joukkoistaminen tietoturvatyössä – case hackabi
DESCRIPTION
Joukkoistaminen tietoturvatyössä – Case Hackabi. Sähköinen ylioppilaskoe Live-käyttöjärjestelmä Hackabi-kilpailun järjestäminen Mitä jäi käteen?. Kokeen vaiheet. Kokeen vaiheet. YTL kuten nytkin. Yhdenaikaisuus Koesalaisuus Tasa-arvoisuus Yksilökoe. - PowerPoint PPT PresentationTRANSCRIPT
ylioppilastutkinto.fi digabi.fi
Joukkoistaminen tietoturvatyössä – Case Hackabi
● Sähköinen ylioppilaskoe
● Live-käyttöjärjestelmä
● Hackabi-kilpailun järjestäminen
● Mitä jäi käteen?
Kokeen vaiheet
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
2
Kysymysten
laadinta
Koe
Arviointi koululla
YTL:n
arviointi
Tulosten levitys
Kokeen vaiheet
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
3
Kysymysten
laadinta
Koe
Arviointi koululla
YTL:n
arviointi
Tulosten levitys
YTL kuten nytkin
Yhdenaikaisuus
KoesalaisuusTasa-
arvoisuusYksilökoe
Arviointiprosessia olisi nyt
mahdollisuus muuttaa paljonkin
KokelaatOpettajat
MediaTutkijatOpen Data
Käyttöönoton vaiheistus
5.11.2013
Matti Lattu / Korkeakoulujen IT-päivät
4
SAGEFI
RAYHPSY
RUFINUEUOETTEHI
ENEAIAPOLABI
ÄIS2R2VEFYKESM
MA
S 2016
K 2017
S 2017
K 2018
S 2018
K 2019
Projektin status: Planning
● Alustava toiminnalliset ja ei-toiminalliset vaatimukset olemassa (backlog olemassa)
● Alustavat uhkamallit ja suojaukset suunniteltu
● Osallistava viestintä● 2 htv tekee viestintää erityisesti opettajille
● Suorituspaikan demoympäristö olemassa
● Eri ainejaosten luonnehdinnat kokeiden sisällöistä tulossa vuodenvaihteessa
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
5
Kurkistus järjestelmään: Ilmoittautuminen
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
6
Wilma, Helmi, …
kuten nyt
ilmoittautuminen
Kurkistus järjestelmään: Koetilanne
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
7
Koetilan välityspalv
elin
PäätelaitePäätelaite
Päätelaite
Koetilan valvontakons
oli
kokelaat
valvojat
Wilma, Helmi, …
kuten nyt
tehtävät
vastaukset
kaikki ok?pöytä-kirja
Internetei verkkoyhteyttä
kokelaille
ilmoittautuminen
Kurkistus järjestelmään: Arvostelu ja tulosten julkistaminen
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
8
Koetilan välityspalv
elin
PäätelaitePäätelaite
PäätelaiteArviointi-
järjestelmä
Koetilan valvontakons
oli
kokelaat
valvojat
opettajat
sensorit
Wilma, Helmi, …
kuten nyt
YTL extranet
rehtori
Wilma, Helmi, …
kuten nyt
ilmoittautuminen
tehtävät
vastaukset
kaikki ok?pöytä-kirja
Internetei verkkoyhteyttä
kokelaille
Kurkistus järjestelmään: Arvostelu ja tulosten julkistaminen
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
9
Koetilan välityspalv
elin
PäätelaitePäätelaite
PäätelaiteArviointi-
järjestelmä
Koetilan valvontakons
oli
kokelaat
valvojat
opettajat
sensorit
Wilma, Helmi, …
kuten nyt
YTL extranet
rehtori
Wilma, Helmi, …
kuten nyt
ilmoittautuminen
tehtävät
vastaukset
kaikki ok?pöytä-kirja
Internetei verkkoyhteyttä
kokelaille
Kurkistus järjestelmään: Also featuring…
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
10
Koetilan välityspalv
elin
PäätelaitePäätelaite
PäätelaiteArviointi-
järjestelmä
Koetilan valvontakons
oli
kokelaat
valvojat
opettajat
sensorit
Wilma, Helmi, …
kuten nyt
YTL extranet
rehtori
Wilma, Helmi, …
kuten nyt
ilmoittautuminen
tehtävät
vastaukset
kaikki ok?pöytä-kirja
Eikä tässä vielä kaikki!
• Arkisto
• Tutkintorekisteri
• Kysymysten laatiminen
• Asianhallintajärjestelmä
Päätelaite
● Ensimmäinen tuettava laiteympäristö: tavallinen läppäri● x86, vähintään 2 GHz, CD/USB-boottimahdollisuus, näyttö
1024x768
● WLAN ja Ethernet -verkkoliitäntä
● Muiden laitteiden tukea ryhdytään tekemään vasta sitten, kun tämä on varmasti mahdollista
● Osa laitteista tullee kouluilta, osa kokelailta
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
11
Live-käyttöjärjestelmä tarjoaa eniten mahdollisuuksia● Yhtenäinen ohjelmisto kaikille
● selain, selaimen lisäosat (tarvittaessa esim. Flash, Java)
● sovellusohjelmistot (esim. OpenOffice, LibreOffice, Inkscape, kaavaeditori, …)
● Ylläpitäjän oikeudet kokeen järjestäjälle● estetty paikallisten resurssien käyttö
● verkkoyhteyksien rajaaminen (esim. vain VPN-putken kautta)
● Tarkoitus on myöhemmin lisätä tukea eli alustoille, mikäli se on mahdollista
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
12
Miksi Hackabi?
● Ongelma: Opettajien oli vaikea ymmärtää live-käyttöjärjestelmän ideaa
● Ratkaisu: Tehdään demo Linuxilla (1,5 htkk)
● Ongelma: Miten vältetään demosta väistämättä löytyvien reikien aiheuttama badwill?
● Ratkaisu: Palkitaan löytäjät.
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
13
Ennen kilpailua
● Tuomarit● Juhani Eronen (CERT-FI)
● Mikko Hyppönen (F-Secure Oyj)
● Pekka Sillanpää (Nixu Oy)
● Säännöt● Aikataulu (1 kk), palkinnot (1000 € kolmelle parhaalle +
optio muihin)
● Tuotosten oikeudet (CC-BY-NC)
● Lehdistötiedote, kilpailijoiden aineisto englanniksi
● Ohjeet kokeileville opettajille
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
14
Kilpailun aikana
● Kilpailutöiden vastaanotto
● Median palvelu (haastattelut)
● FAQ jäi hyvin lyhyeksi, kysymyksiä tuli vähän
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
15
Lähettäjä: Zunter [mailto:[email protected]]
Lähetetty: 21. elokuuta 2013 17:26
Vastaanottaja: digabi
Aihe: Re: UKK
Kun todennäiköisesti osaisin kaataa nettisivun niin
mikähän mahtaa olla domain tai IP-osote minkä kaatoa
voi kokeilla? Jos sitä saa kokeilla.
Kilpailun jälkeen
● Kilpailutyöt ja pisteytystaulukot tuomareille
● Tulosten laskenta ja varmistus
● Päätettiin olla julkaisematta vastauksia sellaisenaan, koska se ei olisi palvellut projektin tavoitetta
● Yhteydenotto voittajiin, yhteystiedot medialle
● Lehdistötiedote, haastattelut
● Palkintojen maksaminen
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
16
Mitä jäi käteen?
● Kolme kilpailutyötä, joiden tekemiseen oli nähty erittäin paljon vaivaa● Harry Sintonen: 17 haavoittuvuutta, korjaukset. 17 sivua.
● Deffi 420: Ready-to-deploy rootkit ja boottiprosessin yksityiskohtainen kuvaus. Erinomainen lähteiden hallinta! 5 sivua.
● Jarmo Lahtiranta, Esko Järnfors: Verkkorajoitusten kiertäminen, LANin lamauttaminen. 3 sivua.
● BYOD on suurin koetilanteen tietoturvaongelma.
● Runsaasti positiivista julkisuutta.
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
17
Miksei palkattu ammattilaisia?
Eikö tuo homma kannattaisi hoitaa heti alunperin ammattimaisesti. Nyt paikataan "hakkerikilpailulla". Saadaan parin tabletin hinnalla hommaa vähän kasaan. Oikea hakkeri panttaa tietojaan ja julkaisee juuri ennen kirjoituksia, jos palkintosumma ei ole kunnollineen. Niin paljon vikoja koko ideassa.
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
18
Miten voin osallistua Digabiin?
● Projektin verkkosivut digabi.fi (m.digabi.fi)
● Facebook / Ylioppilastutkintolautakunta
● Facebook / Tietokoneet yo-kirjoituksissa
● Twitter @YTLSEN
● Twiittaatko? #digabi
● Digabi kylässä! Digabi på besök!
5.11.2013Matti Lattu / Korkeakoulujen IT-päivät
20