Matti Lattu – Page 4

Uudessa Abitti-versiossa pieniä päivityksiä

9.5.20239.5.2023Matti LattuLeave a comment

Tänään julkaistut uudet Abitti-versiot sisältävät joitakin pieniä päivityksiä. Otavan MAOL digitaulukot on päivittynyt ja koeympäristön ohjeiden saavutettavuutta on parannettu.

Tekniikkapuolella on päivitetty muutaman laitteen firmware-tiedostoja. Päivitykset parantavat joidenkin wifi- ja äänipiirien toimintaa.

Kokelaan tikkuun on tehty myös kaksi tietoturvapäivitystä.

LibreOfficessa oli saatavilla englannin kielen oikoluku. Tämä on nyt estetty. Kiitokset Santtu Savolalle, joka löysi tämän ominaisuuden.
Kokelaan koneelta voidaan katsella koneen havaitsemia wifi-verkkojen nimiä. Näitä nimiä voidaan käyttää tietojen välittämiseen kokelaalle. Tämä hyökkäystavan hyödyntämismahdollisuus ylioppilaskokeissa lisääntyy jatkuvasti lukioiden siirtyessä käyttämään langattomia tutkintoverkkoja. Uusi Abitti-versio piilottaa käyttäjältä kaikki verkkojen nimet, jotka ovat yli 20 merkin mittaisia. Ylioppilaskokeita varten filtteriä tiukennetaan. Kiitokset Miika K:lle, joka ilmoitti tästä mahdollisuudesta ja kuvasi useita hyväksikäyttömenetelmiä.

Nyt julkaistut versiot toimivat lokakuussa 2022 ja sen jälkeen julkaistujen Abitti-versioiden kanssa.

Uusi Abitti-versio sopii kevään koejärjestelyjen testaukseen

16.2.202316.2.2023Matti LattuLeave a comment

Tänään julkaistavat Abitti-versiot (ABITTI2307P ja SERVER2307S) sopivat kevään ylioppilaskokeen järjestelyjen testaukseen.

Kokelaan koneeseen on tehty seuraavat korjaukset:

Kokelaan tikulta on korjattu GeoGebra 5:n 3D-näyttö ja MarvinSketchin MarvinSpace, jonka avulla rakennemalleja voi tarkastella kolmiulotteisina.
Versiossa ABITTI2302L kokelaan koneen äänet lakkasivat toimimasta aina kun käyttöliittymän kieli vaihdettiin ruotsiksi. Tämä virhe on korjattu.
Joissakin harjoituskokeissa on tavattu äänitiedostoja, joissa onkin ollut mukana videosisältöä. Tällaiset tiedostot eivät aiemmin ole toimineet kuuntelukerroiltaan rajoitettuina äänitteinä. Nyt äänitteistä soitetaan pelkkä ääniraita ja mahdollinen videosisältö jätetään huomiotta.

Kokelaan koneen koetilan palvelimelle lähetettävät lokitiedot salataan, mikä vaikeuttaa tietoliikenteen salakuuntelua. Tästä huolimatta nyt julkaistut versiot toimivat lokakuussa 2022 ja sen jälkeen julkaistujen Abitti-versioiden kanssa.

Lue lisää:

Muutosloki

Uusi Abitti vastaa kevään yo-tikkua ja korjaa tietoturvahaavoittuvuuksia

12.1.202312.1.2023Matti LattuLeave a comment

Tänään julkaistava versio on viimeinen ennen kevään ylioppilaskokeita julkaistava Abitti. Se sisältää vain yhden kokelaalle näkyvän muutoksen: PDF-muotoisen kokeen liitetiedoston avaamisen yhteydessä liite on helppo avata myös muilla ohjelmilla kuin selaimella (esim. Okularilla).

Julkaistavassa Abitissa on korjattu kolme tietoturvahaavoittuvuutta, joista vakavin mahdollisti kokeeseen kirjautumisen väärällä henkilötunnuksella.

Uusi versio on yhteensopiva vuoden 2022 viikolla 43 ja sen jälkeen julkaistujen Abitti-versioiden kanssa:

ABITTI 2243K, 2244B, 22451
SERVER 22436, 2244T

Haavoittuvuudet löytyivät hakkeritapahtumassa

Tietoturva-aukot löydettiin LähiTapiolan valkohattuhakkereille 15.10.2022 järjestämässä HackDay-kilpailussa. Ylioppilastutkintolautakunta on käsitellyt löydökset normaalin politiikkansa mukaisesti siten, että ne julkistetaan kolmen kuukauden kuluessa ilmoituksesta. Hakkerointitapahtuman luottamuksellisesta luonteesta johtuen Ylioppilastutkintolautakunnalla ei ole tiedossaan kaikkien haavoittuvuuksia löytäneiden tiimien ja tiimin jäsenten nimiä.

Ylioppilastutkintolautakunta kiittää LähiTapiolaa ja kaikkia haavoittuvuuksista raportoineita.

Alla tiiviit kuvaukset nyt korjatuista haavoittuvuuksista.

1. Kirjautuminen kokeeseen väärällä henkilötunnuksella oli mahdollista

Abittiin kirjautumisessa käytetään kokelaan henkilötunnusta, jonka valvoja tarkistaa ja antaa kokelaalle kirjautumisnäkymään syötettävän vahvistuskoodin. Hyökkäyksessä kirjaudutaan koejärjestelmään syöttämällä henkilötunnus- ja vahvistuskoodikombinaatioita koneellisesti, kunnes oikea yhdistelmä löytyy (brute force). Näin päästään suorittamaan koetta väärällä identiteetillä.

Haavoittuvuusluokitus: CVSS-pisteet 8,3 (korkea)

2. Valvojan koneen ja koetilan palvelimen välinen istuntotunniste oli kovakoodattu

Kokeen järjestäjä voi käynnistää koeverkkoon kokeen valvojille tietokoneita, joista he voivat seurata koejärjestelmän tuottamaa tilannekuvaa. Valvojan koneen ja koetilan palvelimen välisessä viestinnässä on käytetty kovakoodattua istuntotunnistetta. Tunniste ei sellaisenaan avaa pääsyä koetilan palvelimelle, koska valvojan koneet auktorisoidaan palvelimen arpomalla salasanalla.

Haavoittuvuusluokitus: CVSS-pisteet 5,0 (keskitaso)

3. Kokelas pystyi tallentamaan kuuntelukerroiltaan rajoitetun äänitteen

Haavoittuvuudessa vilpillinen kokelas hyödyntää Abitissa käytettyä PulseAudio-ääniohjelmiston monitor-äänilähtöä. Hyödyntämällä Abitissa olevia ohjelmistoja kokelas tallentaa monitor-lähdöstä tulevan signaalin tiedostoon. Tämän jälkeen äänite on kokelaan vapaasti kuunneltavissa.

Haavoittuvuusluokitus: CVSS-pisteet 3,3 (matala)

Kiitämme Testausserverin tiimiä: Ruben Mkrtumyan, Mikael Hannolainen, Santtu Sievänen, Veeti Ojanperä ja Taavi Väänänen

Käyttökatko venyy

28.12.202228.12.2022Matti LattuLeave a comment

Abitin huoltokatko venyy suunniteltua pidemmälle. Tehtävänlaadintaan ja kokeiden arvosteluun käytettävä verkkopalvelu oma.abitti.fi on poissa käytöstä mahdollisesti vielä huomenna, 29.12.2022.

Pahoittelemme pitkäksi venähtänyttä katkoa!

Käyttökatko Abitissa 28.12.2022

20.12.202220.12.2022Matti LattuLeave a comment

Abitissa tehdään huoltotöitä keskiviikkona 28.12.2022. Tehtävänlaadintaan ja kokeiden arvosteluun käytettävä verkkopalvelu oma.abitti.fi on poissa käytöstä mahdollisesti koko työpäivän ajan.

Ennen katkon alkua ladatut kokeet voi järjestää, mutta koesuoritukset voi palauttaa arvosteluun vasta katkon päätyttyä.

Seuraava Abitti-versio julkaistaan tammikuun alussa. Tämä versio vastaa kevään 2023 ylioppilaskokeissa käytettävää Abittia.

Abitti-tuki toivottaa kaikille hyvää joulua ja onnellista uutta vuotta!

Lokakuussa julkaistu Abitti-versio korjasi vakavia tietoturva-aukkoja

30.11.202230.11.2022Matti LattuLeave a comment

Lokakuun lopussa julkaistu Abitti-versio korjasi vakavia tietoturva-aukkoja.

Vakavin tietoturva-aukoista oli koetilan palvelimella. Haavoittuvuus mahdollisti koetilan palvelimella olevien tietojen (esim. kokelaan henkilötiedot, koesuoritukset ja kokelaiden tallentamien tiedostojen varmuuskopiot) muokkaamisen ja lataamisen.

Toinen korjattu haavoittuvuus oli nippu keskenään samankaltaisia tapoja, jotka mahdollistivat pääkäyttäjän oikeuksien saamisen kokelaan omaan tietokoneeseen. Lisäksi kokelaan koneen käyttöoikeussopimuksen versionumero oli virheellinen.

Tietoturva-aukot ovat olleet kaikissa tähän mennessä järjestetyissä ylioppilaskokeissa. Ylioppilastutkintolautakunnalla ei ole tietoa, onko haavoittuvuuksia käytetty hyväksi ylioppilastutkinnossa.

Ylioppilastutkintolautakunta suosittelee Abitti-järjestelmällä harjoituskokeita järjestäviä päivittämään välittömästi turvallisiin versioihin:

Korjatut kokelaan koneen versiot: 2243K, 2244B, 22451
Korjatut palvelinversiot: 22436, 2244T, 2245K

Haavoittuvuudet löytyivät hakkeritapahtumassa

Tietoturva-aukot löydettiin LähiTapiolan valkohattuhakkereille 15.10.2022 järjestämässä HackDay-kilpailussa. Ylioppilastutkintolautakunta on käsitellyt löydökset normaalin politiikkansa mukaisesti siten, että ne julkistetaan kolmen kuukauden kuluessa ilmoituksesta. Hakkerointitapahtuman luottamuksellisesta luonteesta johtuen Ylioppilastutkintolautakunnalla ei ole tiedossaan haavoittuvuuksia löytäneiden tiimien ja tiimin jäsenten nimiä.

Ylioppilastutkintolautakunta kiittää LähiTapiolaa ja kaikkia haavoittuvuuksista raportoineita.

HackDay-tapahtumassa tehtiin muitakin Abittia koskevia tietoturvahavaintoja, joista raportoidaan myöhemmin.

Alla tiiviit kuvaukset nyt korjatuista haavoittuvuuksista.

1. Mielivaltaisten tiedostojen lataaminen ja muokkaaminen

Vakavin haavoittuvuus mahdollistaa koetilan palvelimella olevien tiedostojen lisäämisen, muuttamisen sekä lataamisen. Hyökkäys on tehtävä paikalliseen koeverkkoon liitetyltä tietokoneelta, esimerkiksi kokelaan omalta tietokoneelta. Hyväksikäyttö edellyttää kirjautumista koetilan palvelimelle.

Hyökkäys perustuu kokelaan kokeen aikana luomien tiedostojen varmuuskopioinnissa käytetyn rajapinnan syötteiden puutteelliseen sanitointiin.

Haavoittuvuusluokitus: CVSS: 8.8 (korkea)

2. Mielivaltaisten komentojen suorittaminen pääkäyttäjän oikeuksin

Haavoittuvuus mahdollista mielivaltaisten komentojen suorittamisen kokelaan omalla tietokoneella pääkäyttäjän oikeuksin. Hyökkäys perustuu Abitti-koejärjestelmän mekanismiin, jolla koetiedostojen yhteydessä voidaan päivittää kokelaan koneella olevia tiedostoja. Päivitysmekanismi purkaa tiedostot kokelaan koneen väliaikaishakemistoon ennen asentamista. Oikein ajoitettu hyökkäys korvaa tiedostot hyökkääjän tiedostoilla, jotka asennetaan koeympäristöön pääkäyttäjän oikeuksin.

Hyökkäys on mahdollista vain sellaisissa kokeissa, jotka sisältävät kokelaan konetta päivittävän paketin. Havainnon vakavuutta ylioppilaskokeissa vähentää kokelaan koneen tekninen valvonta.

Haavoittuvuusluokitus: CVSS-pisteet: 2.0 (matala)

3. Väärä käyttöehtosopimuksen versio

Kokeeseen osallistujan kirjautumisen yhteydessä on näytetty väärä käyttöoikeussopimuksen versionumero 1.3, kun oikea versionumero olisi ollut 1.4.

Varsinainen luettavissa oleva käyttöoikeussopimuksen versionumero on ollut oikein (1.4) ja varsinainen sopimusteksti on vastannut Abitti.fi-verkkosivuilla olevaa versiota (1.4).

Haavoittuvuusluokitus: GDPR-loukkaus

Korjaus AMD-näytönohjaimen ajuriin

15.11.202215.11.2022Matti LattuLeave a comment

Lokakuun lopussa julkaistu Abitti on käynnistynyt huonosti laitteissa, joissa on AMD-piirivalmistajan näytönohjain. Tänään julkaistu Abitti-versio ABITTI22451 sisältää juuri tähän näytönohjaimeen liittyvän korjauksen. Vastaavan korjauksen sisältävä palvelinversio on SERVER2245K.

Nyt julkaistut korjausversiot toimivat loka- ja marraskuussa julkaistujen Abitti-versioiden kanssa. Näitä tikkuja ei tarvitse päivittää, jos kaikki toimii. Koeverkossa voi olla esim. useita eri kokelastikkujen versioita: 22451, 2244B ja 2243K.

Vanhoissa Abitti-versioissa tietoturva-aukko

Muistutamme, että lokakuun lopussa julkaistu versio korjasi merkittävän tietoturva-aukon. Kannustamme edelleen kaikkia Abitin käyttäjiä siirtymään uusiin versioihin mahdollisimman nopeasti.

Ylioppilastutkintolautakunta on sitoutunut julkaisemaan sen tietoon ilmoitetut tietoturva-aukot kolmen kuukauden kuluessa. Korjatun Abitti-version käyttöönottoa haitanneiden ongelmien vuoksi olemme lykänneet tietoturva-aukkojen julkaisua. Korjatut aukot julkaistaan 28.11.2022.

Abitin päivitys korjaa käynnistysongelmia

4.11.20224.11.2022Matti LattuLeave a comment

Alkuviikosta julkaistu Abitti on käynnistynyt huonosti joillakin laitteilla. Alkuaineiden nimistä koostuvan käynnistysvalikon jälkeen kone ilmoittaa virheestä “cannot allocate kernel buffer” ja käynnistysprosessi keskeytyy. Virheilmoitus on voinut tulla sekä kokelaan koneella että tikkupalvelimella.

Nyt julkaistuissa kokelas- ja palvelinversioissa Linuxin ytimen (kernelin) lataava grub on palautettu vanhaan versioon. Tämä on korjannut kaikissa tiedossamme olevissa tapauksissa em. käynnistysongelman.

Abitin käyttäjät voivat aina päättää omasta päivitysaikataulustaan. Tällä kertaa aikataulussa kannattaa huomioida seuraavat asiat:

Ennen tätä viikkoa julkaistavissa Abitti-versioissa on vakavia tietoturva-aukkoja, jotka julkaistaan 14.11.2022.
Nyt julkaistavat versiot ovat yhteensopivia alkuviikosta julkaistujen versioiden (ABITTI2243K ja SERVER22436) kanssa.
Em. alkuviikosta julkaistuja versioita ei ole syytä päivittää uuteen, jos lukion käytössä olevissa koneissa ei ole havaittu “cannot allocate kernel buffer” -virhettä.

Lue lisää:

Muutosloki

Uusi Abitti-versio parantaa laitetukea ja korjaa tietoturvahaavoittuvuuksia

31.10.202231.10.2022Matti LattuLeave a comment

Tänään julkaistava Abitti-versio on teknisesti merkittävä, mutta käyttäjien kannalta varsin vähäeleinen päivitys. Abitin taustalla toimiva Debian GNU/Linux-käyttöjärjestelmä on päivitetty versioon 11 (koodinimi Bullseye). Tämän seurauksena LibreOffice päivittyy versioon 7, ja laitetuki esimerkiksi langattomille piirikorteille paranee.

Uudessa Abitti-versiossa on myös korjauksia merkittäviin tietoturva-aukkoihin. Siksi suosittelemme, että kaikki lukiot ottavat sen käyttöön välittömästi.

Nyt julkaistava Abitti ei ole yhteensopiva vanhojen versioiden kanssa.

Uusi versio korjaa vakavia tietoturva-aukkoja

Tietoturva-aukot löytyivät LähiTapiolan järjestämässä Hack Day -tapahtumassa. Tapahtumassa kymmenet tietoturvan harrastajat ja ammattilaiset etsivät tietoturvahaavoittuvuuksia yhden työpäivän ajan. Päivän aikana kilpailijat löysivät Abitista tietoturvaan ja -suojaan liittyviä ongelmia.

Nyt julkaistava Abitti-versio korjaa tärkeimmät tapahtumassa löydetyt tietoturva-aukot. Merkitykseltään pienempiä aukkoja korjataan vielä joulu-tammikuussa julkaistavassa versiossa, jotta ne ehtivät kevään 2023 ylioppilaskokeeseen.

Alan yleisen käytännön mukaisesti Ylioppilastutkintolautakunta on sitoutunut julkaisemaan sille ilmoitetut tietoturva-aukot kolmen kuukauden kuluessa. Korjatut tietoturva-aukot julkaistaan 14.11.2022, jonka jälkeen hyökkäystavat ovat kaikkien tiedossa.

Näkyvin muutos on LibreOfficen versio 7

Uuden Abitti-version näkyvin muutos on LibreOfficen päivittyminen version 7. Ulkoisesti uusi versio on pitkälti edellisen kaltainen, mutta oman työn kannalta tärkeät toiminnot kannattaa tarkistaa. Tässä joitakin muutoksia:

muutamiin taulukkolaskentafunktioihin on tehty muutoksia (katso muutokset LibreOfficen tiedotteesta)
tekstinkäsittelyssä, piirto- ja esitysgrafiikkakomponenteissa on mahdollisuus käsitellä läpinäkyviä elementtejä

Muuten ohjelmavalikoimaan on tullut vain pieniä muutoksia. TI-Nspireen ja Casio ClassPad Manageriin on tullut ylläpitopäivitykset. LoggerPron suomen kielen käyttöliittymään on tehty korjauksia.

Abitti varoittaa muistin loppumisesta

Uudessa Abitissa on työkalu, joka seuraa kokelaan koneen muistin käyttöä ja varoittaa, jos muisti alkaa loppua. Tästä on hyötyä erityisesti matemaattis–luonnontieteellisten aineiden kokeissa, joissa kokelailla on samanaikaisesti käytössään lukuisia ohjelmia.

Varoitus kehottaa koneen käyttäjää sulkemaan tarpeettomia sovelluksia. Muistin täyttyminen aiheuttaa yleensä koneen pysähtymisen (”jäätymisen”), joten tämä ominaisuus on tervetullut erityisesti pienimmällä mahdollisella 4 gigatavun keskusmuistilla kokeita suorittaville.

Ylioppilastutkintolautakunta suosittelee kokelaan koneisiin vähintään 8 gigatavun keskusmuistia. 8 gigatavun keskusmuistista tulee pakollinen vaatimus 1.8.2025 alkaen.

MEB/JSON-kokeiden järjestämismahdollisuus poistuu

Uudessa Abitti-versiossa ei ole enää tukea vanhalla MEB/JSON-formaatilla tehdyille kokeille. Näiden kokeiden lataaminen Abitin verkkopalvelusta päättyi jo 10.10.2022.

Taustalla Debian Bullseye ja kernel 5.19

Konehuoneen puolella päivityksen suurin muutos on siirtyminen Debian GNU/Linuxin versioon 11 (Bullseye). Testivaiheen aikana saamiemme raporttien perusteella Intelin 12. sukupolven prosessoreihin perustuvat kannettavat käynnistyvät. Nämä eivät toimineet lainkaan vanhalla versiolla.

Tikulle on tuotu Linuxin kernel-versio 5.19, joka on korvannut aiemman 5.16-version. Kernelin lisäksi muutaman wifi-kortin firmwareja on päivitetty.

Tätä teknisesti merkittävää päivitystä ovat testanneet lukioiden it-asiantuntijat ja laitemyyjät. Aiemmasta poiketen olemme julkaisseet testikäyttöön tehtyjä levynkuvia hyvissä ajoin, 1.9.2022 alkaen. Kiitokset tähän testailuun osallistuneille! Jatkamme tätä hyödylliseksi osoittautunutta käytäntöä tulevien julkaisujen yhteydessä.

Lue lisää:

MEB-kokeiden lataus päättyy 10.10.

10.10.202210.10.2022Matti LattuLeave a comment

Vanhalla koe-editorilla laadittujen MEB-kokeiden latausmahdollisuus päättyy tänään 10.10.2022.

Vanha koeformaatti on ollut käytössä vuodesta 2015, mutta viimeiset ylioppilaskokeet sillä tehtiin syksyllä 2019.

Uuden MEX-koeformaatin editori Bertta on ollut käytössä Abitissa alkuvuodesta 2022 alkaen. Syyslukukaudella valtaosa Abitti-kokeista on tehty MEX-formaatilla.

Abitti-kokeissa käytetyt koeformaatit vuonna 2022. Keltainen = MEB-formaatin kokeita, sininen = automaattisesti MEB-formaatista MEX-formaatiksi muunnettuja kokeita, punainen = MEX-formaatin kokeita.

Lisätietoja:

Abitin syksy: Vanha koeformaatti poistuu ja tikut päivittyvät (1.9.2022)
Bertta on saavuttanut suuren suosion (28.3.2022)