7-Dec

Security

Koronasertifikater - Vi må sørge for at folk ikke kan jukse!

«Vi må sørge for at folk ikke kan jukse» sa daværende statsminister Erna Solberg før innføringen av digitale koronasertifikater i Norge. Men myndighetenes teknologioptimisme hjalp ikke mot juks, forfalskning og manglende etterlevelse. Når skal vi forstå at teknologi ikke lever isolert fra samfunnet den brukes i?

3 min read

·

By Trond Arve Wasskog

·

December 7, 2021

I april 2021 foreslo foreslo Carmela Troncoso at et papirbasert koronasertifikat kunne være sikkert nok. Hun problematiserte at et digitalt koronasertifikat ville være «secure by design».

Before diving into the analysis, a wild thought: A standardized (photographed,pdf) paper may be an efficient way to visually check vaccination status with *enough* security. And it comes with a huge gain: no longlasting, hard to control, harmful infrastructure. Now, the analysis
https://twitter.com/carmelatroncoso/status/1380439792001945602

Imidlertid hadde myndighetene allerede bestemt seg. De vurderte at forfalskning av eksisterende vaksinedokumentasjon var «svært enkelt å gjennomføre». En signert QR-kode, derimot, var tilsynelatende løsningen for å unngå forfalskning. Det er dessverre på ingen måte riktig.

En teknisk vurdering fra NHN og FHI viser at forfalskning av en utskrift av dagens, ikke  verifiserbare, koronasertifikat på Helsenorge er svært enkelt å gjennomføre. Dersom man får  tilgang til en pdf-utskrift eller skjermbilde av et gyldig koronasertifikat, kan dette manipuleres  ved å endre personopplysninger før man lagrer digitalt eller skriver den ut på nytt. Dette er  enkelt og krever lite tekniske hjelpemidler.
Helsedirektoratet: Oppdrag 464 - svar til Helse- og omsorgsdepartementet

Det underliggende problemet

Utrulling av digitale sertifikater som skal fungere i hele Europa er en enorm operasjon. Kryptografi-teknologien som benyttes er velkjent og isolert sett sikker nok. Problemet er håndtering av en omfattende sertifikat-infrastruktur på tvers av mange land. Dette involverer et stort antall virksomheter og treffer så godt som alle voksne mennesker i hele Europa, med ulik kultur, kompetanse, språk og intensjoner. Hastverket med beslutningene, utviklingen og utrullingen øker risikoen for feil og mangler.

Juks med tester og vaksinering

Riggene for testing og vaksinering som er bygd opp i europeiske land er imponerende. Hver eneste dag testes millioner av mennesker på utallige test-sentre spredt utover hele kontinentet. Tilsvarende har land vaksinert opp mot 90% av den voksne befolkningen sin. Dette er sannsynligvis den enkleste måten å få grønt koronasertifikat. At det finnes utro tjenere blant alle involverte, er ikke overraskende.

“Investigations show that the women helped dozens of people get a proof of vaccination without them having had a shot,” Amsterdam police said in a statement. The women allegedly were paid 500-1,000 euros ($580-1,160) for a vaccination certificate.  The women, aged 30 and 31, both worked in a general practitioner’s practice in Amsterdam. Police said they discovered the fraud during an investigation into illicit drugs.
AP News: Dutch police arrest 2 for selling fake vaccination proofs

Manglende håndheving

Kontroll av koronasertifikatene utføres av pubansatte, konduktører, vektere, tollere og en lang rekke andre yrkesgrupper som i stor grad består av vanlige folk. Man skal ikke lete lenge før man finner eksempler som dette:

Oi. Italia ber om koronasertifikat ved grensen. I form av en forsoffen fyr fra et eller annet privat firma som glante på qr-koden uten å scanne eller sjekke id.
https://twitter.com/ulriken1/status/1442132701994119171

Denne festen er også illustrerende. Deltakerne har sannsynligvis delt på QR-kodene for å komme inn. Resultatet ble 180 smittede:

A self-styled "COVID-free" party in the Netherlands, which was attended by 800 people, has been connected to 180 infections from the virus, according to multiple reports.
Business insider: 800 people claimed they were 'COVID-free' or vaccinated for a dance party in the Netherlands. Now 180 people have tested positive.

Forfalskning og svartebørs

Koronasertifikater gir fordeler til innehaverne innenfor reising, trening, tilgang til konserter og restauranter osv. Dette er forretningsmuligheter for kriminelle. Et marked for forfalskning og salg av koronasertifikater har blitt etablert, illustrert av disse sakene:

A hidden pandemic market advertising fake vaccine and test certificates for as little as £25 has grown exponentially, with more than 1,200 vendors in the UK and worldwide, researchers have found.
The Guardian: Fake Covid vaccine and test certificate market is growing, researchers say
“As a segment of the population tries to avoid the new measures, the dark net reacts to the real market and thus demand gives birth to offers,” the cybersecurity company, Kapersky’s researcher, Dmitry Galov, said.
Schengenvisainfo News: Forged Vaccination Passports on Hot Demand in Europe & US

Lekkasjer på innsiden

Hemmelige nøkler må utstedes, distribueres og tilbakekalles hvis de lekker eller stjeles. Koronasertifikater skal utstedes til millionvis av mennesker, fra en nyetablert digital infrastruktur på tvers av organisasjoner i mange land. Denne infrastrukturen åpner en helt ny angrepsflate.

I slutten av oktober hevdet en anonym bruker på et nettforum at de hadde tilgang på de private nøklene for utstedelse av sertifikater:

Etter hektisk aktivitet, viste det seg at nøklene ikke var kompromittert. Lekkasjen skyldtes uautorisert tilgang til digitale tjenester for utstedelse av koronasertifikater i enkelte land. Dette illustrerer utfordringen med sikkerhet i denne enorme infrastrukturen på tvers av land.

På samme tid demonstrerte Chaos Computer Club en annen sårbarhet i systemet. De opprettet et falskt apotek i Tyskland, og kunne dermed utstede gyldige koronasertifikat via en sentral løsning. Ingen nøkler på avveie, men omfanget er ukjent/ikke offentlig, og krever omstendelig opprydding i etterkant.

Teknologioptimismen gir oss tunnelsyn

Eksemplene ovenfor viser at koronasertifikatene kan forfalskes, jukses med og misbrukes på mange måter. Husk også at dette er hendelser som har blitt oppdaget. Det overveiende sannsynlig at mørketallene er betydelige.

Folk som har jobbet med digital tjenesteutvikling kjenner disse risikoområdene. Selv om signerte QR-koder isolert sett er vanskelig å forfalske, er det utallige muligheter for juks. Om omfanget av juks ville vært større eller mindre med de eksisterende gule vaksinebevisene er umulig å si. Sannsynligvis vil de som ønsker å jukse finne måter uansett, mens de fleste vil holde seg innenfor lovverket.

Politiet synes iallefall at en papirlapp er tilstrekkelig på Oslo Lufthavn 😉

I alle tilfeller er en kostbar og omfattende infrastruktur for innbyggerkontroll rullet ut i hele Europa. Den er det verdt å ha et kritisk blikk på i fortsettelsen.

Illustrasjon  av det gode gamle gule vaksinebeviset
Gult vaksinepass