Varsler om enkle juksemuligheter

juks_LRT_05

GIR KRITIKK. Didrik Sæther hentet inspirasjon fra en oslostudent som oppdaget et sikkerhetshull i Inspera før jul. Sæther fant ytterligere fire hull. FOTO: LENE RISHOLT THORBJØRNSEN

En student ved UiB har avdekket svakheter i et av Norges mest brukte eksamensprogrammer. – Ingen systemer er hundre prosent sikre, sier leverandør.

DETTE ER SAKEN
  • Det har blitt avdekket flere store sikkerhetshull i Safe Exam Browser.
  • Programmet leveres til norske universiteter og høyskoler av det dansk/norske selskapet Inspera.
  • Safe Exam Browser brukes av om lag 75 prosent av alle høyere utdanningsinstitusjoner.

– Vi har sett på sikkerheten i systemet, og funnet ut at det er veldig enkelt å få tilgang til dokumenter man allerede har på datamaskinen, eller å kommunisere med andre.

Det forteller Didrik Sæther, som studerer informatikk på masternivå ved Universitetet i Bergen (UiB). Han har nettopp skrevet en rapport hvor han har avdekket opptil fem store sikkerhetshull i eksamensprogrammet Safe Exam Browser.

– Det er rett og slett kriseenkelt å jukse, slår han fast.

UiB frykter ikke misbruk

Sæther forteller at en av måtene å jukse på er at man kan få en annen til å skrive eksamen for deg hjemmefra. Ifølge ham vil selv en person med lite IT-kompetanse være i stand til å sette opp datamaskinen slik at det er mulig.

– Det er nok rimelig sikkert at andre har oppdaget disse hullene tidligere og misbrukt dem. Dette eksamensprogrammet brukes tross alt i store deler av Europa, sier han.

Oddrun Samdal, viserektor for utdanning ved UiB, tror ikke det er noen grunn til å frykte at noen har misbrukt sikkerhetshullene.

– Det er viktig å huske at det å ha tilgang til fuskemuligheter ikke nødvendigvis betyr at det er enkelt å benytte seg av dem. I tillegg til å sikre de tekniske løsningene har vi har blant annet vakter i lokalet og plagiatkontroll for å redusere faren for at noen jukser, sier hun.

Setter pris på ærligheten
Oddrun Samdal_MD_01

IKKE BEKYMRET. Oddrun Samdal tviler på at noen studenter allerede har brukt sikkerhetshullene til å jukse. ARKIVFOTO: MARIE-LUISE DEIKE

Samdal forteller også at det kontinuerlig arbeides med å sikre bedre løsninger for digitale eksamener.

– Derfor er det ekstra gledelig når studenter gjør funn og deler dem med oss, fremfor å benytte seg av dem selv, sier hun.

Ifølge Samdal var de fleste feilene kjent for universitetet før Sæther gjorde dem oppmerksomme på dem. Hun forteller videre at det har blitt tatt grep for å fikse disse feilene.

Må forholde seg til loven

Også Truls Bøhm, som er markedsansvarlig i Inspera, setter pris på at studentene gir dem beskjed når de oppdager sikkerhetshull.

– Vi er absolutt positive til at studenter ser oss i kortene og hjelper oss til å bli bedre, sier han.

Bøhm forklarer at det ikke finnes noen systemer som er hundre prosent sikre, og at Inspera leverer en løsning hvor det har vært gjort en avveining mellom hva som er teknisk mulig og hva som er lov av hensyn til personvern.

– Man kunne for eksempel tatt regelmessige skjermdumper av studentenes skjermer eller overvåket IP-adressene. Men det kan vi ikke gjøre fordi det er i strid med norsk lov.

Han forteller videre at Inspera i fremtiden blant annet vil tilby løsninger hvor man kan logge om det legges inn mye tekst på kort tid. Det pleier ofte å indikere at tekst blir klippet og limt.

Det er nok rimelig sikkert at andre har oppdaget disse hullene tidligere og misbrukt dem.

Didrik Sæther, informatikkstudent ved UiB.
– Designet med andre intensjoner
juks_LRT_01

LETT. I kantinen på Høyteknologisenteret gir Sæther Studvest en innføring i hvordan man kan jukse. Det er ikke vanskelig. FOTO: LENE RISHOLT THORBJØRNSEN

Informatikkstudent Sæther tror en av grunnene til at sikkerheten ikke er god nok, er at programmet i utgangspunktet var designet for å brukes på lab-maskiner, ikke studentenes egne laptoper.

– Det har nok ikke vært tenkt sikkerhet fra starten av, og det vil jeg si er kritikkverdig.

Bøhm fra Inspera kan hverken bekrefte eller avkrefte dette, ettersom det ikke var de som utviklet programmet.

– Det ble først utviklet på et universitet i Sveits. Vi har tilpasset produktet til norske forhold, og leverer det videre til norske institusjoner.

Kommer ny versjon

Etter at Sæther tok kontakt med UiB og Inspera har det blitt laget en «quick fix» som skal redusere faren for juks.

– Dette innebærer at det blir tatt stikkprøver på flere av eksamenene, forklarer Bøhm.

Til neste semester vil det komme en ny versjon av programmet, hvor hullene er tettet.

– Men det vil ikke komme nå i eksamensperioden, fordi man er avhengig av at programmene er testet ordentlig. Den nye versjonen må være stabil før studentene tar den i bruk.

Sæther kommenterer at det er bra at UiB og Inspera responderer med endring.

– Men det burde vært bedre undersøkt fra starten hvordan sikkerheten er på produktet universitetet har kjøpt, slår han fast.