“Hashtag: GreenPassBucato”: rimediare sì, allarmismo no (il sistema tiene saldo)
L’hashtag “greenpassbucato” è diventato virale in queste ore. C’è chi, dando mostra della versione didascalica del famoso proverbio “buttare il bambino con l’acqua sporca” tuona già al “fallimento greenpass”.
Come se avessimo dovuto abbandonare la PEC quando un leak ha dimostrato che molte PEC con la password di primo ingresso mai cambiata erano diventate compromesse. Come se avessimo dovuto mandare al macero NoiPA per ogni caso di phishing.
La situazione è allarmante, ma non allarmistica. Il paziente è grave, o meglio trattato con imperdonabile leggerezza. Ma non è morto.
Parlare di GreenPassBucato come mezzo per chiederne l’abolizione è peregrino.
“Hashtag: GreenPassBucato”: cosa è accaduto?
Ne abbiamo parlato a lungo in mattinata. Tra la serata di ieri e la mattinata di oggi si è scoperto esistere un Green Pass intestato ad Adolf Hitler.
Con la data di nascita sbagliata, ma comunque irreale: gennaio 1900.
Si è anche scoperto esistere un hacker polacco che dichiara di avere a disposizione delle chiavi di generazione. Sostanzialmente, le “password per creare account” di un gruppo.
Il caso del “greenpassbucato” è l’equivalente in un sistema a chiavi del ragazzino che si fa nominare admin di un gruppo Facebook, o si arruffiana gli admin, per poi invitare amici a far casino e fare il bello e cattivo tempo.
Il che implica ovviamente una falla nel sistema. Mastodontica, possiamo definirla, ma non irrisolvibile.
“Hashtag: GreenPassBucato”: rimediare sì, allarmismo no (il sistema tiene saldo)
Sono in corso ulteriori accertamenti, che per ora escludono un coinvolgimento dell’ente Italiano SOGEI.
Accertamenti che puntano il dito sulle chiavi private di generazione di un ente francese, ma sono in corso esami ulteriori.
Come ricorda il docente ed esperto di informatica e privacy Stefano Zanolo, il sistema stesso prevede la soluzione
Perché “il sistema sarebbe da rifare”? Basta revocare quelle chiavi private di firma (certo, occorrerà rigenerare i GP validamente emessi, ma non è infattibile). Il gateway europeo è fatto apposta…
— Stefano Zanero (@raistolo) October 26, 2021
Esattamente come è accaduto quando un individuo ha pubblicato sui social il Green Pass di Macron, che è stato revocato e rimpiazzato da uno nuovo, raggiungendo però burloni e utenti della Rete.
La spiegazione al momento più accreditata è quella di “un leak o un abuso di firma”, come conferma nella discussione social indicata il professor Zanero.
È sostanzialmente da quando esiste l’informatica moderna che il miglior “hacker” non è un “Hackerman” che batte dita sul computer e buca irreversibilmente i sistemi informatici.
La storia dell’hacking comincia dal “phreaking”, dal ragazzino che ordina la pizza al telefono dando gli estremi della carta di credito “della zia che non si intende di queste cose”, o del dipendente infedele che, chiamato a usare i sistemi informatici per rilasciare una qualsiasi cosa, imbarca dentro gli amici.
È una situazione concettualmente diversa da quella del truffatore che millantando di poter bucare i Green Pass ha ricattato un numero ingente di utenti, e più affine a quello del medico disonesto che usa le sue credenziali per denunciare iniezioni mai fatte.
Con la differenza che si è agito a valle.
Non si illudano gli acquirenti
La soluzione non è semplice, dicevamo, ma è prevista nel sistema. Si tratta di una soluzione nucleare: già in queste ore il “GreenPassBucato” di Adolf Hitler comincia a diventare non più disponibile.
Tutti i Green Pass generati da quelle chiavi saranno annullati, poi sostituiti.
Come annullare tutti i biglietti vincenti di una matrice rubata: nella migliore delle ipotesi, presentando un biglietto falso alla riffa sarete sbattuti fuori. Nella peggiore denunciati: non ne vale la pena.
Tutti gli altri, che hanno ricevuto legittimamente GP da chiavi revocate, riceveranno un nuovo Green Pass. Allo stesso modo in cui dopo la seconda dose vi viene notificata la ricezione di un secondo Green Pass.
Se il nostro servizio ti piace sostienici su PATREON o
con una donazione PAYPAL.