Kriminelle können offenbar gültige Covid-Zertifikate der EU ausstellen

28. Oktober 2021 um 15:28
image

Im Netz kursiert ein Covid-Zertifikat für "Adolf Hitler". Experten mutmassen über den Leak des Private Keys für dessen Erstellung und den Hack eines Systems.

 Möglicherweise ist es Kriminellen gelungen den Private Key zur Erzeugung von QR-Codes in EU-Covid-Zertifikaten zu entwenden. Das zumindest befürchten Security-Experten von Kaspersky in einer Mitteilung. Sie verweisen auf den Screenshot eines Zertifikats mit einem funktionierenden QR-Code, ausgestellt auf "Adolf Hitler", der seine zweite Dosis Biontech demnach am 1. Oktober erhalten haben soll.
Der Schlüssel wird von allen EU-Staaten zur Ausgabe von Green-Pass-Zertifikaten benutzt, die den Zugang zu Flügen, Restaurants, Museen und vielem mehr ermöglichen. Der Leak wäre verheerend. Sämtliche Zertifikate, die mit dem Schlüssel erstellt worden sind, müssten ersetzt werden, ansonsten hätten die Kriminellen unbegrenzte Möglichkeiten, weitere Zertifikate auszugeben.
Berichtet hatte über das Problem zuerst der niederländische Nachrichtensender 'RTL', der auch Kontakt zu den Fälschern ausgenommen hat. Diese hätten für 300 Euro ein gültiges Zertifikat mit polnischer oder französischer Herkunft angeboten, die europaweit gültig sind. Bereits vor zwei Tagen hatte "Reversebrain", ein Pentester und Mitglied eines Incident Response Teams, auf Twitter auf den möglichen Leak hingewiesen. Am selben Tag schrieb ein User namens Emanuele Laface auf Github von entsprechenden Zertifikaten, die in Telegram-Gruppen zirkulierten.
Dass der Schlüssel entwendet wurde, ist aber nur eine von mehreren Möglichkeiten: Die Kriminellen könnten auch mit Stellen zusammenspannen, die legitime Zertifikate ausgeben oder sie könnten deren System gehackt haben. Dies hält Denys Vitali, der bei Swisscom als Data, Analytics & AI Engineer arbeitet, für plausibler: Auch wenn ein Leak nicht ausgeschlossen sei, sei er eher unwahrscheinlich, schreibt er auf Github. Der Grund: Regierungen nutzten höchstwahrscheinlich Hardware-Security-Module (HSM) zum Signieren, was den Schlüssel auch vor den Besitzern verberge. Zudem würden seine Recherchen in einem Internetforum, wo Screenshots vom Zertifikationsvorgang zu sehen seien, seine These stützen.
Wie auch immer die illegitimen Zertifikate erstellt worden sind: offenbar funktionieren sie und sind im Umlauf. Das kompromittiert das System. "Dies ist besorgniserregend, da es so unmöglich wird, zwischen legitimen Green Passes und solchen zu unterscheiden, die durch die geleakten Schlüssel generiert wurden. (…) Es ist zwar möglich, Zertifikatsschlüssel zu widerrufen, jedoch hat dies weitreichendere Konsequenzen für die Gesellschaft und die Sicherheit. Daher ist es wichtig, Monitoring- und Sicherheitsmassnahmen zu verbessern, um alle Infrastrukturgeräte vor externen Cyberangriffen zu schützen, Missbrauch zu verhindern und aufzudecken", kommentiert ein Kaspersky-Experte das Problem.
Dirk-Willem van Gulik, Gründer der Apache Software Foundation, erklärte im Github-Thread von Emanuele Laface, dass mindestens das französische Computer Emergency Response Team (CERT) informiert sei und an der Sache arbeite. 

Loading

Mehr zum Thema

image

Xplain kann weiteren Kunden halten

Der Kanton Aargau hatte die Zusammenarbeit nach dem Cyberangriff auf den IT-Dienstleister ausgesetzt. Jetzt sollen Projekte aber weitergeführt werden.

publiziert am 26.2.2024
image

7 Millionen Franken für Ostschweizer SOC

Sechs Kantone beschaffen ein gemeinsames Security Operations Center von Swisscom. In den nächsten fünf Jahren ist der Telco für die Cybersicherheit zuständig.

publiziert am 26.2.2024
image

Gescheitertes Educase-Projekt kostet Luzern 1,6 Millionen

Anfang 2022 brach der Kanton die Einführung der Schulsoftware ab. Jetzt legt der Regierungsrat die Kosten für das Debakel vor.

publiziert am 26.2.2024
image

Frauenfeld ebnet den Weg für die IT-Auslagerung

Ohne Gegenstimme bewilligt das Stadtparlament das Outsourcing. Der Auftrag wurde bereits an Abraxas vergeben.

publiziert am 23.2.2024