Yleinen – Sida 4

Två sårbarheter i Abittis datasäkerhet har åtgärdats

6.5.202111.5.2021Matti LattuLeave a comment

Två allvarliga sårbarheter i Abittis datasäkerhet har åtgärdats. Den första, som är av mindre betydelse, gäller examinandens pinne, som är uppdaterad till version ABITTI2118E. Den märkbart allvarligare sårbarheten gäller serverpinnen. Denna sårbarhet är åtgärdad i version SERVER21174.

Båda sårbarheterna fanns i bruk i versionerna av pinnar som användes vid studentexamen våren 2021. Studentexamensnämnden har inte funnit tecken på att sårbarheterna skulle ha utnyttjats under vårens prov.

Sårbarheten i examinandpinnen

En sårbarhet har hittats i examinandpinnen vilken möjliggör att provdeltagaren kan få administrators rättigheter. Detta möjliggör till exempel ändring av brandmuren och därmed fri internetanvändning, tillgång till material och program från datorns egen hårdskiva och underlättar störning av provtillfället.

Sårbarheten bygger på att filen som behövs för att definiera en kontrollerad användning av administrators rättigheter i pkexec-programmet inte hade installerats på pinnen. Detta orsakade, att man med hjälp av pkexec-programmet kunde köra vilka som helst program, när i vanliga fall programmet endast har tillgång till exempel ändring av skärmens ljusstyrka.

Sårbarheten har funnits i Abitti sedan version ABITTI20451. Felet orsakades av att de skript som lägger till koden med begränsningar inte kördes då pinnen skapades efter uppdateringen till Debian Buster.

Vi tackar Tuure Luosto för kontaktagandet som ledde till att vi fick saken till kännedom.

Sårbarheten i serverpinnen

En mycket allvarlig sårbarhet har hittats på serverpinnen. Sårbarheten möjliggör intrång till provlokalens server via provnätet och möjligheten att genomföra godtyckliga kommandon och programkod. Angriparen kan till exempel söka alla personuppgifter och provprestationer av prodeltagarna och ändra på dem.

Genom att utnyttja sårbarheten vidare kan angriparen på provlokalens server installera ett uppdateringspaket, som installeras i Abitti-provmiljön för dem som ansluter sig till provnätet. Denna programkod som installeras på examinandernas pinne, kan köras med administrators rättigheter. Detta betyder att koden till exempel skulle kunna radera operativsystemet på examinandens dator eller permanent installera skadeprogram på den.

För att utnyttja sårbarheten krävs att deltagaren i provet har administrators rättigheter till provmiljön. Dessutom kräver utnyttjandet mycket planering, förberedelser och teknisk kunskap. Även om mycket planering har genomförts är det sannolikt att angriparen blir avslöjad i något skede. Utnyttjandet av sårbarheten är ändå lätt att upprepa om ”grundarbetet” har gjorts en gång. En exaktare beskrivning av sårbarheterna som möjliggjort missbruk finns i slutet av denna text.

Detta sätt att angripa provsystemet som kombinerar flera olika sårbarheter hittades av Mikael Hannolainen, Ruben Mkrtumyan och Eemil Sinkko. Deras agerande och kontakt med nämnden har varit exceptionellt professionellt och har möjliggjort en snabb korrigering av problemet. Det visar på brett datatekniskt kunnande och exceptionellt engagemang för datasäkerhet att ha hittat en sårbarhet som kopplar samman flera sårbarheten i datasäkerheten.

Vi uppmärksammades på sårbarheten under provdagarna i vårens examen. Vi ville inte riskera anordnandet av proven med en stor uppdatering mitt under examen men samtidigt ändå reagera på saken så fort som möjligt. Därför inledde vi våra åtgärder med att i Abitti-proven lägga till ett uppdateringspaket som installerade programkod som skyddar mot intrång på provlokalens server. Tyvärr installeras inte programkoden i alla situationer på servern och därför måste alla Abitti-servrar nu uppdateras.

Rapporter gällande datasäkerhet från frivilliga är viktiga för SEN

Utvecklingen av Abitti startade i exceptionella förhållanden: under året 2013 lanserades det dåvarande DigabiOS genom en Hackabi-hackertävling. Under åren som gått har vi fått flera rapporter om olika sårbarheter. En typisk raporterare är en person i gymnasieåldern som är väl invandrad i datateknik och som har använt mycket tid på att bekanta sig med Abitti.

Förutom rapporter från frivilliga letar även datasäkerhetsproffs efter sårbarheter. Vi letar alltid efter sårbarheter då vi öppnar en ny tjänst eller gör betydande ändringar i en befintlig tjänst. Professionella experter använder olika skannrar och verktyg som gör den tråkiga grundundersökningen effektiv. Då en typisk datasäkerhetskartering görs på ungefär en vecka kan en frivillig, motiverad gymnasiestuderande leta efter sårbarheter i månader. Studerandena har också den fördelen att provtillfället och gymnasiekontexten är bekant för dem. Det är ingen överraskning att frivilliga som ännu är i början av sin karriär upptäcker sårbarheter.

Vi har inte statistik över antalet datasäkerhetssårbarheter, men av de upptäckta sårbarheter som lett till reparationsåtgärder har drygt hälften upptäckts av yrkespersoner och de övriga rapporterats av allmänheten. Studentexamensnämnden har förbundit sig att publicera alla datasäkerhetsavvikelser som rapporterats till oss senast inom tre månader. Vi är vana vid att få både enkla e-postmeddelanden och professionella rapporter som innehåller kodexempel för utnyttjande av sårbarheten ifråga.

Vi vill tacka alla tidigare, nu aktiva och kommande Abitti-sårbarhetssökare!

Läs hur de som rapporterade dataskyddsincidenten beskriver sårbarheten: https://abitti.testausserveri.fi/

Beskrivning av SEN:s datasäkerhetssakkunniga om sårbarheten i servrarna som äventyrat datasäkerheten

Observationen gällande datasäkerheten inbegriper tre sårbarheter i Abitti-systemet. Genom att koppla samman sårbarheterna erhåller man rättigheter på root-nivå på servern.

(Redirect, Server side request forgery (SSRF)) Den första sårbarheten gäller NSA-övervakningen som servern uträttar och som skickar övervakningsanrop till apparaterna som deltar i provet. Övervakningsanropet mottas med en egen tjänst, som returnerar en begäran om omdirigering till provlokalens server (307). Begäran om omdirigering styrs till en lokal tjänst på servern, som är belägen på den lokala adressen 127.0.0.1 på port 8021. Denna tjänst står inte i direkt kontakt med utomstående apparater. Den interna omdirigeringen i servern leder till att kommandot som kommer från utanför körs i det interna systemet.

(Command injection) Den andra sårbarheten finns i gränssnittet i provlokalens server, vars funktion är att spara provsvaren. Det är inte möjligt att köra kommandon i detta system utanför provlokalens server, men omdirigeringen styr begäran lokalt, vilket leder till att begäran styrs till det sårbara lokala gränssnittet. Sårbarheten i gränssnittet är att det är möjligt att bifoga godtyckliga kommandon i det som argument varefter gränssnittet kör kommandona på servern.

(Privilege escalation) Den tredje sårbarheten gäller ”koetila”-användarens sudo-rättigheter. Koetila har privilegiet att skapa och köra med sudo-rättigheter (som administratör) skriptet /tmp/ktp-update-work/ktp-update.sh. Detta betyder, att koetila-användaren kan höja på sina rättigheter till adminstratornivå genom att skapa ett eget skript i katalogen i fråga och köra skriptet med sudo /bin/bash /tmp/ktp-update-work/ktp-update.sh kommandot.

Genom att koppla samman alla dessa sårbarheter kan en angripare på distans köra skadlig kod på provlokalens server (Remote code execution) som administratör.

Efter att ha fått tillgång till provlokalens server kan angriparen som administratör köra kod på provlokalens server och i vissa fall på examinandernas apparater. I detta fall riskeras informationens integritet, tillförlitlighet och tillgänglighet både på servern och i examinandernas system. I vissa fall kan kod som körs med root-rättigheter på examinandernas apparater utsätta examinandernas ursprungliga operativsystem för angrepp och missbruk. För att godtycklig kod ska köras på examinandens apparat krävs det att examinandapparater söker en uppdatering från servern. Examinandapparaten söker en uppdatering från servern då apparaten startas eller omstartas.

Den sårbara funktionen i koden för provlokalens server (Command injection) har funnits sedan år 2015, men möjligheten att utnyttja den med hjälp av SSRF-sårbarheten har varit möjlig först från 1.10.2019 framåt. Sårbarheterna har åtgärdats 4/2021.

Uppdatering av examinandens pinne

4.5.20214.5.2021Matti LattuLeave a comment

En datasäkerhetslucka har hittats från examinandpinnen, som gavs ut förra torsdagen. Luckan möjliggör, att provdeltagaren utför komandon med adminstratörsrättigheter. Examinandpinnen ABITTI2118E, som åtgärder datasäkerhetsluckan har publicerats idag.

Närmare information om denna lucka och luckan som gälde serverpinnarna publiceras på torsdagen den 6.5.

Ett stort tack går till Tuure Luosto, som upptäckte datasäkerhetsluckan.

Nya Abitti innehåller en viktig datasäkerhetsuppdatering samt startalternativen för höstens studentexamen

29.4.202129.4.2021Matti LattuLeave a comment

Abitti-serverversionen SERVER21174 som publiceras idag innehåller en viktig datasäkerhetsuppdateringfix. Gymnasierna bör omedelbart uppdatera sina provlokalsservrar. Provlokalsservrar som kontinuerligt hålls på, bör kopplas bort från det trådbundna eller trådlösa provnätet tills uppdatering är gjord.

Tipset som lätt till uppdateringen har kommit utanför Studentexamensnämnden. Enligt generell praxis, har nämnden bundit sig vid att publicera alla datasäkerhetsluckor som den fått till kännedom inom tre månader. Normalt publiceras informationen gällande luckan vid uppdateringen som fixar problemet. Informationen gällande denna lucka publiceras först på torsdagen den 6.5., så att gymnasierna har tid att uppdatera sina servrar.

Vid detta tillfälle vill vi redan tacka det sakkunniga white hacker –teamet för informationen som ledde till uppdateringen och deras professionella kommunikation under hela processen.

Examinandversionen ABITTI2117T innehåller startalternativen, som är i bruk under höstens studentexamen:

Natrium, Polonium, Radon, Radium och Uranium startar kernel-versionen 5.10
Det nya startalternativet Francium (kernel 5.10) kan hjälpa med att få touchpaden att fungera

De andra startalternativens kernel-versioner har uppdaterats.

Abitti innehåller flera små fixar och förbättringar, som upptäcktes under studentexamen våren 2021. Den viktigaste förbättringen lättar kopplingen av en separat dator i provnätet, eftersom den separata datorns nätkonfigurationer behöver inte ändras.

Tack även till den person som vill förbli anonym, som på eget önskemål fixade ljudbalanserna på ljudtestet.

Alla fixar och uppdateringar finns i ändringsloggen (endast på finska).

Examinandpinnen som publicerades i februari (ABITTI2106S) kan användas med den nya servern. Kompatibiliteten med äldre examinandpinnar har inte testats.

Abitti-version som motsvarar vårens studentprov

12.2.202112.2.2021Matti LattuLeave a comment

Den version av Abitti som motsvarar versionen som används i vårens studentexamensprov har nu getts ut. Den förra versionen ABITTI2053T innehöll redan de versioner av programmen som används i vårens prov, men i den nya versionen har en mängd förbättringar gjorts. Den version som nu ges ut är kompatibel med de versioner som getts ut den 3.11 (ABITTI20451 ja SERVER2045G) eller senare.

Rättstavningskontrollen i Firefox tagen ur bruk

I den nya versionen ABITTI2106S har ett exploateringssätt, som gjort det möjligt för den som utför provet att använda rättstavningskontroll på engelska, åtgärdats. Exploateringsmöjligheten har funnits med i provsystemet en lång tid. De egentliga rättstavningsdatabaserna och ordlistorna har avlägsnats u Abitti, men i webbläsaren Firefox fanns en inbyggd rättstavningsfunktion som kunde kopplas på av användaren. Användandet av funktionen krävde grundläggande programmeringskunskaper, eftersom rättstavningskontrollen inte fungerade i de normala svarsfönstren i Abitti. Studentexamensnämnden har i enlighet med allmän datasäkerhetspraxis förbundit sig att inom tre månader publicera alla dataskyddsanmälningar som kommit till nämndens kännedom. Vi tackar den person som upptäckte exploateringsmöjligheten. Personen ifråga ville att hens namn inte publiceras.

WxMaxima har fått en startikon, men Okular saknar fortfarande en

En ikon för att starta programmet WxMaxima, som används för symbolisk kalkyl, har lagts till i programmenyn på examinandens dator. Tyvärr upptäckte vi alltför sent att startikonen för programmet Okular, som används för att läsa PDF-filer, också saknas. Till all lycka är programmet lätt att starta då man öppnar PDF-filer från provets materialflik, på arbetsbordet eller i mappen Nedladdningar. Anvisningar om detta kommer att läggas till i anvisningarna för övervakare för vårens studentexamensprov.

Förbättringar på provlokalens server gällande nätet

Många små förbättringar har gjorts på provlokalens server. Uppstarten av serverns nätuppkoppling har förbättrats och problemet med synkroniseringen av servern och reservservern har åtgärdats. I våra egna tester ska det nu vara problemfritt att starta en server som startas från minnespinne med andra pinne inkopplad.

De nyaste versionskoderna kan läsas maskinellt

I Abitti har nya versionskoder stegvis tagits i bruk. De nya koderna består av ett prefix för servern (SERVER) eller examinandens dator (ABITTI) följt av utgivningsåret och -veckan, samt ett extratecken som ändras efter behov.

Versionskoderna visas systematiskt på vår webbsida för nya utgåvor, på startpinnen (till exempel genom att kpplla in pinnen i en dator med Windows 10), på arbetsbordet på servern och examinandens dator, samt i Naksu. Det gamla sättet att numrera versionerna med ett nummer var ämnat för programmet Abitti-USB och gjorde att vi var tvungna att alltid ge ut både en serverpinne och en examinandpinne. Detta har emellanåt lett till onödiga utgåvor och onödigt omskrivande av pinnar.

Versionskoderna för de nyaste utgåvorna kan läsas maskinellt genom följande adresser:

Provlokalens server: http://static.abitti.fi/etcher-usb/ktp-etcher.ver
Examinandpinnen: http://static.abitti.fi/etcher-usb/koe-etcher.ver

Mer information

Ny version av Abitti, möjlighet att ångra radering av prov och ny Telegram-grupp för it-stöd

5.2.20213.3.2021Matti LattuLeave a comment

En lärare som av misstag raderat ett kursprov i Abitti-webbtjänsten innan svaren har laddats upp och bedömts behöver inte längre kontakta Abitti-stödet för att lösa situationen. Läraren kan med hjälp av en ny funktion i webbtjänsten ångra raderingen och återställa provet så att svaren kan föras in och bedömas. Det är nu också möjligt att ångra raderingen av enskilda provsvarspaket i webbtjänsten. Som förut finns raderade prov och provsvar kvar i systemet i minst tre månader, varefter de raderas för gott.

I slutet av nästa vecka ges en ny version av Abitti ut. Den motsvarar den version som används i vårens studentexamen. Inga ändringar har gjorts gällande programmen på examinandpinnen sedan den förra versionen (ABITTI2053T).

Nämnden har tagit meddelandetjänsten Telegram i bruk och grundat Telegram-gruppen ”YTL IT” där det är möjligt för it-stödpersoner och andra som jobbar med provsystemet att diskutera saker som berör servrarna, nätet i provlokalen eller övrig teknik i provsystemet. Abitti-stödet finns också med i gruppen. Det är möjligt att gå med i gruppen via länken https://t.me/joinchat/ffN077ONryYyODVk. Gruppen är tvåspråkig.

Vid examen förra hösten visade det sig vara fördelaktigt att vid problemsituationer ha en videoförbindelse. Utifrån detta kommer nämnden att rekommendera att det i varje provlokal finns en telefon med Telegram-appen installerad.

Den nya versionen av Abitti med programversionerna för vårens examen

7.1.202112.1.2021Matti LattuLeave a comment

En ny version av Abitti har getts ut. På den nya pinnen finns de programversioner som används i studentexamen våren 2021. En ny egenskap är möjligheten att utföra prov med hjälp av en separat dator. Detta gör det möjligt för examinander med särskilda behov att öva sig också i samband med kursprov. Möjligheten att koppla upp en separat dator kommer i studentexamen att användas

av examinander som erhållit beslut om assisterad utskrift som specialarrangemang från och med examen våren 2021.
av synskadade examinander som erhållit rätt att i examen använda egen, specialutrustad dator från och med examen hösten 2021.

Övningsprov för synskadade examinander är tillgängliga endast om de på samma sätt som studentexamensproven är kodade i ”det nya provformatet”. Prov som gjorts upp med editorn i Abitti är tillgängliga ifall inga externa insticksprogram har använts och proven är tekniskt enkla och innehåller uppgifter och svar i textform. Tekniska anvisningar för hur en separat dator kopplas upp ges av Abitti-stödet och mer information om ”det nya provformatet” finns i ett tidigare blogginlägg.

Den nya versionen är kompatibel med alla versioner som publicerades under hösten 2020 baserat på Debian Buster.

Övriga ändringar:

I vissa specifika fall har det förekommit problem med uppkopplingen av examinandens dator och servrar till nätet. Situationen blir förhoppningsvis bättre med den nya versionen.
Tilläggsprogrammen till TI Inspire, som ges ut av SchoolStore Team Oy, har uppdaterats. I den nya versionen finns en separat tilläggsdel för matematik med.
Kopiering av formler direkt från den nya versionen av MAOL:s digitabeller till svarsfältet fungerar nu. I motsats till vad som tidigare meddelades berör detta den nya versionen av tabellerna. Formler kan precis som tidigare inte kopieras från den gamla versionen av MAOL:s digitabeller.

Uppdateringar:

Lagt till information om bakåtkompatibilitet (12.1.)

Naksu uppdateras

11.12.202011.12.2020Matti LattuLeave a comment

Naksu, som underlättar hanteringen av den virtuella provlokalsservern, uppdateras till version 2.0.0. Den största förändringen är att den nya versionen av Naksu inte längre behöver programmet HashiCorp Vagrant för att fungera.

Naksu uppdateras automatiskt i samband med att den startas ifall datorn är uppkopplad till internet.

Åtgärder i samband med uppdateringen

Den nya Naksu installerar den virtuella maskinen direkt i VirtualBox, och den gamla virtuella maskinen, som skapats med Vagrant, blir kvar i bakgrunden. Om det inte finns provprestationer som inte tagits ut kan den gamla servern tas bort före den nya installeras genom att klicka på knappen ”Avlägsna servern”.

Nya Naksu installerar Abittiservern med ”Installera eller uppdatera server för” -funktionen som, precis som tidigare, finns bland hanteringsverktygen.

Naksu version 2 används i vårens studentexamen

Den nya versionen av Naksu används i studentexamen på våren. En installationskod som fås genom examenstjänsten före examen räcker för att kunna ladda ned den rätta skivavbilden. Det är inte länge nödvändigt att flytta omkring en Vagrantfile-fil.

Inga programförändringar krävs

För att använda Naksu 2 krävs inga ändringar eller uppdateringar av programmen på datorn. HashiCorp Vagrant kan avinstalleras, men det är inte nödvändigt att göra det.

Tack till alla som testat Naksu

Tack till alla som deltagit i testandet av Naksu 2 genom att ge respons!

Nästa Abitti-version ges ut vid årsskiftet

7.12.20207.12.2020Matti LattuLeave a comment

Följande version av Abitti kommer att ges ut vid årsskiftet. Det exakta datumet för detta meddelas senare. Följande förändringar kommer att finnas med i denna nästa version. Listan nedan uppdateras vid behov.

I vissa fall kopplas inte examinandens dator upp till nätet då datorn startas. Ett sätt att åtgärda detta har hittats och testas för närvarande.
En uppdatering av de tilläggsdelar till TI Inspire som SchoolStore Team Oy ger ut kommer att finnas med. I den nya versionen finns en separat tilläggsdel för matematik.
I den gamla versionen av MAOL:s digitabeller går det inte att kopiera formler direkt till svarsfältet. Otava har nu levererat en fix som åtgärdar detta, och som kommer att finnas med i den kommande versionen.
Synskadade studeranden kan göra Abitti-prov genom att koppla sin egen specialutrustade dator till en examinandens dator som startats från en Abitti-pinne. Våren 2021 utför dock synskadade studentexamensproven på samma sätt som tidigare, men hösten 2021 utförs proven direkt i Abitti. Vi önskar få respons på det nya sättet att utföra proven av gymnasierna och av synskadade studeranden under våren.

Versionen som används i studentexamen våren 2021 bygger på den version som ges ut vid årsskiftet.

Inga förändringar kommer att göras i listan över hjälpprogram som finns tillgängliga. En ny version av programmet LoggerPro har kommit ut, men det är ännu osäkert om den hinner med i Abitti-utgåvan vid årsskiftet och därmed även med på pinnarna som används i examen våren 2021.

Patchversion har publicerats

27.11.202027.11.2020Matti LattuLeave a comment

En ny uppdatering som åtgärdar fel som uppdagats i den förra versionen av Abitti har publicerats.

Den nya versionen kan användas i kors med den version som publicerades tidigare ifall de uppdagade felen i den tidigare versionen inte stör användningen.

Pinnarna som används i studentexamen våren 2021 bygger på den Debian Buster-baserade verionen av Abitti som publicerades i oktober. Följande publicering av uppdateringar av Abitti planeras ske i januari.

Den korrigerade startmenyn är nu publicerad

4.11.20205.11.2020Matti LattuLeave a comment

Det hittades direkt saker som bör korrigeras i den nya Abitti-versionen. Två Gallium-startalternativ uppenbarade sig i startmenyn. Det övre alternativet startar Abitti med den nya kerneln 5.8, medan det nedre alternativet startar version 4.9 som funnits med på pinnen redan en längre tid.

Den korrigerade versionen är nu publicerad med versionsnumret ABITTI20459. Den korrigerade versionen kan användas parallellt med versionen som publicerades på tisdagen.