Abitti

Abitti (vuoteen 2019 asti DigabiOS) on Suomessa sähköisissä ylioppilaskirjoituksissa käytettävä käyttöjärjestelmä. Abitti pohjautuu Linux-käyttöjärjestelmän Debian GNU/Linux-jakelupakettiin. Abitin kokeet laadittiin alunperin MEB (Matriculation Examination Board) -näytemuodossa. Abitin tarkoituksena on osaltaan taata kokelaiden tasavertaisuus ylioppilaskokeessa tarjoamalla kaikille kokelaille samanlainen tietotekninen ympäristö. Tietoturvan takaamiseksi Abitti ei salli ympäristöön sisältymättömien ohjelmien asentamista. Järjestelmä otettiin käyttöön vuonna 2016, jolloin alkoi vaiheittainen siirtymä kohti digitaalista tutkintoa.[1] Ennen vuotta 2019 Abitin nimi oli DigabiOS ja Abitti oli vain nimitys kasuaalikokeiden omalle järjestelmäversiolle.

Vuonna 2023 Abitti lopetti MEB-näytemuodon ja vaihtoi sen MEX-muotoon. MEX-kokeet tehdään Bertta-alustalla.[2]

Koetilanteessa osallistujien koneiden omat käyttöjärjestelmät ohitetaan käynnistämällä koneet Abittiin USB-muistilta. Abitti-järjestelmästä ei pääse käsiksi tietokoneella eikä USB-muistilla oleviin tietoihin, joten järjestelmä välttää lunttaamisen kokeissa tällä tavalla. Abitista on tulossa uusi versio, Abitti 2, joka tulee aluksi lukioiden omaan käyttöön vuonna 2025.[3]

Kevään 2021 tietoturvahaavoittuvuus

Toukokuussa 2021 julkaistiin tieto Abitissa olleista tietoturvahaavoittuvuuksista, jotka kolme lukioikäistä valkohattuhakkeria olivat löytäneet.[4][5][6] Ilmoitus haavoittuvuudesta tehtiin Ylioppilaslautakunnalle kesken ylioppilaskirjoitusten, mutta haavoittuvuuksien korjaaminen aloitettiin välittömästi. Koepalvelinten päivittämistä hankaloitti se, etteivät ne olleet YTL:n hallussa vaan pääasiassa koulujen tai jopa yksittäisten opettajien omia tietokoneita.[5]

Haavoittuvuuksien avulla olisi ollut mahdollista muun muassa:[7]

  • suorittaa komentoja koepalvelimella pääkäyttäjän oikeuksilla
  • saada haltuunsa kaikkien kokeeseen osallistujien nimet ja henkilötunnukset
  • nähdä ja muokata koevastauksia
  • suorittaa komentoja kokeen osallistujien tietokoneilla pääkäyttäjien oikeuksilla Abitin automaattisen päivitystoiminnon avulla
  • pyyhkiä kokelaan tietokoneen oma käyttöjärjestelmä tai asentaa tietokoneelle pysyviä haittaohjelmia[8]

Koska Abitti-kokeita voidaan järjestää myös langattomassa verkossa, hyökkääjän ei olisi tarvinnut olla itse koesalissa haavoittuvuutta hyödyntääkseen.[7]

Lähteet

  • Mikä Abitti? | Abitti - Kohti digitaalista ylioppilaskoetta

Viitteet

  1. Sähköiset ylioppilaskokeet alkavat – tulevaisuuden kokeisiin suuria suunnitelmia, kuten avoin internet yle.fi. Viitattu 12.4.2022.
  2. Urbruktagandet av MEB-formatet är den största förändringen i Abittis historia | Abitti www.abitti.fi. Viitattu 24.2.2023.
  3. Abitti 2 – Tulevaisuuden koejärjestelmä | Ylioppilastutkintolautakunta www.ylioppilastutkinto.fi. 1.2.2024. Viitattu 29.4.2024.
  4. Tietoturva | Lukiolaiskolmikko huomasi tietoturva-aukon sähköisessä yo-kirjoitusjärjestelmässä: ”Oli iso yllätys, että saimme toimimaan näin ison hyökkäysketjun” Helsingin Sanomat. 17.5.2021. Viitattu 25.1.2024.
  5. a b Kolme poikaa löysi yo-kirjoituksista tietoturva-aukon, josta olisi halutessaan päässyt muokkaamaan vastauksia – nyt heille sataa työtarjouksia Yle Uutiset. 22.5.2021. Viitattu 25.1.2024.
  6. Abitista on korjattu kaksi tietoturvahaavoittuvuutta | Abitti www.abitti.fi. Viitattu 25.1.2024.
  7. a b Hannolainen Mikael, Sankko Eemil, Mkrtumyan Ruben: Abitti Open Access abitti.testausserveri.fi. Viitattu 25.1.2024.
  8. Abitista on korjattu kaksi tietoturvahaavoittuvuutta | Abitti www.abitti.fi. Viitattu 25.1.2024.