Coronavirus (Sars-CoV-2)

VanDusen schrieb:fälschen die Kids heute negative Testzertifikate.

Wer macht sowas? Wie soll so etwas aussehen? Gab es solche Fälle schon?

Aniara schrieb:Wer macht sowas? Wie soll so etwas aussehen? Gab es solche Fälle schon?

Diejenigen die sie fälschen. Man nimmt ein altes negatives Testergebnis (liegt ja Praktischerweise schon digital vor), einen Computer mit Bildbearbeitung und macht aus dem alten ein neues. Heute reicht dafür sogar ein Smartphone. Solange man sich nicht mittels des QR code auf dem Test irgendwo Einscannen muss, kriegt es keine Sau mit.

In niederländischen Medien stand, dass viele der Testzertifikate gefälscht waren.

V8Turbo schrieb:Man nimmt ein altes negatives Testergebnis (liegt ja Praktischerweise schon digital vor), einen Computer mit Bildbearbeitung und macht aus dem alten ein neues.

Richtig, aber auch das Generieren von QR-Codes ist kein Hexenwerk, es gibt dafür jede Menge Freeware.

VanDusen schrieb:Richtig, aber auch das Generieren von QR-Codes ist kein Hexenwerk, es gibt dafür jede Menge Freeware.

Das ist korrekt. Nur dürfte in diesem QR code ja irgendein Schlüssel sein. Ich vermute einen QR code zu fälschen, der beim scannen das anzeigt, was er in diesem Fall soll, ist nicht ganz trivial. Sonst gäbe es diese Codes, oder die Anleitung zum erstellen dieser für impfzertifikate, längst im Netz.

Um es nochmals zu sagen: Ich halte die Idee, Schnelltests künftig für Ungeimpfte kostenpflichtig zu machen, aus genau diesem Grund für fatal. Gerade für junge Leute mit schmalem Geldbeutel wird das Testen zu einem beträchtlichen Kostenfaktor, dementsprechend groß die Versuchung, Testzertifikate zu fälschen.

@V8Turbo
@VanDusen


Da werden die Betreiber nicht mitspielen, da sie schließen müssen, wenn die Inzidenz in der Region durch die Decke geht. Und Discos sind wegen des geschlossenen Raums, der Enge und des engen Kontakts der Besucher das wohl gefährlichste in Bezug auf Infektion, was derzeit denkbar ist.

Deshalb wird ihre Taktik lauten...Wenn Testen...dann vor Ort.

VanDusen schrieb:Um es nochmals zu sagen: Ich halte die Idee, Schnelltests künftig für Ungeimpfte kostenpflichtig zu machen, aus genau diesem Grund für fatal. Gerade für junge Leute mit schmalem Geldbeutel wird das Testen zu einem beträchtlichen Kostenfaktor, dementsprechend groß die Versuchung, Testzertifikate zu fälschen.

Das ließe sich über Strafen, zumindest ein stückweit, regulieren. Es gibt doch schon länger den Vorschlag bei gewissen Delikten, als Strafe den Führerschein zu entziehen. Das dürfte helfen. Und wer u18 ist, kriegt eine Sperre. Da hängt dann mehr dran als „pfff, zahle ich halt 150€ Bußgeld“. Nämlich Freiheit. Und möglicherweise der Job.

V8Turbo schrieb:Sonst gäbe es diese Codes, oder die Anleitung zum erstellen dieser für impfzertifikate, längst im Netz.

In Felix Austria gibt es sogar eine App dafür.
https://www.sozialministerium.at/Informationen-zum-Coronavirus/Coronavirus-–-Warnung-vor-Faelschungen-des-Gruenen-Pass.html (Archiv-Version vom 28.06.2021)

VanDusen schrieb:Gerade für junge Leute mit schmalem Geldbeutel

Dann wäre doch als Alternative die Impfung eine billige Alternative, oder nicht?

VanDusen schrieb:In Felix Austria gibt es sogar eine App dafür.
https://www.sozialministerium.at/Informationen-zum-Coronavirus/Coronavirus-–-Warnung-vor-Faelschungen-des-Gruenen-Pass.html

Aber das untermauert ja nur meine Mutmaßung, es sei nicht trivial. Hanswurst wird sich nicht ohne weiteres selbst so einen Code fälschen können.
Da saß halt jemand mit Ahnung und hat diese App programmiert und stellt diese Hanswurst zur Verfügung.
Und wenn Hanswurst erwischt wird, sollte man einfach ein Exempel an ihm statuieren. Solange das fälschen und nutzen solch sensibler Zertifikate behandelt wird, wie der Diebstahl eines Schokoriegels, tja…
Und in D wüsste ich nichts von der Existenz einer solchen App. Noch dazu dürfte diese nur auf Android Handys oder gejailbrakten iPhones laufen.

V8Turbo schrieb:Und wenn Hanswurst erwischt wird, sollte man einfach ein Exempel an ihm statuieren. Solange das fälschen und nutzen solch sensibler Zertifikate behandelt wird, wie der Diebstahl eines Schokoriegels, tja…

Im Prinzip ist es eine Fälschung, so wie damals und heute mit anderen Persos in die Disco geschlichen wird oder andere altersnachweise gefälscht werden. aber hier ist man wohl in eine Strafbarkeitslücke unterwegs.
https://www.stuttgarter-zeitung.de/inhalt.corona-betrugsmaschen-diese-strafen-erwarten-coronatest-und-impfpassfaelscher.a12f9945-4baa-4152-b012-25a8e501aa7f.html

was mir aber nicht in den Kopf geht, ist das es welche gibt die wohl für 40 Euro ein gefälschten Test kaufen, statt einfach einen echten zu machen...

aber letztlich muss man eben auch Veranstaltern die reale Möglichkeit geben - die Dokumente/Tests auf Echtheit zu prüfen...

VanDusen schrieb:So wie wir früher Altersnachweise gefälscht haben, um in die Discos reinzukommen, fälschen die Kids heute negative Testzertifikate. Wenn Tests künftig für Ungeimpfte kostenpflichtig werden, wird das zum Volkssport, fürchte ich.

VanDusen schrieb:Um es nochmals zu sagen: Ich halte die Idee, Schnelltests künftig für Ungeimpfte kostenpflichtig zu machen, aus genau diesem Grund für fatal. Gerade für junge Leute mit schmalem Geldbeutel wird das Testen zu einem beträchtlichen Kostenfaktor, dementsprechend groß die Versuchung, Testzertifikate zu fälschen.

Deshalb Ungeimpfte erst gar nicht rein lassen.

V8Turbo schrieb:Diejenigen die sie fälschen. Man nimmt ein altes negatives Testergebnis (liegt ja Praktischerweise schon digital vor), einen Computer mit Bildbearbeitung und macht aus dem alten ein neues.

Ich dachte, solche Fälschungen mit Bildbearbeitungsprogrammen können mit geeigneten Mitteln zum Original zurückverfolgt werden?

Pallas schrieb:Ich dachte, solche Fälschungen mit Bildbearbeitungsprogrammen können mit geeigneten Mitteln zum Original zurückverfolgt werden?

Kommt drauf an wie und was gefälscht wurde, und bringt dir auch nicht unbedingt was, wenn das Original z.B. einer der zahlreichen Screenshots ist, die auf Facebook kursieren oder auf anderen sozialen Medien. Und es stellt sich natürlich die Frage, wer sich bei der aktuellen Rechtslage überhaupt die Mühe machen sollte, dem Sachverhalt mit geringen Erfolgsaussichten nachzurecherchieren.

Bone02943 schrieb:Deshalb Ungeimpfte erst gar nicht rein lassen.

Das ist wohl auch nicht der Weisheit letzter Schluss, da sich Impfzertifikate beliebig oft kopieren lassen.
https://www.mdr.de/nachrichten/deutschland/gesellschaft/corona-digitaler-impfpass-code-kopieren-100.html (Archiv-Version vom 02.07.2021)

Klar fällt das auf, wenn sich nacheinander zwanzig Jugendliche mit demselben Impfzertifikat (auf denselben Vor- und Nachnamen) an der Tür einer Disco drängen, aber wird das regelmäßig wirklich durch den Abgleich mit Personalausweis o. ä. kontrolliert?

Außerdem kann es bezüglich negativen Testzertifikaten so schwer nicht sein, den Aufbau der QR-Codes zu enträtseln. Wenn ich ein paarmal bei demselben Testzentrum einen Covid-Test durchführen lasse, wird der einzige Unterschied beim QR-Code im Datum und bei der Prüfsumme (Hash) liegen. Sooooo schwierig kann es nicht sein, diesen Algorithmus zu knacken, und das ist ja schon alles, was ich als Fälscher brauche, Datum und Prüfsumme.

Für Discotheken wäre es wahrscheinlich gewinnbringender, Vor-Ort-Tests und Tickets für die Disse als Paket zu verkaufen. Doppelt abgreifen, 20 € für den Test plus 15 € Mindestverzehr. In NL jedoch ist bereits von Gesetzes wegen Schluss mit mit der Feierlaune :-(

VanDusen schrieb:Außerdem kann es bezüglich negativen Testzertifikaten so schwer nicht sein, den Aufbau der QR-Codes zu enträtseln. Wenn ich ein paarmal bei demselben Testzentrum einen Covid-Test durchführen lasse, wird der einzige Unterschied beim QR-Code im Datum und bei der Prüfsumme (Hash) liegen. Sooooo schwierig kann es nicht sein, diesen Algorithmus zu knacken, und das ist ja schon alles, was ich als Fälscher brauche, Datum und Prüfsumme.

Nur wenn der Programmierer ein absoluter Volldepp war - ansonsten wird wohl ein sogenannter "Salted Hash" verwendet, das ist Standard seit 20 Jahren oder so... dabei läuft die Hashfunktion über den Inhalt den ich verschlüsseln will + einen sogenannten "Salt", z.B. die Uhrzeit, aufgrund der Eigenschaften einer Hashfunktion kannst du aus dem Hash nicht mehr rausziehen was davon sich wie auf das Ergebnis auswirkt. Genau dieser triviale Angriff funktioniert dann nicht.

Ganz abgesehen davon dass die Sicherheit von kryptographischen Verfahren im Allgemeinen darauf aufbaut, dass "nicht soooo schwierig das zu knacken" halt Bullshit ist.

VanDusen schrieb:Klar fällt das auf, wenn sich nacheinander zwanzig Jugendliche mit demselben Impfzertifikat (auf denselben Vor- und Nachnamen) an der Tür einer Disco drängen, aber wird das regelmäßig wirklich durch den Abgleich mit Personalausweis o. ä. kontrolliert?

Dann muss dieses Zertifikat halt mit der Identität abgeglichen werden.

VanDusen schrieb:Für Discotheken wäre es wahrscheinlich gewinnbringender, Vor-Ort-Tests und Tickets für die Disse als Paket zu verkaufen. Doppelt abgreifen, 20 € für den Test plus 15 € Mindestverzehr. In NL jedoch ist bereits von Gesetzes wegen Schluss mit mit der Feierlaune :-(

Ein Test nutzt jetzt aber was? Getestete können trotzdem infiziert sein und ein negativer Test schützt diese auch nicht. Auch nicht die anderen, die sie vielleicht anstecken, wenn sie infiziert nach Hause gehen und erst 10 Tage später merken infiziert zu sein.

Wenn schon Tests, dann richtige PCR Tests, auf Selbstkosten, gültig für 24h.

Aber bevor gleich wieder alles dicht machen muss, dann einfach ohne Getestete.

bgeoweh schrieb:Nur wenn der Programmierer ein absoluter Volldepp war

Ja, aber wir sind leider ein Land der absoluten Volldeppen beim Thema IT-Sicherheit. Hammwanich, könnwanich.

https://www.ccc.de/de/updates/2021/luca-app-ccc-fordert-bundesnotbremse

bgeoweh schrieb:Ganz abgesehen davon dass die Sicherheit von kryptographischen Verfahren im Allgemeinen darauf aufbaut, dass "nicht soooo schwierig das zu knacken" halt Bullshit ist.

In den allermeisten Fällen ist das trivial, weil fehlerbehaftete "proprietäre" Verschlüsselungsverfahren eingesetzt werden, in anderen Fällen gibt es Umwege über das OS, und für den Rest gibt es heutzutage massiv parallel arbeitende GPUs.

VanDusen schrieb:In den allermeisten Fällen ist das trivial, weil fehlerbehaftete "proprietäre" Verschlüsselungsverfahren eingesetzt werden, in anderen Fällen gibt es Umwege über das OS, und für den Rest gibt es heutzutage massiv parallel arbeitende GPUs.

Ja, klar, damit kennt sich Richie von der Tanke, der am Wochenende saufen gehen will, natürlich bestens aus, macht er mal eben so zwischen Morgenschiss und Frühstückskaffe, muss er nur in seine Garage gehen und sein Bitcoin-Mining-Rig für 2-3 Wochen umfunktionieren, oder so.

Dummschwätzerei ist das.