[Tanel]

link :: ERR Uudised


E-valimiste turvalisuse eest vastutavad eksperdid ei pea tõestatuks end rahvusvahelisteks ekspertideks nimetava seltskonna väiteid, nagu nad suudaks valmisolukorras e-hääletamist Eestis manipuleerida. Eile õhtul avalikustatud raporti kokkuvõtte kohaselt pole paari rahvusvahelise eksperdi hinnangul Eesti e-valimised piisavalt turvalised, vahendasid ERR-i raadiouudised.

Tallinna linnavalitsuse initsiatiivil Eestisse kutsutud eksperdid selgitasid, et nad ehitasid Eesti e-valimiste keskkonnast oma laboris koopia ja panid IT-eksperdid seda lahti murdma.

Uurijaid šokeeris, kui mitmest kohast ning kui kergelt oli võimalik e-valimiste tulemusi pahatahtlikult muuta.

Cybernetica AS tarkvaraarendaja ja üks e-valimiste turvaeksperte Sven Heiberg ütles, et manipuleeritavusest rääkivad eksperdid on loonud liiga palju eeldusi, mida päriselus on keeruline saavutada.

Testijad väitsid, et nad suutsid oma katses nakatada häältelugemisserveri hääli varastava pahavaraga. Selles rünnakus sisestab häältelugemisserverisse pahavara kas ebaaus valimiskomisjoni töötaja või võimekas riiklik ründaja.

Heiberg peab sellise stsenaariumi toimumist väga ebatõenäoliseks.

"Tagada seda, et elektroonilise hääletamise süsteem toimiks selliselt nagu ta toimima peab, on välja töötatud põhjalikud protseduurid, mida siis täitmise ajal ka kontrollitakse ja auditeeritakse. Selle jaoks, et neist protseduuridest hälbida ja seal vahepeal teostada mingisuguseid kõrvale kalduvaid tegevusi, on vajalik kogu see ruumis viibiv meeskond ümber veenda," selgitas ta.

E-valimiste turvaekspert ütles, et ootab huviga rahvusvaheliste kriitikute pikka raportit, milles nad oma tegevust detailides selgitavad. Kindlasti töötavad Eesti eksperdid kriitika Heibergi kinnitusel läbi, kuid praegu saab nii tema kui ka vabariigi valmiskomisjon kinnitada, et e-valimised on turvalised.

Elektroonilise hääletamise turvalisust kinnitas ka vabariigi valmiskomisjoni liige Priit Vinkel.

"Analüüsi tulemus, mida siis elektroonilise hääletamise komisjoni eksperdid on nende süüdistuste pinnalt läbi viinud, on väga ühene: ühtegi uut rünnakuvektorit leiutatud ei ole," lisas Vinkel.

Elektroonilise hääletamise komisjon: kriitika uut infot ei sisalda

Elektroonilise hääletamise komisjoni esimees Tarvi Martens ütles pärast kohtumist Eesti elektroonilise hääletuse kritiseerijatega, et nende etteheidetes e-valimistele pole midagi uut ning komisjon kinnitab, et Eesti e-hääletamine on turvaline.

"Komisjon on alati nõus kuulama ettepanekuid protseduuride täiendamiseks ja vaadeldavuse parandamiseks, kuid antud kriitika uut infot ei sisalda. Samas analüüsitakse nii kohtumisel kõlanud kui ka varem tehtud ettepanekuid protseduuride ja tarkvara täiendamiseks ja võetakse neid ka vajadusel arvesse," lausus Martens.

Eilsel pressikonverentsil esinenud heidavad e-hääletamisele ette peamiselt kahte hüpoteetilist ohtu. Esiteks seda, et valija arvuti võib olla nakatunud pahavaraga. Teiseks seda, et e-hääletamise komisjoni kasutatavad seadmed ja protseduurid ei suudaks pahavara võimalikku kesksüsteemi sattumist tuvastada.

"Komisjon on esitletud riskidega alati arvestanud ning riskide maandamiseks on kasutusel konkreetsed meetodid," ütles Martens vastulausena.

Ta juhtis tähelepanu sellele, et kõigil kuuel korral, kui Eestis e-valimisi on korraldatud, pole ründeid tuvastatud. Rünnete tuvastamisvõime on Eestil kindlalt olemas.

Elektroonilise hääletamise komisjoniga kohtusid Jason Kitcat ja tema meeskond, kes esinesid nädala alguses elektroonilise hääletamise osas kriitilise avaldusega.

E-hääletamise kohta leiab lisainfot: https://www.valimised.ee/

[Max Powers]

https://estoniaevoting.org/

Neil on üks imelik koduleht ka

[pppd]

Viitsis keegi kõik nende videod ka ära vaadata? Ok, üks on ilus propavideo, kus rääkivad pead teevad selgeks kui kole kõik on, aga mingeid detaile seal polnud, hakkasin siis teisi vaatama et saaks siis lõpuks teada et mida täpselt ikkagi leiti - ja krt küll, aru ei saa, kas mina olen loll või ei peagi need videod midagi tõestama? Serveri häki video näitab 15 venivat minutit seda et kui häältelugemisserverisse pahavara sisse panna (aga kuidas?), siis on võimalik kokkulugemise tulemust mõjutada? WTF, et nagu tõesti, milleks seda videot üldse vaja on, see on nagu iseenesest mõistetav ju? Kliendi häkk näitab suisa mitme videoga, kuidas PIN kinni püüda ja hiljem siis automaatselt hääletada - jällegi, milleks need venivad videod, sellise teoreerilise ründe võimalus on väljendatav (õigemini - on juba korduvalt väljendatud) kahe lausega ja kõik. Lisaks on juurde pandud serverite installimise ja konfimise videod, mille poindile ei suuda ka kuidagi pihta saada, tahavad VVK-le näidata et nad oskavad dokke lugeda ja samamoodi nagu nemad servereid konfida? Ja see olekski nagu kõik? Ehk siis kokkuvõtlik küsimus - mida paganat nad enda arust SELLISE materjaliga tõestada üritasid? Nagu tõesti, nimed ja tiitlid oleks nagu suht respektaablid, aga materjal... sellega kukuks ülikoolis isegi kodutöö kaitsmisel läbi. Et tulid härrad peenest läänest ja mõtlesid et paneme metsast tulnud matsidele mütsiga?

[Taun0]

Expert 1
J. Alex Halderman
Asst. Professor, Computer Sciense & Engineerng
University of Michigan

Expert2
Harri Hursti
Independent Security Researcher

Expert3
Margaret MacAlpine
Post-Election Audit Advisor

Expert4
Jason Kitcat
Open Rights Group

Expert5
Travis Finkenauer
PhD Student, , Computer Sciense & Engineerng
Unoversity of Michigan

Expert6
Drew Springall
PhD Student, , Computer Sciense & Engineerng
Unoversity of Michigan

[jaank]

Võib mingi 5 korda arvatud kust kogu selle vastutöötamise rahastus tuleb...

[pppd]

No loogline, seda oligi oodata - Keskerakond nõuab Euroopa Parlamendilt e-valimiste tühistamist

Imelik on ainult see et asjaga on seotud ka Michigani ülikooli professor, sellest oleks nagu mingitki taset oodanud... Ma hakkan tasapisi nende leeri kalduma kes jutlustavad et tänapäeval on akadeemiline haridus täiega alla käinud ja devalveerunud.

[jaank]

Ma tegelt ei mõista kuidas see keski ja vene bande on nii rumal, et nad pmst nädal enne valimisi teema üles võtavad. Reaalset lootust midagi teha ju ei ole.

[Taun0]

[sooty]

[RFI2y5R]

Kuigi ma pole kunagi kesikute poolt hääletanud, siis vähemalt selle asjaga olen nõus.

Interneti kaudu hääletamine on absoluutne idiootsus. Palun minge kodust välja, hingake värsket õhku ja hääletage paberil. Anonüümselt.


Milline on keskmise dumbuseri desktop?



Sellise pealt hääletamine on kellegi meelest turvaline?


Kui vaatate neid E-hääletamise videoid, siis on näha, et nad isegi ei kontrollinud DVD-image failide OpenPGP võtmeid. Lihtsalt pimesi võtsid lehe pealt SHA256 väärtused. Isegi minusugune loll võib traadi peal istuda ja neile suvalisi SHA256 numbreid ja muudetud DVD-image faile sööta.

Samuti jookseb serveris (ja kõikides client arvutites) kinnise koodiga BIOS, mille kohta meil pole õrna aimugi mida see teeb. Kui ma lähen ja panen valimiskasti peale mingisuguse kinnise läbipaistmatu musta karbi ja ütlen kõigile et laske oma hääletuspaberid sealt seest läbi, siis kui paljud seda teeksid?

Ise olete süüdi, et ei viitsi kodust välja minna ja paberil hääletada. Kui teised erakonnad saaksid paberil ROHKEM hääli, siis poleks probleemi, aga inimesed on liiga laisad et kodust välja minna..

[Tanel]

RFI2y5R, kui sa oled e-hääletanud, siis peaksid teadma, et e-hääletamine ei toimu brauseri kaudu

[RFI2y5R]

[Märt.]

Mul on lihtsam e-hääletada, kui kuhugi pärapõrgusse kahe bussiga sõita ja veel mõni kilt jala käia.
Ega see paberil ka turvalisem pole.

[jnt]

Olgu selle e-hääletamisega, kuidas on, aga paber on veel vähem turvaline. Lisaks on e-hääletamine mugav. Seega jätkan e-hääletamist.

[ricom2ger]

Loodan, et ei pea seda sedeli diskot enam tegema Parteiagiteerimisosakonnast pole huvitatud.

[Taun0]

[2korda2]

Võtku üks (IT?) tudengite punt ette ja tehku analoogne analüüs paberhääletamise kohta (mis sisaldaks samavõrra tõepäraseid eeldusi: hääletuskast on ründaja ainuisikulise kontrolli all vms). Järeldus oleks ilmselge - pabervalimised on veel oluliselt ebaturvalisemad ja tuleks keelata. Mitmed ründevektorid on teada juba ammusest ajast aga nendega lihtsalt ei tegeleta, sest nende vastu kaitsta on keeruline (sisuliselt võimatu, kui kasutada e-hääletuse analüüsis toodutega analoogseid eeldusi).
Statistilise analüüsi abil on meie idanaabri valimistulemused juba korduvalt kukkunud "kõige tõenäolisemalt võltsitud" gruppi. Ometi pole seal e-hääletusest haisugi.

[Dogbert]

valesti sain aru... no comments

[CurJam]

[kussu]

TallinnaTV näitas seda seminari täispikkuses kahel õhtul järjest
12.05 22:30 Poliitika õhtukool. Harri Hursti e-valimistest
Harri Hursti põrmustab e-valimised, tuues välja ohud, millest on seni vaikitud - ohud, mis varitsevad sidekanalites ja operatsioonisüsteemides.
13.05 22:30 Poliitika õhtukool. Harri Hursti e-valimistest
Harri Hursti põrmustab e-valimised, tuues välja ohud, millest on seni vaikitud - ohud, mis varitsevad sidekanalites ja operatsioonisüsteemides.

Seega pole kahtlust kus seda analüüsi rahastati

[cascada]

[Dogbert]

Ausalt öeldes oleks e-valimiste protseduurist ikka tunduvalt suuremat turvalisust eeldanud... See on ikkagi üsna masendav üldpilt. Kas hääletus just sel korral mingi manipuleerimise all kannatas, on ebatõenäoline, aga kui protseduurireegleid edaspidi ei karmistata, siis au see küll kellelegi ei tee
Nagu mingi lanparty, mitte valimised. Masendav.
Isegi kui need eksperdid ei ole tasemel, ei ole sel valimiskomisjonil üldse mingit taset kahjuks. Ei tahaks oma silmi uskuda. Häbi on...

[pppd]

[soomer]

[Dogbert]

[spikhoff]

[XD]

Nagu näha, siis maine sai kahjustatud, kas siis meedia klikikogumise ahnuses või muid kanaleid pidi. Stiilis, "Ma kuskilt lugesin, et e-valimised on väga ebaturvalised". Seega kesikud juba mõnes mõttes võitnud. Siiani ainult pressiteated väidetavatest leitud turvaaukudest avaldatud, fakte ja analüüsi nagu pole näinud. Akadeemilised inimesed, võiks ju tellimust ära kasutada ja mõne artikli produtseerida.

[cascada]

Tallinna Linnavalitsuse poolt kutsutud ja rahastatud ekspertide grupp leidis, et e-valimised pole turvalised ja tuleks üldse ära keelata.

Ergma: e-valimiste diskrediteerimine on Keskerakonna valimispropaganda osa
http://www.delfi.ee/news/paevauudised/eesti/ergma-e-valimiste-diskrediteerimine-on-keskerakonna-valimispropaganda-osa.d?id=68670887

[b88]

E-valimised on kõige mõistlikum asi üldse selle asja juures. Kes natukenegi arvutit kasutada oskavad saavad aru, et normaaltingimistel pole need manipuleeritavad. Need kes arvutit kasutada ei oska ja tahavad kõndida, võivad valimispäeval oma hääle paberil anda.
Madalama laubaga Keskerakonna valijad ilmselt ei oska arvutit kasutada, nemad teevad naguinii kõike omamoodi. Keskerakond näitas jälle kui rumalad nad võivad olla!

[Tanel]

[number]

[Taun0]

Tanel, väga hea

[number]

Spoiler

Link

[2korda2]

Dogbert, ma tean viimaste e-valimiste ajal toimunud täpselt ühte ämbrit (olukord mida protokoll ette ei näinud lahendati jooksvalt parimal võimalikul moel). Oskad sa tuua konkreetselt välja, millised suured protseduurilised vead praeguses süsteemis on?

[Rebel_]

kuna ühtesevenamaa-keskerakonna poolt e-hääli peaaegu ei laekugi, siis jätkub ka sealtpoolt valede levitamine.

[seeru]

Nt Donetskis oli paberhääletusega "referendum".
Kas nüüd mõni on sillas, et sellest johtuvalt tulemusi ei saanud võltsida?

[sooty]

[Dogbert]

[soomer]

[Dogbert]

OK, kui oli vaatleja, siis oli vaatleja. Jumal tänatud
Puuh, kohe kergem hakkas.

[pppd]

[soomer]

[Dogbert]

[pppd]

Rahu, see oli väikese naljana mõeldud, loogilise konstruktsiooni pihta Aga siiski, vahe tuleb sisse sellest, millest mida järeldatakse. Desktopil asuvast ikoonist (või selle puudumisest - kas siis oleks reaalselt midagi parem olnud kui enne sama masina lauale toomist oleks keegi desktopist üle käinud ja kõik ikoonid kuhugi alamkausta kupatanud?) ei ole kuidagi võimalik järeldada arvuti üldist turvalisust, selle tagamiseks on omad protseduurid ja kontrollimiseks samuti. Alles siis, kui meil on usaldusväärne inf et tõepoolest kasutati protsessis ebaturvalist masinat (mille koha meil hetkel siiski igasugune teave puudub), alles siis saab hakata arutlema selle protsessi mõjutatavuse ja turvalisuse üle.

Aga iseenesest on see masin üks näide sellest, mis võiks vajada täiustamist - puudub ülevaade, mis masinad protsessis osalesid. Ilmselt kohalviibijatel oli see ülevaade, aga video pealt see välja ei tule. Ja see põhjustab spekulatsioone. Isegi siis kui tegelikult ka kõik korras on.

[Dogbert]

[Anna tooli]

E-valimised on (liiga) turvalised

[2korda2]

Dogberti toodud näidetest on vaid see Pokerstarsi ikoon minu jaoks mure koht. Mis masin see õigupolest oli, millel see ikoon paistis (ei ole videosid vaadanud ja hetkel pole ka võimalust)? Näidis "kodukasutaja" arvuti? Häälte lugemisega tegelev masin? Kui viimane, siis küsimus pole siin mitte niivõrd protseduurides/protsessis (päris kindel, et need ei näe ette sellise tarkvara olemasolu/vajadust) kui asjaosaliste suhtumises (võtmetähtsusega arvuti konfiguratsioon peaks olema üsna viimase nupuni lahti kirjutatud ja sellest kõrvalekaldumine keelatud). Selles osas tahaks küll mõnele mööda kukalt anda.

Ma saan aru küll, et järgnev ettepanek saab vastavate ametkondade poolt koheselt eitava vastuse aga... Miks ei võiks Teabeamet ja KAPO NDA all tutvustada oma olemasolevaid turvaprotokolle/protseduure E-valimiste pundile? Äkki õpiksid mõlemad sellest midagi? Nii protsesside kirjeldamise kui ka juhtimise kohapealt. Näiteks: kas e-valmistega seotud võtmemasinate põhiülesannete jaoks mittekasutatavad pordid/liidesed (USB jms) on FÜÜSILISELT kasutuskõlbatuks muudetud? Või "CD kirjutamise ebaõnnestumise korral...."

[pppd]

Rahu. Häälte lugemisega tegelev masin on üks nendest videotes paistvatest serveritest, mis kogu oma lühikese eksistentsi jooksul ei satu kunagi internetti, ainuke ühendus sellel on riistvaralise HSM-iga, mis sisaldab häälte dekrüptimiseks vajalikku privaatvõtit (pluss veel toide, klaver ja projektor). Tarkvara tuleb sisse DVD-l, konf tehakse konsoolil, krüptitud hääled tulevad DVD-l ja valimistulemused lähevad välja samuti DVD-l (eelmine kord DVD kirjutamine tõrkus ja tuli kasutada USB-pulka). Pokkerit sellega mängida ei saa

[taavi]

mida siis selle pokerisaidi (või sarnase) ikooniga masinas tehti? ma ei saa sellest aru ei nende kriitikute lehelt ja ka e-valimiste asjapulgad ei seleta. sama moodi notepad++ tõmbamise pilt. on see kuidagi valimise protseduuridega seotud või on lihtsalt kõrvalise masina pilt seina pealt võetud?

ma saan aru, et tegemist on propagandasõjaga, aga ka kriitika vastaste juttu lugedes ei ole mulle selge, miks neid asju ignoreerida võib.

[XD]

Veidi nende videode kohta:
http://www.virgokruve.com/esimene-valisrunnak-e-valimiste-vastu-kahjuks-labi-minu/