Afgangsprøve kan hackes

De elektroniske eksminer for folkeskolens 9. klasser er ikke sikre, afslører hackere

KØBENHAVN:Folkeskolens elektroniske afgangsprøve i geografi og biologi, som afvikles i denne uge, kan hackes. Det oplyser Skolestyrelsen, som har ansvaret for eksaminerne. En gruppe københavnske hackere, der kalder sig Hacklab, fandt mandag med lethed et hul i sikkerheden på demonstrationstesten af prøverne. - Det tog cirka en halv time at finde hullet, og derefter brugte vi halvanden time på at implementere et hack, der virkede i både Internet Explorer og Firefox, siger en anonym talsperson fra Hacklab til it-nyhedsmediet Version2. 80 procent korrekt Alene ved hjælp af hackning kunne gruppen sikre sig en 80 procent korrekt besvarelse. Testen er nemlig lavet sådan, at svarene godkendes på elevens egen computer, og er man lidt ferm til at læse koder, kan man ifølge Hacklab aflure besvarelserne. Og det var netop det, som et af gruppens medlemmer med succes gjorde under sin eksamen onsdag. Det får Hacklab til at konkludere, at systemet ikke lever op til professionelle it-standarder. Gik til pressen - Alle it-professionelle ved, det ikke er måden at lave den slags systemer på, siger talspersonen fra Hacklab. Derfor valgte Hacklab at gå til pressen i stedet for Skolestyrelsen, fordi de ikke vil fungere som gratis arbejdskraft for Skolestyrelsen, men gerne ville gøre opmærksom på fejlen, så den hurtigt bliver rettet. Mens eksaminerne onsdag var i fuld gang, måtte Skolestyrelsen afkræve softwareleverandøren Cowis svar på Hacklabs beskyldninger. Cowi bekræftede onsdag eftermiddag, at hackning af systemet er mulig. - Det kan lade sig gøre at hacke en multiple choise opgave, såfremt eleven er i stand til at huske den kode, som skal indtastes i adressefeltet i browservinduet og gør dette ved hver eneste multiple choise opgave, skriver Cowi i et brev til Skolestyrelsen, som Ritzau er i besiddelse af. Snyd opdages På trods af fejlen forsikrer Cowi, at snyd ved eksamen vil blive opdaget, fordi alle svar registreres. - Ethvert forsøg på snyd vil som nævnt blive registreret, og eleven identificeres efterfølgende ved den rutinemæssige gennemgang af hans/hendes besvarelser, skriver Cowi. Alt imens Skolestyrelsen ånder lettet op over muligheden for at finde svindlerne, sår it-eksperterne tvivl om, hvorvidt det overhovedet kan lade sig gøre at spore dem. Sikkerhedsekspert er skeptisk - Det kommer i høj grad an på, hvordan de teknisk har implementeret deres logning. At dømme ud fra designet af selve testen kan man ikke andet end have mistro til deres kompetence med hensyn til design af en logningsfunktion, skriver Hacklab i en mail til it-nyhedsmediet Version2. Hacklab mener i stedet, at det "lugter af dygtig pressehåndtering". Også sikkerhedsekspert Niels Bach fra konsulent- og revisionsfirmaet Deloitte er skeptisk over for, at log-filerne skulle kunne afsløre snyd. - Det er en fundamental fejltagelse, at man tror, at logning er det samme som sikkerhed. Logning giver i sig selv ingen sikkerhed, for logning finder først sted, når skaden sker, siger han til Version2. Skolestyrelsen husker på, at det har konsekvenser at snyde. - Det, vi kan sige, er, at det er forbudt at snyde. Hvis det kan bevises, at man har snydt, bliver man bortvist fra prøven, siger Tine Bak, kontorchef i Skolestyrelsen. /ritzau/