Tämän kevään ylioppilaskirjoitusten aikana maaliskuun loppupuolella Ylioppilastutkintolautakunta (YTL) sai vinkin, että sen Abitti-järjestelmässä on erittäin vakava tietoturva-aukko. Abitti on nykyisin sähköisissä ylioppilaskirjoituksissa käytettävä järjestelmä.

YTL kertoo, että mikään pahantahtoinen taho ei käyttänyt haavoittuvuutta hyväkseen, mutta aukko olisi mahdollistanut monenlaisen pahanteon, joka olisi voinut sotkea lukioiden kurssikokeita ja teoriassa jopa ylioppilaskirjoitukset.

Hyökkääjän olisi ollut mahdollista murtautua lukion koetilassa käytettävälle palvelimelle, jossa olisi voinut esimerkiksi hakea tässä koetilassa kokeisiin osallistuneiden henkilötiedot tai koesuoritukset ja muuttaa niitä.

YTL valotti tapausta hiljattain blogissaan. Sen ohjelmistojen kehitystyötä johtava erityisasiantuntija Matti Lattu kertoo, että YTL joutui aloittamaan päivitystyön saman tien, kesken kirjoitusten, jotta kukaan ei pääse hyödyntämään aukkoa. Näin toimittiin vaivihkaa, etteivät kirjoitukset olisi häiriintyneet.

Vinkki tuli kolmen nuoren ryhmältä, joka on perehtynyt Abitti-järjestelmään.

YTL tutki vinkin ja vahvisti jo kaksi päivää myöhemmin vinkin antajille, että se piti paikkansa. YTL myös pyrki varmistamaan, ettei kukaan ollut hyödyntänyt aukkoa. Täyttä varmuutta tästä ei ole.

Latun mukaan kyse oli lähes tietoturva-ammattilaisten työstä.

”Kun on nuorista kyse, tilanne lähti varmasti liikkeelle siitä, että vedätetään opettajia, mutta sitten he huomasivatkin, että heillä on käsissään melkoinen juttu”, hän sanoo.

”Onni onnettomuudessa oli se, että he tavoittivat ammattilaisen, joka sanoi, että jos haluatte olla hyviksiä, tehkää näin ja ilmoittakaa meille.”

Latun mukaan lautakunta saa vuosittain useita tietoturvaan liittyviä ilmoituksia, joissa on yleensä kyse vain yhdestä haavoittuvuudesta, mutta tällä kertaa oli kyse kolmesta. Ne yhdistämällä olisi voinut tehdä pahaa jälkeä.

”Tässä tapauksessa oli hyvä, että oikeat tietoturva-ammattilaiset olivat läsnä ja nuoret saivat apua siinä, mitä kannattaa tehdä. Nuorille tässä hyöty on se, että heidän nimensä pannaan alalla merkille.”

Lattu kertoo nuorilla olevan joskus sellainen oletus, ettei tällaisia tietoja kannata paljastaa, koska he saattavat pelätä, että heidän kokeensa hylätään.

”Se on sinänsä absurdia. Ilmoituksistahan on meille suuri apu, ja koesuorituksiin vaikuttaminen on täysin mahdotonta.”

Vinkin antaneet nuoret ovat Mikael Hannolainen Lappeenrannan lyseon lukiosta, Eemil Sinkko Oulunkylän yhteiskoulun lukiosta ja Ruben Mkrtumyan, joka aloittaa ensi syksynä Hyvinkään lukiossa.

He ovat alun perin netissä tavannut kolmikko, jolla on nuoresta iästään huolimatta pitkä kokemus koodaamisesta ja tietoturvasta. He ovat muun muassa työstäneet oppilashallintojärjestelmä Wilmaan liittyviä omia sovelluksia ja kehittäneet opetuksessa käytettävän Matikkaeditori.fi:n.

Viime vuoden lopussa he ottivat tutkimuskohteekseen Abitin. Siitä alkoi pian löytyä puutteita.

”Teimme tavallaan oikotien koneen sisään ja pääsimme pääkäyttäjäksi. Pian oli koko kone hallussa”, Mkrtumyan kuvailee.

Pidempi tarina teknisistä yksityiskohdista on luettavissa osoitteessa abitti.testausserveri.fi.

Kolmikko kertoo alkaneensa tutkia Abittia huvin vuoksi.

”Siitä tuli vähän kuin haaste. Asensimme aluksi sinne Doom-pelin. Löysimme myöhemmin yhden haavoittuvuuden ja sen jälkeen koetimme löytää lisää sellaisia haavoittuvuuksia, joiden avulla voisi suorittaa teoreettisen hyökkäyksen koepalvelinta vastaan”, Sinkko sanoo.

”Meille oli iso yllätys, että saimme toimimaan näin ison hyökkäysketjun. Se oli meille iso vau-hetki.”

Useista hakkerikisoista he ovat saaneet kontakteja tietoturva-ammattilaisiin, joille oli nyt käyttöä. Ammattilaisten neuvoilla he pääsivät selvittämään löydöksensä YTL:ään.

”Viikon päästä olimme jo videotapaamisessa ja pohdimme, milloin asia julkistetaan lukioille. Vastaanotto oli ammattimainen ja ystävällinen”, Hannolainen sanoo.

Kolmikko pitää tietoturvaa harrastuksena, jonka kanssa pitää toimia vastuullisesti. Niin sanotut valkohattuhakkerit eivät tavoittele omaa hyötyä vaan koettavat tehdä netistä turvallisemman.

”Tämä oli meidän asenteemme, kun aloitimme ja lopetimme tämän hyökkäysketjun työstämisen”, Hannolainen kertoo.