Hakkerit keksivät luovia keinoja sähköisen ylioppilaskokeen murtamiseksi ylioppilastutkintolautakunnan järjestämässä kilpailussa. He paljastivat testikäyttöjärjestelmästä useita tietoturva-aukkoja ja löysivät mahdollisuuden tehdä palvelunestohyökkäyksen ohjaamalla sivuille runsaasti verkkoliikennettä, kertoo ylioppilastutkintolautakunta, joka julkaisi kilpailun voittajat tänään.

Kunniamaininnan luovasta ajattelusta sai kilpailutyö, jossa ylioppilaskoe sabotoitiin morsettamalla äänikortilla. Hackabi-kilpailun voittaja Harry Sintonen puolestaan löysi käyttöjärjestelmästä 17 erilaista haavoittuvuutta, joista osa oli kriittisiä.

Hän muun muassa paljasti, että koneeseen voidaan asentaa toinen käyttöjärjestelmä, jonka avulla kokelas voi käyttää kokeeseen kuulumatonta materiaalia.

Äänikortin avulla voi viestitellä kaverin kanssa

Kilpailun tuomaristo kehui erityisesti "laatikon ulkopuolelta" tulleita ideoita, jotka hyödynsivät tietokoneen laitteita ja ohjelmistoja, kuten äänikorttia. Ylioppilastutkinnon sähköistämisprojektin Digabin projektipäällikkö Matti Lattu kertoo, että jokaisella koneella on kielten kuuntelukokeita varten oltava äänikortti. Äänikortin vuoksi koneilta löytyi mahdollisuus lähettää ja vastaanottaa kuulokkeisiin ääntä.

- Kaksi kokelasta voi morsettaa toisilleen ultraäänellä ja keskustella keskenään niin, ettei opettaja huomaa. Se on ikään kuin tekstiviestittelyä. Nämä ideat olivat hyviä, ja näitä ei olisi tullut ajatelleeksi, jos kilpailijat eivät olisi miettineet asiaa boksin ulkopuolelta, Lattu kertoo.

Koko koe sähköinen vuonna 2019

Ylioppilastutkintolautakunnan pääsihteeri Kaisa Vähähyyppä kertoo, että hakkerointikilpailun tavoitteena oli paitsi testata sähköisen yo-kokeen käyttöjärjestelmää, myös kerätä tietoa siitä, mihin huomio pitää kiinnittää käyttöjärjestelmän jatkokehittelyssä. Lisäksi tarkoitus oli tehdä järjestelmää tutuksi oppilaille ja opettajille.

- Emme vain hakeneet ohjelmasta puutteita, vaan tutkimme koko ylioppilaskoeprosessia. Tutkimme, miten tietotekniikkaa hyödyntävässä kokeessa voi kiertää säännöksiä ja millaisia porsaanreikiä löytyy, Vähähyyppä sanoo.

Vaikka haavoittuvuuksia löytyi paljon, Vähähyypän mukaan sähköiseen kokeeseen siirrytään aikataulun mukaisesti eli asteittain vuosina 2016-2019. Tarkoitus on, että kokelaat tekevät kokeen omalta tietokoneeltaan, johon ylioppilastutkintolautakunnan käyttöjärjestelmä on asennettu.

- Kilpailijat kehittivät hienoja ja vaativia ratkaisuja, mutta yllätyksiä ei tullut. Nykyisinkin joku satunnaisesti yrittää jotain, Vähähyyppä sanoo.

Kilpailussa hakkeroitavana oli Linux-pohjainen ensimmäinen testiversio käyttöjärjestelmästä, jonka tietoturvaa ei aiemmin ollut testattu laajasti.

Hackabin tuomareita olivat Cert-Fin tietoturva-asiantuntija Juhani Eronen, F-Securen tutkimusjohtaja Mikko Hyppönen ja Nixun tietoturvakonsultti Pekka Sillanpää.