Covid-19 Impf-Check - Source Code und Melden von Schwachstellen

Das Ziel des Public Security Test (PST) ist es, die Sicherheit des Swiss Covid-19-Certificate Systems zu testen und Vertrauen vor dem öffentlichen Rollout aufzubauen. Der Bund möchte die Funktionsweise und die Sicherheit des Schweizerischen Covid-19-Zertifikatssystems so transparent wie möglich gestalten. Aus diesem Grund sind alle Komponenten Open Source und es wird ein öffentlicher Sicherheitstest durchgeführt.
Der Public Security Test wird vom Nationalen Zentrum für Cybersicherheit (NCSC) geleitet und hat den Anspruch auf volle Transparenz. Meldungen von Testergebnissen erfolgen auf der Webseite des NCSC und können dort detailliert via Formular erfasst werden. Das NCSC nimmt diese Meldungen entgegen, bewertet deren Inhalte, priorisiert diese in Anbetracht ihrer Kritikalität und veranlasst ggf. die Behebung. Bestehende Rückmeldungen sind auf der Webseite des NCSC öffentlich einsehbar und werden regelmässig aktualisiert.Das Ziel
des Public Security Test (PST) ist es, die Sicherheit des Swiss Covid-19-Certificate Systems zu testen und
Vertrauen vor dem öffentlichen Rollout aufzubauen. Der Bund möchte die
Funktionsweise und die Sicherheit des Schweizerischen
Covid-19-Zertifikatssystems so transparent wie möglich gestalten. Aus diesem
Grund sind alle Komponenten Open Source und es wird ein öffentlicher
Sicherheitstest durchgeführt.
Der
Das Ziel des Public Security Test (PST) ist es, die Sicherheit des Swiss Covid-19-Certificate Systems zu testen und Vertrauen vor dem öffentlichen Rollout aufzubauen. Der Bund möchte die Funktionsweise und die Sicherheit des Schweizerischen Covid-19-Zertifikatssystems so transparent wie möglich gestalten. Aus diesem Grund sind alle Komponenten Open Source und es wird ein öffentlicher Sicherheitstest durchgeführt.Public Security Test wird vom Nationalen Zentrum für Cybersicherheit (NCSC)
geleitet und hat den Anspruch auf volle Transparenz. Meldungen von
Testergebnissen erfolgen auf der Webseite des NCSC und können dort
detailliert via Formular erfasst werden. Das NCSC nimmt diese Meldungen
entgegen, bewertet deren Inhalte, priorisiert diese in Anbetracht ihrer
Kritikalität und veranlasst ggf. die Behebung. Bestehende Rückmeldungen sind
auf der Webseite des NCSC öffentlich einsehbar und
werden regelmässig aktualisiert.
 

Der Bund möchte die Funktionsweise und die Sicherheit des Covid-19 Impf-Check so transparent wie möglich gestalten. Aus diesem Grund ist die Priority Engine von Covid-19 Impf-Check Open Source und es wird eine Möglichkeit geschaffen, wo Sicherheitsforschende Ihre Resultate melden können. Die Priority Engine bestimmt anhand von gegebenen Antworten durch die Bürgerinnen und Bürger und einem kantonsspezifischen Regelwerk, welche Personen für eine Covid-Impfung zugelassen sind. Das Regelwerk beinhaltet dabei Regeln für die Erst- wie auch eine allfällige Auffrischimpfung.

Ein Penetrationstest sowie ein externer Codereview wurden vorgängig durchgeführt und es wurden keine Schwachstellen gefunden.

Das Nationale Zentrum für Cybersicherheit (NCSC) bietet eine Möglichkeit allfällige Schwachstellen zu melden. Meldungen von Testergebnissen erfolgen auf der Webseite des NCSC und können dort detailliert via Formular erfasst werden:

https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden.html

Das NCSC nimmt diese Meldungen entgegen, bewertet deren Inhalte, priorisiert diese in Anbetracht ihrer Kritikalität und veranlasst gegebenenfalls die Behebung. Bestehende Rückmeldungen sind auf der Webseite des NCSC öffentlich einsehbar und werden regelmässig aktualisiert.

Scope and Rules (only in english)

Testing policy

  • The Swiss Confederation provides a COVID-19 Vac-Check dedicated to support citizens in their decision to get vaccinated.
  • Participants who have found or believe they have found a vulnerability are asked to submit a report via following NCSC Website.

Scope of the test

  • You will find the documentation related to the COVID-19 Vac-Check system in Switzerland on Github: https://github.com/soignezmoich/vac-engine
  • In-scope is only the provided code of the Priority Engine contained in the respective GitHub repository. If you are unsure, then please stop your activity and ask NCSC first.
  • Attacks and scans that can harm other operations and services of the Swiss Confederation and involved parties are therefore strictly forbidden. If you are unsure, then please stop your activity and ask NCSC first.

Out-of-scope

Everything that is not defined as in-scope is out-of-scope by default. In particular, the following items are out-of-scope:

  • All attacks that fall in the broad denial of service (DDoS) and resource starvation categories.
  • Social engineering, phishing or malware attacks on operators or employees of the Swiss Confederation, the Cantons and involved parties.
  • Physical attacks on people, buildings and devices.
  • Attacks on the (GitHub) code repositories or the report submission website of NCSC.
  • Lateral movements after a compromise of a system.

If you are unsure, then please ask NCSC first.

Letzte Änderung 18.11.2021

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/dokumentation/covid19-vac-check/infos.html