Oltre un migliaio di Green Pass sono disponibili online in vere e proprie “collection” che è possibile scaricare facilmente e gratuitamente, altre certificazioni Covid-19 autentiche vengono condivise attraverso la nota piattaforma di file sharing eMule: un fenomeno allarmante che ha richiamato anche l’attenzione del Garante Privacy che ha infatti avviato un indagine dando mandato alla Guardia di Finanza di acquisire tutti gli archivi disponibili online.
Cosa sta succedendo? Come è possibile che circolino Green Pass validi ma rilasciati a persone inesistenti o di fantasia? Per dare una risposta a queste domande è utile fare il punto sui nuovi rischi per la sicurezza del sistema di gestione delle cosiddette certificazioni verdi.
Decreto green pass lavoro: cosa cambia per le aziende con la conversione in legge
Indice degli argomenti
Che c’è da sapere sulle Green Pass Collection
Proviamo, innanzitutto, a capire da dove arrivano le “Green Pass Collections” condivise sul web ovvero archivi liberamente scaricabili contenenti Green Pass apparentemente di persone vere e che comunque vengono riconosciuti come validi da diverse app europee come VerificaC19.
Questi archivi contengono, in modo ben strutturato, almeno un paio di Green Pass per anno di nascita, sia con nomi femminili che maschili, come l’esempio sopra che una volta decompresso mostra il seguente risultato:
Chi verifica, quindi, dovrebbe necessariamente chiedere anche un documento di identità per assicurarsi che il certificato mostrato corrisponda all’identità della persona che ha di fronte.
Come vengono create queste collezioni
Proviamo a descrivere qualche modo con cui è possibile ottenere certificati Covid-19 validi.
Social proof
Un possibile modo è quello di scandagliare i social network in cerca di quelle persone che l’hanno pubblicato. Abbiamo cercato alcuni dei nomi presenti nella collection sopra e abbiamo trovato il Green Pass visibile senza nemmeno dover fare accesso al social network, come l’esempio qua sotto:
I dati corrispondono esattamente a quelli presenti nella collection e il Green Pass risulta valido con l’app VerificaC19.
È fondamentale sensibilizzare le persone che oltre ad eventuali tematiche legate alla privacy, pubblicare il Green Pass può portare altri a farne un uso illecito. Un vero e proprio furto d’identità che in questo clima non aiuta la tutela della sanità pubblica.
App non ufficiali
Un altro modo per cui un Green Pass può essere sottratto al proprietario è che sia stato scansionato da un app non ufficiale e appositamente creata per conservare o inviare il certificato a qualche entità terza. Gli store sono pieni di app per la verifica del Green Pass ma l’unica ufficialmente riconosciuta è appunto VerificaC19.
Le altre app potrebbero fare qualunque cosa, anche inviare il certificato a dei malintenzionati.
È importante sensibilizzare chi è tenuto a verificare il Green Pass come i datori di lavoro o i ristoratori che l’unico sistema che tutela tutti è l’applicazione VerificaC19 e che bisogna diffidare da altri sistemi.
L’app del Ministero Italiano, oltre ad essere stata analizzata da diversi esperti, espone il codice su un sistema pubblico e chiunque può verificare quali comportamenti ha.
Tutte le altre app potenzialmente non sono state controllate e verificate da nessuno e nessuno ne conosce i comportamenti e le funzionalità.
Certificato conservato su sistemi compromessi
Un ultimo modo che ci viene in mente è che, come spesso accade anche per altri documenti come i passaporti e le carte d’identità, qualcuno abbia memorizzato il certificato un po’ ovunque e che alcuni di questi sistemi siano stati compromessi.
Negli attacchi come quelli ransomware che ci hanno colpiti specialmente nel 2021 non è raro trovare operazioni di “data exfiltration”. In particolare, soprattutto quando i dati sono tanti e potrebbe essere lungo e complesso portare via tutto, l’attaccante cerca file che si chiamano “pass”, “passwd”, “password”, “passport” e via dicendo con l’obiettivo di dimostrare alla vittima che detiene informazioni sensibili e importanti.
Non è da escludere che in alcuni attacchi qualcuno abbia anche cercato la presenza di Green Pass o che gli attacchi futuri possano andare anche in questa direzione.
Green Pass falsi: come sono finiti online?
I possibili modi per ottenere un Green Pass valido sono diversi. L’ipotesi più remota è che sia stata individuata una falla nei protocolli utilizzati. Quest’ipotesi è remota perché ad oggi non ci sono studi che documentino attacchi possibili e in tempi ragionevoli. Inoltre, il problema avrebbe impatti anche più ampi della falsificazione del Green Pass.
Un’altra ipotesi, tra quelle che circolano in questi giorni, è che sia stata compromessa una o tutte le chiavi private a disposizione dei Ministeri degli Stati UE. È un’ipotesi remota anche questa in quanto ci si aspetta che quelle chiavi siano ben protette, ma non è comunque da scartare.
L’ipotesi più verosimile è che siano stati compromessi dei portali utilizzati per il rilascio dei Green Pass e fruibili dalle strutture ospedaliere, dalle farmacie e da ogni altra organizzazione che può rilasciare dei Green Pass. Su ormai diversi forum si parla di scansioni massive e sono state rilasciate schermate e indirizzi di dubbia provenienza e tutti da verificare. Si può però ipotizzare che i portali di questo tipo potrebbero essere soggetti a tentativi di attacco nei prossimi giorni o nelle prossime settimane.
Le contromisure che si stanno prendendo
Al tempo stesso in questi giorni sono state apportate diverse modifiche al codice dell’app VerificaC19. Al momento non sono ancora uscite nuove versioni dell’app che saranno rilasciate probabilmente nei prossimi giorni. Al momento, sul Google Play Store è disponibile la versione 1.1.7 rilasciata lo scorso 4 novembre, mentre dall’Apple Store è possibile scaricare la versione 1.1.6 del 30 ottobre 2021.
Le modifiche, visibili su GitHub dove il Ministero della Salute ha deciso di rilasciare il codice sorgente, riguardano l’introduzione di un meccanismo di verifica ulteriore che include controlli sulla revoca del certificato.
Con il prossimo aggiornamento, oltre ai già noti messaggi di verifica “Certificazione non valida”, “Certificazione non ancora valida” e “Errore di lettura del QR Code, oppure non è il Certificato verde COVID-19” ci sarà anche la dicitura “Certificazione revocata”.
L’idea alla base è quella di creare e scaricare sul dispositivo una lista di identificativi di certificati revocati per poi procedere ad un confronto con il certificato scansionato.
L’approccio al momento non impatta la velocità con cui l’app darà un risultato in quanto la lista è estremamente limitata a poche decine di elementi, ma potrebbe diventare impattante se l’elenco dovesse crescere, ma dovremmo arrivare all’ordine dei milioni di elementi.
In ogni caso, al momento non sembra imminente una revoca delle chiavi che renderebbe invece non validi tutti i certificati firmati con quella chiave e comporterebbe quindi una nuova emissione delle certificazioni.
È possibile visualizzare l’elenco delle modifiche degli ultimi giorni qui:
Conclusioni
Il sistema Green Pass è efficace se utilizzato correttamente, ovvero se le persone conservano con cura il proprio certificato e se il verificatore usa gli strumenti ufficiali e segue correttamente la procedura di verifica chiedendo anche il documento d’identità.
Se vengono a mancare queste condizioni, il sistema perde di efficacia.
È bene ricordare che il Green Pass è un documento paragonabile alla carta d’identità o alla patente e che quindi va conservato con tutte le precauzioni del caso e che chi è adibito ai controlli deve trattare quell’informazione nel modo corretto e fare tutte le verifiche del caso.
