FANDOM


Osa artikkelisarjaa
Tekniikka

Digabi
Haavoittuvuudet
Hackabi
Digabi-webinaarit

Abitti
Ohjelmistot
Tehdyt parannukset
Vanhat Abitti-versiot
Tweak-A-bitin tutkiminen

Laitteisto
WLAN-tukiaseman konfigurointi
Tutkintoverkko

Webinaarissa käytiin läpi Digabi-projektin kuulumisia ja uusimmat uutiset Abitti-koejärjestelmästä. Esittelyssä pian julkaistava monivalinta-aukkotehtävä. Koetilan ja opiskelijan tikut pitää päivittää ominaisuutta varten, vanhentuneet versiot eivät anna edes virheilmoitusta uusista tehtävätyypeistä. Keskustelua Abitin käyttöehdoista ja millaisiin kokeisiin opettajat voivat Abittia käyttää.Matti Lattu kommentoi Suomen Kuvalehden 19/2015 kuvailemia murtomenetelmiä, vakavaa GRUB2-haavoittuvuutta ei aiota korjata. Lattu kommentoi myös laskinten käyttöä matematiikan kokeen ensimmäisessä osiossa.

Videotallenne Muokkaa

Abitti-webinaaritallenne 2015-05-12

Abitti-webinaaritallenne 2015-05-12

Transskripti kohdasta 40:50: Muokkaa

Chat: Sanna M: "Abitin tietoturvaa on nostettu lehtien otsikoihin - voitko kertoa asiasta enemmän?"

Puhe: Matti Lattu @ 40:50:

"Joo, mielelläni kerron että mistä on kyse, eli tota Suomen Kuvalehti kirjoitti tosi hyvän artikkelin, joka julkaistiin perjantaina ja rakenne on niinku se, että siinä on hakkeri Pete, joka on löytänyt abitista tietoturva-aukoja, siin on kahdenlaisia … viittaa kahdenlaiseen aukkoon, joista toiseta  jaettaan hyökkäyskoodi ja tota , sit herätetään niinku kysymys, että kun tähän abittiin on niin helppo murtautua, niin eiks tää sähköinen ylioppilaskoe oo aivan kuolleena syntynyt idea. Ja tota, se mitä me kommentoitiin sitä juttua toimittajalle, kun hän sitä laati tai tätä asiaa oli se, että nää  molemmat meille … tai nää molemmat viitatut hyökkäystavat on meille tuttuja. Ja eli nää ei ole yllätyksiä ja me ei olla tässä järjestelmäkehityksessä siinä vaiheessa, että me oltas niinkuin ...äää... varauduttu niinku tällaiseen häirikkökokelaaseen. Eli se toinen tapa, millä toinen reikä mikä tässä jutus mainitaan on se, että voi panna tämän koetilan palvelimen nurin, eli vilpillinen kokelas siellä koetilanteessa voi panna abittipalvelimen nurin. Tää oli sillee hauska yhteensattuma, et ku meille tuli tää vastaava tieto muuta kautta jo aikaisemmin, niin me oltiin juuri siihen niinku mietitty jo korjaus ja  tota samalla viikolla ihan sattumalta meille tuli nää monivalintavaihtoehdot ulos, nii ja tikkuun tuli muutoksia, ni sit samalla nää tämän hyökkäyksen ehkäisevät toimenpiteet niin tuli jo jakeluun, eli se Suomen Kuvalehden koodi ei toimi. Mutta, mutt tottakai se, että tota vilpillinen kokelas haluaa tuhota sen koetilanteen on sellainen ajatus, joka on meillekin tullut jo pari vuotta sitten ja täll hetkellä meillä siin järjestelmässä, tässä abitissa, ei oo vielä siihen varauduttu vielä eli, että tota, ooo, jos kokeessa on vilpillinen kokelas, joka haluaa sen koetilanteen tuhota,  niin tota ikävä kyllä on erilaisia mahdollisuuksia millä hän sitä voi tehdä, ja vastaavasti valvojilla on hyvin vähän mahdollisuuksia huomata, että kuka sen teki. Se, mihin tässä koetilanteen tuhoamisessa tähdätään, on sama tilanne mikä nytkin, eli voihan nytkin koetilanteen tuhota silleen, ett ottaa saksofoniin esiin ja rupee soittelemaan saksofonia, niin kyllä kurssikoe menee kohtalaisen pieleen, mutta siinä nähdään, että kuka sitä saksofonia soittelee ja meidän tavoite on se, että sähköisessäkin kokeessa sit voidaan havaita, ett kuka niit ongelmia aiheuttaa ja sitten sanktioida kokeen mukaisesti.

Toinen reikä, mitä tota hakkeri-Pete raportoi, oli se, että sen meidän koeympäristön päälle tai sivulle tai lisäksi voidaan käynnistää koneeseen toinen käyttöjärjestelmä, ja saada sitten vastauksiin apua vaikka nyt internetistä ja muuten. No tääkin on asia, joka on tullut, mehän järjestettiin silloin kun tää DigabiOS julkistettiin pari vuotta sitten, niin järjestettiin tämmöinen hakkerikilpailu ja siellä oli tästä tosi näppärä esimerkki että miten sen voi tehdä. Tän niinkuin tän koneen luovan käytön sanoisko rinnakkaiskäytön havaitseminen teknisesti ei oo ihan helppoa, se on mahdollista, mutta se ei oo ihan helppoa. Että tähän puoleen meidän täytyy niinkuin käyttää vähän toisenlaisii tapoja. Eli nyt se mukava juttu, mikä tästä jutusta tuli ilmi ja mist on paljon keskusteltu, on se, että tota opettajat on ruvennut miettiin,että miten siel sähköisessä kokeessa se valvoja toimii. Ja tästä seurauksena mekin ollaan nyt asetettu meillä tavoitteeksi, että kun tätä järjestämisohjeen seuraavaa versioo uudistetaan, niin tota siellä täsmennetään sitä, että mitä me ajatellaan kun me ollaan juteltu opettajien kans, ni mitä me ajatellaan yhdessä, että miten se valvoja sitten valvoo siellä sähköisessä kokeessa. Että sen on oltava sen valvonnan pikkasen erilaista kuin nyt, joka on tällä hetkellä aikalailla niinku passiivista. Valvojien määrää ei voi lisätä, siit kaikki lautakunnassa ja kouluissa on yhtä mieltä, ett se ei oo niinku taloudellisesti mahdollista. Semmosta korttia ei tässä käytetä.

Sitten tota, sitten toinen juttu on se, että mitä tässä voidaan tehdä, niin meillähän on sit uusia mahdollisuuksia seurata sen kokelaan työskentelyä tässä sähköisessä maailmassa, eli nyt paperipuolella on ollut aika vaikee päästä käsiksi siihen prosessiin, että mitä se kokelas on tehnyt siinä sen kokeen aikana, miten sen vastauksen rakentelu on edennyt ja miten kokelas on sen aikansa käyttänyt ja se, et jos epäilys syntyy, että onkohan nyt  kokelaalla ollut nyt puhtaita jauhoja pussissaan ylipäänsä, niin me pystytään sitten kaivamaan kokelaan työskentelyä paljon paremmin esiin kuin sähköisessä kokeessa, kuin mitä se on nyt ollut mahdollista, et useet vilppitapaukset nytkin niin paljastuu osa sen kokeen aikana, mut osa sit sen kokeen jälkeen ja sit sitä ruvetaan penkomaan sielt takakäteen ja tota, meil on aika hyvät mahdollisuudet ja me tullaan pitään huoli siitä, että meillä on hyvät mahdollisuudet  sähköisessä ylioppilaskokeessa seurata, että mitä kokeen aikana on tapahtunut."

Chat: Sanna M:

"Palvelunestohyökkäyksen korjaus tehty väärään paikkaan? vrt. http://fi.digabi-tweaks.wikia.com/wiki/Haavoittuvuudet"

Puhe: Matti Lattu @ 47:10: "Me ei tota tähän SannaM:n kommenttiin, me ei kauheasti tätä korjausta oo lähetty julkaisemaan tai paukuttelemaan henkseleitä, koska toki tiedetään, että niin kuin se on yksi korjaus niinku isosta joukosta korjauksia, ja sit nää palvelunestohyökkäykset on niin kuin kaikkien asiantuntijoiden kanssa, jonka kanssa olen jutellut, niihin on kauhian vaikea varautua niin kuin estämällä niitä etukäteen. Et se, mikä meil tässä sähköisessä ylioppilaskokeessa on mukavaa verrattuna näihin internetin palvelunestohyökkäyksiin, et mehän tiedetään ne ihmiset, jotka sinne verkkoon on liittynyt, ja jos nää verkot on rakennettu oikein, niin ne ihmiset on se joukko, joka on niitä kokelaita, ja tota silloin kun meillä on selvillä se kone, joka sitä palvelunestohyökkäystä tekee, niin se voidaan jäljittää aika yksinkertaisesti. Ja tää on selainen asia mikä, joka näihin palvelunestohyökkäyksiin tulee olemaan se ratkaisu, ei se, että me ollaan tehty joku pieni muutos, joka oli siis meillä viiden minuutin homma ja tehtiin vaan sen takia, ku se oli niin helppo. 'Tämmönen oli oikeastaan mun kommentti. Mutta tää oli tosi kiva, että tota tämmöinen laadukas juttu tehtiin ja siit on tullut paljon hyödyllistä keskustelua ja tää tietoturva-asia on varmaan kaikille tärkeä tässä kokeessa."

Transskripti kohdasta 51:30: Muokkaa

Chat: Pekka: "Hieman aiheen ulkopuolelta, mutta miten sähköisessä matikan YO-kokeessa estetään laskimen käyttö 1. osiossa?" Puhe: Matti Lattu @ 51:40:

"ja sitten Pekka kyselee, että miten sähköisessä matikan YO-kokeessa estetään laskimen käyttö ykkösosiossa, eli matikankokeestahan on  jo ennen sähköistymistä tulossa kaksiosainen. Ekassa vaiheessa käytetään apuvälineitä ja tokassa… tai ekassa vaiheessa ei käytetä apuvälineitä ja tokassa sitten käytetään näitä CAS-laskimia. Tehtävän laatijoiden huoli ei ole se, että voiko kokelas laskea jollain komentorivityökalulla tai muulla nelilaskintoimenpiteitä  tai muita tämmösiä, vaan tota, nimenomaan ne CAS-laskimet ja, niitä, ja sitä, miten se ihan tarkalleen ottaen estetään, ei ole mietitty, mutta kyllähän sitten meillä on käytössä siellä ympäristössä mahdollisuuksia estää joidenkin ohjelmien ajo tai sallia vain tiettyjen ohjelmien ajo, että ett kyll siihen joku tämmönen ATK-keino varmasti keksitään. Et se näist laskimist mitä nyt nyt laskinvalmistajien tai myyjien kanssa jutellaan on se, et miten me saatas nää laskimet käyttöön näis abitti kurssikokeissa et sit heti kun meille tulee mahdollisuus liittää näitä näitä tota ohjelmistojen tuotoksia sinne vastaukseks niin sitte tietysti vois matikan kokeita ruveta tekeen abitilla ja sillon meillä täytyy olla vaan se tapa et millä maksullisen ohjelman sinne voi leipoo mukaan."Chat: Pekka:

"Esimerkiksi selaimen javascript osaa matematiikkaa todella laajalta alueelta" Matti Lattu 53:15: "Joo, Pekka, Pekka, on tiedossa että ja meillähän on siellä ympäristössä erilaisia skriptauskieliä että sielt näppärä näppärä tota kokelas käyttää niinku funktiolaskintoimintoja ihan millä tahansa mutta mut ne ei oo nyt niinkun tehtävänlaatijoiden näkökulmasta niin ne ei oo nyt sitte sit kuitenkaan niit ongelmia et se ei oo semmonen väline et mä osaan pystyn jotain tämmöstä tämmösiä aritmeettisia toimintoja käyttämään se ei oo nyt se pulma. En tiedä tuleeko sinne sit nelilaskin kaikille että kaikki voi laskee yhteenlaskut koneella. Ei, ei o ei o tota sen sen tarkemmin siit viel puhuttu"