Författare: Matti Lattu

Den nya versionen av Abitti innehåller de instruktioner som finns med i hösten examensprov

Leave a comment

I den version av Abitti som ges ut idag, ABITTI2226G och SERVER2226A, finns den version av provsystemets instruktioner som används i höstens studentexamensprov med. Instruktionerna är nu mera omfattande än tidigare. Som vanligt kan instruktionerna även ses på adressen https://cheat.abitti.fi. 

Den nya versionen av Abitti innehåller även de versioner av Linux-kerneln som används i höstens studentexamensprov. Därmed kan man med pinnen försäkra sig om att datorn fungerar i höstens examen. Belastningstesten för servrarna somanvänds i höstens prov kan också göras med denna version. 

Versionerna som nu ges ut fungerar i kors med de versioner somgavs ut i början av maj (ABITTI2216Z och SERVER22216L). Användning av äldre versioner kan leda till problem som finns beskrivna i utgivningsmeddelandet för de tidigare versionerna.

Alla förändringar i den nya versionen kan ses i förändringsloggen (på finska). 

Följande version av Abitti ges ut i oktober-november. Vi strävar till att denna version skulle basera sig på den nyaste Debian-versionen 11, “Bullseye”. 

Tre datasäkerhetssårbarheter har åtgärdats i Abitti

Leave a comment

Tre datasäkerhetssårbarheter har åtgärdats i Abitti. Den mest kritiska av de tre har möjliggjort en attack mot en användare av webbtjänsten oma.abitti.fi (t.ex. mot en lärare). De två andra sårbarheterna berör provtillfället. Rapporterna av alla tre sårbarheterna bygger på en rapport som Studentexamensnämnden fått av en utomstående person.

Filerna med bilagor till proven i webbtjänsten oma.abitti.fi

I oma.abitti.fi kan den som bedömer ett prov returnera de bedömda proven till dem som utfört provet. Detta görs genom att den som utför provet per e-post får en länk, och genom att klicka på länken kan provprestationen, provuppgifterna och materialet i provet ses.

Sårbarheten kunde ha utnyttjats på flera olika sätt. Angriparen kunde ha gjort ett prov med en filbilaga som imiterar Abittis inloggningssida. Därefter kunde angriparen ha utgett sig vara en studerande till läraren som använder Abitti och locka läraren att klicka på länken till filen. För läraren skulle det ha känts självklart att hen måste logga in på Abitti genom angriparens falska inloggningssida. Därmed skulle angriparen ha fått tillgång till lärarens Abitti-användarnamn och lösenord.

Angriparen kunde också ha lagt in JavaScript-programkod i uppgifterna i provet. Programkoden skulle sedan ha kunnat skicka t.ex. eventuella autentiseringskex eller allt bedömningsmaterial som den som tittar på det falska provet har till angriparen.

Denna sårbarhet har åtgärdats genom att förhindra visandet av alla provuppgifter och filbilagor som gjorts med den gamla editorn. Redan tidigare har även meddelats att möjligheten att hålla prov som gjorts med den gamla editorn upphör efter studentexamen hösten 2022.

Sårbarheten berör endast prov som gjorts med den gamla editorn och den har funnits ända sedan Abitti lanserades. Motsvarande angreppsmöjlighet finns inte i prov i MEX-format som gjorts med editorn Bertta.

Det har inte varit möjligt att utnyttja denna sårbarhet i studentexamensproven.

Användning av förbjudna HTML5-program i A-delen i matematikprovet

Det är möjligt att i Abitti göra upp prov där användningen av symbolräknarprogram inte är möjligt i provets första del. Denna egenskap används i A-delen i matematikprovet i studentexamen.

Användningen av program som är förbjudna i A-delen har förhindrats genom att frånta examinandernas läsrättigheter till de viktigaste filerna. Tyvärr fanns dock den egentliga programkoden till de program som fungerar med HTML5-teknik (GeoGebra 6 och 4f-häftet) tillgänglig och kunde köras i provmiljön med hjälp av webbläsaren Firefox.

Denna sårbarhet har åtgärdats från och med version ABITTI2216Z genom att examinanderna har fråntagits läsrättigheterna till ett större antal programkoder än tidigare.

Sårbarheten har funnits i Abitti sedan Abitti lanserades. Sårbarheten har också funnits i alla studentexamensprov som gjorts med hjälp av abitti.

Att inverka på examinandens provmiljö genom att ändra parametern kernel init

Abitti bygger på operativsystemet Debian GNU/Linux. Innan provet börjar startas examinandens dator upp i operativsystemet Linux som laddas från ett USB-minne eller från datorns interna massminne. Då Linux startas ges vissa parametrar till operativsystemets kärna (kernel). Genom att ändra på dessa parametrar kan man t.ex. öka examinandens användarrättigheter under provet.

Utvecklarna har känt till detta angreppssätt. Det hanteras med hjälp av den tekniska övervakningen i provsystemet. Övervakningsprogrammet körs på examinandens dator under provet och resultaten överförs till Studentexamensnämnden samtidigt som provprestationerna laddas upp. I Abitti-övningsproven är övervakningen mycket rudimentär och dess främsta uppgift är att säkerställa att övervakningsmekanismerna fungerar. Utifrån det data som samlas in publiceras statistik om de datormodeller som använts i Abitti (hwdata.abitti.fi).

Rapportören påpekade att den tekniska övervakningen kan luras på olka sätt, bl.a. genom att manipulera programmen i operativsystemet (t.ex. cat, iptables), som övervakningen bygger på.

Denna sårbarhet har åtgärdats från och med version ABITTI2216Z. På grund av övervakningens natur belyser inte Studentexamensnämnden närmare hur sårbarheten åtgärdats. Samtidigt påminner nämnden de gymnasier som ordnar övningsprov att nämnden inte följer med de jämfört med studentexamensproven begränsade uppgifterna från den tekniska övervakningen av övningsproven.

Sårbarheten har funnits med sedan Abitti lanserades. Det är fortfarande möjligt att utnyttja sårbarheten i övningsproven. Utnyttjandet av sårbarheten har följts med i alla studentexamensprov som utförts med Abitti.

Tack

Vi vill tacka Daniel Smalin som rapporterade dessa sårbarheter till oss. De uppgifter Daniel gav om sårbarheterna var detaljerade och underlättade arbetet med att lokalisera problemen och hitta det bästa sättet att åtgärda dem både för Abitti-utvecklingsteamet och för vår datasäkerhetssamarbetspartner.

Studentexamensnämnden har förbundit sig att offentliggöra alla datasäkerhetsstörningar inom tre månader. Vi har erfarenhet av att få både enkla e-postmeddelanden och professionella rapporter med inkluderad angreppskod.

Vi vill samtidigt tacka både tidigare och kommande datasårbarhetssökare!

Läs mera

Tagning av skärmdump fungerar inte i prov som gjorts med den gamla editorn (felet åtgärdat)

Leave a comment

På grund av ett fel i den nyaste versionen av Abitti (ABITTI2216Z) fungerar inte tagningen av skärmdump i sådana gamla prov som det inte varit möjligt att konvertera till det nya MEX-formatet. Man kan känna igen dessa prov i förhandsvisningen i den gamla editorn. Om texten “Provets utseende motsvarar inte proven i studentexamen” visas i förhandsvisningen kommer tagningen av skärmdumpar inte att fungera i den nya versionen av Abitti.

Tagning av skärmdump fungerar i prov som gjorts ned Bertta och i de prov som det varit möjligt att konvertera till MEX-formatet. I det senare fallet visas inte den ovan nämnda varningstexten.

Problemet kommer att åtgärdas under de närmaste dagarna. Innan problemet är åtgärdat kan det kringås på något av följande sätt:

  • Provet som gjorts med den gamla editorn görs till ett Berttaprov genom att kopiera in en provuppgift som gjorts med den gamla editorn med verktyget för kopiering av uppgifter i Bertta
  • Avlägsna formatering ur provet i den gamla editorn tills texten “Utseendet på provet motsvarar inte proven I studentexamen” inte längre visas I förhandsvisningen
  • En äldre version av Abitti används

Uppdateringar:

  • Lösningen för detta problem kommer att distribueras genom provpaketen. Datumet för distribueringen är ännu inte känt. (Uppdatering 13.5 kl. 10.40)
  • En korrigeringspatch distribueras tillsammans med provpaketen. Patchen följer med i provpaket som laddats må 16.5 kl. 12 eller senare och överförs automatiskt från provlokalens server till examinandernas datorer. (Uppdatering 16.5. kl. 14.05)

Uppdaterad MAOL digitabeller i den nya versionen av Abitti

Leave a comment

Det finns inga större synliga förändringar i Abitti-versionen som publicerats idag. Otava har uppdaterat MAOL digitabeller till en ny version. Utskriftsfönstret på fliken Programmering i provmiljöns instruktioner visar nu även längre utskrifter som kan kopieras till urklippet.

Funktionaliteten som ansvarar för den tekniska övervakningen i provmiljön har ersatts med en ny, som ger mer tillförlitlig information om examinanden och hens dators vid utförandet av studentprovet. Som ett resultat av ändringen kommer det i övervakarens vy med gamla Abitti-pinnar att uppstå meddelanden om ett fel i den tekniska övervakningen. Detta beror på att övervakningsprogrammet som följer med provuppgifterna inte fungerar i den äldre versionen av Abitti. Meddelandet hindrar inte utföring av prov.

En korrigering har gjorts i skärmdumpen med högupplösta skärmar. Som ett resultat av korrigeringen kan vissa av examinandernas skärmdumpar visas större än vanligt i bedömningen.

Alternativen i startmenyn förblir desamma, även om nyare versioner av Linux-kärnor har infogats:

  • 4.9.272-2 -> 4.9.290-1
  • 4.19.194-3 -> 4.19.208-1
  • 5.10.46-5 -> 5.10.103-1
  • 5.14.9-2 -> 5.16.11-1

Om den nya versionen av Abitti tas i bruk, kräver det uppdatering av både examinanders pinnar och servrar. Det finns inget tekniskt hinder för att fortsätta använda äldre versioner av Abitti.

Alla förändringar i den nya versionen kan ses i förändringsloggen (på finska).

Bertta har vunnit stor popularitet

Leave a comment

Abittis nya Bertta-editor har tagits emot väl. Den har bidragit till att användningen av MEX-formatet som används i studentexamen ökat i övningsproven.

En av Berttas mest praktiska funktioner är möjligheten att kopiera individuella provuppgifter från gamla Abitti-prov till nya prov. Den här funktionen har förbättrats avsevärt under den senaste månaden. Om du inte har fått dina bästa uppgifter kopierat i början av året, försök nu på nytt!

Gamla prov bevaras

Många Abitti-användare har varit oroliga över ödet för proven med den gamla editorn och provformatet.

Studentexamensnämndens mål är att alla prov som arrangerade med Abitti använder sig av MEX-formatet. Detta möjliggör att det gamla provformatet som försvunnit från studentproven kan tas bort från server- och examinandpinnarna. Den gamla koden underhålls inte längre och oron är att den kan orsaka problem vid framtida studentprov.

Övergången till MEX-formatet verkar gå bra (se diagrammet nedan):

  • Allt flera Abitti-användare skapar sina prov med Bertta (blått område)
  • Andelen prov som skapas med det gamla formatet minskar hela tiden (gult område)
  • Den förbättrad automatiska provkonvertern (grönt område) konverterar i bästa fall en tredjedel av proven som skapats med den gamla editorn

Redan nu är mer än hälften av proven gjorda med det nya provformatet och andelen växer stadigt. Berttas användarvänlighet, uppgifternas kopieringsfunktion och möjligheten att redigera gamla studentprov som importerats från Examina verkar bidra till att MEX-övergången sker av sig själv.

Omnämnandet i förra blogginlägget om att den gamla editorn kommer att finnas kvar åtminstone till sommaren 2022 har tolkats som att den avskaffas sommaren 2022. Denna tolkning är felaktig.

Vi kommer att släppa ut en ny Abitti-versionen efter höstens studentprov. I denna stora uppdatering som innehåller en ny versionen av Debian, avskaffas möjligheten att använda Abitti-prov med det gamla formatet. En del av proven i det gamla formatet fungerar fortsättningsvis eftersom Abittis automatiska konverter kan ändra dem till det nya formatet.

När den nya Abitti-versionen publiceras i oktober-november:

  • Abittis gamla editor är i bruk
  • Prov skapade i det gamla formatet finns i bruk till exempel genom Berttas kopieringsfunktion för uppgifter
  • Prov som skapats med Bertta kan laddas för överföring till provlokalens server
  • Prov skapade med den gamla editorn kan laddas för överföring till provlokalens server, såvida inte den gamla editorns förhandsvisning visar varningstexten i högermarginalen ”Provets utseende motsvarar inte proven i studentexamen”

Delta i Bertta-demon

Vi har fått frågningar om utbildningar för Bertta-editorn. Vi hoppas att Berttas instruktioner är till hjälp vid vanlig användning. Finesserna i MEX-formatet beskrivs i ett onlinedokument och kamratstöd kan sökas från MEX-formatets forum.

Utöver detta stödmaterial som redan är tillgängligt online, kommer vi att köra två demon på distans vid följande tidpunkter:

  • ons 6.4. kl. 15.00–16.00 Anmälning
  • mån 11.4. kl. 15.00–16.00 Anmälning (inställt på grund av sjukdom)
  • ons 13.4. kl. 15.00–16.00 Anmälning Inspelningen

Vi strävar till att publicera inspelningar av demona. Demona arrangeras på finska men frågor kan ställas naturligtvis även på svenska.

Bertta är i fortsättningen Abittis primära editor

Leave a comment

Studentexamensnämnden har utvecklat en ny Bertta-editor för Abitti så att man kan träna för studentexamen med prov som är lik studentexamensproven. Bertta-editorn har idag bytts till Abittis primära editor. Den gamla editorn kan fortfarande användas, men problem med editorn eller prov som den producerar är inte längre åtgärdade.

Med Berttas ”visuella editor” kan du bifoga bilder direkt från urklippet och formler med SEN:s formeleditor. Du kan välja svarstyper som är bekanta från studentprov: text, kort text, flervalssvar och rullgardinsmenysvar. Bilagor kan bifogas till en specifik uppgift, som i studentprov.

Det går snabbt att skapa nya övningsprov med Bertta utifrån uppgifterna från studentprov importerade från Examina och gamla Abitti-prov. Till exempel är det lätt att återanvända uppgifter från delen för hörförståelse i språkprov i egna övningsprov.

Bertta kan också ställa in dekrypteringskoden för proven. Om gymnasiet kommer överens om en gemensam dekrypteringskod är det lika enkelt att ladda upp övningsprov till provlokalens server som i studentprov: det räcker med att bara ange en kod.

Om den ”visuella editorn” får slut på verktyg kan du redigera provet i kodfliken. Detta låter dig ställa in, till exempel, det maximala antalet gånger du kan lyssna på ljudsnuttar eller den maximala längden för ett textsvar. Den senare funktionen kommer att vara i bruk i studentexamen tidigast hösten 2022.

Till skillnad från den gamla editorn ser Bertta till att de prov som skapas följer Abittis MEX-provformat och därmed visas som önskat under provtillfället. Den gamla editorn kommer att vara i bruk till åtminstone sommaren 2022.

I detta sammanhang förhindrar vi att skapa provfiler som överskrider 500 kilobyte med den gamla editorn. I praktiken hindrar detta att bifoga base64-enkodade filer. Denna metod användes för att lägga till bilagor före 2017, då ett enkelt sätt att lägga till bilagor lades till i den gamla editorn. Denna metod fungerar ännu. Vi varnade om förändringen för två år sedan.

Läs mera:

Programmera med Python i nya Abitti

Leave a comment

Den nya versionen av Abitti innehåller ett antal små uppdateringar och förbättringar. Det är nu möjligt att programmera med Python på ett mellanblad i provsystemets anvisningar. Egenskapen är också tillgänglig i webbversionen av anvisningarna på adressen cheat.abitti.fi. Ett separat blogginlägg har också publicerats gällande egenskapen. Examinanderna har bett om att få möjlighet att lyssna på bakgrundsmusik för att stänga ut oljud i provlokalen. Detta är nu också möjligt genom provsystemets anvisningar.

Programmet 4F-häftet har uppdaterats till den senaste versionen och GeoGebra 6 har återställts till version 6.0.639 som användes i examen våren 2021. Tyvärr öppnas trots det fortfarande ett tomt fönster då en fil sparas i programmet, men efter at fönstret stängts går filen att spara. SEN har meddelat GeoGebra om problemet.

Provlokalens server försöker kontrollera om datumet på servern är korrekt. Om datumet på servern är tidigare än publiceringsdatumet för den Abittiversion som används ska datumet korrigeras innan proven laddas upp på servern. Syftet med denna kontroll är att säkerställa att de datumbundna licenserna i provsystemet fungerar (Casio, TI-Nspire).

De nya versionerna är kompatibla med versionerna SERVER21174 och ABITTI2118E och nyare. Uppdateringen innehåller inte nya drivrutiner.
Alla förändringar i den nya versionen kan ses i förändringsloggen (på finska).

Teknisk Abitti-uppdatering underlättar administration av pinnfria examinanddatorer

Leave a comment

Den nya Abittiversionen (ABITTI2143J ABITTI21443, se uppdatering) som gavs ut idag är en teknisk uppdatering. Den innehåller inga ändringar i upstartmenyn, iexaminandens vy eller i programmen.

Uppstart av datorn från intern hårdskiva är nu lite lättare jämfört med vad det var då egenskapen lanserades med den förra Abitti-versionen genom att filerna med Abitti nu kan finnas även i ett NTFS-filsystem utöver de tidigare FAT- och ext-filsystemen. Detta underlättar administrationen av “dubbelbootande Abitti” tillsammans med operativsystemet Windows.

Den nya uppdateringen är endast till nytta för de gymnasier som planerar att starta Abitti jämsides med operativsystemet Windows. En ny version av serverpinnen ges inte ut tillsammans med denna version av examinandpinnen. Den nya versionen är kompatibel med serverversionen SERVER21174 och nyare.

Uppdatering 8.11.2021 

Versionen 2143J innehöll ett fel och har nu dragits tillbaka. Firmware-kod från en gammal Debian-distribution hade på grund av ett fel installerats i versionen. Firmware-koden har ersatts i den nya versionen 21443 som ges ut idag.

Nya drivrutiner i oktoberversionen av Abitti

Leave a comment

Abitti-versionen (ABITTI2140K och SERVER2140F) som publicerats idag innehåller som största ändring Linux-kärnans nya version 5.14 samt uppdateringar av befintliga versioner. Uppdateringar har kommit till både examinand- och serverpinnen. Genom uppdateringarna utökas kompatibilitet och datasäkerheten underhålls.

I2c-förbättringen som fungerade med Francium-startalternativet har nu utvidgats till alla startalternativ med version 5.10 (Natrium, Polonium, Radon, Radium och Uranium).

Provmiljöns instruktioner (även cheat.abitti.fi) har uppdaterats. På fliken för kemi har natriumsulfatets information korrigerats och på fliken för fysik har en tabell över bränslen, värden för vattnets densitet, tilläggsenheter, en tabell om synliga ljusets spektrum och formler för energi som frigörs vid förbränning och dämpandet av gammastrålning i ett medium lagts till. Instruktionerna är öppen källkod och man kan komma med ändringsförslagförslag till dem. Tack till Aapo Heiska och Panu Viitanen för de föreslagna ändringarna.

Gamla versionen av MAOL:s digitala tabeller har avlägsnats.

Felet med synligheten av flerspråkiga Abitti-prov vid valet av prov samt problem med skärmdumpar i vissa specifika situationer har åtgärdats.

Abittis användarvillkor har uppdaterats till version 1.4. Uppdateringen förtydligar att SEN inte äger immateriella rättigheter till all skivavbildens programvara och i vilka delar av skivavbilden det är förbjudet att klargöra kodens struktur och innehåll. Tack till Luukas Ahola för att ha påpekat detta.

Åtkomst till servrar för delning av bilagor som används i vissa gymnasier har tagits bort från examinandpinnen eftersom Abittis egna bilagor har varit i bruk redan under flera år. Tack till Tuure Luosto, som tipsade om denna gamla lämning.

Det är lättare än tidigare att installera Abittis examinandpinne på datorns interna minne intill datorns egna operativsystem (så kallad dual-boot). Efter ändringen kan de komponenter som krävs för Abittis drift installeras och uppdateras på datorns ”värdoperativsystem”. Relaterade instruktioner kommer att uppdateras under de kommande veckorna.

De nya versionerna är kompatibla med SERVER21174- och ABITTI2118E-versionerna eller nyare versioner. Det lönar sig att uppdatera examinandpinnarna eftersom den nya versionen innehåller en uppdaterad licens på TI Nspire –programmet.

Före uppdateringen av virtuella servrar ska det administrativa programmet för servrar Naksu uppdateras till version 2.0.5.