Hvis studerende og gymnasieelever medbringer deres egne computere til eksamen, er det så muligt at opdage eksamenssnyd, hvor man for eksempel går på nettet og finder løsninger på det man selv skulle have regnet ud?
En mulig løsning er at installere et program på de studeredes maskiner, som holder øje med, hvad der foregår.
I praksis fungerer det for eksempel ved, at programmet sender billeder af skærmen til en central server, hvor man så senere vil kunne opdage snyd.
Der findes i dag software på markedet, der gør den slags. Et af dem er Exam Monitor, som er udviklet af Syddansk Universitet.
Exam Monitor er allerede taget i brug på flere uddannelsessteder, herunder Aarhus Universitet, og er endda blevet foreslået af undervisningsministeren til brug i gymnasiet.
Vi - tre forskere fra Institut for Datalogi ved Aarhus Universitet - har derfor følt det var nødvendigt at se nærmere på sikkerheden i Exam Monitor.
Vi har konstateret, at programmet kan omgås på mindst fem-seks forskellige måder. Det betyder, at man vil kunne installere ekstra software på den studerendes maskine, som gør det muligt for eksempel at søge information på nettet, uden at Exam Monitor kan se det.
Det er velkendt, at 100 procent sikkerhed ikke kan opnås i praksis. Det bedste man kan håbe, er at "sætte overliggeren" højt nok for at undgå snyd.
Problemet med Exam Monitor er imidlertid, at det efter vores opfattelse ikke bidrager væsentligt til at hæve overliggeren: Ud fra vores resultater er der ingen tvivl om, at rigtig mange mennesker, herunder mange studerende, har den tekniske viden der skal til for at udvikle en løsning, der kan omgå Exam Monitor.
Og det er vigtigt at have for øje, at sker dette bare én gang, kan løsningen sælges til alle andre.
Generelt er det vigtigt at forstå, at der altid er fundamentale tekniske problemer forbundet med denne type overvågningsprogrammer, fordi de skal køre på den studerendes computer.
Og den kan man som udgangspunkt ikke stole på, fordi man må forvente, at nogle brugerne på sigt vil forsøge at omgå kontrollen. Hvis man prøver at forhindre snyd er man nødt til at gøre programmet voldsomt kompliceret og aggressivt.
Men så risikerer man at introducere fejl, som åbner de studerendes maskiner for potentielle angreb udefra, og i værste fald gør det muligt for hackere at stjæle private data fra brugerne.
Vores konklusion er, at Exam Monitor i sin nuværende form i bedste fald kan fungere som en slags "fugleskræmsel", der måske afholder folk fra at snyde af frygt for at blive opdaget.
Men generelt mener vi ikke, at en løsning af denne type vil være til nytte på langt sigt.
På kort sigt anbefaler vi, at der gennemføres en uafhængig undersøgelse af sikkerheden i Exam Monitor, der også omfatter den måde, man håndterer de indsamlede data på.
NB: Ophavsmændene til dette indlæg er i løbende dialog med Syddansk Universitet omkring Exam Monitor, ligesom de har gjort Styregruppen for Digitale Eksamener på Aarhus Universitet bekendte med deres opdagelser. Aarhus Universitet har efterfølgende indledt en intern undersøgelse af Exam Monitor.
Hvis der kun tages skærmbilleder, kan man installere et program, der læser højt af sider, man har fundet med en søgning, man har indtalt med en mikrofon. Den slags findes allerede, og bliver brugt af blinde mennesker.
Den eneste sikre måde at undgå snyd ved computereksamener er at bruge computere, der er opstillet på forhånd i eksamenslokalet, kun har det nødvendige software installeret, og hvor alle porte og netværk er slået fra.
Den eneste sikre måde at undgå snyd ved computereksamener er at bruge computere, der er opstillet på forhånd i eksamenslokalet, kun har det nødvendige software installeret, og hvor alle porte og netværk er slået fra.
Man kunne også forlade det lidt naive paradigme om, at der findes en teknisk løsning på alle problemer og i stedet indrette eksamensformen på en måde, så "snyd" som begreb elimineres.
Det kunne eksempelvis være ved at bruge projekt-eksamensformen - eller bare 72 timers-eksaminer.
Vi brugte exam monitor i en periode og var forsøgsstudie med programmet. Jeg synes det er en dårlig tilgang i forhold til dem som skal installere et så invasive system på sin private computer. Vi blev "introduceret" til det af nogen som jeg har svært ved at tro har været blandt udviklerne - en meget overordnet intro, hvor vi kunne stille spørgsmål, men spørger man ind til implementering eller at se kildekoden får man et blankt nej. Det gør ikke at man som i forvejen skeptisk bruger får mere tiltro til systemet, det resulterede også i en formatering af computeren efter hvert brug af exam monitor. Man får endda af vide at kun få kan tilgå dine data, men hvem? Det kan man ikke vide med sikkerhed. Endnu værre er at de forøgede tiden de gemmer dine data - ingen reel forklaring for dette heller. Kæft en elendigt system, godt mit studie kom fra det igen...
I øvrigt tror jeg ikke det vil være det sværeste system at snyde - en tur gennem Qubes OS og jeg tror man er udenom sikkerheden for det..
Mon det ville virke at installer exam monitor på en virtuel maskine og lave opgaven på den. Det vil så være muligt at skifte til den rigtige computer når der skal snydes.
Det er jo altid nemt at pege fingre og fortælle hvad der mangler.
Det er prisværdigt at de tre i artiklen er i dialog med SDU om løsningen.
Jeg tænker det kunne være mere interessant at de kom med konkrete bedre forslag til, hvordan udfordringen kunne løses med det rand vilkår at de studerende stilles bedst ved at bruge eget og kendt udstyr i en presset eksamenssituation. Samtidigt skal løsningen være skalerbar, prisoverkommelig og de kendte eksamensformer skal kunne håndteres..................
challenge given :-)
Nu eksistere der jo eksamensformer på universitetet og i gymnasiet, hvor det er tilladt at bruge internettet til alt andet end at kommunikere med sine klassekammerater.
Man kunne også forlade det lidt naive paradigme om, at der findes en teknisk løsning på alle problemer og i stedet indrette eksamensformen på en måde, så "snyd" som begreb elimineres.
Det kunne eksempelvis være ved at bruge projekt-eksamensformen - eller bare 72 timers-eksaminer.
Projekt- eller tag-hjem eksamener er udmærkede eksamensformer, men de garanterer på ingen måde mod snyd.
Nu eksistere der jo eksamensformer på universitetet og i gymnasiet, hvor det er tilladt at bruge internettet til alt andet end at kommunikere med sine klassekammerater.
Ja, men det ændrer ikke pointen: Man kan med computere med præinstalleret software give præcis de tilladelser, der er nødvendige, og monitorere netadgang, sådan at man kan se, om der bliver delt information -- og på en mere snedig måde end ved blot at tage skærmbilleder en gang imellem.
Før at vi kan snakke om "snyd", så er vi altså nød til at definere hvad snyd er.
Er snyd at man bruger google eller wikipedia? Er nogle ting ok at google og andre er ikke? Hvis ikke man kan besvare spørgsmål som disse, så kan der ikke laves en ramme for hvornår noget er snyd.
Når du har din ramme (lad os sige alt googling er no-go) så kan der laves regler der opretholder disse ved at blokere sider som STJERNEgoogle.STJERNE
Dette virker om du bruger en opstillet maskine eller tager alt dit eget grej med.
Og det er ikke så svært igen at få alle enheder i et givet område til at bruge et bestemt AP/APs, som så giver de rigtige DHCP informationer ud.
At der installeres (malware) som Exam Monitor (som nævnes) syntes jeg er ekstremt grotesk samt desperat. Udform en ordentlig politik og følg den.
Note: Jeg kunne ikke lave stjerner/asterix da disse blev fjernet ved gem....
Dette virker om du bruger en opstillet maskine eller tager alt dit eget grej med.
Og det er ikke så svært igen at få alle enheder i et givet område til at bruge et bestemt AP/APs, som så giver de rigtige DHCP informationer ud.
Hvordan vil du tvinge min medbragte maskine til at adlyde dine AP's DHCP-informationer? Hvordan vil du forhindre mig i at bruge et VPN, eller bare en HTTP-proxy?
Jeg tror også på at problemet er uløseligt. Hvis man vil have en traditionel gymnastiksalseksamen, så kan man lige så godt forbyde alle elektroniske hjælpemidler. Det er rimeligt nok til den type opgaver jeg synes man bør stille i en sådan kontekst. Til mere krævende opgaver, hvor brug af elektroniske værktøjer er en naturlig del af løsningen, er jeg meget større tilhænger af tag-hjem projektopgaver, også gerne med et tilhørende mundtligt forsvar.
1) Når man giver en eksamen hvor det er målet at finde information på internettet, er det i mine øjne en mærkelig skelnen at sige at f.eks. www.dst.dk er OK, men at det ikke er i orden at spørge en kollega til råds.
Vil man partout have informationssøgning/internet som en del af opgaven, må man indse at der ikke er meget forskel mellem at spørge internettet og at spørge en kollega.
2) Jeg har selv prøvet begge metoder; at have en bærbar med selv og så at benytte universitetets dertil specielt inderettet IT-lokale. Det der bedst begrænser muligheden for snyd er den sidste. Det er muligvis den dyreste, afhængigt af hvad spion-softwaren koster?
Hvis man måler dygtighed ud fra et simpelt tal, og at man derfor belønner medarbejdere/elever udelukkende på baggrund af det pågældende tal, vil man ofte se at tallet forbedres, men at dygtigheden ikke nødvendigvis forbedres.
Folk vil altid lede efter den letteste måde at forbedre det pågældende tal på.
Et eksempel:
http://politiken.dk/oekonomi/arbejdsmarked/ECE2132818/ansatte-mcdonalds-...
I mine øjne er problemet ikke eksamenssnyd, men at man har et system hvor eksamenspræstationer betyder alt for meget.
Hvordan vil du tvinge min medbragte maskine til at adlyde dine AP's DHCP-informationer?
Jeg vil tillade din DHCP adresse dernæst vil jeg kvæle rogue AP's.
Hvordan vil du forhindre mig i at bruge et VPN
Jeg ville simpelt kvæle din tunnel når du prøver at etablere den.
eller bare en HTTP-proxy?
Jeg ville tjekke hvilke kald du laver og dynamisk også kvæle denne service når den rammer uden for rammen.
Er dette et uløseligt problem? Nej.
Projekt- eller tag-hjem eksamener er udmærkede eksamensformer, men de garanterer på ingen måde mod snyd.
Det bliver du simpelthen nødt til at uddybe.
Det er åbenlyst for enhver, at plagiering kan finde sted under ovennævnte eksamensformer, men det kan heldigvis både opdages og løses uden at skulle implementere vanvittige programmer på de sagesløse studerendes maskiner.
Hvordan vil du kvæle et "rogue AP"?
Det kræver ikke andet end en gammel smartphone der agerer AP og undlader at broadcaste SSID.
Denne kan snildt ligge i tasken, på lydløs så den ikke opdages.
Alternativt skal du opstille jammere og risikere bøder for dette.
Jeg vil gå så langt som til at sige at hvis man vil snyde i denne typer eksamener, er det bestemt muligt. Altså er problemet uløseligt.
Hvordan vil du kvæle et "rogue AP"?
Det kræver ikke andet end en gammel smartphone der agerer AP og undlader at broadcaste SSID.
Denne kan snildt ligge i tasken, på lydløs så den ikke opdages.
Alternativt skal du opstille jammere og risikere bøder for dette.
Fordi at du ikke har den nødvendige viden betyder jo ikke at det automatisk bliver et "uløseligt" problem.
Der er intet der er uløseligt / umuligt / ikke kan lade sig gøre. Spørgsmålet er om man har den rigtige viden, materialer mm.
Det er åbenlyst for enhver, at plagiering kan finde sted under ovennævnte eksamensformer, men det kan heldigvis både opdages og løses uden at skulle implementere vanvittige programmer på de sagesløse studerendes maskiner.
Det er ikke nemt at afsløre plagiering i tag-hjem eksamener.
Dels er der folk, der mod betaling tilbyder at løse tag-hjem opgaver for dig, og så får du en fin besvarelse, der ikke ligner nogen anden, men som du ikke selv har lavet.
Dels kan det være svært at se, om en besvarelse i det væsentligste er en oversættelse af materiale fra Internettet. Hvis der er brugt Google Translate eller lignende tjenester, kan man se det på det håbløse dansk, resultatet bliver, men hvis en studerende selv oversætter teksten og skriver den lidt om, kan det være svært at se.
Dels er der folk, der mod betaling tilbyder at løse tag-hjem opgaver for dig, og så får du en fin besvarelse, der ikke ligner nogen anden, men som du ikke selv har lavet.
Gruppearbejde sikrer i nogen grad intern selvjustits, således at enkelte lyssky elementer ikke fristes over evne til at købe sig til løsning af arbejdet ude i byen. Sjovt nok betragtes det af de fleste uddannelsesinstitutioner ikke som noget alvorligt problem, at enkelte dovne elementer i gruppen lukrerer på de øvrige medlemmers indsats, men det ses til gengæld som et stort problem, hvis enkeltindivider køber sig til samme ydelse af en medstuderende.
Dels kan det være svært at se, om en besvarelse i det væsentligste er en oversættelse af materiale fra Internettet.
De uddannelsesinstitutioner, jeg har stiftet bekendtskab med, har altid lavet nye, case-baserede opgaveformuleringer fra den ene eksamen til den næste, hvilket som regel har sikret, at der har været for meget arbejde forbundet med at "skræddersy" eventuelle downloadede besvarelser til at det reelt kunne svare sig. Måske er problemet på DIKU eller lignende steder, at de stillede opgaver er for teoretiske, abstrakte og dermed generiske?
Der er intet der er uløseligt / umuligt / ikke kan lade sig gøre. Spørgsmålet er om man har den rigtige viden, materialer mm.
Og derfor undlader du at svare på problemet?
Lad os da fortsætte for sjov, med mindre du vil køre med en whitelisting, hvordan vil du så sikre at jeg og et par kammerater ikke har sat et lille forum op på eksamenssnyd.dk så vi kan hjælpes ad med opgaverne?
Hvordan vil du undgå at jeg har forbindelse enten med andre til eksamen eller nogen udenfor via bluetooth eller wifi?
Hvordan vil du undgå at jeg kommunikere med andre til eksamen via IR?
Problemet er ikke hvorvidt et givent problem kan løses, problemet er mængden af problemer der skal løses.
