W internecie od kilku dni pojawia się coraz więcej informacji na temat fałszywych, jednak pozytywnie weryfikujących się tzw. paszportów covidowych. Jak informuje niebezpiecznik.pl - "są one generowane przy użyciu kluczy kryptograficznych należących do takich krajów jak Francja, Niemcy i Polska".
Podkom. Rzeczkowski: system weryfikujący zaszczepionych jest bardzo szczelny
Na certyfikatach mogą pojawiać się dowolne dane. Wśród wystawionych fałszywek znalazły się zatem zaświadczenia wystawione na Adolfa Hitlera, Myszkę Miki i Sponge Boba. Niebezpiecznik.pl, który badał sprawę, potwierdził, że wszystkie te paszporty są uznawane według oficjalnych aplikacji za poprawne. Najstarszy tego typu certyfikat, do jakiego dotarł portal, został wystawiony 17 października na dane "Rokotepassieu Ota Yhteytta Wickr". Po fińsku oznacza to po prostu "paszport szczepionkowy, pisz na Wicker".
Czytaj także:
Sposoby generacji
Aktualnie nie ma wyjaśnienia, w jaki sposób są generowane fałszywe certyfikaty. Według niebezpiecznika.pl możliwe są dwa scenariusze. Pierwszy zakłada, że oszust posiada dane lekarza, który ma uprawnienia do wpisywania zaszczepionych osób do "systemu". Wykorzystując brak weryfikacji danych lub nadużywając aplikację zgłaszania zaszczepionych, wpisuje dowolne dane. Druga teoria zakłada, że ktoś uzyskał dostęp do oprogramowania, z którego korzystają medycy, a które "rozmawia z systemem Ministerstwa Zdrowia". Następnie fałszerz musiałby wyciągnąć z niego klucz API, aby potem samodzielnie wpisywać treści do "oficjalnego systemu, podsyłając mu lewe dane do uwierzytelnienia".
Zdaniem dziennikarzy mało prawdopodobne jest to, aby ktoś dopuścił się kradzieży państwowych kluczy prywatnych. Sytuacja mogłaby mieć miejsce, gdyby jakiś kraj nie użył tzw. HSM-ów i nie zabezpieczył kluczy w odpowiedni sposób. W takim scenariuszu oszuści mogliby zyskać do nich dostęp na skutek włamania lub wycieku. W tej chwili brak jednak dowodów na tego typu akcję.
Nieprawdopodobne jest także wyliczenie kluczy prywatnych. "Gdyby ktoś dysponował odpowiednią mocą obliczeniową, aby takie ataki refaktoryzacji / zbruteforce’owania klucza przeprowadzić, mógłby na tym dużo więcej i dużo szybciej zarobić, okradając cudze portfele krytptowalutowe" - zauważają dziennikarze.
Lekarz wystawiał fałszywe certyfikaty covidowe. Minister cyfryzacji wpadł na trop oszusta
Wytłumaczeniem najbliższym prawdy może okazać się pozyskanie przez oszusta "dostępów lekarskich i wykorzystanie braku poprawnej weryfikacji danych pacjenta w oprogramowaniu do wystawiania certyfikatów". Lekarze, z którymi rozmawiał niebezpiecznik.pl zapewniali, że wprowadzenie niewłaściwych danych jest niemożliwe. Portal podkreśla jednak, że nie dotarł do rozwiązań, z jakich korzystają medycy, więc nie może z całą pewnością odrzucić tej teorii.
"Zwróćmy uwagę, że lekarz, widząc stronę z zablokowanymi do edycji »danymi osobowymi« pacjenta, niekoniecznie zdaje sobie sprawę z tego, że - jeśli aplikacja nie została poprawnie napisana - to te »zablokowane dane« można podmienić" - zauważają autorzy artykułu. Jak wyjaśniają, aby skorzystać z metody, umożliwiającej przechwycenie i modyfikacji żądania z aplikacji, należy posiadać dostęp do danych dostępowych lekarza, a samo oprogramowanie, z którego on korzysta, musi być niewystarczająco dobrze napisane.
jbt
