28 Ottobre 2021
16:01

Green Pass contraffatti: nessuna chiave rubata, ecco la falla che li ha generati

Dopo la confusione delle prime ore dalla notizia dei Green Pass contraffatti e intestati a nomi arbitrari come Adolf Hitler, sono emersi online alcuni indizi che aiutano a ricostruire la vicenda. L’ipotesi più probabile è che siano rimasti scoperti gli accessi ad alcuni strumenti web che permettono di generare i documenti in questione.
A cura di Lorenzo Longhitano

In questi giorni il meccanismo delle certificazioni verdi Covid-19 è stato minato alla base da una violazione di sicurezza che ha permesso ad anonimi di generare Green Pass contraffatti ma in grado di sembrare veri durante le verifiche. Osservatori ed esperti di sicurezza hanno tentato da subito capire come fosse possibile che un sistema di verifica giudicato inviolabile come quello dei Green Pass sia stato aggirato, ma per ore gli indizi a disposizione sono rimasti effettivamente pochi e difficili da confermare. Il nuovo materiale emerso dai forum online nella giornata di oggi permette però di avere un quadro più completo e se possibile sconfortante della situazione: più che il risultato di un furto o di uno scaltro attacco hacker, la situazione attuale potrebbe essere il frutto di un errore di progettazione grossolano da parte di chi ha ideato una porzione chiave del meccanismo di emissione dei documenti.

Il ruolo delle chiavi private

L'ipotesi iniziale legata alla comparsa online dei Green Pass intestati ad Adolf Hitler e Mickey Mouse era che qualcuno avesse messo le mani sulle chiavi private che permettono di generare le firme che rendono autentici i Green Pass. Questi algoritmi – custoditi dagli enti sanitari di ciascuna nazione del territorio UE – funzionano come sigilli di autenticità che imprimono il loro contrassegno digitale sui pass vaccinali; il contrassegno in questione è codificato nell'immagine QR e viene verificato dall'app VerificaC19 che riconosce poi il pass come valido.

Gli ultimi indizi emersi online sul portale 4Chan sembrano però suggerire che le cose non siano andate come immaginato nelle scorse ore, o almeno non esattamente. Anziché aver rubato o comunque preso possesso direttamente degli algoritmi, gli autori dei Green Pass contraffati potrebbero aver generato i documenti utilizzando un ben più comodo portale automatizzato: una interfaccia web che si collega agli algoritmi, i quali generano i Green Pass a distanza a partire dai dati richiesti.

La falla nel sistema

Gli indizi in questione sono rappresentati dalle schermate di questi portali, che ne mostrano chiaramente il funzionamento. Agli operatori che si collegano a questi siti serve solo inserire i dati anagrafici del richiedente e scegliere da menù a tendina le informazioni sul vaccino o sul tampone. L'immissione di questi dati li spedisce presso un server remoto che custodisce le chiavi private capaci di autenticare i Green Pass, ed è seguita da due passaggi: il primo passaggio genera un'anteprima del QR Code corrispondente alle informazioni compilate; il secondo conferma l'emissione del Green Pass registrando l'evento nella banca dati dell'UE. A quanto pare però – sono le ricostruzioni effettuate online dagli indizi raccolti – il semplice QR Code di anteprima funziona come un vero Green Pass, e può dunque essere scaricato come immagine per passare i controlli senza che il documento venga effettivamente emesso e registrato.

Il caso del server macedone

Lo sviluppatore software @Xiloe su Twitter ha utilizzato le informazioni trapelate online fino ad ora per ricostruire e provare a replicare quanto accaduto, arrivando a una probabile conclusione: almeno uno dei portali violati è situato su un server ufficiale macedone utilizzato dalle autorità per generare i Green Pass, ma è stato protetto con la semplice password di sistema, ovvero la parola chiave temporanea scritte direttamente nel software e consultabile da chiunque con un adeguato livello di preparazione; un amministratore locale avrebbe dovuto cambiare la password, e non facendolo ha sostanzialmente lasciato aperte le porte di un sistema dall'importanza cruciale per il continente.

Il numero totale di punti di accesso lasciati scoperti in questo modo non è chiaro, ma a questo punto sembra confermato che le famigerate chiavi private non siano state trafugate. La soluzione del problema corrente resta comunque spinosa: servirà innanzitutto correre ai ripari per tappare le falle di sicurezza scoperte; inoltre occorrerà mettere fuori gioco tutti i green pass generati attraverso le chiavi private che sono state sfruttate indebitamente dai server violati, e per farlo dovranno essere tutti invalidati e riemessi anche i documenti autentici realizzati a partire dalle stesse chiavi – con disagi per i cittadini e un grosso colpo alla credibilità del sistema.

Perché non si può annullare la validità dei singoli Green Pass contraffatti
Perché non si può annullare la validità dei singoli Green Pass contraffatti
Perché un Green Pass contraffatto può ingannare i controlli e risultare autentico
Perché un Green Pass contraffatto può ingannare i controlli e risultare autentico
Hai un locale? Ecco come chiedere a Google di rimuovere le recensioni false dei "no green pass"
Hai un locale? Ecco come chiedere a Google di rimuovere le recensioni false dei "no green pass"
Lascia un commento!
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni