Green Pass falsi con Adolf Hitler: ecco (forse) finalmente la spiegazione del problema

Green Pass falsi con Adolf Hitler: ecco (forse) finalmente la spiegazione del problema

Si è giunti forse ad una svolta nella questione dei Green Pass fasulli intestati da Hitler o anche a Topolino ma che di fatto permettevano di avere la convalida tramite le app di verifica delle certificazioni verdi. In questo caso non sembra che le chiavi siano state rubate ma che il sistema che genera i Green Pass in alcuni paesi sia rimasto ''poco sicuro'' e alla mercè di molti.

di pubblicata il , alle 18:04 nel canale Web
 

Abbiamo visto nella giornata di ieri come si sia diffusa la notizia della presenza in giro di alcuni Green Pass particolari intestati ad un personaggio quanto mai famoso quale Adolf Hitler. Abbiamo osservato come a prima vista ci si fosse subito preoccupati per una possibile gravissima violazione sull’affidabilità del sistema dei Green Pass che in qualche modo poteva minare la fiducia nel sistema di verifica. Sappiamo infatti che in questo momento, solamente gli enti sanitari autorizzati hanno le chiavi crittografiche private che consentono di generare le Certificazioni Verdi valide. Un procedimento che non permette ad altri di rendere possibili modifiche e alterazioni a questi Green Pass esistenti inserendo magari un nome differente. Per questo si erano messi in allarme le autorità, anche italiane, sulla questione di un possibile furto di chiavi.

Secondo le ultime notizie però quello che è accaduto è ben diverso e non sembrerebbe portare ad un hackeraggio o ad un furto delle chiavi. La situazione comunque sembrerebbe abbastanza spinosa soprattutto sulla necessità di fare chiarezza su quello che è successo ma anche sul fatto che ancora il tutto non è del tutto concluso. Ma partiamo dai fatti e procediamo spiegando cosa potrebbe essere successo.

Green Pass di Hitler e Topolino: cosa è successo?

Sappiamo da ieri che in giro sul web sono apparsi dei nuovi Green Pass abbastanza particolari perché intestati a Adolf Hitler ma anche a Topolino o ancora a Spongebob. La situazione ha subito allarmato tutte le autorità dei paesi europei che sappiamo bene utilizzano da diversi mesi la Certificazione per rendere possibili i viaggi al di fuori degli Stati membri dell'Unione Europea ma anche, in alcuni casi, lavorare in ufficio.

Ieri sembrava che ci fossero stati dei furti delle chiavi per la creazione di questi Green Pass e che dunque chiunque (anche se esperto) avrebbe potuto usare per creare le certificazioni a nome di chi voleva. Una questione però per certi versi difficile da credere anche perché i paesi, tipo l'Italia, posseggono un sistema centralizzato per la creazione dei Green Pass. Oltretutto i Green Pass creati per Adolf Hitler possedevano un'emissione da parte del CNAM francese (Caisse Nationale d’Assurance Maladie), anche se il dato non era di quelli protetti da crittografia, per cui poteva non essere veritiera la provenienza.

Ebbene si è scoperto che in alcuni paesi, non l'Italia per fortuna, è possibile creare il Green Pass utilizzando due sistemi: tramite dei server in modo automatico oppure anche tramite una modalità del tutto manuale. In questo secondo caso è possibile entrare direttamente sul sito ufficiale che prende il nome di EU Digital COVID Certificate Issuance Web Frontend e da qui è possibile inserire dati dell'utente per poi generare il Green Pass. Quello che è accaduto però sta nel fatto che questa interfaccia open-source permette, prima di stampare definitivamente e in modo ufficiale il Green Pass, di effettuare la visione di una preview della certificazione con il QRCode che poi serve per la verifica con l'applicazione.

Ed è qui che molto probabilmente chi ha realizzato il Green Pass a nome di Adolf Hitler o anche a nome di Mickey Mouse ha effettuato uno screen del QRCode, prima di confermarlo, ottenendo comunque un codice del tutto veritiero e dunque riconoscibile dall'app di verifica ma non emesso dal sistema e dunque senza una firma crittografata.

Come si fa ad accedere all'interfaccia del sistema di creazione della certificazione dei Green Pass? Semplice, tramite una password di accesso lasciata nel repository ma che non doveva essere accessibile a tutti bensì doveva risiedere in una rete inaccessibile. Si è scoperto che tale interfaccia fosse alla mercé di tutti perché esposta su di un indirizzo internet della Macedonia, senza alcuna protezione. Il problema dunque è stata la possibilità piuttosto facile di accedere all'interfaccia open-source di creazione del Green Pass e di poter inserire qualsiasi dato con una preview con QRCode connesso assolutamente valida e pronta ad essere verificata dalle varie app di verifica dei Green Pass.

Il problema più grosso chiaramente è stato quello di poter accedere alla piattaforma e creare Green Pass a nome di chiunque. Simpatico aver utilizzato Hitler o Topolino ma meno simpatico se i nomi usati per realizzare le certificazioni fossero stati nomi di persone reali, magari sotto pagamento di qualche cifra richiesta. Una soluzione a tale problema potrebbe essere quella di invalidare i Green Pass creati con quella chiave ma che allo stesso tempo potrebbe aver creato altri migliaia e migliaia di Green Pass validi perché realizzati in buona fede dalle persone preposte a tale scopo. Una volta annullati andrebbero rigenerati e capite che tale operazione potrebbe diventare difficile in Italia come in altri paesi con quanti Green Pass sono stati emessi.

Secondo alcune informazioni, sembra che il Belgio abbia già provveduto ad annullare il certificato proveniente dalla Macedonia che ha permesso di realizzare Green Pass fasulli ma validi. Non si hanno notizie delle chiavi francesi (che hanno creato i Green Pass a nome di Hitler) visto che i pannelli sono ancora aperti e utilizzabili. Per fortuna in Italia il sistema creato è stato fatto in modo che a creare i Green Pass sia una unica entità preservando effettivamente l'integrità, almeno per il momento, del sistema delle certificazioni verdi.

30 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
berson28 Ottobre 2021, 18:44 #1

x la Redazione

La "Macedonia", come studiamo a scuola, è una regione della Grecia, forse quello che intendete nell'articolo è lo Stato chiamato "Macedonia del Nord".
kamon28 Ottobre 2021, 19:06 #2
Originariamente inviato da: berson
La "Macedonia", come studiamo a scuola, è una regione della Grecia, forse quello che intendete nell'articolo è lo Stato chiamato "Macedonia del Nord".


Bisogna rendere onore a chi sottolinea un errore così grave e imperdonabile come chiamare la macedonia del nord "macedonia" come si è chiamata sino al lontanissimo 2019.

Sei un figone e ce l'hai lunghissimo, sei il Dio della sapienza, praticamente l'uomo gatto della geografia.
k0nt328 Ottobre 2021, 19:12 #3
Simpatico aver utilizzato Hitler

Non molto simpatico onestamente
marcram28 Ottobre 2021, 19:12 #4
Allora, prima di tutto basta togliere a codesti stati/enti la possibilità di rilasciare certificati europei, visto che non prendono la questione con serietà.
Secondo, trovo di cattivo gusto continuare a specificare, nell'articolo, di un'interfaccia open-source, come fosse questo la causa del problema. Non dico altro.
Terzo, poco importa se l'ente certificatore è definito in una stringa non crittografata, e quindi può essere falsificato: il vero ente che ha rilasciato il certificato è definito della chiave che ha firmato il certificato, quindi si sa con certezza chi è stato.
igiolo28 Ottobre 2021, 19:33 #5
Originariamente inviato da: kamon
Bisogna rendere onore a chi sottolinea un errore così grave e imperdonabile come chiamare la macedonia del nord "maceonia" come si è chiamata sino al lontanissimo 2019.

Sei un figone e ce l'hai lunghissimo, sei il Dio della sapienza, praticamente l'uomo gatto della geografia.


frncr28 Ottobre 2021, 19:33 #6
Originariamente inviato da: Bruno Mucciarelli"
senza una firma[/COLOR] crittografata

Non mi torna. Se il certificato "di prova" non fosse firmato con una chiave privata valida non risulterebbe valido alla verifica con l'app. Se il front-end open-source permette o permetteva di generare certificati firmati, allora siamo ben oltre al concetto di incompetenza per chi l'ha messo online. Mi pare comunque impossibile, significherebbe che il codice sul repository contiene le chiavi private di qualche ente nazionale.
Prova magari a chiarire cosa intendevi supporre nel tuo pezzo, che è molto confuso.
frncr28 Ottobre 2021, 20:00 #7
Mi rispondo da solo: al momento l'ipotesi più plausibile è che alcuni enti abbiano reso accessibili via web le loro interfacce per la generazione delle "anteprime", e questo permette o permetteva a qualunque malintenzionato di generare dei certificati firmati e quindi formalmente validi (anche se non registrati). Questo non comporterebbe la compromissione delle relative chiavi private, nel senso che i criminali non hanno ottenuto le chiavi ma solo dei certificati falsi firmati. Il risultato è comunque che quelle chiavi vanno revocate e con esse tutti i certificati veri che ne portano la firma.

Ovviamente il fatto che il codice per il front-end sia open source non significa un bel nulla.

Se dipendesse da me, bannerei dal sistema i paesi che hanno permesso questo scempio.
kreijack28 Ottobre 2021, 21:12 #8
Originariamente inviato da: marcram
Terzo, poco importa se l'ente certificatore è definito in una stringa non crittografata, e quindi può essere falsificato: il vero ente che ha rilasciato il certificato è definito della chiave che ha firmato il certificato, quindi si sa con certezza chi è stato.


+1 Finalmente qualcuno che ha attaccato il cervello !
zappy28 Ottobre 2021, 21:17 #9
Originariamente inviato da: frncr
Mi rispondo da solo: al momento l'ipotesi più plausibile...


che è quello che dice l'articolo
frncr28 Ottobre 2021, 21:32 #10
Originariamente inviato da: zappy
che è quello che dice l'articolo

Non mi pare, l'articolo dice (fra mille cose) che sarebbero stati emessi certificati validi ma non firmati (che è una contraddizione in termini) a causa di un'applicazione open-source installata in Macedonia.
Da quanto si legge da fonti un poco più circostanziate sembra che siano stati trovati almeno sei punti di accesso ad altrettanti sistemi nazionali; i certificati fittizi sono ovviamente firmati, e altrettanto ovviamente la responsabilità dell'abuso di questi sistemi da parte di criminali è in capo a chi li ha installati, configurati e lasciati esposti nei rispettivi paesi, non a un codice a sorgente aperto (se è per questo è open pure il codice dell'app di verifica italiana, giustamente).
Se la vicenda si è svolta effettivamente così, allora non vedo come possano risolverla se non revocando le chiavi di tutti i paesi coinvolti, e conseguentemente tutti i relativi certificati finora emessi. Idem se fossero invece state rubate le chiavi.

Per la cronaca, sul mio terminale android VerificaC19 aggiornata ad ora valida ancora tutti i certificati farlocchi che si trovano pubblicati.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^