aA
Programišių forumuose pranešama apie nutekintus specialius kodus, vadinamus „raktais“, kuriuos turintys programišiai gali sugeneruoti galiojantį Europos Sąjungos COVID-19 sertifikatą bet kokiam išgalvotam asmeniui. Programišiai, pašiepdami saugumo spragą, tą ir padarė – sukūrė sertifikatą Adolfui Hitleriui ir jį paviešino. Delfi redakcija patikrino šį QR kodą mobiliąja COVID-19 pažymėjimų tikrinimo programėle: jis veikia ir yra galiojantis, jame nurodyta, kad asmuo gimė 1930 sausio 1, paskiepytas Lenkijoje 2021 liepos 11-ąją.
Panaudoję nutekintus raktus, programišiai sukūrė Adolfui Hitleriui galiojantį COVID-19 sertifikatą
Panaudoję nutekintus raktus, programišiai sukūrė Adolfui Hitleriui galiojantį COVID-19 sertifikatą

Tai reiškia, kad turint tokį QR kodą, galima patekti bet kur, kur prašoma galimybių paso arba ES COVID-19 sertifikato, jei tik tikrintojas nebus budrus arba informacija sertifikatų tikrinimo programėlėse nebus atnaujinta.

Kaip teigė Delfi pakalbinti IT speciaslistai, nutekinti „raktai“ (angl. private key ir public key) yra mažiausiai dviejų ES valstybių – Lenkijos ir Prancūzijos, taip pat tikėtina, kad ir iš Nyderlandų bei Vokietijos.

Hackerių forumuose pranešama, kad pasirašant europinius COVID-19 sertifikatus yra naudojami Prancūzijos ir Lenkijos raktai“, – teigė IT specialistas Kęstas Ermanas. Forumuose sklinda pirminė informacija, kad raktai galėjo būti nutekinti iš Lenkijos e-Zdrowia sistemos, Prancūzijoje – iš ligoninių.

Anot jo, kai kurių ES šalių tiekėjai jau gavo informaciją apie tokią programišių veiklą.

Delfi žiniomis, kad už sertifikato sugeneravimą pagal pateiktus vardus, kuris bus pasirašytas Lenkijos arba Prancūzijos raktais, juodojoje rinkoje programišių forumuose prašoma 300 eurų (kitur 300 JAV dolerių).

„A. Hitlerio QR kodą jie pateikė kaip pavyzdį, tiksliau pateikė kelis pavyzdžius, kelių kombinacijų, kelių šalių. Tokiu būdu yra spekuliuojama, kad galima tokius sertifikatus pasidaryti, kuriose įrašyta melaginga informacija, bet jie galioja visoje ES. GalI būti, kad kažkas sukūrė tuos QR kodus įsilaužus į kokią informacinę sistemą, nors turbūt sunku būtų sukurti su neegzistuojančiais asmenimis „iš oro“, nes valstybė garantuoja savo privačiu raktu už autentiškumą. Tačiau, ko gero, čia yra blogiausias scenarijus – nutekinti raktai“, – teigė K. Ermanas.

Specialistas pridūrė, kad jo žiniomis, Prancūzijoje raktas jau yra atšauktas.

Vienas pirmųjų šiuo sugeneruotu QR kodu socialiniame tinkle „Twitter“ pasidalijo vartotojas „reversebrain“. Vėliau ėmė plisti ir prancūziškas „Mickey Mouse“ vardu sugeneruotas COVID-19 sertifikato QR kodas.

Mickey Mouse COVID-19 sertifikatas
Mickey Mouse COVID-19 sertifikatas

Kaip įmanoma sukurti veikiantį QR kodą Adolfui Hitleriui?

Delfi kalbintas informacinių technologijų ir saugumo ekspertas Marius Pareščius paaiškino, kodėl susiklostė tokia situacija ir kaip veikia COVID-19 sertifikatų QR kodai, jų generavimas ir patikrinimas.

„Gpasiniai QR kodai, šiuo atveju Europos Sąjungos COVID-19 sertifikatai, yra generuojami su kiekvienos valstybės unikaliu raktu. Tam, kad būtų pasirašytas ir patikrintas, kad yra tikras, yra naudojami du raktai. Vienas raktas yra naudojamas pasirašymui, kitas yra naudojamas patikrinimui. Tas pasirašymo raktas naudojamas tuomet, kai valstybė generuoja tą QR kodą.

Kadangi yra galimai nutekinti prancūzų ir lenkų raktai, tai galima bet kam prigeneruoti QR kodų – bet kokį vardą, pavardę, bet kokią gimimo datą, vakcinacijos laiką ir pan. Tik su šiais raktais, kol jie nėra nepakeisti, galima sukurti lenkišką arba prancūzišką kodą. Turėdami kodą ir mes galėtume sugeneruoti, jokių problemų, bet kokį“, – aiškino M. Pareščius.

Kaip išspręsti šią problemą?

IT specialistas tikino, kad reiktų ištrinti nutekintus raktus iš pagrindinių duomenų bazių ir sugeneruoti naujus. Tačiau būtina ištrinti ir pakeisti ne tik sugeneravimo raktą, bet ir patikrinimo raktą.

„Tokiu atveju visi sugeneruoti QR kodai, kurie buvo iki šiol, jeigu juos tikrins, visi jie rodys klaidą, kad jie yra neteisingi. Toliau – eiga tokia: visiems vartotojams reikia sukurti, sugeneruoti naujus QR kodus – t.y. tų šalių, kurių raktai yra nutekinti. Tačiau pagrindinė problema yra tiems, kurie nenaudoja programėlės, o kurie turi ant popieriaus atspausdintus kodus. Nes programėlėje jiems parodys pranešimą, kad sugeneruotų iš naujo ir atsisiųs naują ir toliau naudos“, – aiškino M. Pareščius.

Panaudoję nutekintus raktus, programišiai sukūrė Adolfui Hitleriui galiojantį COVID-19 sertifikatą
Panaudoję nutekintus raktus, programišiai sukūrė Adolfui Hitleriui galiojantį COVID-19 sertifikatą

Jo teigimu, tuo pačiu reikia atnaujinti programėles tose šalyse, kuriose tie kodai yra nuskaitomi. Nes, pavyzdžiui, Lietuvoje nuskaitant lenkišką QR kodą, turi būti atsisiųstas nuskaitymo atnaujinimas.

„Tačiau Lietuvoje niekas netikrina užsienietiškų COVID-19 sertifikatų. Tarkime, sugalvoji užeiti į parduotuvę, tačiau parduotuvės apsauga neturi pasiruošusi programinės įrangos – tarkime, žmogus iš JAV turėjo savo testavimosi pažymėjimą ir jie neturi kaip jo patikrinti“, – teigė IT specialistas.

Tuo tarpu Vokietijoje ir Ispanijoje, pasak M. Pareščiaus, naudojamos kelios skirtingos programėles – dvi tarptautiniam tikrinimui ir vieną lokaliam.

Ar Lietuvoje gali būti nutekinti „raktai“?

„Tą (ES COVID sertifikato) raktą įprastai saugo kokia nors informacinė sistema, pavyzdžiui, Lietuvoje saugo esveikatos posistemė, kuri yra prižiūrima Registrų centro.

Pavyzdžiui, lietuviškam galimybių pasui panašų dalyką darė „WIX“. Tai jų programuotojai turi savo kažkokį raktą, su kuriuo generavo. Ar jie perdavė visą platformą ir paliko seną, ar davė susigeneruoti naują – nežinau, čia vidiniai susitarimai.

Tad jei lietuviškas ES COVID-19 sertifikato raktas nutekės, jis kažkur atsiras. O ar jį kažkas naudos ar ne – čia jau kitas reikalas. Aš visada sakiau, kad tai įvyks, tik laiko klausimas – kada. Ir ar esame tikri, kad lietuviškas raktas dar nėra nutekintas?“, – retoriškai klausė M. Pareščius.

Marius Pareščius
Marius Pareščius
© DELFI / Domantas Pipas

Siūlo patikimesnį būdą nei gpasas ar ES sertifikatas

Kaip aiškino M. Pareščius, schema, kuri dabar naudojama pažymėjimų tikrinimui, nenaudoja interneto, tad duomenys nėra tikrinami duomenų bazėse tiesiogiai.

„Esu sakęs, kad yra neteisingai daroma – reikia ne galimybių paso, o pririšti viską prie barkodo, kuris yra ant piliečio paso arba tapatybės kortelės ir naudoti internetą. Tada galima patikrinti, kad tas COVID-19 pasas galiojantis būtent šią minutę – nereikia nei popierinių, nei skaitmeninių, nei QR kodų“, – aiškino M. Pareščius.

Delfi išsiuntė užklausas esveikata ir Registrų centro atstovams dėl duomenų saugumo. Gavę informaciją – papildysime.

www.DELFI.lt
Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
Įvertink šį straipsnį
Norėdami tobulėti, suteikiame jums galimybę įvertinti skaitomą DELFI turinį.
(82 žmonės įvertino)
4.1951

Išrinktas 2021 metų žodis: taip, tai „vakcina“ (1)

Išplėsdamas šiais laikais dažnai visur pasitaikančio žodžio „ vakcina “ (angl. vaccine)...

Dėl Europos planų kosmose turi spręsti politikai, sako ESA vadovas (1)

Europos kosmoso agentūros (ESA) vadovas sako, kad savarankiškos Europos galimybės pasiekti kosmosą...

Neįgalieji jaučiasi diskriminuojami internetinėje erdvėje: svetainės nepritaikytos jų poreikiams (2)

Šiaulietis Audrius serga nepagydoma, progresuojančia akių liga – glaukoma. Nors šis susirgimas...

Londone pabaigta grandiozinė miesto simbolio rekonstrukcija: po trijų su puse metų – įspūdingas atidengimas (3)

Didžiojo Beno ciferblatai išnirs iš pastolių uždangos kaip tik tam metui, kai visame pasaulyje...

Europos kosmoso agentūra perspėja apie galimą palydovo „Solar Orbiter“ susidūrimą su kosminėmis šiukšlėmis (4)

Europos kosmoso agentūra (EKA) pranešė penktadienį besiruošianti pakoreguoti Saulę...

Top naujienos

D+ Tomas Janonis

Teismo kirtis gražiausiame pajūrio draustinyje vilą pasistačiusiam verslininkui: prabangų namą gali tekti tiesiog nugriauti (4)

Į Pajūrio regioninį parką įsisukę archeologai, ieškantys pradingusių sodybų, sulaukė teismo...

Nemokamo vandens laikai ūkininkams baigiasi: po malonės už nelegalius gręžinius teks susimokėti (207)

Lietuvoje siekiama surasti ir legalizuoti apie 30 tūkst. vandens gręžinių – iki 2024 metų juos...

VSAT pateikė daugiau informacijos apie migrantų grupę su nepilnamečiais: specialistai dirbo iki vėlumos

Valstybės sienos apsaugos tarnyba ( VSAT ) praneša, jog per praėjusią parą, nuo antradienio...

Nuo šiandien – nauja tvarka dėl galimybių paso, testų ir kaukių (56)

Nuo trečiadienio galimybių pasui gauti nebetiks antigeno testas – galios tik PGR , o nevakcinuoti...

Ekonomistai spekuliuoja, kaip omikron paveiks pasaulinį atsigavimą (28)

Omikron atmaina sudavė smūgį optimistinėms viltims, kad pasaulio ekonomika į 2022 m. įžengs...

Apie asmeninį gyvenimą neatviraujantis Edmundas Kučinskas užminė mįslę apie naują šeimą ir gimusį sūnų (40)

Edmundas Kučinskas pastaruoju metu žiūrovus džiugino dalyvaudamas projekte „Kaukės“ . Apie...

Danguje žada įspūdingą susidūrimą: viena į kitą lekia dvi supermasyvios juodosios bedugnės (35)

Atrastos dvi supermasyvios juodosios bedugnės , tarp kurių vos 1600 šviesmečių tarpas, ir po...

Šių tablečių rastume kone kiekvienuose namuose: daugiausia perdozavimo atvejų, pasekmės – itin rimtos (12)

Pandemijos akivaizdoje Lietuvos gyventojai yra labiau linkę užsiimti savigyda – tiek bijodami...

Žiema įsismarkauja: sinoptikų prognozėse – gausus sniegas ir pavojingi vėjo gūsiai (29)

Pirmą žiemos dieną orus lems anticiklono gūbrys, tad diena džiugins malonesniais orais.