Universiteter og høyskoler i hele Norge jobber med å digitalisere eksamen. Fortsatt foregår store deler av skriftlig eksamen for hånd, men enkelte studiesteder har digitalisert kompetansemålingen.
For å forhindre juks på eksamen brukes programvaren Safe Exam Browser (SEB). Programmet benyttes av 18 forskjellige læresteder på landsbasis. Studentene må selv laste ned programmet på maskinene de benytter seg av. Det skriver Universitas.
– Kan tukle med programkoden
Programvaren skal så stenge tilgang til funksjoner og filer til eksamen er gjennomført.
Men ifølge to informatikkstudenter - som ønsker å være anonyme - har programvaren en rekke store sikkerhetshull som gjør det mulig å jukse.
Ifølge Universitas kan man ved å endre noen konfigurasjonsfiler enkelt lure systemet.
– Programmet har oppsiktsvekkende store svakheter. Som et minimum burde det være vanskeligere å tukle med programkoden. UiO har heller ikke valgt å bruke mulighetene for kryptografi som finnes. Det er mulig å omgå også denne beskyttelsen, men det tar i det minste litt lenger tid, sier studenten anonymt til nettstedet.
Brukte ti sekunder på å lure systemet
Flere andre informatikkstudenter Universitas har snakket med har også funnet feil med programvaren. Mathias Rørvik og medstudenten Fridtjof Nystrøm brukte knappe ti sekunder på å lure seg forbi systemet.
– Ved en tilfeldighet fant jeg ut at Alfred, et program som lar meg søke gjennom alle filer på Macen min, ikke blokkeres av Safe Exam Browser. Man trenger ikke stor teknisk kunnskap for å få til dette, forteller Rørvik til Universitas.
Daglig leder, Truls Bøhm, i Inspera innrømmer at programvaren deres ikke er fri for feil.
– Det er hele tiden et pågående arbeid med å tette sikkerhetshull, og skurkene jobber hele tiden aktivt for å lure systemet. Vi har aldri solgt dette systemet som 100 prosent tett, sier Bøhm til digi.no.
Ifølge ham skal ikke SEB være eneste sikkerhetsmekanisme når studentene tar eksamen. Bøhm sier at eksamensvakter også er en del av sikkerhetstiltaket som benyttes.
– Kan ikke gjøre endringer i konfigurasjonen
– Studentene sitter ikke alene, og vaktene skal gå rundt i lokalet og sjekke om det dukker opp noe på skjermene.
Bøhm sier at Inspera tar sikkerhet på alvor, og at studentene som kritiserer selskapet går vel hardt ut.
– At det går an å endre i konfigurasjonsfilene er bare tull. Det kan ikke gjøres endringer i konfigurasjonen uten at dette varsles på serverside, påstår han.
Professor i informatikk, Kjell Jørgen Hole, ved Universitetet i Bergen uttalte tidligere i år at norske utviklere kan for lite om sikkerhet.
Norske utviklere kan for lite om sikkerhet
Ifølge ham kan man få en doktorgrad i informatikk i Norge uten å ha tatt ett eneste studiepoeng i sikkerhet.
– Jeg har ikke tall på hvor mange utviklere som er utdannet de siste årene som ikke har nødvendig bakgrunn med sikkerhet for å utvikle trygg og brukervennlig programvare. Dessverre er det nok alt for mange, sa Hole til digi.no i juli.
– Kan ikke utviklerne deres nok om sikkerhet, Bøhm?
– Vi har personell både på utviklersiden og på driftssiden som har inngående kunnskap om kybersikkerhet. Driftslederen vår har blant annet jobbet i Forvaret hvor han har hatt IT-sikkerhet som spesialfelt. Det må presiseres at vi ikke står for koden av SEB, men rapporterer selvfølgelig fra om feil til leverandøren i Sveits, sier han.
UiO beholder programvaren
Ifølge den daglige lederen driver man nå med feilretting av systemet for å ta høyde for sikkerhetsfeilene studentene mener de har avdekket.
– Men vi kunne ikke rulle ut disse midt i eksamensperioden, da ting må testet før de går ut i produksjon. Vi kjører ut oppdateringer i de rolige periodene. Feilen som er oppdaget rettes nå, men ting må gjøres forsvarlig og da kan det ta tid før de nye sikkerhetsoppdateringene er ute i produksjon, sammenfatter han til digi.no.
Ifølge prorektor, Ragnhild Hennum, ved Univeristetet i Oslo kjenner de til sikkerhetsproblemet, men forteller til Universitas at de ikke kommer til å gå bort fra programvaren.