Abitista on korjattu kolme tietoturva-aukkoa. Kriittisin haavoittuvuuksista on mahdollistanut hyökkäyksen oma.abitti -verkkopalvelun käyttäjää (esim. opettajaa) vastaan. Kaksi muuta haavoittuvuutta liittyivät koetilanteeseen. Kaikki ilmoitukset perustuvat Ylioppilastutkintolautakunnan ulkopuoliselta henkilöltä saatuun ilmoitukseen.
Kokeen liitetiedostot oma.abitti.fi-verkkopalvelussa
Oma.abitissa kokeen arvostelija voi palauttaa arvioidut ja arvostellut koetehtävät kokeen suorittajille. Palautus tapahtuu siten, että kokeen suorituksen yhteydessä suorittajalle lähetetään sähköpostilinkki, jota klikkaamalla suorittaja voi katsella koesuoritustaan, koetehtäviään ja –aineistoja.
Aukkoa olisi voinut hyödyntää useilla eri tavoilla. Hyökkääjä olisi voinut laatia kokeeseen liitetiedoston, joka muistuttaisi Abitin kirjautumissivua. Tämän jälkeen hyökkääjä olisi voinut tekeytyä Abittia käyttävän opettajan opiskelijaksi ja houkutella opiskelijan avaamaan linkin. Tällöin opettaja olisi kokenut luonnollisena, että hänen on kirjauduttava Abittiin hyökkääjän petollisen kirjautumissivun kautta. Näin opettajan Abitti-käyttäjätunnus ja salasana olisi päätynyt hyökkääjälle.
Hyökkääjä olisi myös voinut upottaa koetehtäviin JavaScript-ohjelmakoodia, joka olisi lähettänyt mahdolliset autentikointievästeet tai kaikkien vahingollista koetta katselevan Abitti-käyttäjän arvosteluaineistot hyökkääjälle.
Tämä tietoturva-aukko on korjattu estämällä kaikkien vanhalla koe-editorilla tehtyjen koetehtävien ja liitetiedostojen katselu. Lisäksi jo aiemmin on ilmoitettu, että mahdollisuus vanhalla koe-editorilla tehtyjen kokeiden järjestämiseen päättyy syksyn 2022 ylioppilaskokeiden jälkeen.
Tämä haavoittuvuus koskee vain vanhalla koe-editorilla tehtäviä kokeita ja se on ollut käytettävissä Abitin julkaisusta alkaen. Bertta-editorilla tehtyissä MEX-kokeissa tällaista hyökkäysmahdollisuutta ei ole.
Tätä haavoittuvuutta ei ole voinut hyväksikäyttää ylioppilaskokeissa.
Kiellettyjen HTML5-ohjelmien käyttö matematiikan kokeen A-osassa
Abitissa on mahdollista laatia koe, jonka ensimmäisessä osassa symbolisen laskinohjelmien käyttö ei ole mahdollista. Tätä ominaisuutta käytetään matematiikan ylioppilaskokeen A-osassa.
A-osassa kiellettyjen ohjelmien käyttö on estetty poistamalla kokelaiden lukuoikeudet keskeisiin tiedostoihin. Ikävä kyllä HTML5-tekniikkaa käyttävien ohjelmien (GeoGebra 6 ja 4f-vihko) varsinainen ohjelmakoodi oli kokelaiden saatavilla ja suoritettavissa koeympäristön FireFox-selainta käyttäen.
Tämä tietoturva-aukko on korjattu versiosta ABITTI2216Z alkaen siten, että kokelaalta on poistettu lukuoikeudet aiempaa laajempaan joukkoon ohjelmakoodia.
Tämä haavoittuvuus on ollut Abitissa sen julkaisusta alkaen. Haavoittuvuus on ollut myös kaikissa Abitilla tehdyissä ylioppilaskokeissa.
Abitin kokelaan koeympäristöön vaikuttaminen kernelin init-parametria muuttamalla
Abitti perustuu Debian GNU/Linux -käyttöjärjestelmään. Ennen koetta kokelaan kone käynnistetään Linux-käyttöjärjestelmään, joka ladataan USB-muistilta tai koneen sisäiseltä massamuistilta. Linuxin käynnistämisen yhteydessä käyttöjärjestelmän ytimelle, kernelille, annetaan parametreja. Näitä parametrien muuttaminen mahdollistaa mm. kokelaan koeaikaisten käyttöoikeuksien korottamisen.
Tämä hyökkäystapa on ollut kehittäjien tiedossa ja sitä hallitaan koejärjestelmän teknisellä valvonnalla. Valvontaohjelmaa ajetaan kokelaan koneella kokeen aikana ja sen tulokset toimitetaan koesuoritusten siirron yhteydessä Ylioppilastutkintolautakunnalle. Abitti-harjoituskokeissa valvonta on hyvin suppeaa ja sen tarkoitus on varmistaa, että valvontamekanismi toimii. Kerättyjen tietojen perusteella julkaistaan tietoja Abitin kanssa käytetyistä tietokoneista (hwdata.abitti.fi).
Ilmoittaja huomautti, että teknistä valvontaa voidaan huijata eri tavoin, mm. manipuloimalla käyttöjärjestelmän ohjelmia (esim. cat, iptables), joihin valvonta perustuu.
Tämä tietoturva-aukko on korjattu versiosta ABITTI2216Z alkaen. Valvonnan luonteen vuoksi Ylioppilastutkintolautakunta ei avaa korjausta tämän tarkemmin. Samalla muistutamme harjoituskokeita järjestäviä lukioita, että harjoituskokeiden ylioppilaskokeita suppeampien teknisen valvonnan tietoja ei seurata Ylioppilastutkintolautakunnassa.
Tämä haavoittuvuus on ollut Abitissa sen julkaisusta alkaen. Hyväksikäyttö on edelleen mahdollista harjoituskokeissa. Haavoittuvuuden hyväksikäyttöä on seurattu kaikissa Abitilla tehdyissä ylioppilaskokeissa.
Kiitokset
Kiitämme Daniel Smalinia, joka toi nämä tietoturva-aukot tietoomme. Danielilta saamamme tiedot haavoittuvuuksista olivat yksityiskohtaisia ja helpottivat sekä Abitti-kehitystiimiä että tietoturvakumppaniamme ongelmien paikantamisessa ja parhaan korjauksen löytämisestä.
Ylioppilastutkintolautakunta on sitoutunut julkistamaan kaikki tietoon tulleet tietoturvapoikkeamat kolmen kuukauden kuluessa. Olemme tottuneet vastaanottamaan sekä yksinkertaisia sähköposteja että ammattimaisia hyökkäyskoodin sisältäviä ilmoituksia.
Haluamme tässä samassa yhteydessä kiittää sekä entisiä että tulevia tietoturva-aukkojen etsijöitä!
Lue lisää
- Otteita tietoturvakumppanin lausunnosta
- Daniel Smalinin laatima sivu tietoturva-aukoista
- TIEDOTE: Abitti-koejärjestelmän hitaus ei johdu tietoturvahyökkäyksestä (ylioppilastutkinto.fi)