RIA: ID-kaardi lugejad tuleks turvalisemate vastu vahetada

Kuigi Eesti ID-kaardi taristut ründavat pahavara teadaolevalt esinenud ei ole, on teoreetiline oht ID-kaardi PIN- või PUK koodide sattumiseks kolmandate isikute kätte, kui arvuti on nakatatud klahvikuulaja pahavaraga (keylogger).

Taoliste intsidentide esinemise oht Eestis suureneb aga aasta-aastalt, sest ID-kaarti kastutatakse üha rohkem ja tehingute kaalukus kasvab. Seetõttu soovitas RIA novembri lõpus ametiasutustele saadetud kirjas võtta kõrgema riskiastmega arvutites kasutusele koodisõrmistikuga lugeja. Kõrgema riskiastmega arvutid on avalikuks kasutamiseks mõeldud või kõrge turvanõuetega arvutid, tundlikku infot käitlevad arvutitöökohad ning arvutid, mida kasutab enam kui kaks inimest, kes kasutavad arvutis ID-kaarti.

Koodisõrmistikuga lugeja eelis on see, et ID-kaardi PIN- ja PUK-kood sisestatakse otse kaardilugejasse, mitte arvutisse. Arvutist eraldiseisvasse turvalisesse keskkonda sisestatud salasõnad ei ole arvutisse installeeritud pahavara suhtes tundlikud, sest turvalise kaardilugeja nakatamine pahavaraga pole võimalik.

Testimise käigus õnnestus RIA-l leida vaid üks tootmisvalmis koodisõrmistikuga kaardilugeja, mida pole võimalik panna tööle nn tavalises režiimis (PIN saadetakse esmalt ikkagi arvutile ning seejärel lugejasse tagasi): Gemalto toodetud koodisõrmistikuga lugeja IDBridgge CT710 Estonia. CERT-EE kinnitab, et seda lugejat pole võimalik viia PIN-koode arvutile edastavasse tavarežiimi või panna muul moel kasutaja kahjuks tööle. Toenäoliselt on olemas ka teisi nõuetele vastavaid sõrmistikuga lugejaid, kuid nende kohta ei õnnestunud RIA-l analüüsi käigus infot saada või ei õnnestunud neid testimiseks hankida.

 

Profile photo of Toimetas: Lauri Kreutzwald

Toimetas: Lauri Kreutzwald

I call myself a graphic designer first and foremost, if only to impress the girls, yet I have skills and passions in many areas of computing, internet, programming, design, usability and troubleshooting. Okay, I lied a little. I'm not passionate about troubleshooting but I seem to have a mind that's tuned to that sort of thing. The bit about impressing girls is true though. It happened once...

You may also like...