E-valimised on (liiga) turvalised

Anto Veldre kirjutab, et sel nädalal algas järjekordne rünnak e-valimiste vastu: taas poliitiline, mitte tehniline.

Infoturbes kasutatakse terminit “responsible disclosure” – see tähendab, et turvavea avastaja ei torma vastleitud, ohtliku augu abil panka röövima või raha välja pressima, vaid kontakteerub tarkvara loonud ettevõtte võtmeisikutega, et neile selgitada, kus täpselt auk on, milline see välja näeb jne.

Selline praktika on mõistlik, sest mõne firma jaoks võib leitud turvaaugu parandamine olla väga kulukas, mistõttu on sel ettevõttel majanduslikult kasulikum augu olemasolu võimalikult kaua varjata.

Sellise venitamise vastu aitabki “responsible disclosure” poliitika – alul antakse vigase tarkvara autorile vea parandamiseks aega (kuu või paar), kuid määratakse kuupäev, millal vea tehniline kirjeldus avalikustatakse. Nii saavad hundid söönuks, lambad jäävad terveks.

Praktikas toimub see tavaliselt nõnda, et eksperdid, kes turvanõrkuse avastavad, edastavad sellest täpse, kiretu ja tehnilise kirjelduse autorile (seadme või tarkvara tootjale). Näiteks teatab kodanik X, et firma Y programmis Z on nii-ja-naamoodi leitav turvaauk.

Lisatakse tehniline info, võrguliikluse salvestus, käsurea pilt jm vajalik, et teised osapooled tema leitud vea üles leiaksid ja parandada saaksid. Pädev spetsialist vaatab vea kirjeldust ning saab kohe aru: “Oi näe, ongi auk”. Seejuures suudab raportit uuriv spetsialist kirjelduse järgi talitades saavutada samasuguse (vigase) tulemuse, kui vea kirjeldaja.

Kuid kui vea täpne kirjeldus puudub, pole turvaviga võimalik ei kinnitada, kontrollida, ega ka parandada. Kinnitagu vea “avastaja” jooniste, multifilmide, poliitikute sajatuste või siberi šamaani trummipõrina saatel, et homme lõpeb selle vea tõttu maailm.

Seevastu PR-intsidendid on hoopis teistsugused loomad. Need ilmuvad välja hoopis teisiti: ajaleheartikli, anonüümse telefonikõne või sõbralt tulnud vihjena. PR-intsidendi puhul esitatakse väide, et absoluutselt kõik on tuksis, turvaauk on maakera suurune, kuid väite kontrollimiseks vajalikku tehnilist teavet ei anta.

Maailmalõppu kuulutavad lood meediaväljaandes koguvad aiva klikke, kuid viga parandada soovivail ekspertidel süüdistajaga sama laua taha istuda ei õnnestu või kui õnnestub, siis sisulist lisateavet neilt ei tule. Aga meediasse paisatud “ohuhinnang” hirmutab tõhusalt, “maailmalõpp” läheneb hoogsalt!

Maikuu teise laupäeva õhtul eikusagilt ilmunud väiteleht teatas, et nüüd olla Eestis e-hääletusega pahasti ning pressikonverents toimuvat esmaspäeval kl 11. Juhtumi kohta oli ühtlasi juba koostatud ka projektipõhine väitesait.

Kuigi pühapäeval oli väitesait veel suletud, selgus hiljem, et seltskond “sõltumatuid asjatundjaid” olla auditeerinud Eesti e-hääletuse süsteemi, leidnud selle olevat “šokeerivalt ebaturvalise” ja valimistulemused “lihtsasti manipuleeritavad” ning esitasid Eesti vabariigile ultimatiivselt tungiva soovituse e-valimised ära jätta.

Tsiteerin: “We urgently recommend that Estonia discontinue use of the system.” ja edasi “…use of the Estonian I-voting system should be immediately discontinued.

Sõbralikult pakutakse ka (tellijale ilmselt sobiv) lahendus: “Estonia has a well organized paper voting system which they should revert back to.” Ehk siis keegi “ekspert” saabub väljamaalt ning käsib Eesti Vabariigil ühe riikliku infosüsteemi sulgeda. Kohe! Arusaadavalt saab nõudmise adressaadiks olla üksnes Eesti Vabariigi valitsus, vähemal tasemel pole seaduse alusel läbiviidavat internetihääletust lihtsalt võimalik ära jätta.

Tehnilist teavet leitud vigade kohta lubatakse anda, aga… alles pärast valimiste lõppu!?

Miks on paha, et e-valimised liiga turvalised on? Sest selliste valimiste manipuleerimine tavalisel moel on väga keeruline. See aga ei sobi osapooltele, kes harjunud oma tahtmist saavutama kehtestatud reegleid eirates. Näiteks on e-valimiste puhul välistatud grotesksed “hääletamised”, mida eelmisel nädalal nägime Ida-Ukrainas ning mille “tsiviliseeritumaid” variante sotsialistliku ühiskonnakorra ajal elanud inimesed hästi mäletavad.

Ehk rünnatakse e-valimisi seepärast, et selline võltsimine oleks meelepärane ühele või mõnele Eestiski tegutsevale erakonnale? Seejuures ei pruugi “tanki pandud” väljamaised asjatundjad üldse mõistagi, et nad pole siin mitte oma tehnilise taibu vaid poliitiliselt sobiva (kuigi tehniliselt ebapädeva) sõnumi pärast.

Väidetavad turvaaugud

Esimene suurem etteheide asjatundjate grupilt kõlab, et koduarvuti võib olla nakatunud pahavaraga. Pange tähele, võib olla! Eesti on üsna kõrge küberkorralikkusega riik. Tõsi, meil on küll pahavara liikvel pisut enam kui Soomes, Taanis või Singapuris, kuid siiski asume me oluliselt ees endise idabloki riikidest.

August. Kui lugeda e-hääletuse turvaanalüüsi punkti 9.2.4, avastame, et hääletaja arvuti ründamise võimalus on teadvustatud juba aastal 2003. Mida selle teadmisega peale hakati?

Demokraatlikus riigis pole võimalik, et riigivõimu teostaja läheb kuidagi, kasvõi virtuaalselt, inimese koju ja hakkab valimisõigusliku kodaniku kompuutris korda looma, sealt näiteks pahavara välja rookima. Seepärast on see risk teadvustatud ja märgitud kui AKTSEPTEERITUD risk (vaata seletust siit).

Iga valija ülesanne on oma arvuti (vähemalt) valimiste ajal puhtana hoida! Eriti hästi aitab muidugi PIN-padiga kaardilugeja pruukimine söögi alla ja söögi peale, sest nõnda saab välistada PIN-koodide jõudmise (nakatunud) arvutisse. Ilma PIN-koodideta pole aga pahavaral ID-kaardiga midagi teha. Olgu see kaart siis kasvõi lugejasse kinni kiilunud.

Ehk siis – meile teadvustati kellegi asjatundja üldsõnaline hinnang, et hääletaja arvutis VÕIB olla viirus. No võib jah. Aga viisaka ja arvutihügieenist lugupidava inimese arvutis viirust siiski pole. Ja kui keegi kardab, et on, siis saab valimispäeval valimisjaoskonda rännata või PIN-padiga kaardilugejat pruukida. Igaühe oma valik – kas ta teab, mis ta arvutis toimub või käib valimispäeval kasti juures.

Teine väga põhimõtteline etteheide on, et DVD-kettad, mille pealt e-hääletussüsteeme installitakse, VÕIVAD olla nakatunud. See on TEOREETILISE vektorina täitsa arvestatav. Nagu ka valimistega samal ajal aset leidev, Eesti elektrisüsteemi halvav torm, rongiga saabunud neutronpommi plahvatus Balti jaamas või Päikese ootamatu kustumine.

Hästi. Kuid kuidas DVD-ketas ja / või selle peal olev tarkvara nakatub ja nakatab? Kas räägime failisüsteemi ründest, tarkvara rikkumisest, kompilaatori käkkimisest või millest, kallid e-valimiste asjatundjad?

OK. Oletame, et ongi “mingi rünne”. Kes valimiste IT-meeskonnast on need reeturid, kes valetavad, et ketaste image’te räsid klapivad, kuigi need võrdlemisel ei klapi?

Tänaseni pole rünnete tehnilisi kirjeldusi jagatud ei VVK, meie ega teadaolevalt mitte kellegagi.

Seltskond asjatundjaid olla minuthaaval läbi vaadanud VVK eelmise aasta e-hääletuse auditi videod ning leidnud videotelt mõned huvitavad sündmused:

  1. Debian Linuxi pakette laeti kohast, mis asjatundjaile ei meeldinud.
    Ehk oleks pidanud distro tõmbama mõnelt .ru või .su aadressilt?
  2. Töölaual olla nähtud ühe pokkerisaidi ikooni (oli see ikka pokkerisait või mingi “pokkerisaidi ikooniga sarnanev ikoon”?).
    Kahtlemata diskrediteerib sellise ikooni paiknemine töölaual selle raali kasutajat, tema riiki ja Euroopa Liitu.
  3. Ühe serveri laadimisel ei võtnud RAID kontroller kohe esimese hooga kettaid külge.
    Ilmselgelt oli RAIDi kontroller nakatunud BadBIOSi ja FOXACIDiga korraga! Lisaks Bundestrojanerile.
  4. Seinalt paistis kohaliku külalistevõrgu WiFi parool.
    Karm lugu, sest valimiste serverid on ju (koos kõikide külaliste telefonide ja raalidega) kindlasti sellesse WiFi võrku ühendatud, ILO pordid meelalt õieli.
  5. Auditi kaameramees filmis administraatorit nii, et tolle parool jäi filmile.
    (Parandus: filmitavana on end tuvastanud mitte administraator, vaid valimiste vaatleja Virgo Kruve, kes parajasti valimisrakendust katsetas.)
    Selle vihje eest küll aitäh – tõhustame kaameramehe instruktaaži – kuid see on abiprotsessi (auditi), mitte põhiprotsessi (valimiste) viga.
    Tõik, et e-valimiste meeskond vahetab in corpore kõik oma PIN-koodid ja paroolid valimiste järel ära, pole siinkohal oluline.

Aga… kuidas nende viie leiu põhjal jõuti järeldusele, et kogu e-hääletuste serverisüsteem ongi praktikas välisriigi (täpsemalt Venemaa) poolt kompromiteeritud ja nii ebaturvaline, et e-valimised peab ära jätma?
Korratavate tegevuste kirjeldust, millised käigud, üksikult või eraldi sellise stsenaariumi realiseerumiseni viivad, pole asjatundjaskond esitanud.

Võrdluseks meenub kohtumine juulis 2013, kus avalikustati e-hääletuse lähtekood. Kahetunnise koosistumise käigus sai e-valimiste meeskond Eesti avalikkuselt toona oluliselt rohkem konstruktiivset tagasisidet kui praegu Kitcati meeskonnalt kolme päevaga.

USA vs Eesti

Põhja-Ameerikas erineb suhtumine mistahes e-valimistesse Eestist oluliselt. Esimesed sealsed elektroonilise hääletamise katsetused olid turvaaukudega rikkalikult varustatud. Turvaspetsialistid murdsid sisse Dieboldi valimismasinatesse (sihuke kioski-laadne agregaat) ning kõik see oli meil Eestis e-hääletust käivitades kenasti teada. Meie suhtumine e-hääletusse oli algusest saadik positiivne või vähemasti ettevaatlikult neutraalne. USA suhtumine e-hääletusse on jäigalt negatiivne. On terved spetsialistide koolkonnad, kes on ideoloogiliselt veendunud, et e-hääletus on saatanast.

Kas elektrooniline- või internetihääletus? Neid kaht eristama on ameeriklasedki õppinud alles paaril viimasel aastal. Internetihääletust (mida meie nimetame e-hääletamiseks) ei saaks nemad omas riigis põhimõtteliselt läbi viia, sest neil puudub meie ID-kaardi ja PKI taoline mehhanism. Asi pole tegelikult mitte selles füüsilises, plastmassist ID-kaardis, vaid hoopis riiklikult toetatud PKI süsteemis (avaliku võtme taristus, inglise keeles Public Key Infrastructure), mis võimaldab kaardi omanikku elektrooniliselt kaugtuvastada ja tema antud elektroonilise allkirja autentsuses veenduda. Just nimelt see Sertifitseerimiskeskuse pakutav teenus on “võluvärk”, mille abil iga Eestis tegutsev pank, maksuamet või väikeettevõtte veebileht saab isiku elektrooniliselt tuvastada.

See erisus põhjustas ilmselt ka varasematel Keskerakonna korraldatud üritustel toimunud naljakaid olukordi, kui lavalt kuulutati valimismasinate ründamise näidete põhjal “tõde”, et internetivalimised on saatanast. See on sama, kui võrrelda metssiga hambaharjaga – mõlemad on ju karvased!

Meie pabervalimiskogemus pärineb aga nõukogude ajast: kõigis valimisjaoskondades valiti “kommunistide ja parteitute blokki” tasemel 97–99% ning ükski vanaisa ei soovi meenutada, kuidas täpselt säärane resultaat saavutati: kas viina, altkäemaksu või KGB šantaaži abil. Igatahes oleme tuttavad olukorraga, kus jaoskondades saavutatakse vajalik resultaat nimelt mõnele parteile lojaalsete inimeste abiga. Vastupidi arvutile, mis reeglina altkäemaksu ei võta.

Seega – meie, eestlaste ajalooline kogemus on, et hoopis paberhääletust on lihtsam võltsida.

Teoreetiline vs praktiline turvalisus

Ilmselt nad Läänes usuvadki senimaani, et verifitseeritud turvalahendusi koos tagaustega ongi võimalik joonestuslaua taga valmis treida ning siis muutusteta aastakümneid kasutada. Ometi pole see enam ammu nii. Seoses arvutite arenguga on tehnoloogia keerukus kasvanud mitme suurusjärgu võrra. Pinguta, palju tahad, ikka jääb mõni viga sisse, tahtlikest lõksudest rääkimata.

Joanna Rutkowska on väga tabavalt kirjutanud sellest, et Sinu arvuti klaviatuur, ekraan ja hiir kuuluvad… kellele? Ei, mitte Sulle endale, vaid tarkvaratootjale. Tehniliselt saab too igal ajahetkel Sinu identiteedi üle võtta ja Sinu nimel sooritada mida iganes. Ükski kaasaegne laiatarbeoperatsioonisüsteem pole konstrueeritud vastupidist nõuet arvesse võttes. Seega – oma arvutit saame usaldada vaid teatud piirini. Praktikas Microsoft ja Apple siiski inimeste toimetamistesse ei sekku ning võime vaid oletada, miks.

Samad lood on meie arvutite riistvaraga. Neid tehakse kusagil Hiinas või Lõuna-Koreas ning me ei saa välistada, et emaplaadil ei sisaldu mõnd tagaust.

Mõlemad väited näivad nii kohutavatena, et arvutite kasutamise peaks justnagu lõpetama? Tegelikkus pole siiski nii hull. Vaatamata OS ja riistvara riskidele on võimalik selle peale siiski ehitada tarkvara ja protseduurid, mille omanik on Eesti riik ning sidekanal Internet. Igast riiklikult olulisest liigutusest jäävad logid, e-hääletust tagavad kümned IT-inimesed. Jah, kirjeldatud ohte peame arvestama, neid riskide hindamiste valemites arvesse võtma ning tarkvara arendades teadvustama.

Teoorias on turvaline e-hääletamine võimatu (vähemasti ameeriklased arvavad nii). Praktikas aga on arvuti riske paigatud väga erinevate meetmetega, alustades protseduuridest ja auditist ning lõpetades üksteise tegevuse üle valvavate inimestega. Eestis on e-hääletust läbi viidud juba 6 korda ning seni pole juhtunud ühtki turvaintsidenti.

Meie usume, et e-ühiskonnas ehitataksegi arvutisüsteeme teistmoodi. Ei usaldata ei arvutit ega tarkvara, nende otsa projekteeritakse süsteem, mis logib omi toiminguid ning mida omakorda valvavad inimesed.

Ka unustavad kallid väliskülalised ära pisukese pisiasja, et e-hääletuse puhul on võrgukiht, seire ja logid meie kontrolli all ja üldsegi mitte ründaja kontrolli all nagu nende laboris võis tunduda.

Teadustöö

Harri Hursti tutvustas ennast 12. mai pressikonverentsil kui sõltumatut turvaeksperti. Mis ta nüüd ikka nii väga sõltumatu on! Kaks korda osales ta Tallinna Linnavalitsuse korraldatud valimisüritusel “Saatan valib Internetis!”. Toona jäi ka kohalviibinud, pigem pensioniealisele publikule arusaamatuks, miks võrreldakse Eesti internetivalimisi mingisuguse võõrapärase elektroonilise hääletamisega, milleks vajaksime spetsiaalseid (Dieboldi) agregaate.

11. oktoobril 2013 toimunud foorumi “Saatan valib internetis” päevakava ajalehest Kesknädal. Esinejate seas on kirjas J. Alex Halderman, Harri Hursti ja Jason Kitcat

Pildil saatetutvustus Tallinna TV veebilehelt: “Poliitika õhtukool. Harri Hursti e-valimistest 1. osa – 13.05.2013”

Jason KitCat ja Alex Haldermann on avalikult teada kui e-, i- ja muude mittepabervalimiste vastased juba vähemalt viis aastat, aga ehk rohkemgi. Haldermann andis juba aastal 2011 ülikoolis kursust, mille moraal oli: ühiskond pole e-valimisteks valmis. No USAs täpselt nii ongi. Aga see eitus pole automaatselt rakendatav Eestile. Täitsa mõistame jänkide pettumust hääletuskioskites, täitsa saame aru, et nad soovivad omas riigis kioskivalimise vastu võidelda … kuid ehk saaks seda võitlust toimetada moel, et vahetusrahana ei tambitaks pulbriks väikest Eestit, kes me oleme sama ülesande endi jaoks täiuslikult ära lahendanud … tõsi, kultuuriliselt pisut teistsugustes tingimustes.

Kahele pundis viibivale tudengile on kogemus kindlasti osutunud huvitavaks: lastakse laboris maailma parima internetihääletussüsteemiga mängida ning komandeeritakse siis tollesse riiki ekskursioonile.

Omavahel öeldes, Jasoni saidis väljas rippuvad videod on õppematerjalina küündimatud. Kui samasuguse koolitükiga oleksid maha saanud IT Kolledži õpilased, saanuksid nad hinde F.

Aga, videost. Laual näeme justkui kolme säravate dioodidega serverit, ekraanil jooksevad (üliõpilaste jaoks) arusaamatud, võõrkeelsed kirjad. Aegajalt toimub kommenteerimata tegevus, ekraanil kuvatavates menüüdes tehakse valikuid, serverisse sisestatakse mingeid plaate jms. Lisaks siblivad arvutite juures tumedad kujud, kes tõstavad projektori ja serveri vahelist VGA juhet sinna ja tänna nii, et projektor kaamerat hästi pimestaks.

Võrrelge näiteks 3-minutilise ukseluku murdmise videoga (Youtube: “lock bumping”). Kui olete video läbi vaadanud, kas saaksite luku avamisega hakkama? Nüüd aga vaadake läbi Kitcati pea 12-minutiline video ja vastake küsimusele: kas suudaksite selle põhjal Eesti internetihääletussüsteemi sisse murda. Olen kindel, et vastate “ei”.

Kuid mis kõige tähtsam, Jasoni saidile pole lubatud PDF-kokkuvõtet endiselt ilmunud. Pidada olema redigeerimisfaasis ja üht-teist olevat veel ka tagataskus ning see esitatakse alles siis, kui valimised läbi!

Täpsustus: uuringu raport avalikustati veebilehel 17. mail 2014.

Mulle tundub see küll rohkem valimiste ärakorraldamisena hirmutamise abil kui teadustöö või vastutustundlikku teavitamisena (responsible disclosure) tegelikust turvaaugust.

Positiivne on, et Eesti internetihääletussüsteem on jätkuvalt turvaline ja juba paari päeva pärast on aeg oma kodanikukohust täita. Samas, aitäh väliskülalistele nende pisikeste pudemete eest, mis võimaldavad e-hääletuse protseduure tulevikus veelgi parendada. Kõik aga, kes kodus viirustega hädas, marss valimispäeval valimiskastide juurde!

Meil on maailma ainuke töötav üleriigiline e-hääletus! Olgem uhked!
(Täiendus: üleriigiline, aitäh Ü.M.)

Inglise keelt kõnelevate sõprade rahustamiseks