COVID-19 Vac-Check - Codice sorgente e segnalazione di vulnerabilità

Service navigation

Ricerca

Navigazione

COVID-19 Vac-Check - Codice sorgente e segnalazione di vulnerabilità

Das Ziel des Public Security Test (PST) ist es, die Sicherheit des Swiss Covid-19-Certificate Systems zu testen und Vertrauen vor dem öffentlichen Rollout aufzubauen. Der Bund möchte die Funktionsweise und die Sicherheit des Schweizerischen Covid-19-Zertifikatssystems so transparent wie möglich gestalten. Aus diesem Grund sind alle Komponenten Open Source und es wird ein öffentlicher Sicherheitstest durchgeführt.
Der Public Security Test wird vom Nationalen Zentrum für Cybersicherheit (NCSC) geleitet und hat den Anspruch auf volle Transparenz. Meldungen von Testergebnissen erfolgen auf der Webseite des NCSC und können dort detailliert via Formular erfasst werden. Das NCSC nimmt diese Meldungen entgegen, bewertet deren Inhalte, priorisiert diese in Anbetracht ihrer Kritikalität und veranlasst ggf. die Behebung. Bestehende Rückmeldungen sind auf der Webseite des NCSC öffentlich einsehbar und werden regelmässig aktualisiert.Das Ziel
des Public Security Test (PST) ist es, die Sicherheit des Swiss Covid-19-Certificate Systems zu testen und
Vertrauen vor dem öffentlichen Rollout aufzubauen. Der Bund möchte die
Funktionsweise und die Sicherheit des Schweizerischen
Covid-19-Zertifikatssystems so transparent wie möglich gestalten. Aus diesem
Grund sind alle Komponenten Open Source und es wird ein öffentlicher
Sicherheitstest durchgeführt.
Der
Das Ziel des Public Security Test (PST) ist es, die Sicherheit des Swiss Covid-19-Certificate Systems zu testen und Vertrauen vor dem öffentlichen Rollout aufzubauen. Der Bund möchte die Funktionsweise und die Sicherheit des Schweizerischen Covid-19-Zertifikatssystems so transparent wie möglich gestalten. Aus diesem Grund sind alle Komponenten Open Source und es wird ein öffentlicher Sicherheitstest durchgeführt.Public Security Test wird vom Nationalen Zentrum für Cybersicherheit (NCSC)
geleitet und hat den Anspruch auf volle Transparenz. Meldungen von
Testergebnissen erfolgen auf der Webseite des NCSC und können dort
detailliert via Formular erfasst werden. Das NCSC nimmt diese Meldungen
entgegen, bewertet deren Inhalte, priorisiert diese in Anbetracht ihrer
Kritikalität und veranlasst ggf. die Behebung. Bestehende Rückmeldungen sind
auf der Webseite des NCSC öffentlich einsehbar und
werden regelmässig aktualisiert.
 

La Confederazione vuole rendere il funzionamento e la sicurezza del COVID-19 Vac-Check il più trasparente possibile. Per questo motivo il Priority Engine di COVID-19 Vac-Check è open source e viene fornita l'opportunità ai ricercatori di sicurezza di notificare le loro scoperte. Il Priority Engine determina se un cittadino è idoneo per una vaccinazione COVID-19 sulla base delle risposte fornite e di un set di regole specifiche del cantone. Questo set riguarda sia le regole per la prima vaccinazione, sia per il richiamo (booster).

Un test di sicurezza (penetration test) così come una revisione esterna del codice sorgente sono stati eseguiti senza rilevare alcuna vulnerabilità.

Il National Cyber Security Centre (NCSC) offre un modo per segnalare qualsiasi vulnerabilità. I risultati dei test devono essere notificati tramite il sito web dell'NCSC, dove è presente un modulo per fornire le informazioni dettagliate:

https://www.ncsc.admin.ch/ncsc/it/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden.html

L'NCSC riceve questi rapporti, ne valuta il contenuto, li classifica in base alla loro criticità e, se necessario, predispone delle misure correttive. I feedback esistenti sono disponibili pubblicamente sul sito web dell'NCSC e vengono aggiornati regolarmente.

Scope and Rules (only in english)

Testing policy

  • The Swiss Confederation provides a COVID-19 Vac-Check dedicated to support citizens in their decision to get vaccinated.
  • Participants who have found or believe they have found a vulnerability are asked to submit a report via following NCSC Website.

Scope of the test

  • You will find the documentation related to the COVID-19 Vac-Check system in Switzerland on Github: https://github.com/soignezmoich/vac-engine
  • In-scope is only the provided code of the Priority Engine contained in the respective GitHub repository. If you are unsure, then please stop your activity and ask NCSC first.
  • Attacks and scans that can harm other operations and services of the Swiss Confederation and involved parties are therefore strictly forbidden. If you are unsure, then please stop your activity and ask NCSC first.

Out-of-scope

Everything that is not defined as in-scope is out-of-scope by default. In particular, the following items are out-of-scope:

  • All attacks that fall in the broad denial of service (DDoS) and resource starvation categories.
  • Social engineering, phishing or malware attacks on operators or employees of the Swiss Confederation, the Cantons and involved parties.
  • Physical attacks on people, buildings and devices.
  • Attacks on the (GitHub) code repositories or the report submission website of NCSC
  • Lateral movements after a compromise of a system.

If you are unsure, then please ask NCSC first.

Ultima modifica 03.01.2022

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/dokumentation/covid19-vac-check/infos.html