Category: Tiedote

Abitin huoltokatko venyy suunniteltua pidemmälle. Tehtävänlaadintaan ja kokeiden arvosteluun käytettävä verkkopalvelu oma.abitti.fi on poissa käytöstä mahdollisesti vielä huomenna, 29.12.2022.

Pahoittelemme pitkäksi venähtänyttä katkoa!

Abitissa tehdään huoltotöitä keskiviikkona 28.12.2022. Tehtävänlaadintaan ja kokeiden arvosteluun käytettävä verkkopalvelu oma.abitti.fi on poissa käytöstä mahdollisesti koko työpäivän ajan.

Ennen katkon alkua ladatut kokeet voi järjestää, mutta koesuoritukset voi palauttaa arvosteluun vasta katkon päätyttyä.

Seuraava Abitti-versio julkaistaan tammikuun alussa. Tämä versio vastaa kevään 2023 ylioppilaskokeissa käytettävää Abittia.

Abitti-tuki toivottaa kaikille hyvää joulua ja onnellista uutta vuotta!

Lokakuun lopussa julkaistu Abitti-versio korjasi vakavia tietoturva-aukkoja.

Vakavin tietoturva-aukoista oli koetilan palvelimella. Haavoittuvuus mahdollisti koetilan palvelimella olevien tietojen (esim. kokelaan henkilötiedot, koesuoritukset ja kokelaiden tallentamien tiedostojen varmuuskopiot) muokkaamisen ja lataamisen.

Toinen korjattu haavoittuvuus oli nippu keskenään samankaltaisia tapoja, jotka mahdollistivat pääkäyttäjän oikeuksien saamisen kokelaan omaan tietokoneeseen. Lisäksi kokelaan koneen käyttöoikeussopimuksen versionumero oli virheellinen.

Tietoturva-aukot ovat olleet kaikissa tähän mennessä järjestetyissä ylioppilaskokeissa. Ylioppilastutkintolautakunnalla ei ole tietoa, onko haavoittuvuuksia käytetty hyväksi ylioppilastutkinnossa.

Ylioppilastutkintolautakunta suosittelee Abitti-järjestelmällä harjoituskokeita järjestäviä päivittämään välittömästi turvallisiin versioihin:

• Korjatut kokelaan koneen versiot: 2243K, 2244B, 22451
• Korjatut palvelinversiot: 22436, 2244T, 2245K

Haavoittuvuudet löytyivät hakkeritapahtumassa

Tietoturva-aukot löydettiin LähiTapiolan valkohattuhakkereille 15.10.2022 järjestämässä HackDay-kilpailussa. Ylioppilastutkintolautakunta on käsitellyt löydökset normaalin politiikkansa mukaisesti siten, että ne julkistetaan kolmen kuukauden kuluessa ilmoituksesta. Hakkerointitapahtuman luottamuksellisesta luonteesta johtuen Ylioppilastutkintolautakunnalla ei ole tiedossaan haavoittuvuuksia löytäneiden tiimien ja tiimin jäsenten nimiä.

Ylioppilastutkintolautakunta kiittää LähiTapiolaa ja kaikkia haavoittuvuuksista raportoineita.

HackDay-tapahtumassa tehtiin muitakin Abittia koskevia tietoturvahavaintoja, joista raportoidaan myöhemmin.

Alla tiiviit kuvaukset nyt korjatuista haavoittuvuuksista.

1. Mielivaltaisten tiedostojen lataaminen ja muokkaaminen

Vakavin haavoittuvuus mahdollistaa koetilan palvelimella olevien tiedostojen lisäämisen, muuttamisen sekä lataamisen. Hyökkäys on tehtävä paikalliseen koeverkkoon liitetyltä tietokoneelta, esimerkiksi kokelaan omalta tietokoneelta. Hyväksikäyttö edellyttää kirjautumista koetilan palvelimelle.

Hyökkäys perustuu kokelaan kokeen aikana luomien tiedostojen varmuuskopioinnissa käytetyn rajapinnan syötteiden puutteelliseen sanitointiin.

Haavoittuvuusluokitus: CVSS: 8.8 (korkea) 

2. Mielivaltaisten komentojen suorittaminen pääkäyttäjän oikeuksin

Haavoittuvuus mahdollista mielivaltaisten komentojen suorittamisen kokelaan omalla tietokoneella pääkäyttäjän oikeuksin. Hyökkäys perustuu Abitti-koejärjestelmän mekanismiin, jolla koetiedostojen yhteydessä voidaan päivittää kokelaan koneella olevia tiedostoja. Päivitysmekanismi purkaa tiedostot kokelaan koneen väliaikaishakemistoon ennen asentamista. Oikein ajoitettu hyökkäys korvaa tiedostot hyökkääjän tiedostoilla, jotka asennetaan koeympäristöön pääkäyttäjän oikeuksin.

Hyökkäys on mahdollista vain sellaisissa kokeissa, jotka sisältävät kokelaan konetta päivittävän paketin. Havainnon vakavuutta ylioppilaskokeissa vähentää kokelaan koneen tekninen valvonta.

Haavoittuvuusluokitus: CVSS-pisteet: 2.0 (matala)

3. Väärä käyttöehtosopimuksen versio

Kokeeseen osallistujan kirjautumisen yhteydessä on näytetty väärä käyttöoikeussopimuksen versionumero 1.3, kun oikea versionumero olisi ollut 1.4.

Varsinainen luettavissa oleva käyttöoikeussopimuksen versionumero on ollut oikein (1.4) ja varsinainen sopimusteksti on vastannut Abitti.fi-verkkosivuilla olevaa versiota (1.4).

Haavoittuvuusluokitus: GDPR-loukkaus

Vanhalla koe-editorilla laadittujen MEB-kokeiden latausmahdollisuus päättyy tänään 10.10.2022.

Vanha koeformaatti on ollut käytössä vuodesta 2015, mutta viimeiset ylioppilaskokeet sillä tehtiin syksyllä 2019.

Uuden MEX-koeformaatin editori Bertta on ollut käytössä Abitissa alkuvuodesta 2022 alkaen. Syyslukukaudella valtaosa Abitti-kokeista on tehty MEX-formaatilla.

Abitti-kokeissa käytetyt koeformaatit vuonna 2022. Keltainen = MEB-formaatin kokeita, sininen = automaattisesti MEB-formaatista MEX-formaatiksi muunnettuja kokeita, punainen = MEX-formaatin kokeita.

Lisätietoja:

• Abitin syksy: Vanha koeformaatti poistuu ja tikut päivittyvät (1.9.2022)
• Bertta on saavuttanut suuren suosion (28.3.2022)

Tänä syksynä Abittiin tehdään sen tähänastisen historian suurin muutos. Vuonna 2015 julkaistussa Abitissa lanseerattu MEB-koeformaatti, toiselta nimeltään JSON-formaatti, poistetaan palvelintikuilta. Tämän seurauksena vanhalla MEB-formaatilla tehtyjä kokeita ei voi enää järjestää.

YTL poistaa MEB-formaatin tuen Abitista, koska sitä ei ole enää vuosiin käytetty ylioppilaskokeissa. Bertta-editorin valmistumisen jälkeen uuden formaatin MEX-kokeita voi laatia helposti Abitissa.

MEB-formaatti poistuu käytöstä seuraavasti:

• 10.10.2022: MEB-muotoisten kokeiden lataaminen oma.abitti-verkkopalvelusta koetilan palvelimelle päättyy.
• Loka-marraskuu: Uusi Abitti-versio julkaistaan. MEB-kokeet eivät toimi tässä Abitti-versiossa.
• 30.11.2022: MEB-kokeiden arvostelu päättyy.
• Aikaisintaan 28.2.2023: MEB-kokeiden suorituskopiot poistetaan.
• Aikaisintaan 1.6.2023: MEB-kokeiden editori poistetaan.

Alla kerrotaan yksityiskohtaisemmin muutoksen etenemisestä.

10.10.2022: MEB-kokeiden lataaminen oma.abitti-verkkopalvelusta koetilan palvelimelle päättyy

MEB-kokeita ei voi enää ladata koetilan palvelimelle oma.abitin ”Lataa koetehtävät” -napista.

MEB-kokeet säilyvät koelistauksessa, ja niistä voi kopioida yksittäisiä tehtäviä uusiin Bertalla tehtäviin MEX-kokeisiin. Koska MEB-kokeiden kuvauskieli on ollut hyvin salliva, ei kaikkien tehtävien kopiointi välttämättä onnistu täydellisesti. Joissain tehtävissä on niin kimurantteja HTML-koodeja, ettei niitä pystytä kopioimaan lainkaan. Tällöin ainoa vaihtoehto on kopiointi “käsin” leikepöydän kautta.

Examina-verkkopalvelussa olevat vanhat MEB-muotoiset ylioppilaskokeet säilyvät ja niitä voi tuoda Abittiin. Omia MEB-muotoisia kokeita voi siirtää (koelistauksen nappi “Siirrä koe (.zip)”) ja tuoda (“Tuo koe (.zip)”).

Toisin sanoen vanhoja MEB-muotoisia ylioppilaskokeita tai esimerkiksi kustantajien tekemiä MEB-muotoisia kokeita voi edelleen tuoda Abittiin ja kopioida niistä tehtäviä Bertta-editoriin.

Loka-marraskuu 2022: Uusi Abitti-versio julkaistaan

Syksyn ylioppilaskokeiden jälkeen julkaistavaan Abitti-versioon ei voi enää ladata MEB-kokeita. Versio on ns. suuri päivitys, koska Abitin taustalla oleva Debian GNU/Linux päivittyy uuteen versioon.

Sovellusvalikoima ja valtaosa sovellusten versioistakin pysyy samana. Suurin muutos tapahtuu LibreOfficessa, joka päivittyy versiosta 6 versioon 7. Laskinohjelmiin ei ole tiedossa käyttöön vaikuttavia muutoksia.

Uuteen versioon päivitetään laiteyhteensopivuuksiin vaikuttavia Linuxin kerneleitä. Tämä toivottavasti auttaa uudempien laitemallien toimintaa Abitissa.

Julkaistavaa Abittia tullaan käyttämään kevään 2023 ylioppilaskokeissa.

30.11.2022: MEB-kokeiden arvostelu päättyy

Tähän saakka MEB-kokeita on voinut vielä järjestää käyttämällä elokuun Abitti-tikkuja ja ennen 10. lokakuuta ladattuja MEB-koepaketteja. Marraskuun lopussa MEB-kokeiden koesuorituksia ei voi enää palauttaa oma.abittiin arvostelua varten eikä MEB-kokeita voi enää arvostella.

Aikaisintaan 28.2.2023: MEB-kokeiden suorituskopiot poistetaan

Opiskelijat eivät voi enää avata sähköpostitse saamiaan MEB-kokeiden arvostelulinkkejä.

Aikaisintaan 1.6.2023: MEB-kokeiden editori poistetaan

Tähän saakka vanhoja MEB-kokeita on voinut muokata sen omalla editorilla, mutta nyt MEB-kokeiden luonti ja editointi loppuvat.

Vielä ei ole päätetty, missä vaiheessa poistetaan mahdollisuus tuoda Abittiin uusia MEB-kokeita “Tuo koe (.zip)” -napin avulla tai sitä, milloin Abitista poistetaan kaikki MEB-muotoiset kokeet.

Lue lisää:

• MEB-formaatin poisto on Abitin historian suurin muutos

Lopetimme Abitissa käytettävien USB-muistitikkujen kirjoittamiseen käytetyn AbittiUSB-ohjelman jakelun vuosi sitten. Tätä ennen olimme jo vuosien ajan suositelleet muistitikkujen kirjoittamiseen balenaEtcher-ohjelmaa. Se on helppokäyttöinen, avointa lähdekoodia ja saatavilla useille eri käyttöjärjestelmille – kaiken kaikkiaan niin hyvä, että YTL:n oman AbittiUSB:n ylläpito tuntui verorahojen haaskaamiselta. 

AbittiUSB:n käyttö päättyi lopullisesti 20.6.2022. Ohjelma ei enää saa YTL:n palvelimelta tietoa uusista versioista. 

Tikkujen kirjoitus oli unohtua vuonna 2014

Loppuvuodesta 2014 YTL:n digiprojektissa oli kiirettä. Tavoitteenamme oli avata lukioiden harjoituskäyttöön tarkoitettu koejärjestelmä tammikuussa 2015. Fokus oli koetehtävien editointiin tarvittavassa editorissa ja koesuoritusten arviointiin käytettävässä arvostelupalvelussa, mutta arkisessa lounaskeskustelussa alettiin miettiä USB-tikkujen kirjoitusta. 

Tähän mennessä oli ajateltu, että lukiot lataisivat levynkuvat ja kirjoittaisivat ne USB-muistille sen aikaisilla välineillä kuten edelleen jaossa olevalla Win32 Disk Imagerilla. Lounaspöydässä heräsi huoli, että yhden tikun kirjoittaminen kerrallaan olisi kömpelöä. Lisäksi käyttäjän pitäisi huolehtia levynkuvan latauksesta ja sen virheettömyyden tarkistuksesta. 

Hyvän idean karsea toteutus

Kuten aina, ratkaisu vaikutti helpolta: kirjoitetaan ohjelma, joka lataisi levynkuvan, tarkistaisi sen oikeellisuuden automaattisesti ja kirjoittaisi levynkuvan samanaikaisesti kaikille koneeseen liitetyille USB-muistitikuille. 

Ensimmäinen versio ratkaisusta syntyi “virkamiestyönä”. MEB-DD oli kirjoitettu VBScriptillä ja FreePascalilla. Käyttöliittymä oli toteutettu Windowsin HTA:lla eli selainpohjaisella sovelluksella. 

 

Kehitystiimin ilmeet olivat näkemisen arvoiset, kun MEB-DD esiteltiin heille. Hyvässä yhteisymmärryksessä todettiin, että konsepti oli hyvä, mutta toteutus ei. Jotta toimiva ja ylläpitokelpoinen sovellus saataisiin valmiiksi Abitin julkaisua varten, ylioppilastutkintorekisterin kehitystä hidastettiin. 

AbittiUSB:n käyrät nousuun

AbittiUSB julkaistiin yhdessä Abitin kanssa tammikuussa 2015. Abitin julkaiseminen ja vastaanotto jännitti meitä YTL:ssä todella paljon. Halusimme tietysti tietää, toimiiko Abitti, mutta samalla levittää positiivista sanomaa käyttöönoton etenemisestä. 

AbittiUSB välitti meille tietoa kirjoitettujen tikkujen määrästä. Näitä numeroita seurattiin silmä kovana tiimihuoneen seinällä olevasta näytöstä. Abitti.fi-verkkosivuston etusivulle askarreltiin graafit, jotka osoittivat kirjoitettujen tikkujen ja järjestettyjen kokeiden lukumäärän. Graafit olivat kumulatiivisia, jolla varmistimme positiivisen viestin. 

Kevään lopussa tikkuja kopioitiin jo niin paljon, ettei graafien näyttäminen ollut enää mielekästä. 

 

USB-monster syntyi syksyksi 2016

Aluksi suunnittelimme, että ylioppilaskokeissa käytettävien tikkujen kirjoitus ostettaisiin palveluna joltain alan yritykseltä. Vierailimme parissa alan firmassa, joissa esiteltiin ylpeänä muutama kymmenen tikkua kerrallaan kopioivia laitteita. Ne kopioivat mallina olevalta Windowsin FAT-formatoidulta muistitikulta tiedostot kohdetikuille. Ei ihan sitä mitä halusimme. 

Vierailujen jälkeen päätimme muuttaa suunnitelmia. USB-tikkujen kirjoituksen onnistuminen oli ylioppilaskokeille niin kriittinen asia, että meidän kannattaisi tehdä se itse. Kopiointia varten hankittiin pöytäkoneita, joihin asennettiin USB 3.1-ohjainkortteja ja metallirunkoisia USB-hubeja. 

Aluksi tikut oli tarkoitus kirjoittaa AbittiUSB:lla. Pian huomattiin, että sen aikaiset Windowsit eivät selvinneet kymmenien USB-tikkujen samanaikaisesta kirjoittamisesta. Sen sijaan kokeilut Linuxilla olivat rohkaisevia. Yhdellä koneella pystyttiin kirjoittamaan samanaikaisesti yli 60 USB-tikkua. 

Syksystä 2016 alkaen tikut kaikkiin ylioppilaskokeisiin on kirjoitettu USB-monster-ohjelmalla, joka on avointa lähdekoodia. Se toimii vain Linuxissa, ja käyttöliittymä on kauniisti sanottuna “ammattimainen”.  

YTL:n tikkumestari on jo vuosien ajan ystävällisesti mutta päättäväisesti kieltäytynyt kaikista kehitysehdotuksista, koska hänen mielestään USB-monster tekee juuri ja vain sen minkä pitääkin: kirjoittaa kymmeniä tuhansia tikkuja mahdollisimman nopeasti. 

Avointa lähdekoodia

Kaikki YTL:n tikkujen kirjoitukseen käytettävät ohjelmat ovat nyt avointa lähdekoodia, kun aktiivipalveluksesta vapautettu AbittiUSB:n lähdekoodi julkaistiin kesäkuussa 2022. 

• MEB-DD
• AbittiUSB
• USB-monster

Helpoimmin USB-monsterin käyttöönotto tapahtuu asentamalla tietokoneelle YTL:n skriptattu Linux-palvelinasennus.