Författare: Matti Lattu

Vad ändras i juni

Följande ändringar som påverkar användningen av Abitti kommer att göras i juni.

Editorn och förhandsgranskningen för det gamla formatet faller bort

Editorn som används för att göra upp prov i det gamla MEB-provformatet tas ur bruk torsdagen 8.6. Efter detta kan prov endast göras upp med editorn Bertta eller genom att ladda upp prov med knappen Hämta prov[LR(1] . Förhandsgranskningen av prov i det gamla formatet faller också bort.

De prov som gjorts i det gamla provformatet kommer fortfarande att finnas kvar i Abitti. Prov i det gamla formatet kan fortfarande laddas upp med knappen Hämta prov och enskilda uppgifter kan kopieras över till nya prov med funktionen för kopiering av uppgifter i editorn Bertta.

Vi meddelade om denna förändring 1.9.2022. Vi har ännu inte fattat beslut om när möjligheten att ladda upp nya MEB-prov med knappen hämta prov faller bort eller när alla prov i MEB-formatet tas bort ur Abitti.

Abitti ur bruk 20.6.

Underhållsarbeten görs i Abitti tisdagen 20.6. På grund av detta kommer det att vara ett flera timmar långt avbrott i tjänsten med början efter kl. nio på förmiddagen. Prov kan ordnas också under avbrottet, men provuppgifterna måste laddas ned dagen innan. Det kommer troligen att vara möjligt att bedöma prov redan på tisdag eftermiddag.

 

Abitti-stödet önskar alla semesterfirare en riktigt god undervisningsfri period eller semester!

Små uppdateringar i den nya Abittiversionen

De nya Abittiversionerna som ges ut idag innehåller några små förbättringar. Otavas MAOL digitala tabeller har uppdaterats och anvisningarna för provmiljön är nu mer tillgängliga.

På tekniksidan har firmware-filerna för några apparater uppdaterats. Efter uppdateringarna fungerar vissa wifi- och ljudkretsar bättre än tidigare.

Dessutom har två datasäkerhetsuppdateringar gjorts på examinandpinnen.

  • Det var tidigare möjligt att använda rättstavningskontroll på engelska i Libre Office. Detta har nu förhindrats. Tack till Santtu Savola som upptäckte denna egenskap.
  • Det är möjligt att se namnen på de wifinät som datorn upptäcker. Det är möjligt att använda dessa namn för att förmedla information till examinanden. Möjligheterna att utnyttja denna attackmetod i studentexamensproven ökar hela tiden då gymnasierna övergår till att använda trådlösa examensnätverk. Den nya Abittiversionen döljer namnet på alla nät för användaren ifall de är längre än 20 tecken. I studentexamensproven kommer filtret att vara ännu striktare. Tack till Mika K som meddelade om denna möjlighet och beskrev flera sätt att utnyttja den.

Versionerna som nu ges ut kan användas tillsammans med de versioner som getts ut i oktober 2022 eller senare.

Den nya Abitti-versionen är lämpar sig för att testa vårens examensarrangemang

Abitti-versionerna som publicerats idag (ABITTI2307P och SERVER2307S) lämpar sig för att testa arrangemangen inför vårens studentexamen.

Följande fixar har gjorts i examinandens dator:

  • 3D-visningen av GeoGebra 5 och MarvinSketchs MarvinSpace, som gör att strukturella modeller kan ses i tre dimensioner, har fixats i examinandens pinne.
  • I version ABITTI2302L slutade ljudet i examinandens dator att fungera när användargränssnittets språket ändrades till svenska. Denna bugg har åtgärdats.
  • I vissa övningsprov har ljudfiler påträffats, som har inkluderat videoinnehåll. Tidigare har sådana filer inte fungerat som inspelningar med begränsad lyssning. Nu spelas bara ljudet från inspelningarna och allt videoinnehåll ignoreras.

Loggdata som skickas från examinandens dator till provlokalens server är krypterad, vilket gör det svårt att avlyssna datatrafiken. Trots detta kommer versionerna som publiceras nu att fungera med Abitti-versionerna som publicerades i oktober 2022 och senare.

Läs mera:

Nya Abitti motsvarar vårens studentexamenspinne och åtgärdar sårbarheter i datasäkerheten

Abitti-versionen som publiceras idag är den sista som publiceras innan vårens studentexamen. Den innehåller endast en synlig ändring för examinander: när du öppnar en PDF-fil som är bilaga till prov, är det lätt att öppna bilagan med ett annat program än webbläsaren (t.ex. Okular).

Tre datasäkerhetssårbarheter har åtgärdats i den nu publicerade Abitti, varav den allvarligaste gjorde det möjligt att logga in på provet med fel personbeteckning.

Den nya versionen är kompatibel med Abitti-versionerna som publicerats efter vecka 43 år 2022:

  • ABITTI 2243K, 2244B, 22451
  • SERVER 22436, 2244T

Sårbarheterna hittades under ett evenemang för hackare

Säkerhetshålen hittades i HackDay-tävlingen som anordnades av LokalTapiola för så kallade white hat-hackare den 15.10.2022. Studentexamensnämnden har behandlat resultaten enligt sin normala politik så att de publiceras inom tre månader från kungörandet. På grund av hackerevenemangets konfidentiella karaktär känner Studentexamensnämnden inte till namnen på alla de team och teammedlemmar som hittade sårbarheterna.

Studentexamensnämnden tackar LokalTapiola och alla de som rapporterat sårbarheter.

Nedan följer kortfattade beskrivningar av de nu åtgärdade sårbarheterna.

1. Det var möjligt att logga in på provet med fel personbeteckning

Vid inloggning i Abitti används examinandens personbeteckning som övervakaren kontrollerar och ger examinanden en bekräftelsekod att ange i inloggningsvyn. Vid attacken loggar man in i provsystemet genom att maskinellt ange personbeteckningen och verifieringskoden tills rätt kombination hittas (brute force). På detta sätt kan man avlägga provet med falsk identitet.

Sårbarhetsklassificering: CVSS-poäng 8,3 (högt)

2. Sessionsidentifieraren mellan övervakarens dator och provlokalens server var hårdkodad

Provanordnaren kan starta datorer för övervakare i provnätverket, från vilka de kan övervaka den rådande situationen av provtillfället genom provsystemet. En hårdkodad sessionsidentifierare har använts i kommunikationen mellan övervakarens dator och provlokalens server. Som sådan öppnar den inte åtkomst till provlokalens server, eftersom övervakarnas datorer är auktoriserade med ett lösenord som lottas av servern.

Sårbarhetsklassificering: CVSS-poäng 5,0 (medium)

3. Examinander kunde spara inspelningar med begränsade lyssningsgånger

I sårbarheten använder den fuskande examinanden monitorljudutgången från PulseAudio-ljudmjukvaran som används i Abitti. Med hjälp av programvara i Abitti sparas signalen som kommer från monitorutgången till en fil. Efter detta kan inspelningen fritt lyssnas på av examinanden.

Sårbarhetsklassificering: CVSS-poäng 3,3 (lågt)

Vi tackar teamet Testausserveri: Ruben Mkrtumyan, Mikael Hannolainen, Santtu Sievänen, Veeti Ojanperä och Taavi Väänänen.

Avbrott i användningen av Abitti 28.12.2022

Abitti undergår service onsdagen den 28.12.2022. Webbtjänsten abitti.fi, som används för att skapa provuppgifter och bedöma provprestationer är ur bruk. Avbrottet räcker eventuuellt hela arbetsdagen.

De prov som skapats och laddats ned innan avbrottet kan hållas, men provprestationerna kan laddas upp först då avbrottet är över.

Följande Abittiversion ges ut i början av januari. Denna version kommer att motsvara den Abittiverson som används i studentexamen våren 2023.

Abittistödet önskar alla en god jul och ett gott nytt år!

Abitti-versionen som publicerades i oktober åtgärdade allvarliga datasäkerhetsluckor

Abitti-versionen som publicerades i slutet av oktober åtgärdade allvarliga datasäkerhetsluckor.

Den allvarligaste sårbarheten fanns i provlokalens server. Sårbarheten gjorde det möjligt att modifiera och ladda ner och uppgifter från provlokalens server (till exempel examinandens personuppgifter, provprestationerna och säkerhetskopior av filer som sparats av examinanden).

En annan åtgärdad sårbarhet var en bunt liknande metoder som möjliggjorde examinanden att få administratorrättigheter till sin egen dator. Dessutom var versionsnumret på licensavtalet i examinandens dator felaktigt.

Datasäkerhetsluckorna har funnits i alla studentexamensprov som hittills arrangerats. Studentexamensnämnden har inte uppgifter om huruvida sårbarheterna har utnyttjats vid studentexamen.

Studentexamensnämnden rekommenderar arrangörer av övningsprov med hjälp av Abitti-systemet att omedelbart uppdatera till säkra versioner:

  • Åtgärdade versioner av examinandens datorer: 2243K, 2244B, 22451
  • Åtgärdade versioner av provlokalens server: 22436, 2244T, 2245K

Sårbarheterna hittades under ett evenemang för hackare

Säkerhetshålen hittades i HackDay-tävlingen som anordnades av LokalTapiola för så kallade white hat-hackare den 15.10.2022. Studentexamensnämnden har behandlat resultaten enligt sin normala politik så att de publiceras inom tre månader från kungörandet. På grund av hackerevenemangets konfidentiella karaktär känner Studentexamensnämnden inte till namnen på de team och teammedlemmar som hittade sårbarheterna.

Studentexamensnämnden tackar LokalTapiola och alla de som rapporterat sårbarheter.

Vid HackDay-evenemanget gjordes även andra datasäkerhetsfynd gällande Abitti, som kommer att rapporteras senare.

Nedan följer kortfattade beskrivningar av de nu åtgärdade sårbarheterna.

1. Ladda ner och redigera godtyckliga filer

Den allvarligaste sårbarheten tillåter tillägg, ändring och nedladdning av filer från provlokalens server. Attacken ska utföras från en dator ansluten till det lokala provnätverket, till exempel från examinandens egen dator. Missbruket kräver inloggning på provlokalens server.

Attacken är baserad på otillräcklig sanering av indata i gränssnittet som används för att säkerhetskopiera filerna som skapats av examinanden under provet.

Sårbarhetsklassifiering: CVSS: 8,8 (högt)

2. Köra godtyckliga kommandon med root-privilegier

Sårbarheten möjliggör exekvering av godtyckliga kommandon på examinandens egen dator med root-användarrättigheter. Attacken baseras på mekanismen i Abitti-provsystemet, som kan användas för att uppdatera filerna på examinandens dator i samband med provfilerna. Uppdateringsmekanismen extraherar filerna till en tillfällig katalog på examinandens dator före installering. En vältajmad attack ersätter filerna med angriparens filer, som är installerade i provmiljön med root-privilegier.

Attacken är endast möjlig i prov som innehåller ett paket som uppdaterar examinandens dator. Allvarlighetsgraden av observationen vid studentexamen minskas av den tekniska övervakningen av examinandens dator.

Sårbarhetsklassifiering: CVSS-poäng: 2,0 (lågt)

3. Felaktig version av användarvillkorsavtalet

När provdeltagaren loggade in visades fel versionsnummer 1.3 av licensavtalet, då rätt versionsnummer skulle ha varit 1.4.

Det egentliga versionsnumret i det läsbara licensavtalet har varit korrekt (1.4) och själva avtalstexten har motsvarat versionen på webbplatsen Abitti.fi (1.4).

Sårbarhetsklassifiering: GDPR-överträdelse

Fix för drivrutinen i AMD-grafikkort

Abitti, som publicerades i slutet av oktober, har startat dåligt i datorer med chip-leverantören AMDs grafikkort. Abitti-versionen ABITTI22451 som publicerades idag innehåller en fix till just detta grafikkort. Serverversionen som innehåller motsvarande fix är SERVER2245K.

Denna version som nu publicerats fungerar med Abitti-versionerna som publicerades i oktober och november. Det finns ingen anledning att uppdatera pinnarna om allt fungerar. Till exempel kan examensnätet ha flera versioner av olika examinandpinnar: 22451, 2244B och 2243K.

Datasäkerhetslucka i gamla Abitti-versioner

Vi påminner om att versionen som publicerades i slutet av oktober åtgärdade en betydande datasäkerhetslucka. Vi fortsätter att uppmuntra alla Abitti-användare att byta till nya versioner så snabbt som möjligt.

Studentexamensnämnden förbinder sig att publicera de datasäkerhetsluckor som rapporterats inom tre månader. På grund av problemen som försvårat att ta i bruk Abitti-versionen som åtgärdade luckan har vi skjutit upp dess publiceringen. De åtgärdade luckorna publiceras den 28.11. 2022.

Abitti-uppdatering åtgärdar startproblem

På vissa datorer har den nya versionen av Abitti, som gavs ut i början av veckan, inte startat upp som den ska. Efter menyn med startalternativ namngivna efter grundämnen ger datorn felmeddelandet ”cannot allocate kernel buffer”, varefter uppstartprocessen avbryts. Felmeddelandet har förekommit både på examinandens dator och på servrar som startats från ett USB-minne.

I den version av examinandens dator och provlokalens server som nu publiceras har den tidigare versionen av grub, som laddar Linux-kärnan (kerneln), återinförts. Detta har i alla de fall vi känner till åtgärdat startproblemet.

Användarna av Abitti kan alltid själva besluta när de uppdaterar till en ny version. Då man besluter om tidtabellen för uppdateringen denna gång bör man beakta följande:

  • I de versioner av Abitti som publicerats före denna veckas version finns allvarliga datatsäkerhetsluckor. Information om dessa kommer att ges ut 14.11.2022.
  • De versioner som nu publiceras är kompatibel med de versioner som gavs ut i början av veckan (ABITTI2243K och SERVER22436).
  • Det är inte nödvändigt att uppdatera versionerna som gavs ut i början av veckan om “cannot allocate kernel buffer”-problemet inte observerats på de datorer gymnasiet använder.

Läs mera:

Den nya Abitti-versionen förbättrar stödet av apparater och åtgärdar brister i datasäkerheten

Abitti-versionen som publiceras idag är tekniskt betydelsefull, men ur användarnas synvinkel är det en ganska liten uppdatering. Operativsystemet Debian GNU/Linux bakom Abitti har uppdaterats till version 11 (kodnamn Bullseye). Som ett resultat uppdateras LibreOffice till version 7, och apparatstödet för exempelvis trådlösa kretskort förbättras. 

Den nya Abitti-versionen innehåller även korrigeringar för betydande datasäkerhetshål. Därför rekommenderar vi att alla gymnasier tar den omedelbart i bruk. 

Abitti som nu publiceras är inte kompatibel med äldre versioner. 

Den nya versionen åtgärdar allvarliga datasäkerhetshål 

Datasäkerhetshål hittades vid Hack Day-evenemanget som anordnades av LähiTapiola. Vid evenemanget söker dussintals datasäkerhetsentusiaster och proffs efter sårbarheter i datasäkerheten under en arbetsdag. Under dagen hittade deltagarna problem relaterade till datasäkerheten och dataskyddet i Abitti. 

Abitti-versionen som nu publiceras åtgärdar de viktigaste säkerhetshålen som hittats under evenemanget. Mindre luckor kommer att korrigeras i den version som publiceras i december-januari, så att de hinner till studentexamen våren 2023. 

I enlighet med allmän praxis i branschen förbinder sig Studentexamensnämnden att inom tre månader offentliggöra datasäkerhetshål som anmälts till den. De korrigerade datasäkerhetshålen kommer att publiceras den xx.11.2022, varefter utnyttjningsmetoderna av dem kommer att vara kända för alla. 

Den mest synliga förändringen är version 7 av LibreOffice 

Den mest synliga förändringen i den nya Abitti-versionen är uppdateringen av LibreOffice till version 7. Externt liknar den nya versionen i stort sett den tidigare, men de funktionaliteter som är viktiga för det egna bruket bör kontrolleras. Här är några ändringar: 

  • ändringar har gjorts i några kalkylbladsfunktioner (se ändringar i LibreOffice-meddelandet) 
  • textbehandling, ritning och presentationsgrafikkomponenter har möjlighet att hantera genomskinliga element 

I övrigt har det bara skett mindre ändringar i de bifogade programmen. TI-Nspire och Casio ClassPad Manager har fått underhållsuppdateringar. Rättelser har gjorts i LoggerPros finska användargränssnitt. 

Abitti varnar för att minnet tar slut 

Nya Abitti har ett verktyg som övervakar minnesanvändningen i examinandens dator och varnar om minnet börjar ta slut. Detta är särskilt användbart vid prov i matematiskt-naturvetenskapliga ämnen, där examinanderna har flera program samtidigt i användning. 

Varningen uppmanar datoranvändaren att stänga onödiga program. Otillräckligt minne får vanligtvis datorn att stanna (”frysa”). Denna funktion är särskilt välkommen för dem som avlägger prov med minsta möjliga 4 gigabytes primärminne. 

Studentsexamensnämnden rekommenderar minst 8 gigabyte primärminne för examinanders datorer. Primärminne med 8 gigabyte blir ett obligatoriskt krav fr.o.m. 1.8.2025. 

Möjligheten att arrangera MEB/JSON-prov avtar 

I den nya Abitti-versionen finns det inte längre stöd för prov gjorda med det gamla MEB/JSON-formatet. Nedladdningen av dessa prov från Abittis webbtjänst avslutades redan den 10.10.2022. 

I bakgrunden ligger Debian Bullseye och kärnan 5.19 

På maskinrumssidan är den största förändringen i uppdateringen övergången till Debian GNU/Linux version 11 (Bullseye). Baserat på rapporter vi fick under testfasen kommer bärbara datorer baserade på Intels 12:e generations processorer att starta. Dessa fungerade inte alls med den äldre versionen. 

Linux-kärnversion 5.19 har tagits till pinnen, som har ersatt den tidigare versionen 5.16. Förutom kärnan har firmwaren för några wifi-kort uppdaterats. 

Denna tekniskt betydelsefulla uppdatering har testats av IT-experter i gymnasier och av datorförsäljare. Till skillnad från tidigare har vi publicerat skivavbilder gjorda för testanvändning i god tid fr.o.m. den 1.9.2022. Tack till er som deltog i testningen! Vi kommer att fortsätta med denna praxis vid kommande publiceringar. 

Läs mera