<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-1"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin-top:0cm;
margin-right:0cm;
margin-bottom:8.0pt;
margin-left:0cm;
line-height:106%;
font-size:11.0pt;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:3.0cm 2.0cm 3.0cm 2.0cm;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=DA link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal>Hej. <br>Det må man så håbe, at de kan få lukket for den slags, da det jo ikke er særlig godt at svindle med den slags ting, <br>men man skal jo slet ikke lave svindel med noget som helst. <br>MvH. <br>Hans Mikkelsen. <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>'Gabende sikkerhedshul' på sundhed.dk: Pærenemt at snyde med coronapas | Indland | DR<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Indland forside<o:p></o:p></p><p class=MsoNormal>'Gabende sikkerhedshul' på sundhed.dk: Pærenemt at snyde med coronapas <o:p></o:p></p><p class=MsoNormal>Snyd med coronapas er dokumentfalsk og kan give dobbeltstraf, forklarer Justitsministeriet.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>AF <o:p></o:p></p><p class=MsoNormal>AUGUST OLAF JERSILD<o:p></o:p></p><p class=MsoNormal> OG <o:p></o:p></p><p class=MsoNormal>EMIL HOBOLT MORTENSEN<o:p></o:p></p><p class=MsoNormal>I DAG KL. 05:49<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Når du fremover vil til frisøren, på restaurant eller besøge zoologisk have, skal du kunne fremvise en negativ coronatest, der maksimalt er 72 timer gammel.<o:p></o:p></p><p class=MsoNormal>Men sikkerhedshuller på sundhed.dk gør, at man kan ændre både svaret og datoen på sit testsvar. Og dermed kan man genbruge en gammel test, så man slipper<o:p></o:p></p><p class=MsoNormal>for at tage en ny, eller ændre svaret på testen, hvis man eventuelt er blevet testet positiv.<o:p></o:p></p><p class=MsoNormal>Og det er ret ligetil. To klik i din internetbrowser. Mere kræver det ikke for at forfalske både coronapas og lyntest, der danner rammen om det meste af<o:p></o:p></p><p class=MsoNormal>den danske genåbning.<o:p></o:p></p><p class=MsoNormal>- Det er pærenemt. Det kræver ikke noget geni, for at kunne gøre det. Hvis man ser proceduren i praksis bare en gang, så kan man gentage den selv igen<o:p></o:p></p><p class=MsoNormal>og igen, siger Peter Kruse, der er IT-sikkerhedsekspert hos CSIS.<o:p></o:p></p><p class=MsoNormal>I forrige uge ændrede sundhed.dk på deres hjemmeside, så man nu også kan se sine lyntest på siden og generere sit coronapas, hvis man er blevet PCR-testet.<o:p></o:p></p><p class=MsoNormal>De seneste tilføjelser har dog ikke ændret på, at man stadig kan ændre på både testsvaret og datoen for testen.<o:p></o:p></p><p class=MsoNormal>Og som systemet ser ud nu, kan man både ændre dataene via sin mobiltelefon og computer.<o:p></o:p></p><p class=MsoNormal>- Jeg vil vurdere det som relativt usikkert. Problemet er, at dem, som vil snyde, kan snyde. Det kan de med den løsning, vi har nu. Og det er brandærgerligt.<o:p></o:p></p><p class=MsoNormal>Man burde have taget højde for, at der er mennesker, som kan finde på at ændre på dataene, siger Peter Kruse.<o:p></o:p></p><p class=MsoNormal>- Det er stort set umuligt for en lærer eller en frisør at kontrollere, om et testresultat er legitimt eller ej, når resultaterne bliver udstedet, som<o:p></o:p></p><p class=MsoNormal>de gør, fortsætter han.<o:p></o:p></p><p class=MsoNormal>Sundhed.dk frygter dog ikke, at sikkerhedshullerne vil blive udnyttet. Det fortæller Morten Elbæk Petersen, der er direktør i sundhed.dk, i et skriftligt<o:p></o:p></p><p class=MsoNormal>svar til DR Nyheder.<o:p></o:p></p><p class=MsoNormal>- Der vil jo være tale om dokumentfalsk, som er strafbart. Og generelt har coronapandemien vist, at danskerne følger reglerne og ikke misbruger den tillid,<o:p></o:p></p><p class=MsoNormal>vi som borgere har til hinanden. Derfor er vores forventning også, at borgerne vil bruge vores løsning ansvarligt. Det er i øvrigt også erfaringen indtil<o:p></o:p></p><p class=MsoNormal>nu.<o:p></o:p></p><p class=MsoNormal>Herunder kan du se, hvordan det ser ud, når coronapasset er blevet manipuleret.<o:p></o:p></p><p class=MsoNormal>Her er en sammenligning mellem det samme coronapas. Næsten alt kan ændres, og her er testsvar og dato blevet ændret. (Foto: August Olaf Jersild DR Nyheder<o:p></o:p></p><p class=MsoNormal>© (C) DR Nyheder / Foto: August Olaf Jersild DR Nyheder © (C) DR Nyheder) figur<o:p></o:p></p><p class=MsoNormal>Ikke-navngivet 0<o:p></o:p></p><p class=MsoNormal>Her er en sammenligning mellem det samme coronapas. Næsten alt kan ændres, og her er testsvar og dato blevet ændret. (Foto: August Olaf Jersild DR Nyheder<o:p></o:p></p><p class=MsoNormal>© (C) DR Nyheder / Foto: August Olaf Jersild DR Nyheder © (C) DR Nyheder) figur slut<o:p></o:p></p><p class=MsoNormal>Kan give fire års fængsel<o:p></o:p></p><p class=MsoNormal>Det er dog ikke risikofrit, hvis man vælger at benytte sig af manipulerede coronatest. Det kan ende ud i en plet på straffeattesten og en fængselsstraf,<o:p></o:p></p><p class=MsoNormal>hvis man bliver opdaget.<o:p></o:p></p><p class=MsoNormal>- Efter min opfattelse, så vil der være tale om dokumentfalsk. Hvis man selv ændrer i dokumentet, så er det ikke længere den rette udsteder, der har lavet<o:p></o:p></p><p class=MsoNormal>dokumentet. Og så kan man skuffe i retsforhold (at forårsage en vildfarelse vedrørende rigtigheden eller ægtheden af et dokument red.), hvis man for eksempel<o:p></o:p></p><p class=MsoNormal>dokumenterer, at man er testet negativ, selvom man ikke er, siger Mikkel Nielsen, der er forsvarsadvokat med speciale i strafferet.<o:p></o:p></p><p class=MsoNormal>Strafferammen for dokumentforfalskning, som ikke er grove overtrædelser, ligger på to år. Men den strafferamme kan blive fordoblet, hvis man vælger at<o:p></o:p></p><p class=MsoNormal>fuske med sin coronatest.<o:p></o:p></p><p class=MsoNormal>- Så vidt jeg ved, så er det Justitsministeriets opfattelse, at dobbeltstraf formentlig også vil omfatte, når det gælder forfalskning af coronapas og test,<o:p></o:p></p><p class=MsoNormal>da det er coronarelateret. Men det er jo ubetrådt land, og det vil være en konkret vurdering fra domstolens side, siger Mikkel Nielsen.<o:p></o:p></p><p class=MsoNormal>Justitsministeriet fortæller til DR Nyheder, at snyd med corona-attester kan give dobbeltstraf, fordi det er corona-relateret kriminalitet og dermed er<o:p></o:p></p><p class=MsoNormal>omfattet af den meget omtalteparagraf 81 d, men at en eventuel dom altid vil bero på domstolenes konkrete vurdering.<o:p></o:p></p><p class=MsoNormal>Tilbage i januar blev fire personer dømt skyldige for dokumentforfalskning, da de brugte forfalskede corona-attester til at komme over den danske grænse.<o:p></o:p></p><p class=MsoNormal>Her blev de også kendt skyldige for overtrædelse af straffelovens paragraf 81 d, og de fik alle dobbelt straf. Det oplyser Justitsministeriet.<o:p></o:p></p><p class=MsoNormal>figur<o:p></o:p></p><p class=MsoNormal>HVAD ER SIKKERHEDSHULLERNE?<o:p></o:p></p><p class=MsoNormal>Sikkerhedshullerne er ikke vist i artiklen, da:- DR Nyheder bevidst har valgt ikke at beskrive eller fortælle, hvad de konkrete sikkerhedshuller er, og<o:p></o:p></p><p class=MsoNormal>hvordan man udnytter dem.<o:p></o:p></p><p class=MsoNormal>figur slut<o:p></o:p></p><p class=MsoNormal>Ingen sikkerhedstjek<o:p></o:p></p><p class=MsoNormal>Der er flere måder, man kan lappe sikkerhedshullerne i systemerne på. For som det er nu, gør man det for nemt at manipulere med dataen. Det siger Peter<o:p></o:p></p><p class=MsoNormal>Kruse, der IT-sikkerhedsekspert hos CSIS.<o:p></o:p></p><p class=MsoNormal>- Hvis man virkelig gerne vil snyde, så kan man snyde med alt, men det her gør det måske lige oplagt og let nok at snyde, siger han.<o:p></o:p></p><p class=MsoNormal>Peter Kruse eftelyser et system, der snakker bedre sammen med det data, der bliver udgivet.<o:p></o:p></p><p class=MsoNormal>- Hvis det skal være mere sikkert, så skal der laves et system, der kommunikerer med serveren, så den kan verificere, at det, som bliver vist, også er<o:p></o:p></p><p class=MsoNormal>det, der står på serveren.<o:p></o:p></p><p class=MsoNormal>- En midlertidig løsning kunne være en QR-kode, som bliver printet med coronapasset, så resultatet bliver verificeret igennem koden og igennem serveren,<o:p></o:p></p><p class=MsoNormal>siger han.<o:p></o:p></p><p class=MsoNormal>Herunder kan du ved at trække i slideren se, hvordan det ser ud, når coronatestene er manipuleret på en mobiltelefon.<o:p></o:p></p><p class=MsoNormal>Her er en sammenligning mellem de samme test. Næsten alt kan ændres, og her er testsvar og dato blevet ændret. (Foto: August Olaf Jersild DR Nyheder © (C)<o:p></o:p></p><p class=MsoNormal>DR Nyheder / Foto: August Olaf Jersild DR Nyheder © (C) DR Nyheder) figur<o:p></o:p></p><p class=MsoNormal>Ikke-navngivet 0<o:p></o:p></p><p class=MsoNormal>Her er en sammenligning mellem de samme test. Næsten alt kan ændres, og her er testsvar og dato blevet ændret. (Foto: August Olaf Jersild DR Nyheder © (C)<o:p></o:p></p><p class=MsoNormal>DR Nyheder / Foto: August Olaf Jersild DR Nyheder © (C) DR Nyheder) figur slut<o:p></o:p></p><p class=MsoNormal>DR Nyheder har spurgt sundhed.dk, om de vil følge Peter Kruses råd om at implementere et sikkerhedstjek - en QR-verifikation, der nemt og simpelt kan tjekke<o:p></o:p></p><p class=MsoNormal>dokumentets oplysninger op imod de faktiske sundhedsdata i databasen:<o:p></o:p></p><p class=MsoNormal>- Der er ikke på nuværende tidspunkt planer om en verifikationsløsning, skriver direktør i sundhed.dk Morten Elbæk Petersen i en mail til DR Nyheder.<o:p></o:p></p><p class=MsoNormal>To coronapas-løsninger til maj<o:p></o:p></p><p class=MsoNormal>Sundhed.dk, som landets regioner, kommuner og Sundheds – og Ældreministeriet står bag, vil ikke stille op til interview om sikkerheden i testsystemet.<o:p></o:p></p><p class=MsoNormal>Men direktør Morten Elbæk Petersen skriver i en mail til DR Nyheder:<o:p></o:p></p><p class=MsoNormal>- Corona-passet er vigtigt for at sikre en tryg genåbning af Danmark, hvor borgere og virksomheder gradvist kan komme tilbage til hverdagen.<o:p></o:p></p><p class=MsoNormal>Ifølge ham har sundhed.dk arbejdet sammen med sine leverandører på at sikre, at danskerne kan bruge appen MinSundhed og sundhed.dk, nu hvor dele af Danmark<o:p></o:p></p><p class=MsoNormal>er genåbnet den 6. april, og at sikkerheden her er afgørende:<o:p></o:p></p><p class=MsoNormal>- Vi får implementeret en løsning i forhold til det, du har omtalt med, at man kan rette i PDF'en allerede den 5. april, så det ikke længere vil være muligt,<o:p></o:p></p><p class=MsoNormal>når samfundet genåbner den 6. april, skrev Morten Elbæk Petersen i en mail til DR Nyheder inden genåbningen.<o:p></o:p></p><p class=MsoNormal>Og sundhed.dk står stadig ved den udtalelse her på den anden side af genåbningen.<o:p></o:p></p><p class=MsoNormal>I skrivende stund den 8. april er den løsning dog ikke blevet implementeret, da det stadig er muligt at ændre i teksten på sundhed.dk i sin browser både<o:p></o:p></p><p class=MsoNormal>på coronapasset og i testsvarene. Det betyder i praksis, at man fortsat kan ændre på al tekst, herunder også datoer og testresultater, som findes på sundhed.dk.<o:p></o:p></p><p class=MsoNormal>Sundhed.dk rådede tidligere borgere til at gemme et skærmbillede af deres oplysninger på platformen, så man slap for køen til hjemmesiden. Det råd er senere<o:p></o:p></p><p class=MsoNormal>blevet trukket tilbage i <o:p></o:p></p><p class=MsoNormal>en pressemeddelse<o:p></o:p></p><p class=MsoNormal> på grund af spørgsmål om sikkerheden.<o:p></o:p></p><p class=MsoNormal>Når Netcompany og Trifork i maj måned lancerer det "avancerede" coronapas, så bliver det med en række sikkerhedsfeatures, der udelukker snyd.<o:p></o:p></p><p class=MsoNormal>Det mere usikre coronapas på sundhed.dk kommer dog ikke til at blive lukket ned til den tid, forklarer Sundheds- og Ældreministeriet i en mail til DR Nyheder.<o:p></o:p></p><p class=MsoNormal>- Sundhedsministeriet kan oplyse, at der ikke aktuelt er planer om at lukke løsningerne i MinSundhed-appen ned, når det samlede coronapas bliver tilgængeligt<o:p></o:p></p><p class=MsoNormal>i en ny app.<o:p></o:p></p><p class=MsoNormal>Det undrer Peter Kruse, der kalder det 'dømt til at gå galt', at man vil fortsætte med det coronapas, vi har i dag, når der kommer en mere sikker løsning.<o:p></o:p></p><p class=MsoNormal>- Det giver ikke nogen mening. Man lukker et hul, men lader et gabende sikkerhedshul stå åbent, siger han.<o:p></o:p></p><p class=MsoNormal>Opdateret kl. 11:20 med Justitsministeriets forbehold om, at det vil være op til domstolenes konkrete vurdering, om snyd med corona-attester opfylder betingelserne<o:p></o:p></p><p class=MsoNormal>for at anvende 81 d.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>