Eksperdid: Eesti e-valimised on nii ebaturvalised, et tuleks kohe ära lõpetada

 (391)

Rahvusvaheline välisekspertide meeskond ehitas Eesti e-valimiste keskkonnast oma laboris koopia ja proovis seda seejärel pahatahtlikke kräkkereid matkides lahti murda. Uurijaid šokeeris, kui mitmest kohast ja kui kergelt oli võimalik e-valimiste tulemusi pahatahtlikult muuta. Seetõttu soovitavad nad Euroopa Parlamendi valimistel e-valimisi mitte kasutada.

Täna pressikonverentsil tulemusi tutvustades rääkis Michigani ülikooli abiprofessor J. Alex Halderman, et nad käisid eelmise aasta oktoobris kohalike valimiste ajal e-valimiste süsteemiga tutvumas ning tollal maksis nende sõidu ja siinviibimise kinni Tallinna linnavalitsus. Tallinna juhtiv Keskerakond on nimelt pikalt Eesti e-valimiste süsteemi kritiseerinud. Peale visiiti pole nad aga oma edasise tegevuse jaoks Eestist raha saanud ega olnud kontaktis ühegi siinse erakonnaga. Haldermani katse eest maksis USA riiklik teadusfond.

Eesti e-valimiste keskkond kasutab kümnekonna aasta vanust turvaarhitektuuri, mis võis olla sobiv tolleaegsete rünnete peatamiseks, aga see on lootusetult aegunud moodsat küberründevõimekust omavate riikide takistamiseks. Viimastel aastatel on ka ajakirjanduses korduvalt kirjutatud USA, Suurbritannia, Hiina ja teiste riikide tehniliselt väga võimekatest küberrünnakutest teiste riikide tundliku infrastruktuuri vastu.

Seotud lood:

„Eesti süsteem usaldab äärmiselt valimiskomisjoni ja valijate arvuteid, mis on kõik välisriigile kergeks saagiks,“ leidsid uurijad. Nad tõid välja mitu viisi, kuidas võimekas ründaja võib süsteemi manipuleerides vahetada hääli, kompromiteerida valimiste salajasust, häirida valimisi või panna kahtluse alla tulemuste ehtsuse.

Lohakad protseduurid

Valimistest valimiskomisjoni poolt tehtud videosid uurides leidsid nad suurel hulgal vigasid ja lohakust valimiste läbiviimisel, mis tekitavad võimalusi rünnakuteks ja raskendavad toimingute korrektsuse hindamist.

Oluline tarkvara tõmmati alla turvamata internetiühendust kasutades, arvutite salasõnasid ja PIN koode toksiti sisse kaamerate nähes ja avalikkusele suunatud valimistarkvara valmistati ette ebaturvalisi isiklikke arvuteid kasutades. Halderman märkis, et ühes videos oli näha, et valijarakendust valmistati ette arvutis, kus oli samal ajal lahti pokkerimängu aken. „Need tegevused näitavad turvalisuse tagamisel ohtlikult ebaadekvaatset professionaalsuse taset, mis jätab kogu süsteemi avatuks rünnakule ja manipulatsioonile,“ leidsid uurijad oma aruandes.

Uurijad ehitasid oma laboris üles Eesti e-valimiste süsteemi koopia, kasutades selleks avalikustatud lähtekoodi ja tarkvara. Nad leidsid, et märkamatult on seda võimalik rünnata mitmelt poolt. Detailselt kirjeldasid nad seejärel kahte rünnakut.

Kaks edukat rünnakut

Esimeses rünnati valimiste serverit, mis loeb peale valimisi hääled kokku. Hääled dekrüpteeritakse ja loetakse kokku häältelugemisserveri „mustas kastis“, kus toimuvat pole võimalik jälgida.

Uurijad suutsid oma katses nakatada häältelugemisserveri hääli varastava pahavaraga. Selles rünnakus sisestab häältelugemisserverisse pahavara kas ebaaus valimiskomisjoni töötaja või võimekas riiklik ründaja. Nakkus levib tarkvara DVD-de kaudu, mida kasutatakse kõikide valimisserverite tarkvara installimiseks. Pahavara näitab tarkvara aususe kontrollimise ajal, et kõik on korras, aga tegelikult asendab tegelikud valimistulemused ründaja soovitud tulemustega.

Teine rünnak kirjutab üle inimese koduarvutist antud hääle. Eesti e-valimiste usaldusväärsus põhineb olulisel määral ID-kaardil, mille lahtimurdmisega pole seni teadaolevalt keegi hakkama saanud, mistõttu ründaja peaks kätte saama kaardi ja teadma ka selle kahte PIN- koodi. Halderman kommenteeris, et ka ID-kaardi krüpteeringut lahti murdmata oli väga kerge inimese häält varastada.

Hääletaja koduarvuti nakatub pahavaraga, nagu juhtub igal aastal miljonite arvutitega. Pahavara võib olla juba enne arvutisse sattunud, ent see võib saabuda ka valimiseks vajaliku valijarakenduse valimiskomisjoni lehelt alla tõmbamise käigus, kui valijarakendus on eelnevate turvavigade tõttu kompromiteeritud.

Loe veel

Ründaja tarkvara jälgib valija valimisprotsessi ja varastab märkamatult PIN-koodid. Järgmisel korral, kui valija kasutab ID-kaarti, näiteks internetipanga jaoks, saab pahavara kasutada varastatud PIN-koode, et anda hääl ründaja lemmikkandidaadi poolt.

Pole teateid tegelikest rikkumistest

Pressikonverentsil osalenud elektrooniliste valimiste turvaaukude paljastaja Harri Hursti kommenteeris, et ID-kaart sobib hästi näiteks internetipanganduse või e-kaubanduse jaoks, sest seal saab probleemi korral protsessi tagasi kerida ja vajadusel probleemid tagantjärele lahendada. Valimiste korral pole aga võimalik tagantjärele mingeid parandusi teha.

Halderman märkis, et hoolimata leitud suurest hulgast vigadest ei saa nad öelda, nagu oleks mõne varasema e-valimise ajal süsteemi sisse murtud ja tulemusi muudetud või muul moel manipuleeritud.

Ta lisas, et nad on väga huvitatud Eesti võimudega ühenduse võtmisest, et nendega e-valimiste turvalisusest rääkida. Vajadusel võib keegi nende meeskonnast jääda Eesti poolt nõustama seni, kuni vaja.

Tänasel pressikonverentsil käisid ka Põhja-Tallinna abilinnapea Priit Kutser ja Tallinna abilinnapea nõunik Siret Kotka, samuti Tallinna esindaja Brüsselis Allan Alaküla. Kutser ja Alaküla küsisid esinejatelt küsimusi, mis olid ka pikitud kaebustega selle kohta, kui raske neil Eestis on.

Vabariigi valimiskomisjoni kommentaar:

Eksperdid kritiseerisid lohakaid protseduure, näiteks PIN-koodide arvutitesse toksimist kaamerate nähes. Teiselt poolt polnud läbipaistvus piisav, näiteks polnud näha, kust tulid valimisserverid, CD-d häältega või näidati kaameraga ühes arvutis tehtud tegevusi, aga mitte teises arvutis toimuvat.

Kahjuks ei ole eksperdid hetkeseisuga teinud Vabariigi Valimiskomisjonile kättesaadavaks oma uuringu täisteksti, sestap on keerukas ka esitatud väiteid kommenteerida. Elektroonilise hääletamise protseduurid on loodud lähtudes riskianalüüsist ja eesmärgist koguda korrektselt kokku valijate hääled ning arvutada hääletamistulemus. Kõik kesksüsteemi seadistamise ning töös hoidmisega seotud tegevused, kus vale või pahatahtlik käitumine võib tuua kaasa hääletamistulemusega manipuleerimise, on täpselt dokumenteeritud ning selle dokumentatsiooni järgimist auditeeritakse. Kõik protseduurid on avalikustatud ning vaatlejatele ligipääsetavad. Toimingud võetakse videosse, videod laetakse YouTube´i keskkonda järelvaatamiseks.

Kui VVK-le tehakse ettepanekuid protseduuride täiendamiseks ja vaadeldavuse parandamiseks, siis kindlasti neid ettepanekuid kaalutakse ja vajadusel võetakse arvesse.

Ekspertide sõnul on tegemist sisuliselt kümme aastat vana tehnoloogiaga, sellal kui valitsuste võime küberrünnakuid toime panna on aja jooksul kiirelt kasvanud.

Elektroonilise hääletamise süsteemi on kümne rakendamisaasta vältel regulaarselt uuendatud ning ajakohastatud, muuhulgas on lisandunud valijale võimalus kontrollida oma hääle korrektset jõudmist kesksüsteemi, mis annab VVK-le võimekuse tuvastada e-hääletamise vastaseid mastaapseid ründeid. Koos süsteemiga on edasi arendatud ka e-hääletamise läbiviimisega seotud protseduure, täpsustatud organisatsiooni ning seadusandlust.

Eksperdid suutsid enda ehitatud Eesti e-valimiste süsteemi koopia kerge vaevaga lahti murda ja tulemusi manipuleerida. Kas valimiskomisjon on valmis laskma neil enne valimisi ehtsat valimissüsteemi rünnata valimisi matkides? Ehtsas süsteemis ehtsaid valimisi matkides on võimalik näidata, kas need mehed suudavad või ei suuda valimisi võltsida.

Kindlasti ei saa VVK anda luba elektroonilise hääletamise süsteemi ründamiseks päris valimiste ajal - see ei oleks kooskõlas VVK eesmärkidega. Turvalisuse tagamiseks on enne valimisi korraldatud avalikke testvalimisi ning antud ekspertidele võimalus rünnata testsüsteemi, mis on paigaldatud täpselt samade protseduuride ja tarkvara alusel, mis reaalne süsteem. Viimane laiemale ekspertide rühmale avatud testhääletamine toimus vahetult enne KOV-i valimisi 2013 septembris.

Kes need kriitikud on?

J. Alex Halderman on Michigani ülikooli arvutiteaduse ja inseneriteaduste abiprofessor. Oma meeskonnaga häkkis ta 2010. aastal sisse USAs Washington DC-s katsetatud internetivalimiste tarkvarasse ja saavutas selle üle täieliku kontrolli. Tegemist oli valimissituatsiooni matkiva katsega, mis korraldati Washington DC võimude soovil, et kontrollida valimissüsteemi turvalisust. Peale edukat sissehäkkimist loobus Washington DC internetihääletusest, ent lubas süsteemiga edasi minna, et seda turvalisemaks muuta.

Harri Hursti on sõltumatu Soome internetiturvalisuse ekspert, kes on võtnud osa reast e-hääletuse turvalisuse uuringutest USAs ja mujal maailmas. Tema nime järgi on nime saanud „Hursti hack“ ehk USAs laialt levinud Dieboldi hääletusmasinatesse häkkimine, mis võimaldas märkamatult hääletustulemusi muuta.

Hea lugeja, kas eelistad ise e-valimisi? Kas pead e-valimisi piisavalt turvaliseks? Kas eelseisvatel europarlamendi valimistel tuleks e-valimistest loobuda ning süsteemi enne järgmisi valimisi kuidagi täiustada? Avalda arvamust aadressil rahvahaal@delfi.ee !

Jäta kommentaar
või kommenteeri anonüümselt
Postitades kommentaari nõustud reeglitega
Loe kommentaare Loe kommentaare