joukkoistaminen tietoturvatyössä – case hackabi

ylioppilastutkinto.fi digabi.fi

Joukkoistaminen tietoturvatyössä – Case Hackabi

● Sähköinen ylioppilaskoe

● Live-käyttöjärjestelmä

● Hackabi-kilpailun järjestäminen

● Mitä jäi käteen?

Kokeen vaiheet

5.11.2013Matti Lattu / Korkeakoulujen IT-päivät

2

Kysymysten

laadinta

Koe

Arviointi koululla

YTL:n

arviointi

Tulosten levitys

Kokeen vaiheet


3

Kysymysten

laadinta

Koe

Arviointi koululla

YTL:n

arviointi

Tulosten levitys

YTL kuten nytkin

Yhdenaikaisuus

KoesalaisuusTasa-

arvoisuusYksilökoe

Arviointiprosessia olisi nyt

mahdollisuus muuttaa paljonkin

KokelaatOpettajat

MediaTutkijatOpen Data

Käyttöönoton vaiheistus

5.11.2013

Matti Lattu / Korkeakoulujen IT-päivät

4

SAGEFI

RAYHPSY

RUFINUEUOETTEHI

ENEAIAPOLABI

ÄIS2R2VEFYKESM

MA

S 2016

K 2017

S 2017

K 2018

S 2018

K 2019

Projektin status: Planning

● Alustava toiminnalliset ja ei-toiminalliset vaatimukset olemassa (backlog olemassa)

● Alustavat uhkamallit ja suojaukset suunniteltu

● Osallistava viestintä● 2 htv tekee viestintää erityisesti opettajille

● Suorituspaikan demoympäristö olemassa

● Eri ainejaosten luonnehdinnat kokeiden sisällöistä tulossa vuodenvaihteessa


5

Kurkistus järjestelmään: Ilmoittautuminen


6

Wilma, Helmi, …

kuten nyt

ilmoittautuminen

Kurkistus järjestelmään: Koetilanne


7

Koetilan välityspalv

elin

PäätelaitePäätelaite

Päätelaite

Koetilan valvontakons

oli

kokelaat

valvojat

Wilma, Helmi, …

kuten nyt

tehtävät

vastaukset

kaikki ok?pöytä-kirja

Internetei verkkoyhteyttä

kokelaille

ilmoittautuminen

Kurkistus järjestelmään: Arvostelu ja tulosten julkistaminen


8


elin


PäätelaiteArviointi-

järjestelmä


oli

kokelaat

valvojat

opettajat

sensorit

Wilma, Helmi, …

kuten nyt

YTL extranet

rehtori

Wilma, Helmi, …

kuten nyt

ilmoittautuminen

tehtävät

vastaukset



kokelaille

Kurkistus järjestelmään: Arvostelu ja tulosten julkistaminen


9


elin



järjestelmä


oli

kokelaat

valvojat

opettajat

sensorit

Wilma, Helmi, …

kuten nyt

YTL extranet

rehtori

Wilma, Helmi, …

kuten nyt

ilmoittautuminen

tehtävät

vastaukset



kokelaille

Kurkistus järjestelmään: Also featuring…


10


elin



järjestelmä


oli

kokelaat

valvojat

opettajat

sensorit

Wilma, Helmi, …

kuten nyt

YTL extranet

rehtori

Wilma, Helmi, …

kuten nyt

ilmoittautuminen

tehtävät

vastaukset


Eikä tässä vielä kaikki!

• Arkisto

• Tutkintorekisteri

• Kysymysten laatiminen

• Asianhallintajärjestelmä

Päätelaite

● Ensimmäinen tuettava laiteympäristö: tavallinen läppäri● x86, vähintään 2 GHz, CD/USB-boottimahdollisuus, näyttö

1024x768

● WLAN ja Ethernet -verkkoliitäntä

● Muiden laitteiden tukea ryhdytään tekemään vasta sitten, kun tämä on varmasti mahdollista

● Osa laitteista tullee kouluilta, osa kokelailta


11

Live-käyttöjärjestelmä tarjoaa eniten mahdollisuuksia● Yhtenäinen ohjelmisto kaikille

● selain, selaimen lisäosat (tarvittaessa esim. Flash, Java)

● sovellusohjelmistot (esim. OpenOffice, LibreOffice, Inkscape, kaavaeditori, …)

● Ylläpitäjän oikeudet kokeen järjestäjälle● estetty paikallisten resurssien käyttö

● verkkoyhteyksien rajaaminen (esim. vain VPN-putken kautta)

● Tarkoitus on myöhemmin lisätä tukea eli alustoille, mikäli se on mahdollista


12

Miksi Hackabi?

● Ongelma: Opettajien oli vaikea ymmärtää live-käyttöjärjestelmän ideaa

● Ratkaisu: Tehdään demo Linuxilla (1,5 htkk)

● Ongelma: Miten vältetään demosta väistämättä löytyvien reikien aiheuttama badwill?

● Ratkaisu: Palkitaan löytäjät.


13

Ennen kilpailua

● Tuomarit● Juhani Eronen (CERT-FI)

● Mikko Hyppönen (F-Secure Oyj)

● Pekka Sillanpää (Nixu Oy)

● Säännöt● Aikataulu (1 kk), palkinnot (1000 € kolmelle parhaalle +

optio muihin)

● Tuotosten oikeudet (CC-BY-NC)

● Lehdistötiedote, kilpailijoiden aineisto englanniksi

● Ohjeet kokeileville opettajille


14

Kilpailun aikana

● Kilpailutöiden vastaanotto

● Median palvelu (haastattelut)

● FAQ jäi hyvin lyhyeksi, kysymyksiä tuli vähän


15

Lähettäjä: Zunter [mailto:[email protected]]

Lähetetty: 21. elokuuta 2013 17:26

Vastaanottaja: digabi

Aihe: Re: UKK

Kun todennäiköisesti osaisin kaataa nettisivun niin

mikähän mahtaa olla domain tai IP-osote minkä kaatoa

voi kokeilla? Jos sitä saa kokeilla.

mailto:[email protected]

Kilpailun jälkeen

● Kilpailutyöt ja pisteytystaulukot tuomareille

● Tulosten laskenta ja varmistus

● Päätettiin olla julkaisematta vastauksia sellaisenaan, koska se ei olisi palvellut projektin tavoitetta

● Yhteydenotto voittajiin, yhteystiedot medialle

● Lehdistötiedote, haastattelut

● Palkintojen maksaminen


16

Mitä jäi käteen?

● Kolme kilpailutyötä, joiden tekemiseen oli nähty erittäin paljon vaivaa● Harry Sintonen: 17 haavoittuvuutta, korjaukset. 17 sivua.

● Deffi 420: Ready-to-deploy rootkit ja boottiprosessin yksityiskohtainen kuvaus. Erinomainen lähteiden hallinta! 5 sivua.

● Jarmo Lahtiranta, Esko Järnfors: Verkkorajoitusten kiertäminen, LANin lamauttaminen. 3 sivua.

● BYOD on suurin koetilanteen tietoturvaongelma.

● Runsaasti positiivista julkisuutta.


17

Miksei palkattu ammattilaisia?

Eikö tuo homma kannattaisi hoitaa heti alunperin ammattimaisesti. Nyt paikataan "hakkerikilpailulla". Saadaan parin tabletin hinnalla hommaa vähän kasaan. Oikea hakkeri panttaa tietojaan ja julkaisee juuri ennen kirjoituksia, jos palkintosumma ei ole kunnollineen. Niin paljon vikoja koko ideassa.


18

Kiitos!


19

[email protected]

Miten voin osallistua Digabiin?

● Projektin verkkosivut digabi.fi (m.digabi.fi)

● Facebook / Ylioppilastutkintolautakunta

● Facebook / Tietokoneet yo-kirjoituksissa

● Twitter @YTLSEN

● Twiittaatko? #digabi

● [email protected]

● Digabi kylässä! Digabi på besök!


20

joukkoistaminen tietoturvatyössä – case hackabi

Documents