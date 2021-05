Ylioppilastutkinto­lautakunnan mukaan nuorten ”valkohattuhakkereiden” yhteydenotot ovat yksi tärkeä reitti löytää muissa testeissä piiloon jääneitä tietoturva-aukkoja.

Lukioikäisten ”valkohattuhakkerien” löytämät tietoturva-aukot ylioppilaskirjoituksissa käytettävästä Abitti-järjestelmästä ovat herättäneet keskustelua Ylioppilastutkinto­lautakunnan (YTL) tietoturvakäytännöistä tietoturva-ammattilaisten ja -harrastajien keskuudessa.

Abitti-järjestelmästä korjattiin keväällä kaksi tietoturva-aukkoa.

YTL kertoi blogissaan, että aukoista vakavampi mahdollisti hyökkääjän murtautumisen lukion koetilassa käytettävälle palvelimelle ja pääsyn esimerkiksi kokelaiden henkilötietoihin ja koetuloksiin.

Lisäksi järjestelmästä löydettiin toinen lievempi haavoittuvuus, jonka avulla kokeen suorittajan oli mahdollista saada pääkäyttäjän oikeudet omaan tietokoneeseensa ja päästä esimerkiksi käyttämään koneen kovalevylle tallennettuja tietoja tai internetiä kokeen aikana.

Erityisesti lievempi haavoittuvuus on aiheuttanut keskustelua sosiaalisessa mediassa. Tietoturva-aukon on nimittäin huomattu olevan samankaltainen jo vuonna 2013 raportoidun aukon kanssa.

Kyse on vuonna 2013 järjestetyssä Hackabi-hakkerointi­kilpailussa löydetystä tietoturva-aukosta, joka mahdollisti muun muassa juuri koneen kovalevylle tallennetun tiedon hyödyntämisen kokeen aikana. Kilpailussa tarkasteltiin Abitin demoversiota, sillä ylioppilaskirjoituksia ei vielä tuolloin järjestetty sähköisesti.

YTL:n ohjelmistojen kehitystyötä johtava erityisasiantuntija Matti Lattu vahvistaa, että kyse todella on samasta tietoturva-aukosta kuin vuonna 2013.

Kyseinen aukko on kuitenkin ollut suljettuna loppuvuoteen 2020 saakka, eli sitä ei ole voinut koetilanteissa hyödyntää. Viime syksynä tilanne kuitenkin muuttui, kun järjestelmää päivitettiin.

”Silloin meille sattui virhe, sillä aukon tukkivat määrittelytiedostot putosivat kokelaan koneelta pois. Kaiken lisäksi virhettä ei löytynyt uuden järjestelmäversion tietoturvatesteissä. Uudessa versiossa alun perin vuonna 2013 löytynyt ominaisuus lävähti huomaamattamme jälleen auki”, Lattu kertoo.

Hänen mukaansa aukkoa olisi voinut hyödyntää kevään 2021 yo-kirjoituksissa. Aukko korjattiin huhtikuussa, kun siitä saatiin tietoa valkohattuhakkerilta.

”Mehän myös valvomme koneiden toimintaa yo-kokeiden aikana, joten jos kevään kokeessa joku kokelas olisi hyödyntänyt aukkoa ja esimerkiksi onnistunut käyttämään oman kovalevynsä tietoja, olisimme todennäköisesti havainneet sen.”

Ylipäätään Latun mielestä Abitin tietoturvasta keskustellessa tulisi muistaa, että Abitin kaltaisessa järjestelmässä oleellisinta ei edes aina ole vilpin estäminen.

”Tärkeintä on, että valvontajärjestelmä tunnistaa, jos joku kokelas yrittää käyttää tietokoneen avulla vilppiä. Järjestelmän suojauksien ei siis tarvitse ensisijaisesti olla täysin aukoton.”

YTL pyrkii parantamaan tietoturvaansa esimerkiksi järjestelmien automaattitestauksella. Lisäksi tietoturvakumppani tekee järjestelmälle testejä jokaisen suuremman järjestelmäversion muutoksen yhteydessä.

”Näistä löydöksistä emme raportoi julkisesti, ja siksi saattaa näyttää siltä, että elämme vain julkisten vinkkien perusteella”, Lattu selittää.

Myös vapaaehtoisten valkohattuhakkereiden vinkit ovat tärkeitä. Esimerkiksi tänä keväänä löytyneitä aukkoja ei oltu havaittu YTL:n omissa eikä tietoturvakumppanien suorittamissa tietoturvatesteissä.

Nuorten valkohattuhakkerien osaamista voisi hyödyntää Suomessa enemmänkin, toteaa johtava tietoturvakonsultti Iiro Uusitalo tietoturvayritys Fraktalista.

Uusitalo on auttanut monia nuoria valkohattuhakkereita ilmoittamaan tietoturva-aukoista organisaatioille. YTL:n tapauksessa Uusitalo ei ollut suoraan mukana, mutta hän on auttanut Abitista haavoittuvuuksia löytäneitä nuoria muissa tapauksissa.

Nuoret kertoivat löydöksestään asiantuntijoille Generation Z Hack -valkohattuhaastekampanjan keskustelukanavalla.

Kyseessä on nuorille suunnattu kampanja, jossa ovat mukana muun muassa Digi- ja väestötietovirasto, keskusrikospoliisi ja Uusitalon työnantaja Fraktal.

”Tällaisten kampanjoiden avulla me asiantuntijat voimme auttaa verkostojemme avulla nuoria löytämään oikeat kanavat ilmoittaa tietoturva-aukoista eteenpäin. Aina nuoret eivät tule yksin kuulluksi näissä tilanteissa. Joskus nuorten on myös vaikeaa löytää organisaatioista oikea ihminen, joka kuuntelee ja ymmärtää, mistä on kyse”, Uusitalo sanoo.

Myös YTL:ssä on pistetty nuorten valkohattu­hakkereiden kyvyt merkille.

Monet YTL:n saamista yhteydenotoista ovat lukioikäisiltä nuorilta, jotka ovat kiinnostuneet järjestelmästä opintojensa aikana.

Lattu uskoo, että YTL:n tapaiseen pienehköön organisaatioon on myös melko helppo ottaa yhteyttä.

”Meillä on se etu, että uusia päteviä nuoria tulee vuosittain käyttämään Abitti-järjestelmää. Kun he innostuvat tutkimaan järjestelmää, niin he myös voivat tehdä siitä uusia löydöksiä”, Lattu sanoo.