Roma, 27 ott – Che il sistema dei green pass fosse poco solido – nonché un mero generatore di problemi – era una cosa che in molti sospettavano. La conferma sembra essere arrivata: il sistema non solo è teoricamente attaccabile, è stato attaccato dagli hacker con successo e ora è disponibile la chiave per generare green pass falsi ma perfettamente validi al momento del controllo.
Come funziona il certificato verde
Facciamo un passo indietro: come funziona il green pass? Si tratta di codice QR che contiene una serie di informazioni come nome, cognome, data di nascita del titolare, data e tipo di vaccinazione, data di scadenza. Oltre a questi dati è presente una chiave che certifica la validità del certificato.
Semplificando il concetto: non basta generare un codice QR con tutte le informazioni, dev’esserci anche una “firma” che attesti che quel certificato è stato emesso da un ente autorizzato e riconosciuto. La firma è composta da una parte pubblica che serve a chi legge il codice QR per verificare appunto che questo sia valido e da una parte privata che invece serve a generare questa chiave da inserire nei QR pass.
Come gli hacker hanno bucato il green pass
Fino a qui la teoria. Da mesi su diversi forum e canali Telegram molti malintenzionati offrono certificati green pass fasulli a pagamento.
Fino ad oggi però tutti questi certificati non riuscivano a passare la verifica delle applicazioni di controllo come ad esempio VerificaC19 (quella del governo italiano) visto che non avevano la chiave privata necessaria per generare la firma.
Qualche giorno fa però su uno dei tanti forum sull’argomento un utente che si era detto disponibile a fornire certificati fasulli ha dato dimostrazione della bontà del suo operato generando il green pass di Adolf Hitler con data di nascita 01/01/1930. Abbiamo testato il certificato con VerificaC19 (l’applicazione del governo) ed effettivamente il codice viene segnalato come valido e visualizza i dati dell’ex cancelliere tedesco.
La chiave sembra essere in possesso di un gruppo di hacker polacchi che forniscono questi green pass a pagamento (300 dollari) ma è facile prevedere che nel giro di pochi mesi la modalità di creazione di questi documenti fasulli diventi di dominio pubblico.
Le possibili conseguenze
Quali saranno le conseguenze reali? Difficile dirlo fino a quando maggiori dati non saranno disponibili.
I casi possibili sono tre:
1. Qualcuno ha trovato il modo per ottenere la chiave privata con quello che tecnicamente si chiama “bruteforce” (ma è il caso più improbabile) o grazie a un errore di implementazione. Questo caso sarebbe il peggiore per i governi, vorrebbe dire che tutte le chiavi attualmente esistenti sono da considerare compromesse e tutti i green pass attualmente in circolazione andrebbero riemessi con nuove chiavi.
2. Una singola chiave privata è stato oggetto di furto da parte di un gruppo di hacker. In questo caso sarebbe solo quella chiave a essere considerata compromessa e sarebbe solo il governo interessato (pare quello polacco) a riemettere tutti i certificati emessi.
3. Dietro il green pass “fasullo” potrebbe esserci un medico o un farmacista in vena di scherzi che avrebbero emesso il certificando inserendo appositamente dati fasulli in fase di registrazione. Sarebbe il caso con meno conseguenze.
Vedremo nei prossimi giorni l’evoluzione del caso.
Marco Dalmonte
