Europoje nutekėjus ES COVID-19 sertifikatų QR kodų generavimo duomenims programišiai ėmė kurti netikrus, tačiau galiojančius sertifikatus. Pranešama, kad duomenys nutekėjo iš Lenkijos, Prancūzijos, Vokietijos ir Nyderlandų duomenų bazių.
Anot Registrų centro Kibernetinės saugos skyriaus vadovo Kirilo Dubinino, Registrų centras šiai dienai neturi jokių duomenų, kad tretiesiems asmenims būtų nutekinti šių dviejų dokumentų generavimui naudojami privatūs QR kodų šifravimo raktai.
Lietuvoje už technologinius Galimybių paso ir ES skaitmeninio COVID pažymėjimo sprendimus Lietuvoje yra įgyvendinęs ir už jų saugumą atsakingas Registrų centras.
„Registrų centras naudoja šiuolaikines apsaugos priemones visų savo tvarkomų registrų ir informacinių sistemų bei juose esančių duomenų ir informacijos saugumui užtikrinti. ES skaitmeninių COVID pažymėjimo ir Galimybių paso šifravimo raktai tvarkomi pagal visus kibernetinio saugumo reikalavimus. Atidžiai stebime situaciją ir esant poreikiui esame pasirengę operatyviai reaguoti.
Kiekviena ES šalis yra atsakinga už ES skaitmeninių COVID pažymėjimų ir juose esančių QR kodų privačių bei viešųjų raktų generavimą. ES skaitmeninio COVID pažymėjimo tikrinimo programėlė pažymėjimų nuskaitymui naudoja viešuosius raktus, kuriuos pateikia pažymėjimą sugeneravusi konkreti šalis ir tik ji gali atšaukti viešuosius raktus.
Paaiškėjus, kad tam tikros šalies privatūs raktai nutekėjo, pirmiausiai ta šalis turi atšaukti visus savo sugeneruotų pažymėjimų QR kodų viešuosius raktus, kad net ir su nutekintu privačiu raktu sugeneruotas suklastotas pažymėjimas negalėtų būti nuskaitomas specialia programėle. Tuomet ta šalis turi sugeneruoti naujus ES skaitmeninius pažymėjimus, naujus privačius raktus ir su kitomis šalimis pasidalinti viešaisiais raktais, su kuriais būtų galima atkoduoti naujau sugeneruotus pažymėjimus.
Nutekėjus privatiems raktams, kurių pagalba generuojami ES skaitmeniniai COVID pažymėjimai ar Galimybių pasai, būtų įmanoma sukurti ir suklastotą dokumentą. Kaip minėta, tokiu atveju pirmiausiai turi būti atšaukti QR kodus iššifruojantys viešieji raktai ir sugeneruoti nauji pažymėjimai su naujais QR kodais ir naujais viešaisiais bei privačiais raktais“, – Delfi teigė Registrų centro Kibernetinės saugos skyriaus vadovas Kirilas Dubininas.
Galiojačius, bet netikrus QR kodus generuoja programišiai
Delfi primena, kad programišių forumuose pranešta apie nutekintus specialius kodus, vadinamus „raktais“, kuriuos turintys programišiai gali sugeneruoti galiojantį Europos Sąjungos COVID-19 sertifikatą bet kokiam išgalvotam asmeniui. Programišiai, pašiepdami suagumo spragą, tą ir padarė – sukūrė sertifikatą Adolfui Hitleriui ir jį paviešino.
Delfi redakcija patikrino šį QR kodą mobiliąja COVID-19 pažymėjimų tikrinimo programėle: jis veikia ir yra galiojantis, jame nurodyta, kad asmuo gimė 1930 sausio 1, paskiepytas Lenkijoje 2021 liepos 11-ąją. Programišiai taip pat sukūrė ir animacio personažo Mickey Mouse europinį „galimybių paso“ QR kodą, kuris, patikrinus programėle – taip pat galiojantis.
Tai reiškia, kad turint tokį QR kodą, galima patekti bet kur, kur prašoma galimybių paso arba ES COVID-19 sertifikato, jei tik tikrintojas nebus budrus arba informacija sertifikatų tikrinimo programėlėse nebus atnaujinta.
Kaip teigė Delfi pakalbinti IT speciaslistai, nutekinti „raktai“ (angl. private key ir public key) yra mažiausiai dviejų ES valstybių – Lenkijos ir Prancūzijos, taip pat tikėtina, kad ir iš Nyderlandų bei Vokietijos.
„Hackerių forumuose pranešama, kad pasirašant europinius COVID-19 sertifikatus yra naudojami Prancūzijos ir Lenkijos raktai“, – teigė IT specialistas Kęstas Ermanas. Forumuose sklinda pirminė informacija, kad raktai galėjo būti nutekinti iš Lenkijos e-Zdrowia sistemos, Prancūzijoje – iš ligoninių.
Anot jo, kai kurių ES šalių tiekėjai jau gavo informaciją apie tokią programišių veiklą.
Delfi žiniomis, kad už sertifikato sugeneravimą pagal pateiktus vardus, kuris bus pasirašytas Lenkijos arba Prancūzijos raktais, juodojoje rinkoje programišių forumuose prašoma 300 eurų (kitur 300 JAV dolerių).
„A. Hitlerio QR kodą jie pateikė kaip pavyzdį, tiksliau pateikė kelis pavyzdžius, kelių kombinacijų, kelių šalių. Tokiu būdu yra spekuliuojama, kad galima tokius sertifikatus pasidaryti, kuriose įrašyta melaginga informacija, bet jie galioja visoje ES. GalI būti, kad kažkas sukūrė tuos QR kodus įsilaužus į kokią informacinę sistemą, nors turbūt sunku būtų sukurti su neegzistuojančiais asmenimis „iš oro“, nes valstybė garantuoja savo privačiu raktu už autentiškumą. Tačiau, ko gero, čia yra blogiausias scenarijus – nutekinti raktai“, – teigė K. Ermanas.
Kaip įmanoma sukurti veikiantį QR kodą Adolfui Hitleriui?
Delfi kalbintas informacinių technologijų ir saugumo ekspertas Marius Pareščius paaiškino, kodėl susiklostė tokia situacija ir kaip veikia COVID-19 sertifikatų QR kodai, jų generavimas ir patikrinimas.
„Gpasiniai QR kodai, šiuo atveju Europos Sąjungos COVID-19 sertifikatai, yra generuojami su kiekvienos valstybės unikaliu raktu. Tam, kad būtų pasirašytas ir patikrintas, kad yra tikras, yra naudojami du raktai. Vienas raktas yra naudojamas pasirašymui, kitas yra naudojamas patikrinimui. Tas pasirašymo raktas naudojamas tuomet, kai valstybė generuoja tą QR kodą.
Kadangi yra galimai nutekinti prancūzų ir lenkų raktai, tai galima bet kam prigeneruoti QR kodų – bet kokį vardą, pavardę, bet kokią gimimo datą, vakcinacijos laiką ir pan. Tik su šiais raktais, kol jie nėra nepakeisti, galima sukurti lenkišką arba prancūzišką kodą. Turėdami kodą ir mes galėtume sugeneruoti, jokių problemų, bet kokį“, – aiškino M. Pareščius.
Kaip išspręsti šią problemą?
IT specialistas tikino, kad reiktų ištrinti nutekintus raktus iš pagrindinių duomenų bazių ir sugeneruoti naujus. Tačiau būtina ištrinti ir pakeisti ne tik sugeneravimo raktą, bet ir patikrinimo raktą.
„Tokiu atveju visi sugeneruoti QR kodai, kurie buvo iki šiol, jeigu juos tikrins, visi jie rodys klaidą, kad jie yra neteisingi. Toliau – eiga tokia: visiems vartotojams reikia sukurti, sugeneruoti naujus QR kodus – t.y. tų šalių, kurių raktai yra nutekinti. Tačiau pagrindinė problema yra tiems, kurie nenaudoja programėlės, o kurie turi ant popieriaus atspausdintus kodus. Nes programėlėje jiems parodys pranešimą, kad sugeneruotų iš naujo ir atsisiųs naują ir toliau naudos“, – aiškino M. Pareščius.
Jo teigimu, tuo pačiu reikia atnaujinti programėles tose šalyse, kuriose tie kodai yra nuskaitomi. Nes, pavyzdžiui, Lietuvoje nuskaitant lenkišką QR kodą, turi būti atsisiųstas nuskaitymo atnaujinimas.
„Tačiau Lietuvoje niekas netikrina užsienietiškų COVID-19 sertifikatų. Tarkime, sugalvoji užeiti į parduotuvę, tačiau parduotuvės apsauga neturi pasiruošusi programinės įrangos – tarkime, žmogus iš JAV turėjo savo testavimosi pažymėjimą ir jie neturi kaip jo patikrinti“, – teigė IT specialistas.
Tuo tarpu Vokietijoje ir Ispanijoje, pasak M. Pareščiaus, naudojamos kelios skirtingos programėles – dvi tarptautiniam tikrinimui ir vieną lokaliam.
Ar Lietuvoje gali būti nutekinti „raktai“?
„Tą (ES COVID sertifikato) raktą įprastai saugo kokia nors informacinė sistema, pavyzdžiui, Lietuvoje saugo esveikatos posistemė, kuri yra prižiūrima Registrų centro.
Pavyzdžiui, lietuviškam galimybių pasui panašų dalyką darė „WIX“. Tai jų programuotojai turi savo kažkokį raktą, su kuriuo generavo. Ar jie perdavė visą platformą ir paliko seną, ar davė susigeneruoti naują – nežinau, čia vidiniai susitarimai.
Tad jei lietuviškas ES COVID-19 sertifikato raktas nutekės, jis kažkur atsiras. O ar jį kažkas naudos ar ne – čia jau kitas reikalas. Aš visada sakiau, kad tai įvyks, tik laiko klausimas – kada. Ir ar esame tikri, kad lietuviškas raktas dar nėra nutekintas?“, – retoriškai klausė M. Pareščius.
