausgleichs- und Ersatzverfahren statt darum, was tatsächlich passiert war.
  Außer „landesweiter Ausfall“ und „Cybersicherheitsangriff“ gab es keine Details, und die Hochschule scheint auch nicht mehr zu wissen.
  Bezeichnend ist, dass die Anweisung herausgegeben wurde, über Canvas eingereichte Aufgaben sollten die Studierenden den Lehrenden direkt per E-Mail schicken, was nicht gerade Vertrauen vermittelt, dass es bald wieder läuft.
  Für mich persönlich ist die Auswirkung gering. Ich bin CS-Professor, ein großer Teil der Arbeiten meiner Studierenden läuft auf Geräten des Fachbereichs und wird auch dort eingereicht, und echte Prüfungen schreiben wir auf Papier.
  Wichtiger ist, dass ich dem Canvas-Notenbuch nie vertraut habe, daher trage ich Noten in Canvas nur zur Einsicht für Studierende ein und pflege das eigentliche Notenbuch immer in einer lokalen Tabelle.
  Für viele Kolleginnen und Kollegen ist das aber ein Desaster auf dem Niveau von „das Gebäude ist abgebrannt und alle Prüfungen und Notenbücher sind verschwunden“. Selbst Lehrende mit reiner Präsenzlehre haben den Großteil ihrer Bewertung auf die Canvas-„quiz“-Funktion verlagert, bis hin zu Abschlussprüfungen in Canvas, und das Canvas-Notenbuch als Primärdokumentation genutzt.
  Auch die Verwaltung hat das mit dem Hinweis gefördert, dass so die Notenabgabe einfacher werde. Solche Lehrenden haben womöglich kaum oder gar keine studentischen Arbeiten außerhalb davon, und die Studierenden haben die Inhalte vielleicht von vornherein in Canvas erstellt, sodass es nichts gibt, was sie per E-Mail erneut senden könnten; sogar Noten- oder Anwesenheitsdaten könnten ausschließlich in Canvas gepflegt worden sein.
  Wenn im März Zwischenstandsnoten gemeldet wurden, ist das vielleicht noch zugänglich, aber das könnte auch schon alles sein.
  Mein Bauchgefühl sagt: Entweder ist das in ein paar Stunden behoben, oder es dauert Wochen. Wenn es Air-Gap-Backups gibt und man nur neue Server hochfahren muss, dann Ersteres, sonst Letzteres. Viel dazwischen scheint es nicht zu geben.
  Wenn das bis morgen früh nicht gelöst ist, habe ich wirklich keine Ahnung, wie unsere Uni und viele Lehrende im ganzen Land faire und vernünftige Noten abgeben sollen.
  Im Extremfall müsste man vielleicht wie in den Pandemie-Semestern verfahren, und wie in dem Semester an unserer Hochschule, in dem eine Woche vor den Finals tatsächlich zwei große akademische Gebäude abbrannten, und selbst Kurse, die normalerweise letter grades vergeben, als Bestanden/Nicht bestanden einreichen. Was sollte man sonst tun?
  Natürlich hätte man auch vermeiden können, alle Eier in einen Korb zu legen und der „Cloud“ nicht zu sehr zu vertrauen, aber dafür ist es jetzt zu spät. Ich frage mich, ob langfristig irgendjemand daraus eine Lehre ziehen wird.
  Update: Stand 23:45 EDT läuft die Canvas-Instanz unserer Universität wieder. Hoffentlich bleibt das so, aber sicherheitshalber werde ich mir ein paar Dinge herunterladen.

  • Es ist sehr einfach, den Studierenden per E-Mail die zugehörigen Datensätze zu schicken, wenn sie ein Quiz oder Ähnliches abschließen.
    Dass man das nicht tut, liegt daran, dass man die Daten kontrollieren will, und ich verstehe nicht, warum Universitäten das nicht verlangen.
  • Ich arbeite in der Bildungs-IT, und wir wissen auch kaum mehr.
    Alles, was wir heute wissen, stammt aus Reddit-Threads und dem Hacker-News-Thread. In der offiziellen Kommunikation war überhaupt nicht von einem Angriff die Rede, aber die Login-Seite war offenbar von ShinyHunters manipuliert worden.
  • Ein hybrider Ansatz scheint auch möglich. Man erstellt schnell eine Abschlussprüfung oder ein Projekt und gibt den Studierenden die Wahl zwischen Bestanden/Nicht bestanden oder einer regulären Note.
    Und man kann nur darauf hoffen, dass der Tag kommt, an dem SaaS verschwindet und wir wieder Software selbst bereitstellen können, die wir nach Bedarf kontrollieren und anpassen können.
  • Vielleicht sollte man einfach eine einzige Prüfung ansetzen und die Kursnote danach festlegen.
    Eigentlich sollte es ohnehin so laufen, und Punkte für Semesteraufgaben oder schlimmer noch Anwesenheitspunkte sind nicht nötig, um zu bewerten, ob Studierende den Stoff gelernt haben. Man schreibt die Prüfung und fertig.

• Ich bin überrascht, wie wenige Kommentare dieser Thread hat. Vermutlich sind Millionen von Studierenden in der stressigsten Phase des Jahres betroffen.
  Ich mochte Canvas und vermutlich auch alle anderen LMS-Anbieter ohnehin nie, aber an diesem Ausfall ist besonders absurd, dass er genau in dem Moment passiert, in dem Universitäten unter Verweis auf ADA-Compliance von allen Lehrenden ausnahmslos verlangen, sämtliches Material in Canvas hochzuladen.
  Zum Beispiel ist es ausdrücklich verboten, einfach auf PDFs auf einer persönlichen Website zu verweisen.
  Viele hier scheinen nicht zu wissen, dass auch viele Lehrende es nicht mögen, zur Nutzung von Canvas gezwungen zu werden.

  • Bisher hat man es bei mir noch nicht geschafft, das durchzusetzen. Aber es ist schon bitter, wie viele Professoren selbst im Computing-Bereich nicht in der Lage sind, die grundlegende Online-Infrastruktur zu betreiben, die sie zur Unterstützung ihres Unterrichts bräuchten. Wobei die Universitäten es einem natürlich auch nicht leicht machen.
    Eine weitere große Sorge, die ich bei Canvas habe, ist die Möglichkeit, dass sämtliches Material, das Lehrende hochladen, zum Training von AI-Ersatzprodukten verwendet wird. Kolleginnen und Kollegen machen dazu viele schwarze Witze, aber wirkliches Handeln sehe ich kaum.
  • Heutige Studierende und HN-Nutzer überschneiden sich anscheinend nicht besonders stark. Soweit ich weiß, bin ich eine ziemlich seltene Ausnahme :)
    Die Verwaltung hat bisher eine E-Mail geschickt, die mit „Canvas sagt“ anfing, und eine Stunde später eine weitere, in der stand, Canvas sei „auf unbestimmte Zeit ausgefallen“, um zu signalisieren, dass man den Ernst der Lage verstanden habe.
    Für alle, die Canvas nicht kennen: Es ist im Grunde eher ein Kurs-Wiki mit zusätzlichen Funktionen wie Quizzen.
  • Live-Streaming von Lehrveranstaltungen über Canvas ist sehr beliebt. Viele Studierende schauen einfach aus dem Wohnheim zu.
    Deshalb könnten Studierende nun wieder in die Hörsäle kommen müssen, und das dürfte interessant werden. Am ersten Kurstag sind Hörsäle oft fast stehend voll oder tatsächlich überfüllt, dann nimmt das immer weiter ab. In einem Kurs mit 100 Personen sind später manchmal nur noch etwa 10 da.
    Wenn Canvas nicht schnell zurückkommt, könnte auch das zu echtem Chaos führen.
  • Ich verstehe nicht, inwiefern Canvas zugänglicher sein soll als HTML und PDF.
    Dass PDF-Reader nicht optimal für Screenreader sind, stimmt zwar, aber könnte man nicht einfach zusätzlich eine .html-Kopie hochladen?

• Es sollte für jedes Unternehmen illegal sein, Ransomware-Lösegeld zu zahlen. Ausnahmslos, man sollte niemals zahlen.
  Die Bestrafung der Angreifer sollte an das kompromittierte System gekoppelt sein. Wenn ein Angriff auf ein Krankenhaus zum Tod eines Menschen führt, sollte das lebenslange Haft oder die Todesstrafe nach sich ziehen. Die Mindeststrafe müsste schmerzhaft genug sein, um Angriffe abzuschrecken.
  Natürlich reicht das allein nicht aus, und Unternehmen sollten auch für unzureichende Sicherheitsinvestitionen zur Verantwortung gezogen werden. Jeder Angriff sollte daraufhin untersucht werden, ob das betroffene Unternehmen anerkannte branchenübliche Best Practices, Personalanforderungen usw. erfüllt hat, und wenn nicht, sollte es Strafmaßnahmen geben.

  • Illegal sollte der Betrieb unsicherer Dienste sein. Vor allem, wenn sie personenbezogene Daten verarbeiten.
    Sicherheitsverletzungen passieren ständig, und niemanden scheint es zu kümmern. Im schlimmsten Fall verliert man ein paar Kunden und bezahlt etwas „Kreditüberwachung“.
    Auf solche Vorfälle sollten Audits und Strafverfolgung folgen. Führungskräfte von Unternehmen sollten wegen fahrlässigen Sicherheitsversagens ins Gefängnis kommen. Wenn man für Bilanzbetrug ins Gefängnis kann, sollte das auch für Betrug mit Cybersicherheitsversprechen möglich sein.
    Sie behaupten, verschiedene Sicherheitsstandards einzuhalten https://www.instructure.com/en-au/trust-center/compliance
    Ich würde gern sehen, wie viel davon in einem nachträglichen Audit tatsächlich umgesetzt wurde.
  • Sollte man sich nicht darauf konzentrieren, dass es überhaupt schwieriger wird, Geld an ausländische Kriminelle zu schicken? /hmm/ Kryptoplattformen, die Überweisungen an böswillige Akteure ermöglichen /hmm/
  • Wann werden Staaten Cyberangriffe als Kriegshandlung behandeln?
    Wenn nordkoreanische Soldaten in die USA kämen und Gold im Wert von 200 Millionen Dollar aus Fort Knox stehlen würden, gäbe es Vergeltung. Aber wenn derselbe Betrag durch das Hacken amerikanischer Unternehmen erbeutet wird, tut die Bundesregierung nichts.
  • Eine „schmerzhafte Mindeststrafe“ wird ausländische Staatsangehörige oder ausländische Regierungen wohl kaum zuverlässig abschrecken.
  • Wenn jemand eine Bank überfällt und dabei jemand im Inneren an einem Herzinfarkt stirbt, ist das felony murder.
    Es wäre gut, denselben Grundsatz auch auf Ransomware-Angriffe, Erpressung und Datenlecks anzuwenden. Wenn sich deswegen jemand das Leben nimmt, ist es Mord.

• Meine Kinder stecken mitten in der Finals-Woche. Es ist ein komplettes Chaos.
  Die Universitäten wissen nichts, Canvas behauptet, es handele sich um „scheduled maintenance“, und manche Lehrende sagen, sie hätten „keine Offline-Kopien“ der Materialien, was ziemlich fahrlässig wirkt.
  Eine Gruppe in einem beliebten Kurs wird wohl eine Papierprüfung schreiben müssen, während andere Gruppen anscheinend heute schon eine Canvas-basierte Prüfung mit Regeln wie „zweiter Versuch zählt nur halb“ abgelegt haben.
  Wie lange wird es dauern, bis Namen und Noten in einem Daten-Dump auftauchen?
  Das ist so, als würde TurboTax in den USA am 14. April „scheduled maintenance“ ansetzen.

  • „Scheduled Maintenance“ ist völliger Unsinn und lässt Canvas ehrlich gesagt noch schlechter aussehen.
    Laut Statusseite gilt das offenbar noch als 99,996 % Verfügbarkeit. Nur gut merken.

• Ein Freund von mir, der am MIT unterrichtet, war davon betroffen.
  Ich fand es ironisch und ein wenig traurig, dass selbst ein Ort wie MIT offenbar nicht das IT-Personal hat, um für so etwas eine On-Premises-Lösung zu betreiben.
  Dann habe ich erfahren, dass MIT ein selbst entwickeltes System hatte und erst vor Kurzem zu Canvas gewechselt ist. Das dürften sie jetzt bereuen.
  In den letzten zehn Jahren scheint die Entscheidung selbst bauen vs. kaufen viel zu stark zugunsten von Kaufen gekippt zu sein, und das ist schade.
  Natürlich sollten sich Organisationen auf ihre Kernkompetenzen konzentrieren, und manchmal ist es richtig, Nicht-Kernaufgaben an externe Anbieter auszulagern. Aber es gibt immer Nachteile.

  • Selbst entwickelte Systeme sind teuer im Unterhalt und halten in der Regel selbst im Vergleich zu kommerziellen Optionen auf heutigem Stand nicht mit.
    Lernmanagementsysteme sind einfach extrem komplexe Software. Ich war im Studium an der hausinternen Version unserer Universität beteiligt.
  • Ich habe meine Tech-Karriere im Bildungsbereich begonnen, und das überrascht mich überhaupt nicht.
    Ambitionierte und fähige IT-Leute bleiben im Bildungswesen nicht lange. Die Bezahlung ist im Vergleich zur Wirtschaft sehr niedrig.
    An meinem damaligen Arbeitsplatz konnte man nach genug Dienstjahren eine komfortable Pension bekommen, deshalb wollten die IT-Mitarbeitenden so viel wie möglich auslagern, um keinerlei Risiko für ihre Altersvorsorge einzugehen. Dann schob man am Ende alles den Beratern zu und arbeitete selbst so wenig wie möglich.
    Es ist buchstäblich der Ort, an dem Träume sterben.
    MIT ist für brillante Lehrende und Studierende bekannt, aber der Betrieb einer Universität ist am Ende doch ziemlich standardisiert. Man braucht keine Rockstar-Genies, um Server für Lernplattformen zu verwalten.

• Ich bin Student in Stanford, und dieser Ausfall trifft die ganze Universität hart.
  Anders als Ostküsten-Unis wie Brown, Harvard oder MIT haben wir ein Quartalssystem, daher sind wir gerade erst mit den Midterms durch.
  Zum Glück ist die CS-Fakultät komplett von Canvas unabhängig, aber die meisten meiner geisteswissenschaftlichen Kurse sind es nicht.
  In einem kunsthistorischen Kurs sollen wir Zwischenarbeiten in einen Google-Drive-Ordner hochladen, ein anderer Kurs hat seine wöchentlichen Quizze ausgesetzt.
  Der Vorfall zeigt, wie abhängig Studierende und Lehrkräfte von Canvas geworden sind. Ich hoffe, dass dadurch auch aus Studierendensicht die Diskussion neu angestoßen wird, sich von einer Plattform zu lösen, die ohnehin schon nicht besonders gut war.

  • Dass ShinyHunters jetzt so weit heruntergeht, Studierende und junge Intellektuelle in den USA ins Visier zu nehmen, ist wirklich unter aller Linie.
    Unternehmen anzugreifen ist das eine, Studierende anzugreifen etwas ganz anderes. Lasst die Studierenden in Ruhe.

• Die Reaktion von Canvas ist miserabel. Keine Kommunikation, keine Status-Updates.
  Es sieht so aus, als wäre die gesamte Plattform kompromittiert worden, und dass es noch nicht einmal einen echten Bericht über die bereits eingetretene Sicherheitsverletzung gibt, wirkt sehr schlecht.
  Da die meisten Schulen in den USA gerade Finals schreiben, frage ich mich, wie schnell Verstöße gegen Service-Level-Agreements und Klagen auftauchen werden.

  • Ich hatte viel mit Canvas/Instructure zu tun. Die Technik ist ganz okay.
    Die Kultur wirkt wegen ihrer Marktstellung ziemlich selbstgefällig.

• Früher betrieben viele Universitäten eigene oder On-Premises-Studentensysteme.
  Das ist der Nachteil der Cloud-Zentralisierung. Wenn die Infrastruktur kompromittiert wird, trifft es nicht nur ein oder zwei einzelne Installationen, sondern alle.
  Ich frage mich, wie man diese Entscheidung jetzt empfindet. Andererseits kann man immerhin sagen: „Es ist nicht unsere Schuld“, was sich vielleicht besser anfühlt, als wenn die eigene Lösung eine Schwachstelle gehabt hätte.

  • Wenn in Software eine Schwachstelle entdeckt wird, können Hacker ebenso leicht auf automatisierte Weise Hunderte separate Installationen bei verschiedenen Institutionen angreifen.
    Je nach Lücke könnte das sogar einfacher sein, wenn On-Premises-Administratoren nicht alle empfohlenen Sicherheitsmaßnahmen umgesetzt haben.
    Was mich hier eigentlich mehr interessiert, ist, ob Instructure finanziell haftbar ist. Der technische Fehler liegt bei Instructure, aber die Lösegeldforderung geht offenbar an die Universitäten, was interessant ist.
    Uptime-SLAs kenne ich, aber wie sehen eigentlich SLAs für Sicherheitsverletzungen aus?
  • Wenn eine Universität Zeit und Geld investiert hätte, um ein eigenes System zu bauen, und dann gehackt worden wäre, wäre es ihre Verantwortung gewesen.
    Jetzt kann sie wie ein Blackjack-Dealer in die Hände klatschen, die Handflächen zeigen und den Tisch ohne Verantwortung verlassen. Das ist vielleicht einer der größten Vorteile daran, nicht selbst zu bauen, sondern ein Produkt zu verwenden.
  • Diese Variante ist trotzdem sicherer. Besonders wegen AI-gestütztem Hacking, das es schwieriger macht, auf Sicherheit durch Unklarheit zu setzen.
    Dass man noch jemand anderen beschuldigen kann und gemeinsam mit allen anderen ausfällt, wenn alle ausfallen, hat ebenfalls seinen Wert.

• Als ich 2016 oder 2017 in der Highschool war, habe ich in einem Aufgaben-Abgabeformular eine ganz simple XSS gefunden und meinem Informatiklehrer gemeldet.
  Danach hat Canvas mein Konto gesperrt, und ich bekam meinen ersten und vielleicht einzigen Nachsitztermin nach dem Unterricht. Gute Zeiten.

  • In eine ähnliche Richtung: Die Schul-Blockiersoftware sperrte YouTube und Embeds, ließ sie aber zu, wenn sie über Canvas kamen.
    Es war klug, den HTML-Editor für Diskussionskommentare zu deaktivieren, aber man hatte vergessen, dass es ein Rich-Text-Editor war; man konnte also Code in data:text/html packen und das Element als formatiertes HTML kopieren, um das Embed direkt einzufügen.
    Ich habe sogar die vollständigen DOMPurify-Beispiel-XSS durchprobiert und einen Weg gefunden, benutzerdefinierte Inhalte auf den Computer anderer herunterzuladen.
  • Hast du diese Schwachstelle vielleicht tatsächlich ausgenutzt, bevor du sie dem Lehrer gemeldet hast?

• Falls hier jemand interne Kenntnisse hat: Ich frage mich, ob Parchment potenziell ebenfalls betroffen ist.
  Instructure hat das Unternehmen vor ein paar Jahren übernommen, und dort werden extrem viele Transcripts verarbeitet.
  Edit: Auf https://status.parchment.com/ steht: „Canvas, Canvas Beta und Canvas Test sind derzeit nicht verfügbar, aber wir überwachen gleichzeitig alle anderen Produktumgebungen einschließlich Parchment. Zum jetzigen Zeitpunkt gibt es keinen Grund zu der Annahme, dass Parchment-Ressourcen betroffen sind.“