Nessuna chiave Green Pass hackerata, solo probabile abuso del sistema (e molta leggerezza)
All’indomani del caso #GreenPassBucato, scopriamo che non c’è assai probabilmente alcuna “chiave Green Pass hackerata”.
Il caso lo conoscete: una serie di Green Pass con nomi improbabili sono stati pubblicati su alcuni forum in queste 24 ore, per “promuovere” la vendita di Green Pass tarocchi.
In queste folli 24 ore ne abbiamo sentite di ogni, dalla solita teoria degli hacker contro il sistema pronti a sferrare l’attacco all’odiata UE (con tanto di trionfali post su 4chan e similia…) fino a fake news sull’annullamento di tutti i Green Pass esistenti.
In realtà la questione è grave, ma non irrisolvibile: bisognerà fare una correzione nel sistema, e qualche testa rotolerà.
Ma il sistema tiene botta.
Come avevamo anticipato nel nostro precedente articolo, le forme più riuscite di hacker non vedono eserciti di Neo e Hackerman con la neckbeard di ordinanza a millantare su una imageboard di aver “sconfitto il sistema”.
Ma una cosa chiamata “ingegneria sociale”: persone che semplicemente sono già sul posto, ed abusano della loro posizione per tirare su qualche spicciolo.
Nessuna chiave Green Pass hackerata, solo probabile abuso del sistema (e molta leggerezza)
In questo caso gli ingredienti della frode sono sostanzialmente due: un medico/farmacista/responsabile all’emissione compiacente, quindi con accesso al portale per la generazione, e il sistema delle preview.
L’utente munito di idonee chiavi di accesso sostanzialmente perviene ad un menù dove gli viene chiesto di confermare la correttezza dei dati, con tanto di anteprima con QRCode e chiave crittografata.
Anteprima che viene letta come valida dalle app di verifica.
L’utente infedele a questo punto salva l’anteprima (sovente prendendosi cura di inserire una data di scadenza il più dilazionata possibile per valore aggiunto e per non mettere in allarme l’acquirente) e la mette in circolo.
Cosa questa abbastanza grave, e corroborata dalle eccellenti intuizioni di Matteo Flora
Qualcuno ha #hackerato il sistema dei #GreenPass, ma forse non come pensate e hanno scritto i giornali: probabilmente NON sono state rubate le chiavi.
La verità è forse anche PEGGIO ed è una vulnerabilità del sistema di emissione…
E tu, condividi?
https://t.co/Np5GtEWJPj— Matteo G.P. Flora (@lastknight) October 28, 2021
Sarebbe sostanzialmente bastato rendere le anteprime inutilizzabili per risparmiarci tutti questi problemi.
E si è confermato come il punto debole del sistema si confermino gli esseri umani che ne sono parte.
Un ulteriore elemento a favore dell’analisi di Flora nasce dal fatto che i Green Pass “apparentemente hackerati” si presentino con evidenti differenze di formattazione l’uno con l’altro.
Non esiste quindi un “tool”, una specie di “programma hackerato” in possesso di qualche “paladino della libertà” per creare i Green Pass falsi in casa.
Semplicemente, come i Green Pass “dal vivo” hanno piccole differenze nella formattazione dovute al sistema usato dall’ente che li crea (non tutti computer hanno la stessa codifica… basti pensare a quanto una tastiera italiana ed una inglese siano diverse), esattamente come quelli “hackerati”, corroborando l’idea che vengano creati nel modo usuale, ma evitando di “salvare” dopo aver chiesto e scaricato anteprima.
Come rimediare? Prospettive future
Come abbiamo già detto, l’unica via possibile passa per la revoca delle chiavi di generazione. Obiettivo possibile, previsto dal sistema, ma quantomeno fastidioso.
Pensate alle chiavi abusate come un libretto della lotteria dal quale un tabaccaio disonesto ha staccato a parte i biglietti che (in qualche modo) sapeva vincenti per venderli a parte.
L’unico modo per bloccare la truffa è annullare tutti i biglietti del blocchetto, elargendo nuovi biglietti agli acquirenti di buona fede e lasciando bloccati i biglietti truffaldini.
Il che comporterà che un certo numero di persone, anche una platea ampia, dovranno ricevere un nuovo Green Pass.
Cosa non impossibile: chiunque abbia fatto almeno la seconda dose di vaccino o più di un tampone sa che un messaggio in app o su SMS ti avvisa di scaricare il nuovo certificato, lo scarichi ed è fatta.
Il problema è il danno immane alla fiducia nel sistema causato da un problema volutamente presentato come grottesco, cavalcato dai nopass come grimaldello per sfasciare la fiducia nel Green Pass, e che scopriamo generato da una evitabilissima ma grave leggerezza.
Danno che secondo i nopass potrebbe consentirgli di “sconfiggere il sistema” premendo per l’abolizione del Green Pass stesso ed un tana libera tutti.
Ma che, visti i pregressi anche giurisprudenziali non offre la soluzione da loro desiderata.
Se il Green Pass dovesse fallire per qualsiasi motivo, l’alternativa durante una pandemia non è l’assenza di ogni controllo, ma l’obbligo vaccinale stesso.
Se il nostro servizio ti piace sostienici su PATREON o
con una donazione PAYPAL.