- Vi må sørge for at folk ikke kan jukse!

Myndighetenes teknologioptimisme hjalp ikke mot juks, forfalskning og manglende etterlevelse. Når skal vi forstå at teknologi ikke lever isolert fra samfunnet den brukes i? skriver Trond Arve Wasskog.

Koronasertifikat viser vaksineringsstatus, om du er frisk fra smitte og testresultater. 📸: Stian Lysberg Solum / NTB.
Koronasertifikat viser vaksineringsstatus, om du er frisk fra smitte og testresultater. 📸: Stian Lysberg Solum / NTB. Vis mer

I april 2021 foreslo foreslo Carmela Troncoso at et papirbasert koronasertifikat kunne være sikkert nok. Hun problematiserte at et digitalt koronasertifikat ville være «secure by design».

https://twitter.com/carmelatroncoso/status/1380439792001945602
https://twitter.com/carmelatroncoso/status/1380439792001945602 Vis mer

Imidlertid hadde myndighetene allerede bestemt seg. De vurderte at forfalskning av eksisterende vaksinedokumentasjon var «svært enkelt å gjennomføre». En signert QR-kode, derimot, var tilsynelatende løsningen for å unngå forfalskning. Det er dessverre på ingen måte riktig.

Helsedirektoratet: Oppdrag 464 - svar til Helse- og omsorgsdepartementet
Helsedirektoratet: Oppdrag 464 - svar til Helse- og omsorgsdepartementet Vis mer

Det underliggende problemet

Utrulling av digitale sertifikater som skal fungere i hele Europa er en enorm operasjon. Kryptografi-teknologien som benyttes er velkjent og isolert sett sikker nok. Problemet er håndtering av en omfattende sertifikat-infrastruktur på tvers av mange land. Dette involverer et stort antall virksomheter og treffer så godt som alle voksne mennesker i hele Europa, med ulik kultur, kompetanse, språk og intensjoner. Hastverket med beslutningene, utviklingen og utrullingen øker risikoen for feil og mangler.

Juks med tester og vaksinering

Riggene for testing og vaksinering som er bygd opp i europeiske land er imponerende. Hver eneste dag testes millioner av mennesker på utallige test-sentre spredt utover hele kontinentet. Tilsvarende har land vaksinert opp mot 90% av den voksne befolkningen sin. Dette er sannsynligvis den enkleste måten å få grønt koronasertifikat. At det finnes utro tjenere blant alle involverte, er ikke overraskende.

AP News: Dutch police arrest 2 for selling fake vaccination proofs
AP News: Dutch police arrest 2 for selling fake vaccination proofs Vis mer

Manglende håndheving

Kontroll av koronasertifikatene utføres av pubansatte, konduktører, vektere, tollere og en lang rekke andre yrkesgrupper som i stor grad består av vanlige folk. Man skal ikke lete lenge før man finner eksempler som dette:

https://twitter.com/ulriken1/status/1442132701994119171
https://twitter.com/ulriken1/status/1442132701994119171 Vis mer

Denne festen er også illustrerende. Deltakerne har sannsynligvis delt på QR-kodene for å komme inn. Resultatet ble 180 smittede:

Business insider: 800 people claimed they were 'COVID-free' or vaccinated for a dance party in the Netherlands. Now 180 people have tested positive.
Business insider: 800 people claimed they were 'COVID-free' or vaccinated for a dance party in the Netherlands. Now 180 people have tested positive. Vis mer

Forfalskning og svartebørs

Koronasertifikater gir fordeler til innehaverne innenfor reising, trening, tilgang til konserter og restauranter osv. Dette er forretningsmuligheter for kriminelle. Et marked for forfalskning og salg av koronasertifikater har blitt etablert, illustrert av disse sakene:

The Guardian: Fake Covid vaccine and test certificate market is growing, researchers say
The Guardian: Fake Covid vaccine and test certificate market is growing, researchers say Vis mer
Schengenvisainfo News: Forged Vaccination Passports on Hot Demand in Europe & US
Schengenvisainfo News: Forged Vaccination Passports on Hot Demand in Europe & US Vis mer

Lekkasjer på innsiden

Hemmelige nøkler må utstedes, distribueres og tilbakekalles hvis de lekker eller stjeles. Koronasertifikater skal utstedes til millionvis av mennesker, fra en nyetablert digital infrastruktur på tvers av organisasjoner i mange land. Denne infrastrukturen åpner en helt ny angrepsflate.

I slutten av oktober hevdet en anonym bruker på et nettforum at de hadde tilgang på de private nøklene for utstedelse av sertifikater:

Etter hektisk aktivitet, viste det seg at nøklene ikke var kompromittert. Lekkasjen skyldtes uautorisert tilgang til digitale tjenester for utstedelse av koronasertifikater i enkelte land. Dette illustrerer utfordringen med sikkerhet i denne enorme infrastrukturen på tvers av land.

På samme tid demonstrerte Chaos Computer Club en annen sårbarhet i systemet. De opprettet et falskt apotek i Tyskland, og kunne dermed utstede gyldige koronasertifikat via en sentral løsning. Ingen nøkler på avveie, men omfanget er ukjent/ikke offentlig, og krever omstendelig opprydding i etterkant.

Teknologioptimismen gir oss tunnelsyn

Eksemplene ovenfor viser at koronasertifikatene kan forfalskes, jukses med og misbrukes på mange måter. Husk også at dette er hendelser som har blitt oppdaget. Det overveiende sannsynlig at mørketallene er betydelige.

Folk som har jobbet med digital tjenesteutvikling kjenner disse risikoområdene. Selv om signerte QR-koder isolert sett er vanskelig å forfalske, er det utallige muligheter for juks. Om omfanget av juks ville vært større eller mindre med de eksisterende gule vaksinebevisene er umulig å si. Sannsynligvis vil de som ønsker å jukse finne måter uansett, mens de fleste vil holde seg innenfor lovverket.

Politiet synes iallefall at en papirlapp er tilstrekkelig på Oslo Lufthavn 😉

I alle tilfeller er en kostbar og omfattende infrastruktur for innbyggerkontroll rullet ut i hele Europa. Den er det verdt å ha et kritisk blikk på i fortsettelsen.

Gult vaksinepass
Gult vaksinepass Vis mer