Експерт із цифрової безпеки Костянтин Корсун розповів, як хакеру вдалось втрутитись у систему COVID-сертифікатів у Європі та створити документ вакцинації Адольфу Гітлеру.
Потекли ключи до сертифікатів вакцинації кількох країн ЄС: Франції, Польщі, Голландії.
І тепер якийсь чел пропонує кожному бажаючому за 300 євро зробити валідний QR-код про повну вакцинацію. Журналісти з ним зв’язалися, і щоб переконати їх що він це може робити, і продавець сформував QR-код на ім’я Hitler Adolf, 01.01.1930 року народження.
https://cutt.ly/1RHiH0L
І цей код був (і залишається) дійсно валідним, його справжність підтверджують відповідні додатки кількох країн Європи. І вітчизняна Дія його також охоче приймає. Хоча кажуть, нібито в ЄС саме цей коди вже анулювали.
Відомо проі нцидент стало 27 жовтня, але станом на 14 год. 30хв. 28 жовтня 2021, Дія все ще підтверджує справжність штучно згенерованого коду на неіснуючу людину.
Глибину проблеми поки що складно оцінити.
Речник голандського МОЗ стверджує, що база не витекла, а просто хтось з працівників МОЗів Франції чи Польщі створив кілька QR-кодів. Версія не витримує ніякої критики, але ж уряд завжди бреше на першій стадії «заперечення», авжеж?
Але пройшла доба, а QR-код на ім’я Adolf Hitler, 01.01.1930 року народження – все ще валідний. Принаймні – в Україні.
А це може означати, що корінь проблеми європейські бюрократи досі не виявили.
Або виявили, але нічого не можуть з цим вдіяти.
Або контр-заходи потребуватимуть значно більшого часу.
Якщо проблема дуже серйозна – наприклад, дискредитовані принципи та алгоритми, інфраструктура та методика генерації ключів для сертифікатів (які потім трансформуються у QR-коди) – доведеться анулювати усі сертифікати, які були випущені до цього.
Анулювати усі мільйони ковід-сертифкатів, видані громадянам країн ЄС: і на подвійну вакцинацію, і на антитіла, і на «перехворів». У тому числі ті, які друкувалися на папері (а таких досить багато). І замінити їх на нові – за умови, якщо достеменно розібралися у суті проблеми. І зрозуміли як зробити так, щоб ситуація не повторилася. Не сумніваюся, що розберуться, питання лише – наскільки швидко.
І якщо проблема дійсно серйозна, відзивна компанія може зайняти кілька місяців.
Якась частина просунутих користувачів зроблять це швидко та віддалено, але ж заміна паперових сертифікатів з надрукованими на них QR-кодами – це значно довший процес.
Наприклад, уявіть собі пару щасливих німецьких «аналогових» пенсіонерів, яка отримала свої паперові ковід-сертифікати про повну вакцинацію і поїхала у навколосвітню подорож.
Якщо одного дня ЄС анулює усі видані раніше сертифікати, сертифікати тих німецьких пенсіонерів можуть раптово перетворитися на гарбуз і у якій-небудь Індонезії їх не випустять з круїзного лайнера на землю та ізолюють на карантин. Та ще й поліцію викличуть за недійсний сертифікат вакцинації. «Підробка електронного документу», як кажуть у вітчизняному мінцирку.
Використовувати QR-код гітлера — категорично не раджу, оскільки за пару днів він все ж буде анульований. Не виключено також, що й буде відстежуватися. Це не буде важко зробити технічно, якщо/коли глибоко розібратися у суті причин виникнення інциденту. Країни ЄС і сам ЄС залучать найкращі професійні компанії та розберуться. В Україні у подібній ситуації лише розпиляли б на це гроші «між своїми», але ж там «не Україна».
Але наскільки болючим та тривалим буде вирішення виявленої проблеми – то вже інша справа. Так щоб не локально, а системно вирішити, для всіх країн ЄС.
І тут все залежить він масштабу проблеми: маленьку полікують за кілька днів, велику – за кілька місяців, грандіозну – не менше року.
У 2017 році Уряд Естонії був змушений визнати скомпрометованими 760 тисяч сертифікатів естонських ID-карт через ризик викрадення цифрових особистостей громадян. Процес заміни сертифікатів зайняв більше двох місяців, протягом якого поліцейські відділки видавали нові сертифікати майже цілодобово, без вихідних. А це всього лише 760 тисяч сертифікатів. Населення країн ЄС – близько 500 мільйонів. Нехай якщо ковід-сертифікат видано кожному третьому – це вже більше 150 мільйонів. Ото і щитай (С).
Хоча у більшості країн ЄС справи з національної кібербезпекою на порядок кращі, ніж у любій Неньці, все ж таки госуха – вона завжди госуха.
Чиновники багатьох країн обожнюють зберігати усі скарби в одній величезній супер-пупер-захищеній вежі. І давати від неї ключі іншим чиновникам. Тому витік баз даних з державних реєстрів – практично невідворотні. Або свої продадуть доступ, або хакери хакнуть, або соцінженерія спрацює, або самі ж щось поламають у системі – результат завжди один той самий: якогось дня бази з’являються у продажу.
Тому єдине, як ми можемо хоч якось захищатися – надавати державі якомога менше інформації про себе. Якщо це можливо. І соцмереж це також стосується, між іншим : їхні бази даних так само регулярно хакають.
А ще можемо лупити дрючком по спині тупеньких криворуких кібер-чиновників, які постійно нам брешуть, дивлячись прямо в очі. Примусити їх працювати та співраціювати, а не тринькати наші гроші «на кібербезпеку» та залишатися безкарними за повної відсутності будь-якого результату. Які ще й поводяться агресивно. «Брєд» кажуть, «це нас замовили» кажуть — коли фахівці тикають їх носом у їхнє власне лайно.
Але для більшості українського «населення» існуючі проблеми з національною кібербезпекою не виглядають проблемою. «Це шось там про хакерів» — і це звучить приблизно як «світські новини голівудських зірок». Можливо, коли відсутність цієї самої колективної кібербезпеки торкнеться смартфону кожного українця – можливо тоді «роль кібербезпеки» трошки підніметься у статусі.
Хоча це не точно.
