[Teknik og fritid] 'Gabende sikkerhedshul' på sundhed.dk: Pærenemt at snyde med coronapas | Indland | DR.dk
Hans Mikkelsen
hansmikkelsen at stofanet.dk
Tor Apr 8 22:36:28 CEST 2021
Hej.
Det må man så håbe, at de kan få lukket for den slags, da det jo ikke er
særlig godt at svindle med den slags ting,
men man skal jo slet ikke lave svindel med noget som helst.
MvH.
Hans Mikkelsen.
'Gabende sikkerhedshul' på sundhed.dk: Pærenemt at snyde med coronapas |
Indland | DR
Indland forside
'Gabende sikkerhedshul' på sundhed.dk: Pærenemt at snyde med coronapas
Snyd med coronapas er dokumentfalsk og kan give dobbeltstraf, forklarer
Justitsministeriet.
AF
AUGUST OLAF JERSILD
OG
EMIL HOBOLT MORTENSEN
I DAG KL. 05:49
Når du fremover vil til frisøren, på restaurant eller besøge zoologisk have,
skal du kunne fremvise en negativ coronatest, der maksimalt er 72 timer
gammel.
Men sikkerhedshuller på sundhed.dk gør, at man kan ændre både svaret og
datoen på sit testsvar. Og dermed kan man genbruge en gammel test, så man
slipper
for at tage en ny, eller ændre svaret på testen, hvis man eventuelt er
blevet testet positiv.
Og det er ret ligetil. To klik i din internetbrowser. Mere kræver det ikke
for at forfalske både coronapas og lyntest, der danner rammen om det meste
af
den danske genåbning.
- Det er pærenemt. Det kræver ikke noget geni, for at kunne gøre det. Hvis
man ser proceduren i praksis bare en gang, så kan man gentage den selv igen
og igen, siger Peter Kruse, der er IT-sikkerhedsekspert hos CSIS.
I forrige uge ændrede sundhed.dk på deres hjemmeside, så man nu også kan se
sine lyntest på siden og generere sit coronapas, hvis man er blevet
PCR-testet.
De seneste tilføjelser har dog ikke ændret på, at man stadig kan ændre på
både testsvaret og datoen for testen.
Og som systemet ser ud nu, kan man både ændre dataene via sin mobiltelefon
og computer.
- Jeg vil vurdere det som relativt usikkert. Problemet er, at dem, som vil
snyde, kan snyde. Det kan de med den løsning, vi har nu. Og det er
brandærgerligt.
Man burde have taget højde for, at der er mennesker, som kan finde på at
ændre på dataene, siger Peter Kruse.
- Det er stort set umuligt for en lærer eller en frisør at kontrollere, om
et testresultat er legitimt eller ej, når resultaterne bliver udstedet, som
de gør, fortsætter han.
Sundhed.dk frygter dog ikke, at sikkerhedshullerne vil blive udnyttet. Det
fortæller Morten Elbæk Petersen, der er direktør i sundhed.dk, i et
skriftligt
svar til DR Nyheder.
- Der vil jo være tale om dokumentfalsk, som er strafbart. Og generelt har
coronapandemien vist, at danskerne følger reglerne og ikke misbruger den
tillid,
vi som borgere har til hinanden. Derfor er vores forventning også, at
borgerne vil bruge vores løsning ansvarligt. Det er i øvrigt også erfaringen
indtil
nu.
Herunder kan du se, hvordan det ser ud, når coronapasset er blevet
manipuleret.
Her er en sammenligning mellem det samme coronapas. Næsten alt kan ændres,
og her er testsvar og dato blevet ændret. (Foto: August Olaf Jersild DR
Nyheder
© (C) DR Nyheder / Foto: August Olaf Jersild DR Nyheder © (C) DR Nyheder)
figur
Ikke-navngivet 0
Her er en sammenligning mellem det samme coronapas. Næsten alt kan ændres,
og her er testsvar og dato blevet ændret. (Foto: August Olaf Jersild DR
Nyheder
© (C) DR Nyheder / Foto: August Olaf Jersild DR Nyheder © (C) DR Nyheder)
figur slut
Kan give fire års fængsel
Det er dog ikke risikofrit, hvis man vælger at benytte sig af manipulerede
coronatest. Det kan ende ud i en plet på straffeattesten og en
fængselsstraf,
hvis man bliver opdaget.
- Efter min opfattelse, så vil der være tale om dokumentfalsk. Hvis man selv
ændrer i dokumentet, så er det ikke længere den rette udsteder, der har
lavet
dokumentet. Og så kan man skuffe i retsforhold (at forårsage en vildfarelse
vedrørende rigtigheden eller ægtheden af et dokument red.), hvis man for
eksempel
dokumenterer, at man er testet negativ, selvom man ikke er, siger Mikkel
Nielsen, der er forsvarsadvokat med speciale i strafferet.
Strafferammen for dokumentforfalskning, som ikke er grove overtrædelser,
ligger på to år. Men den strafferamme kan blive fordoblet, hvis man vælger
at
fuske med sin coronatest.
- Så vidt jeg ved, så er det Justitsministeriets opfattelse, at dobbeltstraf
formentlig også vil omfatte, når det gælder forfalskning af coronapas og
test,
da det er coronarelateret. Men det er jo ubetrådt land, og det vil være en
konkret vurdering fra domstolens side, siger Mikkel Nielsen.
Justitsministeriet fortæller til DR Nyheder, at snyd med corona-attester kan
give dobbeltstraf, fordi det er corona-relateret kriminalitet og dermed er
omfattet af den meget omtalteparagraf 81 d, men at en eventuel dom altid vil
bero på domstolenes konkrete vurdering.
Tilbage i januar blev fire personer dømt skyldige for dokumentforfalskning,
da de brugte forfalskede corona-attester til at komme over den danske
grænse.
Her blev de også kendt skyldige for overtrædelse af straffelovens paragraf
81 d, og de fik alle dobbelt straf. Det oplyser Justitsministeriet.
figur
HVAD ER SIKKERHEDSHULLERNE?
Sikkerhedshullerne er ikke vist i artiklen, da:- DR Nyheder bevidst har
valgt ikke at beskrive eller fortælle, hvad de konkrete sikkerhedshuller er,
og
hvordan man udnytter dem.
figur slut
Ingen sikkerhedstjek
Der er flere måder, man kan lappe sikkerhedshullerne i systemerne på. For
som det er nu, gør man det for nemt at manipulere med dataen. Det siger
Peter
Kruse, der IT-sikkerhedsekspert hos CSIS.
- Hvis man virkelig gerne vil snyde, så kan man snyde med alt, men det her
gør det måske lige oplagt og let nok at snyde, siger han.
Peter Kruse eftelyser et system, der snakker bedre sammen med det data, der
bliver udgivet.
- Hvis det skal være mere sikkert, så skal der laves et system, der
kommunikerer med serveren, så den kan verificere, at det, som bliver vist,
også er
det, der står på serveren.
- En midlertidig løsning kunne være en QR-kode, som bliver printet med
coronapasset, så resultatet bliver verificeret igennem koden og igennem
serveren,
siger han.
Herunder kan du ved at trække i slideren se, hvordan det ser ud, når
coronatestene er manipuleret på en mobiltelefon.
Her er en sammenligning mellem de samme test. Næsten alt kan ændres, og her
er testsvar og dato blevet ændret. (Foto: August Olaf Jersild DR Nyheder ©
(C)
DR Nyheder / Foto: August Olaf Jersild DR Nyheder © (C) DR Nyheder) figur
Ikke-navngivet 0
Her er en sammenligning mellem de samme test. Næsten alt kan ændres, og her
er testsvar og dato blevet ændret. (Foto: August Olaf Jersild DR Nyheder ©
(C)
DR Nyheder / Foto: August Olaf Jersild DR Nyheder © (C) DR Nyheder) figur
slut
DR Nyheder har spurgt sundhed.dk, om de vil følge Peter Kruses råd om at
implementere et sikkerhedstjek - en QR-verifikation, der nemt og simpelt kan
tjekke
dokumentets oplysninger op imod de faktiske sundhedsdata i databasen:
- Der er ikke på nuværende tidspunkt planer om en verifikationsløsning,
skriver direktør i sundhed.dk Morten Elbæk Petersen i en mail til DR
Nyheder.
To coronapas-løsninger til maj
Sundhed.dk, som landets regioner, kommuner og Sundheds – og Ældreministeriet
står bag, vil ikke stille op til interview om sikkerheden i testsystemet.
Men direktør Morten Elbæk Petersen skriver i en mail til DR Nyheder:
- Corona-passet er vigtigt for at sikre en tryg genåbning af Danmark, hvor
borgere og virksomheder gradvist kan komme tilbage til hverdagen.
Ifølge ham har sundhed.dk arbejdet sammen med sine leverandører på at sikre,
at danskerne kan bruge appen MinSundhed og sundhed.dk, nu hvor dele af
Danmark
er genåbnet den 6. april, og at sikkerheden her er afgørende:
- Vi får implementeret en løsning i forhold til det, du har omtalt med, at
man kan rette i PDF'en allerede den 5. april, så det ikke længere vil være
muligt,
når samfundet genåbner den 6. april, skrev Morten Elbæk Petersen i en mail
til DR Nyheder inden genåbningen.
Og sundhed.dk står stadig ved den udtalelse her på den anden side af
genåbningen.
I skrivende stund den 8. april er den løsning dog ikke blevet implementeret,
da det stadig er muligt at ændre i teksten på sundhed.dk i sin browser både
på coronapasset og i testsvarene. Det betyder i praksis, at man fortsat kan
ændre på al tekst, herunder også datoer og testresultater, som findes på
sundhed.dk.
Sundhed.dk rådede tidligere borgere til at gemme et skærmbillede af deres
oplysninger på platformen, så man slap for køen til hjemmesiden. Det råd er
senere
blevet trukket tilbage i
en pressemeddelse
på grund af spørgsmål om sikkerheden.
Når Netcompany og Trifork i maj måned lancerer det "avancerede" coronapas,
så bliver det med en række sikkerhedsfeatures, der udelukker snyd.
Det mere usikre coronapas på sundhed.dk kommer dog ikke til at blive lukket
ned til den tid, forklarer Sundheds- og Ældreministeriet i en mail til DR
Nyheder.
- Sundhedsministeriet kan oplyse, at der ikke aktuelt er planer om at lukke
løsningerne i MinSundhed-appen ned, når det samlede coronapas bliver
tilgængeligt
i en ny app.
Det undrer Peter Kruse, der kalder det 'dømt til at gå galt', at man vil
fortsætte med det coronapas, vi har i dag, når der kommer en mere sikker
løsning.
- Det giver ikke nogen mening. Man lukker et hul, men lader et gabende
sikkerhedshul stå åbent, siger han.
Opdateret kl. 11:20 med Justitsministeriets forbehold om, at det vil være op
til domstolenes konkrete vurdering, om snyd med corona-attester opfylder
betingelserne
for at anvende 81 d.
-------------- næste del --------------
En HTML-vedhæftning blev fjernet...
URL: <http://blindkom.dk/pipermail/teknikfritid_blindkom.dk/attachments/20210408/a721fb08/attachment.htm>
Mere information om maillisten Teknikfritid.