Durante il corso del periodo recente, la pandemia da COVID-19 ha creato un mondo diverso: da quel marzo 2020 il panorama planetario è cambiato, nei comportamenti umani e nei modi di fare, quasi irriconoscibilmente per come eravamo abituati, con distanziamenti, vaccini voluti e non, tamponi e un lasciapassare che non ti aspetti, il Green Pass. Ha la forma di un QR code, lo si riceve dopo la vaccinazione o in seguito a un tampone con risultato negativo. Visto che questo lasciapassare serve per andare a lavoro o semplicemente al ristorante, non stupisce che qualcuno sia andato alla ricerca di un “metodo alternativo” per ottenerlo, secondo il sempre verde assioma: se un qualcosa è creato tramite una procedura informatica, questo può essere hackerato.
Com’è fatto?
Il Green Pass è un documento e come tale può essere visto anche in contesto informatico: si tratta di un certificato a chiave asimmetrica, un QR code contenente un insieme di informazioni personali e sensibili. Queste informazioni sono inserite nel documento (possono essere viste come parte integrante del CSR del certificato), il quale successivamente è creato mediante una chiave privata, ovvero la firma del Pass: questa è composta da una parte pubblica per chi legge il QR code e da una parte privata utilizzata per la generazione di questa chiave da inserire nei QR code.
VerificaC19 è il tool fornito dal Governo italiano per la verifica delle certificazioni e altro non è che un’applicazione per tablet e smartphone che, utilizzando la fotocamera del dispositivo, legge il QR code mostrato da un utente e ne verifica l’integrità e la correttezza. Instaurando una connessione sicura con i server centrali del Ministero della Salute, il messaggio è cifrato tramite la chiave pubblica contenuta nella firma del certificato e il server successivamente decodifica il dato ricevuto con la rispettiva parte privata, verificando così se il documento è valido o meno.
Fake su Telegram
Da tempo il popolare software di Instant Messaging russo Telegram è utilizzato per la vendita di certificazioni false (ovviamente questo costituisce reato), le quali però non riuscivano all’inizio a passare il controllo delle app di verifica. A seguito di un attacco informatico, però, sono state rubate alcune chiavi private utilizzate per generare copie di Green Pass europei: in questo modo i certificati creati con queste dagli hacker risultano validi perché le chiavi private sono esattamente quelle utilizzate dagli enti attaccati. Non si sa se per provocazione o per effettivo utilizzo, su Telegram e sul Dark Web sono stati pubblicati due certificati, validi, intestati ad Adolf Hitler, segno evidente di un attacco portato a compimento in modo positivo. Scoperto e analizzato quanto accaduto, le chiavi private compromesse sono state revocate e rigenerate, con la conseguente invalidazione dei Green Pass emessi tramite esse (sia illeciti che soprattutto leciti, perché le chiavi sono appunto le stesse).
Cosa dicono gli esperti di cybersecurity?
Non sono mancate ovviamente le spiegazioni degli esperti di cybersecurity, sia per fare chiarezza che per rendere un po’ più semplice la presa visione di quanto accaduto anche per un pubblico non tecnico. Giampaolo Dedola, senior security researcher presso Kaspersky, ha espresso le considerazioni sottostanti: «Ulteriori analisi di due campioni di QR code hanno dimostrato come le chiavi utilizzate per firmare i certificati siano legate a organizzazioni con sede in Francia e Polonia. Inoltre, nel momento in cui vengono sottoposti alle verifiche sulle app ufficiali, i codici vengono classificati come validi. Questo è preoccupante in quanto può rendere impossibile distinguere tra i Green Pass legittimi e quelli generati attraverso le chiavi rubate. Questo caso pone l’attenzione su quanto sia critica l’infrastruttura utilizzata per generare i certificati di vaccinazione».
Invece Ranieri Razzante, uno tra i più importanti esperti mondiali di cybersecurity e cyberterrorismo, si è espresso come segue ad Adnkronos su quanto accaduto: «Credo che la causa di questo attacco sia la guerra al Green Pass in tutta Europa. Parliamo dunque di una matrice politico-eversiva che inquadra questo attacco in un disegno più vasto di contrasto ideologico alle misure contro il Covid-19». Il professore conclude dicendo: «Si sta sviluppando una rete di hacker mondiale che vende le sue prestazioni. Il pericolo è che si stia creando un mercato sempre più in espansione. Noi dobbiamo correre per formare nuovi esperti che possano prevenire questi episodi. Un attacco alla sanità in larga scala come il furto di codici per falsificare il certificato verde ci ricorda quanto serva, a livello internazionale, il coordinamento delle forze di polizia e di intelligence».
