Подделать может каждый: у ковид-сертификатов ЕС большие проблемы

Цифровой сертификат вакцинации Европеского союза
© AFP 2021 / KENZO TRIBOUILLARD

Александр Гаджиев

В ЕС начали действовать ковид-сертификаты, но в системе обнаружилось больше недочетов, чем предполагали ее создатели.

С 1 июля в Европейском союзе начали действовать "ковид-паспорта" – своего рода сертификаты о прохождении вакцинации, которые могут быть в бумажном и электронном вариантах.

Эти электронные пропуска были разработаны в сжатые сроки, из-за чего сегодня в системе заложены серьезные недостатки.

Быстрее не значит лучше

Цифровые сертификаты ЕС о вакцинации, или, другими словами, "ковид-паспорта", позволяют европейцам вернуть себе право свободного перемещения по странам союза.

Такая мера, безусловно, имеет негативные последствия, одним из которых является сегрегация общества, поскольку вакцинированные получают больше прав, чем те, кто еще не успел сделать прививку.

Несмотря на это, европейские политики все же приняли решение ввести "ковид-паспорта". Некоторые страны блока уже сделали это весной, как, например, Латвия, Литва и Эстония, а с 3 июля такие паспорта используются во всех странах.

Из-за излишней спешки с их разработкой "ковид-паспорта" не лишены ряда проблем. Так, эксперты из немецкой охранной фирмы GData Cyber Defense обнаружили ряд уязвимостей, включая риск подделки.

Томас Зиберт, руководитель отдела технологий защиты в этой компании, сказал, что наличие этих уязвимостей связано именно со слишком быстрым процессом разработки паспорта.

"Возможность представить быстрое решение до начала курортного сезона, очевидно, было важнее, чем сосредоточиться на вопросах его безопасности", – сказал Зиберт.

Длинный список недостатков

Тим Бергофф, директор по безопасности в GData, сказал, что уязвимости начинаются с передачи данных из желтого буклета вакцинации: "В этом цифровом паспорте не указан номер партии вакцины, а также где проводилась вакцинация или кто проводил вакцинацию". Это означает, что в этот паспорт могут вписать что угодно, причем проверить надежность введенных данных будет невозможно.

Кроме того, при создании сертификата вакцинации в аптеке или кабинете врача записи не проверяются на точность. Команда GData наткнулась на неправильную дату второй вакцинации.

Похоже, уполномоченные лица не слишком-то заботятся о правильности данных, ведь для многих важнее сам факт наличия "ковид-паспорта", чем указанная в нем информация.

Но это может привести к печальным последствиям. В частности, такие сертификаты можно легко подделать, из-за чего начнет процветать черный рынок услуг по продаже поддельных "ковид-паспортов".

"Ковид-паспорт" для человека XIX века

Другим недостатком является то, что цифровая подпись в таких паспортах остается непроверенной. Например, все та же команда безопасности из компании GData смогла "переместить пандемию коронавируса в XIX век и предоставить поддельный цифровой сертификат вакцинации для человека, который родился в 1843 году".

Они создали личность, названную в честь известного немецкого микробиолога и лауреата Нобелевской премии Роберта Коха. Вакцинация фальшивого Роберта Коха должна была состояться в 1890 году. Удивительно то, что приложение приняло этот сертификат вакцинации без каких-либо проблем.

Этот инцидент вызывает вопросы и потому, что сертификат о вакцинации должен появиться в приложении не позже, чем через две недели после самой вакцинации. Однако в случае с Робертом Кохом "срок ожидания сертификата" составлял более 130 лет. Таким образом, очевидно, что цифровая подпись о прохождении вакцинации никак не проверяется.

Мошенники будут наказаны, но навряд ли найдены

Таким образом, тот факт, что сертификат вакцинации отображается в приложении, в конечном счете не является показателем подлинности сертификата.

Это связано с тем, что центры вакцинации в ЕС практически не регистрируют данных о привитых, а просто выдают криптографические ключи для подписания сертификатов вакцинации.

В принципе, мошенникам нужен только поддельный сертификат о вакцинации. А якобы подпись врача из другого города или даже другой страны вряд ли может быть проверена на практике. Теоретически подписать документ можно даже несуществующей подписью, ведь об этом все равно никто не узнает.

Европейские политики осведомлены об этой проблеме. В ряде стран уже приняли соответствующие законы для борьбы с практикой подделки "ковид-паспортов".

Например, в Германии фальсификация документов, связанных с прививками COVID-19, наказывается сроком до двух лет тюрьмы. Такой закон был принят относительно недавно – 1 июня, что может говорить о наличии к этому времени ряда прецедентов.

Но в связи с тем, что мошенничество такого рода вычислить крайне сложно, строгие законы не решат проблему. Скорее всего, придется выпускать новые обновления для приложения, чтобы устранить существующие недочеты в системе.

Приложение – приглашение для киберпреступников

Эксперты по IT-безопасности также заявили о том, что программное обеспечение, которое используется в приложении для отображения "ковид-паспортов", может быть крайне уязвимым для киберпреступников.

Именно этот тип программного обеспечения хакеры используют чаще всего для взлома и проникновения в систему. Поэтому требуется дополнительное время, чтобы усилить кибербезопасность приложения.

Еще одна проблема заключается в том, что "ковид-паспорта" не могут быть отменены или удалены, поскольку паспорта заверяются в электронном виде. Так, даже если будут найдены поддельные документы, то с ними ничего нельзя будет сделать, они продолжат работать, как настоящие.

Таким образом, ЕС, похоже, слишком спешил, чтобы разработать "ковид-паспорта", в результате чего оно вышло сырым и неготовым для безопасного использования.

Но скупой платит дважды. Теперь уполномоченным лицам нужно будет обязательно разрабатывать новые обновления для улучшения работы приложения и "ковид-паспортов", усилить кибербезопасность, придумать эффективные меры для борьбы с мошенничеством.

Мнение автора может не совпадать с позицией редакции.

Ссылки по теме