IT ja poliitika

Taas kord on IT segatud poliitikasse – seekord arvustatakse erakondade kodulehekülgi. Räägin loost „Häkker Tõnu Samuel kondas Keskerakonna kodukal” ja Keskerakonna vastusest seal toodud kriitikale, mida saab lugeda siit. Lühidalt öeldakse seal, et Samuel valetab.

Teemast kirjutama ajendasid mitmed Samueli väited ning teisalt Keskerakonna järgmine kommentaar: “Selge on, et Tõnu Samuel häkkis Keskerakonna kodulehte ja erakond pöördub selles küsimuses selguse saamiseks politsei poole.”

Etteruttavalt võin öelda, et häkkimise koha pealt olen ma pärast Samueli video vaatamist küll kategooriliselt teisel seisukohal – mingit häkkimist pole toimunud – ent Keskerakonna teises väites peitub kahjuks suur hulk tõtt. Tsiteerin: „Ajakirjandusliku eetika juurde kuulub alati faktide kontrollimine ja laimatavale poolele vastulause andmise võimalus. Paraku meie ajakirjandus seda elementaarset tava ülearu tihti ei praktiseeri.”

Kuna karta on, et Eesti ajakirjanduses ei tööta just mitte liiga palju IT asjatundjaid ning Samueli ja Keskerakonna vaidlus taandub kiirelt pelgalt emotsioonidele ja sõnavahule, vaataks IT ajakirjanikuna, täiesti erapoolikult, millega siis tegu ja on kummal õigus.

Kas Samuel räägib tõtt või valetab, kas oli tegu häkkimisega või mitte?

Samueli teeb kriitikat põhiliselt kolme asja kohta. Esiteks ei avane Keskerakonna kodulehel mõned lingid. Tõsi, ei avane. Hetk uurimist ning selgub, et tegu pole mitte tehnilise probleemi vaid segase ülesehitusega – lingi avamiseks tuleb klõpsata teksti flash-animatsiooni. Veebiarendaja praak.

Teiseks kritiseerib Samuel http://www.keskerakond.ee turvaprotokolliga seotud sertifikaati. Tõsi, kui kasutada mõnd uuemat veebilehitsejat (IE7 või FireFox 3.x), siis annavad need turvalise ühenduse loomisel veateate. Ent millega on täpselt tegu?

Tegu ei ole mingi tehnilise probleemi, pettuse ega veaga selle klassikalises mõttes. Lihtsalt raha kokkuhoiu, hoolimatuse või teadmatusega – Keskerakond pole sertifikaati ostnud, vaid on selle ise teinud. (Kes tahab täpsemalt lugeda, mis asi on sertifikaat, palju see ametlikult maksab ja kuidas ise tegemine käib, siis selle jutu lühiduse huvides eraldi postist.)

https://www.keskerakond.ee/tulumaks saadab isetehtud sertifikaadi, mis on tehtud 14. mail käesoleval aastal (kui autori arvuti kellaaeg oli õige), organisatsiooniks on kirja pandud Keskerakond ja autoriteks peeter@keskerakond.ee, henno.olljum@eurorscg.ee (reklaamiagentuur Idea AD AS), rainer@pointhree.ee (Php, IT arendus, tarkvaraarendus). (Vabandust mainitud inimeste ees, kui nende nimesid peaks olema keegi kuritarvitanud ning neil tegeliku seost selle sertifikaadiga pole). Kõik see info on sertifikaadi lisainfo all kõigile nähtavalt kirjas.

Kui ülaltoodu on fakt, siis nüüd tuleks anda asjale hinnang. Samuel andis sellele hävitava hinnangu, öeldes, et veebilehekülg on vigane. Mina nii kategooriline poleks. Kui Keskerakond tahaks aga siinkohal heast küljest silma paista, ostaksid nad muidugi vähemalt Eesti Sertifitseerimiskeskuse sertifikaadi.

Kõige enam teeb kriitikat Samuel hääletussüsteemi kohta. Niigi pikaksveninud postitust natukenegi lühendades annan vaid hinnangu – jah, süsteem ei ole korrektne.

Hääle kinnitamiseks küsitakse vaid isikutuvastamise PIN-koodi (PIN1). Kuigi sellekohase viite leiab ka kampaania tingimuse 11. punktis: „Kampaanias ID-kaardiga osaleja on kohustatud sisestama enda isiku tuvastamiseks õige PIN1 koodi. E-valimistel on hääletamise kinnitamiseks vajalik PIN2 sisestamine, kuid kuna antud Kampaania raames ei oma antud hääled juriidilist mõju, siis PIN2 ei küsita.“

Tähendab see aga seda, et hääled ei ole digitaalselt allkirjastatud (süsteem ei küsi kordagi PIN2 koodigi) ning hääletamise hetk jääb ebaselgeks. Kui olete läinud veebilehele, mille pealkiri on „Toetan astmelise tulumaksu kehtestamist Eestis,“ loete läbi kampaaniatingimused ja klõpsate nuppu „Kinnitan ID-kaardiga“, siis oletegi juba hääletanud kampaania poolt. Mis sest, et järgmisel lehel küsitakse kõik veel üle ning palutakse sisestada teie kontaktandmed. Jah, see on segane, ent semantiliselt siiski õige. Lehekülje pealkirjaks ju on „Toetan.“

Ehk arvestades segasevõitu ülesehitust ning tehnilist lahendust, mis jätab häälte kuritarvitamise ohu (ning ilma digiallkirjata pole võimalik kellegil tagantjärgi tõestada, kas ja kes ikkagi hääletas), siis kõik see vähendab minu silmis hääletustulemuste usaldusväärtust.

Kokkuvõttes: leheküljel on probleeme, aga Samuel kritiseerib kogu süsteemi mitteobjektiivselt.

Omaette probleem on Keskerakonna peasekretäri väide, et Tõnu Samuel häkkis Keskerakonna kodulehte ja erakond pöördub selles küsimuses selguse saamiseks politsei poole. Minu hinnangul pole Samuel teinud mitte ühtegi liigutust, mis oleks seadusevastane ega isegi mitte eetiliselt häkkerluseks kategoriseeritav või taunitav (tõsi, seda eeldades, et kasutatud ID-kaardi omanik viibis tema kõrval ja andis kogu tegevusele loa). Veebilehe koodi lugemine ei ole häkkimine. Samuti pole seda vigaselt töötava leheküljele loominguliselt lähenemine. Piltlikult öeldes – kui te saate hommikul postkasti ajalehe, millel on teid huvitava uudise kohal koera porine käpajälg ning te võtate appi nuustiku ja luubi, et sealt siiski tekst välja lugeda, siis millega on tegu? Kõik, mis on juba avalikult veebi pandud on juba mõeldud avalikustamisele ja on avalik, isegi siis, kui tehnilised probleemid (olgu tahtlikud või tahtmata) takistavad selle informatsiooni lugemist. Keskerakonna peasekretär Priit Toobal võiks endale selle selgeks teha.

Lahtiütlus: Autor ei ole ühegi erakonna liige, toetaja ega kaasamõtleja. Samuti ei toeta mina astmelist tulumaksu. Olen õppinud Stockholmi ülikoolis ja näinud ühte astmelise tulumaksuga ühiskonda natuke lähemalt – tänan, ei.

3 kommentaari

  1. Iseallkirjastatud sertifikaadile olen ma kategooriliselt vastu. Brauserites pole see naljalt taunitud tegevus, mis karjuvaid veateateid välja saadab. Iseendale ei saa isikutunnistust kirjutada.. ses osas jutul lõpp.. (seonduvale postitusele kommentaariks nii palju, et on olemas ka tasuta sertifikaate, mis enamlevinud brauserites töötavad.. siiski tuleb nentida, et sertifikaadi ostu puhul tehakse siiski kindlaks, et sa ikka oled domeeni omanik ja kõik on nii nagu peab.. ja see on sertifikaadi juures väga tähtis osa..)

    samuti on nende tegevus üsna vale, teada on, et keskerakond üritab õõnestada e-valimisi, ei tea mina, mis nende idee selles on, aga säärane rämpsu ülespanek on vale.. ma ei kavatse seal ise testima minna, aga olen enam-vähem kindel, et kui firefox on seadistatud automaatselt pin koodi valima ning sellele lehele minnes on id-kaarti eelnevalt mõnes muus kohas kasutatud, siis automaatselt pannakse kirja ka kasutaja info keskerakonna baasi..

    jah, võib öelda, et Tõnu ülesvõtt oli mitteobjektiivne, aga samas sellise sigaduse peale ei oskaks mina ka muud moodi reageerida, loodetavasti ei seosta keegi seda nüüd e-valimistega, sest muidu võib kesikute kampaania veel asja ette minna..

  2. Self-signed serdid on libe tee tõesti, aga VeriSign-i taolistele hiidudele üüratuid summasid maksta on ka nagu teistpidi vale. Ja olgem ausad, paljudel polegi muud võimalust. Kui aga juba tegu vähegi suurema firma või avalikusele orienteeritud organisatsiooniga, siis võiks mingi lahenduse eest muidugi natuke maksta küll. Ajakirjas ajas alati muigama, kuidas isegi tuntud firmade seadmed (näiteks failiserverid) kasutavad self-signed serte. Lihtsalt ei mõelda selle peale.

  3. Kolmeaastane sert maksab ~800USD (~3000 krooni aastas), SK oma maksab 1400 krooni aastas. Ei ole ju palju?

Lisa kommentaar

Täida nõutavad väljad või kliki ikoonile, et sisse logida:

WordPress.com Logo

Sa kommenteerid kasutades oma WordPress.com kontot. Logi välja /  Muuda )

Google photo

Sa kommenteerid kasutades oma Google kontot. Logi välja /  Muuda )

Twitter picture

Sa kommenteerid kasutades oma Twitter kontot. Logi välja /  Muuda )

Facebook photo

Sa kommenteerid kasutades oma Facebook kontot. Logi välja /  Muuda )

Connecting to %s

%d bloggers like this: