Anto Veldre: Ühisteenuste trahviveebist leitud turvaauk on muldvana, nii et kuidas see sinna sattus?

Foto: Marko Saarm/Scanpix

Möödunud nädala rohkete turvakonverentside sekka kadus peaaegu ära uudis AS Ühisteenused trahviveebist leitud turvaaugu kohta. Uudise toon oli energiline, rõõmus ja roosa – vabatahtlik leidis turvaaugu, andis sellest saidiomanikule teada, auk parandati ning logidest olla nähtunud, et ükski teine isik polevat mainitud turvaauku kunagi ära kasutanud.

Infoturbespetsialistidel jäi säärasest meediakajastuset väga mõru järelmaik. Alustada tuleb tõdemusest, et turvaaugu omanikuks oli mitte saba ja sarvedeta “ühisteenuste veeb”, vaid rahvusvahelisele turvateenuseid (!) osutavale suurkontsernile G4S kuuluv turvateenust (!) osutav ettevõte AS Ühisteenused.

Võiks naiivselt eeldada, et põhitegevusena turvateenust osutaval firmal on asjad kindlasti korras olla ka infoturbega. Ilmselt siis sellest ka mõningane hillitsetus firma täisnime väljakirjutamisel.

Mittespetsialistile võis seekordse turvaaugu olemus jääda hoomamatuks, sestap selgitan. Kui mingit infosüsteemi kasutab palju isikuid, siis tuleb neist igaühe andmeid hoida üksteise eest varjatult. See tähendab, et kui sisseloginud isik internetisirviku aadressribal võltsib oma trahvikviitungi numbrit, näiteks kirjutab trahvikviitung=12345 asemele trahvikviitung=12347, siis sellegipoolest ei tohiks ta võõraid andmeid (võõrast trahvikviitungit) näha.

Asjal on suured mõjud

Veel hullem – kui trahvikviitungi number ära võltsida, siis ei tohiks tekkida õigust kõigi teiste toimikute piilumisels, võõraste isikuandmete vahtimiseks, autonumbrite nägemiseks jne. Infosüsteem, kus üheainsa identifikaatori “käigult väljavahetamine” annab tehnilise võimaluse vaadata sadu tuhandeid võõraid kirjeid, on sedavõrd praak, et see tulnuks päevapealt sulgeda.

Ma tõesti ei tea, kas saab usaldada säärase süsteemi logisidki, kuhu sisenenud isiku õigusi ei piirata ja kus ripuvad avalikult vaatamiseks väljas kõigi kaaskodanike trahvikviitungid.

Foto: Toomas Huik/PM/Scanpix

Eestis on kahjuks juurdumas tava, et piisavalt suuri ja vigaseid süsteeme (nagu omal ajal pea kõiki häid tavasid eiranud rohekaardisüsteemi) ei taheta poliitilistel põhjustel päevapealt sulgeda, vaid ohu tegelik suurus peidetakse avalikkuse eest ning lubatakse turvavea omanikul asi vaikselt korda teha. Selle meetodi puuduseks on, et süsteemile sooritatakse sageli vaid iluremont ning avalikkus ei saagi kunagi teada, kui auklikud on/olid mõned infosüsteemid tegelikult.

Konkreetsel juhul on tegu avalikkusele pakutava ulatusliku teenusega, kus infoturbenõuded pidanuks olema sõnastatud ammu enne süsteemi konstrueerimist. Infosüsteemi arhitekt oleks turvanõuetesse pidanud kirjutama: “tuleb tagada, et kliendid ei näeks üksteise andmeid”, disainer oleks pidanud selle nõude tööülesandesse plokkskeemina lahti kirjutama ning programmeerija koodis teostama.

Seda kõike aga aga ei juhtunud. Võib öelda, et kõik mainitud isikud (eeldusel, et neid üldse kaasati) jätsid osa tööd tegemata. Tellija ei nõudnud täitjalt turvalist ja headele tavadele vastavat veebi, vaid palus kiiresti mingi käki kokku traageldada.

Itimeestel pigem polnudki ees nõudeid, mille alusel turvalist koodi kirjutada. Kokkuvõttes – sellelt veebisaidilt polnudki turvalisust kunagi nõutudki, mistõttu pigem tuleb uskuda, et vahele jäädi vaid ühe veaga paljudest. See aga on juba juhtimistasandi mure, mitte üksik infoturbeintsident.

Kui levinud säärane praktika on?

Ent ikkagi – kui tavaline on AS Ühisteenused trahviveebist leitud turvaauk? Selgub, et tegu on muldvana ja täiesti lubamatu veaga. Maailmas eksisteerib organisatsioon nimega OWASP (Open Web Application Security Project), mille eesmärgiks on veebide turvavigu vältida ja ära hoida. Organisatsioon on oma kodulehel loetlenud veebikeskkondade top10 turvavead.

Nii näiteks, kui võtame ette 2010. aasta versiooni top10 turvavigadest, siis neljandana sillerdabki seal Ühisteenuste poolt sooritatud eksimus “A4-Insecure Direct Object References”: “piiratud ligipääsuga andmeressurssi otse viidates tuleb tagada, et seejuures kontrollitaks kasutajaõigusi.” Sama viga leiab nimetamist juba aasta 2007 top10 vigade hulgas, samast leiame ka viite, et just selle veaga murti sisse Austraalia maksuametisse aastal 2000 (!) ning lohistati ära 17 tuhande idufirma andmestik.

Kasutajaõiguste kontrolli puudumine on sedavõrd sügav puudujääk, et AS Ühisteenuste veebist on kindla peale leida suur ports muid, vähemtuntud turvaauke. Kuid asi pole konkreetses firmas, vaid laiemas mõtteviisis.

Kaks olulist järeldust: AS Ühisteenused trahviveebis leitud viga oli maailmas laialt teada ja sissemurdmiseks kasutusel juba 18 aastat tagasi. See aga tähendab, et meie ühiskonnas puuduvad tõhusad mehhanismid, mille abil järgmised tegijad eelmiste vigu vältida saaksid.

Lisaks on selgunud turvaaugu sisu: trahviveebis puudus kasutajaõiguste kontroll. Ja seda lugupeetud ettevõttes, mis on sertifitseerunud ISO 9001 kvaliteedistandardile. Retooriline küsimus – kuidas on turvalisusega lood pisemates ja vähemnõudlikes firmades, kus kvaliteedile niipalju energiat ei pühendata?

Miks keegi varem selle otsa ei komistanud?

Küsimusele, et miks keegi varem selle vea otsa ei komistanud, on olemas lihtne, kuid üllatav vastus – trahviveebi tuleb eelnevalt sisse logida. Kui kasutaja on end veebis ID-kaardiga tuvastanud, sealt edasi tähendaks iga häkkimiskatse isedokumenteeruvat kuritegu.

Sisuliselt laseb eraettevõte liugu e-Eesti tõhusa legaalkeskkonna seljas – uskudes, et lukke pole vajagi, piisab üksnes seadustest. Austatud auguomanik siiski eksib – Eestis on olnud piisavalt juhtumeid, kus ID-kaardiga tagatud isikusamasus pole kurjategijal takistanud miljonite kirjete kaupa võõraid andmeid minema lohistamast.

Selles valguses teiseneb igapäevameedia lihtsakoeline rõõm turvaaugu avastamise ja “äralappimise üle” hoopis sügavaks kurbuseks. Ehk on auguomaniku kiitmine kiire äraparandamise eest hoopis PR-manööver eesmärgiga varjata olulise teenuse lubamatult madalat turvataset?

Kaks kümnendit vana OWASP top10-sse kuuluva vea esinemine osutab parasjagu sügavatele puudustele süsteemi arhitektuuris ja disainis ning sunnib küsima, et kas probleemiga ei peaks tegelema Andmekaitse Inspektsioon. Eraisikule on tähtis ka asjaolu, et AS Ühisteenused on mõne omavalitsuse territooriumil monopoolne teenusepakkuja – tema juurest pole võimalik konkurendi juurde “ära minna” – ehk siis teenusekvaliteedi osas on parkija pandud sundseisu.

Kokkuvõttes: e-Eesti müüdid ja imed ei tähenda, et peaksime või tohiksime jätta oma veebid elementaarse kaitseta ning tolereerima erafirmasid, kes ei pööra turvalisusele piisavat tähelepanu.

Riik tegi ettevõtlusele aastal 2015 karuteene, pöörates arengurajale, kus detailne info paljude turvavigade kohta on tunnistatud riigisaladuseks (Riigisaladuse ja salastatud välisteabe seadus, §10, lg9). Sest kui konsolideeritud intsidendiinfo pole avalikult kättesaadav, pole ka võimalik intsidentidest teadlik olla ega neist õppida.