|
|
|
|
Strumenti |
27-10-2021, 09:36 | #1 |
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75175
|
Link alla notizia: https://www.hwupgrade.it/news/web/gr...ai_101937.html
Da ieri notte circolano su alcuni forum almeno due green pass COVID-19 falsificati, ma che vengono perfettamente validati dalle applicazioni di verifica. Queste certificazioni verdi sono entrambe molto particolari perché sono state intestate ad Adolf Hitler. Quello che ci si chiede è se c'è effettivamente una falla nel sistema che permette a monte di creare falsi Green Pass per chiunque validi. Click sul link per visualizzare la notizia. |
27-10-2021, 09:48 | #2 |
Senior Member
Iscritto dal: Feb 2002
Città: Lecce
Messaggi: 19252
|
Ancora piu' imbecilli quelli che pagano per un certificato di questo genere.
|
27-10-2021, 09:51 | #3 |
Senior Member
Iscritto dal: Sep 2004
Città: Veneto Orientale
Messaggi: 3796
|
dai dai... basta passare le certificazioni su NFT, così facciamo contenti tutti.
|
27-10-2021, 09:59 | #4 |
Senior Member
Iscritto dal: Feb 2004
Messaggi: 5305
|
spero sia la prima ipotesi, se fosse bucato il sistema delle chiavi.. ciao..
|
27-10-2021, 10:41 | #5 |
Senior Member
Iscritto dal: May 2007
Città: Bidaa
Messaggi: 25605
|
Dev'essere omonimia perché l'Hitler "originale" è del '89
Anyway, l'app ha ricevuto un update ieri, in serata. Se si scansiona ora il QR viene identificato come non valido. |
27-10-2021, 10:43 | #6 |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 3952
|
Presumo che le chiavi siano diverse per ogni ente certificatore, in questo caso non capisco quanto ci voglia a risalire a chi ha rilasciato quel certificato.
Poi, annulli tutti i certificati creati con quella chiave, crei una nuova chiave e rifirmi i certificati validi... |
27-10-2021, 10:47 | #7 |
Senior Member
Iscritto dal: May 2007
Città: Bidaa
Messaggi: 25605
|
E' probabilmente quanto è stato fatto, dato che quel certificato ora risulta non valido.
PS: e forse s'è già beccata pure la fonte > Hackers arrested for 'infiltrating' Ukraine’s health database Ultima modifica di ulukaii : 27-10-2021 alle 18:18. Motivo: aggiunto link |
27-10-2021, 10:59 | #8 |
Senior Member
Iscritto dal: Dec 2001
Città: Planet Saturn (♄)
Messaggi: 13743
|
Qua c'è un Adolf Hitler nato nel 1930.
Green pass ancora valido... Testato ora puntando C19 sullo schermo... |
27-10-2021, 11:03 | #9 | |
Junior Member
Iscritto dal: Apr 2010
Messaggi: 26
|
Quote:
Peró metti caso che il sistema delle chiavi sia stato effettivamente "bucato", come si fará in futuro a capire se il Pass di un cittadino comune é genuino o comprato da qualche parte? Puó passare molto tempo prima che qualcuno se ne accorga. |
|
27-10-2021, 11:12 | #10 | |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 3952
|
Quote:
O buchi l'algoritmo di crittografia, cosa alquanto improbabile, e in quel caso cambi algoritmo. O c'è un passaggio "umano" delle chiavi, molto più probabile, nel qual caso devi individuare il colpevole e/o bannare l'ente certificatore. Oppure buchi l'app di verifica, ma in quel caso ne buchi una sola, non tutte... |
|
27-10-2021, 11:24 | #11 | |
Senior Member
Iscritto dal: Dec 2001
Città: Planet Saturn (♄)
Messaggi: 13743
|
Quote:
Riposi in pace. Non ci credevano in amministrazione che fosse vero...! Le ho fatte provare con C19 a scansionare la pagina con quello del giovane Hitler e sono rimaste di sasso ! |
|
27-10-2021, 11:48 | #12 |
Senior Member
Iscritto dal: May 2006
Città: :
Messaggi: 6744
|
Ma ora che salta fuori che anche zio Adolf si è vaccinato quelli di Forza Nuova saranno ancora contrari?
|
27-10-2021, 11:54 | #13 |
Senior Member
Iscritto dal: Jul 2008
Città: Falconara Marittima
Messaggi: 26422
|
Dacchè mi risulti, l'App per la verifica del Green-Pass si limita a verificare che sia valido, e non si possono creare registri o tenere traccia di tali controlli.
Per cui non c'è nessun sistema da "bucare", semplicemente nel momento in cui trovi il modo di generare un QR-Code che è considerato valido per l'App, tutto il resto sono discorsi da Bar. L'unico problema può sorgere nel caso la verifica sia fatta di persona e in un luogo in cui il controllore conosce il controllato... come all'ingresso di un posto di lavoro (al di là di "impiegati confacenti"). Al limite facendo un controllo con un documento di riconoscimento... cosa che NON è richiesta e non credo neanche lecita. [ EDIT ] Leggendo QUI scopro or ora che i dati personali del QR-Code non sono neanche criptati
__________________
Ultima modifica di cronos1990 : 27-10-2021 alle 11:59. |
27-10-2021, 12:25 | #14 | |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 3952
|
Quote:
Dal momento che scarica le chiavi pubbliche, al momento che fotografa il QR, lo decifra, lo decritta, e ti restituisce che è valido, ci sono vari passaggi che potrebbero essere soggetti a falle. Ma come già detto, sarebbe comunque relativo alla singola app di verifica. Qui, essendo valido su app diverse, il problema può essere solo in due punti: o sono riusciti a bucare l'algoritmo crittografico (cosa molto improbabile), oppure il certificato è effettivamente valido, creato con una chiave privata valida usata illecitamente. Non mi sembra ci siano altre possibilità. |
|
27-10-2021, 12:48 | #15 |
Senior Member
Iscritto dal: Nov 2002
Messaggi: 4312
|
La soluzione più semplice è anche quella corretta, Adolf Hitler è ancora vivo e si è vaccinato
|
27-10-2021, 13:01 | #16 | |
Senior Member
Iscritto dal: Dec 2001
Messaggi: 2221
|
Quote:
Ora bisogna capire se in Francia ci vive, o era solo di passaggio e s'è vaccinato li. Magari era in vacanza?
__________________
Steam {GAME} || World of Truck {TRIP} AMD Radeon 5 3600 {SELL} Sapphire Radeon HD 7790 OC Edition 1Gb {SELL} |
|
27-10-2021, 13:05 | #17 |
Senior Member
Iscritto dal: Jul 2013
Messaggi: 376
|
Il green pass non è altro che un JSON encodato in BASE64,
nel JSON sono contenute un bel po di informazioni ma quello che importa è una voce, non mi ricordo come si chiama sono passati mesi da quanto lo avevo studiato. In pratica in questa voce c'è il certificato vero e proprio, non ho indagato molto ma in pratica è il classico concetto dei certificati, come SSL, TSL SSH ecc. Revocare un certificato è relativamente facile, ma prima devi sapere che è effettivamente falso, il che è banale se lo chiami Adolf Hitler e lo pubblichi su mezza internet. Un po più complesso se lo chiami Mario Verdi o se lo fai con il tuo vero nome. Detto questo è abbastanza palese che le chiave private, e non credo c'è ne siano tante che girano, siano state trafugate, almeno una ma probabilmente tutte. In questo ultimo caso l'unica soluzione è revocare tutti i certificati fatti con questa/e chiave/i il che si traduce nel rifare il green pass per qualche milione di persone, capirete che è un grosso problema se viene confermato. |
27-10-2021, 13:06 | #18 |
Senior Member
Iscritto dal: Sep 2013
Messaggi: 7479
|
|
27-10-2021, 13:23 | #19 |
Senior Member
Iscritto dal: Feb 2002
Città: Lecce
Messaggi: 19252
|
Quindi ormai ha i giorni contati
|
27-10-2021, 14:03 | #20 |
Junior Member
Iscritto dal: Jul 2008
Città: Bo
Messaggi: 14
|
Già corretto!!
Con l'ultimo aggiornamento delle 15.01 versione 1.1.5 il Green Pass di Adolfo da errore!
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 19:54.