Author: Matti Lattu

Abitin syksy: Vanha koeformaatti poistuu ja tikut päivittyvät

Leave a comment

Tänä syksynä Abittiin tehdään sen tähänastisen historian suurin muutos. Vuonna 2015 julkaistussa Abitissa lanseerattu MEB-koeformaatti, toiselta nimeltään JSON-formaatti, poistetaan palvelintikuilta. Tämän seurauksena vanhalla MEB-formaatilla tehtyjä kokeita ei voi enää järjestää.

YTL poistaa MEB-formaatin tuen Abitista, koska sitä ei ole enää vuosiin käytetty ylioppilaskokeissa. Bertta-editorin valmistumisen jälkeen uuden formaatin MEX-kokeita voi laatia helposti Abitissa.

MEB-formaatti poistuu käytöstä seuraavasti:

  • 10.10.2022: MEB-muotoisten kokeiden lataaminen oma.abitti-verkkopalvelusta koetilan palvelimelle päättyy.
  • Loka-marraskuu: Uusi Abitti-versio julkaistaan. MEB-kokeet eivät toimi tässä Abitti-versiossa.
  • 30.11.2022: MEB-kokeiden arvostelu päättyy.
  • Aikaisintaan 28.2.2023: MEB-kokeiden suorituskopiot poistetaan.
  • Aikaisintaan 1.6.2023: MEB-kokeiden editori poistetaan.

Alla kerrotaan yksityiskohtaisemmin muutoksen etenemisestä.

10.10.2022: MEB-kokeiden lataaminen oma.abitti-verkkopalvelusta koetilan palvelimelle päättyy

MEB-kokeita ei voi enää ladata koetilan palvelimelle oma.abitin ”Lataa koetehtävät” -napista.

MEB-kokeet säilyvät koelistauksessa, ja niistä voi kopioida yksittäisiä tehtäviä uusiin Bertalla tehtäviin MEX-kokeisiin. Koska MEB-kokeiden kuvauskieli on ollut hyvin salliva, ei kaikkien tehtävien kopiointi välttämättä onnistu täydellisesti. Joissain tehtävissä on niin kimurantteja HTML-koodeja, ettei niitä pystytä kopioimaan lainkaan. Tällöin ainoa vaihtoehto on kopiointi “käsin” leikepöydän kautta.

Examina-verkkopalvelussa olevat vanhat MEB-muotoiset ylioppilaskokeet säilyvät ja niitä voi tuoda Abittiin. Omia MEB-muotoisia kokeita voi siirtää (koelistauksen nappi “Siirrä koe (.zip)”) ja tuoda (“Tuo koe (.zip)”).

Toisin sanoen vanhoja MEB-muotoisia ylioppilaskokeita tai esimerkiksi kustantajien tekemiä MEB-muotoisia kokeita voi edelleen tuoda Abittiin ja kopioida niistä tehtäviä Bertta-editoriin.

Loka-marraskuu 2022: Uusi Abitti-versio julkaistaan

Syksyn ylioppilaskokeiden jälkeen julkaistavaan Abitti-versioon ei voi enää ladata MEB-kokeita. Versio on ns. suuri päivitys, koska Abitin taustalla oleva Debian GNU/Linux päivittyy uuteen versioon.

Sovellusvalikoima ja valtaosa sovellusten versioistakin pysyy samana. Suurin muutos tapahtuu LibreOfficessa, joka päivittyy versiosta 6 versioon 7. Laskinohjelmiin ei ole tiedossa käyttöön vaikuttavia muutoksia.

Uuteen versioon päivitetään laiteyhteensopivuuksiin vaikuttavia Linuxin kerneleitä. Tämä toivottavasti auttaa uudempien laitemallien toimintaa Abitissa.

Julkaistavaa Abittia tullaan käyttämään kevään 2023 ylioppilaskokeissa.

30.11.2022: MEB-kokeiden arvostelu päättyy

Tähän saakka MEB-kokeita on voinut vielä järjestää käyttämällä elokuun Abitti-tikkuja ja ennen 10. lokakuuta ladattuja MEB-koepaketteja. Marraskuun lopussa MEB-kokeiden koesuorituksia ei voi enää palauttaa oma.abittiin arvostelua varten eikä MEB-kokeita voi enää arvostella.

Aikaisintaan 28.2.2023: MEB-kokeiden suorituskopiot poistetaan

Opiskelijat eivät voi enää avata sähköpostitse saamiaan MEB-kokeiden arvostelulinkkejä.

Aikaisintaan 1.6.2023: MEB-kokeiden editori poistetaan

Tähän saakka vanhoja MEB-kokeita on voinut muokata sen omalla editorilla, mutta nyt MEB-kokeiden luonti ja editointi loppuvat.

Vielä ei ole päätetty, missä vaiheessa poistetaan mahdollisuus tuoda Abittiin uusia MEB-kokeita “Tuo koe (.zip)” -napin avulla tai sitä, milloin Abitista poistetaan kaikki MEB-muotoiset kokeet.

Lue lisää:

MEB-koeformaatin poisto on Abitin historian suurin muutos

Leave a comment

MEB-koeformaatin käyttö päättyy vaiheittain syksyllä 2022 ja keväällä 2023. Tällä formaatilla on tehty kymmeniä tuhansia kokeita, joihin on annettu miljoonia koesuorituksia.

MEB poistetaan, koska aika ajoi sen ohitse

Ennen ensimmäisiä ylioppilaskokeita kukaan ei oikein tarkkaan tiennyt millaisia koetehtäviä digitaaliseen ylioppilaskokeeseen olisi tulossa. Tehtävänlaatijoilla oli monenlaisia toiveita, mutta koeympäristön toteutusaikataulu oli tiukka.

Sen verran tiedettiin, ettemme voineet käyttää maailmalla olevia valmiita koeformaatteja. Ne kuvasivat lyhyitä pääasiassa monivalintoihin tai lyhyisiin avovastauksiin perustuvia kokeita, kun taas ylioppilaskokeeseen haluttiin esseevastauksia ja oheismateriaaleja.

Tässä vaiheessa tuntui järkevältä valita kokeiden kuvausformaatiksi hyvin joustava vaihtoehto. MEB-formaattiin saattoi upottaa mitä tahansa selaimen ymmärtämää koodia, kuten tekstin rakennetta kuvaavaa HTML:ää, ulkoasun määrittävää CSS:ää ja jopa JavaScript-ohjelmakoodia.

MEBin ongelmat alkoivat näkyä vähitellen sekä ylioppilaskokeissa että Abitissa. Sallivassa formaatissa kokeen koodaajan oli mahdoton saada helposti selville, onko laadittu koe toimiva. Ainoa tapa tutkia toimivuutta oli katsoa lopputulosta kokelaan koneella. Ylioppilaskokeissa tämä oli kallista ja Abitti-kokeissa se aiheutti monenlaisia pettymyksiä.

Bertta toi MEX-kokeet harjoitteluun

Ensimmäiset MEX-formaatin ylioppilaskokeet järjestettiin keväällä 2020. MEX-formaattia oli edeltäjäänsä helpompi kirjoittaa, koodin kielioppivirheet näki heti ja se tuotti esteettömän koesivun. MEX:llä voi myös kuvata kokeen rakenteen, kuten esimerkiksi alitehtävät ja osioiden sisäiset valinnaisuudet. Jälkimmäinen ominaisuus mahdollisti kokelaalle annettavan ilmoituksen, joka on vähentänyt liian moneen tehtävään annettujen vastausten määrää ylioppilaskokeissa.

Vähitellen kävi ilmeiseksi, että MEX:llä tehdyt ylioppilaskokeet ja MEB:llä tehdyt harjoituskokeet olivat ongelmallinen yhdistelmä. Opiskelijat harjoittelivat sellaisia Abitti-kokeita, joita ylioppilaskokeissa ei enää käytetty.

Loppuvuodesta 2021 julkaistu Bertta mahdollisti MEX-kokeiden käyttämisen myös Abitin harjoituskokeissa. Bertalla kokeita voi laatia hiirtä klikkailemalla tai XML-koodia kirjoittamalla. Nyt kaikki Abitin ominaisuudet olivat harjoituskokeita laativien käytettävissä.

Koodin poisto säästää rahaa

MEB-formaatista luopuminen aiheuttaa varmasti monelle Abittiin kokeita laativalle opettajalle harmaita hiuksia. Uuden tehtäväeditorin opettelu ei varmastikaan ole kaikille Abitin käyttäjille opetustyön palkitsevinta sisältöä. Pidemmän päälle Bertan käyttöön siirtyminen on edullista meille kaikille: harjoituskokeet toimivat todennäköisesti itse koetilanteessa, koetehtävät muistuttavat aiempaa enemmän ylioppilaskokeita, kokeet ovat esteettömiä ja ennen kaikkea ylioppilaskokeissa käytettävän MEX-formaatin mahdolliset ongelmat löytyvät ennen kokelaille tärkeitä ylioppilaskokeita.

Vaikka MEB-formaatti on aikanaan koodattu, se tuottaa edelleen kustannuksia. Nykyaikaisessa ohjelmistokehityksessä käytetään paljon valmiita koodikirjastoja, joita päivitetään jatkuvasti. Päivityksiä on seurattava ja asennettava, koska ne voivat korjata kirjaston ohjelmistovirheitä tai tietoturvahaavoittuvuuksia. Päivityksistä voi toki seurata uusia yllätyksiä, joita on puolestaan korjattava. Koska MEB-kokeita ei enää käytetä ylioppilaskokeissa, ei Ylioppilastutkintolautakunta voi rahoittaa sen ylläpitoa.

Me Ylioppilastutkintolautakunnassa olemme yrittäneet tehdä Bertasta mahdollisimman helppokäyttöisen ja lisätä siihen vuosien varrella toivottuja ominaisuuksia. Siten toivomme, että Bertan opetteluun kuluvasta ajasta on lopulta myös hyötyä lisääntyvänä joustavuutena. Otamme edelleen Berttaan liittyvää palautetta vastaan!

Lue lisää:

Uudessa Abitti-versiossa syksyn yo-kokeen ohjeistus

Leave a comment

Tänään julkaistavassa Abitti-versioissa ABITTI2226G ja SERVER2226A on syksyn ylioppilaskokeissa käytössä oleva ohjeistus, jossa on aiempaa kattavammat koeympäristön käyttöohjeet. Ohjeistus on tuttuun tapaan luettavissa myös osoitteessa https://cheat.abitti.fi. 

Uudessa Abitissa on myös syksyn ylioppilaskokeissa käytettävät Linuxin kernel-versiot, joten tikulla voi varmistaa kokeen toiminnan syksyn kokeissa. Samoin syksyn kokeissa käytettyjen palvelinten kuormitustestit voi suorittaa tällä versiolla. 

Nyt julkaistavat versiot toimivat ristiin toukokuun alussa julkaistujen versioiden (ABITTI2216Z ja SERVER22216L) kanssa. Vanhempien versioiden kanssa saattaa tulla ongelmia, jotka on kuvattu em. versioiden julkaisutiedotteessa. 

Kaikki päivityksen muutokset löytyvät muutoslokista. 

Seuraava Abitti-versio julkaistaan loka-marraskuussa. Tavoitteena on, että tämä versio perustuisi uusimpaan Debian Linuxin versioon 11, “Bullseye”. 

oma.abitti.fi hidastelee – ongelma on korjattu

Leave a comment

Abitin verkkopalvelussa oma.abitti.fi:ssä on hitautta. Asiaa selvitellään parhaillaan ja väliaikatietoja päivitetään tälle sivulle.

Maanantai 30.5.

  • klo 11.10 Abitin verkkopalvelun taustalla oleva tietokanta on hidas. Selvitellään mistä kutsuista tulee kuormaa kannalle.
  • klo 11.45 Tietokannalle ajetaan huoltotoimenpide, jolla yritetään korjata kannan suorituskykyä.
  • klo 13.30 Huoltotoimenpide jatkuu edelleen.
  • klo 14.28 Huoltotoimenpide on valmis, mutta palvelussa on edelleen hitautta.
  • klo 16.20 Lue lisää tiedotteesta (ylioppilastutkinto.fi)
  • klo 16.30 Palvelu on kokonaan suljettu, ongelman selvittelyä jatketaan.
  • klo 18.00 Ongelman selvittelyä jatketaan edelleen.
  • klo 18.10 Abitin verkkopalvelu on nyt avattu, mutta siinä ilmenee edelleen hitautta. Olemme keskeyttäneet vian selvityksen tältä päivältä ja jatkamme aamuvarhaisella.

Tiistai 31.5.

  • klo 8.30 Palvelu on toiminut hyvin yön ajan. Ongelman juurisyyn etsimistä jatketaan.
  • klo 11.30 Abitin eilisten ongelmien syyksi paljastui järjestelmän taustalla toimivan tietokantapalvelimen liian hidas levy. Levyn nopeutta kasvatettiin, ja sen jälkeen palvelu on toiminut normaalisti.

Seuranta on päättynyt. Pahoittelemme kaikille Abitin käyttäjille palvelukatkosta johtunutta haittaa.

 

Abitista on korjattu kolme tietoturva-aukkoa

Leave a comment

Abitista on korjattu kolme tietoturva-aukkoa. Kriittisin haavoittuvuuksista on mahdollistanut hyökkäyksen oma.abitti -verkkopalvelun käyttäjää (esim. opettajaa) vastaan. Kaksi muuta haavoittuvuutta liittyivät koetilanteeseen. Kaikki ilmoitukset perustuvat Ylioppilastutkintolautakunnan ulkopuoliselta henkilöltä saatuun ilmoitukseen.

Kokeen liitetiedostot oma.abitti.fi-verkkopalvelussa

Oma.abitissa kokeen arvostelija voi palauttaa arvioidut ja arvostellut koetehtävät kokeen suorittajille. Palautus tapahtuu siten, että kokeen suorituksen yhteydessä suorittajalle lähetetään sähköpostilinkki, jota klikkaamalla suorittaja voi katsella koesuoritustaan, koetehtäviään ja –aineistoja.

Aukkoa olisi voinut hyödyntää useilla eri tavoilla. Hyökkääjä olisi voinut laatia kokeeseen liitetiedoston, joka muistuttaisi Abitin kirjautumissivua. Tämän jälkeen hyökkääjä olisi voinut tekeytyä Abittia käyttävän opettajan opiskelijaksi ja houkutella opiskelijan avaamaan linkin. Tällöin opettaja olisi kokenut luonnollisena, että hänen on kirjauduttava Abittiin hyökkääjän petollisen kirjautumissivun kautta. Näin opettajan Abitti-käyttäjätunnus ja salasana olisi päätynyt hyökkääjälle.

Hyökkääjä olisi myös voinut upottaa koetehtäviin JavaScript-ohjelmakoodia, joka olisi lähettänyt mahdolliset autentikointievästeet tai kaikkien vahingollista koetta katselevan Abitti-käyttäjän arvosteluaineistot hyökkääjälle.

Tämä tietoturva-aukko on korjattu estämällä kaikkien vanhalla koe-editorilla tehtyjen koetehtävien ja liitetiedostojen katselu. Lisäksi jo aiemmin on ilmoitettu, että mahdollisuus vanhalla koe-editorilla tehtyjen kokeiden järjestämiseen päättyy syksyn 2022 ylioppilaskokeiden jälkeen.

Tämä haavoittuvuus koskee vain vanhalla koe-editorilla tehtäviä kokeita ja se on ollut käytettävissä Abitin julkaisusta alkaen. Bertta-editorilla tehtyissä MEX-kokeissa tällaista hyökkäysmahdollisuutta ei ole.

Tätä haavoittuvuutta ei ole voinut hyväksikäyttää ylioppilaskokeissa.

Kiellettyjen HTML5-ohjelmien käyttö matematiikan kokeen A-osassa

Abitissa on mahdollista laatia koe, jonka ensimmäisessä osassa symbolisen laskinohjelmien käyttö ei ole mahdollista. Tätä ominaisuutta käytetään matematiikan ylioppilaskokeen A-osassa.

A-osassa kiellettyjen ohjelmien käyttö on estetty poistamalla kokelaiden lukuoikeudet keskeisiin tiedostoihin. Ikävä kyllä HTML5-tekniikkaa käyttävien ohjelmien (GeoGebra 6 ja 4f-vihko) varsinainen ohjelmakoodi oli kokelaiden saatavilla ja suoritettavissa koeympäristön FireFox-selainta käyttäen.

Tämä tietoturva-aukko on korjattu versiosta ABITTI2216Z alkaen siten, että kokelaalta on poistettu lukuoikeudet aiempaa laajempaan joukkoon ohjelmakoodia.

Tämä haavoittuvuus on ollut Abitissa sen julkaisusta alkaen. Haavoittuvuus on ollut myös kaikissa Abitilla tehdyissä ylioppilaskokeissa.

Abitin kokelaan koeympäristöön vaikuttaminen kernelin init-parametria muuttamalla

Abitti perustuu Debian GNU/Linux -käyttöjärjestelmään. Ennen koetta kokelaan kone käynnistetään Linux-käyttöjärjestelmään, joka ladataan USB-muistilta tai koneen sisäiseltä massamuistilta. Linuxin käynnistämisen yhteydessä käyttöjärjestelmän ytimelle, kernelille, annetaan parametreja. Näitä parametrien muuttaminen mahdollistaa mm. kokelaan koeaikaisten käyttöoikeuksien korottamisen.

Tämä hyökkäystapa on ollut kehittäjien tiedossa ja sitä hallitaan koejärjestelmän teknisellä valvonnalla. Valvontaohjelmaa ajetaan kokelaan koneella kokeen aikana ja sen tulokset toimitetaan koesuoritusten siirron yhteydessä Ylioppilastutkintolautakunnalle. Abitti-harjoituskokeissa valvonta on hyvin suppeaa ja sen tarkoitus on varmistaa, että valvontamekanismi toimii. Kerättyjen tietojen perusteella julkaistaan tietoja Abitin kanssa käytetyistä tietokoneista (hwdata.abitti.fi).

Ilmoittaja huomautti, että teknistä valvontaa voidaan huijata eri tavoin, mm. manipuloimalla käyttöjärjestelmän ohjelmia (esim. cat, iptables), joihin valvonta perustuu.

Tämä tietoturva-aukko on korjattu versiosta ABITTI2216Z alkaen. Valvonnan luonteen vuoksi Ylioppilastutkintolautakunta ei avaa korjausta tämän tarkemmin. Samalla muistutamme harjoituskokeita järjestäviä lukioita, että harjoituskokeiden ylioppilaskokeita suppeampien teknisen valvonnan tietoja ei seurata Ylioppilastutkintolautakunnassa.

Tämä haavoittuvuus on ollut Abitissa sen julkaisusta alkaen. Hyväksikäyttö on edelleen mahdollista harjoituskokeissa. Haavoittuvuuden hyväksikäyttöä on seurattu kaikissa Abitilla tehdyissä ylioppilaskokeissa.

Kiitokset

Kiitämme Daniel Smalinia, joka toi nämä tietoturva-aukot tietoomme. Danielilta saamamme tiedot haavoittuvuuksista olivat yksityiskohtaisia ja helpottivat sekä Abitti-kehitystiimiä että tietoturvakumppaniamme ongelmien paikantamisessa ja parhaan korjauksen löytämisestä.

Ylioppilastutkintolautakunta on sitoutunut julkistamaan kaikki tietoon tulleet tietoturvapoikkeamat kolmen kuukauden kuluessa. Olemme tottuneet vastaanottamaan sekä yksinkertaisia sähköposteja että ammattimaisia hyökkäyskoodin sisältäviä ilmoituksia.

Haluamme tässä samassa yhteydessä kiittää sekä entisiä että tulevia tietoturva-aukkojen etsijöitä!

Lue lisää

Otteita tietoturvakumppanin lausunnosta

Leave a comment

Olemme arvioineet Ylioppilastutkintolautakunnan pyynnöstä YTL:lle toimitettujen haavoittuvuuskuvausten havaintojen vaikuttavuutta sekä suositelleet korjausehdotuksia haavoittuvuuksien paikkaamiseen

Toimeksiannon aloituspalaverissa meille toimitettiin YTL:än saamat kuvaukset haavoittuvuuksista sekä haavoittuvuuksiin liittyvistä hyväksikäyttömenetelmistä. Haavoittuvuuskuvauksia hyödynnettiin arviointia tehdessä, mutta arvioinnin yhteydessä havaittiin myös laajempia haavoittuvuuksien hyväksikäyttömahdollisuuksia. Havaittuja hyväksikäyttömenetelmiä ovat esimerkiksi liitetiedostojen hyödyntäminen tietojen kalasteluun, jossa käytetään hyväksi oma.abitti.fi -domainin luotettavaa asemaa.

Haavoittuvuusanalyysia suoritettaessa YTL oli jo korjannut laskinten luvatonta käyttöä koskevan haavoittuvuuden, joten tämä arviointi keskittyi XSS- ja CSRF-haavoittuvuuteen sekä INIT-parametriin liittyvään haavoittuvuuteen.

XSS & CSRF -haavoittuvuus (Kokeen liitetiedostot oma.abitti.fi-verkkopalvelussa)

Cross-site scripting (XSS) on hyökkäysmenetelmä, jossa tyypillisesti hyökkääjän JavaScript-pohjaista haittakoodia suoritetaan uhrin selaimessa. JavaScriptillä on mahdollista suorittaa verkkosovelluksille tyypillisiä toiminnallisuuksia. XSS-haavoittuvuuksissa voidaan myös näyttää uhrille mielivaltaista sisältöä, jonka tarkoituksena voi olla esimerkiksi erehdyttää käyttäjää syöttämään käyttäjätunnuksia tai asentamaan haittaohjelmia päätelaitteelleen. Cross-site request forgery (CSRF) -haavoittuvuudessa lähetetään uhrin tietämättä HTTP-kutsuja kohdepalvelimille esiintyen uhrina.

Yhdistämällä XSS- ja CSRF-haavoittuvuudet hyökkääjän on mahdollista suorittaa mielivaltaisia kutsuja kohdejärjestelmälle, hyödyntäen esimerkiksi kirjautuneen käyttäjän istuntoevästeitä. Tässä tapauksessa sisäänkirjautunut käyttäjä suorittaa tietämättään HTTP-kutsuja palvelimelle. Tyypillisesti kutsujen vastauksia, sekä muuta tietoa verkkosivulta, on myös mahdollista lähettää eteenpäin hyökkääjän komentopalvelimelle.

oma.abitti.fi: XSS & CSRF

Haavoittuvuus koskee oma.abitti.fi kokeeseen lisättävien html-liitteiden käsittelyä. Oma.abitti.fi Kokeeseen on mahdollista lisätä haitallista koodia sisältävä html-liitetiedosto. Liitetiedosto on kutsuttavissa suoralla osoitteella, liitetiedoston avaaminen ei vaadi kirjautumista Abitti-järjestelmään.

Liitetiedoston avulla hyökkääjä voi rakentaa hyökkäyksen ketjumaiseksi käyttäen ulkopuolista sivustoa. Kun käyttäjä vierailee sivustolla, ohjataan hänet oma.abitti.fi -liitetiedosto sivulle, joka pitää sisällään haitallista koodia. Haitallisen koodin suorituksen jälkeen käyttäjä ohjataan takaisin alkuperäiselle sivustolle. Käyttäjä ei ehdi havainnoida oma.abitti.fi -sivustolla käyntiä, koska toimenpide on hyvin nopea.

Haitallisella koodilla on mahdollisuus suorittaa toimenpiteitä oma.abitti.fi -sivuston API-rajapintaa vasten käyttäjän oikeustasojen mukaisesti.

Abitti -järjestelmän rajapintojen kautta on mahdollista saada tietoa kokeista, kokeiden sisältö, pisteytys, kokeen suorittajan tiedot (etunimi, sukunimi, sähköpostiosoite), koevastauksien pisteytys sekä itse kokeen pisteet.

Hyökkäyksen avulla voidaan muokata sellaisien koevastauksien pisteitä, jotka ovat opettajan arvioitavissa.

CVSS, eli common vulnerability scoring system, on työkalu haavoittuvuuksien kriittisyyden arvioimiseen. CVSS v3.0 -asteikko jakaa haavoittuvuudet viiteen eri kriittisyysluokkaan numeraalisen pisteytyksen avulla. Haavoittuvuuden hyväksikäytettävyyteen, kompleksisuuteen sekä hyväksikäytöstä aiheutuviin mahdollisiin seurauksiin peilaten haavoittuvuuden CVSS-pisteytys on 8.3 eli havainnon vakavuusaste on korkea.

oma.abitti.fi: Phishing ja Social Engineering

Phishingillä tarkoitetaan tyypillisesti tietojen kalastelua. Hyökkäysmenetelmän päämääränä on yleensä erehdyttämällä saada uhri luovuttamaan henkilötietoja, käyttäjätunnuksia tai muuta arkaluontoista tietoa. Social engineering on vakiintunut termi päämäärätietoiselle manipuloinnille, jonka tarkoituksena on saada uhri suorittamaan jotain tiettyjä toimenpiteitä, esimerkiksi erehdytetään käyttäjä asentamaan ”päivitys” joka todellisuudessa on hyökkääjälle uhrin päätelaitteelle takaoven avaava haittaohjelma.

Vihamielisen tahon on mahdollista luoda oma.abitti.fi:ssä liitetiedosto-toiminnallisuuden avulla aidolta vaikuttava tietojenkalastelusivusto oma.abitti.fi -osoitteen alaisuuteen. Tästä johtuen ”huijaussivun” osoite herättää luottamusta ja edesauttaa uhrin erehdyttämistä.

Kappaleen esimerkissä on luotu liitetiedostona aitoa oma.abitti.fi:n kirjautumissivua muistuttava sivu. Uhrin yrittäessä kirjautua sisään, hänen käyttäjätunnuksensa ja salasana lähetetään hyökkääjän hallinnoimalle palvelimelle.

Vaihtoehtoisesti vihamielisen tahon on mahdollista käyttää oma.abitti.fi:n liitetiedosto-ominaisuutta myös haittaohjelmien levittämiseen ja säilyttämiseen.

Kiellettyjen HTML5-ohjelmien käyttö matematiikan kokeen A-osassa

Abitti kokelaan levykuvassa ABITTI2216Z ei ole oikeuksia Geogebran ja 4FNotesin kansioihin. Abitin versiotiedoissa ei ollut mainintaa muutoksesta.

Abitin kokelaan koeympäristöön vaikuttaminen kernelin init-parametria muuttamalla

YTL:lle ilmoitettu haavoittuvuus koskee kokelaan Abitti-levykuvan suojatun GRUB-käynnistyslataajan ohittamista. GRUB-käynnistyslataajan ohittamisella mahdollistetaan muun muassa kokelaan käyttöoikeuksien korottaminen, Abitti-levykuvan muokkaaminen sekä ulkopuolisien ohjelmien asentaminen.

Abitti-levykuvan GRUB-käynnistyslataajan ohitus tapahtuu käyttämällä koneelle asennettua paikallista käynnistyslataajaa. Paikallisella käynnistyslataajalla ohitetaan Abitti kokelaan levykuvan oma suojattu käynnistyslataaja tai kokonaan muokattu Abitti-ohjelmisto.

GRUB-käynnistyslataajaan ohittamisesta löytyi julkisista lähteistä keskustelua ja ohjeistuksia, joten kyseessä on jo tiedossa ollut heikkous.

 

Kuvakaappaus ei toimi vanhalla editorilla tehdyissä kokeissa (korjattu)

Leave a comment

Uusimmassa Abitti-versiossa (ABITTI2216Z) olevan virheen vuoksi kuvakaappaukset eivät toimi niissä vanhalla editorilla tehdyissä kokeissa, joita ei ole pystytty konvertoimaan uudeksi MEX-formaatiksi. Nämä kokeet voi tunnistaa vanhan editorin esikatselunäkymästä. Jos esikatselussa näkyy teksti “Kokeen ulkoasu ei vastaa ylioppilaskokeita”, kuvakaappaukset eivät toimi uusimmalla Abitti-versiolla.

Kuvakaappaukset toimivat Bertalla tehdyissä kokeissa ja niissä kokeissa, jotka on voitu konvertoida MEX-formaattiin. Jälkimmäisessä tapauksessa vanhan editorin esikatselussa ei ole em. varoitustekstiä.

Ongelmaan on tulossa korjaus lähipäivinä. Sitä odoteltaessa asian voi kiertää jollain seuraavista tavoista:

  • Muuttaa vanhalla editorilla tehty koe Bertta-kokeeksi kopioimalla vanhan editorin koetehtävät Berttaan tehtävän kopiointityökalulla
  • Poistaa vanhalla editorilla tehdyistä kokeista muotoiluja, kunnes“Kokeen ulkoasu ei vastaa ylioppilaskokeita” -teksti poistuu esikatselusta
  • Käyttää vanhempaa Abitti-versiota

Päivityksiä:

  • Korjaus tähän ongelmaan tullaan jakamaan koepakettien kautta. Jakamisen ajankohta ei ole vielä tiedossa. (Lisätty 13.5. klo 10.40)
  • Korjaus on jakelussa koepakettien kautta. Korjaus tarttuu ma 16.5. klo 12 jälkeen ladattuihin koepaketteihin ja siirtyy koetilan palvelimen kokelaiden koneille. (Lisätty 16.5. klo 14.05)

Uudessa Abitti-versiossa päivitetyt MAOL-digitaulukot

Leave a comment

Tänään julkaistussa Abitti-versiossa ei ole suuria näkyviä muutoksia. Otava on päivittänyt MAOL-digitaulukot uuteen versioon. Koeympäristön ohjeiden ohjelmointivälilehden tulostusikkuna näyttää nyt myös pitkät tulostukset ja ne voi kopioida leikepöydälle.

Koeympäristön teknisestä valvonnasta vastaava toiminnallisuus on korvattu uudella, joka tuottaa aiempaa luotettavampaa tietoa ylioppilaskoetta suorittavan kokelaan ja hänen käyttämänsä tietokoneen toiminnasta. Muutoksen seurauksena vanhoilla Abitti-tikuilla valvojan näyttöön tulee ilmoitus häiriöstä teknisessä valvonnassa. Tämä johtuu siitä, että koetehtävien mukana toimitettava valvontaohjelman osa ei toimi vanhassa Abitti-versiossa. Ilmoitus ei estä kokeen suorittamista.

Korkearesoluutioisten näyttöjen ruudunkaappaukseen on tehty korjaus. Korjauksen seurauksena osa kokelaiden ruudunkaappauksista voi näkyä arvostelusta tavallista suurikokoisempina.

Käynnistysvalikon vaihtoehdot pysyvät samoina, joskin mukana on aiempaa uudemmat versiot Linux-kerneleistä:

  • 4.9.272-2 -> 4.9.290-1
  • 4.19.194-3 -> 4.19.208-1
  • 5.10.46-5 -> 5.10.103-1
  • 5.14.9-2 -> 5.16.11-1

Uuden version käyttöönotto edellyttää sekä kokelaan tikkujen että palvelinten päivittämistä. Vanhempien Abitti-versioiden käytön jatkamiselle ei ole teknistä estettä.

Kaikki päivityksen muutokset löytyvät muutoslokista.

Vanhan koeformaatin kokeiden kopioinnissa ollut ongelma on korjattu

Leave a comment

Vanhalla editorilla tehdyissä kokeissa oli viikonloppuna ja alkuviikosta ongelma, jonka seurauksena kokeiden suorittajat eivät saaneet liitettyä kuvakaappauksia kokeen vastauslaatikkoon. Vikaa ei ilmennyt Bertalle tehdyissä kokeissa.

Ongelma on korjattu tänään klo 12.00. Tätä ennen oma.abitista ladatut koepaketit on ladattava uudelleen, jotta vastausruudut toimivat halutulla tavalla.

Olemme erittäin pahoillamme tästä ohjelmavirheestä kaikille Abitin käyttäjille aiheutuneesta lisätyöstä.