Informatikkstudent Didrik Sæther er svært overraska over kor lett det er å bryta seg ut av det nedlåste systemet på digital eksamen. Han har funne fleire sikkerheitshol som gjer det mogleg å juksa - utan dei alt for store IT-kunnskapane.

– Svært enkelt å juksa på digital eksamen

Publisert

Informatikkstudent Didrik Sæther har funne store sikkerheitshol i det digitale eksamenssystemet som blir brukt ved fleire norske universitet. 

– Det eg fann ut er at det er krise kor enkelt det er å juksa på eksamen. Akkurat no kan ein med minimal teknisk kompetanse, få ein annan person til å sitta heime å gjennomføra eksamen for deg, seier masterstudent på Institutt for informatikk ved UiB, Didrik Sæther.

Programmet Safe Exam Browser (SEB) låser ned datamaskina til dei som tar digital eksamen, slik at studentane ikkje skal få tilgang til ressursar og kommunikasjon. Det gjeld filer lagra på maskina, eller anna programvare.

Universitetet i Oslo, Universitetet i Agder og Universitetet i Bergen er blant dei som bruker dette systemet - og som lar studentane bruka sine eigne private datamaskinar. 

Sæther har funne ut at det er mogleg å bryta ut av det nedlåste miljøet - utan dei store forkunnskapane. På under to minutt kan ein låsa opp maskina, og både surfa på internet og opna dokument som ein har lagra på pc-en.

Dei heile starta med at Sæther i fjor såg ein artikkel i Universitas om studentar ved UiO som hadde funne sikkerheitshol i Safe Exam Browser. Det fanga interessa hans, og han jobba vidare med dette i eit emne i programvaresikkerheit.

– Eg såg litt på den feilen dei hadde oppdaga. Det verka eigentleg som om dei ikkje var klar over kor stort sikkerheitshol dei eigentleg fann. Så gjekk me nærare inn på det, og inkluderte moglegheitene for å bruka nettsider og å kommunisera med andre på eksamen, fortel Sæther.

Les også: UiO har over dobbelt så mange juksesaker som UiB

Andre kan ta eksamen for deg

At andre andre kan gjennomføra eksamen for kandidatar, ved å kopla seg på den private PC-en som studenten bruker i eksamenslokalet - er eit av dei mange sikkerheitshola som Sæther har oppdaga. 

Han trur det er sannsynleg at dette er ei moglegheit som folk har nytta seg av. 

– I sikkerheitsmiljøet er det slik at viss du veit om det, så er det mest sannsynleg nokon andre óg som veit om det - og som har utnytta moglegheita. Me kan anta med ganske stor tryggleik at nokon har juksa på digital eksamen. Men det er det ingen som snakkar om. 

Stipendiat Eivind Jahren var rettleiar til Sæther på oppgåva. Han seier det er overraskande kor lett det er å bryta gjennom systemet. 

– Det er ikkje overraskande at ein fann sikkerheitshol, fordi heile modellen med å ta med eigen data på eksamen er fundamentalt usikker. Men det som var overraskande er kor enkelt det er. Viss ein er nokolunde IT-kyndig så kan ein bruka under to minutt, og ein vil finna ein måte å bryta ut av systemet på, seier Jahren. 

– Kan vera ein marknad for denne type juks

Sæther har venta med å offentleggjera oppgåva til etter eksamensperioden, for å ikkje gje folk ei oppskrift på korleis ein kan juksa. Han vil av same grunn ikkje gå i detalj på det som er oppdaga. 

– Det me fryktar, og det som gjer at me ikkje kan gå så veldig i djupna på det me fann, er at nokon kan byrja å selja eksamen som ei teneste, seier Sæther og legg til:

– Sjå for deg på eit prestisjetungt studie kor karakterar spelar ei stor rolle, og ein er usikker på om ein kjem til å gjera det bra. Då kan ein til dømes snakka med ein i familien som tok faget for to år sidan, så kan han sitta heime å gjera eksamen for deg. Eller andre kan tilby denne tenesta mot betaling. 

Ein treng heller ikkje sitta på eksamen for å finna ut om det går an å juksa.

– Det finst ein demo av systemet, og ein kan sitta heima å prøva seg fram. Ein kan øva på juksing rett og slett, noko som gjer det veldig enkelt å få til.

Ved å bruka private pc-ar er moglegheitene for juks store, meiner Sæther.

– Eigentleg er den einaste måten å få det 100 prosent sikkert på, at ein har kontroll over datamaskinene som blir brukt, og at studentane ikkje får bruka private pc-ar. 

– Vanskeleg å kontrollera

Selskapet Inspera eig systemet Safe Exam Browser. Dagleg leiar i Inspera, Truls Bøhm, seier dei jobbar med å utbetra feila som er oppdaga. 

– Me visste delvis om desse problema. Automatisk oppdaging av sjølvbygde versjonar av Safe Exam Browser (SEB) har me jobba med og det kjem seinare i år.  Det er slik med juksprevensjon som med viruskontroll og ulovleg nedlasting av musikk. Det er heile tida nokon som prøver å finna nye måter å omgå sikkerhetsbarrierane på.

– Me ligg ofte eit steg bak, og rettar opp dei tinga som me blir klar over. Me er eigentleg glad for at folk testar ut programma våre – slik at me får veta om feila. Me må heller ikkje gløyma at årsaka til desse sikkerheitshola er at studentane bruker sine eigne datamaskiner kor dei har administratorrettar og dermed kan installera kva dei måtte ønska av programvare, seier Bøhm (bildet).

Bøhm fortel at dei alltid må gjera ei avveging mellom å hindra juks og ta omsyn til personvern.

– Det er veldig mykje me kunne gjort som me ikkje har lov til å gjera, fordi det er strenge personvernreglar i Noreg. Mellom anna kunne me ha oppdaga det viss det plutseleg kom mykje tekst inn på datamaskina til den som tar eksamen, gjennom å ta skjermdump med korte intervallar. Det er ikkje mogleg å skriva så fort, då er det klipt og limt. Dette er juksreduksjonsfunksjonalitet me vil forsøka å tilby innanfor dagens databehandleravtalar.

– Når det gjeld moglegheita for at ein hjelpar utanfor eksamenslokalet kan kopla seg til studentane si datamaskin under eksamen, er dette teoretisk mogleg. Men universiteta vil kunne avdekka/forhindra ein slik kommunikasjon gjennom brannmurer og anna infrastrukturoppsett.

Med bakgrunn frå mellom anna innspela frå Didrik Sæther, har Inspera frå no av innført ei løysing kor det vil bli gjort stikkprøvar for å sjå om folk har ein sjølvbygd Safe Exam browser - som gjer det mogleg å låsa opp datamaskina. 

– Dersom det vert brukt ein ikkje offisiell versjon av SEB under eksamen vil dette bli oppdaga. Då kan universiteta ta affære. Til hausten vil me koma med ein ny versjon av programvara, og då vil denne sjekken bli gjort automatisk på alle pc-ar, seier Bøhm.

Samdal: – Ikkje dramatisk

Viserektor for utdanning ved UiB, Oddrun Samdal, seier ein aldri kan sikra seg heilt mot denne type fjusk. 

– Me var kjent med dei fleste av desse sikkerheitshola. Det var eitt nytt moment for oss, og me tok umiddelbart kontakt med leverandør og har funne ei løysing for å tetta det. Me ser ikkje på dette som dramatisk, men som ein naturleg del av at me tek i bruk eit nytt system som ikkje er perfekt teknisk, og som me kontinuerlig jobbar med å forbetra. Me kan aldri 100 prosent gardera oss mot fjusk i digitale system, men me kan gjera det så vanskeleg som mogleg, og ha så gode kontrollrutinar som mogleg.

– Det at studentane bruker eigne pc-ar gjer det enklare å juksa, ifølge Inspera. Er det eit alternativ å gjennomføra eksamen på UiB sine eigne pc-ar? 

– Nei, vår samla risikovurdering tilseier at det ikkje er uforsvarleg at studentane bruker sine eigne datamaskiner. Sjølv om det er mogeleg å fjuska, er det ikkje enkelt å gjera det verken teknisk eller gitt alle kontrollrutinar. Me slår også alvorleg ned på fjusk, seier Samdal (bildet). 

Ho opplever at terskelen for å juksa er høg. 

– Sånn som eg oppfattar situasjonen må ein vera veldig IT-kompetent for å gjera noko slikt, det er ikkje rimeleg å anta at det  er mange som har kunna gjort det. Me har også kontrolltiltak med at vaktene følgjer med på skjermen, så viss det skjer unormal aktivitet, så kan det bli plukka opp på den måten, seier Samdal, og legg til:

– Samstundes jobbar me med førebyggande tiltak. Det er ein etikk-komponent i dette også, det skal vera studenten sin eigen kompetanse som skal vurderast. Det er klart at folk som aktivt og bevisst går inn for å fjuska vil klara det i mange samanhengar, men det er ikkje det som er forventinga og norma, og fjusk får konsekvensar. Men det er vårt ansvar at me har eit så godt system som mogleg som gjev studentane eit rettferdig karaktergrunnlag.

Samdal er fornøgd med oppfølginga frå Inspera. 

– Det har vore tilfredstillande fokus og oppfølging på det frå systemeigaren si side. Det er eit kontinuerlig utviklingarbeid som dei har adressert heile vegen i samarbeid med UiB, UiO og UiA. For oss er det arbeidet masterstudent Didrik Sæther har gjort veldig viktig i forhold til at me får forbetra systemet vårt, all æra til han for det arbeidet og for å ha delt det med oss. 

Powered by Labrador CMS