Gå til innhold

Lurte universitetenes «sikre» systemer trill rundt med noen få linjer kode: – Det var ekstremt enkelt

Martin Braathen Røise

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Gjest Slettet+5132

Gjest Slettet+5132

Skrevet
Skrevet

sarkasme: Det virker ubetinget som en god ide å la studentene ta med egen PC for eksamen. 

 

Dette er vel et problem som lett kunne blitt løst med maskiner levert fra universitetet, samt fysisk lukket nett.

 

Forøvrig,

 

 

Sårbarheten vedrørende utklippstavlen ville ifølge ham blitt avdekket hvis en elev hadde forsøkt å dumpe store tekstmengder som HTTP-trafikk når eksamen er i gang

 

Men det er vel ikke gitt at dette ville vært store HTTP-mengder? Ei heller at det ville blitt sendt over HTTP :p

Lenke til kommentar
Kikert

Kikert

Skrevet
Skrevet (endret)

Jeg har hørt "tjatte" lenge før "chatte" ble en ting. Vet ikke om det var et dialektord eller om det skrives likt, men uttalen er den samme.

 

Edit; Var familien fra Fredrikstad som brukte det mener jeg. Sjættrær var også et ord som ble brukt og det kommer nok derfra vil jeg tro.

Endret av 4 3
  • Liker 2
Lenke til kommentar
Abel46

Abel46

Skrevet
Skrevet

 

"tjatte med hverandre"... Vær så snill!

 

Jeg er for å bruke norske ord det passer, men "tjatte" som fornorsking av "chatte" (som allerede har fått norsk verbending) blir litt for dumt da denne stavemåten ikke er godkjent. Rød strek på norskeksamen.

Tjatte har vi da gjort i Norge lenge før vi begynte å Chatte. Var ganske vanlig ord for småprate der jeg kom fra - for ca 50 år siden. (De satt no dær å tjatta.)

  • Liker 3
Lenke til kommentar
Gjest Slettet+5132

Gjest Slettet+5132

Skrevet
Skrevet (endret)

Det er vel egentlig ganske mange angrepsvinkler for et system som lar studentene utføre eksamen med egen maskin. Programvare som vist her er en mulighet (og man kan sikkert maskere nettverkstraffikken som "Steam" eller liknende program man forventer at skal ha litt nettverkstrafikk), VM en annen mulighet.

 

Og hvis man er riktig flink kan man gjemme en mobiltelefon / raspberry pi / whatever fysisk inne laptopen, og la denne stå imellom tastaturet og hovedkortet. Mobiltelefonen kan da lytte på alle (eller utvalgte) tastetrykk og sende dem til en tredjepart som sitter utenfor eksamenslokalet. Tredjeparten kan da google etter svar, eller til og med poste spørsmål på ting som Stackexchange eller Mathexchange. Når svaret er funnet, sendes det fra tredjepart til mobiltelefon, som igjen "skriver det fra tasturet" ved en gitt tastekommando (eg. Ctrl+alt+shift+v). Man må huske på at selv vanskelige spørsmål får ofte raskt gode svar på Stackexchange.

 

Et litt komplisert oppsett kanskje, men hvis SEB og liknende blir utbredt skal en ikke se bort fra at en slik dingseboms blir tilgengelig på deal extreme eller ebay... Kanskje det også er litt problemer med å finne fysisk plass å gjemme noe slikt, men man kan alltids kjøpe en veldig stor laptop som har plass.

Endret av Slettet+5132
Lenke til kommentar
srbz

srbz

Skrevet
Skrevet (endret)

sarkasme: Det virker ubetinget som en god ide å la studentene ta med egen PC for eksamen. 

 

Dette er vel et problem som lett kunne blitt løst med maskiner levert fra universitetet, samt fysisk lukket nett.

Koster vel mindre om man forutsetter at de aller fleste studenter holder seg med PC selv. Nå kommuniserer vel også programvaren med server over internett, men det burde vel også være rimelig smertefritt for universietene å installere en lokal server innenfor et slikt fysisk lukket nett som kan betjene klientene ifm. eksamensavvikling.

 

 

Sårbarheten vedrørende utklippstavlen ville ifølge ham blitt avdekket hvis en elev hadde forsøkt å dumpe store tekstmengder som HTTP-trafikk når eksamen er i gang

Men det er vel ikke gitt at dette ville vært store HTTP-mengder? Ei heller at det ville blitt sendt over HTTP :p

 

Jeg tror det snakkes om dette helt spesifikke angrepet (som demonstreres i videoen i bunnen av artikkelen). Vanvittige mengder trafikk er det vel ikke snakk om. Ser ut som den sender og mottar innhold i utklippstavlen ca hvert 5. sekund, uavhengig av om det er oppdatert eller ei.

 

– Det ville blitt oppfattet som mistenkelig aktivitet av våre operatører, flagget, og eskalert videre via rette kanaler, konkluderer Rustberggard.

Skulle en slik juksetjeneste blitt satt opp skikkelig kunne man implementert en egen protokoll som kommuniserer på valgfri port, evt. en miks av porter (som pinges på forhånd for å danmne en oversikt over hvilke porter som er åpne og ikke), med kryptert trafikk og ujevne intervaller for å vanskeliggjøre trafikkanalyse. Og så er spørsmålet: om en student hadde valgt å jukse på denne måten, og trafikken hadde blitt flagget som "mistenkelig" og "eskalert videre via rette kanaler" - så lenge trafikken er kryptert og de "rette kanalene" ikke har mulighet for å utvetydig avgjøre hva slags type trafikk det dreier seg om - ville studenten løpt noen som helst risiko for å bli tatt?

 

Jeg mener: man kan vel ikke annullere et resultat og evt. utvise en student på bakgrunn av trafikk som ser mistenkelig ut men man ikke kjenner innholdet av? Eksempelvis kjører jeg Resilio Sync på både laptopen og den stasjonære PCen hjemme for å synkronisere dokumenter og diverse, og såvidt jeg forstår fra Wikipedia krypteres Resilio-trafikken med AES-128. Resilio Sync kjører ved oppstart. Om jeg glemmer å skru av Resilio Sync før jeg starter eksamensprogramvaren løper jeg vel ingen risiko for å bli tatt for juks på bakgrunn av at utvikler/universitetet ikke forstår hva denne trafikken er håper jeg?

Endret av srbz
  • Liker 1
Lenke til kommentar
Sampson

Sampson

Skrevet
Skrevet

Et slikt system vil aldri bli "sikkert", det er heller ikke en analog eksamen. Ingenting hindrer noen i å ha propp i øret, mobiltelefon på do, eller papirer sneket inn. 

 

Digitaliseringen vil ikke stoppes, man må gjøre det beste ut av det, og velge de riktige løsningene. Ikke sikkert Inspera er den løsningen, det vil man se på måten de håndterer slike funn.

  • Liker 1
Lenke til kommentar
Gjest Slettet+5132

Gjest Slettet+5132

Skrevet
Skrevet (endret)

Et slikt system vil aldri bli "sikkert", det er heller ikke en analog eksamen. Ingenting hindrer noen i å ha propp i øret, mobiltelefon på do, eller papirer sneket inn. 

 

Digitaliseringen vil ikke stoppes, man må gjøre det beste ut av det, og velge de riktige løsningene. Ikke sikkert Inspera er den løsningen, det vil man se på måten de håndterer slike funn.

Du har rett i at ingen eksamen er sikker, men det er alltid et spørsmål om hvor effektivt en kan jukse. Tilgang til chat i eksamenslokalet er betydelig mer effektivt enn å gjemme en telefon på toalettet.

 

Ørepropper blir i stadig større grad sjekket, men der har en også en begrenset mulighet til juks siden det kun er enveiskommunikasjon.

 

Hvis man kan jukse med å gjemme papirer med informasjon mener jeg uansett at eksamenen er dårlig utformet, man bør ikke blir testet på hvor god man er til å pugge (ja, jeg vet det er slik det er i dag for mange).

 

Hvis smartbriller eller smartlinser blir mer utbredt i fremtiden, vil nok de by på reelle problemer, spesielt hvis de blir utformet til å se ut som vanlige briller. Det er godt mulig at man da må ha eksamen i rom uten mobildekning. Det vil ikke hindre at folk scanner inn hele læreboka i smartbrillene, men det hindrer at de ber stackexchange om hjelp.

 

Hvis det hele gjør at man får åpen-bok-prøve i alle fag er ikke det en uting heller, men det vil gjøre det verre for studentene siden en åpen-bok-prøve vanligvis er mye vanskeligere :p

Endret av Slettet+5132
Lenke til kommentar
Skjeggevara

Skjeggevara

Skrevet
Skrevet

 

 

"tjatte med hverandre"... Vær så snill!

 

Jeg er for å bruke norske ord det passer, men "tjatte" som fornorsking av "chatte" (som allerede har fått norsk verbending) blir litt for dumt da denne stavemåten ikke er godkjent. Rød strek på norskeksamen.

Tjatte har vi da gjort i Norge lenge før vi begynte å Chatte. Var ganske vanlig ord for småprate der jeg kom fra - for ca 50 år siden. (De satt no dær å tjatta.)

Tenker du kanskje på "tjatre"? Det er et synonym for å bable.

  • Liker 1
Lenke til kommentar
ism_InnleggNO

ism_InnleggNO

Skrevet
Skrevet

 

 

 

"tjatte med hverandre"... Vær så snill!

 

Jeg er for å bruke norske ord det passer, men "tjatte" som fornorsking av "chatte" (som allerede har fått norsk verbending) blir litt for dumt da denne stavemåten ikke er godkjent. Rød strek på norskeksamen.

Tjatte har vi da gjort i Norge lenge før vi begynte å Chatte. Var ganske vanlig ord for småprate der jeg kom fra - for ca 50 år siden. (De satt no dær å tjatta.)

Tenker du kanskje på "tjatre"? Det er et synonym for å bable.

Nei, tjatte: http://ordbok.uib.no/perl/ordbok.cgi?OPP=tjatte

Lenke til kommentar
_Nils_

_Nils_

Skrevet
Skrevet

 

"tjatte med hverandre"... Vær så snill!

 

Jeg er for å bruke norske ord det passer, men "tjatte" som fornorsking av "chatte" (som allerede har fått norsk verbending) blir litt for dumt da denne stavemåten ikke er godkjent. Rød strek på norskeksamen.

Chat er en englifisering av norske tjatre... så... nope

Lenke til kommentar
Alex!

Alex!

Skrevet
Skrevet

Om noen har som mål å unngå all tukling burde de vurdere å jobbe med noe de kan i stedet.

 

Det å forhindre tukling med programvare med lavere rettigheter enn det brukeren selv har er som å forsøke og vinne et spill der motstanderen bestemmer reglene.

 

Dere skulle bare visst hvor dårlig det står til med sikkerheten på norske universiteter og høyskoler. Denne artikkelen er jo ikke en gang nevneverdig sammenlignet med andre ting.

Lenke til kommentar
Rainmaker91

Rainmaker91

Skrevet
Skrevet

Ved UiB har vi nå hatt digital eksamen ved bruk av SEB i noen år. Her har vi også muligheten til å låne PC om vi ikke har selv, men jeg antar at sikkerheten hadde vert betraktelig bedre om alle hadde lånt en PC. Det er selvsakt mulig å omgå ting fra den fronten også, men da har man ikke muligheten til å forrhåndsinnstallere programmer og tilsvarende for å unngå sikkerheten.

 

Det jeg er litt overrasket over er at det ikke er tatt i bruk en skreddersydd linux distro for dette her. Det å sette sammen en svært begrenset versjon, og la den fungere over live-CD eller minnepinne må da være en betraktelig sikrere måte å løse dette på enn et program som må kjøres i Windows/OSX.

  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...