l'analisi tecnica

Green pass falsi, il mistero delle chiavi rubate: vediamo che c’è dentro

Un’analisi dei certificati verdi fasulli e del mercato nero che li sta vendendo ci aiuta a fare un po’ di chiarezza su cosa sta succedendo. Perché ci sono green pass falsi che appaiono validi a una verifica?

Pubblicato il 27 Ott 2021

Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Alessandro Longo

Direttore agendadigitale.eu

green pass privacy

Per capire come sia stato possibile generare green pass tarocchi che a una verifica con l’app apposita risultano validi, è utile analizzare che c’è dentro questi certificati. 

Una prima analisi che può servire a gettare un po’ di luce sul mistero delle chiavi rubate, probabilmente usate per generare questi certificati.

Il caso dei certificati verdi – green pass fasulli

Come già noto, dalla giornata di ieri, sono emersi due certificazioni green pass fasulle intestate a Adolf Hitler, una con data di nascita nel 1/1/1900 (rilasciata in Francia) e l’altra con data di nascita nel 1/1/1930 (rilasciata in Polonia).

Il problema in entrambi i casi è che si tratta di certificati completamente validi, e validabili con l’applicazione ufficiale VerificaC19. Sono validi in tutta Europa.

In questo articolo poniamo l’attenzione agli aspetti tecnici della vicenda e a provare a spiegare come questo sia stato possibile.

Il caso si è svolto quasi interamente su un noto forum online di black market e contenuti ai confini della legalità, nel quale gli utenti si scambiano (e talvolta vendono) consigli su come risolvere certi problemi tecnici atti a svolgere operazioni non legalmente riconosciute (o espressamente bandite).

L’annuncio per il caso in questione si presenta così e ha attirato una grande comunità che è intervenuta fornendo consigli e approfondimenti sulla creazione di Green Pass europei validi “fatti in casa”.

Di li a poco sono iniziati ad emergere QR code esemplificativi, allo scopo di dimostrare che la gang era in grado di generare e firmare certificati completamente validi.

Come è stato possibile: due spiegazioni

Ma seguendo la discussione possiamo capire anche come tutto questo sia possibile: è evidente che un tale incidente, con le proporzioni così come ora le stiamo vivendo, non sarebbe mai stato possibile senza un illecito.

  • Tutte le testate hanno parlato oggi di furto delle chiavi crittografate usate nei Paesi per generare i green pass. Così spiegherebbero il problema.
  • Fonti del ministero della Salute riferiscono ad Agendadigitale.eu che non c’è stato furto di chiavi, secondo i Governi coinvolti. Ci sarebbe stato invece un uso abusivo dei sistemi informatici usati per generare green pass illeciti. E questo sarebbe avvenuto o con un’intrusione informatica (furto di credenziali) oppure con la complicità di qualcuno al suo interno. Qualcuno in combutta con i criminali che vendono i pass fasulli.
  • (aggiornamento 28 ottobre) Vari esperti internazionali hanno poi indagato e trovato una vulnerabilità di server delle web app che permettono di autenticare il green pass. La web app fa richiesta al server centrale che la firma. La vulnerabilità permette l’accesso ai server delle web app. Questa spiegazione supporta la seconda ipotesi. Non c’è una vulnerabilità nel sistema di firma – che sarebbe più grave, perché riguarderebbe tutto – ma in alcuni di quelli usati per autenticazione.

Uno zip di firme

Tramite un servizio anonimo di file sharing è trapelato l’archivio zip contenente apparentemente chiavi private rubate, che ha questo contenuto:

Per completezza condivido il contenuto della prima chiave privata rubata e del suo certificato corrispondente, con queste due immagini:

Non c’è prova che siano firme valide, però.

L’ultimo green pass al momento trapelato è il seguente, intestato a nome e cognome finlandese e come vedremo generato da chiave privata tedesca:

Utilizzando una comoda app Android (Green Pass Decoder) possiamo leggere nel dettaglio cosa sta dentro un green pass a forma di QR code come siamo abituati a vederlo, codificato con base64 e compresso con zlib. Quello che si ottiene è un JSON perfettamente comprensibile:

{ 1:”DE”, 4:1666037984, 6:1634501984, -260:{ 1:{ “v”:[ { “ci”:”URN:UVCI:01DE/A80013335/TCXSI5Q08B0DIJGMIZJDF#T”, “co”:”DE”, “dn”:1, “dt”:”2021-09-22″, “is”:”Robert Koch-Institut”, “ma”:”ORG-100001417″, “mp”:”EU/1/20/1525″, “sd”:1, “tg”:”840539006″, “vp”:”1119305005″ } ], “dob”:”1917-12-06″, “nam”:{ “fn”:”Rokotepassieu”, “gn”:”Ota Yhteyttä Wickr”, “fnt”:”ROKOTEPASSIEU”, “gnt”:”OTA<YHTEYTTAE<WICKR” }, “ver”:”1.3.0″ } } }

Da questa analisi viene semplice capire da dove arriva, a chi è intestato e chi ha generato (o meglio con quale chiave privata) il green pass.

Viene da sé che chiunque riesca a generarlo deve essere in possesso della chiave privata in questo caso del Robert Koch-Institut in Germania.

Essendo in possesso della chiave privata (che sarebbe la cosa fondamentale e da conservare meglio), è facile reperire strumenti di scripting tipo questo, in grado di generare il certificato utilizzando la chiave privata.

Situazione grave ma non gravissima

In ogni caso, qualunque sia la causa dei green pass fasulli generati con chiavi corrette, la situazione è un problema grave di sicurezza, che non è da ricercare nella debolezza del sistema green pass in sé, questo ci tengo a precisarlo. Il sistema è sicuro e offre molte certezze di sicurezza. Il problema è se le chiavi non vengono adeguatamente conservate e non vengono protetti adeguatamente i sistemi relativi.

La conseguenza è che nascono anche veri e propri servizi online sotto rete Tor (per garantire l’anonimato dei proprietari), atti a vendere a chiunque necessiti di green pass, la propria certificazione illegale (ma funzionante).

L’attività sopramenzionata, ovviamente illegale sotto tutti i punti di vista (venditore e acquirente), ideata dalla gang che si fa chiamare Green ByPass2.0 è ricca di informazioni, probabilmente trafugate da enti certificatori europei, dai quali sono riusciti a carpirne le chiavi private.

Fornisce anche un aspetto importante dal punto di vista statistico, riferendo in proprio i numeri del loro lavoro.

Una vera attività illecita, sotto gli occhi di tutti. Ci sono inoltre evidenze che anche il pubblico italiano, confuso e poco esperto, non demorde e si rivolge a questa platea di players per recuperare sulle proprie paure sanitarie.

Segnaliamo infine quanto è grave che circolino green pass fasulli. Possono indebolire il sistema degli obblighi green pass, stabiliti a tutela della salute pubblica. Per due motivi: troppi green pass che scavalcano i controlli sono una falla nella lotta alla pandemia; l’idea che sia possibile aggirare il sistema mina la fiducia di tutti nei confronti del green pass.

Situazione grave, ma non gravissima: perché finora il sistema regge ed è intrinsecamente sicuro. Se non si fanno errori fatali.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2