Abitti

Wikipediasta
Siirry navigaatioon Siirry hakuun

Abitti (vuoteen 2019 asti DigabiOS) on Suomessa sähköisissä ylioppilaskirjoituksissa käytettävä käyttöjärjestelmä. Abitti pohjautuu Linux-käyttöjärjestelmän Debian GNU/Linux-jakelupakettiin. Abitin kokeet laadittiin alunperin MEB (Matriculation Examination Board) -näytemuodossa. Abitin tarkoituksena on osaltaan taata kokelaiden tasavertaisuus ylioppilaskokeessa tarjoamalla kaikille kokelaille samanlainen tietotekninen ympäristö. Tietoturvan takaamiseksi Abitti ei salli ympäristöön sisältymättömien ohjelmien asentamista. Järjestelmä otettiin käyttöön vuonna 2016, jolloin alkoi vaiheittainen siirtymä kohti digitaalista tutkintoa.[1] Ennen vuotta 2019 Abitin nimi oli DigabiOS ja Abitti oli vain nimitys kasuaalikokeiden omalle järjestelmäversiolle.

Vuonna 2023 Abitti lopetti MEB-näytemuodon ja vaihtoi sen MEX-muotoon. MEX-kokeet tehdään Bertta-alustalla.[2]

Koetilanteessa osallistujien koneiden omat käyttöjärjestelmät ohitetaan käynnistämällä koneet Abittiin USB-muistilta. Abitti-järjestelmästä ei pääse käsiksi tietokoneella eikä USB-muistilla oleviin tietoihin, joten järjestelmä välttää lunttaamisen kokeissa tällä tavalla. Abitista on tulossa uusi versio, Abitti 2, joka tulee aluksi lukioiden omaan käyttöön vuonna 2025.[3]

Kevään 2021 tietoturvahaavoittuvuus

[muokkaa | muokkaa wikitekstiä]

Toukokuussa 2021 julkaistiin tieto Abitissa olleista tietoturvahaavoittuvuuksista, jotka kolme lukioikäistä valkohattuhakkeria olivat löytäneet.[4][5][6] Ilmoitus haavoittuvuudesta tehtiin Ylioppilaslautakunnalle kesken ylioppilaskirjoitusten, mutta haavoittuvuuksien korjaaminen aloitettiin välittömästi. Koepalvelinten päivittämistä hankaloitti se, etteivät ne olleet YTL:n hallussa vaan pääasiassa koulujen tai jopa yksittäisten opettajien omia tietokoneita.[5]

Haavoittuvuuksien avulla olisi ollut mahdollista muun muassa:[7]

  • suorittaa komentoja koepalvelimella pääkäyttäjän oikeuksilla
  • saada haltuunsa kaikkien kokeeseen osallistujien nimet ja henkilötunnukset
  • nähdä ja muokata koevastauksia
  • suorittaa komentoja kokeen osallistujien tietokoneilla pääkäyttäjien oikeuksilla Abitin automaattisen päivitystoiminnon avulla
  • pyyhkiä kokelaan tietokoneen oma käyttöjärjestelmä tai asentaa tietokoneelle pysyviä haittaohjelmia[8]

Koska Abitti-kokeita voidaan järjestää myös langattomassa verkossa, hyökkääjän ei olisi tarvinnut olla itse koesalissa haavoittuvuutta hyödyntääkseen.[7]