Ein Artikel aus Delfi
Der Entwickler der Programmumgebung der estnischen ID-Karte Sertifitseerimiskeskus hat mit Hilfe des letzten Updates ein Fehler behoben, der es erlauben würde, beliebige Files im Computer des Opfers zu überschreiben. Bei vielen Leuten ist noch die alte kaputte Version installiert, die schnellstmöglichst ersetzt werden sollte. Der Hauptredakteur der Zeitschrift Digi Henrik Roonemaa sagte Delfi, dass falls die alte Programmumgebung der ID-Karte benutzt wird, kann der Verbrecher den Computer der Person kontrollieren kann: "Wenn du beliebige Daten im Computer einer Person überschreiben kannst, kannst Du was Du willst damit tun".
"Das der Fehler behoben ist, ist natürlich ausgezeichnet, doch die Mehrheit der Leute benutzt nach wie vor eine alte Version, und diese Information haben sie nicht bekommen", ergänzte Roonemaa, laut ihm ist für viele Leute selbst die Nutzung der Programmumgebung der ID-Karte nicht einfach, von der Installation von was Neuem ganz zu schweigen.
Roonemaa empfiehlt allen Leuten, so schnell wie möglich die Programmumgebung der ID-Karten zu erneuern. "Die Computer der Mehrheit der Bevölkerung in Estland kann man wegen eines Fehlers einer Programmumgebung angreifen, die vom Staat erschaffen wurde. Es ist erstaunlich, warum man die Information darüber so verhalten verbreitet. Man kann doch nicht erwarten, dass die Leute auf die Homepage gehen, um dort technische Dokumente zu lesen", sagte Roonemaa.
Die Kommunikationsverantwortliche der Abteilung des staatlichen Informationssystems Liisa Tallinn sagte, dass tatsächlich ein Fehler gefunden wurde, doch er stellt keine besonders verbreitete Gefahr dar, auf die man zufällig im Internet draufstossen könnte. "Die Situation sieht so aus: wenn jemand konkret dich angreifen möchte, schickt er dir ein File mit der digitalen Unterschrift. Wenn Du das File aufmachst, kann der Bösewicht auf dem Computer befindende Files überschreiben. Gleichzeitig kann die Polizei dann feststellen, wer das File geschickt hat, seine Handlungen wären zweifelsfrei verbrecherisch", sagte Tallinn.
Tallinn empfiehlt den Nutzern die Programmumgebung auf der Seite Installer zu erneuern. Die Programmumgebung der Version 3.5 und höher wird sich im Laufe der Woche automatisch erneuern, doch auch diese Nutzer können die neue Version manuell runterladen. "Um die Version der Programmumgebung zu überprüfen, die sie installiert haben, rufen sie die Programmumgebung auf, drücken sie den Knopf "Info". Falls die Version kleiner ist als 3.5, dann muss man die Programmumgebung unbedingt erneuern", sagte Tallinn.
Mein Kommentar dazu: Diese Umgebung ist dafür gedacht, die E-Wahlen sicher zu machen. Es reicht also ein digital signiertes Brief von einer vertrauenswürdigen Person (also zum Beispiel einem Politiker zu bekommen) und schon ist der Computer infiziert und zwar ohne dass man es sofort merkt und die Polizei benachrichtigt. Und da erst die neueren Versionen der Programmumgebung Autoupdates beherrschen, ist es sehr fraglich bis wann das Loch auf allen Computern geschlossen wird. Eine E-Wahl auf solchen Computern abzuhalten ist grob fahrlässig.