ID-kaardi tarkvara uueneb

Autor: Anto Veldre, RIA analüütik

Neil päevil avalikustatakse uus väljalase (reliis) ID-kaardi tarkvarast. Tegemist on regulaarse uuendusega, kus lisaks pisiparandustele leidub ka mõningaid päris uusi omadusi ja võimalusi. Umbes nädala jooksul teeb ID-kaardi tarkvara kasutajale tema arvutis ettepaneku, et oleks aeg uuendused alla laadida. Entusiastid saavad reliisi kohe ise alla tirida aadressilt installer.id.ee.

Vaade 4K ekraanilt Philips 288P6

Lühikokkuvõte olulisimast

  • 4K monitoride peal paistavad haldusvahendi ja Digidoc3 aknad nüüd normaalsuuruses. Monitoride lahutusvõime uueneb tänapäeval kiiresti ja uskuge või mitte, arendajatel tuli terve teek välja vahetada, et haldusvahendi aken liiga kribuks ei muutuks.
  • kaasa tuleb TeRa rakendus – riist vanade SHA-1-põhiste .ddoc digiallkirjade ületembeldamiseks. Allpool pikemalt.
  • Olulised täpsustused eritüübiliste allkirjade kehtivuse ja kasutuspiirangute kuvamisel. Allkirja kõlblikkuse tasemeid osutatakse nüüd värviga. Allpool pikemalt.
  • Läti vormingus allkirjadega saab Digidoc3 hakkama oluliselt paremini kui enne. Hurraa!

Lätil on rahvusvahelise .asice kõrval kasutusel ka veel omaenda edoc-vorming.

Reliisiga kaasatulevate muudatuste täielikku nimekirja saab lugeda siit.

Allkirjaredelist

Vanasti oli Eestis elu lihtne – eksisteeris üksainuke jagamatu digiallkiri. Kõik teadsid, mis see on või kuidas selle kehtivust määratleda.

Siis aga, eelmise paari aasta jooksul, jõudis Euroopa Liit meile järele ning kehtestas eIDAS määruse. Mitte kõik riigid ei lenda e-allkirja mõttes stratosfääris, mõnel on hoopis tagasihoidlikumad allkirja andmise vahendid. eIDAS sätestab allkirjadele neli võimalikku (kvaliteedi)taset. Allkirjade tasemeid oleme ka varem käsitlenud siin ja seal, selle pisinüansiga, et SE237 nimeline eelnõu on vahepeal Riigikogus ära tembeldatud ning muutunud E-identimise ja e-tehingute usaldusteenuste seaduseks (EUTS).

e-allkirjade tasemed. Autor: Anto Veldre

Lühikokkuvõte: e-allkirju on eIDASe järgi nüüd neli kategooriat (tegelikult pigem kolm asjalikku kategooriat ja siis lisaks veel “muu”). Täna ronime redelist allasuunas ja alustame kõige ülemisest ja tähtsamast pulgast:

1. QES (Qualified Electronic Signature) – e-allkirja kõrgeim tase – antud turvalises seadmes (nagu ID-kaart või m-ID) paikneva kvalifitseeritud sertifikaadiga (see peen väljend tähendab, et nii kaardiomaniku kui väljastaja taust on kontrollitud). Lisaks peab isikusertifikaatide väljanägemine vastama ELi tehnonõuetele (mingi asjalik algoritm ja vorming). Kõige tipuks peab allkirja andmise seade (tõuken, volitustõend) ise olema korralikult uuritud ja kõlbulikuks tunnistatud. Kas kõik tundsid ära – see ongi meie ID-kaart!

2. AdES/QC – Täiustatud (Advanced) e-allkiri koos kvalifitseeritud sertifikaadiga (Qualified Certificate). Kontrollitud olgu nii allkirjaomaniku taust (seda teeb meil PPA) kui ka sertifikaadiväljastaja (meil SK) taust. Ikkagi peab isikusertifikaatide väljanägemine vastama ELi tehnonõuetele (mingi asjalik algoritm ja vorming). Enamik ELi allkirju kuuluvad just siia gruppi, SmartID seni veel ka. Selle grupi krüptograafiakandja ei pruugi olla läbi uuritud ega ära sertifitseeritud. Vastik legaalprobleem QS allkirjade juures tekib ELi nõudest, et selsamal hetkel, kui meie riigisektor kohalikke QS e-allkirju aktsepteeriks, tekiks riigil automaatselt kohustus aktsepteerida ka kõigi teiste ELi riikide QS-taseme allkirju – ja neid on meeletu kogus.

3. AdES (Advanced Electronic Signature) – kõige nirum, kuid siiski veel mõnevõrra asjalik e-allkirja tase. Taustu ega riistu eriti ei kontrollita, üksnes sertifikaat peab ELi tehnonõuetele vastama.

4. Kõige madalam tase, ehk “Muuuuu!”  Ei mingeid nõudeid. Näiteks Telia mehhaaniku nühvliekraanile krihvliga antav omakäeline allkiri kuulub just siia gruppi.

Terminoloogia

Koll on peidus seal, et kui varem kasutati ühtainukest terminit – digiallkiri, siis nüüd on termineid mitu:

e-allkiri – ükskõik missugusesse nelja gruppi kuuluv ilmastikunähtus;
digiallkiri – QES (ehk siis kõrgeimale) tasemele vastav e-allkiri. Juriidilist selgitust vt EUTS §24.

Kasutusknihvid

Nagu aru saite, digiallkiri ja e-allkiri on mõnevõrra erinevad asjad. Esimene sisaldub teises.

Riigisektor reeglina muid e-allkirju ei tunnista, kui juba kasutusel olevad digiallkirju (QES ehk kõrgeim tase, võrdsustatud omakäelise allkirjaga). Tulevikus ei saa midagi välistada, aga hetkel pole silmapiiril lahendusi, mida saaks riik pruukida ilma umbes 100 seaduseteksti muutmata ning sunduseta tunnistada ELi allkirjade märkimisväärset paljusust. Samas, riigil ja kohalikel omavalitsustel on protsesse, kus saab suhelda ka üldse allkirja (saati e-allkirja) kasutamata: nt võib saata e-kirja või faksi. Samas kui allkirja juba nõutakse, siis ikkagi üksnes digiallkirja.

Vilgas erasektor aga otsib täpsemaid optimume – näiteks SmartID näol. SmartID täna vastab AdES/QC tasemele ja kui neil õnnestub teatavad hindamisprotseduurid läbida, pole välistatud, et nad aasta-paari jooksul tõusevadki QES tasemele.

Lihtne, kas pole?!

Ole DigiDoc3 kasutamisel hoolas!

Kokkuvõttes – kasutaja elu läks just oluliselt keerulisemaks. Enam ei piisa allkirja kehtivuse tuvastamisest. Kehtib küll, aga tase pole see, järelikult näiteks riigiasutusega suhtlemiseks ei sobi.

QES ehk Tõeline Digiallkiri (TM) näeb välja selline (märka rohelist värvi! – on kehtiv – ning tea, et vaid see allkiri on omakäelisega võrdsustatud:

Kui vajutada menüüpunktile “Vaata üksikasju”, siis on Digidoc kõigega väga rahul, mingeidki virinaid allkirja kvaliteedi üle ei ilmne:

Seevastu näiteks Smart-ID abil antud e-allkiri näeb DigiDoc3 utiliidis välja pisut teisiti (märka KOLLAST värvi!):

Maailma üks esimesi SmartID abil antud allkirju

Allkiri on igati kehtiv (roheline värv), ent kuivõrd Smart-ID alles astub samme, et QES tasemele sertifitseeruda, siis on KOLLASEGA lisatud sõna “PIIRANGUD“. Vajutades menüüpunktile “Vaata üksikasju” on võimalik piirangu olemust lähemalt uurida:

Seega, kollast nähes peaks kasutaja aru saama, et kusagil nurga taga on veel mingi aga. Menüüpunktil “Vaata üksikasju” klikkides avaneb uus aken, kus seletatakse ära, mis täpselt on konkreetse aga tähendus.

SmartID puhul peitub “piirangu” põhjus asjaolus, et seda pole veel jõutud QES tasemele sertifitseerida, mõne teise riigi mõne teise allkirja puhul võib piirangu põhjuseks olla midagi muud.

Jäta meelde!: riigiasutustes kõlbab endiselt üksnes QES ehk digiallkiri ehk see allkiri, mida näidatakse roheliselt. Samas, kui piiranguga allkirja on andnud ELi muu riigi kodanik, siis on juristide otsustada, mida säärase e-allkirjaga Eesti oludes üldse peale hakata – kas aktsepteerida või mitte.

Usun, et ELi eIDAS-süsteemile üleminek põhjustab kasutajates alul parasjagu segadust. On ju meil nüüd ühe normaalse digiallkirja asemel tervelt neli erinevat taset. Praktikas on vaid eIDASe allkirjaredeli kahel ülemisel tasemel Eestis mingi kasutusala. Ometi usun, et igaüks saab pisukese harjutamise peale need tasemed selgeks, nii et marss harjutama!

Lõpuks, leidub allkirju, mille puhul ei räägita enam mitte piirangust, vaid suisa hoiatusest. Enamasti on tegemist juhtudega, kus mõni arendaja on eksinud tehnilise vormingu suhtes. Hoiatusega allkirja kohates tuleks konsulteerida spetsialistiga – näiteks kirjutada aadressil help@ria.ee.

TeRa rakendus

TeRa (ehk Tembeldamise Rakendus) on mõeldud hapuks minevate digiallkirjade karjakaupa ärapäästmiseks Sinu arvutis.

Mure iseenesest tuleneb asjaolust, et Eestis on digiallkiri kasutusel juba 15 aastat. Esimesed digiallkirjad põhinesid räsialgoritmil SHA-1, mis tänaseks on räbalateks kuhtumas. Iseenesest pole siin midagi valesti – e-riigis tulebki arvestada, et algoritmid pidevalt täiustuvad ja et vanad algoritmid pole enam nii murdmiskindlad. Nii see hakkabki tulevikus olema, et iga n aasta tagant tuleb krüptograafialahendusi uuendada. Aga et see juhtus alles esimest korda, siis konservatiivid alles tõrguvad säärast perspektiivi uskumast…

Muide, ka SHA-1 räsialgoritmi kuhtumisest oleme varem kirjutanud.

Otse öeldes, kui Sina ei otsi üles oma olulisi digiallkirju ega tembelda neid TeRa abil üle mõne nüüdisaegsema algoritmiga, siis võib tulevikus tekkida sekeldusi. RIA itimehed ei saa küll ühtki allkirja lambist kehtetuks tunnistada, kuid kui tekib vaidlus, allkirjastatud dokumentidele “tekivad” erinevad sisud, siis neist õige tuvastamiseks võib juristidele kuluda väga palju aega ja raha.

Uued räsialgoritmid on murdmiskindlamad ja annavad eelmistest pikema väljundi

TeRa on mõeldud kodukasutajale oma hapuksminevate SHA-1 algoritmil põhinevate digiallkirjade päästmiseks. Rakendus tuleb käima panna ning ta otsib ise arvutist üles kõik vananevad digiallkirjad ning pistab need uude, krüptograafiliselt murdmiskindlasse konteinerisse (mis, hmm, loodetavasti peab vastu järgmised 10 aastat).

Vajadusel võib lugeda TeRa kasutusjuhendit.

Asutustele ja firmadele, kus vorbitakse sadu tuhandeid digiallkirju, kujuneb ületembeldus parajaks pähkliks, ent pole kahtlust, et nad mainituga hakkama saavad. Ühtlasi on asutustele loodud TeRa käsurearakendus.

TeRa protsessi voog arhitektuurinõukogu ajalooliselt slaidilt, BDOC asemel täna tegelikult moodustatakse juba ASIC-S vormingus fail. Teinegi oluline muudatus: DDOC faile tegelikult ei kustutata, need jäävad kasutajale kenasti alles.

Mis kuupäevaks peaksid kodused allkirjad saama üle tembeldatud? Hetkel hindab RIA, et 1. juuliks 2018. Ent ütleme ausalt välja, kui mõni vahepeal ilmunud krüptograafiline uuring SHA-1 algoritmi päris ribadeks kisub, eks siis tuleb ka riskid uuesti ümber hinnata.

Kartaago hävitamisest

Ehkki alljärgnev pole otseselt tänase päeva teema, palun mine ja uuenda ühtlasi ära ka oma sertifikaadid ID-kaardi sees. Nimelt, väga suur kogus sertifikaate on säärased, mida alates 1. juulist 2017 enam uuendada ei saa.

Kui jätad oma sertifikaadid enne 1. juulit uuendamata, tekib Sul risk, et mõned internetisirvikud enam ei soovi Sinu ID-kaardiga koostööd teha või Sind ei lasta sääraste sertifikaatidega enam mõnesse olulisse e-teenusesse sisse.

Märka hüüumärki!

Kui jätta 1. juuliks oma sertifikaadid uuendamata, siis küll midagi fataalset ei juhtu (ei võeta valimisõigust kelleltki ära vms) ja PPA teenindussaalist saab alati uue ID-kaardi, kuid paraku juba üldises järjekorras ja raha eest.

Mis on Stack Clash?

Autor: CERT-EE

Stack Clash on mitmete operatsioonisüsteemide mäluhalduse haavatavus, mis mõjutab Linuxi, OpenBSD, NetBSD, FreeBSD ja Solarise i386 ja amd64 operatsioonisüsteeme. Konkreetset haavatavust on võimalik ära kasutada mälu rikkumiseks ning omavoliliseks koodi käivitamiseks. Pärast haavatuse ilmsikstulekut arendas Qualys seitse erinevat eksploiti ning seitse kontseptsiooni tõestust. Seejärel arendati koos tarnijatega vastavad turvapaigad. Turvapaigad on kättesaadavad alates 19. juunist ning tuletame meelde, et väljatöötatud turvapaikade kohene paigaldamine on rangelt soovituslik.

Suuremõõtmeline kollisioon. Allikas: http://cdn.desktopwallpaper4.me/

Pinu kollisioon

Iga arvutil jooksev programm kasutab spetsiaalselt mäluregiooni, mida nimetatakse pinuks (stack). Mäluregioon on eriline, kuna see kasvab automaatselt, kui programmil ilmneb vajadus rohkema pinu-mälu järele. Kuid kui mäluregioon kasvab liiga kiiresti ning jõuab teisele mäluregioonile liiga lähedale, võib programm pinu teise mäluregiooniga segamini ajada, mis omakorda lubab kurjategijal seda segadust ära kasutada ning pinu teiste mäluregiooniga üle kirjutada (või siis risti vastupidi toimida). Just selle järgi on haavatavus ka oma nime saanud. Esimene samm selle haavatavuse ärakasutamisel on pinu kollisioon teise mäluregiooniga, millest tulenevalt ka nimi.

Uus haavatavus?

Ühene vastus on – Ei! Esimest korda kasutati pinu kollisiooni ära 2005. aastal ning järgmine kord alles 2010. aastal. Pärast 2010. aasta haavatavust arendas Linux sarnaste ärakasutamiste vastu kaitsemeetodi – niinimetatud pinu kaitseleht. Praeguseks teame aga, et pinu kollisioonid on laiaulatuslikud ning hoolimata pinu kaitselehest siiski ärakasutatavad.

Üks või mitu haavatavust?

Peamine Stack Clashi haavatavus on CVE-2017-1000364 ning see demonstreerib, et mõne kilobaidi suurune pinu kaitseleht on ebapiisav. Teemat lähemalt uurides tuvastati rohkem haavatavusi. Mõned neist on sekundaarsed ning avalduvad vaid pärast Stack Clashi haavatavuse ärakasutamist, näiteks CVE-2017-1000365, kuid on ka eraldi ärakasutatavaid haavatavusi nagu näiteks CVE-2017-1000367.

Kas Stack Clash mõjutab ka mind?

Juhul, kui Sa oled i386 või amd64 arhitektuuriga Linuxi, OpenBSD, NetBSD, FreeBSD või Solarise kasutaja, on vastus – Jah! Teised operatsioonisüsteemid võivad samuti haavatavad olla, kuid neid ei ole konkreetse haavatavuse osas hetkel lähemalt uuritud.

Stack Clashi ohud?

Konkreetse uurimise käigus tuvastati ainult lokaalne privileegide eskaleerimine – ründaja, kellel on mõjutatud süsteemile ükskõik milline ligipääs, saab Stack Clash haavatavust kasutades omandada root-kasutaja õiguse. Praeguseks ei ole tuvastatud, et haavatavus lubaks kaugligipääsu. Siiski ei saa selle olemasolu välistada.

Mida mina teha saan?

Uuendada, uuendada, uuendada! 19. juunil väljastati turvapaigad, mille iga kasutaja omale ise paigaldada saab. Juhul kui kasutaja ei saa või ei taha oma süsteemi taaskäivitada, saab ta oma lokaalsele kasutajale teha RLIMIT_STACK ja RLIMIT_AS välistele teenustele mõistlikult väikese väärtusega. Selle tegevuse käigus tuleb siiski meeldes pidada, et etteantud väärtused ei pruugi olla piisavalt madalad kõikidele rünnetele vastupidamiseks. Näiteks osadel juhtudel kasutab Sudo pinu kollisiooni haavatavus vaid 137 MB kuhimälu (heap-memory) ning peaagu mitte üldsegi pinumälu. Samuti võib juhtuda, et seatud väärtused on liiga madalad ning tegelikud rakendused lakkavad töötamast.

Lisainfot leiab linkidelt:

Tunne oma tumedamat poolt!

Autor: Anto Veldre, RIA analüütik

Portaal Helpnetsecurity avaldas hiljuti artikli, mis annab ülevaate e-kirjade ohtlikust sisust.

Algset, firma Proofpoint uurimust on võimalik lugeda kõigil ametiisikutel, kes selle lugemiseks Proofpointile oma isikuandmed loovutada raatsivad. Lisatud on kommentaarid Eesti olukorra kohta, mida algmaterjalis ei sisaldu.

Faktid ja mõned numbrid

Kui välismaa statistika kohaselt saadavad kurjamid lunavara meilitsi laiali tavaliselt teisipäevast neljapäevani, siis Eesti puhul seda öelda ei saa: meil on kõik nädalapäevad võrdsed. Mujal maailmas on ka täheldatud, et pangatroojalaste saabumise lemmikpäev on neljapäev (põhjus ilmne: et reedel tehtud ülekande jälitamine nädalavahetuse tõttu keerukaks muuta) ning klahvinuhke ja tagauksi püütakse paigaldada esmaspäeviti (et töönädalast ikka maksimumi võtta). Eestis selliseid kindlaid mustreid välja ei joonistu.

Muide, küberkurjategijad rõhuvad pigem inimeste kui tarkvaraaukude ärakasutamisele.

Kaval trikk on luua endale mitu meili-aliast ja suunata need kokku ühte postkasti. Siis paistab virtsalevituskampaania kohe silma.

2015. aastaga võrreldes kasvas küberkuriteoliikidest 2016. aastal kõige rohkem niinimetatud tegevjuhi või CEO pettus (ametliku nimetusega Business Email Compromise ehk BEC). BEC seisneb näiliselt tegevjuhi nime alt (vahel isegi “tema” meililt) kirjade saatmises (tavaliselt) ettevõtte finantsjuhile, et uurida, kas on võimalik teha kiiresti makse pangakontole X või kas see juba on tehtud. Ülemaailmselt on ettevõtted selle küberkuriteo liigi kaudu kandnud juba üle 5 miljardi dollari kahju.

Artiklist ilmnes, et pahatahtlike lehtede avamise klikkidest ligikaudu pooled tehakse isiklikes seadmetes või seadmetes, mis pole liidetud asutuse monitooringusüsteemiga. Selgus ka üllatuslik asjaolu, et 42% pahavaraga nakatumistest toimub nutiseadmetes (selle poolest erineb Eesti väga palju muust maailmast) ning pahatahtliku lehe kaudu nakatumistest 8% toimub vananenud tarkvara (nagu näiteks Windows XP operatsioonisüsteemi) kasutamise tõttu. (Seega pooled infolekke ja nakatumiseni viivatest klikkidest tehakse nii, et asutuse või firma IT-spetsialistid neist ülevaadet ei oma.)

90% kuriklikkidest viisid kasutaja tegelikult õngitsuslehtedele, mis on üldjuhul üles seatud kasutajalt kontoandmete (kasutajanimi ja parool) välja meelitamiseks. Kui kasutajal pole aktiveeritud kahetasemelist autentimist, mis võõrast kohast sisselogimise korral koodi küsib ning selleta kasutajat kontole ligi ei lase, siis on pahalased oma eesmärgi suurepäraselt täitnud.

Muide, rahavargusteni viinud e-kirjadest suisa 99% vajasid ründamiseks inimese enda tehtud klikki.

Vaata alati veebiaadressi – PayPal pole haridusasutus (.edu).

Kurjal klikkimine leiab 90% juhtudel aset esimese 24h jooksul pärast levituskampaania algust (see on ka tavapärane aeg, mis kulub majutusteenusepakkujal pärast lehekülje raporteerimist ohtliku veebilehe eemaldamiseks internetist). Kusjuures 25% ohtlikul materjalil klikkimisi pannakse toime suisa esimese 10 minuti jooksul ja 50% esimese tunni jooksul pärast e-kirja laekumist postkasti. Kõige rohkem ohtlikke klikke sooritatakse tööajal: kell 8–15.

2016. aasta jooksul kasvas tehnilise toe petuskeemide (nn HelpDeskide järeleaimamise) arv 150%. Kui mujal maailmas helistasid kurjamid inimestele Microsoftist, Apple’ist ning isegi Linuxi! kasutajatoest, siis Eesti kasutajad said enim e-kirju tavaliselt IT-toelt. “IT-Tugi” oli märganud pahatahtlikku tegevust või kontolimiidi ületamist ja ähvardas konto sulgeda, kui kohe ei sisestata andmeid lehele X, mis taastaks konto tavapärase tegevuse. Lisaks said Eesti inimesed 2016. aastal e-kirju Telia ja Zone’i nimel. Ka mõned petukõned jõudsid siiski Eestisse: CERTi teavitati “Microsofti” tehnilise toe kõnedest, kus kasutajaid süüdistati viiruse jagamises (või teavitati neid sellest) ning nõuti ligipääsu arvutile, et pahatahtlik tegevus lõpetada. (Vaata meenutuseks katket sarjast “IT-planeet” – “Ma helistan teile Facebookist“.)

Teinegi postkastipilt – petukampaaniad paistavad kätte selgelt, nagu ka põhilised altvedamisnipid.

Küberkurjategijad on kursis inimpsühholoogia, käitumisharjumuste ja ärimaailmaga: nad teavad üsna täpselt, millises vahemikus on töötajatel pausid või rohkem aega isiklikuks internetikasutuseks. Ja ka seda, et raamatupidajate vererõhk tõuseb järsult nähes postkastis kirja “unpaid invoice” või tegevjuhi palvet teha kiiresti pangaülekanne, mis tal endal kiire graafiku tõttu ununes. Samuti on teada tõde, et pärast nädalavahetust on postkastid tavaliselt rohkem täis kui teistel päevadel. Ja kuna postkastiga soovitakse kiiresti n-ö ühele poole jõuda, kiputakse just esmaspäeviti saadud kirjade puhul vähem tähelepanelik olema.

Pea meeles!

CERT-EE tuletab meelde, et parim kaitse on uuendatud tarkvara ning e-kirjas sisalduva teabe ja linkide ülekontrollimine! Kui sa ei ole lehe või faili ohutuses veendunud, kontrolli seda enne Cuckoos, mis on CERT-EE avalik keskkond failide analüüsimiseks. Lingi saab Cockoosse lisada (copy-paste) ja oma arvutisse salvestatud kahtlase faili sinna üles laadida.

Muusikasõpradele pakume kuulamiseks RIA bändi hoiatust “Ära vajuta!”: