Agu Kivimägi: e-valimiste turvalisusest

E-valimiste käigus liiguvad andmed mitme serveri vahel. Tagamaks, et andmeid pole muudetud, on ITs kasutusel standardsed meetodid: andmetest arvutatakse lähte- ja sihtserveris sõnumilühend (ingl hash) ja veendutakse, et mõlemas serveris arvutatu on identne.

Aastal 2007 oli kõik usalduse peal

2011. aastal kuvati sõnumilühend arvutite ekraanile ja kõik vaatlejad võisid kontrollida identsust. Järgmistel valimistel allkirjastas andmed ja sõnumilühendi server. Serveri allkiri kinnitab andmete päritolu ja korrektsust sarnaselt inimese antud digiallkirjaga.

Inimese allkiri ülekande protsessis turvalisust ei lisa. Allkiri on vajalik, et hiljem tuvastada vastutav isik või vastutuse üleminek, kui andmed edastatakse üksusele, mille eest vastutab teine isik. 2007. aastal serveri allkirju ei olnud ja turvalisus oli tagatud usaldusega valimisi läbiviivate administraatorite vastu.

E-valimiste turvet arendatakse pidevalt ja eelmisel aastal valminud valimissüsteem on juba oluliselt turvalisem kui varasemad. Likvideeritud on mõned ründevektorid, mida oleks saanud kasutada tulemi manipuleerimiseks. Oluliselt on vähendatud turvalisuse sõltuvust serverite platvormist, millega e-valimisi tehakse – ka juhul kui ründajal oleks kontroll serverite üle, siis valimistulemi mõjutamine on raskendatud.

Kontrolli saavutamine serveri üle pole lihtne, selleks oleks vaja kompromiteerida operatsioonisüsteem, mis laaditakse alla internetist. Võimalused selleks on kõigil võrguseadmete haldajatel, mis jäävad valimistoimkonna ja Debian- operatsioonisüsteemi jagava serveri vahele (neid on umbes 10 seadet), ning ka nimeserveri haldajal, kes võib suunata päringu enda määratud IP-aadressile.

Ühe keeruka võimalusena saab operatsioonisüsteemi asendada mõni autonoomse Interneti osa haldaja, kes teeb Internetti vale teavituse, et tema teenindab IP-aadressi, millelt saab Debiani alla laadida.

Valeteavitusi on eksikombel tehtud ja need tulevad kohe välja, kuna päringud ei saa soovitud vastust. Kui võltsija tagab päringutele ootuspärased vastused, siis võltsimine lühikeses perspektiivis välja ei tule.

Kompromiteeritud operatsioonisüsteemi puhul ei saa usaldada ka ühtegi kontrollprotseduuri, mida selle serveriga tehakse, näiteks audiitorile protseduuride korrektsuse demonstreerimiseks.

Eelmistel valimistel oleks serverite üle kontrolli saavutamise järel piisanud valimistulemuste võltsimiseks tekstifaili muutmisest enne selle allkirjastamist, vastava skripti kirjutamine oleks väga lihtne olnud.

2007. ja 2011. aastal oli olukord ründaja jaoks veelgi lihtsam. Oleks piisanud ka ainult lauaarvuti üle kontrolli saavutamisest, milles valimiskomisjoni juht valimistulemuse allkirjastas. Tulemus allkirjastati kontorist toodud arvutil, mille turvet valimiste kontekstis ei käsitletud. Ründajal oleks olnud võimalik paigutada kontoriarvutisse tarkvara, mis ootab kuni kõvakettale kopeeritakse valimistulemus ning seejärel teeb millisekunditega tulemuses muudatused.

Suunatud tegevusega on üldjuhul alati võimekal ründajal võimalik arvuti üle kontroll saavutada. Ründajal on avalikkusele veel tundmatu ehk 0-päeva nõrkust kasutav kurivara ning tavalised viirustõrjed ja tulemüürid seda kurivara ei tõkesta.

Ründekoodi kohale toomist ei õnnestu vältida, kui arvuti on normaalses kasutuses. Ründaja võib asuda mõne sama sisevõrgu kasutajaga asjalikku suhtlusesse, mille tulemusena jõuab ründekood sisevõrku. Kui asutus või arvuti kasutaja on väga ettevaatlik, siis saab kompromiteerida tarneahela st rünnata läbi mõne partneri, kelle teenuseid tarbitakse, näiteks koristusfirma, reisibüroo,  õigusnõustaja jne.

Näiteks said mõni aasta tagasi suure kahju osaliseks firmad, kes kasutasid ühte konkreetset raamatupidamistarkvara. Ründaja oli kompromiteerinud tarkvara uuenduspaketi ja raamatupidamistarkvara automaatse uuenduse käigus hävitati firmade andmed. Robotvõrkude massilise leviku perioodil hinnati, et iga kolmanda arvuti on pahalased üle võtnud.

Valija võib saada võltsitud äpi

Nimeserveri rünnakuga on võimalik valijaile anda võltsitud valijarakendus. Võltsitud rakenduse arendamiseks vähe aega. See tuleks arendada eelhääletusperioodi jooksul, millal rakendus avalikustatakse.

Esmalt tuleb ametlik rakendus pöördkonstrueerida. Kuna antud häält on võimalik kontrollida, siis peab võltsrakendus allkirjastama kaks häält – õige ja võltsitud. Kui valija kasutab sõrmistikuga kardilugejat või m-IDd, siis on ilma, et rakendus küsiks kaks korda PINi, topelt allkirjastamine võimatu. Võltsrakenduse arendamine lühikese ajaga on väga raske.

Viimastel valimistel loeti hääli kokku kahel erineval meetodil ja audiitoril on kontrollrakendus kokkulugemise õigsuse kontrolliks. Massiline võltsimine oleks võimalik, kui õnnestuks võltsida hääled peale õigete häälte anonüümimist ja enne kokku lugemist. Vastavas mahus tarkvara arenduse tegemine on pigem teoreetiline turvarisk kui praktikas teostatav.

Siiski, kui meenutada Stuxneti, s.o viirust, millega häiriti Iraani tuumapommi jaoks tuumakütuse rikastusseadmete tööd, siis maailmas on asutusi, mis vajadusel on võimelised väga keerukaid ründeid sooritama.

Kui arvestada ründe rahalist kulu, siis ilmselt saaks parema tulemi, kui vastav summa anda sobivale poliitilisele jõule, kuna e-valimise tulemust suures ulatuses manipuleerides tuleb pettus statistilise analüüsiga  välja. 

USAs püüdsid internetitrollid ühiskonda lõhestada ja meeleavaldusi ning rahutusi korraldada. Kui eeldada samu eesmärke Eesti puhul, siis pole vajalik mitte oma kandidaadile hääli juurde anda, vaid suurendada võitja partei tulemust kaalutletud määral, nii et statistilist analüüsi valdavad inimesed saavad aru, et tegu on pettusega, aga võitjad poliitikud usuksid, et tulem peegeldab rahva armastust nende vastu.

Kui hääled ära võtta erakonnalt, kus on kõige marumad mehed, siis põhjendatud pettuse kahtlus võimu suhtes võib rahutusi tekitada. Kui väline ründaja tekitab sellise olukorra enne planeeritavad hübriidoperatsiooni, siis lõhestunud rahval on riiki palju raskem kaitsta.

Audiitor ei kontrolli turvalisust

Kui võrrelda valimiste turvet riigisaladuse kaitsega, siis füüsilisi ja protseduurilisi meetmeid saab e-valimistel veel tublisti arendada.

Audiitori ülesanne e-valimistel pole jälgida valimiste turvalisust, vaid toimingute täpset vastavust juhendile. Ma ei kahtle hetkekski valimiste läbiviijate korrektsuses ja lojaalsuses, kui korrumpeerunud meeskonnal oleks lihtne luua süsteem, mis annab ekraanidele täpselt need vastused, mis juhendis ette nähtud, kuid tegelikult teeb midagi muud.

E-valimistel tarneahela- ja kiirgusturbega ei tegeleta. Tänapäeval on võimalik raadiolainete kiirguse abil distantsilt lugeda arvutiekraane, klahvivajutusi ja protsessori tööd. Elektroonilist riigisaladust käideldakse kiirguskindlates ruumides. Küberoperatsioonid on muutunud globaalseks ja seadmed kompromiteeritakse juba tootja tehases.

Üle 10 aasta tagasi välisministeeriumi korraldatud seminaril esinedes ütles USA ettekandja, et nad pidasid piiril aastas kinni 300 000 arvutit ja muid seadmeid, mis oli juba tehases kompromiteeritud. Näiteks makseterminalid, mis edastasid krediitkaartide numbreid WiFi kaudu. Kes teadis, sõitis sülearvutiga poe juurde ja korjas õhust krediitkaardi numbreid.

Täpset piiri on isegi raske tõmmata, millal seade on kompromiteeritud, kuna tootjad projekteerivad vigade jälitamise eesmärgil seadmetele omadusi, mida ei avalikustata, kuid mida võib kasutada seadme üle ebatavalise kontrolli saavutamiseks. Seadmed võib panna ka raadio teel edastatavaid käsklusi kuulama ning sellist omadust on väga raske avastada.

20 aastat tagasi tuvastati, et Windowsi operatsioonisüsteem, mis kontrollib oma komponenti päritolu autentsust, kasutas ka võtmeid, mille nimi algas USA luureorganisatsiooni lühendiga NSAKEY. Firma esindaja väitis, et see on  kokkusattumus ja mingit seost NSAga pole. Vaatamata naljakale kokkusattumusele allub iga riist- ja tarkvara firma oma asukoha riigi seadustele ning täidab julgeolekuasutuse seaduslikke korraldusi. Korraldused on samal ajal riigisaladusega kaitstud ja avalikkuse ees peavad firmajuhid eitama salastatud korralduste olemasolu. Demokraatlikes riikides mõnikord selline info lekib, kuid autoritaarsetest riikidest me ei kuule midagi.

E-valimiste turve võiks tulevikus baseeruda kontseptsioonil, mis enam vastab parteipoliitilise süsteemi loogikale – tulemuse rehkendamises osalevad võrdsete osalejatena kõik huvitatud osapooled – poliitilised parteid.

Tulemuse saamiseks on vajalik vähemalt kvalifitseeritud enamuse panuse e osarehkendus. St et kõik kombinatsioonid osalejatest saavad korrektse rehkenduse korral sama tulemuse, aga üksikuna võttes pole keegi võimeline tulemust rehkendama.

Erinevaid skeeme, kus üksteist mitte usaldavad osalised teevad koostööd ühiselt vajaliku tulemuse saamiseks, on maailmas juba rakendatud, näiteks militaarvaldkonnas riikide vahel. Selline skeem vähendab oluliselt usaldamatust, kuna kõik huvitatud osalised saavad kaasata enda poolt usaldusväärsed isikud oma osarehkendust korraldama.

Väheneb vajadus usaldada paari administraatorit, kes kogu süsteemi haldavad. Tagavaraks tuleb jätta ka praegune variant, kui poliitikud peaksid otsustama, et nad ei taha tulemust välja arvutada.

OSCE heidab e-valimistele ette, et see pole lõpuni jälgitav. Jälgitavus on võimalik saavutada, kui valimiskomisjon seab sisse eraldi teenuse neile, kes soovivad enne või peale häälte kokku lugemist veenduda, et nende hääl osales lugemisel.

Kuna iga hääl sisaldab valija rakenduses genereeritud unikaalset juhuslikkust, siis selle juhuslikkuse säilitamisel valija poolt on võimalik enne e-häälte hävitamist tuvastada, kas selle juhuslikkusega on mõne kandidaadi poolt hääl antud. Teenust saaks pakkuda piiratud aja jooksul, valimiskomisjoni ruumides isikut näost näkku tuvastades, vaidluste vältimiseks tuleks juhuslikkus valimiskomisjoni võtmega krüpteerida.

E-valimised on väga mugav ja sellest loobuda ei tahaks, kes on seda juba kasutanud. Meie e-riik koos e-valimistega on nagu kõrge torn, mille me oleme ehitanud, mis paistab kaugele ja mida teised riigid imetlemas käivad. Mida kõrgemaks ehitame, seda enam on vaja torni toestada, et see tugevama tuulega uppi ei kukuks.

Meil on juba kogemus, et oma turvalisusel ei saa me loota tuntud ja soliidsetele firmadele ja nende toodete turvasertifikaatidele. ID-kaardi kiibi turvanõrkused oleks võinud avastada meie omad teadlased.

Ei saa loota, et alati saame infot tšehhi teadlastelt või soome või läti inseneridelt. Eestil peaks olema tšehhidega sarnane teadusasutus või rakendusüksus, kus teadlased ja insenerid katsetaksid süsteemide turvet, millest meie e-riik sõltub.

Agu Kivimägi on olnud ID-kaardi projektijuht kodakondsus ja migratsiooniametis ja siseministeeriumi IT-keskuses küberturbe osakonna juhataja.