Tai reiškia, kad turint tokį QR kodą, galima patekti bet kur, kur prašoma galimybių paso arba ES COVID-19 sertifikato, jei tik tikrintojas nebus budrus arba informacija sertifikatų tikrinimo programėlėse nebus atnaujinta.
Kaip teigė Delfi pakalbinti IT speciaslistai, nutekinti „raktai“ (angl. private key ir public key) yra mažiausiai dviejų ES valstybių – Lenkijos ir Prancūzijos, taip pat tikėtina, kad ir iš Nyderlandų bei Vokietijos.
„Hackerių forumuose pranešama, kad pasirašant europinius COVID-19 sertifikatus yra naudojami Prancūzijos ir Lenkijos raktai“, – teigė IT specialistas Kęstas Ermanas. Forumuose sklinda pirminė informacija, kad raktai galėjo būti nutekinti iš Lenkijos e-Zdrowia sistemos, Prancūzijoje – iš ligoninių.
Anot jo, kai kurių ES šalių tiekėjai jau gavo informaciją apie tokią programišių veiklą.
Delfi žiniomis, kad už sertifikato sugeneravimą pagal pateiktus vardus, kuris bus pasirašytas Lenkijos arba Prancūzijos raktais, juodojoje rinkoje programišių forumuose prašoma 300 eurų (kitur 300 JAV dolerių).
„A. Hitlerio QR kodą jie pateikė kaip pavyzdį, tiksliau pateikė kelis pavyzdžius, kelių kombinacijų, kelių šalių. Tokiu būdu yra spekuliuojama, kad galima tokius sertifikatus pasidaryti, kuriose įrašyta melaginga informacija, bet jie galioja visoje ES. GalI būti, kad kažkas sukūrė tuos QR kodus įsilaužus į kokią informacinę sistemą, nors turbūt sunku būtų sukurti su neegzistuojančiais asmenimis „iš oro“, nes valstybė garantuoja savo privačiu raktu už autentiškumą. Tačiau, ko gero, čia yra blogiausias scenarijus – nutekinti raktai“, – teigė K. Ermanas.
Specialistas pridūrė, kad jo žiniomis, Prancūzijoje raktas jau yra atšauktas.
Vienas pirmųjų šiuo sugeneruotu QR kodu socialiniame tinkle „Twitter“ pasidalijo vartotojas „reversebrain“. Vėliau ėmė plisti ir prancūziškas „Mickey Mouse“ vardu sugeneruotas COVID-19 sertifikato QR kodas.
Kaip įmanoma sukurti veikiantį QR kodą Adolfui Hitleriui?
Delfi kalbintas informacinių technologijų ir saugumo ekspertas Marius Pareščius paaiškino, kodėl susiklostė tokia situacija ir kaip veikia COVID-19 sertifikatų QR kodai, jų generavimas ir patikrinimas.
„Gpasiniai QR kodai, šiuo atveju Europos Sąjungos COVID-19 sertifikatai, yra generuojami su kiekvienos valstybės unikaliu raktu. Tam, kad būtų pasirašytas ir patikrintas, kad yra tikras, yra naudojami du raktai. Vienas raktas yra naudojamas pasirašymui, kitas yra naudojamas patikrinimui. Tas pasirašymo raktas naudojamas tuomet, kai valstybė generuoja tą QR kodą.
Kadangi yra galimai nutekinti prancūzų ir lenkų raktai, tai galima bet kam prigeneruoti QR kodų – bet kokį vardą, pavardę, bet kokią gimimo datą, vakcinacijos laiką ir pan. Tik su šiais raktais, kol jie nėra nepakeisti, galima sukurti lenkišką arba prancūzišką kodą. Turėdami kodą ir mes galėtume sugeneruoti, jokių problemų, bet kokį“, – aiškino M. Pareščius.
Kaip išspręsti šią problemą?
IT specialistas tikino, kad reiktų ištrinti nutekintus raktus iš pagrindinių duomenų bazių ir sugeneruoti naujus. Tačiau būtina ištrinti ir pakeisti ne tik sugeneravimo raktą, bet ir patikrinimo raktą.
„Tokiu atveju visi sugeneruoti QR kodai, kurie buvo iki šiol, jeigu juos tikrins, visi jie rodys klaidą, kad jie yra neteisingi. Toliau – eiga tokia: visiems vartotojams reikia sukurti, sugeneruoti naujus QR kodus – t.y. tų šalių, kurių raktai yra nutekinti. Tačiau pagrindinė problema yra tiems, kurie nenaudoja programėlės, o kurie turi ant popieriaus atspausdintus kodus. Nes programėlėje jiems parodys pranešimą, kad sugeneruotų iš naujo ir atsisiųs naują ir toliau naudos“, – aiškino M. Pareščius.
Jo teigimu, tuo pačiu reikia atnaujinti programėles tose šalyse, kuriose tie kodai yra nuskaitomi. Nes, pavyzdžiui, Lietuvoje nuskaitant lenkišką QR kodą, turi būti atsisiųstas nuskaitymo atnaujinimas.
„Tačiau Lietuvoje niekas netikrina užsienietiškų COVID-19 sertifikatų. Tarkime, sugalvoji užeiti į parduotuvę, tačiau parduotuvės apsauga neturi pasiruošusi programinės įrangos – tarkime, žmogus iš JAV turėjo savo testavimosi pažymėjimą ir jie neturi kaip jo patikrinti“, – teigė IT specialistas.
Tuo tarpu Vokietijoje ir Ispanijoje, pasak M. Pareščiaus, naudojamos kelios skirtingos programėles – dvi tarptautiniam tikrinimui ir vieną lokaliam.
Ar Lietuvoje gali būti nutekinti „raktai“?
„Tą (ES COVID sertifikato) raktą įprastai saugo kokia nors informacinė sistema, pavyzdžiui, Lietuvoje saugo esveikatos posistemė, kuri yra prižiūrima Registrų centro.
Pavyzdžiui, lietuviškam galimybių pasui panašų dalyką darė „WIX“. Tai jų programuotojai turi savo kažkokį raktą, su kuriuo generavo. Ar jie perdavė visą platformą ir paliko seną, ar davė susigeneruoti naują – nežinau, čia vidiniai susitarimai.
Tad jei lietuviškas ES COVID-19 sertifikato raktas nutekės, jis kažkur atsiras. O ar jį kažkas naudos ar ne – čia jau kitas reikalas. Aš visada sakiau, kad tai įvyks, tik laiko klausimas – kada. Ir ar esame tikri, kad lietuviškas raktas dar nėra nutekintas?“, – retoriškai klausė M. Pareščius.
Siūlo patikimesnį būdą nei gpasas ar ES sertifikatas
Kaip aiškino M. Pareščius, schema, kuri dabar naudojama pažymėjimų tikrinimui, nenaudoja interneto, tad duomenys nėra tikrinami duomenų bazėse tiesiogiai.
„Esu sakęs, kad yra neteisingai daroma – reikia ne galimybių paso, o pririšti viską prie barkodo, kuris yra ant piliečio paso arba tapatybės kortelės ir naudoti internetą. Tada galima patikrinti, kad tas COVID-19 pasas galiojantis būtent šią minutę – nereikia nei popierinių, nei skaitmeninių, nei QR kodų“, – aiškino M. Pareščius.
Delfi išsiuntė užklausas esveikata ir Registrų centro atstovams dėl duomenų saugumo. Gavę informaciją – papildysime.
