Sono già stati annullati tutti i certificati generati con le chiavi rubate. Ora bisogna capire dove e quando è avvenuto il furto.
Quello dei Green pass è da settimane un mercato particolarmente lucrativo per il cyber crime. Quelli falsi si vendono sul dark web, o tramite canali Telegram, per cifre fino a 250 euro. Le cifre potrebbero lievitare se, invece di certificati falsi, si potesse immettere sulla piazza certificati autentici. È il colpo che devono avere pensato di mettere a segno i criminali informatici che hanno rubato alcune chiavi per generare i Green Pass europei.
E in un primo momento ci sono anche riusciti: su un noto forum del dark web bastava pagare 300 euro per entrare in possesso di un Green pass europeo perfettamente funzionante. Peccato che ora quello stesso certificato non sia più valido.
Partecipa agli ItalianSecurityAwards 2024 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative
Al momento le informazioni sono poche: non si sa chi sia il responsabile del furto, non è noto l'esatto numero delle chiavi sottratte, né a quale ente e in quale Paese. Il campanello d'allarme è scattato nella tarda serata di ieri, quando un pentester ha pubblicato su Twitter il QR code del Green pass di Adolf Hitler, commentando "penso che siano trapelate in qualche modo le chiavi private utilizzate per firmare il certificato digitale COVID UE".
https://twitter.com/reversebrain/status/1453095040281100297?s=20
L'app Verifica C19, ufficialmente usata per la validazione dei certificati, riconosceva il certificato come valido. A quel punto il commento laconico: "Se la perdita fosse confermata significa che il falso certificato Covid dell'UE può essere contraffatto da chiunque".
L'allerta ha fatto il giro dell'Europa e già questa mattina sono stati annullati tutti i certificati generati con quelle chiavi. Allarme cessato, quindi, ma le indagini sono solo all'inizio. Stando alle informazioni diffuse dall'ANSA, il furto non sarebbe avvenuto in Italia, dove la gestione delle chiavi è affidata a Sogei: non risultano attacchi informatici ai danni di quest'ultima. C'è quindi da cercare fra le risorse degli altri Paesi europei.
Quanto avvenuto riaccende i riflettori sulle tecniche di verifica dei Green pass. Certo, quello di Adolf Hitler genera scalpore ma è stato creato a scopo dimostrativo e per attirare l'attenzione. Il problema si pone se decine o centinaia di anonimi signor Ignoto circolano con un Green pass falso.
Soprattutto in un momento come in questo in cui possedere il pass è una condizione sine qua non per potersi recare al lavoro, e molti sono ancora contrari a sottoporsi all'iter vaccinale. I certificati falsi fanno gola, e 300 euro per averne uno non è poi una spesa esagerata, considerato il costo di sottoporsi a un tampone ogni 72 ore per avere legalmente il Green pass.
A questo punto torna sul piatto l'opportunità di una tecnica di controllo meno generica. Per esempio, incrociare il Green pass con il database vaccinale nazionale renderebbe più difficile imbrogliare: oltre all'identità, occorrerebbe "far quadrare" anche il nome del farmaco somministrato e le due date dell'inoculazione.
Giampaolo Dedola, senior security researcher GReAT team di Kaspersky, aggiunge che "ulteriori analisi di due campioni di QR code hanno dimostrato come le chiavi utilizzate per firmare i certificati siano legate a organizzazioni con sede in Francia e Polonia".
Dedola reputa preoccupante il fatto che "nel momento in cui vengono sottoposti alle verifiche sulle app ufficiali, i codici vengono classificati come validi. Questo può rendere impossibile distinguere tra i green pass legittimi e quelli generati attraverso le chiavi rubate. Questo caso pone l’attenzione su quanto sia critica l'infrastruttura utilizzata per generare i certificati di vaccinazione. È possibile revocare le chiavi dei certificati, ma azioni di questo tipo creeranno comunque conseguenze sociali e di sicurezza. Pertanto, è importante migliorare il monitoraggio e le difese di sicurezza per proteggere tutti i dispositivi dell'infrastruttura da attacchi informatici esterni e per prevenire e rilevare gli abusi".