Green Pass falsi funzionanti: come è possibile?
Ultimamente sono trapelati dei green pass falsi ma funzionanti ed apparentemente autentici a nome di Adolf Hitler, SpongeBob, Mickey Mouse e tanti altri personaggi o di fantasia o già morti da tempo.
Questi green pass sono correttamente riconosciuti come validi da diverse applicazioni di verifica della comunità europea quindi sembrerebbero dei documenti “genuini”. Ovviamente però sappiamo che sono falsi!
In un precedente articolo dove vi parlavo della truffa telegram in merito alla vendita dei green pass vi dicevo che non sono falsificabili. Eppure quacuno c’è riuscito. Siamo di fronte ad un hacking delle chiavi private governative oppure c’è un’altra soluzione? Vediamolo insieme!
Green Pass falsi (non più) funzionanti
Questi green pass che vi riporto non sono più funzionanti ma all’uscita erano perfettamente riconoscibili dal sistema come green pass autentici. Ho aspettato a pubblicare l’articolo in attesa che fossero invalidati per non diffondere un documento potenzialmente falso.
Ma come è possibile falsificare il green pass? Questi che vi ho mostrato erano funzionanti e riconosciuti quindi possiamo ipotizzare che siano stati generati in maniera lecita ma con dati di fantasia.
Dal mio punto di vista le ipotesi sono essenzialmente 3:
- Qualcuno ha rubato le chiavi private governative.
- Le chiavi private governative sono state “indovinate” e quindi non c’è attacco ma qualcuno ne di fatto una copia.
- Qualcuno con un accesso ai portali di generazione ha fatto “uno scherzo”.
Sono stati gli hacker
Prima ipotesi: hanno rubato le chiavi governative e quindi “degli hacker cattivi” possono creare qualsiasi green pass a piacimento.
Questa ipotesi è da scartare per due ottimi motivi: in primis rubare le chiavi private governative non è esattamente semplice e un furto del genere avrebbe fatto rumore. Di certo non èun attacco che fa “il cuggino bravo con i pc”. In secondo luogo se una chiave governativa fosse davvero stata trafugata la prima reazione sarebbe invalidare tutti i green pass creati con quella chiave. Ovvero tutti i green pass di una nazione sarebbero stati invalidati poco dopo l’uscita di questi Green Pass falsi (ma perfettamente funzionanti).
Io scarterei l’opzione hacker brutti e cattivi.
La chiave privata è stata trovata
Semplificando molto, mi perdonino gli esperti di sicurezza, ma alla fin fine una chiave privata è una stringa. Una stringa lunga lunga ma pursempre una stringa.
Quindi con tanta pazienza un hacker brutto e cattivo potrebbe provare un attacco a forza bruta per capire quale sia la chiave. Un attacco a forza bruta vuol dire provare tutte le possibili combinazioni finchè non si azzecca quella giusta.
Giusto per fare un esempio: supponiamo una chiave a 256 caratteri. Facendo un po’ di calcoli spannometrici servirebbero diversi miliardi di miliardi di miliardi di anni per riuscire a trovarla.
Diciamo che è improbabile anche provando miliardi di combinazioni al secondo!
Qualcuno ha giocato con i portali ufficiali
Le prime due ipotesi non sembrano molto fattibili. Quindi per il rasoio di Occam potremmo optare per l’ipotesi più verosimile.
E’ più facile hackerare un governo o una chiave privata o magari che qualcuno con gli accessi abbia generato dei green pass falsi? Io opto per questa ipotesi anche considerando che dal codice del portale (che è liberamente consultabile su github) si evince un piccolo problema:
Il portale ha una funzione di anteprima. Quindi esiste una funzione che, una volta inseriti dati di prova genera un QR code valido e coerente.
Quindi, invocando il rasoio di Occam che recita “A parità di fattori la spiegazione più semplice è da preferire” probabilmente i Green Pass falsi (ma funzionanti) sono stati generati da qualcuno che ha accesso a questa funzione di anteprima.
Abbiamo un insider? No perchè sono state scoperte 6 vulnerabilità che permettono la generazione dei green pass in anteprima accessibili a chiunque. Quindi probabilmente è stato qualcuno bravo, ma nessuna chiave è stata rubata.
Green Pass falsi: ora si possono invalidare
Ehhh già, adesso il sistema del Green Pass ha una nuova funzione: recentemente hanno introdotto la possibilità di invalidare un determinato documento. Quindi tutti i green pass falsi sono invalidabili e invalidati (per lo meno quelli che vi ho riportato).
Ora invalidare dei green pass falsi intestati ad Adolf Hitler è fin troppo facile ma se fossero stati creati green pass con nomi più comuni? Vi lascio col dubbio. Ad ogni modo vi ricordo che è illegale e penalmente perseguibile presentare un green pass falso come avevamo già analizzato in precedenza insieme all’avvocato Giuseppe Di Palo.
Volete qualche dettaglio in più?
Vi ho presentato le opzioni in versione super stringata. Ma se siete curiosi di approfondire tutta la questione e leggere minuto per minuto come è andata la storia dei Green pass Falsi vi consiglio questo articolo di Paolo Attivissimo con tutta la cronistoria minuto per minuto.
Follow me
Come sempre, anche in questo articolo, vi ricordo che oltre al blog potete iscrivervi alla mailing list o unirvi al canale telegram del blog dal quale avete accesso anche alla community per conoscere tanti altri utenti.
Pingback: Emule e Green Pass: attento a quello che condividi - Alessandro Balboni
Pingback: Un 2021 favoloso: grazie a tutti! - Alessandro Balboni