Webbplatsen för covidbevis är oskyddad mot kapare – ”Hur har man missat detta?”

2021-06-17 17:41  

Myndigheterna storsatsar på covidbevis åt medborgarna – men glömde att säkra upp domännamnet mot kapare.

Vaccinpass, Gröna beviset, Covidbevis. Namnet på intyget som ska underlätta för EU-medborgare att resa förändrats under våren, men det senaste budet är covidbevis.

Som Ny Teknik tidigare har skrivit ska medborgarna kunna surfa in på covidbevis.se och där enkelt kunna beställa ett intyg inför utlandssemestern eller tjänsteresan.

Läs mer: Vaccinpass för corona – här är allt du behöver veta

Domännamnet covidbevis.se tillhör E-hälsomyndigheten, men den är i dagsläget varken skyddad genom Dnssec eller registreringslås – något som öppnar för illvilliga hackare eller andra skojare som vill lura medborgarna.

Så fungerar Dnssec och registreringslås

Med Dnssec signeras poster i namnservern med kryptografiska nycklar och på så sätt säkerställs att svaren – alltså informationen om vilken ip-adress man ska kommunicera med – verkligen kommer från rätt källa.

Registreringslås hindrar någon annan att ta över ett domännamn eller delegera om det till andra namnservrar – något som skulle kunna ske om system hackas eller om inloggningsuppgifter kommer i orätta händer.

Läs mer: Egenutvecklad vaccinationssajt igång igen: Listar många lediga tider

– Attacker har skett, och sker, mot domännamn som inte har dessa saker påslagna. Regering och riksdag har sagt flera gånger sagt att dessa saker är viktiga och jag undrar, ärligt talat, hur man kan ha missat det i ett prestigeprojekt som detta, säger Patrik Fältström, internetpionjär och expert inom bland annat domännamnstjänster, till Ny Teknik.

Har själv hjälpt till i arbetet

Han är en av de som har hjälpt till i arbetet med covidbeviset, bland annat i arbetet med bevisets QR-kod, men är trots det kritisk.

– Varför ett nytt domännamn i stället för covidbevis som underdomän till myndighetens befintliga domännamn? Vet man hu spamalgoritmer fungerar? Myndigheterna gör många bra saker men en kedja är inte starkare än sin svagaste länk, säger Patrik Fältström.

Läs mer: Sverige redo för digitalt vaccinpass – så fungerar tekniken

E-hälsomyndigheten är medveten om problemen och arbetar nu för att åtgärda dem, svarar de när Ny Teknik ställer frågor om webbplatsen.

”Ska åtgärda detta”

– Vi har idag uppmärksammats på denna brist och har skickat beställningar för att åtgärda detta, säger Hanna Strandberg på E-hälsomyndighetens presstjänst till Ny Teknik.

Läs mer: När nästa pandemi kommer – vilka ska man testa först?

Hon förklarar också att anledningen till att myndigheten har valt ett separat domännamn är att man vill ha en domän som är lätt att komma ihåg och ska vara enkel att skriva för medborgaren.

Anders Frick

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt