Abitti-versionen som publiceras idag är den sista som publiceras innan vårens studentexamen. Den innehåller endast en synlig ändring för examinander: när du öppnar en PDF-fil som är bilaga till prov, är det lätt att öppna bilagan med ett annat program än webbläsaren (t.ex. Okular).
Tre datasäkerhetssårbarheter har åtgärdats i den nu publicerade Abitti, varav den allvarligaste gjorde det möjligt att logga in på provet med fel personbeteckning.
Den nya versionen är kompatibel med Abitti-versionerna som publicerats efter vecka 43 år 2022:
- ABITTI 2243K, 2244B, 22451
- SERVER 22436, 2244T
Sårbarheterna hittades under ett evenemang för hackare
Säkerhetshålen hittades i HackDay-tävlingen som anordnades av LokalTapiola för så kallade white hat-hackare den 15.10.2022. Studentexamensnämnden har behandlat resultaten enligt sin normala politik så att de publiceras inom tre månader från kungörandet. På grund av hackerevenemangets konfidentiella karaktär känner Studentexamensnämnden inte till namnen på alla de team och teammedlemmar som hittade sårbarheterna.
Studentexamensnämnden tackar LokalTapiola och alla de som rapporterat sårbarheter.
Nedan följer kortfattade beskrivningar av de nu åtgärdade sårbarheterna.
1. Det var möjligt att logga in på provet med fel personbeteckning
Vid inloggning i Abitti används examinandens personbeteckning som övervakaren kontrollerar och ger examinanden en bekräftelsekod att ange i inloggningsvyn. Vid attacken loggar man in i provsystemet genom att maskinellt ange personbeteckningen och verifieringskoden tills rätt kombination hittas (brute force). På detta sätt kan man avlägga provet med falsk identitet.
Sårbarhetsklassificering: CVSS-poäng 8,3 (högt)
2. Sessionsidentifieraren mellan övervakarens dator och provlokalens server var hårdkodad
Provanordnaren kan starta datorer för övervakare i provnätverket, från vilka de kan övervaka den rådande situationen av provtillfället genom provsystemet. En hårdkodad sessionsidentifierare har använts i kommunikationen mellan övervakarens dator och provlokalens server. Som sådan öppnar den inte åtkomst till provlokalens server, eftersom övervakarnas datorer är auktoriserade med ett lösenord som lottas av servern.
Sårbarhetsklassificering: CVSS-poäng 5,0 (medium)
3. Examinander kunde spara inspelningar med begränsade lyssningsgånger
I sårbarheten använder den fuskande examinanden monitorljudutgången från PulseAudio-ljudmjukvaran som används i Abitti. Med hjälp av programvara i Abitti sparas signalen som kommer från monitorutgången till en fil. Efter detta kan inspelningen fritt lyssnas på av examinanden.
Sårbarhetsklassificering: CVSS-poäng 3,3 (lågt)
Vi tackar teamet Testausserveri: Ruben Mkrtumyan, Mikael Hannolainen, Santtu Sievänen, Veeti Ojanperä och Taavi Väänänen.