Abitti och studentprovet
Studentexamensnmämnden utvecklar provsystemet Abitti, som används i studentproven och i gymnasiernas övningsprov. I provsituationen anländer examinanden till provlokalen, där ett slutet lokalt nätverk har byggts upp med kablar eller trådlöst. I det lokala nätverket finns två eller flera Abitti 2-servrar.
Examinanden ska ha en dator som antingen ägs av utbildningsanordnaren eller av examinanden själv och som har ett operativsystem som är i enlighet med nämndens föreskrifter.
Före provets början startar examinanden den examinandapplikation som hen i förväg installerat på datorn eller skrivit till ett USB‑minne och kopplar sin dator till det lokala nätverk som i detta sammanhang kallas examensnätet.
Målet med informationssäkerheten i examinandens provmiljö är att förhindra examinanden från att använda datorn för fusk. Informationssäkerheten baserar sig på begränsningar och teknisk övervakning i provmiljön, där den insamlade informationen analyseras efter provet.
Vad vi letar efter
Abitti är ett provsystem utvecklat av Studentexamensnämnden. Vår hotmodell skiljer sig från typiska informationssäkerhetsprogram: angriparen är datoranvändaren (examinand eller övervakare) som försöker fuska i provet inifrån det provsystem som körs på den egna datorn.
Vi vill veta hur människor fuskar i proven – och hur de kan avslöjas. Vi är inte intresserade av allmänna informationssäkerhetsfynd. Inga utskrifter från skannrar, inga CVE‑listor, inga saknade headers och inga generiska operativsystemssårbarheter.
Alla rapporterbara (och eventuellt belöningsbara) fynd måste kunna utnyttjas på ett sätt som räknas som fusk i provet. Om fyndet inte hjälper angriparen själv eller en annan examinand att avklara studentprovet är vi inte intresserade.
Det finns inga tröstpriser i detta bug bounty‑program.
Hotkategorier som ingår i programmet
Att kringgå identitetskontroll/närvarokrav, deepfake‑videor, ställföreträdande examinander, att ge sin provmöjlighet vidare efter identitetskontrollen
| kategori | exempel |
|---|---|
| AI‑assisterat fusk | Dold LLM‑åtkomst, skärmdelning till fjäroperatörer, bildtolkning av uppgifter |
| Användning av otillåtet material | Användning av material på examinandens dator eller utanför datorn under provet |
| Delning av svar | Krypterad kommunikation mellan examinander, svarsdatasamlingar, ”dead drop”-gömställen |
| Att kringgå teknisk övervakning | Vilseledande av teknisk övervakning, att dölja svikligt förfarande så att övervakningen inte får bevismaterial |
| Metoder assisterade av övervakare | Övervakares möjlighet att hjälpa en fuskande examinand, luckor i logguppgifter |
| Avlyssning av examinander | Övervakning av andra examinanders skärmar eller kapning av sessioner |
| Störande av andra examinander | Att orsaka falska larm hos andra examinander, exekvering av godtycklig kod på någon annans dator |
| Examinandens dators attackyta | Examinandens dator är mer utsatt för angrepp efter installationen av examinandapplikationen |
Övervakning under provet
I produktionsmiljön körs en övervakningsprogramvara som kallas teknisk övervakning. Dess exakta funktioner, detektionsmetoder och kapacitet publiceras inte som en del av bug bounty‑programmet. Du kan ändå anta att programvaran åtminstone klarar följande åtgärder:
- Identifiering av virtualiserade miljöer
- Insamling av aktiva processer och tillhörande filer
- Registrering av tangenttryckningar
- Insamling av urklippsinnehåll och relaterad aktivitet
- Identifiering av användarväxling
- Övervakning av lyssnande och etablerade nätverksanslutningar
Krav på dubbel leverans
Varje belöningsbar rapport måste innehålla båda följande:
- Proof of Concept – En fungerande demonstration, reproduktionssteg och en realistisk genomförbarhetsbedömning
- Detektionsmetod – En metod för att upptäcka attacken med hjälp av teknisk övervakning, t.ex. programmässigt identifierbara tecken på attacken, analys av falska positiva och integrationsrekommendationer för övervakningsprogramvaran
Programmets mål är att förbättra förmågan till teknisk övervakning.
Anvisningar
För att delta måste du registrera din server genom att beställa en installationskod. Du får installationskoden per e‑post från abitti@ylioppilastutkinto.fi. Du kan använda en tillfällig e‑postadress för att begära installationskoden. Observera att tjänsten endast fungerar under tjänstetid och att utdelningen av koder sker manuellt.
Anvisningar för installation av provlokalens server och examinandapplikationen/examinandpinne:
- Server för sluttet examensnät
- Examinandapplikation (Windows 11)
- Examinandpinne (startbar skivavbild)
För att kunna ordna provet behöver du också själva provet:
Begränsningar – ingår inte i programmet
- Sårbarheter rapporterade av automatiska verktyg eller skannrar
- CVE:er
- Saknade säkerhetsheaders
- Denial of Service‑attacker (DoS)
- Social manipulation av SEN-personal
- All SEN:s produktionsinfrastruktur (t.ex. FQDN/certifikatutgivningstjänster – använd endast din egen testmiljö)
- Tester i övningsprov ordnade av gymnasier eller i studentproven
- Endast uppräkning av användare utan effekt
- Clickjacking utan tydlig informationssäkerhets- eller dataskyddsrisk
- Avslöjande av mjukvaruversioner
- Trasiga länkar till tredjepartssidor
- Self‑XSS eller XSS som endast påverkar föråldrade webbläsare
- ”Self‑anything” – fynd som endast skadar examinanden eller övervakaren själv
- Förfalskning av innehåll / textinjektion som inte kan användas för fusk
Regler
- Testa endast i din egen laboratoriemiljö enligt anvisningarna
- Använd antingen Windows 11‑examinandapplikationen eller examinandpinnen
- Stör aldrig prov ordnade av Studentexamensnämnden eller gymnasier och använd inte data som uppstår i sådana prov
- Publicera inte fynd utan skriftligt tillstånd
Behörighet
Deltagaren får inte vara SEN:s anställda eller underleverantör. Deltagaren måste vara allmänt skattskyldig i Finland.
Belöningar
Beloppen för de utbetalda belöningarna varierar från hundra till 2500 euro. Nedan finns korta beskrivningar som används när belöningsnivån fastställs (från den minsta till den största).
- En examinand skaffar sig en fördel i sitt eget prov.
- En liten grupp examinander skaffar sig en fördel i sitt prov.
- Ett provtillfälle i ett gymnasium förhindras eller äventyras.
- Provtillfällen i fler än ett gymnasium förhindras eller äventyras.
Exceptionellt goda detektionsmetodologier höjer belöningen. Bristfälliga eller svaga detektionsförslag sänker den.
Svarsambitioner
- Första svar: 7 arbetsdagar
- Triage: 14 arbetsdagar
- Belöningsbeslut: månatlig cykel
Observera att dessa tidsramar kan förlängas under semestertiden juni–augusti.