Nyt etsitään haavoittuvuuksia Abitti 2 -sovelluksesta – aukkojen metsästys käynnistyy huhtikuussa
Ylioppilastutkintolautakunta järjestää hakkerointiohjelman, jonka tavoitteena on parantaa Abitti 2 -kokelassovelluksen tietoturvaa. Osallistujien tehtävänä on etsiä sovelluksesta ja koetilan palvelimesta haavoittuvuuksia, joita kokelas voi hyödyntää vilpilliseen toimintaan ylioppilaskokeissa. Hackabi 4 -ohjelma käynnistyy 1. huhtikuuta ja kestää noin kuusi kuukautta. Havainnoista maksetaan palkkio.
Kokelaan näkökulmasta Abitti 2 on sovellus, jonka kokelas käynnistää tietokoneensa käyttöjärjestelmässä. Sovellus lukitsee pääsyn muualle tietokoneelle tai internetiin. Kokelassovelluksesta tehdään versiot yleisimmille käyttöjärjestelmille, mutta ohjelmassa haavoittuvuuksia etsitään vain Windows-kokelassovelluksesta ja Linux-kokelastikusta.
Ohjelmaan osallistujien tehtävänä on etsiä koetilan palvelimesta ja kokelassovelluksista aukkoja, joita on mahdollista hyödyntää vilpilliseen toimintaan. Palkkion saadakseen osallistujan tulee kuvata konkreettisesti hyökkäysmenetelmä (proof of concept) sekä menetelmä hyväksikäyttömenetelmän estämiseen tai havaitsemiseen koetilanteessa. Yleiset tietoturvapuutteet, jotka eivät auta kokelasta parantamaan menestystään ylioppilaskokeessa, on rajattu kilpailun ulkopuolelle. Ohjelman säännöt ja tarkempi tehtävänanto on kuvattu ohjelman verkkosivuilla osoitteessa hackabi.org.
Hakkerointiohjelma täydentää lautakunnan omaa tietoturvatyötä ja on normaali osa järjestelmän kehitystä. Alan käytäntöjen mukaisesti lautakunta on sitoutunut julkaisemaan tietoturvahavainnot kolmen kuukauden sisällä siitä, kun ne on raportoitu lautakunnalle. Käytännön tavoitteena on kannustaa hyväntahtoisia hakkereita ilmoittamaan löydöistään järjestelmien kehittäjille, jotta havaintoja ei käytettäisi vilpillisesti.
Ohjelma järjestetään yhteistyössä monia hakkerointitapahtumia järjestäneen tietoturvayhtiö Mint Security Oy:n kanssa, ja havainnot raportoidaan Mint Securityn raportointikanavalla. Raportoiduista havainnoista maksetaan palkkio lautakunnan asettamien kriteerien mukaan. Palkkion maksaminen edellyttää, että palkkion voittaneella on suomalainen verokortti.
”Kannustan kaikkia valkohattuhakkereita ja erityisesti alasta kiinnostuneita lukiolaisia osallistumaan ohjelmaan. Pienen rahapalkinnon lisäksi osallistujille on tarjolla mainetta, joka voi auttaa eteenpäin omalla hakkeriuralla”, Ylioppilastutkintolautakunnan erityisasiantuntija, Abitin tuoteomistaja Matti Lattu linjaa.
Ohjelma on käynnissä 1.4.2026 alkaen noin puoli vuotta. Ohjelman kestoon vaikuttaa esimerkiksi havainnoista maksettaviin palkkioihin varatun summan täyttyminen.
Lisätietoa
Matti Lattu, erityisasiantuntija, Ylioppilastutkintolautakunta, matti.lattu@ylioppilastutkinto.fi.
Hakkerointiohjelman säännöt (hackabi.org)
Abitti 2 – ylioppilastutkinnon uusi koejärjestelmä
Abitti 2 -palvelimen ja kokelassovellusten asennusohjeet (Abitti.fi)
Abitin tietoturvapolitiikka (englanniksi) (Abitti.fi)