--->
AfterDawn logo

Abitti-järjestelmästä on korjattu kaksi vakavaa tietoturva-aukkoa - mahdollistivat murtautumisen koeverkosta koetilan palvelimelle

Janne Yli-Korhonen Janne Yli-Korhonen

Sähköisissä ylioppilaskirjoituksissa käytettävästä Abitti-järjestelmästä korjattiin kaksi vakavaa tietoturva-aukko, jotka mahdollistivat murtautumisen koeverkosta koetilan palvelimelle. Aiheesta uutisoi Helsingin Sanomat.

Ensimmäinen haavoittuvuus, joka on merkitykseltään vähäisempi, koskee kokelaan tikkua. Tämän haavoittuvuuden avulla kokeen suorittaja voi saada pääkäyttäjän oikeudet, jonka myötä palomuuria voi muokata ja siten käyttää vapaasti internetiä sekä koneella olevia aineistoja.

Toinen, erittäin vakavaksi luokiteltu haavoittuvuus koskee palvelintikkua. Tämä haavoittuvuus mahdollistaa murtautumisen koeverkosta koetilan palvelimelle ja siellä mielivaltaisten komentojen ja ohjelmakoodin suorittamisen.

Komentojen avulla hyökkääjä voi esimerkiksi hakea kaikkien kokeisiin osallistuneiden henkilötiedot tai koesuoritukset tai muuttaa niitä.

Palvelintikun haavoittuvuuden hyödyntäminen vaati, että kokeen suorittajalla on kokelaan koeympäristön pääkäyttäjän oikeudet.

MAINOS


Molemmat haavoittuvuudet ovat olleet kevään 2021 ylioppilaskokeissa käytetyissä tikkuversioissa. Ylioppilastutkintolautakunnan (YTL) mukaan näitä haavoittuvuuksia ei ole hyödynnetty kevään kokeissa. Hyödyntäminen olisi vaatinut runsasta valmistautumista ja tästä huolimatta on todennäköistä, että hyökkääjä jää kiinni jossain vaiheessa hyökkäystä.

Tietoturva-aukkoja yhdistävän hyökkäystavan löysivät nuoret Mikael Hannolainen, Ruben Mkrtumyan ja Eemil Sinkko. Tietoturvasta kiinnostuneet nuoret alkoivat tutkia Abittia viime vuoden lopussa huvin vuoksi. Pian he löysivät järjestelmästä puutteita ja tietoturva-ammattilaisten neuvoilla he kertoivat löydöistään YTL:lle.

YTL:n blogikirjoituksessa kommentoitiin heidän yhteydenottonsa olleen lautakuntaan poikkeuksellisen ammattimainen ja se mahdollisti nopean korjaamisen.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Nyt se tapahtui: Linkkivero iski Suomeen - Amppareiden kilpailija suljettiin, Kopiosto vaati rahaa otsikoista

AfterDawn

33 vuotta vanha Amigan käyttöjärjestelmä sai virallisen päivityksen

AfterDawn

Trumpin bluffi petti hyvinkin nopeasti: Puhelimet ja tietokoneet välttyvät tulleilta

AfterDawn

Monopolioikeudenkäynti Facebookia vastaan alkoi - Syyte: Meta osti kilpailijansa suojatakseen valta-asemaansa

AfterDawn

Posti muutti rankasti käyttöehtojaan: ryhtyy profiloimaan käyttäjiä, kohdentaa tiedoilla mainoksia - näin estät

AfterDawn

Dystopia? Britannia kehittää työkalua, joka ennustaisi todennäköisimmät murhaajat

AfterDawn

Kaksi läppärivalmistajaa keskeytti tietokoneidensa myynnit Yhdysvalloissa - tullien takia hinnoittelu on mahdotonta

AfterDawn

Applen uutuuskännykkä myy hurjalla tahdilla - yhtiö nousi ensimmäistä kertaa ikinä alkuvuodenkin myydyimmäksi kännykkävalmistajaksi

Puhelinvertailu

Osuuspankin verkkopankki, mobiilipankki ja tunnistautuminen ovat nurin

AfterDawn

Powered by HIGH.FI

Powered by HIGH.FI
Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki