Tag Archives: turvaviga

Olulisemad turvanõrkused 2024. aasta 11. nädalal

Illustratsioon: palju pisikesi tehnilisi detaile, keskel suuremalt avatud ekraaniga sülearvuti ning monitor

100 000 WordPressi veebilehte on turvanõrkuse tõttu ohus

Kõrge mõjuga turvanõrkus CVE-2024-2123 mõjutab pistikprogrammi “Ultimate member” ning eduka ründe korral on võimalik haavatud veebilehele pahaloomulisi skripte sisestada. Turvaauku on võimalik ära kasutada ründajal, kellel ei ole lehel õigusi. Ründe läbiviimisel saab ta endale administraatoriõigused lisada.

“Ultimate member” võimaldab WordPressi administraatoril hallata kasutajate registreeringuid, sisselogimisi, profiile ja rolle.

Pistikprogrammi kasutab umbes 200 000 WordPressi veebilehte ja eeldatavasti on pooled neist paikamata versiooniga. Viga on parandatud tarkvara versioonis 2.8.4. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada (SW).

Microsoft paikas oma toodetes 60 haavatavust

Microsoft parandas kokku 60 haavatavust, mille hulgas oli 18 koodi kaugkäivitamist võimaldavat turvaviga. Parandatud turvavigadest on vaid kaks haavatavust hinnatud kriitilise mõjuga veaks – need mõlemad mõjutavad Microsoft Hyper-V virtualiseerimislahendust.  Turvavead tähistega CVE-2024-21407 ja CVE-2024-21408 võivad eduka ründe korral kaasa tuua koodi käivitamise ja teenuste tõkestamise. Lisaks paigati ka neli turvaviga Microsoft Edge veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud linkidelt. Ükski parandatud turvavigadest ei olnud nullpäeva turvanõrkus (BCSA).

TeamCity turvanõrkuseid kasutatakse ära lunavararünnete läbiviimisel

Märtsi alguses tulid avalikuks turvavead TeamCity tarkvaras, mille kaudu on võimalik autentimisest mööda minna ja saada ohvri serveris administraatoriõigused. Kirjutasime neist haavatavustest ka siin blogis.

Turvavea avastasid Rapid7 teadurid, kes avalikustasid haavatavuste täpsema tehnilise info vaid paar tundi pärast seda, kui tarkvaratootja JetBrains oli jõudnud vead paigata. See aga tõi kaasa ründelaine – kohe pärast vea avalikustamist võtsid ründajad need sihikule ja hakkasid otsima turvapaikamata tarkvarasid.

LeakIX-nimeline projekt, mis otsib veebist haavatavaid ja valesti konfigureeritud süsteeme, nägi massilist turvavigade ärakasutamist. Nende hinnangul lõid petturid kontosid vähemalt 1400 korral. Lisaks kasutas TeamCity haavatavust tähisega CVE-2024-27198 ligipääsu saamiseks ka lunavararühmitus nimega BianLian, kes on varem rünnanud kriitilise infrastruktuuri taristut.

JetBrains on ka ise öelnud, et mitmed nende kliendid on teavitanud kompromiteeritud serveritest ja krüpteeritud failidest (SW, GS, TR).

QNAP paikas NAS-seadmete kriitilise mõjuga turvanõrkuse

QNAP paikas kriitilise turvavea tähisega CVE-2024-21899, mille kaudu on ründajal võimalik saada ligipääs NAS-seadmele. Ettevõtte sõnul mõjutab haavatavus QTS, QuTS hero ja QuTScloud tooteid. Lisaks paigati ka turvavead tähistega CVE-2024-21900 ja CVE-2024-21901, mis võivad kaasa tuua pahaloomulise koodi käivitamise. QNAP ei maini oma teavituses, et turvanõrkusi oleks õnnestunud rünnete läbiviimisel ära kasutada, kuid QNAP-toodete turvavead on varem olnud rünnete all ja seetõttu on kõigil kasutajatel soovitatav tarkvara uuendada (SW).

Fortinet paikas taas oma toodetes kriitilisi haavatavusi

Fortinet avaldas turvauuenduse, millega paigatakse FortiOSi, FortiProxy ja FortiClientEMSi tarkvarades olevad kriitilised koodi käitamise haavatavused. Turvaviga tähisega CVE-2023-42789 on hinnatud kriitilise CVSS skooriga 9.3/10 ja selle kaudu on võimalik saata kompromiteeritud seadmele pahaloomulisi HTTP-päringuid. Viga mõjutab Fortineti FortiOSi versioone 7.4.0 kuni 7.4.1, 7.2.0 kuni 7.2.5, 7.0.0 kuni 7.0.12, 6.4.0 kuni 6.4.14, 6.2.0 kuni 6.2.15 ning FortiProxy versioone 7.4.0, 7.2.0 kuni 7.2.6, 7.0.0 kuni 7.0.12, 2.0.0 kuni 2.0.13.

Lisaks paigati ka teine kriitiline turvaviga CVE-2023-48788, mis võimaldab ründajal käivitada SQLi käske. Viga mõjutab FortiClientEMS versioone 7.2 ja 7.0. Kõigil Fortineti toodete kasutajatel tuleks tarkvara uuendada. Fortineti haavatavusi on ära kasutatud nii lunavararünnakute kui ka küberspionaaži läbiviimisel. Näiteks avaldas Fortinet veebruaris, et Hiina päritolu rühmitus on kasutanud just FortiOSi turvavigasid ning saanud nende abil ligipääsu Hollandi kaitseministeeriumi võrgule (SA, BC).

Cisco paikas ruuterite turvavead

Cisco paikas mitmeid haavatavusi ruuterite tarkvaras. Nende hulgas oli kolm kõrge mõjuga turvaviga, mis mõjutavad Cisco IOS XR tarkvara ja võivad kaasa tuua nii õigustega manipuleerimise kui ka teenuste tõkestamise.

Kõrge mõjuga turvavead on tähistega CVE-2024-20318, CVE-2024-20320 ja CVE-2024-20327. Vead mõjutavad erinevaid Cisco ruuterite seeriaid – näiteks Cisco 8000 ja 5700 seeria, NCS 540 ja ASR 9000. Turvavead on parandatud IOS XR tarkvara uues versioonis (SA, Cisco).

Log4j Java turvanõrkuse kokkuvõte

9. detsembril 2021 avalikustati Log4j Java logimisfunktsioonis kriitiline nullpäeva turvanõrkus CVE-2021-44228. Turvanõrkuse tõsidus hinnati rahvusvahelise standardi järgi võimalikust kõrgeimaks (10 punkti 10st), sest see võimaldab ründajal haavatavas seadmes jooksutada vabalt valitud koodi. Nõrkus mõjutab lugematut hulka ettevõtteid ja asutusi, sealhulgas avaliku sektori asutusi ja teenuseid.

17. detsembril tuli välja, et seni Java 8 või uuemale Java versioonile mõeldud Log4j versioon 2.15 ei ole enam turvaline ning soovitus oli uuendada Java 8 või uuema kasutamisel Log4j versiooninile 2.16. Kolm päeva hiljem selgus täiendavalt, et uuendada tuleks hoopis versioon 2.17 peale https://amp.thehackernews.com/thn/2021/12/new-local-attack-vector-expands-attack.html.

Turvanõrkuse olemus

CVE-2021-44228 turvanõrkust on ründajal võimalik ära kasutada nii, et ta saadab haavatavale serverile, seadmele või süsteemile kindla formaadiga käsu ja lisab viite pahavarale, mis võib asuda kuskil kolmandas serveris. Haavatav server loob käskluse, Log4j otsib viidatud pahavara üles, laeb alla ja käitab selle. Pahavara iseloomust sõltuvalt võib see anda kolmandale osapoolele ligipääsu seadmele.

Intsidendi mõju

Kui mõjutatud seadmete ja süsteemide uuendused jäävad venima või kui uuendusi nende valmides kiiresti ei paigaldata, võib potentsiaalne kahju olla globaalselt seninägematu.

Turvanõrkuse massilist ärakasutamist Eestis seni näha ei ole. 20.12 seisuga on RIA küberintsidentide käsitlemise osakonnale (CERT-EE) teada mõnest juhtumist, kus nõrkuse kaudu on süsteem kompromiteeritud või testitud turvanõrkuse olemasolu. See info täieneb pidevalt.

Kompromiteerimise tagajärjel toimunud tõsiste tagajärgedega rünnakutest, andmeleketest või lunavarajuhtumitest, mis oleks mõjutanud kriitiliste teenuste osutamist, seni teateid ei ole.

Täielikku ülevaadet mõjutatud seadmetest või süsteemidest on keeruline kokku panna, sest Java programmeerimiskeel on laialt levinud. Näiteks kui asutuses on kasutusel Java platvormil programmeeritud teenused, on neil võimalik uuendada Log4j logimisfunktsioon ise. Kuid samas võib asutuses olla kasutuses hulk nn karbitooteid (võrguseadmed, antiviiruse keskhaldus, veebiteenuste taristuteenused vms), milles on samuti kasutusel Log4j ja mille kaudu võib tekkida ründajal ligipääs asutuste võrkudele. Need tooted peaks saama uuenduse tootjate kaudu.

Kõik seadmed ja rakendused, mis kasutavad log4j logimisfunktsiooni teatud versioone (2.0-beta9 kuni 2.16.0, väljaarvatud 2.12.2), on potentsiaalselt haavatavad ning need tuleb uuendada versioonile 2.17.0. Kõikide versioonide jaoks ei ole veel turvapaiku välja töötatud. Lisaks ei ole kõik kasutajad veel jõudnud rakendada turvapaiku versioonidele, millele on see avaldatud.

Mõju lõppkasutajatele

Log4j turvanõrkusel on hetkel mõju pigem ettevõtetele ja asutustele, kelle süsteemidesse on võimalik potentsiaalselt sisse murda. Kui turvanõrkust hakkavad ära kasutama aga kurjategijad, kel õnnestub paigaldada pahavara laialt kasutatavatesse teenustesse, võib sellel olla mõju ka tavakasutajatele. Praegu ei ole võimalik öelda, milline on nõrkuse mõju lõppkasutaja seadmetele, st arvutitele ja nutiseadmetele. On väga tõenäoline, et on vaja ka uuendused välja töötada Java platvormi kasutavatele asjade interneti seadmetele ja masinatele.

Meetmed

Ettevõtted ja asutused peaksid üle vaatama oma IT-taristu ja tegema endale selgeks, millistes kasutatavates toodetes ja teenustes võib vastav haavatavus peituda. Kui tootja tuleb välja uuendusega, tuleks paigata need nii kiiresti kui võimalik. Samal ajal peaks ettevõtted ja asutused aktiivselt otsima võimalikke sissetungikatseid. Toodete puhul, kus uuendused puuduvad, on rahvusvaheline küberturvalisuse kogukond välja pakkunud hulga meetmeid, mis aitaks vähendada rünnakute edukust.

Versioon ja skoor: 2.0-beta9 kuni 2.14.1 – kriitiline
CVE: CVE-2021-44228
Nõrkus: Kaugkoodikäivitus
CVSS: 10

Versioon ja skoor: 2.0-beta9 kuni 2.15 (v.a 2.12.2) – kriitiline
CVE: CVE-2021-45046
Nõrkus: Kaugkoodikäivitus ja infoleke
CVSS: 9

Versioon ja skoor: 2.0-beta9 kuni 2.16 – kõrge
CVE: CVE-2021-45105
Nõrkus: Teenusetõkestus
CVSS: 7.5

Versioon ja skoor: 1.2 – kõrge
CVE: CVE-2021-4104
Nõrkus: Untrusted deserialization
CVSS: 8.1

Parim lahendus on uuendada haavatavates süsteemides Log4j versioonile 2.17.
Kui uuendamine ei ole võimalik, siis tuleb hinnata riski ning rakendada vastavalt riskihindamise tulemusele leevendusmeetmeid:

  • Java käivitamisel kasutada parameetrit -Dlog4j2.formatMsgNoLookups=true või seada keskkonnamuutuja LOG4J_FORMAT_MSG_NO_LOOKUPS=”true” (ei lahenda CVE-2021-44228 nõrkust)
  • Eemaldada JndiLookup class classpathist

Täiendavad leevendusmeetmed:

  • (Potentsiaalselt) haavatavate süsteemide eraldamine võrkude segmenteerimise või tulemüüride abil.
  • (Potentsiaalselt) haavatavate süsteemidel internetti pöördumise algatamise keelamine
  • IDS/IPS süsteemides vastava kaitse sisse lülitamine.
  • Süsteemide automaatne või sage manuaalne monitoorimine rünnete või muude kahtlaste tegevuste tuvastamiseks.

Täiendavaid leevendusmeetmeid on soovitav rakendada ka teadaolevalt mitte haavatavate süsteemide puhul võimaliku tulevase ohu vähendamiseks.

Küberrünnaku kahtluse korral tuleks esimesel võimalusel pöörduda CERT-EE poole aadressil cert[@]cert.ee.

RIA tegevused ja kronoloogia

  • 10.12 – RIA edastas esimese teavituse turvanõrkuse kohta koos tegutsemisjuhistega RIA tiimidele ja teistele riigiasutustele, sh turvajuhtide.
  • 10.12–17.12 – RIA kaardistab nii enda teenustes haavatavad komponendid (need kas uuendatud või leidnud võimaluse piirata ründevektorit) ning kogub infot partneritelt.
  • 13.12 – RIA edastas hoiatused ja soovitused avaliku sektori turvajuhtidele ja elutähtsate teenuste osutajatele.
  • 13.12 – RIA on tuvastanud rünnakukatseid riigivõrku kasutavate asutuste suunas ning andnud neist märku vastavatele asutustele koos suunistega, kuidas oma taristut kaitsta.
  • 17.12 ja 20.12 – RIA edastas täiendava teavituse turvanõrkuse kohta elutähtsate ja oluliste teenuste osutajatele (ETOd ja OTOd) ning turvajuhtidele.

RIA jätkab asutustega suhtlemist, olukorra kaardistamist ja annab jooksvalt soovitusi nii asutustele kui ka teenuse pakkujatele.

Kroomitud teras

Autor: Anto Veldre, RIA analüütik

Selle suve lõpp saab olema äkiline – juhtub see, mida oleme juba pea kaks aastat vastutuult ennustanud: et ühel heal päeval keerabki Google sirviku Chrome kruvid koomale ega lase ID-kaardiga e-teenusesse isikuid, kelle kaardile on sattunud iluvigased sertifikaadid.

Millenniumlaste põlvkonnale, kes üle ühe nühvliekraanitäie korraga läbi lugeda ei täi, ütleme seetõttu kohe ära – eID pruukimiseks netis leidub ometi ju ka muid sirvikuid peale Chrome’i!

Kas see teema mind üldse puudutab?

Esimene ja kõige tähtsam küsimus – kas uudis puudutab kuidagi just mind? Küsimus on oluline, sest sertifikaadiuuenduse eelmine teavituslaine tõi meie telefonide otsa 70-aastased prouad, kes kartsid, et nende ID-kaart olla ehk tagaselja kehtetuks tunnistatud. Ei midagi säärast! Füüsiline ID-kaart ja elamisloakaart kehtivad isikut tõendava dokumendina kenasti edasi, mõningased seiklused puudutavad üksnes kaardi kasutamist Internetis.

Lakmusküsimus: kas Sina tarvitad oma ID-kaarti Internetis mõnesse e-teenusesse sisenemiseks? Viisil, et internetisirvik (brauser) küsib Sinu käest PIN1 või PIN2 koode? Kui JAH, vaid siis loe edasi, igal muul juhul mine ja naudi kena hilissuve, kuniks säärane veel kestab!

Aga … ma ju kasutan ID-kaarti elektrooniliselt! Pistan seda lugerisse Prismas, Apollos ja Olerexis? Tõepoolest, elektrooniliselt küll, aga PIN-koode seal üldjuhul ei nõuta ja sirvikust Chrome pole kassaterminalis lõhnagi, ehk siis – endiselt mine ja naudi vananaistesuve!

Tallinna Deed vs Chrome 61

Kord kodulinn Tallinnat pidi ringi jalutades leidsin liiklusmärgi aluse koos kivisse valatud kirjaveaga:

Pilt: http://tallinncity.postimees.ee/1262796/dalentide-linn-dallinna-deed

Raske tagantjärele oletada, kuidas säärane valuaps läbi lipsas, kuid üks on selge – liiklusmärki hoiab vigase kirjaga post püsti täpselt sama turvaliselt kui mistahes muu kirjaga post.

Oleme varem pikalt kirjeldanud (siin ja siin), kuidas nn negatiivse mooduli viga üldse tekkis, kuid üldiselt on tegemist samalaadi veaga, kui “Tallinna Deed”.

Igatahes on nüüd asjalood sedakaugel, et 5. septembrist 2017 laaditakse sirviku Chrome kasutajatele arvutisse uusversioon numbriga 61. Millega seoses, kui kasutaja isikusertifikaadid on iluvigadega nr 532048 ja/või 534766, siis paneb Chrome oma karvase käe vahele ning väljastab tehniliselt täpse, kuid sisult täiesti mõttetu veateate: „ERR_SSL_CLIENT_AUTH_CERT_NO_PRIVATE_KEY“. Enamike kasutajate jaoks on see hiina keel, sama edukalt võiks öelda: Böö!

Ah jah – keegi pole vigase sertifikaadiga karistanud just Sind isiklikult. Enne oktoobrit 2015 toodetud kaardid vastasid kenasti tollasele arusaamale kvaliteedist. Tõlgendus, nagu ka Google’i firma hinnangud, on muutunud normaalse arengu käigus. Alates oktoobrist 2015 väljastatud kaardid on igati korras ka tänase tõlgenduse kohaselt. Seejuures ei saa me välistada, et mõne aasta pärast leitakse puudujääke või arenguvõimalusi tänastelgi kaartidel…

Mis saab edasi?

Kuidas täpselt ja mis ulatuses uuendamata sertifikaatide teema Sind puudutab? Kuna Chrome’i turuosa sirvikute seas on suurusjärgus 70% ja ülalnimetatud kahest bugist jätkuvalt puudutatud kaartide kogus on umbes 270 000, siis päris paljudel inimestel tasuks siinkohal süveneda. Sest nüüd võib Sul tekkida väga konkreetne mure.

KUI Sinu isikusertifikaatides esineb mainitud viga NING Sa üritad pärast 5. septembrit 2017 Chrome’i uue sirvikuga (v61) mõnda e-teenusesse siseneda (mis nõuab PIN1), SIIS ajab uus Chrome sõrad vastu. Sa ei saa siis enam oma ID-kaardiga siseneda ei netipanka, eKooli, eesti.ee portaali ja kes kõik teab, kuhu veel. Küll aga on tehtud poliitiline otsus, et e-hääletamine sügisestel KOV valimistel on igal juhul võimalik (ja liiatigi veel turvaline ka).

Hetkel käibel olevad ID-kaardid (elamisloakaardid, digi-ID ja e-residendi kaardid) jagunevad kolme suurde kategooriasse, mis on pildil tähistatud värvidega: punane, sinine ja roheline.

Tuleb vaadata oma kaardi väljastamise kuupäeva (trükitud kaardi tagaküljele) ning selle alusel liigitada oma kaart ühte järgnevast kolmest grupist.

I – PUNANE – kaart on väljastatud enne oktoobrit 2014. Oluline on teada, milline iganes on Sinu olukord, kaardi endaga tegelemiseks on praegu juba hilja (mäletad ju, neid sai uuendada vaid 1. juulini 2017). Sinu valik – kas lähed võtad oma raha eest PPAst uue kaardi, sinna lisaks (kui veel pole) ka m-ID VÕI hakkad 5. septembrist Chrome’i asemel mingit muud sirvikut kasutama oma lemmikutesse e-teenustesse sisenemiseks. Muide, e-residentidele nii ammu veel kaarte ei väljastatud.

II – SININE – Sinu kaart on väljastatud vahemikus oktoober 2014 kuni oktoober 2015.  Erinevus PUNASE grupi sertifikaatidest – Sa saad endiselt sertifikaate uuendada. Selleks ava ID-kaardi haldusvahend ja vajuta nupule “Uuenda” (sertifikaate). Kui midagi ei juhtunud, siis kas polnudki vaja uuendada (kõik oli niigi korras või Sa läbisid uuenduse juba varem) või siis oli tegu mõne muu kaarditüübiga. Seega usalda ID-kaardi haldusvahendit – kui uuendamist oli vaja, siis see sooritatakse. Kuidas üle neti uuendamine täpselt käib, sellest loe siit (ja vaata juurde YouTube’ist õppevideot).

III – ROHELINE – Kui aga Sinu kaardil ilutseb väljastuskuupäevana oktoober 2015 või hilisem, siis on sertifikaatidega korras ning Sa ei pea mitte midagi tegema. Kui Sul sellegipoolest miski ei tööta, siis probleem võib mõnikord asuda ka ekraani ja tooli vahel, või väga harvadel juhtudel siiski ka konkreetses e-teenuses.

Allikas: http://knowyourmeme.com/memes/pebkac

Neile, kes armastavad pedantseid juhiseid, olgu siinkohal ära toodud ka otsuse tegemise voodiagramm:

Numeroloogia

Aktiivseid kaarte on eID ökosüsteemis hetkel arvel 1 294 653. Juuli lõpu seisuga leidus kaarte, mida oli viimase 12 kuu jooksul vähemalt ühel korral elektrooniliselt kasutatud, kokku 695 799.

Numbrid on esitatud seisuga 2017-07-01.

“A”-tüüpi kaarte ehk siis enne 2014-10-14 väljastatuid, jäeti kasutajate poolt lõpptähtajaks 2017-07-01 uuendamata 409 947. Selles koguses omakorda esineb Google Chrome’i v61 mõttes kriitilisi sertifikaadivigu 116 499 kaardil, millest vaid osa on kunagigi olnud elektroonilises kasutuses. Seega: reaalselt Chrome’iga kaklema hakkavate isikute arv on veel oluliselt väiksem. Oma “A”-tüüpi kaarte uuendati kokku 240 823 juhul, mistõttu saab öelda, et enamik tegelikest kasutajatest tegid ikkagi uuenduse ära. Muide: “A”-tüüpi kaardid aeguvad tempos ~20 000 kaarti igas kuus.

Edasi, “B”-tüüpi kaarte ehk siis neid, mida hakati väljastama pärast 2014-10-14, oli seisuga 2017-07-01 uuendamata jäetud 278 685, neist Google Chrome’i mõistes “iluvigadega” on 155 226, sh kaardid, mida pole eales e-kasutatud ega pigem hakatagi. “B”-tüüpi kaarte kauguuendati 54 015 juhul ning neid saab jätkuvalt uuendada.

Pisut teise nurga alt vaadates – kahe kaarditüübi peale kokku leidus (2017-07-01 seisuga) käibes 271 725 kaarti, mille üks või isegi mõlemad sertifikaadid Google Chrome’i v61-le ei meeldi (ning ilmneks see ikka vaid juhul, kui kaardiomanik tahab või tahaks selle sirviku kaudu mõnd internetiteenust pruukida).

  • Neist 116 499 juhtu jäävadki nurka konutama ja ravi puudub (kaarditüüp “A”, joonisel punased) sest kui isik enne 2017-07-01 oma sertifikaate ära ei uuendanud, siis pärast seda kuupäeva ta enam ei saagi, isegi mitte PPA teeninduspunktides. Eks need kaardid olegi varsti aegumas, nii et aitab PPAst uue kaardi tellimine ning mobiil-ID kasutuselevõtt.
  • Seevastu 155 226 kaardi puhul (kaarditüüp “B”, joonisel sinised) saab sertifikaate kenasti kauguuendada, pärast mida suudavad nad kenasti teha koostööd ka uue Chrome’iga. Lihtsalt uuendustoiming tuleb läbi teha.

Kokkuvõttes – nimetatud on MAKSIMAALSED arvud, mis ei arvesta tegelikku internetikasutust. Mingi osa inimesi pole oma ID-kaarti eales Internetis kasutanud, paraku puuduvad e-kasutuse kohta ka täpsemad andmed. Mõjutatud inimeste arv on seega oluliselt väiksem kui ülalnimetatud numbrid.

Kronoloogia

See peatükk on tehnikutele. Tavakasutajale võib nii detailirikas käsitlus jääda keeruliseks [Oluliselt täpsustatud 2017-09-01].

Praeguse Chrome’i juhtumiga on otseselt või kaudselt seotud järgmised tehnilised sündmused:

Teisisõnu – mida lugeda täiesti korras sertifikaadiks? Tänase tõlgenduse puhul on selleks pigem oktoobrist 2015 väljastatud sertifikaadid. Siiski ei saa päris välistada, et tulevikus tunnistatakse uuendamist vajavateks ka SHA-1 põhise vahesertifikaadiga (EstEID2011) tembeldatud isikusertifikaadid, millist teemat oleme varem käsitlenud siin. Mainitud asjaolu valguses saame öelda, et märtsist 2016 väljastatud sertifikaatidel pole teada ühtki, ka kõige pisemat teoreetilist probleemi.

Kaardipõlvkondade vahetus ei leidnud aset korraga, vaid järk-järgult. ID-kaardid läksid uuele platvormile üle esimesena – 16. oktoobril 2014. Digi-ID ja e-residendikaardid alustasid uue põlvkonnaga 01. detsembril. Ning lõpuks, 19. detsembril 2014 viidi kaardiplatvormile “B” üle ka elamisloakaardid.

 

Urinad ja jorinad

Q1 Miks minu kaarti garantiikorras välja ei vahetata?

A1 Sest tegemist pole tootmispraagiga, vaid välise olukorra muutusega. Sertifikaadid, mis varem olid täiesti asjalikud, omandasid globaalse turvaolukorra arengute ja suurfirmade valitud poliitika tõttu mõnevõrra teistsuguse turvahinnangu. OpenSSL vabavarapaketiga seonduvaid riske polnud võimalik ei ette näha ega salakavalate lepingutega katta.

Q2 Miks mulle varem teada ei antud?

A1 Tegelikkus on vastupidine – anti teada küll! Juba kaks aastat on nii siinses blogis – 1 –  2 – 3 – kui RIA kodulehe uudistes, lisaks avalikus meedias pidevalt räägitud vajadusest sertifikaate uuendada. Tegime kõik, mis meie võimuses, et inimesi uuendama suunata. Isegi YouTube’i õppevideod tellisime kolmes keeles.

Q3 No mul see ID-kaardi värk ikka ei tööta. On ikka niru tarkvara!

A3 Eesti ID-kaart ja kogu selle ökosüsteem on üks eesrindlikumaid terves maailmas! Võttes arvesse eelarve suurust ja kogu eID ökosüsteemi keerukust, on tegemist päris korraliku tootega. PEBKAC!

Kui Sinu probleem püsib, siis tuleb pöörduda IT-spetsialisti poole. Abi võib saada ka ID-kaardi tarkvara väga põhjalikest installijuhenditest siinsamas blogis – eraldi Macile, Linuxile ning loomulikult Windowsile.

Paraku pole Eesti-spetsiifilisel tarkvaral miljardeid kasutajaid nagu Gmail’il või Facebook’il, mistõttu mõni viga ehk ongi alles avastamata. Seega – palun rõõmusta meid ja ülejäänud kasutajaid ning anna oma muredest teada… näiteks abiliinil 1777.

Q4 Ma pole oma ID-kaardi tarkvara juba palju aastaid (3..4) kasutanud ja nüüd küll enam ei õnnestu tarkvara uuendada.

A4 Nii pikk paus on teadaolevalt probleemiks tõesti (Win, Linux) ja võib muuta ümberinstalli tavatult keeruliseks. Vajadusel pöördu IT-spetsialisti poole.