Illustratsioon: Andres Varustin

OpenSSL paikas kõrge mõjuga turvavead

OpenSSL paikas kokku kaheksa turvaviga, millest kõige suurema mõjuga haavatavus (CVE-2023-0286) võimaldab ründajal lugeda mälu sisu ja viia läbi teenusetõkestusründeid. Siiski juhivad tarkvara arendajad tähelepanu sellele, et haavatavus mõjutab tõenäoliselt ainult neid rakendusi, mis kasutavad tühistatud sertifikaatide loendi (Certificate Revocation List) võrgust kättesaamiseks spetsiaalseid lahendusi. Teised väiksema mõjuga turvanõrkused on välja toodud arendaja kodulehel (SW, OpenSSL).

Kes ja mida peaks tegema?

Kõigil, kes kasutavad OpenSSLi versioone 3.0, 1.1.1 ja 1.0.2, soovitatakse see uuendada esimesel võimalusel.

OpenSSL 3.0 kasutajad peaksid uuendama tarkvara versioonini 3.0.8.

OpenSSL 1.1.1 kasutajad peaksid uuendama tarkvara versioonini 1.1.1t.

OpenSSL 1.0.2 kasutajad peaksid uuendama tarkvara versioonini 1.0.2zg (võimalik vaid eritingimustel) (OpenSSL).

OpenSSH uus versioon parandab mitu turvaviga

OpenSSH avaldas uue versiooni 9.2, kus on parandatud mitu turvaviga. Sealhulgas parandati ka turvaviga tähistusega CVE-2023-25136, mille abil on ründajal teoreetiliselt võimalik käivitada haavatavas süsteemis pahatahtlikku koodi või teostada selle vastu teenusetõkestusrünnak. Siiski märgivad tarkvara arendajad, et haavatavust ei ole lihtne ära kasutada tulenevalt sshd protsessi kaitsemeetmetest (HN, JFrog).

Kes ja mida peaks tegema?

CVE-2023-25136 mõjutab ainult OpenSSH versiooni 9.1p1 ja on parandatud versioonis  9.2p1. Kuigi nõrkust ei ole lihtne ära kasutada, soovitatakse OpenSSH uuendada kõige uuemale versioonile, et vältida võimalikku küberintsidenti (JFrog).

Turvanõrkus lubab häkkeritel muuta aega Dahua videovalvekaamerate süsteemides

Turvanõrkus tähisega CVE-2022-30564 avastati eelmisel aastal ja möödunud nädalal teavitas Dahua, et teatud nende tooteid see tõesti mõjutab. Selle abil on ründajal võimalik muuta aega mõjutatud seadmete süsteemides ja seda saab ründaja teha siis, kui ta saadab avalikult kättesaadavale süsteemile vastava päringu. Siiski on ründajal vaja teada spetsiaalseid rakendusliidese (API) parameetreid, et seda turvanõrkust ära kasutada (Redinent).

Turvanõrkuse avastanud ettevõtte sõnul on haavatavus eriti ohtlik just seetõttu, et internetist on avalikult kättesaadavad tuhanded sellised kaamerad. Kuna pahaloomulised osapooled saavad videosalvestiste aega muuta vastavalt vajadusele, avaldab turvaviga otsest mõju ka siis, kui videosalvestist on vaja uurimise käigus kasutada tõendina (Redinent).

Kes ja mida peaks tegema?

Nimekiri mõjutatud toodetest on avaldatud tootja kodulehel. Kui te neid kasutate, uuendage tooted esimesel võimalusel. Samuti ei tohiks videovalvekaamera süsteemi hoida internetist avalikult kättesaadavana.

Androidi uue versiooniga paigati 40 turvanõrkust

Google avalikustas eelmisel nädalal Androidi operatsioonisüsteemile turvauuendused, mis parandavad 40 turvanõrkust, millest 17 on kõrge mõjuga. Kõige kriitilisemaks parandatud haavatavuseks on turvaviga Frameworki komponendis, mille abil on ründajal võimalik mõjutatud süsteemis enda õiguseid suurendada. Kõik parandatud turvanõrkused on välja toodud siin.

Kes ja mida peaks tegema?

Kui teie Androidi operatsioonisüsteemi kasutavale seadmele pakutakse uuendusi, soovitame need rakendada (SW, Android).

Chrome’i uue versiooniga parandati 15 turvanõrkust

Google avalikustas uue Chrome’i versiooni tähisega 110, mis on mõeldud Windowsi, Mac OSi ja Linuxi operatsioonisüsteemidele. Uue versiooniga parandati 15 turvanõrkust, millest kolm on kõrge ja viis keskmise mõjuga. Kolme kõrge mõjuga haavatavust saab ära kasutada spetsiifiliste HTMLi lehtede abil. Google ei maininud, et nõrkuseid oleks jõutud ära kasutada (SW, Chrome).

Kes ja mida peaks tegema?

Soovitame uuendada Chrome esimesel võimalusel.

RIA analüüsi- ja ennetusosakond

1. novembril avalikustasid OpenSSLi arendajad enda teegist versiooni 3.0.7, millega parandati kaks kõrge tasemega turvanõrkust (CVE-2022-3602 ja CVE-2022-3786). Algselt hinnati esimest nõrkust kriitiliseks, kuid OpenSSLi loojad alandasid kriitilisuse taset pärast arutelusid eri osapooltega (BP, OpenSSL, Tenable, RIA).

OpenSSL on avaliku lähtekoodiga tarkvara, mida kasutatakse laialdaselt muuhulgas võrguliikluse krüpteerimiseks (sealhulgas VPNi lahenduste või HTTPSi protokolli puhul). OpenSSLi arendajad on varem hinnanud vaid üht nõrkust kriitilise tasemega (HeartBleed-nimeline haavatavus 2014. aastal). Tol korral oli ründajatel võimalik nõrkuse abiga varastada sessiooniküpsiseid, paroole ja muud tundlikku informatsiooni.

RIA kirjutas pikemalt nendest turvanõrkustest enda blogis.

Kes ja mida peaks tegema?

Turvanõrkuste vastu on haavatavad rakendused, mis kasutavad OpenSSLi versioone 3.0.0 -3.0.6. Selleks, et organisatsiooni paremini kaitsta, tuleks infoturbejuhtidel/süsteemihalduritel talitleda järgnevalt:

1. Tuvasta, kas teie ettevõtte süsteemid on haavatavad siin kajastatud turvanõrkuste vastu. Kasulik on koostada nimekiri haavatavatest tarkvaradest ja plaan, millal ja kuidas mõjutatud komponendid paigata. Samuti tuleks veenduda, et ettevõtte partnerid, kellel on ligipääs teie süsteemidele, ei ole haavatavad nende turvanõrkuste vastu. Halbade asjaolude kokkulangemisel võib partneri süsteem mõjutada ka teie süsteemi.

2. Uuenda haavatavaid OpenSSLi versioone kasutavad rakendused esimesel võimalusel nii, et need kasutaksid vähemalt teegi versiooni 3.0.7. Kui uuendamine ei ole võimalik, soovitab arendaja ühe lahendusena TLS-serverite haldajatele keelata võimalusel TLS-kliendi autentimine seniks, kuni uuendused on rakendatud1.

3. Vaata üle, kas mõjutatud on teenused, mis on interneti kaudu ligipääsetavad. Kui jah, tuleks infoturbejuhtidel või süsteemihalduritel vajadusel hinnata, kas on võimalik ajutise meetmena (kuni paigatud versiooni või alternatiivsete lahenduste rakendamiseni) ligipääsu neile teenustele piirata (need internetist eemaldada, kui kübeintsidendi toimumise risk on suur).

Fortinet avaldas turvapaigad oma toodetele

Fortinet parandas kokku 16 turvaviga, millest 6 olid kõrge mõjuga haavatavused. Need mõjutavad erinevaid Fortineti lahendusi nagu FortiTester, FortiSIEM, FortiADC, FortiDeceptor, FortiManager ja FortiAnalyzer (SW, Fortinet).

FortiTesterit mõjutav nõrkus võimaldab autentitud ründajal käivitada pahaloomulisi käske.

FortiSIEMi tarkvara mõjutab nõrkus, mille abil on lokaalsel ründajal, kellel on ligipääs käsuaknale, võimalik teostada toiminguid Glassfishi serveris.

Ülejäänud kõrge tasemega turvanõrkused on seotud XSS-rünnet lubavate haavatavustega ja mõnda neist on võimalik autentimiseta kuritarvitada.

Samuti parandati keskmise ja madala tasemega turvavigu. Neid auke saaks ründajad kasutada õiguste suurendamiseks, XSS-rünneteks, informatsiooni kogumiseks, teenusetõkestusrünneteks ja teisteks rünneteks.

Kes ja mida peaks tegema?

Mõjutatud versioonid on välja toodud ettevõtte kodulehel. Kui te mõjutatud tooteid kasutate, külastage viidatud veebilehte ja lähtuge tootjapoolsetest juhistest.

Samsungi rakenduste poes parandati turvaviga

Samsungi rakenduste poes Galaxy Store oli turvaviga, mis lubas ründajatel ohvrite seadmetesse rakendusi installeerida (HN). Ründe õnnestumiseks oleks sihtmärk pidanud külastama pahaloomulist veebilehte, millel oli spetsiifiline veebilink. Klikkides lingil, oleksid ründajad seejärel kasutanud XSS-rünnet. XSS-rünne on veebis väga levinud rünne, mille puhul õnnestub pahalastel käivitada pahaloomulist koodi. 

Kes ja mida peaks tegema?

Turvanõrkus mõjutab versiooni 4.5.32.4. Ettevõte on haavatavuse parandanud. Selleks, et kontrollida, millist versiooni te rakendusest kasutate, tuleb teil minna nutitelefoni operatsioonisüsteemi seadetesse ja valida sealt õige alammenüü (tavaliselt Seaded – > Rakendused -> Galaxy Store).

Cisco paikas kuus kõrge tasemega haavatavust

Turvavead mõjutavad erinevaid Cisco tooteid nagu Identity Services Engine, BroadWorks CommPilot, Email Security Appliance, Secure Email and Web Manager ning Secure Web Appliance (Cisco).

Kes ja mida tegema peaks?

Kõikidele haavatavustele (väljaarvatud nõrkusele CVE-2022-20956) on olemas turvaparandus. Kui kasutate mainitud tooteid, tutvuge tootjapoolse informatsiooniga ja rakendage vajadusel turvapaigad. Tabelis on viidatud veebilehekülgedele, millelt leiate lisainformatsiooni, kuidas paigad rakendada.

RIA analüüsi- ja ennetusosakond

1. novembril avalikustasid OpenSSLi arendajad enda teegist versiooni 3.0.7, millega parandati kaks kõrge tasemega turvanõrkust (CVE-2022-3602 ja CVE-2022-3786). Algselt hinnati esimest nõrkust kriitiliseks, kuid OpenSSLi loojad alandasid kriitilisuse taset pärast arutelusid eri osapooltega[1].

OpenSSL on avaliku lähtekoodiga tarkvara, mida kasutatakse laialdaselt muuhulgas võrguliikluse krüpteerimiseks (sealhulgas VPNi lahenduste või HTTPSi protokolli puhul). OpenSSLi arendajad on varem hinnanud vaid üht nõrkust kriitilise tasemega (HeartBleed-nimeline haavatavus 2014. aastal). Tol korral oli ründajatel võimalik nõrkuse abiga varastada sessiooniküpsiseid, paroole ja muud tundlikku informatsiooni.

Mõju Eestis

Kogu maailmas ja ka Eestis on OpenSSLi kasutamine laialt levinud, kuid on keeruline hinnata, kui ulatuslikult kasutatakse Eestis teegi haavatavaid versioone (3.0.0–3.0.6).

Riigi Infosüsteemi Ameti CERT-EE osakonnale ei ole seni teada ühtegi juhtumit, kus haavatavust oleks suudetud ära kasutada. Arendaja kirjutas eilses blogipostituses, et neile ei ole samuti teada ainsatki sellist juhtumit1. Samas on nõrkused väga uued ja informatsiooni aina laekub. Internetist leiab juba esimesi CVE-2022-3602 nõrkuse kontseptsiooni tõendusi (POC).

Ärakasutamiseks on siiski vaja täita teatud eeltingimused (käsitleme neid allpool) ja nõrkuseid ei ole üleüldiselt lihtne kuritarvitada. Lisaks rõhutatakse, et maailmas kasutatakse hetkel rohkem OpenSSLi 1.x versioone kui 3.x.x versioone (Graafik 1).

Millised rakendused on haavatavad?

Haavatavad on kõik rakendused, mis kasutavad OpenSSLi versiooni 3.0.0–3.0.6. Haavatavad ei ole lahendused, mis kasutavad OpenSSLi 1.x.x versioone.

Nimekiri mõjutatud toodetest

Hollandi riiklik küberturvalisuse keskus (NCSC-NL) haldab koostöös partneritega GitHubi repositooriumi, kus on välja toodud nimekiri nõrkuse poolt mõjutatud tarkvaradest. Soovitame IT-ekspertidel ja CISOdel seda veebilehte jälgida.

Selle GitHubi põhjal ei saa teha siiski vettpidavaid järeldusi, et teised süsteemid ja tarkvarad ei ole haavatavad, sest organisatsioonid võivad kasutada lahendusi, mida ei ole nimekirjas välja toodud. Kõik oleneb sellest, kas kasutatakse teegi 3.x versioone või mitte.

Turvanõrkuste olemus

Haavatavused on seotud X.509 sertifikaatide verfitseerimisfunktsiooniga ning nõrkuste abil saab teostada puhvri üle täitumist (buffer overflow). Ründajad saavad nii põhjustada teenusekatkestusi. CVE-2022-3602 puhul on kirjutatud ka võimalusest käivitada pahaloomulist koodi, kuid see järeldus on hetkel teoreetilisel tasemel.

Eduka ärakasutamise jaoks on ründajal vaja, et vähemalt üks järgnevatest tingimustest on täidetud:

• Pahaloomulise sertifikaadi olemasolu, mille on allkirjastanud usaldusväärne sertifitseerimiskeskus (Certificate Authority).
• Süsteem, mis kontrollib pahaloomulist sertifikaati, ei valideeri ülemsertifikaate (parent certificates)

Pikem tehniline analüüs CVE-2022-3602 nõrkuse kohta on siin: https://securitylabs.datadoghq.com/articles/openssl-november-1-vulnerabilities/#vulnerability-description

Soovitused infoturbejuhtidele

1. Tuvasta, kas teie ettevõtte süsteemid on haavatavad siin kajastatud turvanõrkuste vastu. Kasulik on koostada nimekiri haavatavatest tarkvaradest ja plaan, millal ja kuidas mõjutatud komponendid paigata. Samuti tuleks veenduda, et ettevõtte partnerid, kellel on ligipääs teie süsteemidele, ei ole haavatavad nende turvanõrkuste vastu. Halbade asjaolude kokkulangemisel võib partneri süsteem mõjutada ka teie süsteemi.

2. Uuenda haavatavaid OpenSSLi versioone kasutavad rakendused esimesel võimalusel nii, et need kasutaksid vähemalt teegi versiooni 3.0.7. Kui uuendamine ei ole võimalik, soovitab arendaja ühe lahendusena TLS-serverite haldajatele keelata võimalusel TLS-kliendi autentimine seniks, kuni uuendused on rakendatud1.

3. Vaata üle, kas mõjutatud on teenused, mis on interneti kaudu ligipääsetavad. Kui jah, tuleks infoturbejuhtidel või süsteemihalduritel vajadusel hinnata, kas on võimalik ajutise meetmena (kuni paigatud versiooni või alternatiivsete lahenduste rakendamiseni) ligipääsu neile teenustele piirata (need internetist eemaldada, kui kübeintsidendi toimumise risk on suur).

4. Kui te ei ole seda veel teinud, soovitame liituda CERT-EE igahommikuse uudiskirjaga, mis toob teieni kõik olulisemad turvanõrkustega seotud uudised. Juhendi, kuidas uudiskirjaga liituda, leiate siit: https://www.ria.ee/et/kuberturvalisus/cert-ee.html. Samuti kajastame iganädalaselt olulisemaid turvanõrkustega seotud uudiseid RIA blogis.

[1] https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

Eelmisel nädalal teatas OpenSSLi teegi arendaja, et 1. novembril ajavahemikus 15.00–19.00 (EET) avalikustatakse teegist uus versioon 3.0.7, mis paikab kriitilise turvanõrkuse (OpenSSL, ZDNET).

Arendaja hinnangul on nõrkus kriitiline, kui see mõjutab laialt levinud konfiguratsioone ja on tõenäoliselt ka ärakasutatav[1]. Lisaks hindab arendaja nõrkuseid kriitilise tasemega siis, kui nende abil on võimalik kerge vaevaga kompromiteerida serverite privaatvõtmeid või teostada koodi kaugkäitust.

Kes ja mida peaks tegema?

Kirjutamise hetkel ei ole teada, milles turvanõrkus seisneb, kuid see mõjutab OpenSSLi versioone 3.0.0 kuni 3.0.6.

Kuna turvanõrkus võib mõjutada paljusid erinevaid IT-süsteeme, tuleb süsteemide halduritel kindlasti kontrollida, kas haavatavaid OpenSSLi teeke kasutatakse. Kui jah, tuleb 1. novembril vastav uuendus kindlasti rakendada, sest tagajärjed võivad olla üsna tõsised.

Soovitame jälgida ka seda Githubi repositooriumi.

Kontekst: OpenSSL on teek, mida kasutavad näiteks veebiserverid sageli krüpteeritud HTTPS-ühenduste loomiseks. Meiliserverid ja VPN-protokollid (nt OpenVPN) kasutavad krüpteeritud sidekanalite loomiseks samuti OpenSSL-i. Teeki võib leida ka paljudest teistest toodetest.

Viimase kümne aasta jooksul on teegis olnud kaks tõsisemat turvaviga. Esimene avastati 2016. aastal ja see võimaldas süsteeme üle võtta ning nende tööd häirida.

Teine turvanõrkus pärineb 2014. aastast (CVE-2014-0160) ja seda teatakse IT-maailmas nimetusega HeartBleed. Viga mõjutas miljoneid veebilehti ja selle abil oli võimalik ründajatel varastada tundlikke andmeid (krediitkaardinumbreid, nimesid jne).

Apple paikas nullpäeva turvanõrkuse

USA tehnoloogiahiid Apple teavitas 24. oktoobril üldsust mitmetest turvanõrkustest, mis paigati uutes iOSi ja iPad OSi operatsioonisüsteemide versioonides. Üht olulisemat parandatud turvanõrkust nimetatakse tähisega CVE-2022-42827 ja see mõjutab nii iPhone kui ka iPade. Apple sõnul on üritatud seda turvanõrkust aktiivselt ka ära kasutada, kuid täpsemaid detaile ei ole ettevõte jaganud (BP, Apple, RIA, BP).

CVE-2022-42827 turvanõrkuse abil saab häirida rakenduste tööd või käivitada pahatahtlikku koodi, et saada kasutaja seadmes kõrgemad õigused tegutsemiseks: nii saab ründaja teoreetiliselt varastada seadmesse kogutud andmeid, teha kuvatõmmiseid süsteemist jne.

Kes ja mida peaks tegema?

Konkreetne turvanõrkus, lisaks paljudele teistele haavatavustele, on parandatud uuemate seadmete jaoks iOSi versioonis 16.1 ja iPadOSi versioonis 16.

iOS 16.1 või iPadOS 16 saab paigaldada järgmistele mudelitele:
iPhone 8 ja uuemad
iPad Pro (kõik mudelid)
iPad Air 3 ja uuemad
iPad viies põlvkond ja uuemad
iPad mini 5 ja uuemad

Vanemate seadmete puhul on turvaviga parandatud iOSi versioonis 15.7.1 ja iPadOSi versioonis 15.7.1.

iOS 15.7.1 või iPadOS 15.7.1 saab paigaldada järgmistele mudelitele:
iPhone 6s või uuemad
iPad Pro (kõik mudelid)
iPad Air 2 või uuemad
iPad viies põlvkond ja uuemad
iPad mini 4 või uuemad
iPod touch (seitsmes põlvkond)

Kui sinu Apple’i telefon või tahvelarvuti on andnud märku uuendamisest, palun tee seda esimesel võimalusel!

Google parandas uue nullpäeva turvanõrkuse Chrome’i veebilehitsejas

Google avalikustas Maci, Linuxi ja Windowsi operatsioonisüsteemidele Chrome’i uue versiooni 107.0.5304.87, milles parandati üks kõrge tasemega haavatavus (CVE-2022-3723). Nõrkus peitub Chrome’i V8 JavaScripti komponendis ja ründaja saab seda teoreetiliselt kasutada näiteks andmete lugemiseks teistest rakendustest. Google on teadlik, et nõrkusele on olemas eksploit (nõrkust ärakasutav programm) (DR, CR). 

Kes ja mida peaks tegema?

Kui te kasutate Chrome’i veebilehitsejat, uuendage see esimesel võimalus. Juhised uuenduste installeerimiseks leiate siit.

Cisco hoiatab kahest turvanõrkusest, mida taas kuritarvitatakse

Cisco hoiatas oma kliente turvavigadest Cisco AnyConnect Secure Mobility Client for Windows tarkvaras. Turvanõrkused avastati juba 2020. aastal (CVE-2020-3433 ja CVE-2020-3153), kuid neid on viimasel ajal hakatud taas aktiivselt kuritarvitama. Mõlema turvanõrkuse kuritarvitamiseks peab ründajal olema süsteemile autentitud ligipääs (BP).

CVE-2020-3433 (7.8/10.0) nõrkuse põhjuseks on ressursside ebapiisav valideerimine, mida rakendus töötamise ajal laadib. Ründaja võib seda nõrkust ära kasutada, saates AnyConnecti protsessile spetsiifilise IPC (interprocess communication) sõnumi. Edukas ärakasutamine võib lubada ründajal käivitada mõjutatud masinas suvalist koodi süsteemiõigustes.

CVE-2020-3153 (6.5/10.0) haavatavus võimaldab ründajal kopeerida faile süsteemikataloogidesse. Haavatavuse põhjuseks on kataloogiteede (directory path) ebakorrektne käsitlemine.

Kes ja mida peaks tegema?

2020. aastal väljastati turvanõrkustele parandused ning kui te ei ole mõjutatud tarkvara siiani paiganud, soovitame kindlasti esimesel võimalusel tarkvara uuendada. Informatsiooni haavatavate versioonide kohta leiate ametlikelt tootja veebilehtedelt, millele on viidatud ülal.

[1] https://www.openssl.org/policies/general/security-policy.html

RIA analüüsi- ja ennetusosakond

Selle suve lõpp saab olema äkiline – juhtub see, mida oleme juba pea kaks aastat vastutuult ennustanud: et ühel heal päeval keerabki Google sirviku Chrome kruvid koomale ega lase ID-kaardiga e-teenusesse isikuid, kelle kaardile on sattunud iluvigased sertifikaadid.

Millenniumlaste põlvkonnale, kes üle ühe nühvliekraanitäie korraga läbi lugeda ei täi, ütleme seetõttu kohe ära – eID pruukimiseks netis leidub ometi ju ka muid sirvikuid peale Chrome’i!

Kas see teema mind üldse puudutab?

Esimene ja kõige tähtsam küsimus – kas uudis puudutab kuidagi just mind? Küsimus on oluline, sest sertifikaadiuuenduse eelmine teavituslaine tõi meie telefonide otsa 70-aastased prouad, kes kartsid, et nende ID-kaart olla ehk tagaselja kehtetuks tunnistatud. Ei midagi säärast! Füüsiline ID-kaart ja elamisloakaart kehtivad isikut tõendava dokumendina kenasti edasi, mõningased seiklused puudutavad üksnes kaardi kasutamist Internetis.

Lakmusküsimus: kas Sina tarvitad oma ID-kaarti Internetis mõnesse e-teenusesse sisenemiseks? Viisil, et internetisirvik (brauser) küsib Sinu käest PIN1 või PIN2 koode? Kui JAH, vaid siis loe edasi, igal muul juhul mine ja naudi kena hilissuve, kuniks säärane veel kestab!

Aga … ma ju kasutan ID-kaarti elektrooniliselt! Pistan seda lugerisse Prismas, Apollos ja Olerexis? Tõepoolest, elektrooniliselt küll, aga PIN-koode seal üldjuhul ei nõuta ja sirvikust Chrome pole kassaterminalis lõhnagi, ehk siis – endiselt mine ja naudi vananaistesuve!

Tallinna Deed vs Chrome 61

Kord kodulinn Tallinnat pidi ringi jalutades leidsin liiklusmärgi aluse koos kivisse valatud kirjaveaga:

Pilt: http://tallinncity.postimees.ee/1262796/dalentide-linn-dallinna-deed

Raske tagantjärele oletada, kuidas säärane valuaps läbi lipsas, kuid üks on selge – liiklusmärki hoiab vigase kirjaga post püsti täpselt sama turvaliselt kui mistahes muu kirjaga post.

Oleme varem pikalt kirjeldanud (siin ja siin), kuidas nn negatiivse mooduli viga üldse tekkis, kuid üldiselt on tegemist samalaadi veaga, kui “Tallinna Deed”.

Igatahes on nüüd asjalood sedakaugel, et 5. septembrist 2017 laaditakse sirviku Chrome kasutajatele arvutisse uusversioon numbriga 61. Millega seoses, kui kasutaja isikusertifikaadid on iluvigadega nr 532048 ja/või 534766, siis paneb Chrome oma karvase käe vahele ning väljastab tehniliselt täpse, kuid sisult täiesti mõttetu veateate: „ERR_SSL_CLIENT_AUTH_CERT_NO_PRIVATE_KEY“. Enamike kasutajate jaoks on see hiina keel, sama edukalt võiks öelda: Böö!

Ah jah – keegi pole vigase sertifikaadiga karistanud just Sind isiklikult. Enne oktoobrit 2015 toodetud kaardid vastasid kenasti tollasele arusaamale kvaliteedist. Tõlgendus, nagu ka Google’i firma hinnangud, on muutunud normaalse arengu käigus. Alates oktoobrist 2015 väljastatud kaardid on igati korras ka tänase tõlgenduse kohaselt. Seejuures ei saa me välistada, et mõne aasta pärast leitakse puudujääke või arenguvõimalusi tänastelgi kaartidel…

Mis saab edasi?

Kuidas täpselt ja mis ulatuses uuendamata sertifikaatide teema Sind puudutab? Kuna Chrome’i turuosa sirvikute seas on suurusjärgus 70% ja ülalnimetatud kahest bugist jätkuvalt puudutatud kaartide kogus on umbes 270 000, siis päris paljudel inimestel tasuks siinkohal süveneda. Sest nüüd võib Sul tekkida väga konkreetne mure.

KUI Sinu isikusertifikaatides esineb mainitud viga NING Sa üritad pärast 5. septembrit 2017 Chrome’i uue sirvikuga (v61) mõnda e-teenusesse siseneda (mis nõuab PIN1), SIIS ajab uus Chrome sõrad vastu. Sa ei saa siis enam oma ID-kaardiga siseneda ei netipanka, eKooli, eesti.ee portaali ja kes kõik teab, kuhu veel. Küll aga on tehtud poliitiline otsus, et e-hääletamine sügisestel KOV valimistel on igal juhul võimalik (ja liiatigi veel turvaline ka).

Hetkel käibel olevad ID-kaardid (elamisloakaardid, digi-ID ja e-residendi kaardid) jagunevad kolme suurde kategooriasse, mis on pildil tähistatud värvidega: punane, sinine ja roheline.

Tuleb vaadata oma kaardi väljastamise kuupäeva (trükitud kaardi tagaküljele) ning selle alusel liigitada oma kaart ühte järgnevast kolmest grupist.

I – PUNANE – kaart on väljastatud enne oktoobrit 2014. Oluline on teada, milline iganes on Sinu olukord, kaardi endaga tegelemiseks on praegu juba hilja (mäletad ju, neid sai uuendada vaid 1. juulini 2017). Sinu valik – kas lähed võtad oma raha eest PPAst uue kaardi, sinna lisaks (kui veel pole) ka m-ID VÕI hakkad 5. septembrist Chrome’i asemel mingit muud sirvikut kasutama oma lemmikutesse e-teenustesse sisenemiseks. Muide, e-residentidele nii ammu veel kaarte ei väljastatud.

II – SININE – Sinu kaart on väljastatud vahemikus oktoober 2014 kuni oktoober 2015.  Erinevus PUNASE grupi sertifikaatidest – Sa saad endiselt sertifikaate uuendada. Selleks ava ID-kaardi haldusvahend ja vajuta nupule “Uuenda” (sertifikaate). Kui midagi ei juhtunud, siis kas polnudki vaja uuendada (kõik oli niigi korras või Sa läbisid uuenduse juba varem) või siis oli tegu mõne muu kaarditüübiga. Seega usalda ID-kaardi haldusvahendit – kui uuendamist oli vaja, siis see sooritatakse. Kuidas üle neti uuendamine täpselt käib, sellest loe siit (ja vaata juurde YouTube’ist õppevideot).

III – ROHELINE – Kui aga Sinu kaardil ilutseb väljastuskuupäevana oktoober 2015 või hilisem, siis on sertifikaatidega korras ning Sa ei pea mitte midagi tegema. Kui Sul sellegipoolest miski ei tööta, siis probleem võib mõnikord asuda ka ekraani ja tooli vahel, või väga harvadel juhtudel siiski ka konkreetses e-teenuses.

Allikas: http://knowyourmeme.com/memes/pebkac

Neile, kes armastavad pedantseid juhiseid, olgu siinkohal ära toodud ka otsuse tegemise voodiagramm:

Numeroloogia

Aktiivseid kaarte on eID ökosüsteemis hetkel arvel 1 294 653. Juuli lõpu seisuga leidus kaarte, mida oli viimase 12 kuu jooksul vähemalt ühel korral elektrooniliselt kasutatud, kokku 695 799.

Numbrid on esitatud seisuga 2017-07-01.

“A”-tüüpi kaarte ehk siis enne 2014-10-14 väljastatuid, jäeti kasutajate poolt lõpptähtajaks 2017-07-01 uuendamata 409 947. Selles koguses omakorda esineb Google Chrome’i v61 mõttes kriitilisi sertifikaadivigu 116 499 kaardil, millest vaid osa on kunagigi olnud elektroonilises kasutuses. Seega: reaalselt Chrome’iga kaklema hakkavate isikute arv on veel oluliselt väiksem. Oma “A”-tüüpi kaarte uuendati kokku 240 823 juhul, mistõttu saab öelda, et enamik tegelikest kasutajatest tegid ikkagi uuenduse ära. Muide: “A”-tüüpi kaardid aeguvad tempos ~20 000 kaarti igas kuus.

Edasi, “B”-tüüpi kaarte ehk siis neid, mida hakati väljastama pärast 2014-10-14, oli seisuga 2017-07-01 uuendamata jäetud 278 685, neist Google Chrome’i mõistes “iluvigadega” on 155 226, sh kaardid, mida pole eales e-kasutatud ega pigem hakatagi. “B”-tüüpi kaarte kauguuendati 54 015 juhul ning neid saab jätkuvalt uuendada.

Pisut teise nurga alt vaadates – kahe kaarditüübi peale kokku leidus (2017-07-01 seisuga) käibes 271 725 kaarti, mille üks või isegi mõlemad sertifikaadid Google Chrome’i v61-le ei meeldi (ning ilmneks see ikka vaid juhul, kui kaardiomanik tahab või tahaks selle sirviku kaudu mõnd internetiteenust pruukida).

• Neist 116 499 juhtu jäävadki nurka konutama ja ravi puudub (kaarditüüp “A”, joonisel punased) sest kui isik enne 2017-07-01 oma sertifikaate ära ei uuendanud, siis pärast seda kuupäeva ta enam ei saagi, isegi mitte PPA teeninduspunktides. Eks need kaardid olegi varsti aegumas, nii et aitab PPAst uue kaardi tellimine ning mobiil-ID kasutuselevõtt.
• Seevastu 155 226 kaardi puhul (kaarditüüp “B”, joonisel sinised) saab sertifikaate kenasti kauguuendada, pärast mida suudavad nad kenasti teha koostööd ka uue Chrome’iga. Lihtsalt uuendustoiming tuleb läbi teha.

Kokkuvõttes – nimetatud on MAKSIMAALSED arvud, mis ei arvesta tegelikku internetikasutust. Mingi osa inimesi pole oma ID-kaarti eales Internetis kasutanud, paraku puuduvad e-kasutuse kohta ka täpsemad andmed. Mõjutatud inimeste arv on seega oluliselt väiksem kui ülalnimetatud numbrid.

Kronoloogia

See peatükk on tehnikutele. Tavakasutajale võib nii detailirikas käsitlus jääda keeruliseks [Oluliselt täpsustatud 2017-09-01].

Praeguse Chrome’i juhtumiga on otseselt või kaudselt seotud järgmised tehnilised sündmused:

Teisisõnu – mida lugeda täiesti korras sertifikaadiks? Tänase tõlgenduse puhul on selleks pigem oktoobrist 2015 väljastatud sertifikaadid. Siiski ei saa päris välistada, et tulevikus tunnistatakse uuendamist vajavateks ka SHA-1 põhise vahesertifikaadiga (EstEID2011) tembeldatud isikusertifikaadid, millist teemat oleme varem käsitlenud siin. Mainitud asjaolu valguses saame öelda, et märtsist 2016 väljastatud sertifikaatidel pole teada ühtki, ka kõige pisemat teoreetilist probleemi.

Kaardipõlvkondade vahetus ei leidnud aset korraga, vaid järk-järgult. ID-kaardid läksid uuele platvormile üle esimesena – 16. oktoobril 2014. Digi-ID ja e-residendikaardid alustasid uue põlvkonnaga 01. detsembril. Ning lõpuks, 19. detsembril 2014 viidi kaardiplatvormile “B” üle ka elamisloakaardid.

Urinad ja jorinad

Q1 Miks minu kaarti garantiikorras välja ei vahetata?

A1 Sest tegemist pole tootmispraagiga, vaid välise olukorra muutusega. Sertifikaadid, mis varem olid täiesti asjalikud, omandasid globaalse turvaolukorra arengute ja suurfirmade valitud poliitika tõttu mõnevõrra teistsuguse turvahinnangu. OpenSSL vabavarapaketiga seonduvaid riske polnud võimalik ei ette näha ega salakavalate lepingutega katta.

Q2 Miks mulle varem teada ei antud?

A1 Tegelikkus on vastupidine – anti teada küll! Juba kaks aastat on nii siinses blogis – 1 –  2 – 3 – kui RIA kodulehe uudistes, lisaks avalikus meedias pidevalt räägitud vajadusest sertifikaate uuendada. Tegime kõik, mis meie võimuses, et inimesi uuendama suunata. Isegi YouTube’i õppevideod tellisime kolmes keeles.

Q3 No mul see ID-kaardi värk ikka ei tööta. On ikka niru tarkvara!

A3 Eesti ID-kaart ja kogu selle ökosüsteem on üks eesrindlikumaid terves maailmas! Võttes arvesse eelarve suurust ja kogu eID ökosüsteemi keerukust, on tegemist päris korraliku tootega. PEBKAC!

Kui Sinu probleem püsib, siis tuleb pöörduda IT-spetsialisti poole. Abi võib saada ka ID-kaardi tarkvara väga põhjalikest installijuhenditest siinsamas blogis – eraldi Macile, Linuxile ning loomulikult Windowsile.

Paraku pole Eesti-spetsiifilisel tarkvaral miljardeid kasutajaid nagu Gmail’il või Facebook’il, mistõttu mõni viga ehk ongi alles avastamata. Seega – palun rõõmusta meid ja ülejäänud kasutajaid ning anna oma muredest teada… näiteks abiliinil 1777.

Q4 Ma pole oma ID-kaardi tarkvara juba palju aastaid (3..4) kasutanud ja nüüd küll enam ei õnnestu tarkvara uuendada.

A4 Nii pikk paus on teadaolevalt probleemiks tõesti (Win, Linux) ja võib muuta ümberinstalli tavatult keeruliseks. Vajadusel pöördu IT-spetsialisti poole.