Green pass falsi, il mistero delle chiavi rubate: vediamo che c'è dentro - Agenda Digitale

l'analisi tecnica

Green pass falsi, il mistero delle chiavi rubate: vediamo che c’è dentro

Un’analisi dei certificati verdi fasulli e del mercato nero che li sta vendendo ci aiuta a fare un po’ di chiarezza su cosa sta succedendo. Perché ci sono green pass falsi che appaiono validi a una verifica?

27 Ott 2021
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Alessandro Longo

Direttore agendadigitale.eu

Per capire come sia stato possibile generare green pass tarocchi che a una verifica con l’app apposita risultano validi, è utile analizzare che c’è dentro questi certificati. 

Una prima analisi che può servire a gettare un po’ di luce sul mistero delle chiavi rubate, probabilmente usate per generare questi certificati.

Il caso dei certificati verdi – green pass fasulli

Come già noto, dalla giornata di ieri, sono emersi due certificazioni green pass fasulle intestate a Adolf Hitler, una con data di nascita nel 1/1/1900 (rilasciata in Francia) e l’altra con data di nascita nel 1/1/1930 (rilasciata in Polonia).

WHITEPAPER
Telemedicina: come attivare una valida rete ospedale-medici-territorio
Sanità

Il problema in entrambi i casi è che si tratta di certificati completamente validi, e validabili con l’applicazione ufficiale VerificaC19. Sono validi in tutta Europa.

In questo articolo poniamo l’attenzione agli aspetti tecnici della vicenda e a provare a spiegare come questo sia stato possibile.

Il caso si è svolto quasi interamente su un noto forum online di black market e contenuti ai confini della legalità, nel quale gli utenti si scambiano (e talvolta vendono) consigli su come risolvere certi problemi tecnici atti a svolgere operazioni non legalmente riconosciute (o espressamente bandite).

L’annuncio per il caso in questione si presenta così e ha attirato una grande comunità che è intervenuta fornendo consigli e approfondimenti sulla creazione di Green Pass europei validi “fatti in casa”.

Di li a poco sono iniziati ad emergere QR code esemplificativi, allo scopo di dimostrare che la gang era in grado di generare e firmare certificati completamente validi.

Come è stato possibile: due spiegazioni

Ma seguendo la discussione possiamo capire anche come tutto questo sia possibile: è evidente che un tale incidente, con le proporzioni così come ora le stiamo vivendo, non sarebbe mai stato possibile senza un illecito.

  • Tutte le testate hanno parlato oggi di furto delle chiavi crittografate usate nei Paesi per generare i green pass. Così spiegherebbero il problema.
  • Fonti del ministero della Salute riferiscono ad Agendadigitale.eu che non c’è stato furto di chiavi, secondo i Governi coinvolti. Ci sarebbe stato invece un uso abusivo dei sistemi informatici usati per generare green pass illeciti. E questo sarebbe avvenuto o con un’intrusione informatica (furto di credenziali) oppure con la complicità di qualcuno al suo interno. Qualcuno in combutta con i criminali che vendono i pass fasulli.
  • (aggiornamento 28 ottobre) Vari esperti internazionali hanno poi indagato e trovato una vulnerabilità di server delle web app che permettono di autenticare il green pass. La web app fa richiesta al server centrale che la firma. La vulnerabilità permette l’accesso ai server delle web app. Questa spiegazione supporta la seconda ipotesi. Non c’è una vulnerabilità nel sistema di firma – che sarebbe più grave, perché riguarderebbe tutto – ma in alcuni di quelli usati per autenticazione.

Uno zip di firme

Tramite un servizio anonimo di file sharing è trapelato l’archivio zip contenente apparentemente chiavi private rubate, che ha questo contenuto:

Per completezza condivido il contenuto della prima chiave privata rubata e del suo certificato corrispondente, con queste due immagini:

Non c’è prova che siano firme valide, però.

L’ultimo green pass al momento trapelato è il seguente, intestato a nome e cognome finlandese e come vedremo generato da chiave privata tedesca:

Utilizzando una comoda app Android (Green Pass Decoder) possiamo leggere nel dettaglio cosa sta dentro un green pass a forma di QR code come siamo abituati a vederlo, codificato con base64 e compresso con zlib. Quello che si ottiene è un JSON perfettamente comprensibile:

{ 1:”DE”, 4:1666037984, 6:1634501984, -260:{ 1:{ “v”:[ { “ci”:”URN:UVCI:01DE/A80013335/TCXSI5Q08B0DIJGMIZJDF#T”, “co”:”DE”, “dn”:1, “dt”:”2021-09-22″, “is”:”Robert Koch-Institut”, “ma”:”ORG-100001417″, “mp”:”EU/1/20/1525″, “sd”:1, “tg”:”840539006″, “vp”:”1119305005″ } ], “dob”:”1917-12-06″, “nam”:{ “fn”:”Rokotepassieu”, “gn”:”Ota Yhteyttä Wickr”, “fnt”:”ROKOTEPASSIEU”, “gnt”:”OTA<YHTEYTTAE<WICKR” }, “ver”:”1.3.0″ } } }

Da questa analisi viene semplice capire da dove arriva, a chi è intestato e chi ha generato (o meglio con quale chiave privata) il green pass.

Viene da sé che chiunque riesca a generarlo deve essere in possesso della chiave privata in questo caso del Robert Koch-Institut in Germania.

Essendo in possesso della chiave privata (che sarebbe la cosa fondamentale e da conservare meglio), è facile reperire strumenti di scripting tipo questo, in grado di generare il certificato utilizzando la chiave privata.

Situazione grave ma non gravissima

In ogni caso, qualunque sia la causa dei green pass fasulli generati con chiavi corrette, la situazione è un problema grave di sicurezza, che non è da ricercare nella debolezza del sistema green pass in sé, questo ci tengo a precisarlo. Il sistema è sicuro e offre molte certezze di sicurezza. Il problema è se le chiavi non vengono adeguatamente conservate e non vengono protetti adeguatamente i sistemi relativi.

La conseguenza è che nascono anche veri e propri servizi online sotto rete Tor (per garantire l’anonimato dei proprietari), atti a vendere a chiunque necessiti di green pass, la propria certificazione illegale (ma funzionante).

L’attività sopramenzionata, ovviamente illegale sotto tutti i punti di vista (venditore e acquirente), ideata dalla gang che si fa chiamare Green ByPass2.0 è ricca di informazioni, probabilmente trafugate da enti certificatori europei, dai quali sono riusciti a carpirne le chiavi private.

Fornisce anche un aspetto importante dal punto di vista statistico, riferendo in proprio i numeri del loro lavoro.

Una vera attività illecita, sotto gli occhi di tutti. Ci sono inoltre evidenze che anche il pubblico italiano, confuso e poco esperto, non demorde e si rivolge a questa platea di players per recuperare sulle proprie paure sanitarie.

Segnaliamo infine quanto è grave che circolino green pass fasulli. Possono indebolire il sistema degli obblighi green pass, stabiliti a tutela della salute pubblica. Per due motivi: troppi green pass che scavalcano i controlli sono una falla nella lotta alla pandemia; l’idea che sia possibile aggirare il sistema mina la fiducia di tutti nei confronti del green pass.

Situazione grave, ma non gravissima: perché finora il sistema regge ed è intrinsecamente sicuro. Se non si fanno errori fatali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4