Författare: Matti Lattu

Nya Abitti motsvarar vårens studentexamenspinne och åtgärdar sårbarheter i datasäkerheten

Leave a comment

Abitti-versionen som publiceras idag är den sista som publiceras innan vårens studentexamen. Den innehåller endast en synlig ändring för examinander: när du öppnar en PDF-fil som är bilaga till prov, är det lätt att öppna bilagan med ett annat program än webbläsaren (t.ex. Okular).

Tre datasäkerhetssårbarheter har åtgärdats i den nu publicerade Abitti, varav den allvarligaste gjorde det möjligt att logga in på provet med fel personbeteckning.

Den nya versionen är kompatibel med Abitti-versionerna som publicerats efter vecka 43 år 2022:

  • ABITTI 2243K, 2244B, 22451
  • SERVER 22436, 2244T

Sårbarheterna hittades under ett evenemang för hackare

Säkerhetshålen hittades i HackDay-tävlingen som anordnades av LokalTapiola för så kallade white hat-hackare den 15.10.2022. Studentexamensnämnden har behandlat resultaten enligt sin normala politik så att de publiceras inom tre månader från kungörandet. På grund av hackerevenemangets konfidentiella karaktär känner Studentexamensnämnden inte till namnen på alla de team och teammedlemmar som hittade sårbarheterna.

Studentexamensnämnden tackar LokalTapiola och alla de som rapporterat sårbarheter.

Nedan följer kortfattade beskrivningar av de nu åtgärdade sårbarheterna.

1. Det var möjligt att logga in på provet med fel personbeteckning

Vid inloggning i Abitti används examinandens personbeteckning som övervakaren kontrollerar och ger examinanden en bekräftelsekod att ange i inloggningsvyn. Vid attacken loggar man in i provsystemet genom att maskinellt ange personbeteckningen och verifieringskoden tills rätt kombination hittas (brute force). På detta sätt kan man avlägga provet med falsk identitet.

Sårbarhetsklassificering: CVSS-poäng 8,3 (högt)

2. Sessionsidentifieraren mellan övervakarens dator och provlokalens server var hårdkodad

Provanordnaren kan starta datorer för övervakare i provnätverket, från vilka de kan övervaka den rådande situationen av provtillfället genom provsystemet. En hårdkodad sessionsidentifierare har använts i kommunikationen mellan övervakarens dator och provlokalens server. Som sådan öppnar den inte åtkomst till provlokalens server, eftersom övervakarnas datorer är auktoriserade med ett lösenord som lottas av servern.

Sårbarhetsklassificering: CVSS-poäng 5,0 (medium)

3. Examinander kunde spara inspelningar med begränsade lyssningsgånger

I sårbarheten använder den fuskande examinanden monitorljudutgången från PulseAudio-ljudmjukvaran som används i Abitti. Med hjälp av programvara i Abitti sparas signalen som kommer från monitorutgången till en fil. Efter detta kan inspelningen fritt lyssnas på av examinanden.

Sårbarhetsklassificering: CVSS-poäng 3,3 (lågt)

Vi tackar teamet Testausserveri: Ruben Mkrtumyan, Mikael Hannolainen, Santtu Sievänen, Veeti Ojanperä och Taavi Väänänen.

Avbrott i användningen av Abitti 28.12.2022

Leave a comment

Abitti undergår service onsdagen den 28.12.2022. Webbtjänsten abitti.fi, som används för att skapa provuppgifter och bedöma provprestationer är ur bruk. Avbrottet räcker eventuuellt hela arbetsdagen.

De prov som skapats och laddats ned innan avbrottet kan hållas, men provprestationerna kan laddas upp först då avbrottet är över.

Följande Abittiversion ges ut i början av januari. Denna version kommer att motsvara den Abittiverson som används i studentexamen våren 2023.

Abittistödet önskar alla en god jul och ett gott nytt år!

Abitti-versionen som publicerades i oktober åtgärdade allvarliga datasäkerhetsluckor

Leave a comment

Abitti-versionen som publicerades i slutet av oktober åtgärdade allvarliga datasäkerhetsluckor.

Den allvarligaste sårbarheten fanns i provlokalens server. Sårbarheten gjorde det möjligt att modifiera och ladda ner och uppgifter från provlokalens server (till exempel examinandens personuppgifter, provprestationerna och säkerhetskopior av filer som sparats av examinanden).

En annan åtgärdad sårbarhet var en bunt liknande metoder som möjliggjorde examinanden att få administratorrättigheter till sin egen dator. Dessutom var versionsnumret på licensavtalet i examinandens dator felaktigt.

Datasäkerhetsluckorna har funnits i alla studentexamensprov som hittills arrangerats. Studentexamensnämnden har inte uppgifter om huruvida sårbarheterna har utnyttjats vid studentexamen.

Studentexamensnämnden rekommenderar arrangörer av övningsprov med hjälp av Abitti-systemet att omedelbart uppdatera till säkra versioner:

  • Åtgärdade versioner av examinandens datorer: 2243K, 2244B, 22451
  • Åtgärdade versioner av provlokalens server: 22436, 2244T, 2245K

Sårbarheterna hittades under ett evenemang för hackare

Säkerhetshålen hittades i HackDay-tävlingen som anordnades av LokalTapiola för så kallade white hat-hackare den 15.10.2022. Studentexamensnämnden har behandlat resultaten enligt sin normala politik så att de publiceras inom tre månader från kungörandet. På grund av hackerevenemangets konfidentiella karaktär känner Studentexamensnämnden inte till namnen på de team och teammedlemmar som hittade sårbarheterna.

Studentexamensnämnden tackar LokalTapiola och alla de som rapporterat sårbarheter.

Vid HackDay-evenemanget gjordes även andra datasäkerhetsfynd gällande Abitti, som kommer att rapporteras senare.

Nedan följer kortfattade beskrivningar av de nu åtgärdade sårbarheterna.

1. Ladda ner och redigera godtyckliga filer

Den allvarligaste sårbarheten tillåter tillägg, ändring och nedladdning av filer från provlokalens server. Attacken ska utföras från en dator ansluten till det lokala provnätverket, till exempel från examinandens egen dator. Missbruket kräver inloggning på provlokalens server.

Attacken är baserad på otillräcklig sanering av indata i gränssnittet som används för att säkerhetskopiera filerna som skapats av examinanden under provet.

Sårbarhetsklassifiering: CVSS: 8,8 (högt)

2. Köra godtyckliga kommandon med root-privilegier

Sårbarheten möjliggör exekvering av godtyckliga kommandon på examinandens egen dator med root-användarrättigheter. Attacken baseras på mekanismen i Abitti-provsystemet, som kan användas för att uppdatera filerna på examinandens dator i samband med provfilerna. Uppdateringsmekanismen extraherar filerna till en tillfällig katalog på examinandens dator före installering. En vältajmad attack ersätter filerna med angriparens filer, som är installerade i provmiljön med root-privilegier.

Attacken är endast möjlig i prov som innehåller ett paket som uppdaterar examinandens dator. Allvarlighetsgraden av observationen vid studentexamen minskas av den tekniska övervakningen av examinandens dator.

Sårbarhetsklassifiering: CVSS-poäng: 2,0 (lågt)

3. Felaktig version av användarvillkorsavtalet

När provdeltagaren loggade in visades fel versionsnummer 1.3 av licensavtalet, då rätt versionsnummer skulle ha varit 1.4.

Det egentliga versionsnumret i det läsbara licensavtalet har varit korrekt (1.4) och själva avtalstexten har motsvarat versionen på webbplatsen Abitti.fi (1.4).

Sårbarhetsklassifiering: GDPR-överträdelse

Fix för drivrutinen i AMD-grafikkort

Leave a comment

Abitti, som publicerades i slutet av oktober, har startat dåligt i datorer med chip-leverantören AMDs grafikkort. Abitti-versionen ABITTI22451 som publicerades idag innehåller en fix till just detta grafikkort. Serverversionen som innehåller motsvarande fix är SERVER2245K.

Denna version som nu publicerats fungerar med Abitti-versionerna som publicerades i oktober och november. Det finns ingen anledning att uppdatera pinnarna om allt fungerar. Till exempel kan examensnätet ha flera versioner av olika examinandpinnar: 22451, 2244B och 2243K.

Datasäkerhetslucka i gamla Abitti-versioner

Vi påminner om att versionen som publicerades i slutet av oktober åtgärdade en betydande datasäkerhetslucka. Vi fortsätter att uppmuntra alla Abitti-användare att byta till nya versioner så snabbt som möjligt.

Studentexamensnämnden förbinder sig att publicera de datasäkerhetsluckor som rapporterats inom tre månader. På grund av problemen som försvårat att ta i bruk Abitti-versionen som åtgärdade luckan har vi skjutit upp dess publiceringen. De åtgärdade luckorna publiceras den 28.11. 2022.

Abitti-uppdatering åtgärdar startproblem

Leave a comment

På vissa datorer har den nya versionen av Abitti, som gavs ut i början av veckan, inte startat upp som den ska. Efter menyn med startalternativ namngivna efter grundämnen ger datorn felmeddelandet ”cannot allocate kernel buffer”, varefter uppstartprocessen avbryts. Felmeddelandet har förekommit både på examinandens dator och på servrar som startats från ett USB-minne.

I den version av examinandens dator och provlokalens server som nu publiceras har den tidigare versionen av grub, som laddar Linux-kärnan (kerneln), återinförts. Detta har i alla de fall vi känner till åtgärdat startproblemet.

Användarna av Abitti kan alltid själva besluta när de uppdaterar till en ny version. Då man besluter om tidtabellen för uppdateringen denna gång bör man beakta följande:

  • I de versioner av Abitti som publicerats före denna veckas version finns allvarliga datatsäkerhetsluckor. Information om dessa kommer att ges ut 14.11.2022.
  • De versioner som nu publiceras är kompatibel med de versioner som gavs ut i början av veckan (ABITTI2243K och SERVER22436).
  • Det är inte nödvändigt att uppdatera versionerna som gavs ut i början av veckan om “cannot allocate kernel buffer”-problemet inte observerats på de datorer gymnasiet använder.

Läs mera:

Den nya Abitti-versionen förbättrar stödet av apparater och åtgärdar brister i datasäkerheten

Leave a comment

Abitti-versionen som publiceras idag är tekniskt betydelsefull, men ur användarnas synvinkel är det en ganska liten uppdatering. Operativsystemet Debian GNU/Linux bakom Abitti har uppdaterats till version 11 (kodnamn Bullseye). Som ett resultat uppdateras LibreOffice till version 7, och apparatstödet för exempelvis trådlösa kretskort förbättras. 

Den nya Abitti-versionen innehåller även korrigeringar för betydande datasäkerhetshål. Därför rekommenderar vi att alla gymnasier tar den omedelbart i bruk. 

Abitti som nu publiceras är inte kompatibel med äldre versioner. 

Den nya versionen åtgärdar allvarliga datasäkerhetshål 

Datasäkerhetshål hittades vid Hack Day-evenemanget som anordnades av LähiTapiola. Vid evenemanget söker dussintals datasäkerhetsentusiaster och proffs efter sårbarheter i datasäkerheten under en arbetsdag. Under dagen hittade deltagarna problem relaterade till datasäkerheten och dataskyddet i Abitti. 

Abitti-versionen som nu publiceras åtgärdar de viktigaste säkerhetshålen som hittats under evenemanget. Mindre luckor kommer att korrigeras i den version som publiceras i december-januari, så att de hinner till studentexamen våren 2023. 

I enlighet med allmän praxis i branschen förbinder sig Studentexamensnämnden att inom tre månader offentliggöra datasäkerhetshål som anmälts till den. De korrigerade datasäkerhetshålen kommer att publiceras den xx.11.2022, varefter utnyttjningsmetoderna av dem kommer att vara kända för alla. 

Den mest synliga förändringen är version 7 av LibreOffice 

Den mest synliga förändringen i den nya Abitti-versionen är uppdateringen av LibreOffice till version 7. Externt liknar den nya versionen i stort sett den tidigare, men de funktionaliteter som är viktiga för det egna bruket bör kontrolleras. Här är några ändringar: 

  • ändringar har gjorts i några kalkylbladsfunktioner (se ändringar i LibreOffice-meddelandet) 
  • textbehandling, ritning och presentationsgrafikkomponenter har möjlighet att hantera genomskinliga element 

I övrigt har det bara skett mindre ändringar i de bifogade programmen. TI-Nspire och Casio ClassPad Manager har fått underhållsuppdateringar. Rättelser har gjorts i LoggerPros finska användargränssnitt. 

Abitti varnar för att minnet tar slut 

Nya Abitti har ett verktyg som övervakar minnesanvändningen i examinandens dator och varnar om minnet börjar ta slut. Detta är särskilt användbart vid prov i matematiskt-naturvetenskapliga ämnen, där examinanderna har flera program samtidigt i användning. 

Varningen uppmanar datoranvändaren att stänga onödiga program. Otillräckligt minne får vanligtvis datorn att stanna (”frysa”). Denna funktion är särskilt välkommen för dem som avlägger prov med minsta möjliga 4 gigabytes primärminne. 

Studentsexamensnämnden rekommenderar minst 8 gigabyte primärminne för examinanders datorer. Primärminne med 8 gigabyte blir ett obligatoriskt krav fr.o.m. 1.8.2025. 

Möjligheten att arrangera MEB/JSON-prov avtar 

I den nya Abitti-versionen finns det inte längre stöd för prov gjorda med det gamla MEB/JSON-formatet. Nedladdningen av dessa prov från Abittis webbtjänst avslutades redan den 10.10.2022. 

I bakgrunden ligger Debian Bullseye och kärnan 5.19 

På maskinrumssidan är den största förändringen i uppdateringen övergången till Debian GNU/Linux version 11 (Bullseye). Baserat på rapporter vi fick under testfasen kommer bärbara datorer baserade på Intels 12:e generations processorer att starta. Dessa fungerade inte alls med den äldre versionen. 

Linux-kärnversion 5.19 har tagits till pinnen, som har ersatt den tidigare versionen 5.16. Förutom kärnan har firmwaren för några wifi-kort uppdaterats. 

Denna tekniskt betydelsefulla uppdatering har testats av IT-experter i gymnasier och av datorförsäljare. Till skillnad från tidigare har vi publicerat skivavbilder gjorda för testanvändning i god tid fr.o.m. den 1.9.2022. Tack till er som deltog i testningen! Vi kommer att fortsätta med denna praxis vid kommande publiceringar. 

Läs mera

Nedladdningen av MEB-prov slutar 10.10.

Leave a comment

Möjligheten att ladda ner MEB-prov som skapats med den gamla proveditorn upphör i dag den 10.10.2022.

Det gamla provformatet har varit i bruk sedan 2015, men de sista studentproven gjordes med det hösten 2019.

Bertta-editorn för det nya MEX-provformatet, har varit i bruk i Abitti sedan början av 2022. Under höstterminen har de allra flesta Abitti-proven skapats med MEX-formatet.

Provformat som används i Abitti-prov 2022. Gult = prov i MEB-format, blått = prov automatiskt konverterade från MEB-format till MEX-format, rött = prov i MEX-format.

Mer information:

Abitti denna höst: det gamla provformatet tas ur bruk och pinnarna uppdateras

Leave a comment

Denna höst genomgår Abitti den största förändringen hittills i sin historia. MEB-provformatet, också känt som JSON-formatet, som lanserades då Abitti kom ut år 2015 tas ur bruk på serverpinnarna. Detta innebär att prov som konstruerats i det gamla MEB-formatet inte längre kan hållas.

SEN slutar stöda stödet för MEB-formatet i Abitti eftersom det inte på åratal längre har använts i studentexamensproven. Det är numera lätt att konstruera prov i det nya MEX-formatet då Bertta-editorn är klar.

MEB-formatet tas ur bruk enligt följande:

  • 10.10.2022: det är inte längre möjligt att ladda upp MEB-prov på provlokalens server från webbtjänsten oma.abitti.
  • Oktober-november: en ny version av Abitti ges ut. MEB-prov fungerar inte i denna version.
  • 30.11.2022: Bedömning av MEB-prov är inte längre möjlig.
  • Tidigast 28.2.2023: provprestationskopiorna för MEB-proven tas bort.
  • Tidigast 1.6.2023: MEB-proveditorn tas ur bruk.

Nedan beskrivs närmare hur förändringarna fortskrider.

10.10.2022: Det är inte längre möjligt att ladda upp MEB-prov på provlokalens server från webbtjänsten oma.abitti

MEB-prov kan inte längre laddas upp och föras över till provlokalens server med knappen ”Ladda provuppgifter”.

MEB-proven finns kvar på listan över prov, och enskilda uppgifter kan kopieras från proven till nya MEX-prov som görs upp med editorn Bertta. Eftersom programkodspråket för MEB-proven tillåter mycket är det möjligt att alla uppgifter inte går att kopiera perfekt. I vissa uppgifter kan det finnas så krångliga HTML-koder att de inte går att kopiera över huvudtaget. I sådana fall är det enda alternativet att kopiera uppgifterna ”för hand” via klippbordet.

De gamla studentexamensproven i MEB-format i webbtjänsten Examina är fortfarande tillgängliga och kan föras in i Abitti. Egna prov i MEB-formatet kan flyttas (knappen ”Exportera prov (.zip)” i provlistan) och laddas upp (”För in prov (.zip)).

Med andra ord är det alltså fortfarande möjligt att hämta in gamla studentexamensprov eller prov som gjorts av t.ex. förläggare i MEB-formatet och kopiera uppgifter ur dem i editorn Bertta.

Oktober-november: en ny version av Abitti ges ut

I den Abittiversion som ges ut efter höstens studentexamensprov kan MEB-prov inte längre laddas. Versionen är en s.k. stor uppdatering, eftersom Debian GNU/Linux, som ligger bakom Abitti, uppdateras till en nyare version.

Programmen som finns att tillgå kommer fortfarande att vara som tidigare, och versionen som erbjuds kommer också i de flesta fallen att vara densamma. Den största förändringen gäller LibreOffice, som uppdateras från version 6 till version 7. Enligt vad vi känner till kommer inga förändringar som påverkar användandet att ske då det gäller räknarprogrammen.

Nya versioner av Linuxkerneln kommer att finnas med i den nya versionen av Abitti, vilket inverkar på maskinkompatibiliteten. Detta underlättar förhoppningsvis användningen av Abitti på nyare datorer.

Den nya versionen av Abitti kommer att användas i studentexamensproven våren 2023.

30.11.2022: Bedömning av MEB-prov är inte längre möjlig

Ända fram till denna tidpunkt har det varit möjligt att hålla MEB-prov med hjälp av de Abitti-pinnar som gavs ut i augusti och MEB-provpaket som laddats ned före den 10 oktober. Från och med slutet av november kan provprestationer från prov i MEB-format inte längre returneras till webbtjänsten oma.abitti för bedömning och MEB-prov kan inte heller bedömas i tjänsten.

Tidigast 28.2.2023: provprestationskopiorna för MEB-proven tas bort

Studerandena kan inte längre öppna länkarna till bedömda MEB-prov som de fått per e-post.

Tidigast 1.6.2023: MEB-proveditorn tas ur bruk

Ända fram till denna tidpunkt har det varit möjligt att bearbeta gamla MEB-prov med den gamla MEB-proveditorn, men nu är det inte längre möjligt att konstruera och bearbeta MEB-prov.

Beslut har inte ännu fattats gällande när det inte längre kommer att vara möjligt att hämta in nya MEB-prov i Abitti med knappen ”För in prov (.zip)” eller när alla prov i MEB-format avlägsnas ur Abitti.

Läs mer:

Urbruktagandet av MEB-formatet är den största förändringen i Abittis historia

Leave a comment

MEB-provformatet tas ur bruk stegvis under hösten 2022 och våren 2023. Tiotusentals prov har konstruerats i detta format, och miljoner provprestationer har lämnats in till dessa prov.

MEB-formatet tas ur bruk eftersom tiden gått om det

Innan de första studentexamensproven visste ingen exakt hurdana uppgifter de digitala studentexamensproven skulle komma att innehålla. Provkonstruktörerna hade en mångfald av önskemål men tidtabellen för förverkligandet av provmiljön var snäv.

Det vi visste var att vi inte kunde använda något av de färdiga provformat som fanns ute i världen. De beskrev korta prov som ofta främst bestod av flervalsuppgifter och korta öppna svar, medan man i studentexamensproven ville ha essäsvar och bifogat material.

I detta skede verkade det vara en klok lösning att välja ett mycket flexibelt format för att beskriva proven. I MEB-formatet kunde man lägga in vilken som helst kod som webbläsaren kunde förstå, t.ex. HTML som beskrev textstrukturen, CSS för att påverka utseendet och till och med JavaScript-programkod.

Problemen med MEB-formatet började gradvis synas både i studentexamensproven och i Abitti. I ett format som tillät det mesta var det omöjligt för den som kodade provet att lätt kontrollera att provet fungerade. Det enda sättet att kontrollera om provet fungerade var att studera det färdiga provet på examinandens dator. För studentexamensprovens del var detta kostsamt och i Abittiproven ledde detta till många besvikelser.

Med Bertta kom MEX-proven i övningsbruk

De första studentexamensproven i MEX-format ordnades våren 2020. Det var lättare att skriva kod i MEX-formatet än i det tidigare formatet. Eventuella grammatikfel i koden var synliga direkt, och provet som kodades var tillgängligt. Med MEX-formatet kan även provets struktur, t.ex. underuppgifter och valbara avsnitt i olika delar av provet. Den senare nämnda egenskapen gjorde det möjligt att ge examinanden ett meddelande som har minskat antalet fall där examinanden har besvarat för många uppgifter i studentexamensproven.

Så småningom blev det klart att studentexamensprov i MEX-formatet och övningsprov i MEB-formatet var en problematisk kombination. Studerandena övade sig med Abittiprov som inte längre hade någon motsvarighet i studentexamen.

Editorn Bertta, som lanserades i slutet av år 2021 gjorde det möjligt att använda MEX-prov även som övningsprov i Abitti. Med Bertta kan prov konstrueras genom att klicka med musen eller genom att skriva XML-kod. Nu finns alla egenskaper i Abitti tillgängliga för alla som konstruerar övningsprov.

Att ta bort kod sparar pengar

Att MEB-formatet tas ur bruk leder säkerligen till gråa hår hos många lärare som konstruerar Abittiprov. Att lära sig använda en ny uppgiftseditor hör nog inte till läraryrkets mest belönande arbetsuppgifter för alla Abittianvändare. På längre sikt är det dock lönsamt för oss alla att gå över till att använda Bertta: övningsproven fungerar med stor sannolikhet vid provtillfället, proven är tillgängliga och framför allt att eventuella problem med MEX-formatet som används i studentexamensproven uppdagas innan proven i själva examen, som är av stor vikt för examinanderna.

Fastän MEB-formatet har kodats redan för en längre tid sedan leder det fortfarande till kostnader. Inom den moderna programutvecklingen används en hel del färdiga programbibliotek som ständigt uppdateras. Man måste följa med och installera uppdateringar eftersom de kan korrigera programfel i biblioteken eller täppa till dataskyddssårbarheter. Uppdateringarna kan dock leda till nya överraskningar som i sin tur måste åtgärdas. Eftersom MEB-proven inte längre används i studentexamen kan Studentexamensnämnden inte bekosta upprätthållandet av formatet.

Vi på Studentexamensnämnden har strävat till att göra Bertta så lättanvänd som möjligt och få med egenskaper som önskats under årens lopp. Därmed hoppas vi att den tid som går åt till att lära sig använda Bertta även betalar sig i form av ökad flexibilitet. Vi tar fortfarande emot respons gällande Bertta.

Läs mera: