aA
Europoje nutekėjus ES COVID-19 sertifikatų QR kodų generavimo duomenims programišiai ėmė kurti netikrus, tačiau galiojančius sertifikatus. Pranešama, kad duomenys nutekėjo iš Lenkijos, Prancūzijos, Vokietijos ir Nyderlandų duomenų bazių. Anot Registrų centro Kibernetinės saugos skyriaus vadovo Kirilo Dubinino, Registrų centras šiai dienai neturi duomenų, jog būtų nutekėję Lietuvoje sugeneruotų ES skaitmeninių COVID pažymėjimų ar Galimybių pasų privatūs raktai.
Klastojami COVID-19 sertifikatai.
Klastojami COVID-19 sertifikatai.
© DELFI

Europoje nutekėjus ES COVID-19 sertifikatų QR kodų generavimo duomenims programišiai ėmė kurti netikrus, tačiau galiojančius sertifikatus. Pranešama, kad duomenys nutekėjo iš Lenkijos, Prancūzijos, Vokietijos ir Nyderlandų duomenų bazių.

Anot Registrų centro Kibernetinės saugos skyriaus vadovo Kirilo Dubinino, Registrų centras šiai dienai neturi jokių duomenų, kad tretiesiems asmenims būtų nutekinti šių dviejų dokumentų generavimui naudojami privatūs QR kodų šifravimo raktai.

Lietuvoje už technologinius Galimybių paso ir ES skaitmeninio COVID pažymėjimo sprendimus Lietuvoje yra įgyvendinęs ir už jų saugumą atsakingas Registrų centras.

Klastojami COVID-19 sertifikatai.
Klastojami COVID-19 sertifikatai.
© DELFI

„Registrų centras naudoja šiuolaikines apsaugos priemones visų savo tvarkomų registrų ir informacinių sistemų bei juose esančių duomenų ir informacijos saugumui užtikrinti. ES skaitmeninių COVID pažymėjimo ir Galimybių paso šifravimo raktai tvarkomi pagal visus kibernetinio saugumo reikalavimus. Atidžiai stebime situaciją ir esant poreikiui esame pasirengę operatyviai reaguoti.

Kiekviena ES šalis yra atsakinga už ES skaitmeninių COVID pažymėjimų ir juose esančių QR kodų privačių bei viešųjų raktų generavimą. ES skaitmeninio COVID pažymėjimo tikrinimo programėlė pažymėjimų nuskaitymui naudoja viešuosius raktus, kuriuos pateikia pažymėjimą sugeneravusi konkreti šalis ir tik ji gali atšaukti viešuosius raktus.

Paaiškėjus, kad tam tikros šalies privatūs raktai nutekėjo, pirmiausiai ta šalis turi atšaukti visus savo sugeneruotų pažymėjimų QR kodų viešuosius raktus, kad net ir su nutekintu privačiu raktu sugeneruotas suklastotas pažymėjimas negalėtų būti nuskaitomas specialia programėle. Tuomet ta šalis turi sugeneruoti naujus ES skaitmeninius pažymėjimus, naujus privačius raktus ir su kitomis šalimis pasidalinti viešaisiais raktais, su kuriais būtų galima atkoduoti naujau sugeneruotus pažymėjimus.

Nutekėjus privatiems raktams, kurių pagalba generuojami ES skaitmeniniai COVID pažymėjimai ar Galimybių pasai, būtų įmanoma sukurti ir suklastotą dokumentą. Kaip minėta, tokiu atveju pirmiausiai turi būti atšaukti QR kodus iššifruojantys viešieji raktai ir sugeneruoti nauji pažymėjimai su naujais QR kodais ir naujais viešaisiais bei privačiais raktais“, – Delfi teigė Registrų centro Kibernetinės saugos skyriaus vadovas Kirilas Dubininas.

Klastojami COVID-19 sertifikatai.
Klastojami COVID-19 sertifikatai.
© DELFI

Galiojačius, bet netikrus QR kodus generuoja programišiai

Delfi primena, kad programišių forumuose pranešta apie nutekintus specialius kodus, vadinamus „raktais“, kuriuos turintys programišiai gali sugeneruoti galiojantį Europos Sąjungos COVID-19 sertifikatą bet kokiam išgalvotam asmeniui. Programišiai, pašiepdami suagumo spragą, tą ir padarė – sukūrė sertifikatą Adolfui Hitleriui ir jį paviešino.

Delfi redakcija patikrino šį QR kodą mobiliąja COVID-19 pažymėjimų tikrinimo programėle: jis veikia ir yra galiojantis, jame nurodyta, kad asmuo gimė 1930 sausio 1, paskiepytas Lenkijoje 2021 liepos 11-ąją. Programišiai taip pat sukūrė ir animacio personažo Mickey Mouse europinį „galimybių paso“ QR kodą, kuris, patikrinus programėle – taip pat galiojantis.

Tai reiškia, kad turint tokį QR kodą, galima patekti bet kur, kur prašoma galimybių paso arba ES COVID-19 sertifikato, jei tik tikrintojas nebus budrus arba informacija sertifikatų tikrinimo programėlėse nebus atnaujinta.

Kaip teigė Delfi pakalbinti IT speciaslistai, nutekinti „raktai“ (angl. private key ir public key) yra mažiausiai dviejų ES valstybių – Lenkijos ir Prancūzijos, taip pat tikėtina, kad ir iš Nyderlandų bei Vokietijos.

„Hackerių forumuose pranešama, kad pasirašant europinius COVID-19 sertifikatus yra naudojami Prancūzijos ir Lenkijos raktai“, – teigė IT specialistas Kęstas Ermanas. Forumuose sklinda pirminė informacija, kad raktai galėjo būti nutekinti iš Lenkijos e-Zdrowia sistemos, Prancūzijoje – iš ligoninių.

Anot jo, kai kurių ES šalių tiekėjai jau gavo informaciją apie tokią programišių veiklą.
Delfi žiniomis, kad už sertifikato sugeneravimą pagal pateiktus vardus, kuris bus pasirašytas Lenkijos arba Prancūzijos raktais, juodojoje rinkoje programišių forumuose prašoma 300 eurų (kitur 300 JAV dolerių).

„A. Hitlerio QR kodą jie pateikė kaip pavyzdį, tiksliau pateikė kelis pavyzdžius, kelių kombinacijų, kelių šalių. Tokiu būdu yra spekuliuojama, kad galima tokius sertifikatus pasidaryti, kuriose įrašyta melaginga informacija, bet jie galioja visoje ES. GalI būti, kad kažkas sukūrė tuos QR kodus įsilaužus į kokią informacinę sistemą, nors turbūt sunku būtų sukurti su neegzistuojančiais asmenimis „iš oro“, nes valstybė garantuoja savo privačiu raktu už autentiškumą. Tačiau, ko gero, čia yra blogiausias scenarijus – nutekinti raktai“, – teigė K. Ermanas.

Kaip įmanoma sukurti veikiantį QR kodą Adolfui Hitleriui?

Delfi kalbintas informacinių technologijų ir saugumo ekspertas Marius Pareščius paaiškino, kodėl susiklostė tokia situacija ir kaip veikia COVID-19 sertifikatų QR kodai, jų generavimas ir patikrinimas.

Klastojami COVID-19 sertifikatai.
Klastojami COVID-19 sertifikatai.
© DELFI

„Gpasiniai QR kodai, šiuo atveju Europos Sąjungos COVID-19 sertifikatai, yra generuojami su kiekvienos valstybės unikaliu raktu. Tam, kad būtų pasirašytas ir patikrintas, kad yra tikras, yra naudojami du raktai. Vienas raktas yra naudojamas pasirašymui, kitas yra naudojamas patikrinimui. Tas pasirašymo raktas naudojamas tuomet, kai valstybė generuoja tą QR kodą.

Kadangi yra galimai nutekinti prancūzų ir lenkų raktai, tai galima bet kam prigeneruoti QR kodų – bet kokį vardą, pavardę, bet kokią gimimo datą, vakcinacijos laiką ir pan. Tik su šiais raktais, kol jie nėra nepakeisti, galima sukurti lenkišką arba prancūzišką kodą. Turėdami kodą ir mes galėtume sugeneruoti, jokių problemų, bet kokį“, – aiškino M. Pareščius.

Kaip išspręsti šią problemą?

IT specialistas tikino, kad reiktų ištrinti nutekintus raktus iš pagrindinių duomenų bazių ir sugeneruoti naujus. Tačiau būtina ištrinti ir pakeisti ne tik sugeneravimo raktą, bet ir patikrinimo raktą.
„Tokiu atveju visi sugeneruoti QR kodai, kurie buvo iki šiol, jeigu juos tikrins, visi jie rodys klaidą, kad jie yra neteisingi. Toliau – eiga tokia: visiems vartotojams reikia sukurti, sugeneruoti naujus QR kodus – t.y. tų šalių, kurių raktai yra nutekinti. Tačiau pagrindinė problema yra tiems, kurie nenaudoja programėlės, o kurie turi ant popieriaus atspausdintus kodus. Nes programėlėje jiems parodys pranešimą, kad sugeneruotų iš naujo ir atsisiųs naują ir toliau naudos“, – aiškino M. Pareščius.

Jo teigimu, tuo pačiu reikia atnaujinti programėles tose šalyse, kuriose tie kodai yra nuskaitomi. Nes, pavyzdžiui, Lietuvoje nuskaitant lenkišką QR kodą, turi būti atsisiųstas nuskaitymo atnaujinimas.

„Tačiau Lietuvoje niekas netikrina užsienietiškų COVID-19 sertifikatų. Tarkime, sugalvoji užeiti į parduotuvę, tačiau parduotuvės apsauga neturi pasiruošusi programinės įrangos – tarkime, žmogus iš JAV turėjo savo testavimosi pažymėjimą ir jie neturi kaip jo patikrinti“, – teigė IT specialistas.
Tuo tarpu Vokietijoje ir Ispanijoje, pasak M. Pareščiaus, naudojamos kelios skirtingos programėles – dvi tarptautiniam tikrinimui ir vieną lokaliam.

Ar Lietuvoje gali būti nutekinti „raktai“?

„Tą (ES COVID sertifikato) raktą įprastai saugo kokia nors informacinė sistema, pavyzdžiui, Lietuvoje saugo esveikatos posistemė, kuri yra prižiūrima Registrų centro.

Pavyzdžiui, lietuviškam galimybių pasui panašų dalyką darė „WIX“. Tai jų programuotojai turi savo kažkokį raktą, su kuriuo generavo. Ar jie perdavė visą platformą ir paliko seną, ar davė susigeneruoti naują – nežinau, čia vidiniai susitarimai.

Tad jei lietuviškas ES COVID-19 sertifikato raktas nutekės, jis kažkur atsiras. O ar jį kažkas naudos ar ne – čia jau kitas reikalas. Aš visada sakiau, kad tai įvyks, tik laiko klausimas – kada. Ir ar esame tikri, kad lietuviškas raktas dar nėra nutekintas?“, – retoriškai klausė M. Pareščius.

www.DELFI.lt
Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
Įvertink šį straipsnį
Norėdami tobulėti, suteikiame jums galimybę įvertinti skaitomą DELFI turinį.
(17 žmonių įvertino)
3.1176

Milžiniškų sandėlių neprireiks: lyg ant mielių augančiai el. prekybai iššūkius įveikti padeda neįprasti robotai

Sparčiai augantis elektroninės prekybos populiarumas visame pasaulyje, įskaitant ir Lietuvą,...

Perspėja išmaniųjų telefonų naudotojus: Lietuvos pašonėje siautėja itin pavojingas SMS virusas jokiu būdu neatidarinėkite tokios žinutės (94)

Suomijos ir Norvegijos mobiliojo ryšio operatoriai antrą savaitę kovoja su galingu SMS virusu...

Izraelio inžinieriai sukūrė naują raketinio kuro rūšį ir variklius: pritaikys kosmose ir karo pramonėje (10)

Tokį kurą naudojančios raketos gali būti įjungiamos ir išjungiamos, kurą galima ilgai saugoti,...

Elono Musko „Starlink“ palydovinis internetas pradeda veikti Lietuvoje: paskelbė, koks bus interneto greitis paviešintos paslaugų kainos (203)

Astronautikos bendrovė „Space X“, priklausanti Elonui Muskui , pranešė Lietuvoje pradedanti...

NASA žada atlikti didžiulį eksperimentą Mėnulyje: jei pasiseks, identišką technologiją panaudos Marse (22)

NASA paskelbė kvietimą teikti pasiūlymus, kaip Mėnulyje būtų galima įrengti branduolinę...

Top naujienos

D+ Tomas Janonis

Įspūdinga LRT pastatų rekonstrukcija kelia aistras: kiek visa tai kainuos ir kas tą kainą pasiryžęs mokėti (4)

LRT pastatų atnaujinimo architektūrinis konkursas, regis, nevyksta taip sklandžiai kaip buvo...

Specialus kodas statybininkui – tik pradžia: pokyčiai galimi ir kitų sektorių darbuotojams (62)

Siekiant mažinti nelegalų darbą nuo Naujųjų statybų sektoriuje dirbantys asmenys privalės...

D+Žinių radijas

Kada sustos rekordiškai augti būsto kainos? (2)

Ar Lietuvos banko ribojimai antrai paskolai atvėsins įkaitusį kainų laužą? Ar nuosavas erdvus...

Jau sausį vairuotojai privalės turėti naujas vaistinėles: už senų naudojimą – ir baudos, ir trūkumai techninėje apžiūroje (46)

Jau nuo sausio 1-osios vairuotojai, pirmosios pagalbos vaistinėles įsigiję prieš kelis metus,...

Lietuviškų durpių karavanai skrodžia pasaulį: o kas tarpsta be jų likusiose žemėse (28)

Lietuvoje durpių gavybos verslas yra puikiai išvystytas. Nors nemaža mūsų durpynų dalis yra...

Vaidas Baumila iš LRT eterio dingo ne šiaip sau: pažeidė sutarties sąlygą (35)

Akyliausi žiūrovai veikiausiai pastebėjo pokyčius LRT laidoje „Svajoja vaikai“. Ilgą laiką...

Lietuvaičių šykštuoliais nepavadinsi: kalėdinėms dovanoms pasiruošę kaip reikiant praverti pinigines (17)

Šventės artėja – piniginė plonėja, tiesa? Panašu, lietuvaičiai, džiugindami savo šeimą ir...

Specialistai įspėja dėl „ekologiškos“ buitinės chemijos: neapsigaukite (1)

Buitine chemija vadinama labai daug gaminių, pradedant įvairiais plovikliais, baigiant avalynės...

Žiema parodys tikrą savo veidą – paspaus net 21 laipsnio šaltis (39)

Aukšto atmosferos slėgio sūkurys į Lietuvą atnešė žiemišką šaltį. Po šaltos antradienio...

Europos elektros badas skatina Šiaurės šalių tinklų blokadą (29)

Šiaurės Europoje verda ginčas dėl elektros tiekimo. Švedija neleidžia Norvegijai naudoti savo...