Polsterdusoraakel ja teadlase vastutus

Agu Kivimägi

Milline peaks olema teadlaskonna eneseregulatsioon ja kas seda on üldse vaja? Eelmine sajand demonstreeris kogu inimkonnale, et teaduse areng on ühiskondade konkurentsis määrav tegur. Teadus ja teadlased on saavutanud arengu suunajana ühiskonnas olulise koha. Algselt isiklikust uudishimust ajendatud uurimine on kujunenud riiklikult finantseeritavaks kutsetegevuseks. Maailma mõistmist avardavate uuringute kõrval annab teadus ka igapäevaelus kohe rakendatavaid tulemeid, nt haiguste ravi, tuumaenergia ja relvad või infotehnoloogia plahvatuslik areng. Koos mõjuga ühiskonnale käib kaasas vastutus. Vastutust võib seadusega reguleerida, kuid kõrget vaimset potentsiaali nõudvad kutsealad rakendavad eelistatavalt eneseregulatsioone, milleks on eetikanormid või kutseala eetikaga tegelevad komisjonid, nt aukohtud, avaliku sõna nõukogu ajakirjanduses, bio- ja meditsiinieetika komiteed jne. Isegi poliitikas on aeg-ajalt võimalik täheldada viitamist eetikale ja asjakohastele koodeksitele, kui räägitakse poliitilisest vastutusest. Ekspertide ja ekspertiiside puhul juba eeldatakse, et töö toimub tellija huvides tellija raha eest ning tellija poolt ette antud piirangute raames. Teisisõnu, tellitud ekspertiisi koostanud eksperti tuleb vaadelda kui tellija soovide advokaati, kes pigem kompab tellijale kättesaadavate võimaluste piire looduteaduslikes raamides. Erinevalt eksperdist eeldame teadlase puhul, kes töötab akadeemilises asutuses ja akadeemilise töö jaoks mõeldud maksumaksja raha eest, täielikku objektiivsust ning tema tööd võiksid peegeldada momendi edumeelseimaid teadmisi. Samal ajal esineb ka teaduses tunge, mis võivad kallutada teadlasi esitama eetiliselt kaheldava väärtusega väiteid. Teaduses on loomulik konkurents, teadlased konkureerivad tähelepanu ja tunnustuse nimel. Tähelepanu konverteerib selle tegevusvaldkonna finantseerimise üheks alustalaks, teaduslikuks karjääriks ja lõpuks hüvedeks, mida teadlane isiklikus elus ihkab. Võib juhtuda, et teadlane püüab iga hinna eest näidata oma teadustöö tulemust olulisemana ja suuremat praktilist tulemust omavana, kui tööl tegelikult on. Seega peale teadustöö sisulise saavutuse on oluline ka mulje, mis saavutust kirjeldades lugejale jääb. Isegi faktiliselt õigeid väiteid kirjutades õnnestub sõnu nii seada, et lugejale jäetakse teadlikult vale mulje. Otsese valetamise teele minnakse harva, kuid juhtub sedagi.

Järgnev näide on ehk liialt tehniline ja nüansirohke, aga palun siiski lugejal veidi vaeva näha sellesse süvenemisega. Krüptoloogia (informatsiooni kaitsmine vaid valituile kasutatavaks muutes) on maailmas aina olulisem, sest inimeste endi välja mõeldud infosüsteemid mängivad igapäevaelus looduslike süsteemide lähedast rolli.

Hiljuti tutvustasid Norras tegutsevad noored krüptoloogid Tartus oma teadustööd, mille sisuks oli 2002. aastal esmakordselt avastatud infotehnoloogiliste turvaseadmete vastu suunatud ründe kiirendamine (ingl padding oracle attack – polsterdusoraakli rünne). Rünnet saab kasutada juhul, kui seade, mis kasutab krüpteerimiseks salajasi võtmeid, vastab veateatega, kui dekrüptimiseks saadetud pakett on valesti formeeritud. Sõnumi krüpteerimiseks jagatakse pikk sõnum ühepikkusteks plokkideks. Kuna algne sõnum ei pruugi olla täpselt täisarv plokke, siis tuleb viimasele plokile etteantud reeglite järgi sümboleid lisada, n-ö polsterdada. Kui dekrüpteerimise tulemusena tekib plokk, mis ei vasta sümbolite lisamise reeglitele ja seade väljastab veateate, siis nimetatakse sellist seadet oraakliks. Seade ei avalda krüpteerimiseks ja dekrüpteerimiseks kasutatavat salajast võtit, kuid pakettidega katsetades õnnestub salajase võtmega tehtav operatsiooni tulemus teada saada. Algselt kutsuti rünnet miljoni paketi ründeks, kuna katsetuste arv, mis tuli teha, oli väga suur. Teadlaste panus seisneb selles, et nad tegid ründe suurusjärgu võrra kiiremaks, kasutades teravmeelset meetodit katsepakettide valiku vähendamiseks. Põhjus, miks seadmed veateateid annavad, tuleneb ühest standardist (huvilistele ka selle nimi: PKCS #1 v1.5), mida kasutatakse krüpteerimiseksdekrüpteerimiseks, s.t standard ise sisaldab turvanõrkust. Mainitud standard on rakendatud maailma juhtivate elektrooniliste isikutuvastusvahendite tootjate seadmetes, mis on tavapäraselt kiipkaardi või USB-pulga kujul. Teadlased väitsid, et nad on murdnud isikutuvastamisvahendite turvalisuse ja tõid välja tundidest kuni päevadeni kuluva aja, mis kulub ründe läbiviimiseks eri tootjate seadmete puhul.

Teadlased jätsid selgelt välja toomata ründe korraldamise eeldused. Selleks et autentimisvahend annaks välja veateate, peab seade kasutama salajast võtit ja paketi dekrüpteerima. Salajast võtit saab dekrüpteerimiseks kasutada ainult pärast autentimisvahendi omaniku PIN koodi sisestamist. Seega peab ründajal olema juurdepääs seadmele ja PIN -koodile. Kui ründajal on juba ohvri PIN-kood, siis pole põhjust tunde ja päevi katsetada, vaid on võimalik kohe ühe käsuga dekrüpteerida või moodustada signatuur. Seega sellisel ründel väärtust ei ole.

Oma tööle näiliselt praktilise väärtuse andmiseks mõtlesid teadlased välja situatsiooni, millal ohver on ise oma arvutis PIN -koodi sisestanud ja ründaja kasutab seadmega suhtlemiseks juba loodud seanssi. Sellise olukorra eelduseks on ründaja kontroll tarkvara üle, mis suhtleb autentimisvahendiga. See on võimalik, kui ohvri masinasse istutada kurivara, mis võtab üle kontrolli arvuti üle. Rünne on võimalik, kuid tegu on teist tüüpi, mitte krüptograafilise ründega. Kurivara, mis võtab kontrolli arvuti üle, on palju liikvel. Arvuteid, mis on üle võetud ja allutatud kesksele juhtimisele, nimetatakse botnetiks. Mida botnetti kuuluva arvutiga teha saab, sõltub ohvri arvutis oleva botneti tarkvara võimekusest. Kurivarad suudavad dokumente varastada, mikrofoni või kaamera käima panna ja pildi ründajale edastada, ohvri eest ja tema nimel tegutseda ja tehinguid sooritada jpm.

Eelmisel aastal ilmnes, et Venemaal oli välja arendatud Zeusi-nimeline botneti tarkvara suhtlema ühest Venemaa pangast väljastatud kiipkaardiga. Kõigepealt talletas kurivara kaardi PIN -koodid ja kui kaart oli arvutisse jäetud, siis tehti omaniku teadmata pangaülekandeid. Seega, kui ründajal on kontroll ohvri arvuti üle ja ohver on juba PIN -koodi sisestanud, siis pole ründajal vaja tundide viisi katsetada. Ründaja võib kohe anda kaardile käsu soovitud toimingute tegemiseks.

Krüptoloogide töö on teadusmaailmas kahtlemata väärtuslik. Kuid teadlased läksid kaugemale, kui võiks eeldada akadeemilist korrektsust järgivatelt inimestelt. Tartus toimunud seminari kutses teatasid teadlased, et on avastanud võimaluse, kuidas koostada allkirju ilma salajast võtit ja PIN-koodi teadmata. Sisuliselt ei vasta väide tõele, kuna salajaste võtmetega manipuleerimiseks on vaja teada PIN-koodi.

Juhtivaid krüptoseadmeid tootev firma RSA on oma blogis (http://blogs.rsa.com/curry/dont-believe-everything-you-read-your-rsa-securid-token-is-not-cracked) krüptoloogide väited ümber lükanud. Tuleb tõdeda, et noored on siiski oma eesmärgi saavutanud: tänu sensatsioonihõnguliste pooltõdede esitamisele nende teadustööst kirjutatakse ja see tekitab elevust. Teadlane peaks siiski tajuma vastutust, mis tal lasub, kui ta teab, et tema väiteid võidakse massimeedias vääriti tõlgendada.

Noorte auahnete krüptoloogide odava populaarsuse janustel tegudel on peale lühiajalise segaduse tekitamise ka kaugemale ulatuv mõju. Nagu muinasjutus, kus karjapoiss põhjuseta külaelanikke hundi peletamiseks appi hüüdis, kaotasid külaelanikud usu karjapoissi tõelise ohu puhul. Samamoodi muudab väärmuljet jätvate teadusartiklite seisukohtade refereerimine ajakirjanduses ühiskonna paksunahaliseks. Teadustulemust peetakse abstraktseks ja ebaoluliseks. Rahvale tundub, et olulised sõnumid tulevad igapäevaelu korraldavatelt inimestelt. Lõpuks tekib põhjendatud küsimus, miks pidada maksumaksja raha eest üleval seltskonda, kes on igapäevaelust kaugel, mõlgutab oma lõbuks keerukaid mõtteid ja põhjustab vahetevahel segadust.

Ühiskond liigub vales suunas, kui teadmiste usaldusväärus tuleneb institutsioonidest ja nende suurusest, mitte vabast akadeemilisest mõttest, kui teadlaskonna väiteist on usutavam seisukoht, mille avaldab soliidne firma või täitevvõimu asutus.

Kui sulle meeldis see postitus jaga seda oma sõpradega

[LoginRadius_Share]
 

Leia veel huvitavat lugemist

Värske Rõhk
Hea laps
LR
Keel ja kirjandus
Akadeemia
Kunstel
Muusika
Õpetajate leht
Täheke
TeaterMuusikaKino
Vikerkaar
Looming