Store sikkerhetshull i nasjonalt eksamensprogram
Feilene gjør det enkelt å jukse på eksamen, forteller flere informatikkstudenter. Leverandøren innrømmer at de halser etter juksemakerne.
Jeg brukte ti sekunder på å finne feil.
Mathias Rørvik, student ved UiO
– Slik sikkerheten til Safe Exam Browser er nå, er den litt som en sveitserost, sier student Nikolas Papaioannou ved Institutt for informatikk ved Universitetet i Oslo.
De siste årene har universiteter og høyskoler over hele Norge jobbet for å digitalisere eksamen. Ett av de mest brukte systemene for å forhindre juks er dataprogrammet Safe Exam Browser (SEB). Studenter laster ned programmet på sine egne bærbare datamaskiner som de tar med på eksamen. SEB er ment å stenge tilgang til alle andre funksjoner og filer fram til eksamenen er gjennomført.
– Dette er klumsete gjort. UiO burde ha sett nærmere på programvaren og testet det grundigere før de satte det i drift, sier Papaioannou.
Grove feil
Under vårsemesteret avdekket to informatikkstudenter en rekke store sikkerhetshull som kan benyttes til juks. Funnene ble til en oppgave de leverte inn på instituttet.
Studentene ønsker å være anonyme, men den ene sier seg villig til å fortelle om funnene sine.
Han forteller at man i prinsippet kun trenger å endre på noen konfigurasjonsfiler for å lure systemet, og mener at eksamensjuks potensielt kan bli big business.
– Den største trusselen er at noen lager og selger programvare for juks. Muligheten for å tjene penger på dette vil kanskje gjøre innsatsviljen større, og da kan programmene bli mer avanserte og vanskeligere å oppdage.
Avviser juksemuligheter
Leverandøren Inspera, ved daglig leder Truls Bøhm, innrømmer at de ikke alltid henger med.
– Ingen systemer er 100 prosent sikre, og med slike programmer vil vi alltid henge litt bak skurkene. Det er et pågående arbeid, sier han.
Samtidig hevder Bøhm at de har god kontroll og ser på juks som lite sannsynlig på grunn av kombinasjonen av eksamensvakter, overvåkning av studentenes besvarelser, og Safe Exam Browsers egne mekanismer.
– Men gir ikke programmet eksamensvaktene en falsk trygghet?
– Mye avhenger av opplæringen til eksamensvaktene. Store institusjoner som UiO klarer seg nok bra, men kanskje de mindre skolene sliter mer. Det er ikke vårt mål at eksamensvaktene skal tro de kan gå i et hjørne og drikke kaffe hele dagen, sier han.
Også utvikler Jarle Presttun avviser flere av metodene som rent teoretiske.
– Endringer i konfigurasjonsfilene vil oppdages. Vi kan naturligvis ikke utelukke at juks har forekommet, men vi har fått svært få meldinger om problemer, og har en god dialog med lærestedene og med utvikler, forteller han.
Den anonyme oppgaveskribenten er imidlertid langt fra overbevist.
– Programmet har oppsiktsvekkende store svakheter. Som et minimum burde det være vanskeligere å tukle med programkoden. UiO har heller ikke valgt å bruke mulighetene for kryptografi som finnes. Det er mulig å omgå også denne beskyttelsen, men det tar i det minste litt lenger tid.
Brukte ti sekunder
Flere andre informatikkstudenter Universitas har snakket med har funnet feil med programvaren. Mathias Rørvik og medstudenten Fridtjof Nystrøm brukte knappe ti sekunder.
– Ved en tilfeldighet fant jeg ut at Alfred, et program som lar meg søke gjennom alle filer på Macen min, ikke blokkeres av Safe Exam Browser. Man trenger ikke stor teknisk kunnskap for å få til dette, forteller Rørvik.
Rørvik mener hovedproblemet er at studentene får ha med egne maskiner.
– Jeg synes UiO burde revurdere hele denne strategien. Det blir som et spill med katt og mus, forklarer han, og nikker gjenkjennende til Insperas innrømmelse om at de alltid vil ligge litt etter.
Vil ikke endre eksamen
Prorektor Ragnhild Hennum ved UiO bekrefter at hun kjenner til problemet, men forteller at universitetet ikke kommer til å gå bort fra programvaren.
– Vi er klar over mulighetene for fusk, og har også lest oppgaven. Vi har delt funnene med Inspera og den sveitsiske leverandøren av SEB. Programvaren forbedres hvert semester, og nye versjoner som tetter kjente sikkerhetshull lanseres jevnlig, sier hun.
– Føler dere at dere har vært flinke nok til å ivareta integriteten til eksamensprosessen?
– Kvaliteten står i høysetet når UiO jobber med å digitalisere eksamensgjennomføringen for studenten, og arbeidsoppgavene rundt eksamen for ansatte. Det er viktig for oss at det gis god informasjon og opplæringstilbud til alle, og vi jobber tett med fakultetene underveis i prosessen.
– Kan dere utelukke at studenter har jukset på digital eksamen?
– Det er dessverre alltid vanskelig å fullstendig utelukke at det foregår fusk, uavhengig av om det er digital eksamen eller eksamen med penn og papir.
Prorektoren forteller at studenter vil fortsette å måtte ta med egen bærbar PC i «overskuelig fremtid», men at UiO fra høsten av skal bruke et skreddersydd digitalt eksamenslokale med stasjonære PC’er.