Ootamatus e-valimistel

Agu Kivimägi

Probleemide teke e-valimistel ei ole mitte e-valimiskorralduse nõrkus, vaid eelis, näidates, et probleemid on ilmsed, nähtaval ja lahendatavad.

Äsja toimunud kohalike omavalitsuste volikogude e-valimiste häälte kokkulugemisel tekkis ootamatu tõrge. Protseduurijuhendi järgi tuli kokkuloetud hääled kanda kokkulugevast serverist CD-l allkirjastamiseks lauaarvutisse. Arvutivõrgu kaudu on süsteemid rünnatavad, seega turvalisuse tagamiseks oli häälte kokkulugemise server ilma igasugusest võrguühendusest ja hääled tuli üle kanda välise andmekandja CDga. Uhiuus CD võeti pakendist ja pandi serverisse, kuid kirjutamine ei õnnestunud. E-valimiste administraator võttis seepeale kasutusele isikliku mälupulga. Selleks et veenda valimiste vaatlejaid, et ülekantav fail vahepeal ei muutu, kasutas administraator levinud protseduuri: arvutas serveris välja ülekantava faili sõnumilühendi ehk räsi, kuvas selle ekraanile ning kopeeris mälupulgale. Seejärel kopeeris failid mälupulgalt lauaarvutisse, kus allkirjastas failid oma ID-kaardiga. E-hääletamise tulemustega fail on valimiskomisjoni veebilehel kõigile kättesaadav, kõik võivad ise arvutada nende failide räsi ja kontrollida Youtube’ist videosalvestiselt, kas räsi klapib sellega, mis oli serveris arvutatud. Mainitud protseduur annab veendumuse, et faili ei ole teekonnal muudetud.

Kurivara valimiskomisjoni liikme arvutisse
Kuna juhendis sellist kontrolliprotseduuri ei olnud ette nähtud, siis administraatori improviseeritud häälte ülekanne oli tegelikult turvalisem kui ametlikult ettenähtud protseduur. Ametlik protseduur on rünnatav, s.t kui kellegi oleks olnud soov valimistulemusi võltsida, siis oleks tal tulnud sokutada kurivara valimiskomisjoni liikmete arvutisse, mis oleks jäänud ootama hetke, kui arvutisse ilmub fail hääletustulemustega. Kurivara oleks pidanud siis valimistulemuse ümber arvutama, võttes osalt kanditaatidelt hääli ära ja pannes ründaja soosikutele juurde. Selline arvutus oleks toimunud millisekundite jooksul taustaprotsessina, nii et vaatlejad ja administraator ei oleks toimuvat tähele pannud. Kui häälte ümberjagamine oleks jäänud ca 30% piiresse, siis ilmselt ei oleks tulemuse õigsuses kahtlusi tekkinud, kuna paber- ja e-häälte jaotus on varasematel valimistel oluliselt erinenud. Riigikogu valimiste puhul tähendaks see kuni kaheksat parlamendikohta. Mida suurem on e-hääletajate osakaal, seda suurema muutuse võib kahtlusi tekitamata põhjustada.

Kättesaadavad vahendid
Kui eelmiste riigikogu valimiste ajal oleks kirjeldatud rünne nõudnud väga spetsiifilisi teadmisi, siis nüüd on suunatud ründe konstrueerimise vahendid ka tavaründajale kättesaadavad. Ründevara paigaletoimetamiseks on mitu meetodit. Eelmiste valimiste ajal olid enim kasutatavaks nõrkuseks Adobe’i tarkvara vead, s.t võimalikele ohvritele riigikantseleis oleks tulnud saata konkreetsele isikule mõeldud e-kiri, mille manuses on pdf-vormingus dokument. Veidi inimese tausta uurinuna on alati võimalik koostada kiri, mida ta usaldab ja mille manuse avab, nt riigiametnikule saadetud kutse osaleda mõnel tema eriala puudutaval seminaril. Tänapäeval on levinud arvuti nakatamine sellega, et ohver meelitatakse külastama mingit veebilehte. Meelitamiseks võib kasutada täiesti korralikke veebilehti, näiteks uudiseportaale, kuhu ründaja ostab bänneri, mis lugeja teadmata tema arvutis muukimistööd teeb.
Suunatud ründe puhul pole probleemiks see, et ohvrini ei jõuta, pigem tuleb hoolitseda selle eest, et rünnak liiga suurt ulatust ei võtaks ning tähelepanu tõmbamisega ennast ei reedaks. Nii juhtus näiteks Stuxnetiga, mis levis liiga kaugele tuumajaamast, mille töö segamiseks see oli loodud.

Täiendavad turvaprotseduurid
E-valimistel korraldatakse rituaalseid turvaprotseduure, mis oluliselt ei suurenda tulemuse usaldusväärsust, kuid mõjuvad hästi asjatundmatule vaatlejale. Samuti ei ole protsessi jälgivale audiitorile antud ülesannet jälgida protsessi turvalisust, vaid juhendist kinnipidamist. See annab omakorda siseründajale võimaluse täpselt planeerida vaatlejatele kuvatavad ekraanipildid, mis ei pruugi kajastada tegelikult arvutis toimuvat. Kuigi serveri ja andmekandjate pakendid avatakse vaatlejate juuresolekul, ei välista see võimalust kompromiteerida seadmeid ja meediat enne pakendamist. Seega, kui audiitoril oleks õigus ja kohustus kontrollida turvalisust, siis peaks ta paluma administraatoritel teha ootamatuid toiminguid, mis veenaksid, et tegu ei ole n-ö valimismeepotiga – ettevalmistatud keskkonnaga vaatlejate petmiseks.
Valimiste usaldusväärsus on otseselt seotud neid korraldavate administraatorite usaldusväärsusega. Nende usaldusväärsuses mina isiklikult küll hetkegi ei kahtle. Kuigi kõik toimub vaatlejate silme all, ei õnnestu kõigi komponentide usaldusväärsust siiski kontrollida. Näiteks võib nimeserverit manipuleerides luua keskkonna, kus serveritesse allalaetav operatsioonisüsteemi tarkvara tuleb võltsitud aadressilt, kuhu on paigaldatud kompromiteeritud operatsioonisüsteem. Kuna ründevektoreid on palju ja usaldusperimeetrit ei õnnestu seadmete tootjateni laiendada, siis tuleks rakendada täiendavat turvaprotseduuri. Kindlasti tuleks valimistulemused signeerida juba e-hääli kokkulugeva tarkvara poolt. Rünnak valimistulemuste vastu oleks raskendatud, kui tulemuse arvutaks välja kaks sõltumatut meeskonda, kes kasutavad sõltumatult arendatud ja ettevalmistatud IT-lahendust ja -protseduure. Valimistulemus loetakse korrektseks, kui mõlemad meeskonnad annavad sama tulemuse.
Sedelitega valimisel on ju sama lugu – usaldada tuleb inimesi, kes toimetavad valmiskastide juures ja on puutumuses trükitud valimissedelitega. Usaldus valimiste läbiviijate vastu ongi valimiste peaküsimus, koosnegu siis valimissedel tselluloosist ja trükivärvist või elektronidest ja bittidest.
E-valimistele ei kujuta ohtu see, kui vastased selle turvalisust alatasa kahtluse alla seavad – see sunnib korraldajaid pidevalt turbega tegelema. Ohtlik on hoopis, kui e-valimistes nähakse võimalust. Kui ollakse võimelised valimispäevaks korraldama, et üks linnapea kanditaate on Interpoli poolt tagaotsitav, siis võib juhtuda, et edaspidi tellitakse tehnoloogiliselt keerukamaid „teenuseid”, selliseid, mida NSA Saksamaa kantsleri telefoni sisse häkkides tegi. NSAga võrreldavaid võimeid on ilmselt ka teistel riikidel. E-valimiste populaarsuse kasvades suureneb vastavalt ka ründehuvi. Selleks et säilitada riigi legitiimne valitsemine, tuleb pidevalt investeerida e-valimiste turbesse.

Kui sulle meeldis see postitus jaga seda oma sõpradega

[LoginRadius_Share]
 

Leia veel huvitavat lugemist

Värske Rõhk
Hea laps
LR
Keel ja kirjandus
Akadeemia
Kunstel
Muusika
Õpetajate leht
Täheke
TeaterMuusikaKino
Vikerkaar
Looming
Müürileht