Primi possibili evidenze che anche i sistemi italiani di creazione green pass sono stati compromessi.
Su un noto forum sono stati pubblicati screen shot di una piattaforma di emissione green pass a uso medico, indirizzo https://sistemats4.sanita.finanze.it/
Ts sta per tessera sanitaria, del ministero economia e finanze.
Compromessi sistemi italiani di generazione green pass
Fonti tecniche governative ci confermano che sono screenshot account validi di generazione green pass.
Si tratta dello stesso sistema web app che ha portato alla creazione di green pass falsi, ma validi a una verifica, dalla Francia, Germania e Macedonia.
Due le ipotesi più probabili.
- O gli screen shot sono stati fatti da chi ha accesso a quella postazione.
- Oppure c’è stato un accesso abusivo alle applicazioni di DGC (digital green certificate) issuance (ossia “emissione), sfruttandone una vulnerabilità, che alcuni tecnici hanno comunque trovato in merito almeno a quelle macedoni.
Dopo la issuance del certificato, il sistema interroga un server di firma centralizzato, del pass. A essere compromesso non sarebbe quindi quest’ultimo (meno male) ma alcuni dei dispositivi o degli account di autenticazione/generazione dei pass.
Uno degli screen mostra i dati personali di un medico: classe 1941, non si collega da cinque anni; forse un vecchio account mai annullato.
Non ci sono evidenze che da quegli accessi italiani siano nati green pass fasulli.
Ieri è emerso un pacchetto di 64 green pass italiani validi, che potrebbero però essere stati rastrellati sui social.
Ci sono 64 green pass italiani “validi” in vendita, nuove prove di debolezza del sistema
Le contromisure
Al momento in Italia come in altri paesi stanno invalidando i certificati in questione con il sistema CRL creando blacklist, così VerificaApp non li mostrerà più come validi (o fa apparire un warning).
Il sistema green pass mostra debolezze
Ricordiamo le puntate precedenti. Dopo che è uscito un pass intestato a Hitler, la scorsa settimana, si era vociferato che i pass fossero stati generati violando le chiavi private di alcune agenzie sanitarie nazionali. Tale eventualità è parsa subito grave, ma diverse fonti governative, in particolare relative al nostro paese, si sono affrettate a rassicurare che non vi erano evidenze che i sistemi che custodivano le chiavi private necessarie per firmare i pass fossero stati violati.
Successivamente si era sparsa la notizia, stavolta verificata dai fatti, che alcuni punti di accesso al sistema di firma fossero rimasti esposti su internet, apparentemente con credenziali di autenticazione di default. Che ci siano sistemi di creazione green pass (che accedono al sistema di firma) compromessi è meno grave di una compromissione diretta del sistema di firma.
La falla è stata velocemente chiusa, e l’emergenza era rientrata, nonostante risultassero ancora alcuni dubbi sul fatto che non fosse al momento possibile, almeno senza un’indagine interna, identificare e revocare gli eventuali pass generati abusivamente.
Poche chiavi
D’altro canto l’ipotesi di avere le chiavi nazionali compromesse ha di fatto dimostrato come avere un solo paio di chiavi per firmare 30 milioni di Green Pass è un rischio enorme. Qualora esse dovessero essere compromesse veramente- rischio per ora schivato -, le istituzioni si ritroverebbero con il compito di rigenerare 30 milioni di green pass per altrettanti utenti, alcuni dei quali non avranno difficoltà ad aggiornarlo tramite AppIO, ma la maggior parte dovrà essere avvertita in qualche modo (l’SMS ha dimostrato tutti i suoi limiti) e alcuni di essi, a bassa competenza digitale, dovrà essere assistito.
Sarebbe opportuno pertanto avere un più alto numero di chiavi in modo da ripartire il rischio proporzionalmente. L’aumento della complessità di gestire un più alto numero di chiavi in altrettanti sistemi separati dovrebbe ampiamente compensare del costo in termini di conseguenze in caso di compromissione.
Adesso invece con le blacklist è possibile invalidare il singolo certificato.
Terminali vulnerabili
L’altro punto, invece, ossia la sicurezza dei terminali, è un altro punto importante. Tema rilevante per il fatto che la generazione pass validi è decentralizzata.
Sebbene in Italia non si sono avute compromissioni note, ci si dovrà domandare come gestire la possibilità che alcuni di essi possano essere violati o magari rubati. Abbiamo migliaia di centri vaccinali su tutto il territorio, cui si aggiungono eventualmente gli accessi dalle farmacie; tutti questi costituiscono una superficie di attacco enorme. Non essendo disponibili dettagli in merito c’è da augurarsi che sia possibile in qualche modo risalire al terminale da cui è partita una richiesta di firma, magari attraverso il codice univoco del certificato.
Come detto già in precedenza, il sistema del Green Pass costituisce, dal punto di vista della sicurezza, un caso abbastanza complesso. La sicurezza è infatti legata non solo alla solidità crittografica delle firme, ma anche e soprattutto sulla sicurezza delle procedure d’uso delle risorse in campo. E in un ambito variegato come quello del territorio e della contingenza in cui ci troviamo, è inevitabile che incidenti avvengano.
E’ proprio sull’incident response che, si è visto, possiamo migliorare.
