SDU til alarmerede elever: Vi overvåger kun det nødvendige på din computer

På Syddansk Universitet og Aalborg Universitet skal elever installere et overvågningsprogram til skriftlige eksaminer. Nogle elever er bange for, at det krænker deres privacy. Internetaktivist Christian Panton deler deres bekymring.
49

I disse dage midt i sommerens eksamen-storm installerer elever fra Aalborg- og Syddansk Universitet overvågningsprogrammet Exam Monitor hver gang, de tager en skriftlig eksamen.

Det obligatoriske program holder øje med snyd, men nogle studerende er bange for, at overvågningen krænker deres privacy.

»Det her krydser grænserne, krænker mine personlige rettigheder og er uacceptabelt!« skrev en elev fra Aalborg Universitet på Reddit og fortsatte:

»Dette kan vel ikke være lovligt: At blackmaile studerende til at installere Spyware.«

Lovlighed afhænger af programmet

Exam Monitor tager screenshots, logger hvilke processer, der har kørt på computeren, ser i udklipsholderen, tjekker, om den er i et virtuelt miljø, og samler data om netværksadresser. Elever må ikke deltage i eksamen, hvis ikke de bruger programmet.

It-advokat Martin Von Haller, partner hos Bird & Bird, mener ikke, at proceduren strider mod loven.

»Universitet kan godt stille krav til redskaber. Hvis programmet ene og alene har de funktioner, som universitetet har angivet, og er inaktivt før og efter eksamen, så kan jeg ikke se, at der skulle være noget ulovligt i det,« siger han og pointerer, at det i sidste ende kommer an på, om programmet overvåger mere, end der er nødvendigt eller ej.

»I lyset af, at mange offentlige virksomheder ikke har et overblik over software, kan der være en risiko for, at studerende tager forkert medicin,« uddyber Martin Von Haller.

SDU: Overvåger kun det vi må

SDU har udviklet Exam Monitor, som de i dag også drifter.

»Vi ønsker ikke, at overvåge mere end højst nødvendigt. Vi logger det, vi vurderer, er nødvendigt at logge,« siger it-chef på SDU, Kurt Gammelgaard Nielsen.

Ved eksamensstart downloader eleven programmet, som kører på Java Webstarter, og når eksamen slutter, stopper og sletter programmet sig selv på computeren. Java giver mulighed for at se browserhistorik og se ned i mapper. Men den mulighed bruger Exam Monitor ikke:

»Hvis eksamen er fra 10:00 til 14:00, vil vi have hele web-historikken i tidsrummet, men vi kigger ikke på, hvad studerende gør før eller efterfølgende. Vi kigger heller ikke ned i mapper på den studerendes computer,« understreger Kurt Gammelgaard Nielsen og tilføjer, at studerende også via Exam Monitors hjemmeside kan gå ind og se deres egne logs.

Illustration: Exam Monitor - Syddansk Universitet

Data opbevares i fem år

Et lovmæssigt springpunkt er som sagt, om der kun samles det nødvendige data. Et andet er ifølge Martin Von Haller, at data slettes ’i det øjeblik det ikke længere har et formål at opbevare det’.

SDU vedtog mandag, at forlænge opbevaring af studerendes data fra seks måneder til fem år. Aalborg Universitet, som er den anden store bruger af Exam Monitor, opbevarer stadig kun deres data i 6 måneder efter eksamen.

Årsagen, til at SDU holder på data fem år frem, er ifølge Kurt Gammelgaard Nielsen, at man i nogle aktuelle sager gerne ville se på logs, der lå længere tilbage i tiden end de seks måneder.

Christian Panton: Det ligger til den forkerte side

Er det virkelig nødvendigt at samle og opbevare så meget data i så lang tid?

Det spørgsmål stiller internetaktivist og datalog Christian Panton sig selv. Han mener, at det i Exam Monitors tilfælde ’ligger til den forkerte side’, ligesom det virker ’inversivt og unødvendigt’ at opbevare data i fem år.

»De indsamler vildt meget data og bør se på, i hvilken grad det er nødvendigt for at kunne sikre eksamen,« siger han til Version2, og tilføjer at screenshots i sig selv alligevel burde vise, alt hvad der foregår på elevens computer.

Ifølge Kurt Gammelgaard Nielsen kan udklipsholderen indeholde snyd, der ikke kan fanges med screenshots. De to ting er dog heller ikke nok i sig selv, og der er brug for den yderligere data Exam Monitor samler, ifølge Kurt Gammelgaard.

»Vi har vurderet, at screenshots og indblik i udklipsholder ikke er nok på baggrund af nogle sager haft, og det vi ved, studerende kan,« siger han.

Store mængder data udgør en risiko

Om data kan reduceres eller ej, ser Christian Panton to risici forbundet med at opbevare og behandle det.

Først er der privatlivs aspektet i forhold til om de, der tjekker for eksamenssnyd, ikke misbruger oplysninger. For det andet er der risikoen for, at serveren bliver kompromitteret, og personfølsom data ender i hænderne på en hacker.

Her vil screenshots blandt andet kunne indeholde private billeder og hackeren vil kunne se, hvilke programmer, der er installeret på computeren.

»Det er altid interessant for dem med onde hensigter, da et gammelt program har sårbarheder,« uddyber Christian Panton.

Derfor foreslår han at overføre og gemme data krypteret samt have en offline nøgle, som kan bruges til at dekryptere et eksamenssæt ad gangen uden for systemet.

»Så ville det ikke eskalere, hvis den server blev hacket,« uddyber Christian Panton.

Sådan beskytter SDU sine data

På SDU er overførsler mellem server og computer krypteret. For at beskytte data, når det ligger ukrypteret på serveren, er serveren placeret i et rum med overvågning, netværkssikkerhed og logning af, hvem der går ind i rummet hvornår.

Ifølge Kurt Gammelgaard Nielsen er der en til to personener per fakultet som tjekker prøver. De får adgang med et login men kun til deres eget fakultets prøver, da der er funktionsadskillelser i systemet, som også sikrer det yderligere.

Christian Panton er dog ’lidt bekymret for, at det løber løbsk’ og ser helst, at man finder et alternativ.

»Jeg synes ikke, at det er den rette vej gå. Der er en tendens til at fikse ting med overvågning,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (49)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
René Nielsen

Jeg vurder at softwaren Exam Monitor er ulovlig, fordi påstandene om at der ikke indsamles ”mere end nødvendigt” ikke kan validers.

Da jeg gik på universitetet fik man automatisk den laveste karakter (”00”) hvis man ikke kunne føre bevis for sin påstand. Populært sagt skulle alle mellemregninger med.

Kildekoden må fremlægges – længere er historien ikke og indtil da er anvendelsen ulovlig, selvom jeg kan se fordele ved anvendelsen. Alene det forhold at man skal installerer sådan et program lægger utvivlsomt en dæmper på snyderiet.

Men det er som i andre akademiske forhold, at påstande man ikke kan føre bevis for, tæller ikke med.

  • 0
  • 0
Børge Svingalius

Her gik jeg og troede, måske en anelse naivt, at de højere læreranstalter respekterede deres brugeres rettigheder.

Diskussionen om hvor lang tid data skal opbevares, er på en måde den forkerte diskussion. For den forudsætter nemlig at det er legitimt i første omgang, at totalovervåge elevernes adfærd på deres computer. Det ville svare til at videoovervåge eleverne ved en 'klassisk' eksamen.

Seriøst, screenshots, udklipsholderlogs og sågar systemprocessorlogs? SDU og AAU gestapo.

  • 0
  • 0
Henrik Kramselund Jereminsen Blogger

Hmm, jeg synes faktisk umiddelbart det lyder ok. Selvom jeg normalt er imod overvågning er det her en løsning på et praktisk problem, snyd ved digitale eksamener.

Nogle årsager til at jeg synes det er ok: * Der er en kortfattet hjemmeside som beskriver hvad der udføres, hvordan * Det kører kun kortvarigt under eksamen * Det er helt tydeligt ikke installeret, kører kun når det startes * Det giver lige vilkår for alle * Det er endda beskrevet på engelsk, læseligt for alle

Hvis man er ultraparanoid, vi er nogle stykker, så kan man medbringe en anden computer til eksamen, selvvalgt - slette før og/eller reinstallere efter - den process tager max en halv dag før og en halv dag efter.

Åbenheden omkring løsningen gør at jeg synes det er ok, så kan man agere ud fra dette, bl.a. med en simpel process mht sletning af computer og reinstall efter.

(Hvis nogen siger at de studerende ikke kan finde ud af at lave backup, så lad os tage en anden snak om det. Time Machine på Mac er noget som ALLE kan lære at bruge.)

Alternativerne som ikke er en fordel er, blandt andet: * Man SKAL bruge en udleveret computer * Man må ikke have adgang til internet

Full-Disclosure, kan se at jeg i 2009 har emailet og leveret et foredrag til Kurt Gammelgaard. Jeg er også positivt stemt overfor SDU, der har lagt lokaler til Crypto Parties flere gange osv.

/me hiver asbestdragten frem :-)

  • 0
  • 0
Knud Larsen

Selvfølgelig er det Ok, vil du gå til en lovlig eksamen eller ikke? Det kunne måske overvejes kun at logge på en lokal server med styr på adgang og oplysninger (ikke internettet generelt). Hvordan styrer man ellers at der kobles til en 'hjælper', som er snyd.

  • 0
  • 0
Niels Ganer Jespersen

Er der nogen der vil behandles af en læge der har snydt sig gennem eksamen på universitetet?

Er udenadslære den rigtige form for undervisning? Er eksamen uden hjælpemidler og med pen og papir den rigtige form?

Nej, i dag arbejder alle på computer og bruger forskellige hjælpe midler - derfor skal undervisning og eksamen følge dette. Universitetet skal følge med udviklingen.

Men der er også nogle som snyder og det har der altid været - derfor skal der være en form for kontrol.

SDU har over flere år prøvet forskellige løsninger som primært låste af for funktioner på computerne - dette gav ofte problemer ifm. hardware og OS. SDU har nu internt udviklet Exam Monitor som en kontrol funktion - der kan vise hvad der sker under eksamen. Det bruges både til at bevise snyd, men også til at frikende studerende der ikke har snydt. Exam Monitor gør at vi kan afvikle mange forskellige typer eksamen med samme form for styring - vi har både eksamen med og uden hjælpemidler, med og uden net adgang, multi choice og skrive opgaver og med mulighed for at bruge tegne og regne programmer. Det kræver en stor fleksiblitet og frihed på computeren - derfor kan vi ikke låse computeren ned, men overvåger med Exam Monitor

Da parnoide studerende kan få stillet en låne computer til rådighed, så de ikke skal bruge deres egen. De fleste foretrækker dog at bruge egen computer.

Selvfølgeligt skal data opbevares forsvarligt og adgang til den skal være reguleret. Data skal ikke opbevares i længere tid end nødvendigt, og det er en administativ beslutning.

Så Exam Monitor er en løsning der både kan bekræfte men også afkræft snyd, og sådan bruges systemet.

Full-Disclosure - er farvet da jeg arbejder på SDU med IT

  • 0
  • 0
Troels Henriksen

Næ, og det kan du lige så fint læse hvis du checker info siden for Exam Monitor, der understøttes Windows, Mac og Linux.

Hvor så du det? Under "system requirements" henviser de til denne side, hvor kravet er Windows eller MacOS: http://www.sdu.dk/en/information_til/studerende_ved_sdu/campusguide/it/a...

Jeg har imidlertid selv prøvet at afvikle det på min Linux via deres "demo"-tilstand. Det brokkede sig ikke, og jeg kan se at det nu ligger og lurer i baggrunden. Til gengæld lader der ikke til at være nogen oplagt måde at terminere det på - intet vindue er overlevet, og der er intet ikon i applet-baren eller lignende. Måske min window manager blev vejet og fundet for let? Så vidt jeg kan se via strace laver processen heller ikke andet end at stå og blokere på en futex.

  • 0
  • 0
Jesper Frimann

Det er jo ikke hvad der står Thomas.

Der står under requirements:

Recommendations for student computers: ••PC: Windows 7/8/10 with minimum Internet Explorer 11 browser ••Mac: Mac OS X 10.10 with Firefox browser

Minimum requirements for student computers: ••PC: Windows 7 with Internet Explorer 9 browser ••Mac: Mac OS X 10.7 with Firefox browser ••Memory: 2 GB RAM required to use SDU Scribble

Og det er så ens eget ansvar, at det virker.

"It is your responsibility to test Exam Monitor on your computer a week before exam, and get help if it doesn’t work. You will be asked to start Exam Monitor prior to exam. If it doesn’t start, there will be time to get help. Contact an invigilator. "

Og hvis det ikke virker så har det altså konsekvenser for den der tager en eksamen.

"If Exam Monitor stops/crashes during exam you must immediately raise your hand and contact an invigilator to get help. It will be against the rules if you continue writing without Exam Monitor. "

(Og nej.. det virker ikke på min WIndows 10 bærbare out of the box)

IMHO så er det lidt sådan en 'gaffa tape' løsning, på at universitet ikke kan stille et miljø til rådighed til eksamen, og at man derfor må ty til at de studerende skal bruge egne computere. Rent sikkerhedsmæssigt vil sådan noget altid blive et kapløb, så jeg ville mene at et universitet kontrolleret og ejet miljø ville være at foretrække.

// Jesper

  • 0
  • 0
henrik hn

Burde være et krav at sdu stillede det til rådighed.

Til jer som snydtes det er ok vil det så også være ok vis det var det sammen hver gang i brugte jeres nemid, eller vis i firmaet har en server stående logger PET lige alt mens den køre og og giver fuld kontrol over hvad der er på den ...ja de skriver jo bare at de bruger alt, så er der jo åbenhed om så det kan da ikke være et problem vel?

  • 0
  • 0
Thue Kristensen

Indholdet på en computer er i princippet dybt privat, private dokumenter, emails, etc.. Man skal ikke kunne tvinges til at installere et program, specielt når det tilsyneladende er så invasivt og ikke er open source (hvilket jeg går ud fra at det ikke er).

Så jeg mener at SDU skal stille computere til rådighed. Eleverne må selvfølgelig gerne stadig vælge at bruge deres egen computer med Exam Monitor, bare der er tale om et reelt frivilligt valg.

At der bliver gemt screenshots etc under selve eksamen mener jeg ikke er noget principielt problem, så længe eleverne er informeret om det.

  • 0
  • 0
Gert Madsen

Selvfølgeligt skal data opbevares forsvarligt og adgang til den skal være reguleret. Data skal ikke opbevares i længere tid end nødvendigt, og det er en administativ beslutning.

Det er vel dette som er kernen. Skal det være op til hver institution at afgøre hvad der er forsvarligt, og hvordan det er reguleret ? Det ene sted opbevares data i 6 måneder, og det andet opbevares de i 5 år. Dette mere end antyder at "nødvendig" opbevaring, viger for "Administrativt bekvem" opbevaring.

  • 0
  • 0
Povl H. Pedersen

Da det åbenbart er blevet almindeligt at snyde, så er det klart at man må gøre noget for at imødekomme det. Man har så valgt kollektiv afstraffelse som en metode.

En lånecomputer uden det software man plejer at bruge er ikke en løsning.

Jeg synes faktisk at metoden er fin. Hvis man ikke er glad for risikoen, så må man gøre som virksomheder der sender folk til Kina. Komme med en computer der er renset for alt det man ikke ønsker at værten skal se. Og så total-rense den efterfølgende.

  • 0
  • 0
Bjarne Nielsen

At der bliver gemt screenshots etc under selve eksamen mener jeg ikke er noget principielt problem, så længe eleverne er informeret om det.

Så må man håbe, at danske studerende er mere forsigtige end denne amerikanske politiker: Congressional candidate posts screenshot with porn tabs on Facebook. Pointen er, at der kan komme rigtigt meget med i screenshots.

Jeg er meget enig i bekymringerne om proportionalitet mht. både mængden af de registrerede oplysninger og opbevaringstiden. Og jeg synes i særlig grad, at hele løsningens sikkerhed burde underkastes et eksternt review, både mht. til sikkerheden "in transit" og "at rest".

Og så er jeg helt principielt ked af denne omsiggribende "fordi vi kan" - det er frivilligt om du vil være med, men du får bare ikke din eksamen, hvis ikke du gør som vi vil. Der er ikke frivilligt, hvis der ikke er et reelt alternativ.

  • 0
  • 0
Martin L. R.

Hvorfor er sådan et program ikke open source? Et universitet har vel interesse (eller burde have det) i åbenhed og gennemsigtighed. Taget i betragtning hvor invasivt sådan et program egentligt er (det logger i princippet alt, forklaret nedenfor), hvor vigtigt det er for overhovedet at kunne være med til eksamen (uden at benytte sig af programmet kan man ikke deltage i eksamen) samt hvilken type institution det kommer fra, burde det vel være naturligt med fuld åbenhed fra start.

Dokumentationen på deres hjemmeside er ikke videre fantastisk heller. Sproget er gebrokken engelsk mere end ét sted og deres "dokumentation" er langt fra fyldestgørende.

F.eks. nævnes der der under "How" at Linux er understøttet (og vi ved jo alle at "Linux" er et umbrella term som burde begraves da det ikke er andet end kernen. Skal man være tvær (og det skal man jo :P), så er Android og ChromeOS (baseret på Gentoo) jo også "Linux", men disse er næppe understøttet selv om man vælger at sige at "Linux" er understøttet), men scroller man ned til deres FAQ for at finde de egentlige systemkrav så er Linux ikke nævnt overhovedet.

Med tanke på det som programmet logger; skal det have fulde rettigheder til systemet? Jeg har ikke mulighed for at teste det i Windows eller OSX, så jeg kan ikke udtale mig om det popper op og beder om udvidede rettigheder, men jeg kunne snildt forestille mig et scenarie hvor manglende rettigheder og forskellige systemopsætninger (specielt på "Linux") vil kunne blokere for nogle af deres tiltag - vil det logge en masse fejl som så vil blive fortolket som forsøg på at snyde? ..vil denne tvivl komme den studerende til gode, da jeg finder det tvivlsomt at det vil kunne bevises at bare fordi funktioner i programmet ikke virker, at det så direkte kan linkes til snyd. Hvis programmet skal have administrator rettigheder kaster man al elementær forståelse for sikkerhed ud af vinduet. Dernæst er det jo problematisk at det kræver Java som jo efterhånden er anerkendt som værende et af de største og mest udbredte sikkerhedshuller nogensinde.

"This means that any exchange of information with other persons during exam is likely to be logged." Altså bunder deres grundlag for denne overvågning ud i "vi tror det hjælper". Ønskede man kun at se hvad der foregik på skærmen ville screenshot være nok, og det kunne i min optik (ud fra et sikkerhedsperspektiv) være ok, da det som er vist på screenshots ikke er anderledes end det som andre studerende og eksamensvagter kan se på ens skærm. Problematikken kommer når man logger alt muligt andet, uden egentligt at dokumentere hvad det er og hvorfor man gør det. "Vi tror" er ikke et fyldestgørende svar.

"Exam Monitor only monitors files and processes that are active on the computer. Content in the file system is not monitored, if it is not opened during the exam." Oversat til praksis betyder det at programmet overvåger filer og andre processer som er aktive mens Exam Monitor køres. Dog påstår de at der ikke aktivt søges efter bestemte filer/data (f.eks. søges der ikke efter "SådanSnyderManTilEksamen.pdf") For de fleste lyder det vel også fint nok, men deres definition af "aktive filer og processer" er problematisk da de ikke ønsker at dokumentere deres dokumentation. I princippet kan alle filer der får ændret f.eks. atime eller mtime på Linux vurderes som "aktive", da en ændring af disse betyder at filen er blevet tilgået på den ene eller den anden måde. Det kan være at brugeren specifikt åbner en fil, eller bare at en tilfældig systemproces (f.eks. indeksering, antivirus osv.) automatisk og helt urelateret til eksamen, scanner filen. Så i princippet må man vel antage at de logger den information også, da de ikke ønsker at gå mere i dybden med deres dokumentation.

"Data will be automatically deleted after 6 months." ..men i deres FAQ står der "The data is kept for up to 5 years, and then deleted." - forklaringen for den modsigende information er jo nok hvordan de forskellige universiteter gør det, men det er stadig problematisk med modsigende modsigende på samme side.

"You must login to access reports from Exam Monitor." ..altså kan udefrakommende ikke se hvad der logges eller ikke logges.

"The client detect whether it runs in a virtualized environment." For det første er det ret ironisk når man tænker på at det er Java :) Men hvorfor er dette relevant at vide om Exam Monitor køres i et virtuelt område (tænk KVM, LXC, OpenVZ, Xen, VMware, Hyper-V m.m.) Umiddelbart kan jeg kun komme i tanke om at det er for at sikre at man ikke køre Exam Monitor i en virtuel maskine mens man snyder på hosten. Løsningen på dette har de vel i form af screenshots som tages med tilfældige intervaller som vil fange dette. Egentligt vil jeg mene at det kunne være noget positivt, da det virker tvetydigt om f.eks. Linux er understøttet eller ej - her kunne det være oplagt at køre hele eksamen i en VM.

"Communication between the client and server is encrypted." Da de kun nævner at kommunikationen mellem klient og server er krypteret på man vel antage at selve dataen (som jo potentielt indeholder ret private informationer som beskrevet ovenfor) ikke er krypteret. Det er jo næsten pinligt at organisationer påstår at sikkerheden er i top hvis bare kommunikationen er sikker mellem klienten og serveren. Data er ikke nødvendigvis sikker bare fordi der anvendes SSL; det er nærmere falsk sikkerhed.

Der må være en bedre metode til at sikre eksamenerne på end dette, for denne type overdrevet overvågning gavner ingen. Som sagt kan jeg det accepteres at der tages screenshots, da det jo ikke overstiger mere end hvad en forbipasserende kan se - det problematiske er når man logger alt med grundlaget "vi tror det virker" uden at dokumentere det.

  • 0
  • 0
Martin L. R.

Næ, og det kan du lige så fint læse hvis du checker info siden for Exam Monitor, der understøttes Windows, Mac og Linux.

Men hvis du så læser systemkravene som de linker til i deres FAQ, så er linux ikke nævnt overhovedet.

Dernæst er vi jo ude i at "linux" ikke er beskrivende overhovedet. Den kedelige svada, som desværre er nødvendig: linux er en kerne og intet andet.

Hver distribution er forskellig, har forskellige værktøjer og endda forskellige konfigurationer af selve linux kernen. Skal man være besværlig (og det skal man jo :P) kan du jo sige at understøtter man "linux" uden yderligere forklaring, så er det i overensstemmelse med GNU og den kernel config som kommer fra https://www.kernel.org/ hvad enten det er mainline, stable, lts eller next.

Not all kernels are born equal.. #AllKernelsMatter ...

  • 0
  • 0
Martin L. R.

Til gengæld lader der ikke til at være nogen oplagt måde at terminere det på - intet vindue er overlevet, og der er intet ikon i applet-baren eller lignende.

Jeg har lige testet det på min Arch maskine, og her var et konstant vindue fra programmet som ike kunne flyttes. Ellers kan du vel bare slå programmet ihjel med killall, kill eller hvad du nu ellers foretrækker at bruge :)

  • 0
  • 0
Martin L. R.

At der bliver gemt screenshots etc under selve eksamen mener jeg ikke er noget principielt problem, så længe eleverne er informeret om det.

Enig. Screenshots viser ikke andet end en eksamensvagt og andre personer kan se ved bare at gå forbi dig. Problemet er tilgengæld alt den anden information der logges, uden egentlig at kunne dokumentere hvorfor det er nødvendigt; deres website siger "fordi vi tror det hjælper". At det hele gemmes i op til 5 år er jo bare.. elendigt.

  • 0
  • 0
René Nielsen

SDU har nu internt udviklet Exam Monitor som en kontrol funktion - der kan vise hvad der sker under eksamen. Det bruges både til at bevise snyd, men også til at frikende studerende der ikke har snydt.

Der er ikke nogen som har noget imod at i prøver at forhindre snyd. men hvorfor fremlægger i ikke kildekoden, så jeres påstande om dataindsamlingen kan dokumenters?

  • 0
  • 0
Tonni Follmann

kan så oplyse at vi på sidste semester også skulle benytte exam monitor på Aarhus Universistet dog kun på forsøgsbasis.

Der var her krav om at ikke engang onedrive måtte være tilgængeligt( køre som nogen art af baggrundsprocess) hvilket den gør som standard i bla. windows 10.

Er meget imod brug af denne type software, da det virkelig ikke er en særlig smart løsning at overvåge på denne måde, vi sad samtidig med eksamensvagter der gik rundt og opserverede som de nu skal, så det var umiddelbart overflødigt og kun til besvær.

Den logger mere eller mindre alt hvad der foregår, ved den mindste ændring af ting på skærmen, eksempeltvis ved at tabbe til en pdf, tager den et nyt screenshot, samt ny log af baggrundsprocesser og systemprocesser, rimeligt invasivt, og uden at kende koden bag tvivler jeg samtidig på sikkerheden bag overførslen og dataopbevaringen.

  • 0
  • 0
Thomas Hansen

De siger godt nok at deres program kontrollerer om det kører i virtualiseret tilstand, men det alene ser jeg næppe som noget grundlag for at være et problem.

Er ikke sikker på jeg forstår hvad du mener? Hvis du forsøger at køre det på en virtuel maskine til eksamen vil det blive opdaget og anset for at være imod reglerne.

Hvis du ikke kan se problemet i at de studerende skulle have lov til at foretage eksamenen gennem en virtuel maskine... Så har jeg svært ved at forstå det. Come on, tænk ikke på hvad der ville være nemt/smart for de studerende, tænk på hvordan du nemmest kan ødelægge systemet.

  1. Kør via virtuel maskine
  2. Lad software tage så mange screenshots den vil af din virtuelle maskine
  3. Tab ud fra virtuel maskine og få svarene fra de 2 ældre studerende du har bestukket til at hjælpe.
  • 0
  • 0
Nichlas Vanggaard

Skal vi så også have installeret sorte bokse i alle taxaer? De kunne jo kører for stærkt og kører et lille barn ned.

/Studerende der heldigvis ikke har været udsat for sådan en krænkelse!

  • 0
  • 0
Martin L. R.

Er ikke sikker på jeg forstår hvad du mener? Hvis du forsøger at køre det på en virtuel maskine til eksamen vil det blive opdaget og anset for at være imod reglerne.

Det jeg mente var i henhold til supporten af linux, som ifølge deres egen dokumentation ikke klarlægger fulgt ud i hvor høj grad deres software er understøttet på diverse linux distributioner. Det jeg så siger er, at her vil det være en oplagt mulighed for en linux bruger, at virtualisere Windows med dertilhørende Office-pakke og whatever man nu skal bruge, og så simpelthen bare køre hele eksamenen på den virtuelle maskine. På min laptop kører jeg Arch Linux, men har en VM med Windows 10 til de få tilfælde hvor jeg absolut skal benytte mig af Windows (typisk i forbindelse med Office-pakken). Derfor burde det ikke automatisk diskvalificere dig fra eksamen men kun fortælle en administrator om at her burde de måske lige tjekke de andre data parametre. Hvordan det konkret foregår med Exam Monitor vides ikke, da koden jo ikke er tilgængelig.

Naturligvis, sådan som du fremlægger det, hvor en studerende bare opsætter en VM, kører Exam Monitor og så bare tabber tilbage til sit normale OS og snyder på livet løs, er jo problematisk - men nu har jeg forhåbentligt forklaret mit synspunkt en smule bedre :)

  • 0
  • 0
Tonni Follmann

..og mig bekendt (bruger ikke Windows, så er ikke 100% sikker) kan OneDrive ikke slås fra, hvis man bruger en Microsoft Account, uden at grave dybere i systemet.

Det har du fuldstændig ret i, der skal enten rodes med group policy hvis du køre windows 10 pro, enterprice eller educational. ellers er det lidt mere til at have med at gøre på windows 10 home, men det er begrænset hvor mange der sidder med en home udgave når vi har educational mv fra dreamspark.

Derudover måtte der heller ikke ligge skype lignende processer og køre, hvilket microsoft sjovt nok har inkluderet i enkelte af deres standard apps, hvilket krævede en tur i powershell for at få dem væk.

Så helt optimalt er systemet bestemt ikke.

  • 0
  • 0
Esben Nielsen

Problemet er, at man i eksamensformen sætte sig mellem to stole:

Man vil give folk lov til at bruge en computer og måske internet, men man må ikke kommunikere med andre.

Da jeg læste fysik og matematik i 90'erne var skriftlige eksamener med blyant og papir. Det var der ikke noget galt i - så hvorfor skal man forkaste den eksamensform? Tværtimod, tror jeg at mange burde lære at kigge væk fra skærmen og skrive i hånden i stedet for rigtigt at kunne fordybe sig og forstå stoffet.

Formålet med en eksamen er jo sjældent at finde ud af om folk kan bruge bestemte programmer eller bruge dem de selv har installeret - eller søge på internettet. Papir og blyant er udemærkede værktøjer - og i matematiske fag faktisk langt bedre!. Kun når der skal skrives store mængde prosa kan man sige, at et tekstbehandlingsprogram er at foretrække. Men så må man enten skanne rummet for skjulte WIFI forbindelser mm. eller stille computere til rådighed.

Det overordnede problemet er, at man i dag fokusere på IT, som løsning på alt. Det har pareller til kravet om elektronisk afstemning, hvor papir og blyant også skulle skubbes ud for noget "moderne".

  • 0
  • 0
Gert Madsen

Formålet med en eksamen er jo sjældent at finde ud af om folk kan bruge bestemte programmer eller bruge dem de selv har installeret

Det har også været min opfattelse tidligere. Men jeg kan konstatere, at i folkeskolen får man meget lav karakter, hvis man tillader sig at levere en ren brødtekst, uden farvelade og bling.

Kunne det tænkes at der også er gået "X-faktor" i universitetseksamen ?

  • 0
  • 0
Thomas Hansen

Men så må man enten skanne rummet for skjulte WIFI forbindelser mm. eller stille computere til rådighed.

Igen skal den onde hat tages på, med sølvpapirsfor... Det var WiFi du fik bekæmpet der, lad os for en stund ignorere hvor svært det reelt kan være at finde hoved og hale i krypteret WiFi, de studerende kunne jo aaaldrig finde på at bruge chat klient bag om ryggen på os.. oh wait...

Nå WiFi besejret, bluetooth? Damn ud og købe endnu en gadget så du kan holde styr på den kommunikation, husk at det normalt ikke er lovligt bare at blokere. Mobil net? IR? Hvis det kun er små mængder data, chat for eksempel, hvorfor så ikke bruge lyd? Der er sikkert et par smarte folk fra en af data linjerne der kan bakse sådan noget sammen, eller data via lys.

  • 0
  • 0
Alexander Alsing

Nu er jeg selv en af de ramte - vi bruger den på IHA (Århus). Da vi blev introduceret til det gik alle mine alarmer for hvad rimelig overvågning er i en eksamenssituation. Vi fik en intro til det hvor nogle folk med fuldstændig overordnet viden skulle forklare os hvorfor det ikke var så slemt. Udefra kan det vel synes ok at de logger det (på daværende tidspunkt 6 mdr.), programmet sletter sig selv og det hele fungerer krypteret. Problemet opstår når man er interesseret i at vide HVEM der har tilgået din data, det kan du aldrig vide, kun at "nogle få" har adgang til det.. Derudover hvis man stiller spørgsmålstegn ved implementeringen er de helt blanke, hvis man ønsker at få kildekoden udleveret får man et blank nej - hvorfor? Fordi det jo er en forretningshemmelighed.. Hvis de havde rent mel i posen og havde lavet det hele efter bogen, kan jeg ikke se at man giver midlertidig adgang til kildekoden for at gennemse at det hele fungerer som de siger.. Jeg kan sagtens forstå at man i en eksamenssituation ønsker at lave denne form for løsning og synes det er helt ok - hvis vi som studerende samtidig har mulighed for at gennemgå kildekode..

  • 0
  • 0
Anne-Marie Krogsbøll

"nogle få" ??

Hvorfor er det dog hemmeligt, hvem det er?

Det er måske det nye "sort" indenfor det offentlige, at man enten ikke logger, eller hemmeligholder, hvem der har adgang til data - som i dagens link til Ingeniørens leder https://ing.dk/artikel/leder-hold-intime-sundhedsdata-fra-statens-embeds... om den nye centralisering af vore mest private sundhedsdata - her har man i følge lederen heller ikke logning af, hvem der får adgang til disse private data - og det begrundes ikke hvorfor.

Hvad ligger der i denne nye tendens? Jeg troede (naivt), at logning var et lovkrav, og at man, undtagen ved særlige undtagelser i loven, havde krav på at få oplyst, hvem der går ind di ens data.

Meget mærkeligt....

  • 0
  • 0
Pelle Nielsen

Nu kan man jo fjerne privat filer og mapper på computeren inden eksamen. Og hvis man er ekstra paranoid kan man sikkert også starte på en ny installeret OS med ny harddisk, og sikkert mange andre ting man kan gøre for at sikre sit privatliv.

Så hvorfor diskutere om det er brud på privatlivet?

  • 0
  • 0
Tonni Follmann

Ja man kan godt møde ind men en fuldstændig ren installation, men selv ved en ren installation af windows 10 vil der ligge software på maskinen der ikke må være der. Onedrive og enkelte dele af skype integrationen kræver lidt mere end en afinstallation at slippe af med

Det kan da umuligt være rigtigt at man som studerende skal bruge en halv til 1 hel dag på at geninstallere sin pc somt nødvendig software inden hver eksamen, eller have et image liggende til hvert fag bare fordi at skolene vil have lov at køre invasivt overvågningsdoftware.

Derudover kan det da ikke være rigtigt at data skal gemmes ukrypteret på en server undet hvor (u)sikker adgangen til denne er. Mit problem er ikke overvågningen i sig selv, det er måden det bliver gjort på, og usikkerheden omkring denne!

  • 0
  • 0
Thomas Hansen

Hvor læser du at data er ukrypteret? Der står at kommunikation til server netop er krypteret.

"Communication between the client and server is encrypted. Access to registered information is only via secure protocols."

Og hvis du ikke stoler på denne server, hvordan pokker kan du så overhovedet få dig selv til at studere ved et universitet? Hvad med alle de andre personlige detaljer du giver et universitet som studerende?

  • 0
  • 0
Tonni Follmann

Fra artiklen du kommentere på:

På SDU er overførsler mellem server og computer krypteret. For at beskytte data, når det ligger ukrypteret på serveren, er serveren placeret i et rum med overvågning, netværkssikkerhed og logning af, hvem der går ind i rummet hvornår.

Data er måske krypteret under transmissionen til serveren, men på serveren er de ukrypterede, hvilket på ingen måde er godt nok!

Jeg stoler generelt ikke på deres opbevaring af data og er altid skeptisk overfor valg af løsninger der berøre mine oplysninger, som enhver burde være. Men jeg studere på et universitet da det nu engang er den måde vores uddannelsessystem er bygget op på. Jeg er dog meget påpasselig med hvad jeg opbevare på deres serverløsninger. Generelt bliver der kun opbevaret det der ikke kan undgåes.

Men tilbage til emnet: ukrypteret lagring af overvågningsdata er at skide på sikkerheden rent ud sagt. Vi ved efterhånden alle at det ikke er et spørgsmål om at noget er sikkert, men et spørgsmål om hvornår den "sikkerhed" der er bliver brudt. Kryptering er en nem løsning på at gøre dette mere besværligt, og derved forlænge den tid hvor data ligger "sikkert" på serveren.

  • 0
  • 0
Bjarne Nielsen

Og hvis du ikke stoler på denne server, hvordan pokker kan du så overhovedet få dig selv til at studere ved et universitet? Hvad med alle de andre personlige detaljer du giver et universitet som studerende?

Så svaret på "det er er helt galt" er: "jamen, vi gør allerede noget lignende!"?

Er jeg den eneste, som synes, at det er en temmelig dårlig bortforklaring? Hvis man gør noget lignende, så er det også helt galt, og det gør det kun meget værre. Hvis man ikke gør noget lignende, så er bortforklaringen værdiløs.

PS: Og når vi er ved det: er jeg den eneste, som synes at ordet "netværkssikkerhed" er en selvmodsigelse?

  • 0
  • 0
Log ind eller Opret konto for at kommentere

Bekymrede sikkerhedseksperter: Client side scanning er usikkert og en trussel mod demokratiet

4

EU-lovgivning vil forbyde anonym domæne-registrering

8

Region Syddanmark anmelder ni brud på persondatasikkerheden

1
Job fra Jobfinder
Mest debatteredeMest læste
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Forstå de seneste anbefalinger i Schrems II-sagen
Whitepaper
Whitepaper
Digitalt mindset & digital transformation
Webinar
Webinar
Nyt samarbejde om it-sikkerhed for SMVer
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder