«Eesti valitsus peaks internetihääletused kohe lõpetama, sest oht valimiste aususele on liiga suur,» rääkis Jason Kitcat rahvusvahelisest teadusrühmast, mis testis meie e-valimiste süsteemi ning tuvastas, et valimistulemusi on võimalik lihtsalt muuta.

Sel nädalal tutvustas neljast spetsialistist ja kahest Michigani ülikooli tudengist koosnev sõltumatu teadusrühm Eesti internetivalimiste kohta tehtud uuringu tulemusi.

Et Eesti e-valimistest aimu saada oli ekspertide rühm mullu kohalike valimiste vaatlejateks.  «Olin šokeeritud sellest, mida avastasime,» kinnitas Briti IT ekspert Jason Kitcat. «Süsteemi protseduure ja protsesse muudeti mitu korda päevas ja vigu üritati varjata. Iga päev sisestati valimiste serveritesse, võeti välja ja topiti seljakotti mitmeid CD-plaate. Me ei teadnud kunagi kust need plaadi tulid ja kuhu need viidi, ometi hoiti neil valijate hääli. Samas tavahääletamise puhul me näeme, kus valimiskast asub, kuidas seda avatakse ja hääli loetakse.»

Uskumatu lohakus

Kirjeldatu selgus näiteks vabariigi valimiskomisjoni enda YouTube’i laaditud videotest, mis peaksid nagu näitama, et e-valimiste eest vastutavad töötajad käituvad ausalt ja korrektselt.

Teise rühmaliikme, Soome programmeerija ja valimisturvalisuse uurija, Harri Hursti sõnul pole ka need videod ise piisavalt turvaliselt üles võetud. «Süsteemi pääsemiseks toksivad töötajad videol sisse oma salakoode ning mõne treenitud silmaga kriminaali jaoks pole palju vaja, et näha, mis koodid need on,» seletas Hursti. «Ühes videokaadris on näha töötaja selja taga seinale kinnitatud paberilehte kasutajanime ja salasõnaga, mida iga ründaja võiks vabalt kasutada.»

«Selline lohakus näitab, kuidas valimisi korraldaval meeskonnal napib tublisti professionaalsust,» lisas samuti uuringut teinud Michigani ülikooli arvutiteaduse ja inseneriteaduste professor J. Alex Halderman. «Paik, kus valimistarkvara täiustati, polnud mingi üliturvatud ruum, koos spetsiaalse selleks otstarbeks toodud arvutiga. Valimiskomisjoni videost nägime, et valmistarkvara loomiseks kasutati kellegi tavalist koduarvutit, millega ta enne oli vabalt internetis ringi surfanud. Paistis isegi link pokkerileheküljele. Sellisesse arvutisse oleks imelihtne sokutada valimistulemusi muutvat pahavara.»

ID-kaarti ei peagi murdma

Hiljem asus uuringumeeskond oma laboris Eesti valimissüsteemi uurima. Kuna päris valimiste peal katsetamine oleks olnud seadusevastane, ehitasid uurijad süsteemi täpse koopia ning asusid seda ründama.

Esimesed rünnakud olid suunatud süsteemiga ühendatud tüüpilise koduarvuti vastu, mida internetivalimistel kasutatakse. «Koduarvutid on tavaliselt halvasti kaitstud ja väga vastuvõtlikud pahavarale,» seletas Halderman. «Viimaste uuringute järgi on umbes 30 % koduarvutitest maailmas pahavaraga nakatunud, Kuigi Eesti e-valimissüsteemis on mitmeid turvalisuse eest vastutavaid elemente, sai meie pahavara neist kõigist jagu.»

Eestis kasutatakse e-valimistel ID-kaarte , millel turvatud mikrokiip. Eesti valimiskomisjon armastab rõhutada, et ID-kaardi turvalisust pole seni keegi suutnud murda. Haldermani sõnul pole seda aga vajagi. «Internetis hääletamiseks tuleb sisestada ID-kaardi PIN-kood,» rääkis Halderman. «Hääletaja aga ei aimagi, kui viirus salvestab tema PIN-koodi. Järgmisel ID-kaardi kasutamisel, näiteks internetipangas, aga kasutab viirus valija PIN-koodi, et valija hääl asendada viiruse loojate poolt soovitud häälega.»

Mõttetu kontrollirakendus

Tarkvara muudab inimese hääle teise kandidaadi poolt antuks enne, kui see serverisse jõuab. Ei aita ka uus mobiilirakendus, mis peaks kinnitama, et inimese antud õige e-hääl on tõepoolest kohale jõudnud. Mobiili pealt näeb valija pahavara tõttu, et serverisse jõudis just inimese enda valitud hääl, kuigi see nii ei ole. «Mobiiltelefoni kinnituse saamine eeldab, et nutitelefon ja arvuti on kaks täiesti eraldiseisvat seadet, kuid see ei ole tänapäeval enam tõene.» rääkis Halderman. «Telefon ja arvuti suhtlevad teineteisega pidevalt ning kui üks seadetest on nakatunud, on seda ka teine.»

Hursti lisas, et toimingu kohta valeteate saatmine on näiteks internetipanganduses juba paar aastat levinud. 

Teised rünnakud keskendusid Eesti valimissüsteemi kesksetele serveritele. «Need loevad pärast valimisi hääli kokku ja on seetõttu rünnakuteks väga ahvatlevad,» ütles Halderman.

Uurijad suutsid oma katses nakatada häältelugemisserveri hääli varastava pahavaraga. Pahavara võib häältelugemise serverisse sisestada kas ebaaus valimiskomisjoni töötaja või võimekas riiklik ründaja. Nakkus levib tarkvara DVD-de kaudu, mida kasutatakse kõikide valimisserverite tarkvara installimiseks. Pahavara näitab tarkvara aususe kontrollimise ajal, et kõik on korras, aga tegelikult asendab tegelikud valimistulemused ründaja soovitud tulemustega.

Iganenud süsteem

Eksperdid leidsid, et 10 aastat tagasi, mil Eesti internetivalimiste süsteem loodi, elasime me teistsuguses maailmas. «Sel ajal ehitati süsteem mõttega, et valimisservereid saab 100% usaldada, need loevad hääli alati õigesti ja vaja on vaid mõningaid põhilisi turvameetmeid.» rääkis Halderman. «Viimase 10 aasta jooksul oleme näinud aga suuri, väga arukaid ja keerulisi rünnakuid ka USA riigiasutuste arvutisüsteemide vastu, mis peaksid olema väga hästi kaitstud. Laboris oli Eesti e-valimissüsteemi koopias valimistulemusi üllatavalt kerge muuta ja me kardame, et sama võib väga kergesti juhtuda siin Eestis päris süsteemis.»

Eksperdid külastasid esimest korda Eestit mulluste valimiste ajal küll Tallinna linna kutsel, kuid uuringu koostasid nad sõltumatult. Nii, et keegi ei saa neid erapoolikuses süüdistada. «Uuringute ajal ei võtnud me vastu raha mitte kelleltki Eestis ja me ei suhelnud ühegi Eesti parteiga» kinnitas Halderman. «Meie uuringut rahastas  USA riiklik teadusfond.» 

Hoiatuseks teistele

Haldermani sõnul võttis teadusrühm uuringu ette, kuna selle tulemused pakuvad huvi tervele maailmale. «Valisime Eesti, sest Eesti on ainus riik maailmas, kes kasutab internetivalimisi nii suures ulatuses,» selgitas professor. «Viimastel valimistel hääletas internetis 20-25% Eesti valijatest. See muudab Eesti e-valimised rahvusvahelistele uurijatele väga põnevaks paigaks, kus uurida, mis e-valimiste puhul toimib ja mis mitte. Uuringu tulemuste põhjal saab informeerida ohtudest tehnolooge ja otsustajad üle maailma. »

Eksperdid soovitasid Eestil üksmeelselt pöörduda tagasi vaid pabervalimiste juurde. «Meie avastuste valguses peaks Eesti valitsus internetihääletustest kohe loobuma, sest oht valimiste aususele on liiga suur,» seletas Kitcat. «Niipea, kui selle välja selgitasime, tulime siia, et Eesti avalikkust teavitada enne Euroopa liidu valimisi. Nii saaks vabariigi valimiskomisjon meie tulemusi kaaluda. Oleks olnud kohatu avalikustada meie tulemused pärast valimisi. Nüüd on Eesti asi otsustada, mida nende tulemustega peale hakata, meie lihtsalt näitasime oma avastusi. Informeerisime ühel ajal tulemustest meediat, valimiskomisjoni, Eesti valitsust ja siinseid akadeemikuid. Kui vabariigi valimiskomisjon soovib meiega rääkida, oleme selleks meeleldi valmis.»

Eksperdid lubasid, et mõned neist on võivavad jääda valitsuse või valimiskomisjoni jaoks Eestisse niikaua, kui vajalik.

Valimisteks internet ei sobi

Teadusrühm on kindel, et tänapäeval ei ole veel piisavalt turvalist tehnoloogiat internetivalimiste jaoks. Internet on sobiv pangatehingute jaoks ja riigiga asjaajamiseks, kuid valimistega kaasnevad unikaalsed probleemid. «E-valimiste reeglitele vastavust ei saa kontrollida, sest neist ei jää paberil jälge maha,» lausus Kitcat.

«Internetivalimiste süsteem pole mingi internetipank, kus vea korral saab tõestada, et raha läks valele kontole ja sina seda üle ei kandnud,» lisas Hursti. «Valimistel peab hääle andja jääma täiesti salajaseks ja see muudab internetihääletuse turvalisuse kontrolli väga raskeks.»

«Ükski riik ei suuda tänapäeval korraldada ohutuid internetivalimisi,» lausus Halderman. «Ohututeks e-valimisteks kulub võibolla veel 10 aastat, kuid sellist aega ei pruugi ka kunagi tulla. Internetis valimine tundub ju hea ideena- see on kiire, moodne ja mugav. Inimesed ei mõtle turvalisuse peale, millega arvutite ja internetimaailmas iga päev kokku puututakse.»

IT-turvalisuse ässad

*J. Alex Halderman on Michigani ülikooli arvutiteaduse ja inseneriteaduste professor. Oma meeskonnaga häkkis ta 2010. aastal sisse USAs Washington DC-s katsetatud internetivalimiste tarkvarasse ja saavutas selle üle täieliku kontrolli. Peale edukat häkkimist loobus Washington DC internetihääletusest niikauaks, kui seda suudetakse piisavalt turvaliseks muuta.

*Warwicki ülikooli arvuti- ja juhtimisteadused ning Sussexi ülikoolis tehnoloogia ja innovatsiooni juhtimise lõpetanud Jason Kitcat on Briti IT ekspert, kes vaatles 2007. aastal Inglismaa ja Šotimaa valimistel e-hääletust ja elektroonilist häältelugemist. Tema meeskonna tähelepanekutest lähtuvalt loobus Briti valitsus e-hääletusest.

*Harri Hursti hakkas tegelema teabeturvalisusega juba 1982-83. aasta paiku ehk varem, kui internet üldse laiemalt levinud oli. 1987-1988 sõjaväeteenistuses, kirjutas Hursti Soome kaitseväele telekommunikatsiooni ja krüpteerimisprotokolle. 2009. aastast elab Hursti USAs, kus tema kaks ettevõtet turustavad minu infoturbe alaseid leiutisi. Ühes neist firmadest, mille nimi on SafelyLocked, töötab ta tehnoloogiajuhina.

*Uurimisrühma kuulusid ka USA e-valimiste nõustaja Margaret MacAlpine ning kaks Michigani ülikooli arvutiturvalisuse tudengit.

Uuringu tulemused asuvad kõigile tutvumiseks estoniaevoting.org

Vaata uuringutulemusi kajastavat videot siit: