Повлечен Македонскиот јавен клуч за издавање/верификација на Ковид сертификати

[Gilfoyle]

Ајде уште една сериозна тема на форумов да отвориме.

На 27.10 почнаа да се појвуваат „чудни“ Ковид сертификати потпишани и валидни во Европскиот систем за дигитални зелени сертификати (DGC/DGCI/DGCA) односно: GitHub - eu-digital-green-certificates/dgca-issuance-web: Repository for the dgca issuance web app. , под чудни сертификати мислам на валиден сертификат на Sponge Bob & Adolf Hitler.

Од тоа што начелно се кружи како информација дека македонски сервер што комуницирал со DGCI бил отворен поради лошо конфигуриран docker-compse port forwarding, односно можело да се прават API повици без никаква најава па дури и да се стигне до самиот web interface и да се креира нов сертификат за било кого од било каде и истиот да е верификуван и валиден.

https://twitter.com/i/web/status/1453585195278508032

View: https://twitter.com/Xiloeee/status/1453585195278508032/photo/1


Ако видите во десен агол ќе видите дека CountryCode е MK односно АПИ повикот се направил и потпишал од македонски PKI сертификат.

TAC(Tous Anti Covid) и TAC-V(Tous Anti Covid Verify) беа први што го инвалидираа на git македонскиот клуч издаден од Министерство за Здравство издаден на 15 септември 2021:


Истиот е обновен во системот на TAC/TAC-V, сертификатот е генериран на 28 октомври во 08:24:


Сите македонски сертификати издадени во период од 15ти септември до 28 октомври се инвалидирани во сите системи на ЕУ, и од она што го имам како информација први пораки почнале да пристигнуваат вчера околу 14 часот од Министерство за Здравство со следната содржина:

Што ја прави цела оваа тема валидна за жал.

Ова е само уште еден доказ дека за жал немаме никаква основна култура за безбедност на податоци а загрозуваме и цел систем на ЕУ поради самиот факт што можело ова да се држи во тајност и преку наш систем да се вадат валидни сертификати за било кого од било каде и било кога. И после се ова има луѓе што очекуваат дека Revoult, Paypal и слични сервиси ќе влезеле кај нас.. нема грешка..

Важно законот за заштита на лични податоци и офицери за безбедност на податоци по приватни фирми они го донесоа

 

[gdamjan]

Ова е само уште еден доказ дека за жал немаме никаква основна култура за безбедност на податоци а загрозуваме и цел систем на ЕУ поради самиот факт што можело ова да се држи во тајност и преку наш систем да се вадат валидни сертификати за било кого од било каде и било кога. И после се ова има луѓе што очекуваат дека Revoult, Paypal и слични сервиси ќе влезеле кај нас.. нема грешка..

рака на срце,
не беше само нашиот сервер незаштитен. од тоа што се гледа на интернет се чини барем DE, FR и UK имаат повлечени сертификати.
(History for certificates.txt - rgrunbla/TAC-Files може да се види неколку бришења и додавања).

Ќе видиме што била причината кога ќе направат пост мортем (ако направат) - али изгледа дека пуно само го земале docker image-от и така го бапнале без да размислат.

Исти и типот што стаил запечен password во docker image-от и го commit-нал тоа е класик docker mindset фејл.

 

[Gilfoyle]

@gdamjan ако ги видиш сите commits со сертификати ќе видиш дека само нашиот е нов генериран, другите се daily updated vaules што вајда ги проверува PKIs и се со исти дати. Инаку да прав си, има до сега три други сервери но сите потпишани „чудни“ сертификати се генерирани од МК.

Во било кој случај не смеело да се деси, каков сака нека има мајндсет таму се ставени за да работат, тие системи треба да поминат вајда и QA некаков и Compliance и се останато, ама најверојатно кај нас тоа го прави едно до максимум две типчиња што истовремено вајда водат и се останато.

 

[ARMac]

Мене ме нема на vakcinacija.mk

Едноставно не ме наоѓа системот по матичен број. Корисникот не постои. Примени две дози фајзер во Јуни. Среќа го имам скенирано листот. Овие се ненормални комплет.

Како сега јас да генерирам сертификат?

 

[VerGer]

Мене ме нема на vakcinacija.mk

Едноставно не ме наоѓа системот по матичен број. Корисникот не постои. Примени две дози фајзер во Јуни. Среќа го имам скенирано листот. Овие се ненормални комплет.

Како сега јас да генерирам сертификат?

ке идеш кај шо вакцинираат да ти поправат податци ваљда друго тешко

 

[Gilfoyle]

@ARMac ова важи за изгенерираните ЕУ сертификати (DCC) од vakcinacija.mk, стандардните се проверуваат на македонско апи. Инаку пробај со УЈП сигурно имаш e-pdd акаунт. Ако ни така не ти вади тогаш во најблиското место каде што вакцинираат со потврдата ќе те стават пак во систем. Исто важи и за тие што се во Србија вакцинирани, може слободно да отидат со потврдата ќе ги стават во систем ако на некого му игра улога.

 

[ARMac]

@ARMac ова важи за изгенерираните ЕУ сертификати (DCC) од vakcinacija.mk, стандардните се проверуваат на македонско апи. Инаку пробај со УЈП сигурно имаш e-pdd акаунт. Ако ни така не ти вади тогаш во најблиското место каде што вакцинираат со потврдата ќе те стават пак во систем. Исто важи и за тие што се во Србија вакцинирани, може слободно да отидат со потврдата ќе ги стават во систем ако на некого му игра улога.

Сертификатот е валиден, го скенирав QR кодот ми излезе зелено.

Ама ако сакам нов лист да отштампам неможам да го извадам. Ќе пробам преку УЈП после што викаш тх.

Да, со УЈП јузер/пасс се логираше и излезе сертификатот фала.

 

[Gilfoyle]

Ова важи специфично за новите сертификати што се поврзани со ЕУ системите, старите не се и се проверуваат на МК апи. Вака изгледаат новите:


Кога се скенира овој QR оди преку TAC-V/DGCA и излага дека е Европски сертификат. Ако имате ваков а е изгенериран од 15ти септември до вчера тогаш ќе го даде како не-валиден и мора да генерирате нов на vakcinacija.mk.

 

[gdamjan]

Мене ме нема на vakcinacija.mk

Едноставно не ме наоѓа системот по матичен број. Корисникот не постои. Примени две дози фајзер во Јуни. Среќа го имам скенирано листот. Овие се ненормални комплет.

Како сега јас да генерирам сертификат?

регистирирај се, или избери forgotten password

 

[D]

https://twitter.com/i/web/status/1454019646227685376

View: https://twitter.com/itcommk/status/1454019646227685376


Интересна е темава за една асална статија.
Она што е клучно да се одреди во моментов е да се лоцира и потврди дали МК во ситуацијава има вина за дешавкава, или наследува вина заради недобро поставена инфраструктура од ЕУ и кој и да го работи реално ова.

 

[Gilfoyle]

https://twitter.com/i/web/status/1454019646227685376

View: https://twitter.com/itcommk/status/1454019646227685376


Интересна е темава за една асална статија.
Она што е клучно да се одреди во моментов е да се лоцира и потврди дали МК во ситуацијава има вина за дешавкава, или наследува вина заради недобро поставена инфраструктура од ЕУ и кој и да го работи реално ова.

Штом се користел македонски ПКИ значи потекнувале од кај нас затоа што не може од Грција некој што издава сертификат да селектира да користи МК јавен клуч тоа е врзано со самата инфраструктура.

Проблемот нека си го решаваат МЗ и ЕУ за каде настанала грешката и кој е одговорен меѓу нив i don't care, она што го гледам како поголем проблем е преќутувањето на нешто доста сериозно, односно играње со база на податоци што во ова време злато вредат и инвалидирање на истата база на податоци.

Министерство за Здравство уште во моментот кога дознале дека нешто се случува требало да објават и да дадат дознаење на сите оние граѓани кои патуваат дека мора да извадат нови сертификати и да ги задолжат сите матични лекари да се слушнат со пациентите и да им објаснат дека треба да изгенерираат нови, а не да пуштаат СМС пораки дека настанало техничка грешка, затоа што ова не може и не смее да се класифицира како техничка грешка.

Во моментов има луѓе што се надвор од државава излезени со тогаш валиден а сега не-валиден сертификат што може да им донесе огромни проблеми во земји како Италија каде што состојбата е влошена и едвај чекаат некој со фејк пасоши да го скинат, како ќе се докаже дека не е фејк туку дека државата му е смотана што не го известила дека треба нов да извади?

 

[gdamjan]

и да им објаснат дека треба да изгенерираат нови, а не да пуштаат СМС пораки

па тоа го пишува во SMS-от. Да си изгенерираат нов.

 

[Gilfoyle]

па тоа го пишува во SMS-от. Да си изгенерираат нов.

има запирка меѓу зборовите, точно знам што пишва и што пишале они во СМС-от. Целата реченица е: а не да пуштаат СМС пораки дека настанало техничка грешка, затоа што ова не може и не смее да се класифицира како техничка грешка.

Поентата на реченицата беше дека сите во ИТ знаеме дека ова не е техничка грешка туку проблем што требало да се реши, подобро да го изоставеле тој термин од смс-от и само да речат ок генерирајте нови па да излезат со пост мортем(што никогаш не се десило).

Они тоа убаво што известиле дел од луѓето ама истото треба да се направи јавно уште во првиот момент кога сфатиле дека има проблем и да допре до луѓе што може да смениле телефонски броеви, постара популација што може воопшто да не ја запримети пораката, луѓе што веќе се надвор од државава и не се во роаминг итн итн.

Темава не сакам да стане политичка, туку се што е пишано да биде професионална/морална гледна точка.

 

[Goran995]

@Gilfoyle - Она што не го сфаќам во целата приказна со овој EU Digital COVID сертификат, за каде се користи? За патување преку граници?
На самиот сертификат пишува is not a travel document (едино ако не мислат дека не е пасош LOL).

И друго што забележав - ja нема CommonPass na Play Store повеќе, ја кикнаа?
Со кој сертификат би поминал граница еве утре на пример, нашиот од МЗ или овој EU Digital, знае некој?

 

[Gilfoyle]

@Goran995 двата се валидни, со тоа што во ЕУ имаат мобилни за скен на QR што удира директ на база и пример во диско за да влезеш одма ќе им даде дека е валиден или за во хотел, не дека нашиот не е признат или валиден ама најчесто го бараат европскиот кај нив. Оригиналните сертификати што не се во ЕУ системот мислам дека воопшто не се дирнати од ситуацијава и дека се е ок со нив.

Ама цела поента на темава беше баш тоа, место ние да мислиме што е а што не е требаше некој да излезе и да каже за да не се створи непотребен страв или проблем каде што не треба. А потоа нека си бркаат они кривци кој направил грешка и каде настанала тоа на крајниот корисник на сертификатот 99% не му влијае.

 

[Goran995]

@Goran995 двата се валидни, со тоа што во ЕУ имаат мобилни за скен на QR што удира директ на база и пример во диско за да влезеш одма ќе им даде дека е валиден или за во хотел, не дека нашиот не е признат или валиден ама најчесто го бараат европскиот кај нив. Оригиналните сертификати што не се во ЕУ системот мислам дека воопшто не се дирнати од ситуацијава и дека се е ок со нив.

Тоа не ми беше јасно уште откако се регистрирав на vakcinacija.mk

Вчера се логирав и гледам дека ми фали овој EU Digital (го изгенерирав пред 2 недели) и после на Твитер прочитав за фркава, ми стана јасно зошто ми го нема.
Земав да ја пребарувам и CommonPass - нема ништо.

 

[ARMac]

@gdamjan јок, и „заборавена“ лозинка и со email и со матичен пишува корисникот не е пронајден/погрешно име или лозинка

Со УЈП/eid.mk се логирав и се појави сертификатот. Директно на страната vakcinacija.mk несака.

Важно работи некако.

/офф

 

[Gilfoyle]

Update:

Министерството за здравство информира дека во текот на вчерашниот ден, граѓаните кои имаат генерирано EU сертификат за вакцинација преку vakcinacija.mk треба преку веб порталот да генерираат нов. Станува збор за безбедносен протокол со што се спречи користење на лажни EU сертификати, со лажни имиња и лажни податоци.

Сите земји што имплементирале EUDCC се соочуваат со постојани напади на нивните системи од трети, малициозни страни. Меѓу нив е и Република Северна Македонија. Како дел од ваков напад на систем, на 28.10.2021, трети страни успеале да изгенерираат четири лажни EU сертификати, со лажни имиња и лажни лични податоци, а на сертификатот пишувало дека истите примиле вакцина во Република Северна Македонија. Во лажните EU сертификати не беа напишани имиња и податоци на наши државјани. Личните податоци на нашите граѓани се безбедни и нивната сигурност не е нарушена, а воедно, безбедноста на системите е зголемена и активно се следи и подобрува, што придонесува во иднина да се избегне ваков случај.

Тимовите на Министерството за здравство се во постојана комуникација со тимовите за сајбер - безбедност што ја поддржуваат инфраструктурата на EUDCC, ангажирани од Европската Комисија. Со цел поништување на лажните сертификати и обезбедување на зголемена заштита, EU сертификатите на граѓаните на Република Северна Македонија се одново генерирани. Секој граѓанин може, на многу едноставен начин, за помалку од една минута, да го преземе својот личен EU сертификат преку пристап на порталот vakcinacija.mk

Министерството за здравство потенцира дека не станува збор за генерирање или повлекување од употреба на Националниот сертификат за вакцинација, туку за генерирање на EU сертификатот кој исто така може да се преземе на vakcinacija.mk како и CommonPass.

Ете ова се бараше да се објави уште веднаш кога сфатија дека има проблем а не под притисок кога трета страна ќе увиди дека има реален проблем. Инаку секако цело време се збореше за EU сертификатот а не за националниот сертификат за вакцинација.

Значи да повториме:
1. Потврдуваш дека имало злоупотреба
2. Го решаваш проблемот
3. Ги известуваш сите засегнати страни јасно и гласно
4. Потоа бараш кривица заради кој и каде настанал проблемот

Само вака се избегнува манипулација со случувања и можност за дополнителни fake news. Иако не очекувам ништо повеќе на оваа тема ама post mortem анализа би било добро да се добие

Како и да е стојам на кажаното дека за жал има многу фини, напредни и учени момци и девојки што би работеле на тие позиции и стварно би направиле разлика во целиот овој дигитален процес, ама ние сме Балкан и тие фините, напредните и учените работат за други држави место за нашата.

 

[Avid]

И после се ова има луѓе што очекуваат дека Revoult, Paypal и слични сервиси ќе влезеле кај нас.. нема грешка..

Па коа сакате вие стручните поќе кеш и да си работите за странци, така е, ќе си трпиме.
А ете у последниот пост си пишал.

 

[D]

Хитлер и Sponge Bob со валидни ЕУ сертификати за COVID, повлечен македонски јавен клуч за EU DCC ⋆ IT.mk

Личноста Адолф Хитлер, роден на 1-ви јануари, 1900 година и со примена втора доза на Pfizer вакцина на 1-ви октомври, 2021 има изгенерирано валиден ЕУ

www.it.mk

јавно tnx @Gilfoyle за темава.

 

[Gilfoyle]

Хитлер и Sponge Bob со валидни ЕУ сертификати за COVID, повлечен македонски јавен клуч за EU DCC ⋆ IT.mk

Личноста Адолф Хитлер, роден на 1-ви јануари, 1900 година и со примена втора доза на Pfizer вакцина на 1-ви октомври, 2021 има изгенерирано валиден ЕУ

www.it.mk

јавно tnx @Gilfoyle за темава.

Најс, него ако може само да ги додадеш следниве работи:

Во делот за кружење на информациите за docker-compose доаѓа од Federico Maggi Security Researcher од TrendMicro значи не е нешто што мене ми текнало така или сум го кажал за да биде поинтересно:

https://twitter.com/i/web/status/1453811030631624708

View: https://twitter.com/phretor/status/1453811030631624708

Исто така има цела нишка на коментари на Github каде што уште пред 3 дена е отворена дискусијата за тоа дека има проблем и како стигнале до тука:

Possible leak of private keys · Issue #103 · ehn-dcc-development/eu-dcc-hcert-spec

On various groups (Telegram mainly) are circulating several forged Green Pass with valid signature, I attach two here. << image redacted - available from the security team >> << image redacted - av...

github.com

Според еден од коментарите одредена група нуделе дури од 25 земји сертификати:

(*Ова воопшто не е проверено и може тотално да е fake сервис што ќе им собере пари, но вреди да се спомне)

И да не е криво Министерство за Здравство со самиот setup најбитна е разрешницата заедно со комунијацијата и објавување на брзи и вистински информации што го сторија подоцна од што треба.

 

[stefan_off]

Еве на мене ми стана невалиден нашиот EU сертификат за во Швајцарија, но одма направив нов на vakcinacija.mk го закачив новиот и се е ок сега...

 

[Goran995]

Со која апликација ги вчитувате кодовите?
Има некоја алтернатива на CommonPass?

 

[D]

Најс, него ако може само да ги додадеш следниве работи:

Во делот за кружење на информациите за docker-compose доаѓа од Federico Maggi Security Researcher од TrendMicro значи не е нешто што мене ми текнало така или сум го кажал за да биде поинтересно:

https://twitter.com/i/web/status/1453811030631624708

View: https://twitter.com/phretor/status/1453811030631624708

Исто така има цела нишка на коментари на Github каде што уште пред 3 дена е отворена дискусијата за тоа дека има проблем и како стигнале до тука:

Possible leak of private keys · Issue #103 · ehn-dcc-development/eu-dcc-hcert-spec

On various groups (Telegram mainly) are circulating several forged Green Pass with valid signature, I attach two here. << image redacted - available from the security team >> << image redacted - av...

github.com

Според еден од коментарите одредена група нуделе дури од 25 земји сертификати:

(*Ова воопшто не е проверено и може тотално да е fake сервис што ќе им собере пари, но вреди да се спомне)

И да не е криво Министерство за Здравство со самиот setup најбитна е разрешницата заедно со комунијацијата и објавување на брзи и вистински информации што го сторија подоцна од што треба.

Дополнето со посочените информации.

 

[Goran995]

Еве на мене ми стана невалиден нашиот EU сертификат за во Швајцарија, но одма направив нов на vakcinacija.mk го закачив новиот и се е ок сега...

Само што пробав со оваа апликација и успешно го вчита овој EU Digital COVID од vakcinacija.mk