Blogi

Uusi Abitti-versio julkistettu!16.4.2018

Tänään 16.4.2018 julkistettu Abitti-tikkupäivitys sisältää seuraavat muutokset:

  • Vastausikkunan kaavaeditorin päivitys. Lisätty mm. suomalainen integraalin sijoitusmerkki ja apuvälineitä taulukoiden tekoon.
  • Uusi ohjelma mm. mittausdatan käsittelyyn: Logger Pro
  • Uudet versiot seuraavista ohjelmista: 4F-vihko, Casio ClassPad Manager, SchoolStore Oy:n TI Nspire CX CAS widgetit
  • Koejärjestelmän ohjeisiin (ks. cheat.abitti.fi) on lisätty matematiikan, kemian ja fysiikan sisältöjä.
  • Tikussa on korjattu vakava tietoturvahaavoittuvuus, jonka avulla opiskelijan tikulle saattoi kopioida tiedostoja ja katsella näitä tiedostoja koetilanteessa. Kevään ylioppilaskokeessa valvontaohjelmamme seurasivat mahdollisia tallennuspaikkoja. Uudessa tikkuversiossa kokeen suorittaja ei enää pääse lukemaan näitä tiedostoja. Tietoturva-asiantuntijoidemme laatima tekninen kuvaus haavoittuvuudesta löytyy tämän tiedotteen lopusta. Kiitokset Niilo Melaselle, joka raportoi meille ongelmasta!

Uudessa Abitti-versiossa ei ole uusia laiteajureita, ja tikkuversio on yhteensopiva kaikkien tänä lukuvuonna julkaistujen Abitti-versioiden kanssa.

Uusi Abitti-versio oli määrä julkaista jo viime viikolla. Olemme pahoillamme myöhästymisestä. Seuraava tikkupäivitys on suunnitteilla viikolle 18.

Kevään ylioppilaskokeissa tikutonta koetilan palvelinta käytettiin 21 lukiossa ja syksyllä toivomme määrän olevan kymmenkertainen. Järjestämme webinaareja tikuttomasta koetilan palvelimesta seuraavasti:

  • to 19.4. klo 15.00-16.00 Miten virtuaalikone toimii ja miten sitä käytetään? Tallenne
  • ti 24.4. klo 14.00-15.00 Miten virtuaalikone toimii ja miten sitä käytetään? Tallenne
  • to 3.5. klo 11.00-12.00 Näin asennetaan Vagrant, VirtualBox ja koetilan palvelin Tallenne
  • ke 9.5. klo 10.00-11.00 Näin asennetaan Vagrant, VirtualBox ja koetilan palvelin Tallenne

Webinaariin löydät osoitteesta https://connect.funet.fi/ytl. Selaimessasi on oltava Adobe Flash -laajennus tai vaihtoehtoisesti voit käyttää iOS/Android-applikaatiota. Webinaareihin ei tarvitse ilmoittautua etukäteen.

Ohessa tietoturvakumppanimme raportti haavoittuvuudesta. Kyseinen haavoittuvuus on korjattu uudessa Abitti-versiossa:

 

Abitti-kurssikoejärjestelmässä on haavoittuvuus, jota käyttämällä hyökkääjä voi päästä käsiksi ennalta valmistelemiinsa tiedostoihin koetilanteessa. Haavoittuvuutta voi käyttää koetilanteessa huijaamiseen. Mikäli käyttäjä voi käsitellä koetilanteessa käytettävää käynnistysmediaa tai valmistaa siitä itse kopion, hän voi lisätä levylle tiedostoja, jotka ovat luettavissa kurssikoejärjestelmän eri sovellusten, esimerkiksi selaimen tai tekstinkäsittelyohjelman avulla.

Havaittu ongelma on estettävissä estämällä  käyttäjältä pääsy /lib/live/mount/medium -hakemistoon, joka sisältää käynnistyslevyn sisältämät tiedostot. Tämän lisäksi käynnistyslevyä manipuloinut käyttäjä on voinut lisätä levylle muita levyosioita tai tallentaa tietoa levyn muille partitioille . Nämä olisi myös lukusuojattava. On tosin huomattava, että täydellisesti fyysisiin käynnistyslevyihin pääsevää hakkeria ei voi estää, sillä aikaa ja resursseja käyttämällä hakkeri voi toki myös tehdä kirjoitussuojaukset ohittavan kopion käyttöjärjestelmästä.   Hallitussa koetapahtumassa ja tilanteessa, jossa hakkeri ei kykene etukäteen luomaan väärennettyä käynnistyslevyä, esimerkiksi koetilanteessa tikulla jaetun aineiston takia, hyökkäys on vaikeampaa toteuttaa.

Mikäli ympäristössä on käytettävissä hyökkäyksentunnistus- ja estotyökaluja, peukaloitua järjestelmää voi koettaa tunnistaa esimerkiksi käynnistysvaiheessa. Levylle kirjoitetun datan tarkistussummat voi laskea ja niistä voi esimerkiksi käynnistysvaiheessa generoida ja näyttää visuaalisena tarkistussummana toimivan värikuvan. Ylimääräiset tai muokatut tiedostot muuttavat tarkistussummaa, joten luokallisessa tietokoneita yksittäisen päätteen virheellisellä tarkistuskuvalla pitäisi erottua. Etähallittavassa tietokoneessa voi myös käytön aikana seurata järjestelmästä löytyviä ja sieltä avattavia tiedostoja.

Virheen hyväksikäyttö edellyttää fyysistä pääsyä käynnistysmediaan ja huolimattomuutta kokeen järjestävältä taholta sekä Abitti-järjestelmän valvontatyökalujen pettämistä. Tästä syystä nyt havaitun haavoittuvuuden väärinkäytön todennäköisyys aikaisemmissa koetilanteissa on pieni, sillä kokelaan kiinnijäämisen riski on varsin korkea tämäntyyppisessä vilppiyrityksessä.