Pildil Tartu Ülikooli informaatikadoktorant Arnis Paršovs. Foto: Lauri Kulpsoo

Alles eelmisel nädalal kuulutas Freedom House Eesti maailma kõige vabama internetiga riigiks, kus suur hulk elanikke kasutab internetti oma igapäevaste toimingute jaoks. Tõsi, pea iga suurem endast ja oma klientidest lugu pidav ettevõte pakub Eestis võimalust interneti kaudu oma teenuseid kasutada. Eestlane saab internetis mobiilioperaatorite iseteeninduses kõneväljavõtteid teha, kindlustusfirmade poliise osta, kommunaalteenuste arveid maksta, bussipileteid või parklaoperaatorite parkimislube osta. Kõigeks selleks peab end internetis tuvastama, mida on kõige turvalisem teha ID-kaardiga. Kui aga ID-kaardi paroolid on ununenud, kaardilugeja kadunud või – nagu tihti juhtub – tarkvara tõrgub?

Kõik eespool loetletud teenusepakkujad lubavad end tuvastada ka internetipanga kaudu, kas paroolikaardi või PIN-kalkulaatori abiga. Just seda meetodit nimetabki noor Läti arvutiteadur Arnis Paršovs oma magistritöös „praktikas äärmiselt ebaturvaliseks”.

Oletame, et kodanik tahab sisse logida AS-i Ühisteenused parkimisportaali parkimine.ee, et kontrollida oma parkimislubade kehtivust või maksta laekunud trahvi. ID-kaardi asemel valib ta enese tuvastamiseks Swedbanki pangalingi, kuhu ta sisestab oma kasutajanime, püsiparooli või koodi PIN-kalkulaatorist. Just järgmises sammus avaldubki risk: tavaline kasutaja jõuab nüüd pärast Swedbankis enese tuvastamist tagasi parkimine.ee lehele, kuid pahatahtlik ründaja võib kogu eelneva pangapoolse tuvastamise vahele jätta ja siseneda parkimisportaali otse.

Isikuandmed kliki kaugusel

Oma lõputöös esitatud kontseptsiooni tõestamiseks tegi Paršovs videod, kus ta sellist ründajat kehastab. Tehniliselt pädevale vaatajale näib videos ette mängitud meetod hirmuäratavalt lihtne. Paršovs näitab, kuidas ta on ilma panga tuvastamiseta nädalavanuste andmetega järsku sisse logitud Krediidiinfo portaali E-seif, Elisa ja Tele2 iseteeninduskeskustesse, paberivabasse ARK-i, pilet.ee portaali, Ühisteenuste parkimine.ee keskkonda.

Kõige suurem turvaauk oli keskkonnas parkimine.ee: Paršovs vahetab videos oma isikukoodi kaasteaduri oma vastu ja pääseb nii parkimisportaali tema identiteediga. Vaid paari kliki kaugusel on kirjas teise kodaniku rahvastikuregistrijärgne aadress...

Viga tekib sellest, et kaupmees ehk teenusepakkuja usaldab liigselt pangalingi andmeid. Teoorias peaks pangalingi kaudu tuvastatud inimese andmeid igati kontrollima, veenduma, et need pole aegunud ja et inimene tuvastas end pangalingis just selle kaupmehe jaoks. Praegu võib aga ühe korra pangalingis tuvastatud inimese andmeid uuesti kasutada kõikide kaupmeeste juures, pahatihti ka päevi või nädalaid hiljem, kui tegelikult inimene tuvastati.

Paršovs, kes lõpetas turvaauke käsitleva magistritööga suvel Tartu ülikooli ja Tallinna tehnikaülikooli ühise küberkaitse õppekava, teavitas leiust ka Eesti CERT-i. Riigi infosüsteemi ameti (RIA) juures tegutsev CERT, mis tuvastab ja lahendab Eesti arvutivõrkudes toimuvaid turvaintsidente, kinnitas läti tudengi avastatud turvaaukude ehedust.

„Paršovs kirjeldab reaalseid haavatavusi ja probleeme möllimis-[autentimis-] protokolliga,” kinnitas RIA infoturbeekspert Toomas Lepik. „Video on nagu õpik veebilehele programmeerijale, mida peaks teisiti tegema ja mida kontrollima.”

Lepik sõnas, et kui töös kirjeldatud nõrkused kuhjuvad ja satuvad kokku teiste veebiprogrammeerimise vigadega, võib see tekitada veebilehele turvaaugu, nagu mitme Eesti leheküljega ongi juhtunud. CERT, mille kinnitusel riiklikud teenused (nagu eesti.ee) on igati turvalised, teavitas infost ka pankade tehnilisi töötajaid, paludes neil omakorda teavitada oma partnereid, kes sellist autentimisteenust kasutavad.

Kasutajad eelistavad panka

Kuigi kirjeldatud turvaauku saaks vältida ID-kaardi kasutamisega, eelistab enamik inimesi siiski e-teenustesse pangalinkide kaudu sisse logida. Näiteks riigiportaali eesti.ee (mis seda turvaviga ei sisalda) statistika järgi toimub 60 protsenti sisselogimistest pangalingi kaudu, 37 protsenti ID-kaardiga ja kolm protsenti mobiili-ID-ga.

Paršovsi sõnul on veebilehe parkimine.ee turvaauk vaid lihtne näide võõra isiku identiteedi võtmisest. „On ka teine turvarisk, mida on raskem mõista, kuid mida ma olen praktikas proovinud,” sõnas ta. Selle järgi saab e-teenuse pakkuja ise täiesti takistamatult varastada oma klientide identiteete ja neid teiste teenuste juures võõraks kehastudes kasutada. „Põhjus on selles, et [kord pangas tuvastatud isikuandmetel] pole juures mingit märget, millise teenusepakkuja jaoks need mõeldud on. Seega saab kord tuvastatud kasutajaks kehastuda ka kõikides teistes keskkondades,” selgitas Paršovs.

Üheks stsenaariumiks on sissemurdmine mõnda veebikeskkonda, kus kurjategija saab ligi andmetele, mis võimaldavad tal selle portaali klientideks kehastuda. Kuid Paršovs tõi turvariski näiteks ka tõeliselt pahatahtliku teenusepakkuja, kes ebaturvalist isikutuvastamist kurjasti ära kasutab. „Enamik inimesi laiutab käsi ja ütleb, et see on nii teoreetiline võimalus – kuid kuna pankade autentimistehnikaid keegi ei kontrolli, on need tõelised riskid.”

Olgu öeldud, et Paršovsi leitud turvaauk puudutab teise kodaniku identiteedi varastamist või temaks kehastumist kaupmeeste või teenusepakkujate juures, mitte aga pangatehinguid või internetipanka sisse logimist. Sellegipoolest saaksid pangad turvariski kaotada, nõudes teenusepakkujatelt tihedamat kontrolli.

Pangaliit asub tegudele

RIA hinnangul on probleemis süüdi need e-teenuste pakkujad, kes panga autentimisse lohakalt suhtuvad. „Kirjeldatud nõrkused on panga möllimisteenust kasutavate veebilehtede probleem ning hooletu veebilehe omaniku vastutada,” ütles Toomas Lepik RIA-st.

Sama kinnitavad ka suuremad pangad. „Töös mainitud ohud ei tulene peamiselt mitte ebaturvalisest Swedbanki pangalingist, vaid pangalingi võimalikust nõrgast implementatsioonist kaupmehe juures,” märkis Swedbanki elektrooniliste kanalite juht Arno Pae. SEB kommunikatsioonijuhi Silver Vohu teatel on aga „üleskerkinud küsimuse” lahendamiseks kokku kutsutud pangaliidu töögrupp. „Lahendus on leitud ja see ei ole tehniliselt väga keerukas, kuid eeldab ka kõikide teenusepakkujate poolseid muudatusi oma süsteemides, seepärast võtab lahenduse juurutamine aega,” ütles Vohu.

Paršovsi sõnul püütakse tõenäoliselt leitud turvaaukude tähtsust pisendada. „Kõik osapooled kinnitavad, et need riskid on väga hüpoteetilised ja päris elus teostamatud,” sõnas ta. „On arusaadav, et kui pangad peaksid oma isikutuvastust parandama, siis see nõuaks tohutut programmeerimistööd pankade poolel ja sama ka iga üksiku e-teenuse pakkuja juures. Pankade isikutuvastust internetis pole [Eestis] kunagi auditeeritud ja vaid ühel välistudengil tuli idee uurida, kuidas üks kõige levinum meetod loodud on.”
NimekiriVeebilehed, mis sisaldasid rohkem või vähem ohtlikku turvaauku

Pangad:

••Krediidipank

••Nordea

••Sampo

••SEB

••Swedbank

Keskkonnad:

••arved.ee

••arvekeskus.ee

••compensalife.ee

••eesti.ee

••elion.ee

••elisa.ee

••emta.ee

••emt.ee

••energia.ee

••eparkimine.ee

••e-register.ee

••ergo.ee

••e-seif.ee

••ettevotjaportaal.rik.ee

••g4s.ee

••gaas.ee

••iizi.net

••kindlustus.ee

••kinnistusraamat.rik.ee

••korteriyhistu.net

••lkf.ee

••mandatumlife.ee

••paberivaba.ark.ee

••parkimine.ee

••partnercard.net

••pensionikeskus.ee

••pilet.ee

••stat.ee

••stv.ee

••tallinnavesi.ee

••tallinn.ee

••tele2.eeKommentaarJuhendaja: auk võis jääda aastateks tähelepanuta

Peeter Laud
Infoturbeinstituudi teadusdirektor, PhD

Arnis on tegelikult oma töös mitmele erinevale nõrgale kohale tähelepanu juhtinud. Üks neist on klassikaline man-in-the-middle rünne: kui kasutaja U võtab ühendust teenusepakkujaga S, kes on juhtumisi pahatahtlik, siis võib S mõnda teise teenusepakkujasse S' sisse logida ja ütelda, et hoopis tema on U.

Teine asi on panga poolt kasutaja kaudu teenusepakkujale saadetud autentimisteadete aegumine. Kuna osades protokollides neil teadetel pole „parim enne” aega, siis võib olla võimalik vana autentimisteadet kasutada sisselogimiseks. See ei ole otsene nõrkus, kuid mingites keerulisemates rünnetes (kui kasutajal pole täielikku kontrolli oma arvuti üle) võib see kasutatavaks osutuda.

Kolmas asi on protokollide implementeerimise vead teenusepakkujate juures. Mõni signatuuriverifitseerimine või muu kontroll võib olla tegemata jäänud.

Eks kõik need vead ole omamoodi tõsised. Samas on ökosüsteemi väiksuse tõttu – ühekohaline arv pankasid ja kümned teenusepakkujad – nende parandamine tehniliselt lihtne: tuleb uus protokolliversioon kasutusele võtta ning implementatsioonidesse vajalikud kontrollid sisse viia. Nii pisikeses seltskonnas ei tohiks koordineeritud tegutsemine võimatu olla. Samasuguste vigade uut tekkimist see muidugi ei garanteeri. See on juba rohkem hariduse küsimus.

Usun, et teadlased pole varem isiklikust huvist Eestis pangalingi kaudu autentimise protokollide turvalisust uurinud. Teaduslikult on tegemist „igavaid” asju tegevate/saavutavate protokollidega, vastandina näiteks Mobiil-ID-le. Selles mõttes on väga hea, et küberkaitse õppekava on meile toonud tudengeid, kellele need teemad huvi pakuvad.

On täitsa võimalik, et selline auk on jäänud aastate jooksul tähelepanuta. Arvan, et sellel on kaks põhjust. Üks neist on eelmainitud ökosüsteemi väiksus: selles seltskonnas võiks olla võimalik üksteisel silma peal hoida ning mingit ülevaadet omada sellest, kas mõni teenusepakkuja on pahatahtlikuks hakanud. Teine põhjus on see, et viimased kümme aastat on pangalingi kaudu autentimine olnud Eestis tulevikuta tehnoloogia – primaarseks autentimisvahendiks on ikkagi ID-kaart.IvaMilles probleem seisneb?

Internetipanga vahendusel isiku tuvastamine on nii tehnilisel kui ka juriidiliselt reguleerimata tegevus. Kui üks kaupmees otsustab pakkuda oma klientidele võimalust internetis end panga kaudu tuvastada, ei kontrolli lõpuks keegi, kas kogu süsteem on ikka kliendile turvaline. Pank eeldab, et tema partneriks olev kaupmees teeb kõik kontrollid, et kliendi identiteeti ei saaks varastada. Kaupmees ootab, et pank pakub talle täisteenust. Kaotajaks jääb klient.

Arnis Paršovs ütleb, et sellise isikutuvastamise panga vahendusel peaks kiiremas korras ära lõpetama. „Ma olen ID-kaardi tugev toetaja, sest sellest turvalisemat meetodit pole praegu loodud.”

Niisiis – ärge logige teenusepakkuja juures sisse pangalingi kaudu, vaid – kui vähegi võimalik – tuvastage end otse ID-kaardiga, ja te olete teinud kõik võimaliku oma andmete kaitseks.TulemusMagistritöö pani Lätis panka süsteeme parandama

Arnis Paršovsi magistritöö näitas lisaks Eestile sama turvariski ka Läti pankade ja e-teenuste süsteemides. Ka Läti riiklik arvutiturbe üksus CERT kinnitas Läti TV3 saatele „Ei midagi isiklikku”, et Paršovsi analüüsil on tõepõhi all ja oht eksisteerib. Analüüs tõstis esile, et teistest lõdvema kontrolliga olid Lätis Swedbanki ja Citadele panga autentimisvahendid. Citadele panga kõneisik ütles septembri alguses Läti TV3-le, et kuigi vahend ei ole otseselt ebaturvaline, on nad asunud seda parandama ja kuu aja jooksul peaks ka parandus valmima. Läti Swedbank ütles saates, et viga on teoreetiline ja praktilises elus ebatõenäoline.

Läti, kus ID-kaardi kasutamine internetis pole veel nii levinud, pakuvad aga enamik e-teenuseid võimalust end panga kaudu tuvastada. Saatele kommentaari andnud riiklike ja eraettevõtete e-teenuste esindajad ei kiirustanud aga oma süsteeme parandama, vaid jäid ootama pankade initsiatiivi.