Jednog jutra, dok sam čitao vijesti, pronašao sam ovo Vakcinisane osobe u BiH ne mogu u EU zbog “QR Code”. Znam tačno u čemu je problem, jer sam radio sa EU Digitalnim Covid Certifikatima (EUDCC) i čak sam napisao softver koji provjerava valjanost certifikata za određenu državu (koju trenutno ne smijem spomenuti). Pošto su moji prijatelji i porodica dobili vakcine u Bosni, imao sam priliku vidjeti te tzv. “Certifikate”. Da biste razumeli problem, prvo moram da vam pokažem kako bi trebalo da bude implementirano.
EU Covid Certifikat
Evropska unija je ovo započela sredinom 2021. godine, svi vakcinisani građani su dobili svoje Covid certifikate odmah nakon vakcinacije ili putem pošte, ako su vakcinu dobili prije upotrebe digitalnih certifikata. Taj certifikat je izgledao otprilike ovako.
U priručniku je objašnjeno koju aplikaciju preuzeti, kako skenirati i sačuvati certifikat u aplikaciju. Preporučena aplikacija je CovPass koju je razvio IBM. Ljudi koji su morali provjeravati Covid certifikate, na primjer vlasnici restorana, morali su koristiti drugu varijantu aplikacije pod nazivom CovPassCheck, jer ona ne čuva podatke o certifikatu.
Vjerovali ili ne u pozadini je ovo vrlo komplikovano. Postoji sličnost s biometrijskim dokumentima, jer se za to mora izgraditi cijela PKI infrastruktura. Nešto kao pasoši ili lične karte, ali bez čipa i fizičkog dokumenta. Ove aplikacije moraju biti dnevno povezane na internet kako bi mogle preuzeti nove certifikate CA tijela (posebni certifikati koji se koriste za provjeru digitalnog potpisa Covid certifikata), ako Covid certifikat nije potpisan od povjerljivih institucija, npr. RKI, nije ga moguće dodati u aplikaciju. Naravno i u ovom slučaju ima grešaka, ako nekoga zanima detaljnije i razumije engleski, moj blog na engleskom ovo detaljno objašnjava: EUDCC [DECODING] i EUDCC [ENCODING]. No, vratimo se sada na glavnu temu.
Prilikom skeniranja QR koda EU Covid certifikata dobijate ovako nešto.
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
Neka vrsta hijeroglifa koji imaju svoj sistem i super su komplikovani, u Bosni to možemo mnogo jednostavnije i nije važno što se nije koristio apsolutno nikakav standard.
BiH CoViD pOtVrDa
Počnimo s prvim primjerom.
JZU Dom Zdravlja Banja Luka
O certifikatima ni riječi, ovo je neka vrsta potvrde. Naravno, prilikom skeniranja pomoću CovPassCheck aplikacije rezultat je nevažeći zdravstveni certifikat. Nije prošao prvu provjeru, ne počinje s HC1. Umjesto toga, sadržaj QR koda izgleda ovako.
https://www.racunari-bl.com/mobile?cqcode=YwHaHa+XDbasex9JPgHLUKn8=
Moram da pohvalim, QR kȏd izgleda kao onaj iz EU certifikata, ali sadržaj je sasvim druga priča. Cijeli sadržaj je samo jedan link, kada se otvori taj link vidimo ovako nešto.
Pretpostavljam da većina vas odmah vidi problem.
- Ko su uopšte Računari d.o.o. (racunari-bl.com),
- Ko će mi garantovati da su ti certifikati validni,
- Mogu li sada dobiti certifikat u nekoj PC prodavnici i
- Šta ako neko kupi domen racunari-b1.com i napravi lažne certifikate, da li će neko primjetiti razliku između l i 1?
Ako mislite da je ovo šokantan kraj, varate se, tek počinjemo.
JZU Institut za javno zdravstvo RS
Slično, kao i prethodni certifikat, QR kȏd izgleda kao onaj iz EU certifikata, ali sadržaj ovoga puta izgleda ovako.
N.G.|002673|Gam-COVID-Vak, Sputnik V, Gamaleja, Rusija|17.02.2021|I-010121|Gam-COVID-Vak, Sputnik V, Gamaleja, Rusija|12.03.2021|II-030121|https://vakcinacija.javnozdravstvors.org/vakcinacija/provjerapotvrde/002673
Imamo malo više podataka, ali još uvijek postoji nekakav link, taj link nas vodi do ove web stranice.
Ovi podaci nisu izmišljeni kao u prethodnom primjeru, oni su stvarni podaci od prve osobe koja je dobila certifikat u ovoj instituciji. Čestitke osobi sa inicijalima N.G. i sa rođendanom 31.01.1995, ja kao neko ko ima manje od 30 godina, dugo sam morao čekati da dobijem vakcinu.
Sada se pitate kako sam pronašao prvu osobu koja je dobila vakcinu? Odgovor je jednostavan, preko linka. Samo promijenite posljednji broj, jer je očigledno ID. Ovako sam otkrio da je M.D. 13.04.1990
danas dobio vakcinu i time je posljednji u nizu, u ovom trenutku.
Sa malo znanja o programiranju lako je napraviti web indeksera (eng. crawler) koji će krenuti od 0 i otići do posljednjeg dodanog certifikata u ovom slučaju 335680.
2673: N.G. 31.01.1995 17.02.2021 12.03.2021 Sputnik V
2674: D.D. 11.08.1989 17.02.2021 12.03.2021 Sputnik V
2675: T.S. 21.05.1998 17.02.2021 12.03.2021 Sputnik V
2676: A.B. 10.02.1978 17.02.2021 12.03.2021 Sputnik V
2677: T.J. 31.08.1987 17.02.2021 Sputnik V
2678: D.G. 22.01.1974 17.02.2021 12.03.2021 Sputnik V
2679: A.B. 01.08.1983 18.02.2021 12.03.2021 Sputnik V
2680: M.B. 04.04.1990 18.02.2021 12.03.2021 Sputnik V
2681: I.I. 13.04.1978 18.02.2021 12.03.2021 Sputnik V
2682: T.P. 30.04.1999 18.02.2021 12.03.2021 Sputnik V
...
335680: M.D. 13.04.1990 22.10.2021 Pfizer/BioNTech
Ovako sam pronašao neke osobe sa istim inicijalima i datumom rođenja kao moj, teoretski bih mogao da napravim svoj certifikat. Ko će dokazati da to nisam ja?
Ako bi neko ovo analizirao, primetio bi da su neki ljudi dobili vakcine prije nego što su vakcine i postojale u Bosni. Da ne spominjem da je hiljadu osoba dobilo vakcinu, u jednom danu, u jednoj maloj ustanovi. Pored svih ovih čudnih stvari, znam da ima puno skandala i afera u ovim korona vremenima i tužan sam za sve ljude koji moraju da rade u ovim okolnostima, a posebno za ljude koji sada ne mogu da putuju samo zbog loših političkih odluka.
Hvala na čitanju i nadam se da će neki od vas shvatiti šta je pravi problem ovdje.