themes theme jeux izle-videolar ruya tabirleri logohaberleri sinema ruya

Artiklid alates ‘ID-kaart’ rubriigist

E-valimiste turvalisusest

14. mai 2014

Anto Veldre kommenteerib väiteid kohe-kohe toimuvate Europarlamendi valimiste e-hääletuse turvalisuse osas ning avab veidi ka e-valimised ära jätta soovitanud ekspertide tausta.

Kokkuvõtvalt ütleb Anto järgmist:

1. Kriitika Eesti e-valimiste aadressil on pigem PR-projekt kui tõsine tuvaanalüüs.

2. Kriitikud on esitanud üldsõnalisi kirjeldusi ründe võimalikkusest, kuid pole suutnud anda Vabariigi Valimiskomisjonile selle tehnilist kirjeldust.

3. Kriitikute väide, et hääletaja arvuti võib olla nakatunud pahavaraga, on hääletuse korraldajate jaoks aktsepteeritav risk, mis Eesti küberhügieeni oludes on nagunii küllalt madal. Pealegi aitab riski vähendada PIN-padiga ID-kaardi lugeja ning iga arvutikasutaja mõistlik arvutikäitumine.

4. Kõigil neil, kes oma arvuti turvalisuses kindlad pole, on alati õigus ja võimalus minna valimisjaoskonda ja hääletada seal.

5. E-hääletus eestis ja USA-s on kaks täiesti erinevat nähtust. Esiteks hääletatakse Ameerikas valimisjaoskonnas ja eraldi hääletusmasinatega, mis tõepoolest pole kuigi turvalised. Teiseks puudub Ameerikas meie ID-kaardi sarnane süsteem kodanike elektrooniliseks identifitseerimiseks, nii et neil seal pole meie internetihääletuse sarnane süsteem võimalikki. Ameerika kogemuse Eestisse ülekandmine pole seega asjakohane.

6. Meie, eestlaste, ajalooline kogemus on, et hoopis pabervalimisi on hõlpsam võltsida.

7. Vaatamata OS ja riistvara riskidele on võimalik selle peale siiski ehitada tarkvara ja protseduurid, mille omanik on Eesti riik ning sidekanal Internet. Igast riiklikult olulisest liigutusest jäävad logid, e-hääletust tagavad kümned IT-inimesed. 

ID-kaardi tarkvara paigaldamise kaks tüüpilist viga

28. aprill 2013

1Üsna sageli küsitakse minult nõu, mida teha siis, kui ID-tarkvara installeerimise ajal visatakse lahti aken kirjadega „Service Smart Card (SCardSvr) failed to start. Verify that you have sufficient privileges to start system services“ või „Service Ceritificate Propagation (SertPropSvc) failed to start“. Vajutades „Retry“ avaneb sama aken uuesti ja tarkvara installeerimist ei viida lõpule.

2

» Loe edasi: ID-kaardi tarkvara paigaldamise kaks tüüpilist viga

SSL turvaauk – kuidas töötab

10. november 2009

4. novembril aadressil http://extendedsubset.com/ publitseeritud info SSL protokolli nõrkuse (“SSL Authentication Gap”) kohta on leidnud elavat vastukaja, Internet kubiseb blogijate postitustest ning on olemas ka kodumaine näide.

Ette rutates võib öelda, et soovitus ID-kaardid sahtlisse panna on enneaegne. Kliendituvastusega (client authentication) SSL/TLS protokolli kasutamine on ja jääb alati turvalisemaks kui ilma selleta. Paneme tähele, et kõik teised autentimisvahendid (paroolikaart, PIN-kalkulaator, Mobiil-ID) ei kasuta kliendituvastusega SSL protokolli ning on seetõttu olulisel määral rohkem altid vahemehe (Man-in-The-Middle) rünnakutele, kus ohver juhatatakse võltslehele ning vahendatakse sobivalt tema suhtlust „pärislehega“.

Milles siis jutu all olev nõrkus seisneb?  Olukorra lihtsustamiseks vaatleme näidet, kus SSL veebiserver on konfigureeritud aktsepteerima ID-kaarti, kuid see ei ole „kohustuslik“, s.t. eksisteerib serveri alamosa, mida saab kasutada siis, kui ID-kaardiga ei ole autenditud või autentimine ebaõnnestus. Nii on meil konfigureeritud enamus veebiservereid, kuna kasutajasõbralikkuse huvides on ID-kaardiga autentimise ebaõnnestumise korral ilus näidata browser error’i asemel mingit ilusamini kujundatud pilti.

Nende kahe SSL oleku (on klient autenditud või ei) vahetamist nimetatakse SSL renegotiation’iks ehk siis maakeeli „ümberleppimiseks“. Häda on nüüd selles, et enamus SSL realisatsioone ei pea järge selle üle, kas ümberleppimise-eelne sessioon oli sama mis ümberleppimis-järgne.

Kujutame nüüd ette olukorda, kus ohver alustab serveriga sessiooni nii, et kliendituvastust veel ei nõuta. Kommunikatsioonikanalil asuv ründaja aga varastab selle sessiooni ning asub suhtlema ohvri eest. Peale SSL ühenduse saavutamist teeb ründaja päringu, mille täitmiseks server nõuab kliendituvastust. Hakkab toimuma ümberleppimine, ründaja annab nüüd „otsad ära“, vahendades pakette edasi-tagasi, ja laseb ohvril sooritada kliendi autentimise. Peale edukat autentimist on aga serveril kohustus täita esitatud päring (mida ründaja tegi). Päringu tulemused kuvatakse muidugi ohvrile, ründaja neid enam ei näe.

Tüüpiliselt kasutatud näide on see, kui ohver on näljane ning teeb päringu:

GET /pizza?täidis=kana?aadress=Kana8 HTTP/1.1
Cookie: minuküpsis

Singilembeline ründaja aga topib selle päringu ette paar rida (ilma reavahetuseta lõpus) ja tulemus on:

GET /pizza?täidis=sink;aadress=Kurja3 HTTP/1.1
X-Ignore-This: GET /pizza?täidis=kana?aadress=Kana8 HTTP/1.1
Cookie: minuküpsis

Tulemuseks saab ohver jahmatava kinnitusteate väärastunud soovi kohta, kurjam aga võib palvetada (kuna ta serveri vastust ei näe), et kunagi tasuta pizza tuleb. Rohkem ründaja selles seansis osaleda ei saa.

Paneme tähele, et sellise ründe edukus sõltub mitmest asjaolust:

  • Ründaja peab asuma ohvri ja serveri-vahelise kommuikatsioonikanali vahel, s.t. ründajal peab olema kontroll mõne marsruuteri või tulemüüri üle ning olema võimeline manipuleerima seal infovooge. Lihtsalt ohvriga samas kohtvõrgus viibides võiks see ka teoreetiliselt võimalik olla kuid praktikas on rünne kohtvõrgust väga väikese õnnestumise tõenäosusega.
  • Server aktsepteerib GET-päringuid, mille esmakordse töötlemise tulemuseks on kohe reaalne tegevus (s.t. pizza pannakse teele).
  • Server peab olema konfigureeritud nii, et ta suhtleks nii ID-kaardiga autendituna kui ka ilma ning seetõttu SSL ümberleppimine on võimalik.

Kokkuvõtteks võib öelda, et ajalugu on näinud palju hullemaid SSL turvaauke, kummatigi pole maailm veel kokku vajunud ning tundlikud e-teenused eksisteerivad edasi. Eriti paranoilistele e-teenuste pidajatele võiks aga soovitada seda, et ID-kaardi autentimist kasutav e-teenus asuks eraldi IP-aadressil ning kliendituvastus oleks konfigureeritud kohustuslikuks. Võib-olla kaalub 100% turvalisus (antud puuduse mõttes) üles kasutaja frustratsiooni, kes autentimise ebaõnnestumise korral browser error’i saab.

Tänasest alanesid internetipankade koodikaartide makselimiidid

2. mai 2008

… teatab Pangaliit.

Hansapanga, SEB, Sampo Panga, Krediidipanga, Parex banka Eesti Filiaali ja Tallinna Äripanga klientidel alanes paroolikaartidega tehtavate ülekannete päevalimiit 5000 kroonini. ID-kaardi, Mobiil-ID, PIN-kalkulaatori ja ühekordsete paroolikaartide kasutajad saavad jätkata oma senise limiidi kasutamist.

Makselimiidi alandust põhjendatakse turvakaalutlustega: korduvkasutusega paroolikaardi paroolide visuaalse või elektroonilise kopeerimise risk on tunduvalt suurem kui ülalloetletud turvalisemate autentimisvahendite oma.

Online-allkirjade võltsimine jätkuvalt probleemiks

6. märts 2008

Eesti Arhitektide Liit taunib allkirjakogumisportaalis „Sammas saagu!“ – http://vabadusesammas.planet.ee/ toimuvat allkirjade võltsimist. Eesti Arhitektide Liidu esimehe Ike Volkovi allkiri püsis seal kogutavate allkirjade lehel veel mitu päeva peale avalduse tegemist lehe haldajatele, mis kinnitas Ike Volkovi poolt allkirja mitte andmist. “Selline juhtum seab selle nimekirja tõsiseltvõetavuse päris kindlasti kahtluse alla,” seisab EAL-i avalduses.

Tõenäoliselt pole siiski tegemist katsega kampaaniat diskrediteerida, nagu kahtlustab Hillar näiteks “Ei politseiriigile” kampaania puhul. Samas jääb probleem jätkuvalt üles ja tundub, et läheb aina teravamaks – miski ei takista ükskõik missuguste motiividega inimesi esinemast mistahes allkirjakampaanias ükskõik kellena. Ka kõige paremate kavatsustega algatatud online-allkirjade kogumise kampaania näitab seega pelgalt kogutud klikkide arvu, mitte reaalsete inimeste konkreetset tahteavaldust.

Ehk tasuks tulevikukampaaniate korraldamisel mõelda hoopis digiallkirjade kogumisele? Mõistagi koos vastavate meetmetega isikuandmete kaitseks ning võimalike kuritarvituste vältimiseks allkirjade kogumisel.

Esimene vaheloosimine toimunud

19. detsember 2007

Vaata Maailma sihtasutuse turvalise loosi esimene vaheloosimine oli reedel, 14. detsembril.

Fortuuna Henrik Roonemaa ja http://www.random.org/ kujul jagas auhinnad alljärgnevalt:

Nokia 6300 – Melina (24)
Nokia 6300 – Tiit (26)
LG Shine KE 970 – Mati (31)
LG KE 800 – Marge (33), Mobiil-ID-ga allkirjastaja.

Võitjatega on ühendust võetud.

Ülejäänud vähemõnnelikel tuleb nüüd oodata järgmist vaheloosimist jaanuaris.

Tahad tasuta arvutit? Seekord ilma pettuseta!

12. detsember 2007

Või mobiiltelefoni või 30 000-kroonist reisikinkekaarti?

Selleks tuleb anda digiallkiri ja osaleda loosimisel: http://www.arvutikaitse.ee/loos/

Tasuta on loosimine seetõttu, et sihtasutus Vaata Maailma koos oma partneritega soovib propageerida digiallkirja võimalusi ning demonstreerida näitlikult, kui lihtne ja soodne on anda digiallkirja.

Loosimisel osalemiseks tuleb siirduda aadressile http://www.arvutikaitse.ee/loos/, tutvuda loosimistingimustega, täita hilisemaks kontaktivõtmiseks tarvilikud lahtrid ning digiallkirjastada loosis osalemise taotlus (allkirjastatud taotlus saadetakse hiljem ka osaleja meiliaadressile).

Esimene vaheloosimine on juba reedel, 14. detsembril, loosi läheb neli mobiiltelefoni (neist üks Mobiil-ID-ga allkirjastajate vahel). Teine vaheloosimine on 18. jaanuaril, lõplik loosimine aga 6. veebruaril.

Muide, iga osaleja saab anda tervelt kaks allkirja: ühe ID-kaardiga, teise Mobiil-ID-ga. Konfidentsiaalsus ja isikuandmete kaitse on garanteeritud.

Mina ise kahjuks osaleda ei saa, reeglid ei luba 🙁
.

Suurimad e-teenuste pakkujad on nüüd Arvutikaitse 2009 partnerid

3. detsember 2007

Arvutiturvalisusele suunatud Vaata Maailma Sihtasutuse projekti Arvutikaitse 2009 partneriteks on saanud kõik Eesti suurimad e-teenuste pakkujad. Projekti eesmärgiks on kujundada Eestist aastaks 2009 maailma turvalisima infoühiskonnaga riik.

partnerid.jpg

Fotol Hansapanga projektijuht Tiit Pekk Arvutikaitse 2009 partneri tunnistusega, temast vasakul Vaata Maailma SA projektijuht Mart Parve ja paremal Vaata Maailma SA nõukogu esimees Andres Käärik.

Et suurendada e-teenuste turvalisust, muutub 2009. aastal ligipääs partnerasutuste e-teenustele ID-kaardi või Mobiil-ID’ga eelistatuimaks. Projekti raames tutvustatakse partnerasutuste töötajatele ja klientidele arvutiturvalisuse põhimõtteid ning koolitatakse nad ID-kaarti ja Mobiil-ID’d kasutama.

Hetkel on käimas ID-kaarti tutvustav reklaamikampaania ning alates 28. novembrist saavad soovijad võtta osa tarbijamängust, milles osalemiseks tuleb lihtsalt digitaalselt allkirjastada loositingimused www.arvutikaitse.ee/loos.

„Senine teavitustegevus on kandnud vilja – selle aasta augustis läbi viidud Emori uuringust selgus, et inimesed tajuvad ID-kaarti pigem positiivsena ning reaalse ID-kaardi elektrooniliste funktsioonide kasutamiseni on siit veel vaid väike samm,“ rääkis Arvutikaitse 2009 projekti koordinaator Kristi Kivilo. ID-kaardi ja Mobiil-ID kasutamine muudab internetikasutuse turvalisemaks ja ka elu mugavamaks. „Tänaseks on antud on üle 3,3 miljoni digitaalallkirja ning iga allkiri on säästnud selle andjale kilomeetreid käidud maad või põletatud bensiiniliitreid,“ ütles Vaata Maailma SA projektijuht Mart Parve.

Arvutikaitse 2009 partnerite koostöö eesmärgiks on suurendada inimeste teadlikkust arvuti- ja internetiturvalisusest ning soodustada ID-kaardi ja Mobiil-ID kui lihtsaimate enesekaitsevahendite kasutuselevõttu elektroonilistes toimingutes.

Arvutikaitse 2009 algse koostöölepingu sõlmisid 2006. aasta mais Hansapank, SEB Eesti Ühispank, EMT, Elion ja Majandus- ja Kommunikatsiooniministeerium riigi esindajana. Tänaseks on koostöölepinguga veel liitunud Maksu- ja Tolliamet, eKool, Eesti Energia, Krediidipank, Registrite ja Infosüsteemide Keskus, Nordea pank ja Sertifitseerimiskeskus. „Esimese partnerringi laienemise lugesime küll lõppenuks, kuid see ei tähenda, et partnereid lisandumas poleks. Käimas on läbirääkimised järgmiste võimalike partneritega,“ rääkis Mart Parve.

Sihtasutus Vaata Maailma kutsuti 2001. aastal ellu eesmärgiga oluliselt suurendada internetikasutajate arvu ning tõsta sellega Eesti elanike elukvaliteeti ja riigi konkurentsivõimet Euroopas. Seniste edukate ettevõtmiste hulgas on enam kui 100 000-le inimesele tasuta arvuti algõppe võimaldamine, eKooli keskkonna käivitamine ning ligi 500 Avaliku Internetipunkti (AIP) loomine.

eKooli paroolid jäid ripakile, jama nii õpetajal kui õpilasel

7. november 2007

Eesti Päevaleht kirjutab, et üks Tallinna Laagna gümnaasiumi 8. klassi õpilane oli õpetaja eKooli salasõna ära arvanud ja endal ise hindeid parandanud. Õpilast ähvardab nüüd kriminaalasi ning karistus arvutisüsteemi ebaseadusliku kasutamise eest.
Õpetaja tunnistab ise ka, et tema salasõna oli liiga lihtne. Sten Soosaar eKooli haldavast firmast soovitab aga kasutada isiku tuvastamiseks ID-kaarti.

Arvutikaitse on ka varem rääkinud sellest, millised paroolid on turvalised ja millised mitte, kuidas valida tugevat parooli ning millised on ID-kaardi eelised vananenud autentimisvahendite ees. Loodan, et see ebameeldiv intsident ei too kaasa tagasilööki toredale ja mugavale eKoolile ning et nii õpilased, õpetajad kui lapsevanemad ei ürita edaspidi enda autentimist ning seega ka võimalikke kuritarvitusi liiga lihtsaks teha 🙂

Ausa e-hääletamise põhimõtted

26. veebruar 2007

1. Valijatele selgitatakse neutraalselt ja erapooletult e-hääletamise protseduuri, samuti seda, et privaatsuse tagamine hääletustoimingu teostamisel on Põhiseadusest tulenev nõue; inimestele teadvustatakse ohte, mis võivad kaasneda ID kaardi ja selle koodide loovutamisel teistele isikutele; » Loe edasi: Ausa e-hääletamise põhimõtted