Sertifitseerimiskeskus teatas eile ID-kaardi tarkvara olulisest uuendusest, mille kõik tarkvarakasutajad peaksid turvariskide vältimiseks oma arvutisse paigaldama.
ID-kaardi tarkvara ohtlik turvaauk sai paranduse
/nginx/o/2013/06/13/1827734t1hc32a.jpg)
23. august 2013, 18:12
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Sertifitseerimiskeskus pani eile oma kodulehele välja teate, milles seisab: «Parandatud kriitiline viga DDOC failide käsitluses. Seda viga ära kasutades on võimalik ohvri arvutis tema kasutajaõigustes üle kirjutada suvalisi faile, kui ründaja meelitab kasutaja avama spetsiaalselt vormindatud digiallkirjastatud faili.».
Riigi Infosüsteemi Ameti (RIA) pressiesindaja Liisa Tallinn ütles Postimehele, et viga avastati tarkvara testimise käigus.
Nende inimeste arvutites, kelle ID-kaardi tarkvara versiooni number on 3.5 või uuem, uueneb tarkvara automaatselt umbes nädala jooksul. RIA soovitab inimestel siiski nii turvalisuse kui ka töökindluse huvides uuendus esimesel võimalusel varem ära teha.
«Kasutajad peaksid minema veebilehele installer.id.ee ja laadima alla uue ID-kaardi tarkvara. Kuna tarkvarauuenduse info on praegu igal pool uudistes, võib lehel esineda ülekoormust. Kui selle veebilehega on ülekoormuse tõttu probleeme, tuleks hiljem uuesti proovida,» rääkis Tallinn.
Kindlasti RIA uuendada tarkvara nendel inimestel, kelle ID-kaardi tarkvara versioon on vanem kui 3.5.
«Tarkvara versiooni numbrit saab kontrollida nii, et tuleb avada arvutis ID-kaardi haldusvahend. Üleval on nupp infoga ja kui sinna klõpsata, avaneb aken, mis ütleb kohe esimesel real, millise versiooniga on tegu. Kui number on väiksem kui 3.5, tuleks minna lehele installer.id.ee ja laadida endale alla uus versioon,» selgitas Tallinn.
Tallinn rõhutas, et turvariski puhul on tegemist potentsiaalse, mitte realiseerunud ohuga ja seetõttu ei teavitanud RIA sellest inimesi pressiteate vahendusel.
«Teadaolevalt ei ole ühtegi sellist rünnet toimunud. Selleks, et saada arvuti üle kontroll, on vaja ründajal välja valida konkreetne isik, kellele saata digiallkirjastatud fail. Faili saaja peab olema nii kergeusklik, et ta avab selle. Siis võib tekkida ründajal võimalus faile üle kirjutada. See pole selline viga, mis vedeleks kuskil internetis ja võib tabada juhuslikult arvutikasutajat. See peab olema sihitud rünne ja keegi peab olema see pahatahtlik inimene, kes soovib seda teha. Selline tegevus on kahtlemata kuritegelik. Sellest jääb maha jälg, millele järgneb uurimisasutuste töö,» rääkis Tallinn.
IT-spetsialisti Henrik Roonemaa tõdes, et Sertifitseerimiskeskus pidanuks tarkvarauuendusest oluliselt suuremalt teada andma.
«Kui selle turvaaugu tagajärjel võib suvaline inimene sinu arvutis suvalisi faile üle kirjutada, oleme olukorras, kus praktiliselt kõigil eestlastel on riigi poolt kohustatud korras tarkvara, mis avab arvuti ründajatele. See on päris ebameeldiv olukord, kuna ID-kaardi tarkvara on kahtlemata väga paljude inimeste arvutites ja valdav osa neist inimestest ei ole IT-teadlikud. Ma arvan, et peaaegu mitte keegi neist ei käi Sertifitseerimiskeskuse kodulehel uurimas tehnilisi dokumente,» ütles Roonemaa Postimehele.
Roonemaa soovitab kõigil ID-kaardi tarkvara kasutajatel minna võimalikult kiiresti Sertifitseerimiskeskuse kodulehele ja uuendada oma tarkvara.
«Suurem probleem on see, et vana vigane ID-kaardi tarkvara võib jääda aastateks tuhandete või kümnete tuhandete inimeste arvutitesse, kuna suur osa inimestest ei ole IT-teadlikud ja nad ei uuenda oma tarkvara. Täna paneb Sertifitseerimiskeskus uue tarkvaraversiooniga turvaaugu kinni. Aga põhiküsimus on see, kuidas me saame teha nii, et see uuendus jõuaks iga Eesti inimese arvutisse?» küsis Roonemaa.
Uus tarkvara kannab versiooninumbrit 3.7.2 ning on alla laetav installer.id.ee lehelt. Uus tarkvara töötab nii Windowsi kui OS X arvutitel. 3.7.2 versiooni lähtekood asub siin.