1. yle.fi
  2. Uutiset
  3. hakkerointi

Kolme poikaa löysi yo-kirjoituksista tietoturva-aukon, josta olisi halutessaan päässyt muokkaamaan vastauksia – nyt heille sataa työtarjouksia

Poikakolmikko löysi laajoja tietoturva-aukkoja lukioiden käyttämästä Abitti-ohjelmasta, jonka kautta järjestetään muun muassa yo-kokeet. 15-18-vuotiaat nuoret miehet ovat hakkereita, jotka ovat saaneet löydöksen jälkeen lukuisia työtarjouksia.

Mikael Hannolainen tapasi Eemil Sinkon ja Ruben Mkrtumyanin noin vuosi sitten. Nyt kolmikkoa kosiskellaan tietoturvatöihin. Kuva: Elli Sormunen / Yle

Lappeenrantalainen Mikael Hannolainen astelee lukion kellariin. Luokkakavereilla on nyt liikuntatunti, mutta hänellä keilaaminen jää väliin.

Hannolainen käynnistää tietokoneen, ja näytölle ilmestyy kaksi kaveria lisää. Lukiolainen Eemil Sinkko pyytää anteeksi muutaman minuutin myöhästymistä, koska Helsingin paikallisliikenne ei toiminut kuten piti. Ysiluokkalainen Ruben Mkrtumyan on saanut luvan olla pois koulupäivän viimeiseltä tunnilta. Tuusulassa asuvan Mkrtumyanin mukaan viimeisellä tunnilla olisi täytetty nettikyselyä.

Vaikka kyseessä ovat 15–18-vuotiaat nuoret miehet, niin moni yritys on kiinnostunut palkkamaan kolmikon ja onkin tehnyt heille työtarjouksia. He ovat "hyvishakkereita", jotka tekivät erityisen löydön.

Kolmea nuorta miestä yhdistää intohimo koodaamiseen ja haavoittuvuuksien etsimiseen ohjelmistoista. Kuva: Elli Sormunen / Yle

Arkisten järjestelmien parannusten kautta huippulöytöön

Eri puolilla Suomea asuva kolmikko tapasi netissä noin vuosi sitten. Nuoria yhdisti kiinnostus ohjelmointiin, tietoturvaan ja haavoittuvuuksien etsintään.

Pojat alkoivat yhdessä pohtia parannuksia arjessaan käyttämiinsä järjestelmiin. Ensimmäiseksi he alkoivat miettiä parannuksia oppilashallintojärjestelmä Wilmaan.

– Aloimme parantaa Wilmaa, koska opiskelijana tuntui turhauttavalta käyttää päivittäisiä palveluita, joista puuttuu jotain tai ne eivät toimi, kuvailee ysiluokkalainen Ruben Mkrtumyan.

Kolmikko kehitti lukiolaisten nykyisin suosiman ja opetuksessa käytetyn Matikkaeditori.fi:n sekä luonut Wilmaan paranneltuja sovelluksia. Seuraavaksi he kuitenkin osuivat kultasuoneen.

He löysivät isoja tietoturva-aukkoja lukioiden koejärjestelmä Abitista.

Asensivat Doom-pelin yo-kirjoitusjärjestelmään

Abitti on lukioiden käyttämä järjestelmä, jonka kautta pidetään esimerkiksi ylioppilaskokeet. Kolmikko ryhtyi tutkimaan Abitti-järjestelmää, josta alkoi paljastuakin puutteita juuri kevään ylioppilaskirjoitusten aikana.

– Ensin me aloimme asentaa Abittiin vanhaa Doom-peliä. Pohdimme, että saisimmeko pelin toimimaan Abitissa, kertoo Eemil Sinkko.

Peliksi valikoitui juuri Doom, sillä sen asentaminen on sisäpiirivitsi IT-maailmassa.

– Se on vähän kuin ensimmäinen asia, kun haluat testata jonkun toiminnallisuutta. Syynä on myös se, että Doom on kevyt ja pyörisi ylipäätään Abitissa, se ei ole kovin tehokas järjestelmä, kertoo kolmikko Doomin valinnasta.

Pelin asennuksen tiimellyksessä Abista alkoi tulla esiin haavoittuvuuksia. Tietoturva-aukot Abitissa ei tullut nuorille miehille kuitenkaan täytenä yllätyksenä.

– Julkisessa käytössä on aika paljon järjestelmiä, joissa on vuosia tiedetty olevan paljon parannettavaa, kuten juuri Abitti ja Wilma, Sinkko toteaa

Kolmikon löydöstä kertoi aiemmin tällä viikolla myös Helsingin Sanomat (siirryt toiseen palveluun).

Mikael Hannolainen aloitti 6-vuotiaana koodaamisen. Kuva: Elli Sormunen / Yle

Pahishakkeri olisi saanut yo-kirjoitukset hallintaansa

Abitissa ilmi tulleet tietoturvaongelmat olivat isoja. Pahantahtoiset hakkerit olisivat voineet ottaa hallintaan koko ylioppilaskoetilanteen.

– Jos me olisimme pahiksia, sieltä olisi pystynyt saamaan kaikkien lukiolaisten henkilötiedot ja henkilötunnukset, muokkaamaan koevastauksia ja kokeita sekä hallitsemaan lukiolaisten omia tietokoneita langattomasti, Mikael Hannolainen kertoo.

– Uskaltaisin sanoa, että me löysimme vakavimman mahdollisen haavoittuvuuden Abitista. Haavoittuvuudella olisi saanut täydellisen kontrollin koetilanteesta, jatkaa Eemil Sinkko.

Kolmikko lukeutuu kuitenkin valkohattuhakkereiksi eli hyvätahtoisiksi hakkereiksi.

– Ilmoitimme löydöksistä ylioppilastutkintolautakunnalle, kun kevään ylioppilaskokeet olivat meneillään. He saivat suurimman osan palvelimista päivitettyä. Se on tosi merkittävä saavutus ottaen huomioon sen, että ympäri Suomea olisilloin yo-kokeita käynnissä. Se oli useamman sadan henkilön operaatio, kiittelee Eemil Sinkko.

YTL: Poikien yhteydenotto oli erityinen

Ylioppilastutkintolautakuntaan tulee vuosittain muutamia ilmoituksia tietoturva-aukoista. Yhteydenoton jälkeen YTL tarkastaa, että pitääkö ilmoitettu tieto paikkansa.

– Kolmikon ilmoitus oli siinä mielessä poikkeuksellinen, että kuvaus tietoturva-aukosta oli erittäin selkeä. Heidän yhteydenottonsa oli jo siinä mielessä erityinen, että siitä näki, että nyt on tosi kyseessä, kertoo erityisasiantuntija Matti Lattu ylioppilastutkintolautakunnasta.

Korjaustoimenpiteet alkoivat heti.

– Tietoturva-aukkojen löytäminen on työlästä, mutta korjaaminen on yleensä helppoa. Näin oli tässäkin tapauksessa. Aamulla saimme sähköpostia löydetyistä tietoturva-aukoista ja iltapäivällä tiesimme jo, miten se korjataan, toteaa Lattu.

Yleensä selvitään päivittämällä uusi versio verkkopalvelimelle tai julkaisemalla sovelluskauppaan uusi äppi, mutta YTL:n tapauksessa ei päästy näin helpolla. Käytännössä palvelimet ovat lukioissa jopa yksittäisten opettajien tietokoneissa eli korjaus piti saada ajettua tuhansiin koneisiin, joihin YTL:llä ei ole pääsyä.

Vaihtoehtoja oli kaksi.

– Ohjelmasta voidaanpäivittää uusi, korjattu versio koneelle. Se oli sinänsä hankalaa, kun ylioppilaskokeet olivat samaan aikaan käynnissä. Päivityksen avoin jakelu olisi voinut paljastaa aukon ennen aikojaan ja vaarantaa ylioppilaskokeiden tietoturvan. Kokeissa käytettyjä palvelimia emme uskaltaneet päivittää, koska se olisi voinut aiheuttaa muita ongelmia.

Asia ratkaistiin siten, että palvelimia päivitettiin koepaketin kautta. Se päivitti osan palvelimista.

– Tällä tavoin emme saaneet kuitenkaan kaikkia palvelimia päivitettyä. Julkaisimme ohjelman uuden päivityksen huhtikuun lopussa, kun yo-kokeet oli saatu tehtyä, Lattu kertoo.

Nuoret miehet ovat valkohattuhakkereita, jotka omaksi ilokseen parantavat arjessaan käyttämiään järjestelmiä. Kuva: Elli Sormunen / Yle

Tietoturvalöydökset ovat poikineet työtarjouksia

Näille nuorille miehille ohjelmointi ja hakkerointi ovat harrastuksia, joista osa porukasta toivoo myös ammattia tulevaisuudessa.

– Se, miksi me alun perin aloimme tätä tehdä, on kiinnostus ja halu oppia lisää, kuvailee Sinkko.

Töiden tekeminen voikin tulla eteen nopeammin kuin täysi-ikäisyys saavuttaa koko kolmikon. He ovat nimittäin saaneet maineen ja kunnian lisäksi useita työtarjouksia.

– Me olemme saaneet tästä paljon enemmän kuin olisimme voineet kuvitellakaan. Usea taho on lähestynyt meitä työtarjouksilla.

Töitä on tarjonnut muutama kyberturvallisuustalo ja muita alan yrityksiä. Tällä hetkellä nuoret miehet käyvät alustavia neuvotteluita tarjotuista töistä. Jättipotiksi osoittautunut löytö jälkimaininkeineen ei ole kihahtanut vaatimattomille nuorukaisille hattuun.

– Tarjotuissa töissä voisimme oppia ammattilaisilta lisää, kun tämä on kuitenkin ollut vain harrastus, toteaa ysiluokkalainen Ruben Mkrtumyan.