“Green Pass” falsificati a causa del furto delle chiavi segrete, anche Adolf Hitler risulta vaccinato

“Green Pass” falsificati a causa del furto delle chiavi segrete, anche Adolf Hitler risulta vaccinato

La notizia ha dell’incredibile, ma è assolutamente vera e confermata[1]. A seguito del furto delle chiavi digitali segrete per la generazione dei “Green Pass”, verificatosi tra il 26 e il 27 ottobre 2021, sono state messe in circolazione (ancora non si sa quante) certificazioni fasulle, intestate a persone in carne ed ossa, oppure morte da decenni, come Adolf Hitler. Il problema per ora riguarda l’Italia e le Autorità francesi e polacche.

Il primo allarme viene dato dall’utente Reversbrain che su Twitter, attorno alle 22.30 del 26 ottobre 2021, ha pubblicato una serie di tweet: “penso che le chiavi utilizzate per firmare il Certificato digitale ‘Covid UE’, almeno in Italia, siano trapelate in qualche modo”. A margine del suo commento, aggiungeva un Codice QR che invitava a scansionare con un’App di verifica. In effetti, il Certificato in questione risulta essere intestato al dittatore della Germania nazista, morto da oltre settant’anni. Com’è stato possibile? Il sito zerozone.it (https://www.zerozone.it/cybersecurity/e-se-spunta-fuori-il-green-pass-di-adolf-hitler/20305) ha raccontato l’episodio e ne ha dato una spiegazione.

Tutto comincia dallo sviluppo open access della Piattaforma “DGC” (digital green certificate), le cui specifiche sono pubbliche e basate sulprincipio di Kerckhoffs, ossia non sulla segretezza dell’algoritmo ma sulla segretezza della chiave usata per la firma (https://github.com/ehn-dcc-development/hcert-spec). Dunque, tutto sta nella sicurezza della chiave utilizzata: più essa viene protetta, maggiore affidabilità e certezza darà la Piattaforma ai Codici QR generati. Chiaramente, laddove le chiavi non siano adeguatamente conservate e protette, queste possono essere rubate.

Non è chiaro quale Stato membro dell’Unione Europea si sia fatto “scippare” le chiavi segrete per la generazione dei QR del “Green Pass”. I principali indizi vengono forniti ancora da zerozone.it, che ha monitorato la faccenda: nei mesi scorsi era stato pubblicato da un utente italiano, su RaidForums (un market sul web noto per essere luogo di scambio di data leaks e altro materiale non sempre lecito), il metodo per craccare i Codici QR del “Green Pass”; ma forse le chiavi segrete del Governo della Polonia sono state scambiate sulla stessa Piattaforma.

Il mistero si infittisce ulteriormente se si guarda all’Ente pubblico che ha rilasciato i Codici contraffatti. Nel caso di Adolf Hitler si tratta di addirittura 2 soggetti diversi: il QR dove il dittatore è dichiarato nato nel 1900 viene rilasciato dall’Autorità francese Cnam – Caisse Nationale d’Assurance Maladie (una sorta di Inail d’Oltralpe); mentre il QR con data di nascita 1930 è rilasciato dalla Società Janssen – Cilag international, che produce e distribuisce il vaccino in Polonia (dal Centrum e Zdrowia).

Scattato l’allarme, si è corsi subito ai ripari. In certi casi è possibile (e necessario) revocare i Certificati falsi in circolazione; al momento in cui si scrive, Cnam ha ritirato quelli da lei fittiziamente rilasciati. Il potere di revoca dei “Green Pass” italiani è prevista dall’Allegato B del Socumento “Funzioni e servizi della Piattaforma nazionale-DGC (https://www.governo.it/sites/governo.it/files/Green_Pass_all_B.pdf) e viene attuato mediante l’inserimento del Certificato nella “Lista di revoca”, che è condivisa con gli altri Stati membri. La revoca può essere dovuta anche a motivi leciti, come nel caso in cui venga accertata una (nuova) positività.

Nel caso di specie, com’è facile intuire, la revoca diventa necessaria per impedire il proliferare di Certificati falsi, che renderebbero del tutto inutile lo strumento del “Green Pass”. Lo stesso utente Reversbrain di cui sopra così commentava quel che è successo: “Se la perdita fosse confermata, significa che il falso Certificato ‘Covid’ dell’UE può essere contraffatto da chiunque”. Così, altrettanto, il sito zerozone.it: “Immagino che, a questo punto, le Autorità preposte dovranno in qualche modo verificare l’accaduto e, se confermato, intervenire per evitare che l’intero meccanismo dei certificati verdi perda efficacia, attraverso meccanismi di verifica e la revoca degli eventuali cCrtificati non validi (operazione decisamente non facile!)”.

La falsificazione dei “Green Pass”diventa così un pericoloso precedente, ma anche un monito per le Pubbliche Autorità e per tutti i cittadini. La circolazione indiscriminata di Certificazioni farlocche rischia di minare seriamente l’efficacia di quelle veritiere; o forse, era proprio questo lo scopo dell’attacco hacker perpetrato. Tuttavia, scoprire e riconoscere le debolezze dei Sistemi informatici è il primo passo per rafforzarli, come ci si augura avvenga al più presto possibile.


[1] Qui è possibile leggere la notizia: https://www.adnkronos.com/green-pass-europeo-codici-rubati-ma-nessun-furto-in-italia_4rtyyK27IsnGKBzIyZamW2, https://www.ilfattoquotidiano.it/2021/10/27/green-pass-furto-di-chiavi-informatiche-per-generare-i-certificati-europei-in-rete-anche-il-qr-code-di-hitler-sono-stati-gia-annullati/6369874/, https://www.dagospia.com/rubrica-29/cronache/fatto-green-pass-trovato-39-inganno-sono-state-sottratte-alcune-287503.htm.


Related Articles

Trasferimenti erariali: la certificazione per chiedere il rimborso delle spese sostenute per le aspettative sindacali dei dipendenti

E’ stato pubblicato sulla G.U. n. 56 dell’8 marzo 2017 il Dm. Interno 22 febbraio 2017 con il quale è

Urbanistica: al via “Access city award”, premi alle Città europee che hanno migliorato l’accessibilità degli spazi urbani per i disabili

Al via la V Edizione di “Access city award”, premio europeo destinato alle Città che si sono spese di più

Finanziamenti: nuovo bando da 100 milioni di Euro per impiantistica sportiva

Credito Sportivo e Anci hanno annunciato il nuovo bando “Sport Missione Comune 2018”, che prevede lo stanziamento di Euro 100

No comments

Write a comment
No Comments Yet! You can be first to comment this post!

Only registered users can comment.