Vanhalla koe-editorilla laadittujen MEB-kokeiden latausmahdollisuus päättyy tänään 10.10.2022.

Vanha koeformaatti on ollut käytössä vuodesta 2015, mutta viimeiset ylioppilaskokeet sillä tehtiin syksyllä 2019.

Uuden MEX-koeformaatin editori Bertta on ollut käytössä Abitissa alkuvuodesta 2022 alkaen. Syyslukukaudella valtaosa Abitti-kokeista on tehty MEX-formaatilla.

Abitti-kokeissa käytetyt koeformaatit vuonna 2022. Keltainen = MEB-formaatin kokeita, sininen = automaattisesti MEB-formaatista MEX-formaatiksi muunnettuja kokeita, punainen = MEX-formaatin kokeita.

Lisätietoja:

• Abitin syksy: Vanha koeformaatti poistuu ja tikut päivittyvät (1.9.2022)
• Bertta on saavuttanut suuren suosion (28.3.2022)

Tänä syksynä Abittiin tehdään sen tähänastisen historian suurin muutos. Vuonna 2015 julkaistussa Abitissa lanseerattu MEB-koeformaatti, toiselta nimeltään JSON-formaatti, poistetaan palvelintikuilta. Tämän seurauksena vanhalla MEB-formaatilla tehtyjä kokeita ei voi enää järjestää.

YTL poistaa MEB-formaatin tuen Abitista, koska sitä ei ole enää vuosiin käytetty ylioppilaskokeissa. Bertta-editorin valmistumisen jälkeen uuden formaatin MEX-kokeita voi laatia helposti Abitissa.

MEB-formaatti poistuu käytöstä seuraavasti:

• 10.10.2022: MEB-muotoisten kokeiden lataaminen oma.abitti-verkkopalvelusta koetilan palvelimelle päättyy.
• Loka-marraskuu: Uusi Abitti-versio julkaistaan. MEB-kokeet eivät toimi tässä Abitti-versiossa.
• 30.11.2022: MEB-kokeiden arvostelu päättyy.
• Aikaisintaan 28.2.2023: MEB-kokeiden suorituskopiot poistetaan.
• Aikaisintaan 1.6.2023: MEB-kokeiden editori poistetaan.

Alla kerrotaan yksityiskohtaisemmin muutoksen etenemisestä.

10.10.2022: MEB-kokeiden lataaminen oma.abitti-verkkopalvelusta koetilan palvelimelle päättyy

MEB-kokeita ei voi enää ladata koetilan palvelimelle oma.abitin ”Lataa koetehtävät” -napista.

MEB-kokeet säilyvät koelistauksessa, ja niistä voi kopioida yksittäisiä tehtäviä uusiin Bertalla tehtäviin MEX-kokeisiin. Koska MEB-kokeiden kuvauskieli on ollut hyvin salliva, ei kaikkien tehtävien kopiointi välttämättä onnistu täydellisesti. Joissain tehtävissä on niin kimurantteja HTML-koodeja, ettei niitä pystytä kopioimaan lainkaan. Tällöin ainoa vaihtoehto on kopiointi “käsin” leikepöydän kautta.

Examina-verkkopalvelussa olevat vanhat MEB-muotoiset ylioppilaskokeet säilyvät ja niitä voi tuoda Abittiin. Omia MEB-muotoisia kokeita voi siirtää (koelistauksen nappi “Siirrä koe (.zip)”) ja tuoda (“Tuo koe (.zip)”).

Toisin sanoen vanhoja MEB-muotoisia ylioppilaskokeita tai esimerkiksi kustantajien tekemiä MEB-muotoisia kokeita voi edelleen tuoda Abittiin ja kopioida niistä tehtäviä Bertta-editoriin.

Loka-marraskuu 2022: Uusi Abitti-versio julkaistaan

Syksyn ylioppilaskokeiden jälkeen julkaistavaan Abitti-versioon ei voi enää ladata MEB-kokeita. Versio on ns. suuri päivitys, koska Abitin taustalla oleva Debian GNU/Linux päivittyy uuteen versioon.

Sovellusvalikoima ja valtaosa sovellusten versioistakin pysyy samana. Suurin muutos tapahtuu LibreOfficessa, joka päivittyy versiosta 6 versioon 7. Laskinohjelmiin ei ole tiedossa käyttöön vaikuttavia muutoksia.

Uuteen versioon päivitetään laiteyhteensopivuuksiin vaikuttavia Linuxin kerneleitä. Tämä toivottavasti auttaa uudempien laitemallien toimintaa Abitissa.

Julkaistavaa Abittia tullaan käyttämään kevään 2023 ylioppilaskokeissa.

30.11.2022: MEB-kokeiden arvostelu päättyy

Tähän saakka MEB-kokeita on voinut vielä järjestää käyttämällä elokuun Abitti-tikkuja ja ennen 10. lokakuuta ladattuja MEB-koepaketteja. Marraskuun lopussa MEB-kokeiden koesuorituksia ei voi enää palauttaa oma.abittiin arvostelua varten eikä MEB-kokeita voi enää arvostella.

Aikaisintaan 28.2.2023: MEB-kokeiden suorituskopiot poistetaan

Opiskelijat eivät voi enää avata sähköpostitse saamiaan MEB-kokeiden arvostelulinkkejä.

Aikaisintaan 1.6.2023: MEB-kokeiden editori poistetaan

Tähän saakka vanhoja MEB-kokeita on voinut muokata sen omalla editorilla, mutta nyt MEB-kokeiden luonti ja editointi loppuvat.

Vielä ei ole päätetty, missä vaiheessa poistetaan mahdollisuus tuoda Abittiin uusia MEB-kokeita “Tuo koe (.zip)” -napin avulla tai sitä, milloin Abitista poistetaan kaikki MEB-muotoiset kokeet.

Lue lisää:

• MEB-formaatin poisto on Abitin historian suurin muutos

Lopetimme Abitissa käytettävien USB-muistitikkujen kirjoittamiseen käytetyn AbittiUSB-ohjelman jakelun vuosi sitten. Tätä ennen olimme jo vuosien ajan suositelleet muistitikkujen kirjoittamiseen balenaEtcher-ohjelmaa. Se on helppokäyttöinen, avointa lähdekoodia ja saatavilla useille eri käyttöjärjestelmille – kaiken kaikkiaan niin hyvä, että YTL:n oman AbittiUSB:n ylläpito tuntui verorahojen haaskaamiselta. 

AbittiUSB:n käyttö päättyi lopullisesti 20.6.2022. Ohjelma ei enää saa YTL:n palvelimelta tietoa uusista versioista. 

Tikkujen kirjoitus oli unohtua vuonna 2014

Loppuvuodesta 2014 YTL:n digiprojektissa oli kiirettä. Tavoitteenamme oli avata lukioiden harjoituskäyttöön tarkoitettu koejärjestelmä tammikuussa 2015. Fokus oli koetehtävien editointiin tarvittavassa editorissa ja koesuoritusten arviointiin käytettävässä arvostelupalvelussa, mutta arkisessa lounaskeskustelussa alettiin miettiä USB-tikkujen kirjoitusta. 

Tähän mennessä oli ajateltu, että lukiot lataisivat levynkuvat ja kirjoittaisivat ne USB-muistille sen aikaisilla välineillä kuten edelleen jaossa olevalla Win32 Disk Imagerilla. Lounaspöydässä heräsi huoli, että yhden tikun kirjoittaminen kerrallaan olisi kömpelöä. Lisäksi käyttäjän pitäisi huolehtia levynkuvan latauksesta ja sen virheettömyyden tarkistuksesta. 

Hyvän idean karsea toteutus

Kuten aina, ratkaisu vaikutti helpolta: kirjoitetaan ohjelma, joka lataisi levynkuvan, tarkistaisi sen oikeellisuuden automaattisesti ja kirjoittaisi levynkuvan samanaikaisesti kaikille koneeseen liitetyille USB-muistitikuille. 

Ensimmäinen versio ratkaisusta syntyi “virkamiestyönä”. MEB-DD oli kirjoitettu VBScriptillä ja FreePascalilla. Käyttöliittymä oli toteutettu Windowsin HTA:lla eli selainpohjaisella sovelluksella. 

 

Kehitystiimin ilmeet olivat näkemisen arvoiset, kun MEB-DD esiteltiin heille. Hyvässä yhteisymmärryksessä todettiin, että konsepti oli hyvä, mutta toteutus ei. Jotta toimiva ja ylläpitokelpoinen sovellus saataisiin valmiiksi Abitin julkaisua varten, ylioppilastutkintorekisterin kehitystä hidastettiin. 

AbittiUSB:n käyrät nousuun

AbittiUSB julkaistiin yhdessä Abitin kanssa tammikuussa 2015. Abitin julkaiseminen ja vastaanotto jännitti meitä YTL:ssä todella paljon. Halusimme tietysti tietää, toimiiko Abitti, mutta samalla levittää positiivista sanomaa käyttöönoton etenemisestä. 

AbittiUSB välitti meille tietoa kirjoitettujen tikkujen määrästä. Näitä numeroita seurattiin silmä kovana tiimihuoneen seinällä olevasta näytöstä. Abitti.fi-verkkosivuston etusivulle askarreltiin graafit, jotka osoittivat kirjoitettujen tikkujen ja järjestettyjen kokeiden lukumäärän. Graafit olivat kumulatiivisia, jolla varmistimme positiivisen viestin. 

Kevään lopussa tikkuja kopioitiin jo niin paljon, ettei graafien näyttäminen ollut enää mielekästä. 

 

USB-monster syntyi syksyksi 2016

Aluksi suunnittelimme, että ylioppilaskokeissa käytettävien tikkujen kirjoitus ostettaisiin palveluna joltain alan yritykseltä. Vierailimme parissa alan firmassa, joissa esiteltiin ylpeänä muutama kymmenen tikkua kerrallaan kopioivia laitteita. Ne kopioivat mallina olevalta Windowsin FAT-formatoidulta muistitikulta tiedostot kohdetikuille. Ei ihan sitä mitä halusimme. 

Vierailujen jälkeen päätimme muuttaa suunnitelmia. USB-tikkujen kirjoituksen onnistuminen oli ylioppilaskokeille niin kriittinen asia, että meidän kannattaisi tehdä se itse. Kopiointia varten hankittiin pöytäkoneita, joihin asennettiin USB 3.1-ohjainkortteja ja metallirunkoisia USB-hubeja. 

Aluksi tikut oli tarkoitus kirjoittaa AbittiUSB:lla. Pian huomattiin, että sen aikaiset Windowsit eivät selvinneet kymmenien USB-tikkujen samanaikaisesta kirjoittamisesta. Sen sijaan kokeilut Linuxilla olivat rohkaisevia. Yhdellä koneella pystyttiin kirjoittamaan samanaikaisesti yli 60 USB-tikkua. 

Syksystä 2016 alkaen tikut kaikkiin ylioppilaskokeisiin on kirjoitettu USB-monster-ohjelmalla, joka on avointa lähdekoodia. Se toimii vain Linuxissa, ja käyttöliittymä on kauniisti sanottuna “ammattimainen”.  

YTL:n tikkumestari on jo vuosien ajan ystävällisesti mutta päättäväisesti kieltäytynyt kaikista kehitysehdotuksista, koska hänen mielestään USB-monster tekee juuri ja vain sen minkä pitääkin: kirjoittaa kymmeniä tuhansia tikkuja mahdollisimman nopeasti. 

Avointa lähdekoodia

Kaikki YTL:n tikkujen kirjoitukseen käytettävät ohjelmat ovat nyt avointa lähdekoodia, kun aktiivipalveluksesta vapautettu AbittiUSB:n lähdekoodi julkaistiin kesäkuussa 2022. 

• MEB-DD
• AbittiUSB
• USB-monster

Helpoimmin USB-monsterin käyttöönotto tapahtuu asentamalla tietokoneelle YTL:n skriptattu Linux-palvelinasennus. 

Abitin verkkopalvelussa oma.abitti.fi:ssä on hitautta. Asiaa selvitellään parhaillaan ja väliaikatietoja päivitetään tälle sivulle.

Maanantai 30.5.

• klo 11.10 Abitin verkkopalvelun taustalla oleva tietokanta on hidas. Selvitellään mistä kutsuista tulee kuormaa kannalle.
• klo 11.45 Tietokannalle ajetaan huoltotoimenpide, jolla yritetään korjata kannan suorituskykyä.
• klo 13.30 Huoltotoimenpide jatkuu edelleen.
• klo 14.28 Huoltotoimenpide on valmis, mutta palvelussa on edelleen hitautta.
• klo 16.20 Lue lisää tiedotteesta (ylioppilastutkinto.fi)
• klo 16.30 Palvelu on kokonaan suljettu, ongelman selvittelyä jatketaan.
• klo 18.00 Ongelman selvittelyä jatketaan edelleen.
• klo 18.10 Abitin verkkopalvelu on nyt avattu, mutta siinä ilmenee edelleen hitautta. Olemme keskeyttäneet vian selvityksen tältä päivältä ja jatkamme aamuvarhaisella.

Tiistai 31.5.

• klo 8.30 Palvelu on toiminut hyvin yön ajan. Ongelman juurisyyn etsimistä jatketaan.
• klo 11.30 Abitin eilisten ongelmien syyksi paljastui järjestelmän taustalla toimivan tietokantapalvelimen liian hidas levy. Levyn nopeutta kasvatettiin, ja sen jälkeen palvelu on toiminut normaalisti.

Seuranta on päättynyt. Pahoittelemme kaikille Abitin käyttäjille palvelukatkosta johtunutta haittaa.

 

Abitista on korjattu kolme tietoturva-aukkoa. Kriittisin haavoittuvuuksista on mahdollistanut hyökkäyksen oma.abitti -verkkopalvelun käyttäjää (esim. opettajaa) vastaan. Kaksi muuta haavoittuvuutta liittyivät koetilanteeseen. Kaikki ilmoitukset perustuvat Ylioppilastutkintolautakunnan ulkopuoliselta henkilöltä saatuun ilmoitukseen.

Kokeen liitetiedostot oma.abitti.fi-verkkopalvelussa

Oma.abitissa kokeen arvostelija voi palauttaa arvioidut ja arvostellut koetehtävät kokeen suorittajille. Palautus tapahtuu siten, että kokeen suorituksen yhteydessä suorittajalle lähetetään sähköpostilinkki, jota klikkaamalla suorittaja voi katsella koesuoritustaan, koetehtäviään ja –aineistoja.

Aukkoa olisi voinut hyödyntää useilla eri tavoilla. Hyökkääjä olisi voinut laatia kokeeseen liitetiedoston, joka muistuttaisi Abitin kirjautumissivua. Tämän jälkeen hyökkääjä olisi voinut tekeytyä Abittia käyttävän opettajan opiskelijaksi ja houkutella opiskelijan avaamaan linkin. Tällöin opettaja olisi kokenut luonnollisena, että hänen on kirjauduttava Abittiin hyökkääjän petollisen kirjautumissivun kautta. Näin opettajan Abitti-käyttäjätunnus ja salasana olisi päätynyt hyökkääjälle.

Hyökkääjä olisi myös voinut upottaa koetehtäviin JavaScript-ohjelmakoodia, joka olisi lähettänyt mahdolliset autentikointievästeet tai kaikkien vahingollista koetta katselevan Abitti-käyttäjän arvosteluaineistot hyökkääjälle.

Tämä tietoturva-aukko on korjattu estämällä kaikkien vanhalla koe-editorilla tehtyjen koetehtävien ja liitetiedostojen katselu. Lisäksi jo aiemmin on ilmoitettu, että mahdollisuus vanhalla koe-editorilla tehtyjen kokeiden järjestämiseen päättyy syksyn 2022 ylioppilaskokeiden jälkeen.

Tämä haavoittuvuus koskee vain vanhalla koe-editorilla tehtäviä kokeita ja se on ollut käytettävissä Abitin julkaisusta alkaen. Bertta-editorilla tehtyissä MEX-kokeissa tällaista hyökkäysmahdollisuutta ei ole.

Tätä haavoittuvuutta ei ole voinut hyväksikäyttää ylioppilaskokeissa.

Kiellettyjen HTML5-ohjelmien käyttö matematiikan kokeen A-osassa

Abitissa on mahdollista laatia koe, jonka ensimmäisessä osassa symbolisen laskinohjelmien käyttö ei ole mahdollista. Tätä ominaisuutta käytetään matematiikan ylioppilaskokeen A-osassa.

A-osassa kiellettyjen ohjelmien käyttö on estetty poistamalla kokelaiden lukuoikeudet keskeisiin tiedostoihin. Ikävä kyllä HTML5-tekniikkaa käyttävien ohjelmien (GeoGebra 6 ja 4f-vihko) varsinainen ohjelmakoodi oli kokelaiden saatavilla ja suoritettavissa koeympäristön FireFox-selainta käyttäen.

Tämä tietoturva-aukko on korjattu versiosta ABITTI2216Z alkaen siten, että kokelaalta on poistettu lukuoikeudet aiempaa laajempaan joukkoon ohjelmakoodia.

Tämä haavoittuvuus on ollut Abitissa sen julkaisusta alkaen. Haavoittuvuus on ollut myös kaikissa Abitilla tehdyissä ylioppilaskokeissa.

Abitin kokelaan koeympäristöön vaikuttaminen kernelin init-parametria muuttamalla

Abitti perustuu Debian GNU/Linux -käyttöjärjestelmään. Ennen koetta kokelaan kone käynnistetään Linux-käyttöjärjestelmään, joka ladataan USB-muistilta tai koneen sisäiseltä massamuistilta. Linuxin käynnistämisen yhteydessä käyttöjärjestelmän ytimelle, kernelille, annetaan parametreja. Näitä parametrien muuttaminen mahdollistaa mm. kokelaan koeaikaisten käyttöoikeuksien korottamisen.

Tämä hyökkäystapa on ollut kehittäjien tiedossa ja sitä hallitaan koejärjestelmän teknisellä valvonnalla. Valvontaohjelmaa ajetaan kokelaan koneella kokeen aikana ja sen tulokset toimitetaan koesuoritusten siirron yhteydessä Ylioppilastutkintolautakunnalle. Abitti-harjoituskokeissa valvonta on hyvin suppeaa ja sen tarkoitus on varmistaa, että valvontamekanismi toimii. Kerättyjen tietojen perusteella julkaistaan tietoja Abitin kanssa käytetyistä tietokoneista (hwdata.abitti.fi).

Ilmoittaja huomautti, että teknistä valvontaa voidaan huijata eri tavoin, mm. manipuloimalla käyttöjärjestelmän ohjelmia (esim. cat, iptables), joihin valvonta perustuu.

Tämä tietoturva-aukko on korjattu versiosta ABITTI2216Z alkaen. Valvonnan luonteen vuoksi Ylioppilastutkintolautakunta ei avaa korjausta tämän tarkemmin. Samalla muistutamme harjoituskokeita järjestäviä lukioita, että harjoituskokeiden ylioppilaskokeita suppeampien teknisen valvonnan tietoja ei seurata Ylioppilastutkintolautakunnassa.

Tämä haavoittuvuus on ollut Abitissa sen julkaisusta alkaen. Hyväksikäyttö on edelleen mahdollista harjoituskokeissa. Haavoittuvuuden hyväksikäyttöä on seurattu kaikissa Abitilla tehdyissä ylioppilaskokeissa.

Kiitokset

Kiitämme Daniel Smalinia, joka toi nämä tietoturva-aukot tietoomme. Danielilta saamamme tiedot haavoittuvuuksista olivat yksityiskohtaisia ja helpottivat sekä Abitti-kehitystiimiä että tietoturvakumppaniamme ongelmien paikantamisessa ja parhaan korjauksen löytämisestä.

Ylioppilastutkintolautakunta on sitoutunut julkistamaan kaikki tietoon tulleet tietoturvapoikkeamat kolmen kuukauden kuluessa. Olemme tottuneet vastaanottamaan sekä yksinkertaisia sähköposteja että ammattimaisia hyökkäyskoodin sisältäviä ilmoituksia.

Haluamme tässä samassa yhteydessä kiittää sekä entisiä että tulevia tietoturva-aukkojen etsijöitä!

Lue lisää

• Otteita tietoturvakumppanin lausunnosta
• Daniel Smalinin laatima sivu tietoturva-aukoista
• TIEDOTE: Abitti-koejärjestelmän hitaus ei johdu tietoturvahyökkäyksestä (ylioppilastutkinto.fi)

Olemme arvioineet Ylioppilastutkintolautakunnan pyynnöstä YTL:lle toimitettujen haavoittuvuuskuvausten havaintojen vaikuttavuutta sekä suositelleet korjausehdotuksia haavoittuvuuksien paikkaamiseen

Toimeksiannon aloituspalaverissa meille toimitettiin YTL:än saamat kuvaukset haavoittuvuuksista sekä haavoittuvuuksiin liittyvistä hyväksikäyttömenetelmistä. Haavoittuvuuskuvauksia hyödynnettiin arviointia tehdessä, mutta arvioinnin yhteydessä havaittiin myös laajempia haavoittuvuuksien hyväksikäyttömahdollisuuksia. Havaittuja hyväksikäyttömenetelmiä ovat esimerkiksi liitetiedostojen hyödyntäminen tietojen kalasteluun, jossa käytetään hyväksi oma.abitti.fi -domainin luotettavaa asemaa.

Haavoittuvuusanalyysia suoritettaessa YTL oli jo korjannut laskinten luvatonta käyttöä koskevan haavoittuvuuden, joten tämä arviointi keskittyi XSS- ja CSRF-haavoittuvuuteen sekä INIT-parametriin liittyvään haavoittuvuuteen.

XSS & CSRF -haavoittuvuus (Kokeen liitetiedostot oma.abitti.fi-verkkopalvelussa)

Cross-site scripting (XSS) on hyökkäysmenetelmä, jossa tyypillisesti hyökkääjän JavaScript-pohjaista haittakoodia suoritetaan uhrin selaimessa. JavaScriptillä on mahdollista suorittaa verkkosovelluksille tyypillisiä toiminnallisuuksia. XSS-haavoittuvuuksissa voidaan myös näyttää uhrille mielivaltaista sisältöä, jonka tarkoituksena voi olla esimerkiksi erehdyttää käyttäjää syöttämään käyttäjätunnuksia tai asentamaan haittaohjelmia päätelaitteelleen. Cross-site request forgery (CSRF) -haavoittuvuudessa lähetetään uhrin tietämättä HTTP-kutsuja kohdepalvelimille esiintyen uhrina.

Yhdistämällä XSS- ja CSRF-haavoittuvuudet hyökkääjän on mahdollista suorittaa mielivaltaisia kutsuja kohdejärjestelmälle, hyödyntäen esimerkiksi kirjautuneen käyttäjän istuntoevästeitä. Tässä tapauksessa sisäänkirjautunut käyttäjä suorittaa tietämättään HTTP-kutsuja palvelimelle. Tyypillisesti kutsujen vastauksia, sekä muuta tietoa verkkosivulta, on myös mahdollista lähettää eteenpäin hyökkääjän komentopalvelimelle.

oma.abitti.fi: XSS & CSRF

Haavoittuvuus koskee oma.abitti.fi kokeeseen lisättävien html-liitteiden käsittelyä. Oma.abitti.fi Kokeeseen on mahdollista lisätä haitallista koodia sisältävä html-liitetiedosto. Liitetiedosto on kutsuttavissa suoralla osoitteella, liitetiedoston avaaminen ei vaadi kirjautumista Abitti-järjestelmään.

Liitetiedoston avulla hyökkääjä voi rakentaa hyökkäyksen ketjumaiseksi käyttäen ulkopuolista sivustoa. Kun käyttäjä vierailee sivustolla, ohjataan hänet oma.abitti.fi -liitetiedosto sivulle, joka pitää sisällään haitallista koodia. Haitallisen koodin suorituksen jälkeen käyttäjä ohjataan takaisin alkuperäiselle sivustolle. Käyttäjä ei ehdi havainnoida oma.abitti.fi -sivustolla käyntiä, koska toimenpide on hyvin nopea.

Haitallisella koodilla on mahdollisuus suorittaa toimenpiteitä oma.abitti.fi -sivuston API-rajapintaa vasten käyttäjän oikeustasojen mukaisesti.

Abitti -järjestelmän rajapintojen kautta on mahdollista saada tietoa kokeista, kokeiden sisältö, pisteytys, kokeen suorittajan tiedot (etunimi, sukunimi, sähköpostiosoite), koevastauksien pisteytys sekä itse kokeen pisteet.

Hyökkäyksen avulla voidaan muokata sellaisien koevastauksien pisteitä, jotka ovat opettajan arvioitavissa.

CVSS, eli common vulnerability scoring system, on työkalu haavoittuvuuksien kriittisyyden arvioimiseen. CVSS v3.0 -asteikko jakaa haavoittuvuudet viiteen eri kriittisyysluokkaan numeraalisen pisteytyksen avulla. Haavoittuvuuden hyväksikäytettävyyteen, kompleksisuuteen sekä hyväksikäytöstä aiheutuviin mahdollisiin seurauksiin peilaten haavoittuvuuden CVSS-pisteytys on 8.3 eli havainnon vakavuusaste on korkea.

oma.abitti.fi: Phishing ja Social Engineering

Phishingillä tarkoitetaan tyypillisesti tietojen kalastelua. Hyökkäysmenetelmän päämääränä on yleensä erehdyttämällä saada uhri luovuttamaan henkilötietoja, käyttäjätunnuksia tai muuta arkaluontoista tietoa. Social engineering on vakiintunut termi päämäärätietoiselle manipuloinnille, jonka tarkoituksena on saada uhri suorittamaan jotain tiettyjä toimenpiteitä, esimerkiksi erehdytetään käyttäjä asentamaan ”päivitys” joka todellisuudessa on hyökkääjälle uhrin päätelaitteelle takaoven avaava haittaohjelma.

Vihamielisen tahon on mahdollista luoda oma.abitti.fi:ssä liitetiedosto-toiminnallisuuden avulla aidolta vaikuttava tietojenkalastelusivusto oma.abitti.fi -osoitteen alaisuuteen. Tästä johtuen ”huijaussivun” osoite herättää luottamusta ja edesauttaa uhrin erehdyttämistä.

Kappaleen esimerkissä on luotu liitetiedostona aitoa oma.abitti.fi:n kirjautumissivua muistuttava sivu. Uhrin yrittäessä kirjautua sisään, hänen käyttäjätunnuksensa ja salasana lähetetään hyökkääjän hallinnoimalle palvelimelle.

Vaihtoehtoisesti vihamielisen tahon on mahdollista käyttää oma.abitti.fi:n liitetiedosto-ominaisuutta myös haittaohjelmien levittämiseen ja säilyttämiseen.

Kiellettyjen HTML5-ohjelmien käyttö matematiikan kokeen A-osassa

Abitti kokelaan levykuvassa ABITTI2216Z ei ole oikeuksia Geogebran ja 4FNotesin kansioihin. Abitin versiotiedoissa ei ollut mainintaa muutoksesta.

Abitin kokelaan koeympäristöön vaikuttaminen kernelin init-parametria muuttamalla

YTL:lle ilmoitettu haavoittuvuus koskee kokelaan Abitti-levykuvan suojatun GRUB-käynnistyslataajan ohittamista. GRUB-käynnistyslataajan ohittamisella mahdollistetaan muun muassa kokelaan käyttöoikeuksien korottaminen, Abitti-levykuvan muokkaaminen sekä ulkopuolisien ohjelmien asentaminen.

Abitti-levykuvan GRUB-käynnistyslataajan ohitus tapahtuu käyttämällä koneelle asennettua paikallista käynnistyslataajaa. Paikallisella käynnistyslataajalla ohitetaan Abitti kokelaan levykuvan oma suojattu käynnistyslataaja tai kokonaan muokattu Abitti-ohjelmisto.

GRUB-käynnistyslataajaan ohittamisesta löytyi julkisista lähteistä keskustelua ja ohjeistuksia, joten kyseessä on jo tiedossa ollut heikkous.