Oleksid ja poleksid

Möödunud nädalal põhjustas paljude meie valdkonna inimeste seas furoori uudis, et Eesti tippdomeeni haldav Eesti Interneti SA on peatanud ühe registripidaja ligipääsu riigitähisega domeenide registrile. Selle põhjenduseks toodi asjaolu, et registripidajale eraldatud juurdepääsuõiguseid registri liidesele on lubamatult kasutatud.

Ootamatu uudis põhjustas palju spekulatsioone ja sai online-meedia märkimisväärse tähelepanu osaliseks. Kahjuks moondus sõnum uudistekanalite toimetajate käsutuses niivõrd, et võimaliku väärkasutuse uurimise algusest teavitanud nupust sai mõnes uudisteportaalis juba registripidajat isikuandmete lekitamises süüdi mõistev otsus.

Mis on tänaseks justkui selgunud?

Registripidaja serveris oli internetikasutajatele ligipääsetav Eesti tippdomeeni reformi ajast pärit domeenide ümberregistreerimise rakendus, mille üks funktsionaalsuseid oli domeeni kasutaja kohta käivate andmete kuvamine registrist. Kuna ligipääs rakendusele ei vajanud eelnevat autoriseerimist, siis oli internetikasutajatel võimalik selle vahendusel sisuliselt registripidaja õigustes küsida informatsiooni tippdomeeni registris olevate domeenide kohta. Seda võimalust kasutati ka aktiivselt ära. Rakenduse lihtne iseloom võimaldas skriptimisoskusega kasutajaltel andmete registrist väljapumpamise lausa automatiseerida. Kurja juureks sai asjaolu, et kasutajale kuvatav info sisaldas ka registreerijate, halduskontaktide ja tehniliste kontaktide isikuandmeid.

Nagu ikka kipub tavaks olema, siis mingi intsidendi toimumise järel tahavad kõik osapooled näidata kellegi pihta näpuga, sest keegi peab ju tekkinud fiaskos süüdi ka olema. Seetõttu on süüdistusi liikunud mitmel suunal. Register omalt osalt on süüdistanud registripidajat andmete lekitamises (kui mitte otse, siis vähemalt on meedia vahendusel registri sõnum selliseks moonudnud) ja internetikasutajaid, et nood sellist võimalust ära kasutasid. Internetikasutajate suunalt on kostunud süüdistusi, et register ja/või registripidaja oleks pidanud astuma samme, et sellist kahetsusväärset olukorda ei oleks saanud üldse tekkida.

Mina tahaks siinkohal kass Leopoldi kombel ohata, et “rebjata davaite zhit druzhno”, sest võimalus selle juhtumi ennetamiseks või paremaks käsitlemiseks oli olemas kõigil osapooltel.

Oleksid ja poleksid

Rääkimine sellest, mida registripidaja oleks saanud sellise olukorra vältimiseks teha, on loomulikult tagantjärgi targutamine. Jah, ligipääsu sellisele rakendusele oleks saanud piirata autoriseeritud kasutajatega, lisaks oleks võinud üritada automatiseeritud päringuid tuvastada, et need ühel hetkel katkestada CAPTCHA koodi abil. On aga täiesti arusaadav, et olukorras, kus konkurents on väga tihe ja “turule tulemiseks” ei ole antud palju aega, võivad ekstreemsed kasutusstsenaariumid jääda tähelepanuta. Kõigil juhtub.

Kõike ei saa ka registri süüks panna. Sellel, et register on võimaldanud registripidajatele ligipääsu kõikide registris olevatele andmetele on olnud omad põhjused. Oletan, et suur osa selles on asjaolul, et kevadeni kestis meil veel tippdomeeni reformi aktiivne osa, mille käigus olemasolevaid domeene ümber registreeriti ja domeenide kohta käivaid andmeid kasutajate poolt kontrolliti. Kuna registril ei olnud reformi käigus ette teada, millise registripidaja domeeni senine omanik endale valib, ei olnud tal võimalik registripidajate ligipääsu domeenide andmetele väga ära nudida.

Mida register oleks saanud teha, on võimalikke ohte paremini ette näha ja registripidajaid oma rakenduste loomisel instrueerida. Lisaks oleks reformi järgselt saanud register piirata registripidajate ligipääsu andmekogus olevatele isikuandmetele. Seda oleks saanud teha võimaldades ligipääsu vaid nendele andmetele, mis on seotud registripidaja enda halduses olevate domeenidega. Loomulikult tulnuks siis lisaks luua ka mehhanism, mis võimaldaks domeeni üleandmisel ühelt registripidajalt teisele, vastuvõtval osapoolel ülevõetava domeeni andmetega siiski tutvuda . Kui keeruliseks see viimane osutuks, on siinkohal loomulikult raske hinnata.

Probleemi tuvastanud internetikasutajad oleksid aga võinud probleemi avastamisel kontseptsiooni kiire ja avaliku tõestamise asemel järgida vastutustundlikuma avalikustamise (http://en.wikipedia.org/wiki/Responsible_disclosure) põhimõtteid. Sarnast põhimõtet oleks pidanud järgima ka register, kes oma uudise avaldamisega minu arvates veidi kiirustas.

Järgmine kord paremini 🙂