Esileht Uudised IT-ekspert paljastab Eesti e-valimiste süsteemi puudused ning selgitab, miks e-hääletuse süsteem ei ole usaldusväärne.

IT-ekspert paljastab Eesti e-valimiste süsteemi puudused ning selgitab, miks e-hääletuse süsteem ei ole usaldusväärne.

Infotehnoloogia ekspert, turvatestija ning arendaja Kalevi Koplik selgitab, miks Eestis kasutatav e-hääletuse süsteem ei ole usaldusväärne, kirjutab Uueduudised.ee.

1. Iga kriitilise tähtsusega süsteemi käitamisel ja administreerimisel kehtib nn „mitme silma reegel“ – mis e-valimiste kontekstis ei ole rakendatud. Isegi tuumaraketti ei saa Putin üksi teele saata, selleks on vaja „mitut võtit“ ja eelnevaid lõpetatud tegevusi. Meil on piiramatu ligipääsuga insenere, tehnikuid ja muud personali, kellel on süsteemile 24/7 ligipääs nii füüsiliselt kui kaugligipääsuna. Nende töövahendid ei ole pitseeritud, toimetatakse nendega asutuses sees kui ka asutuseväliselt.

2. Kuidas on kaitstud juursertifikaat, mis kogu meie digiriiki käitab? Juursertifikaadist luuakse absoluutselt kõik ID-kaardi signeerimiseks vajalikud võtmed kõikidele kodanikele. See isik, kellel on ligipääs sellele võtmele, on automaatselt kõige suurema ligipääsuga isik EV’s. Võtmeid on võimalik kopeerida, edastada e-mailiga või ükskõik millise sõnumside rakendusega. Võtme maht on suurusjärgus 4KB (kilobaiti), ehk flopy-kettale mahuks neid isegi 250 tk. Võtit on võimalik välja printida, kuna tegemist on sisuliselt tekstifailiga ja selle sisu on loetav. Juursertifikaadi omanik võib allkirjastada ükskõik kelle nimel ükskõik mida, sest ta saab endale vajaliku ID luua.

3. Arendustegevuste käigus luuakse alati testkasutajaid, see on normaalne praktika ja vajalik tegevus, et kontrollida süsteemi vastupidavust. Tihtipeale neid testkasutajaid käitatakse robotitena, kes teevad teatud või suvalisi tegevusi. Nad on testkasutajad, aga süsteemi mõttes täiesti legitiimsed kasutajad, kelle isikukood võib hiljem tuvastamiseks alata näiteks numbriga 7 või 8. Testimiste käigus „elavad“ testkasutajad ka rahvastikuregistris. Täna on selgusetu, kuidas on välistatud testkasutajate sattumine tahtlikult või tahtmatult valimiste ajaks nimekirja, sest nimekirja kontrollida keegi sõltumatult ei saa.

4. Tarkvara, mis on loodud valimiste läbiviimiseks ei ole valimiste perioodil jälgitav. Lähtekood on osaliselt avatud ja laetav, aga kas kasutati just konkreetset lähtekoodi või on lisatud muudatusi, seda ei ole võimalik kontrollida. Valimisperioodil on võimalus teha kõikvõimalikke muudatusi süsteemi tarkvaras selliselt, et see ei vaja erinevate osapoolte kinnitust.

5. Igal süsteemil ja seadmel, mida kasutakse võrgus on „root“, „superuser“, „administrator“ kasutaja, mille kasutamine annab õiguse süsteemi täielikult hallata ja teha muudatusi, kustutada muudatuste infot. Sellised ligipääsud on jagatavad, need ei nõua eraldi isiku tuvastamist. See on risk, mille mitterealiseerumist peab olema võimalik kontrollida erapooletult hääletamise ajal ja hääletusejärgselt.

6. Täiesti selgitamata ja dokumentatsioonita on võrguarhitektuur. Dubleeritud lahendused on tänapäeval normaalsus, et kõik süsteemid töötaksid ühe või mitme komponendi tõrkumisel edasi. Nii on ka e-valimisteks kasutatavate seadmetega – kõik on dubleeritud n-arv seadmetega. Tihtipeale hoitakse dubleeritud üksusi eemal põhiüksusest (teises majas, -linnaosas, -linnas, -riigis) vastavalt riskianalüüsile. Kuna dubleeritud üksused on identsed, siis nende üle kontroll, ligipääsetavus (füüsiliselt ja kaugligipääs) peab olema monitooritav terve valimisperioodi ajal. Üksikult ühe seadme raames on arhitektuuri kirjeldatud, aga tervikpilti kirjeldatud ei ole, kus oleks nähtavad ka need seadmed ja serverid, mis pakuvad nö teist õlga lahendusele. Identset lahendust on võimalik käitada võrguühenduseta paralleelselt avalikuks kasutamiseks mõeldud lahendusega. Ehk saame luua olukorra justkui toimuks kaksvõi rohkem valimist samaaegselt ja luua erinevaid stsenaariume soovitud lõpptulemuse saamiseks.

7. Valimiste ajal kasutatud kõvakettaid ei ole võimalik inspekteerida, et tuvastada varjatuid ketta partitsioone, millel võivad olla andmed, mis on sinna enne lisatud. Need on andmekogud mida ekraanilt näidates ei näe. Kettal oleva info varjamiseks on võimalik kasutada erinevate teenusepakkujate programme, mis varjavad andmekogud selliselt, et operatsioonisüsteem ei ole neid üldse võimalik tuvastama ega kuvama. Neid on võimalik tuvastada ainult selleks esialgu kasutatud programmiga ja andmete lugemine saab toimuda ka taustal ilma aktiivse kopeerimisaknata, kui kasutada selleks esialgset programmi, millega andmeid varjatakse.

Kalevi Koplik
Süsteemiinsener / Turvatestija / Arendaja

 
Allikas : Uueduudised.ee

Viimased uudised