di Gianluca Dotti
Se un criminale da qualche parte nel mondo riesce a forzare e ad aprire una singola cassaforte (o magari tutte quelle di uno specifico modello), non significa che tutte le cassaforti sulla faccia della Terra siano da buttare. Si potrebbe forse riassumere così quanto sta accadendo a partire dal 26 ottobre dal punto di vista della sicurezza informatica del green pass italiano ed europeo. Il problema esiste, ed è evidente, ma meglio essere cauti prima di affermare – come diversi siti e testate giornalistiche stanno facendo – che il sistema dei certificati verdi digitali sia da buttare tutto all’aria. Ma andiamo con ordine.
I fatti
Prima sul forum specializzato in questioni tecnico-informatiche Raid Forums, e poi a cascata sui social e sui siti di informazione, ha iniziato martedì a circolare un codice qr analogo a quelli dei veri green pass che era riconosciuto dalle app di verifica come valido. Peccato che l’intestatario del certificato verde risulti essere un tale Adolf Hitler nato il 1° gennaio del 1900 e vaccinato per Covid-19 l’11 luglio 2021 con una dose della formulazione a vettore virale di Janssen (Johnson & Johnson) somministrata in un centro vaccinale francese.
Insomma, un green pass a tutti gli effetti validato e riconosciuto, ma evidentemente contraffatto. E come se non bastasse nelle ore immediatamente successive hanno iniziato a comparire altri certificati verdi falsificati, di nuovo intestati ad Adolf Hitler ma con delle varianti (nome in maiuscolo anziché alto-basso, data di nascita posticipata al 1930, somministrazione spostata al 1° ottobre 2021, e così via), oppure ad altre persone fittizie come una certa Rokotepassieu Ota Yhteyttä Wickr di 103 anni di età, il cui nome dal finlandese all’italiano si traduce con “contattami”.
La discussione da cui tutto ha avuto origine, nonché il primo luogo della rete dove i qr contraffatti sono apparsi, è un thread interno a Raid Forum, nel quale un utente che usa come nickname przedsiebiorca (tradotto dal polacco, imprenditore) afferma di essere in grado di generare qualunque tipo di green pass. Le pubblicazioni relative a Hitler e altri parrebbero infatti delle dimostrazioni, e przedsiebiorca dichiara di potere realizzare green pass a pagamento a 300 dollari l’uno, con l’unico vincolo che il centro vaccinale appaia come francese. Non è chiaro se si tratti di una conversazione artefatta o genuina, ma nel thread si legge anche di un secondo utente – un tale sajyqy – che per primo avrebbe proposto a przedsiebiorca di generare come demo il green pass di Hitler, arrivato pochi minuti più tardi.
Molto più di un fake o un deepfake
Ad avere fatto notizia, e ad avere attirato l’attenzione degli esperti nonché richiesto riunioni immediate a livello di Unione europea, è che una falsificazione di questo tipo richiede una violazione profonda dei sistemi di cybersecurity legati al green pass. Perché se è banale generare un codice qr che punta a un link, non lo è affatto generarne uno che venga riconosciuto valido dalle applicazioni di verifica. Per farlo, infatti, occorre non solo definire quali informazioni sanitarie codificare nel green pass, ma soprattutto essere in possesso di una chiave crittografica nota solo all’ente che ha emesso il certificato, e che dovrà poi trovare riscontro combinandosi con la chiave scritta nel green pass stesso. Per dirla in modo evocativo, si parla di una crittografia asimmetrica, nel senso che l’app che svolge la verifica non contiene in chiaro la chiave crittografica dell’ente, ma è in grado di testare se quella del certificato verde la completi (o meno) correttamente, certificandone (o meno) l’autenticità.
Falsificare un green pass a questo livello, dunque, non è frutto di un’azione improvvisata o di un’abile mossa equiparabile a un fotoritocco, bensì di un’attività che ha richiesto la conoscenza di codici che un cittadino non dovrebbe assolutamente possedere e avere a disposizione.
Le ipotesi su cosa sia successo
Se le informazioni a disposizione finissero qui, le opzioni per spiegare l’accaduto potrebbero essere le più varie. A partire dalla più drammatica, ossia che il sistema complessivo di gestione dei green pass abbia delle falle di sicurezza tali da compromettere tutta la loro gestione e autenticità. Fino ad arrivare alla più semplice, ossia che qualcuno tentando banalmente con la forza bruta sia riuscito ad azzeccare una singola chiave corretta per la generazione di nuovi green pass. Insomma, dall’episodio singolo e circoscritto fino allo scenario più catastrofico.
Source link
www.wired.it
2021-10-27 15:00:16
