Kriminelle können offenbar gültige Covid-Zertifikate der EU ausstellen

28. Oktober 2021, 15:28
image

Im Netz kursiert ein Covid-Zertifikat für "Adolf Hitler". Experten mutmassen über den Leak des Private Keys für dessen Erstellung und den Hack eines Systems.

 Möglicherweise ist es Kriminellen gelungen den Private Key zur Erzeugung von QR-Codes in EU-Covid-Zertifikaten zu entwenden. Das zumindest befürchten Security-Experten von Kaspersky in einer Mitteilung. Sie verweisen auf den Screenshot eines Zertifikats mit einem funktionierenden QR-Code, ausgestellt auf "Adolf Hitler", der seine zweite Dosis Biontech demnach am 1. Oktober erhalten haben soll.
Der Schlüssel wird von allen EU-Staaten zur Ausgabe von Green-Pass-Zertifikaten benutzt, die den Zugang zu Flügen, Restaurants, Museen und vielem mehr ermöglichen. Der Leak wäre verheerend. Sämtliche Zertifikate, die mit dem Schlüssel erstellt worden sind, müssten ersetzt werden, ansonsten hätten die Kriminellen unbegrenzte Möglichkeiten, weitere Zertifikate auszugeben.
Berichtet hatte über das Problem zuerst der niederländische Nachrichtensender 'RTL', der auch Kontakt zu den Fälschern ausgenommen hat. Diese hätten für 300 Euro ein gültiges Zertifikat mit polnischer oder französischer Herkunft angeboten, die europaweit gültig sind. Bereits vor zwei Tagen hatte "Reversebrain", ein Pentester und Mitglied eines Incident Response Teams, auf Twitter auf den möglichen Leak hingewiesen. Am selben Tag schrieb ein User namens Emanuele Laface auf Github von entsprechenden Zertifikaten, die in Telegram-Gruppen zirkulierten.
Dass der Schlüssel entwendet wurde, ist aber nur eine von mehreren Möglichkeiten: Die Kriminellen könnten auch mit Stellen zusammenspannen, die legitime Zertifikate ausgeben oder sie könnten deren System gehackt haben. Dies hält Denys Vitali, der bei Swisscom als Data, Analytics & AI Engineer arbeitet, für plausibler: Auch wenn ein Leak nicht ausgeschlossen sei, sei er eher unwahrscheinlich, schreibt er auf Github. Der Grund: Regierungen nutzten höchstwahrscheinlich Hardware-Security-Module (HSM) zum Signieren, was den Schlüssel auch vor den Besitzern verberge. Zudem würden seine Recherchen in einem Internetforum, wo Screenshots vom Zertifikationsvorgang zu sehen seien, seine These stützen.
Wie auch immer die illegitimen Zertifikate erstellt worden sind: offenbar funktionieren sie und sind im Umlauf. Das kompromittiert das System. "Dies ist besorgniserregend, da es so unmöglich wird, zwischen legitimen Green Passes und solchen zu unterscheiden, die durch die geleakten Schlüssel generiert wurden. (…) Es ist zwar möglich, Zertifikatsschlüssel zu widerrufen, jedoch hat dies weitreichendere Konsequenzen für die Gesellschaft und die Sicherheit. Daher ist es wichtig, Monitoring- und Sicherheitsmassnahmen zu verbessern, um alle Infrastrukturgeräte vor externen Cyberangriffen zu schützen, Missbrauch zu verhindern und aufzudecken", kommentiert ein Kaspersky-Experte das Problem.
Dirk-Willem van Gulik, Gründer der Apache Software Foundation, erklärte im Github-Thread von Emanuele Laface, dass mindestens das französische Computer Emergency Response Team (CERT) informiert sei und an der Sache arbeite. 

Loading

Mehr zum Thema

image

BIT vergibt 380-Millionen-Auftrag an Spie ICS

Das Bundesamt für Informatik und Telekommunikation muss 12'000 Netzwerkkomponenten an über 1000 Standorten ersetzen.

publiziert am 16.8.2022
image

Bundesgericht befasst sich mit der Public-Cloud-Vergabe

Die Beschwerde einer Privatperson gegen den Grossauftrag des Bundes an 5 Hyperscaler geht nach einer Rüge des Bundesgerichts zurück ans Verwaltungsgericht. Gefordert wird der vorläufige Abbruch des Projekts.

publiziert am 15.8.2022
image

SwissID-Zwang bei der Post kommt früher

Statt erst 2023 zwingt die Post die Kundinnen und Kunden früher zum Umstieg auf die SwissID – spätestens in einer Woche ist es so weit.

publiziert am 15.8.2022 4
image

Reisende im ÖV sollen getrackt werden

Mit einer App und Beacons in den Fahrzeugen sollen die Reisewege von Kundinnen und -Kunden metergenau aufgezeichnet werden.

publiziert am 15.8.2022