Oleksid ja poleksid

Ardi Jürgens
Jaga:

Antud blogipostitus on 137 kuud vana ning ei pruugi olla enam ajakohane.

Möödunud nädalal põhjustas paljude meie valdkonna inimeste seas furoori uudis, et Eesti tippdomeeni haldav Eesti Interneti SA on peatanud ühe registripidaja ligipääsu riigitähisega domeenide registrile. Selle põhjenduseks toodi asjaolu, et registripidajale eraldatud juurdepääsuõiguseid registri liidesele on lubamatult kasutatud.

Ootamatu uudis põhjustas palju spekulatsioone ja sai online-meedia märkimisväärse tähelepanu osaliseks. Kahjuks moondus sõnum uudistekanalite toimetajate käsutuses niivõrd, et võimaliku väärkasutuse uurimise algusest teavitanud nupust sai mõnes uudisteportaalis juba registripidajat isikuandmete lekitamises süüdi mõistev otsus.

Mis on tänaseks justkui selgunud?

Registripidaja serveris oli internetikasutajatele ligipääsetav Eesti tippdomeeni reformi ajast pärit domeenide ümberregistreerimise rakendus, mille üks funktsionaalsuseid oli domeeni kasutaja kohta käivate andmete kuvamine registrist. Kuna ligipääs rakendusele ei vajanud eelnevat autoriseerimist, siis oli internetikasutajatel võimalik selle vahendusel sisuliselt registripidaja õigustes küsida informatsiooni tippdomeeni registris olevate domeenide kohta. Seda võimalust kasutati ka aktiivselt ära. Rakenduse lihtne iseloom võimaldas skriptimisoskusega kasutajaltel andmete registrist väljapumpamise lausa automatiseerida. Kurja juureks sai asjaolu, et kasutajale kuvatav info sisaldas ka registreerijate, halduskontaktide ja tehniliste kontaktide isikuandmeid.

Nagu ikka kipub tavaks olema, siis mingi intsidendi toimumise järel tahavad kõik osapooled näidata kellegi pihta näpuga, sest keegi peab ju tekkinud fiaskos süüdi ka olema. Seetõttu on süüdistusi liikunud mitmel suunal. Register omalt osalt on süüdistanud registripidajat andmete lekitamises (kui mitte otse, siis vähemalt on meedia vahendusel registri sõnum selliseks moonudnud) ja internetikasutajaid, et nood sellist võimalust ära kasutasid. Internetikasutajate suunalt on kostunud süüdistusi, et register ja/või registripidaja oleks pidanud astuma samme, et sellist kahetsusväärset olukorda ei oleks saanud üldse tekkida.

Mina tahaks siinkohal kass Leopoldi kombel ohata, et “rebjata davaite zhit druzhno”, sest võimalus selle juhtumi ennetamiseks või paremaks käsitlemiseks oli olemas kõigil osapooltel.

Oleksid ja poleksid

Rääkimine sellest, mida registripidaja oleks saanud sellise olukorra vältimiseks teha, on loomulikult tagantjärgi targutamine. Jah, ligipääsu sellisele rakendusele oleks saanud piirata autoriseeritud kasutajatega, lisaks oleks võinud üritada automatiseeritud päringuid tuvastada, et need ühel hetkel katkestada CAPTCHA koodi abil. On aga täiesti arusaadav, et olukorras, kus konkurents on väga tihe ja “turule tulemiseks” ei ole antud palju aega, võivad ekstreemsed kasutusstsenaariumid jääda tähelepanuta. Kõigil juhtub.

Kõike ei saa ka registri süüks panna. Sellel, et register on võimaldanud registripidajatele ligipääsu kõikide registris olevatele andmetele on olnud omad põhjused. Oletan, et suur osa selles on asjaolul, et kevadeni kestis meil veel tippdomeeni reformi aktiivne osa, mille käigus olemasolevaid domeene ümber registreeriti ja domeenide kohta käivaid andmeid kasutajate poolt kontrolliti. Kuna registril ei olnud reformi käigus ette teada, millise registripidaja domeeni senine omanik endale valib, ei olnud tal võimalik registripidajate ligipääsu domeenide andmetele väga ära nudida.

Mida register oleks saanud teha, on võimalikke ohte paremini ette näha ja registripidajaid oma rakenduste loomisel instrueerida. Lisaks oleks reformi järgselt saanud register piirata registripidajate ligipääsu andmekogus olevatele isikuandmetele. Seda oleks saanud teha võimaldades ligipääsu vaid nendele andmetele, mis on seotud registripidaja enda halduses olevate domeenidega. Loomulikult tulnuks siis lisaks luua ka mehhanism, mis võimaldaks domeeni üleandmisel ühelt registripidajalt teisele, vastuvõtval osapoolel ülevõetava domeeni andmetega siiski tutvuda . Kui keeruliseks see viimane osutuks, on siinkohal loomulikult raske hinnata.

Probleemi tuvastanud internetikasutajad oleksid aga võinud probleemi avastamisel kontseptsiooni kiire ja avaliku tõestamise asemel järgida vastutustundlikuma avalikustamise (http://en.wikipedia.org/wiki/Responsible_disclosure) põhimõtteid. Sarnast põhimõtet oleks pidanud järgima ka register, kes oma uudise avaldamisega minu arvates veidi kiirustas.

Järgmine kord paremini 🙂

Kommentaarid

2 kommentaari
  • Järgnev väide postitusest on imelik: “Kuna registril ei olnud reformi käigus ette teada, millise registripidaja domeeni senine omanik endale valib, ei olnud tal võimalik registripidajate ligipääsu domeenide andmetele väga ära nudida.”

    Täpselt selle jaoks on olemas rahvusvahelised standardid ja zone.ee peaks .eu ja muude domeenide edasimüüjana sellega üsna kursis olema: http://en.wikipedia.org/wiki/Transfer_secret

    Olukorras, kus domeeni ümber registreerimiseks nõutakse niikuinii digiallkirjaga või võrdväärselt autenditud dokumenti ei ole registril erilist vabandust selle standardi ignoreerimiseks ja selle põhjal juurdepääsukontrolli loomiseks. Mina loen siit intsidendist välja pigem registri ebapädevuse turvanõuete välja töötamisel.

    Arvestades kuidas registri juhatus on suutnud välja vihastada nii oma teenuse lõppkasutajad kui ka oma kaas-asutaja, kes nõukogust lahkus ja juhatust avalikult praktiliselt korruptsioonis ja varguses süüdistas, siis käitus augu leidnud isik lausa ootamatult vaoshoitult — info augu olemasolu kohta anti registrile vähemalt kaks päeva enne kui see registripidaja enda pressiteate tõttu meediasse sattus ning augu leidnud isik ei ole avalikustanud ega kuritarvitanud augu kaudu kättesaadaval olnud isikuandmeid.

  • Asi on karmas. Kui seltskond on selline, et keksib liialt oma turvaga ja samas tegeleb raha oma tarbeks ebaotstarbeka kulutamisega (lahkunud juhatuse liikmed nimetasid seda “palgatakse nõunikke ilma konkursita”), siis on ka vähe oodata, et neid tõsiselt võetaks ja loodetaks, et vaikselt kätte antud auk ka _õigesti_ ära lapitaks (mida senini pole tehtud).

Kommentaarid suletud.

Populaarsed postitused

Vähem peavalu uute PHP versioonidega

PHP 8.2 nüüd ametlikult väljas

Ingmar Aasoja
PHP versioon 8.2 on nüüd ametlikult väljas. Käesolevaga keskendume sellega kaasnevatele olulisematele uuendustele.

Partner soovitab:
Veebilehe optimeerimine paneb tulud kasvama

Digielu
Tänapäevase veebilehe optimeerimine mõjutab otseselt seda, kui hästi nii otsingumootorid kui ka kasutajad sinu veebilehte tajuvad.

Teeme andmebaasiühendused turvalisemaks

Ingmar Aasoja
Teatavasti on SQL andmebaaside kasutajatel vaikeseadistustes lubatud ühenduda ainult lokaalselt, mis tagab selle, et andmed ei liigu üle võõraste võrkude....