Tre datasäkerhetssårbarheter har åtgärdats i Abitti. Den mest kritiska av de tre har möjliggjort en attack mot en användare av webbtjänsten oma.abitti.fi (t.ex. mot en lärare). De två andra sårbarheterna berör provtillfället. Rapporterna av alla tre sårbarheterna bygger på en rapport som Studentexamensnämnden fått av en utomstående person.
Filerna med bilagor till proven i webbtjänsten oma.abitti.fi
I oma.abitti.fi kan den som bedömer ett prov returnera de bedömda proven till dem som utfört provet. Detta görs genom att den som utför provet per e-post får en länk, och genom att klicka på länken kan provprestationen, provuppgifterna och materialet i provet ses.
Sårbarheten kunde ha utnyttjats på flera olika sätt. Angriparen kunde ha gjort ett prov med en filbilaga som imiterar Abittis inloggningssida. Därefter kunde angriparen ha utgett sig vara en studerande till läraren som använder Abitti och locka läraren att klicka på länken till filen. För läraren skulle det ha känts självklart att hen måste logga in på Abitti genom angriparens falska inloggningssida. Därmed skulle angriparen ha fått tillgång till lärarens Abitti-användarnamn och lösenord.
Angriparen kunde också ha lagt in JavaScript-programkod i uppgifterna i provet. Programkoden skulle sedan ha kunnat skicka t.ex. eventuella autentiseringskex eller allt bedömningsmaterial som den som tittar på det falska provet har till angriparen.
Denna sårbarhet har åtgärdats genom att förhindra visandet av alla provuppgifter och filbilagor som gjorts med den gamla editorn. Redan tidigare har även meddelats att möjligheten att hålla prov som gjorts med den gamla editorn upphör efter studentexamen hösten 2022.
Sårbarheten berör endast prov som gjorts med den gamla editorn och den har funnits ända sedan Abitti lanserades. Motsvarande angreppsmöjlighet finns inte i prov i MEX-format som gjorts med editorn Bertta.
Det har inte varit möjligt att utnyttja denna sårbarhet i studentexamensproven.
Användning av förbjudna HTML5-program i A-delen i matematikprovet
Det är möjligt att i Abitti göra upp prov där användningen av symbolräknarprogram inte är möjligt i provets första del. Denna egenskap används i A-delen i matematikprovet i studentexamen.
Användningen av program som är förbjudna i A-delen har förhindrats genom att frånta examinandernas läsrättigheter till de viktigaste filerna. Tyvärr fanns dock den egentliga programkoden till de program som fungerar med HTML5-teknik (GeoGebra 6 och 4f-häftet) tillgänglig och kunde köras i provmiljön med hjälp av webbläsaren Firefox.
Denna sårbarhet har åtgärdats från och med version ABITTI2216Z genom att examinanderna har fråntagits läsrättigheterna till ett större antal programkoder än tidigare.
Sårbarheten har funnits i Abitti sedan Abitti lanserades. Sårbarheten har också funnits i alla studentexamensprov som gjorts med hjälp av abitti.
Att inverka på examinandens provmiljö genom att ändra parametern kernel init
Abitti bygger på operativsystemet Debian GNU/Linux. Innan provet börjar startas examinandens dator upp i operativsystemet Linux som laddas från ett USB-minne eller från datorns interna massminne. Då Linux startas ges vissa parametrar till operativsystemets kärna (kernel). Genom att ändra på dessa parametrar kan man t.ex. öka examinandens användarrättigheter under provet.
Utvecklarna har känt till detta angreppssätt. Det hanteras med hjälp av den tekniska övervakningen i provsystemet. Övervakningsprogrammet körs på examinandens dator under provet och resultaten överförs till Studentexamensnämnden samtidigt som provprestationerna laddas upp. I Abitti-övningsproven är övervakningen mycket rudimentär och dess främsta uppgift är att säkerställa att övervakningsmekanismerna fungerar. Utifrån det data som samlas in publiceras statistik om de datormodeller som använts i Abitti (hwdata.abitti.fi).
Rapportören påpekade att den tekniska övervakningen kan luras på olka sätt, bl.a. genom att manipulera programmen i operativsystemet (t.ex. cat, iptables), som övervakningen bygger på.
Denna sårbarhet har åtgärdats från och med version ABITTI2216Z. På grund av övervakningens natur belyser inte Studentexamensnämnden närmare hur sårbarheten åtgärdats. Samtidigt påminner nämnden de gymnasier som ordnar övningsprov att nämnden inte följer med de jämfört med studentexamensproven begränsade uppgifterna från den tekniska övervakningen av övningsproven.
Sårbarheten har funnits med sedan Abitti lanserades. Det är fortfarande möjligt att utnyttja sårbarheten i övningsproven. Utnyttjandet av sårbarheten har följts med i alla studentexamensprov som utförts med Abitti.
Tack
Vi vill tacka Daniel Smalin som rapporterade dessa sårbarheter till oss. De uppgifter Daniel gav om sårbarheterna var detaljerade och underlättade arbetet med att lokalisera problemen och hitta det bästa sättet att åtgärda dem både för Abitti-utvecklingsteamet och för vår datasäkerhetssamarbetspartner.
Studentexamensnämnden har förbundit sig att offentliggöra alla datasäkerhetsstörningar inom tre månader. Vi har erfarenhet av att få både enkla e-postmeddelanden och professionella rapporter med inkluderad angreppskod.
Vi vill samtidigt tacka både tidigare och kommande datasårbarhetssökare!
Läs mera
- Utdrag ur datasäkerhetskumpanents utlåtande (på finska)
- Daniel Smalinis webbsida gällande sårbarheterna
- TIEDOTE: Abitti-koejärjestelmän hitaus ei johdu tietoturvahyökkäyksestä (på finska, ylioppilastutkinto.fi)