Tra stanotte e stamattina è comparso nei meandri della rete un codice QR che, se scansionato con l'app VerificaC19, restituiva un Green Pass valido e intestato ad Adolf Hitler, con data di nascita 1/1/1900. Tutt'altro che uno scherzo di pessimo gusto, tuttavia: questa è la prova che le chiavi private per generare e firmare i Green Pass europei sono state manomesse.
Prima di proseguire con i rischi legati a questo exploit di dati e le eventuali conseguenze per tutti noi, è bene spiegare come funzionano (o almeno, come dovrebbero funzionare) le chiavi di verifica dei Green Pass a livello di sicurezza interna.
Il sistema di sicurezza delle certificazioni COVID-19 si basa su un sistema di riconoscimento a due livelli: le chiavi segrete appartenenti agli enti di rilascio certificati e i dati stessi del pass (tipo di certificato e validità). All'interno di questo contesto sono particolarmente importanti le chiavi, di natura strettamente privata, che identificano ogni istituzione sanitaria certificata a livello europeo.
L'applicazione VerificaC19, così come le app equivalenti per gli altri Paesi, verifica i Green Pass elaborando i dati in locale, ma ogni giorno scarica dai server l'elenco dei certificati validi, oltre a una serie di regole per decretarne la validità. Se l'app di verifica non riconosce una delle chiavi corrispondenti agli enti certificati, il Green Pass sarà riconosciuto come non valido a prescindere dalla natura dei dati al suo interno.
I think that private keys used to sign EU Digital COVID Certificate, at least in Italy, have been leaked in some ways
— reversebrain (@reversebrain) October 26, 2021
1/3
Arriviamo ora al Green Pass di Adolf Hitler: l'esistenza stessa di questo codice dimostra la manomissione del primo livello di sicurezza delle certificazioni sanitarie, ossia le chiavi private. Una volta analizzato il certificato riporta come ente la Caisse Nationale d’Assurance Maladie, ossia l'istituto di previdenza nazionale francese, ma data l'evidente manomissione dei dati potrebbe provenire praticamente da chiunque. Le prime indiscrezioni sostengono che questo Green Pass falso sia stato generato utilizzando chiavi provenienti dalla Polonia, ma non si escludono neanche Francia e Italia.
Quali sono le implicazioni di questo attacco? Innanzitutto la creazione di Green Pass falsi ma letti come corretti, che allo stato attuale delle cose potrebbero essere già in circolo con nominativi corrispondenti a persone reali e intenti meno provocatori di quelli intestati al dittatore nazista – che peraltro risulta non valido alla scansione con Verifica C19 a partire dalla tarda mattinata di oggi.
Now the fake certificate is not recognized anymore (fortunately)
— reversebrain (@reversebrain) October 27, 2021
4/N pic.twitter.com/clfYnp8er9
Il problema principale per chi invece possiede un Green Pass regolare consiste invece nelle misure preventive che verranno prese: la sicurezza delle certificazioni sanitarie europee aveva già messo in conto simili attacchi, ma la soluzione consiste nel riemettere tutti i certificati, invalidando così anche quelli a norma, ma firmati con le chiavi private in seguito manomesse. Si tratterebbe quindi di un disagio significativo per alcuni ignari possessori di Green Pass e per gli incaricati al controllo, destinato per fortuna a risolversi semplicemente riscaricando il certificato dalle applicazioni o dalle piattaforme dedicate.
Gli ultimi sviluppi della vicenda lasciano presumere che gli addetti alla sicurezza dei certificati siano a conoscenza di questa manomissione di dati, almeno in Italia, ma le autorità devono ancora esprimersi sull'accaduto.
Non volete correre il rischio di restare con la batteria scarica? Questo caricatore da 20.000mAh con connettore USB Tipo-C è ora in promozione su Amazon.