Information Security in Learning Management Systems

Abstract

Since 1960s the internet has grown to become a worldwide and borderless domain where many people share information from different parts of the world. In learning environment, different Learning Management Systems (LMSs) can be used to perform academic tasks as a way of e-learning. This thesis focuses three most common Open Source Learning Management Systems (OSLMSs), Atutor, Ilias and Moodle to analyze their security vulnerabilities based on information security triad which covers Confidentiality, Integrity and Availability (CIA). The study includes the discussion about LMSs, how secure they are, and how to test them. The study follows two ways as physical observation and logical test (scanner as a tool) to analyze LMSs. Some common drawbacks are noticed for all selected LMSs on physical observations. However logical tests performed by Nikto scanner that is analyzed based on S-OSVDB impacts show that Atutor has less vulnerabilities than the others. The techniques used to tests three LMSs in this thesis do not only help the learning environment to select the most secure LMS, but also help LMSs developers and users to point out the vulnerabilities of the LMSs. Keywords: Security issues in OSLMS, Nikto, OSVDB, S-OSVDB.

ÖZ: 1960 yılından bu yana internetin büyüyüp gelişmesi ve sınırsız bir bilgi alanı halini almasıyla, dünyanın değişik bölgelerindeki insanlar bilgiyi paylaşır hale gelmişlerdir. Eğitim alanında ise internet Öğrenme Yönetim Sistemleri (ÖYS‟leri) yardımı ile eğitim faaliyetlerinin uzaktan eğitim (e-eğitim) şeklinde sürdürülmesine olanak sağlamıştır. Bu tez çalışmasında en yaygın olarak kullanılan açık kaynak kodlu ÖYS‟lerden Atutor, Ilias ve Moodle ele alınmış ve bilgi güvenliği gizlilik, bütünlük ve ulaşılabilirlik açısından incelenmiştir. Çalışmanın kapsamında en uygun ÖYS‟ni seçebilmek için ÖYS‟nin tanımı, ne kadar güvenli olduğu ve güvenlik testlerinin nasıl yapılacağı incelenmiştir. ÖYS‟nin güvenlik incelemeleri fiziksel gözlem ve tarayıcı program yardımı ile gerçekleştirilmiştir. Fiziksel gözlemler sırasında ortak bazı problemler tespit edilmiş olmakla birlikte, Nikto tarayıcı programı ile yapılan testler sonucunda S-OSVDB etkenlerine dayanarak incelenmiş olan ÖYS‟lerden Atutor en güvenli ÖYS olarak tespit edilmiştir. Bu çalışmada ÖYS‟leri test etmekte uygulanan yöntemler sadece eğitim kurumlarının en uygun ÖYS‟yi seçmelerine değil ayni zamanda ÖYS geliştiricilerine ve kullanıcılarına yaşanan güvenlik zaaflarının duyurulması açısından da yardımcı olacaktır. Anahtar Kelimeler: Açık kaynak kodlu ÖYS‟lerde güvenlik konuları, Nikto, OSVDB, S-OSVDB.