ID-kaart võib luba küsimata nime ja isikukoodi edastada

November 04, 2010

2. novembril sai laiemalt kättesaadavaks info ID-kaardiga seotud privaatsete andmete lekke kohta, kus veebilehed saavad kasutaja nõusolekuta lugeda kaardil olevaid andmeid. Panen oma poolt isiklikuks mälestuseks küsimuste-vastuste vormis kirja, mida asjast tean.

Spetsialistidele märkuseks: mul polnud mahti kõike infot kontrollida. Kui info on kontrollimata, siis nii ka ütlen. Kui targemaks saan, siis täiendan jooksvalt.

Milles on probleem?
Kui külastad mõnda veebilehte, Sul on arvutis ID-kaardi tarkvara, ühendatud ID-kaardi lugeja ja seal sees ID-kaart, saab see veebisait lugeda kaardilt Sinu nime ja isikukoodi.

See oli lihtinimesele mõeldud inimkeelne kokkuvõte. Paluks sama asi täpsemalt ja tehnilisemalt.
ID-kaardi tarkvara koosneb hulgast komponentidest. Üks komponent on plugin erinevatele brauseritele, mis võimaldab veebis brauseri abil digiallkirja anda. Näiteks, kui netipangas allkirjastad maksekorraldust, siis ühel hetkel kargab lahti dialoog, mis PIN2 küsib. Selle jaoks ongi see plugin. Paistab, et allkirjastamisprotsess on üles ehitatud nii, et mingil hetkel protsessi käigus loeb plugin kohalikust arvutist (ID-kaardilt või Windowsi serdihoidlast) allkirjastamisserdi ja saadab selle serverile. Ja tuleb välja, et seda pluginat on võimalik serdi kättesaamiseks kasutada ilma, et tegelikult midagi allkirjastataks. Allkirjastamisserdis on kirjas nimi ja isikukood ja kui nüüd server need kätte saab, ilma et kasutajalt midagi küsitud oleks, siis seda võibki vaadelda infolekkena.

No ja siis?
Kasuta oma fantaasiat. Näiteks kirjutad Delfis nõmedat kommentaari “kägurebane” nime all, arvates, et kes seda ikka näeb. Aga Delfi jätab meelde, et “kägurebane” oled tegelikult Sina. Ja müüb selle info näiteks oma reklaamiandjatele, kes saadavad Sulle reklaami “kõigile kägurebastele, kes nõmedaid kommentaare kirjutavad, tatar täna Säästumarketis poole hinnaga.” Või näiteks teevad Delfi ja rate.ee koostööd ja leiavad, kuna mõlemad teavad isikukoodi kaudu kasutajat, siis “kägurebane” delfi kommentaatoril on rates väga kole pilt. Jne. Need näited on üsna mõttetud, aga vt kommentaaridest tõsisemaid stsenaariume.

Kas mõni veebileht või teenusepakkuja on midagi sellist teinud ja kuidagi kasutajate andmeid halvasti kasutanud?
Avalikult teadaolevalt mitte.

Aga kas on võimalik, et mõni sait on oma kasutajate kohta sel viisil andmeid kogunud ilma, et see kuidagi nähtav oleks?
Jah.

Kas see on mingi väljamõeldis või ma saan ise ka praktikas näha, et see toimib?
Mine http://id.anttix.org/leak/leak.html ja jälgi mängu.

anttix.org kõlab nagu mingi häkkerite sait, kas nemad varastavad mu andmed ära ja saadavad mulle tatra reklaame nüüd?
Lehe autor anttix on Eestis tuntud ja tunnustatud IT- ja turvategelane ja tal pole mingit põhjust Sulle käru keerata ja oma hea nimega riskida.

Vau, ma töötan turunduses ja mulle väga meeldiks selliselt oma külastajate kohta infot koguda, siis ma saan neile saata põnevaid eksklusiivseid pakkumisi! Kust ma leiaks infot, kuidas seda teha? Kas sa aitaks mul sellise saidi teha?
Ei ütle. Ei aita.

Kas nimi ja isikukood on ainsad andmed, mida kaardilt sel viisil saab lugeda?
Jah. Plugin loeb digiallkirjastamise serti ja ainsad isikuandmed seal on nimi ja isikukood.

Aga ID-kaardil on ju mingi isikuandmete fail, kus on ID-kaardi number ja kõiksugu muud infot?
Selle konkreetse andmelekke kontekstis käib jutt ainult allkirjaserdist.

Kui ma kogun isikukoode, siis ma saan ju saata spämmi isikukood@eesti.ee aadressile.
Siiski mitte. Selline aadress on küll kõigil ID-kaardi kasutajatel olemas, aga sinna saavad kirju saata ainult lubatud saatjad. Lubatud saatjaid saad näha eesti.ee portaalis ametliku meiliaadressi seadistustes. Kui sa pole lubatud saatja ja saadad isikukood@eesti.ee kirja, siis tuleb tagasi selline vastus.

Höhöhö, see on kindlasti mingi lollide Windowsikasutajate probleem, ma kasutan Maci või Linuxit ja mind see ju ei puuduta?
Testisin ise, et probleem on tuvastatav nii Windowsis kui Macis IE, Firefoxi ja Safariga. Linuxit ei viitsi hetkel proovida.

Ma mõtlesin, et ID-kaarti pole võimalik ilma PIN-koodita kasutada?
ID-kaardil on kahte liiki andmeid: avalikud ja salajased. Sinu privaatvõtmed, mida kasutad digiallkirjastamiseks ja ID-kaardiga sisselogimiseks, on PIN-koodidega kaitstud. Avalikke andmeid, nt Sinu nimi ja isikukood, saab tarkvara lugeda ka PIN-koodi sisestamata.

Kas see nüüd tähendab, et suvaline veebisait saab mu ID-kaardi andmed ära varastada, minu nime all netipanka sisse logida, seal raha liigutada ja muud jama teha?
Ei tähenda. Kõik tegevused, mis PIN-koodi vajasid, nt netipank, maksuamet jne, vajavad ka edaspidi PIN-koodi.

Kas keegi on kuskil midagi ära/lahti häkkinud, et see jama teatavaks sai?
Ei ole. Ilmselt on kogu süsteem kogu aeg nii toiminud, aga see sai hiljuti laiemalt avalikult teadvustatud. Võib ka öelda, et asi, mida enne vaadeldi kui “feature,” kvalifitseeriti nüüd ümber “bugiks.”

Mis ajast selline auk kaardil on olnud?
(Vajab täpsustamist. Mis ajast allkirjastamise plugin komplektis on? Anttix väidab, et “Tigedaks teeb tõsiasi, et see viga on olnud juba vähemalt viis aastat teada ja SK ei tee mitte midagi, et olukorda parandada”)

Mis ajast ID-kaarte ja tarkvara levitama hakati?
2002.

Nii et võimalik, et alates 2002 on selline käitumine olemas olnud?
Jah.

Kes selle eest vastutab?
ID-kaardi tarkvarapoolega tegelevad Eestis AS Sertifitseerimiskeskus ja RIA. Kaardi väljaandmisega tegeles varem Kodakondsus- ja Migratsiooniamet, mis nüüd on Politsei- ja Piirivalveameti koosseisus.

Kas SK, RIA või politsei on kogu sellest loost teadlikud? Mis nad sellest arvavad?
Ei tea. Avalikult pole midagi kuulda olnud.

Kas ma saan kuidagi ise teha nii, et minu andmeid loetakse ainult siis, kui ma seda luban ja sellest teadlik olen?
Sõltub sellest, kas kasutad Windows+IE või midagi muud.

Ma kasutan Windowsit+IEd. Mis ma tegema pean?
IE millegi muuga asendama. Tegelikult ka, on sadu põhjuseid, miks seda tegema peaks. Tänapäeval on Chrome kõige parem valik. Aga okei, kui jääd IE juurde, siis tasub teada, et Windowsis paigaldab IE kõik serdid, mida ta näeb, Windowsi serdihoidlasse. Ja kui juhtud veebilehele, mis kirjeldatud viisil infot kogub, saab ta allkirjaserdi kätte arvuti serdihoidlast ja kaarti pole vajagi. Siin on aga huvitav asjaolu, et kui serdihoidlas on mitu serti, ei suuda ta õiget valida ja kargab lahti dialoog, mis laseb ühe serdi valida ja näeb välja selline.

Järelikult, kui tahad ennast IE puhul selle konkreetse lekke vastu kaitsta, võib arvutisse paigaldada mõne lisaserdi, siis näed iga kord, kui see dialoog lahti kargab.

Räägi sellest serdihoidlast veel natuke. Kuidas ma näha saan, mis serdid mul arvutis on, ja neid ehk ka kustutada?
Käivita Windowsis käsk “mmc” ja otsi seal üles “Certificates” paneel ja näed sellist pilti. Kui sertide peal (parem)klõpsid, saad nendega igasugu operatsioone teha.

Kogu see serdihoidla värk on põnev, aga ma ei saanud ikkagi päris aru ja ei oska oma arvutis õiget nuppu üles leida, räägi natuke puust ja punasemalt?
See on keeruline teema ja ma ei viitsi ja see kisub teemast kaugele. Otsi oma lemmikspetsialist või IT-ajakirjanik üles, las nemad seletavad. Aga see on rohkem selline friikide värk, mida ID-kaardi tavakasutamiseks ei ole vaja teada ega näppida.

Vau, sul on Edgar Savisaar sõber ja käib sinu arvutis dokumente allkirjastamas…
Ei, ma tõmbasin selle serdi õppeotstarbel ldap.sk.ee seest, kust saab kellegi isikukoodi teades tema kehtivaid serte alla laadida, mis on ID-kaardi ja digiallkirja toimimiseks vajalik, tavaline ja normaalne funktsioon.

Ma kasutan mõnda muud kombinatsiooni kui Windows+IE. Mis ma tegema pean?
Hoia ID-kaarti lugejas ainult siis, kui sellega reaalselt midagi teed, muul ajal võta välja. Ära hoia samal ajal brauseris lahti mittevajalikke aknaid. Muude süsteemide kui Windows+IE puhul paistab, et sertide nähtavus arvutis on seotud kaardi lugejas olemisega. Kui kaardi eemaldad, kaovad ka serdid arvutist ja lekke oht kaob. Võib-olla on abiks ka teine tarkvara, vt järgmine küsimus.

Ma kuulsin, et on olemas mingi uus, avatud lähtekoodiga versioon ID-kaardi tarkvarast, kus see probleem on lahendatud.
Jah. Selles “uues” tarkvaras pead käsitsi ära määrama saidid, millel olles tohib plugin andmeid edastada. Kui lähed saidile, mis lubatud nimekirjas pole, näed sellist asja.

Kas see on hea kasutajaliides ja lahendab probleemi?
Ei, see ei ole eriti kasutajasõbralik ega arusaadav. Aga kasutaja teadmata tema andmete edastamise lubamine on veel vähem kasutajasõbralik.

Miks on ID-kaardil mitu tarkvara, üks on see eelmine ja teine on id.eesti.ee? Kas neil muud sisulist vahet ka on peale selle, et ühes väidetavalt andmelekke probleem esineb ja teises on parandatud? Kuidas normaalne inimene aru saab, kumb tarkvara tal arvutis on ja kumma ta peaks paigaldama? Kas mõni neist edaspidi kaob ära või ühendatakse nad omavahel vms?
Ei tea.

Ma kasutan mobiil-IDd. Kas see juhtum puudutab mind kuidagi?
Ei. Jutt on ainult ID-kaartidest, digi-IDst ja tont teab veel kuidas neid kutsutakse tänapäeval, mis on füüsilise kaardi kujul ja käivad arvuti küljes olevasse kaardilugejasse.

See on ikkagi mingi imelik segane jutt ja nende andmete sel viisil lekitamises pole mingit probleemi.
See pole küsimus, proovi uuesti.

Mul läks juba meelest ära, miks on probleem, et veebisaidid saavad kasutaja nõusolekuta tema nime ja isikukoodi lugeda?
Uuemal ajal mõeldakse privaatsuse all eelkõige kontrolli andmete liikumise üle. Kui süsteem teeb inimeste andmetega seda, mida nad ei eeldanud või teadlikult ei lubanud, siis vähendab see usaldust kogu süsteemi vastu, eriti kui süsteemi on turvalisena reklaamitud ja see usaldusel põhineb. Näiteks:

Fundamentally, privacy is about having control over how information flows. It’s about being able to understand the social setting in order to behave appropriately. To do so, people must trust their interpretation of the context, including the people in the room and the architecture that defines the setting. When they feel as though control has been taken away from them or when they lack the control they need to do the right thing, they scream privacy foul.

ID-kaart on mäda ja kõik on lollid. Olgem ausad see id kaardi asi on üks eesti it näljase kassi projekt
See pole küsimus, proovi uuesti.

Kas see andmeleke tähendab, et ID-kaart ja e-riik on mäda ja süsteemis on midagi olemuslikult valesti ja kasutaja/privaatsusevaenulik?
Teerajajana tuleb leppida sellega, et aeg-ajalt võssa pannakse, kui teised pole juba head teed ette teinud, mida mööda mugav minna oleks. Tuleb lihtsalt välja tagurdada ja edasi kütta. ID-kaart tegeleb maailmas paljuski maailmas läbiproovimata teemadega ja tehnoloogiat kasutatakse uudsel viisil, millele selle väljamõtlejad ehk algul ei osanud mõelda ja kõike arvesse võtta. Kuna tegu on tarkvaraga, mitte kapitalimahukate ehitistega vms, siis saab vigu ka üsna odavalt parandada, lihtsalt tarkvara parandades ja levitades, mis tegelikult ju pole väga kallis.

Siin jutus on midagi valesti/puudu.
Kuigi ka see pole küsimus, siis sellegipoolest kirjuta kommentaar või säutsu @jaanus ja ma parandan või lisan.

Kas mõtlesid ise selle küsimuste-vastuste formaadi välja?
Ei. Mulle meeldib, kuidas Mikko Hypponen F-Secure’ist kirjeldab nende blogis sel viisil teisi turvajuhtumeid, vt näiteks Stuxneti analüüs.