Dietro ai Green Pass di Hitler o Topolino ci sarebbe una poca sicurezza nei sistemi di generazione dei Green Pass. E’ probabile che ci siano migliaia di Green Pass validi ma non reali
Sono bastate poche ore per mandare in panico l’intero mondo creato dal Green Pass e tutte le istituzioni con attacchi hacker confermati e poi smentiti dapprima sul Dark Web e poi su tutte le testate giornalistiche di mezzo mondo. Chiavi di crittografia finite in mano non lecite, hacker che bucano i server e quant’altro, ma alla fine è tutto molto più semplice ed insicuro di quello che sembrerebbe agli occhi di non esperti.
LEGGI ANCHE: IL GREEN PASS È STATO HACKERATO: RUBATE LE CHIAVI DI CRITTOGRAFIA?
Il tutto sarebbe frutto di una bassa sicurezza informatica. Infatti per generare i Green Pass nostrani, si possono generare o lato server in automatico ed inviarle alle app come IO e Immuni oppure in modo manuale. Proprio quest’ultima modalità prevede l’utilizzo di una interfaccia web che accede al server di backend che ha le chiavi per firmare i certificati.
L’interfaccia è open-source, si chiama EU Digital COVID Certificate Issuance Web Frontend e potete visitarla inserendo l’indirizzo https://github.com/eu-digital-green-certificates/dgca-issuance-web e che di fatto, scaricando il software e compilando i dati come richiesto dal Green Pass è possibile inviare e richiedere un certificato valido.
L‘errore, del programmatore, è quello che l’app preveda di vedere un’anteprima del QR Code prima di inviarlo, che è stato firmato con le chiavi di crittografia ma non è stato mai emesso. Questa procedura ha permesso di avere QR Code validi a tutti gli effetti per le app di verifica, ma di fatto mai emessi.
Un altro errore è stato fatto lasciando la password di accesso al web server direttamente scritta in chiaro nella repository, così che alcuni utenti lo hanno sfruttato ad hoc. Questo perché è stato scoperto che l’accesso ad uno di questi server di sviluppo risultava esposto su internet, e quindi accessibile grazie a quella password salvata sulla repository.
Ora non sappiamo quanti e quali server siano “aperti su internet” ma è facile pensare che ce ne siano abbastanza in giro, non sicuri, e che di fatto permettano l’accesso a questi tool di generazione di Green Pass validi, al pari di quelli Macedoni, Polacchi e Francesi già scoperti.
Per fortuna in Italia abbiamo un approccio diverso con l’unico ente che si occupa di generare i certificati che è centralizzato, e quindi sebbene non sia la scelta ottimale, al momento ha dato ragione in termini di sicurezza agli Italiani e non agli altri paesi che sono stati “bucati”.
