Category Archives: Hackabi 4

Yli kolmekymmentä löydöstä käsitelty

Jo yli 30 tietoturvahavaintoa on käsitelty ja lisää näyttää tulevan! Tässä vaiheessa on hyvä korostaa paria seikkaa, joista voi olla apua Abitti 2:n tietoturvan tutkimisessa.

Useissa raadille tulevissa ehdotuksissa on käsitetty virheellisesti, että tekninen valvonta ilmoittaa havainnoistaan kokeen valvojalle. Tästä on tehty se jatkopäätelmä, että mikäli omassa laboratoriosetupissa valvojan näkymässä ei näy varoituksia, kehiteltyä huijausta ei havaita.

Tekninen valvonta kerää tietoja koneen käytöstä ja yhtä poikkeusta lukuunottamatta analyysiä ei tehdä kokeen aikana. Lisätietoja tästä löytyy abitti.fi-sivustolla. Valvonnan tuloksista ei siis raportoida ajantasaisesti valvojan näytöllä tai Oma Abitissa lukuunottamatta tätä yhtä em. sivulla kuvattua poikkeusta.

Teknisen valvonnasta on kerrottu myös palkkio-ohjelman säännöissä. Täällä listataan asioita, joita teknisen valvonnan voi olettaa seuraavan. Ohjelmassa ei siis kannata ehdottaa esimerkiksi virtuaalikoneisiin liittyvää havaintoa, koska säännöissä todetaan, että virtuaalikoneet havaitaan. Tänään listaan on lisätty teknisen valvonnan seuraamia kohteita, joihin perustuvia havaintoja on ehdotettu.

Olemme nähneet monta upeaa kilpailutyötä, mutta palkkiorahoja on yhä jäljellä.

Ällistyttäkää meidät.

 

Ensimmäisiä löydöksiä palkitaan

Ensimmäiset Hackabi 4 -palkkio-ohjelmaan havaintoja lähettäneet ovat saaneet palautteet. Saimme useita palkkioiden arvoisia, hienoja löydöksiä. Kiitos näistä! Kerromme löydäksistä lisää myöhemmin Abitin tietoturvapolitiikan mukaisesti.

Palautteet tulevat sähköpostiosoitteesta hackabi@hackday.today.

Palkkio-ohjelmaan varattuja rahoja on vielä jäljellä ja odotamme innokkaana uusia löydöksiä.

Vinkkinä haavoittuvuuksia etsiville: kilpailun säännöt kannattaa lukaista tarkkaan. Säännöissä todetaan esimerkiksi se, että tunnistamme virtuaalikoneet. Tällöin virtuaalikoneiden käyttöön perustuvat ehdotukset hylätään automaattisesti.

 

Hakkerointiohjelmassa etsitään Abitti 2:n haavoittuvuuksia

Abitti 2 otetaan käyttöön ylioppilaskokeissa syksyllä 2026. Tänään Ylioppilastutkintolautakunta käynnistää hakkerointiohjelman Abitin tietoturva-aukkojen löytämiseksi.

Hackabi 4:ksi nimetty “kisa” on oikeammin palkkio-ohjelma (bug bounty programme), jossa järjestäjä ottaa vastaan ilmoituksia aukoista ja maksaa niistä palkkioita riippuen löydöksen merkittävyydestä.

YTL on järjestänyt erilaisia kisoja Abitin ympärillä aiemminkin. Ensimmäinen Abitin demoversio julkaistiin kesällä 2013. Lanseerauksen yhteydessä pidettiin ensimmäinen Hackabi-kisa, jonka osanottajat löysivät demoversiosta erilaisia tietoturva-aukkoja. Myöhemmin Hackabi-kisoissa on etsitty Abitille uutta konseptia ja matematiikan koeympäristöä.

Nyt käynnistyvä ohjelma poikkeaa edellisistä, sillä ilmoituksia vastaanotetaan, arvioidaan ja palkitaan sitä mukaa kuin niitä löytyy. Pelkkä aukon tunnistaminen ei riitä palkkioon – löytäjältä odotetaan myös ehdotusta siitä, miten hyväksikäyttö estetään tai havaitaan.

Lisätietoja: