Voglio fare chiarezza su come è stato possibile creare #GreenPass pass sotto il nome di Adolf Hitler e Spongebob, perchè la fuori, soprattutto tra i vari media, si sta facendo molta disinformazione.
(Mia personale ipotesi a scopo educativo spiegata in semplici parole)
(Mia personale ipotesi a scopo educativo spiegata in semplici parole)
I vari paesi dell'Unione Europea (e non solo) utilizzano l'"EU Digital COVID Certificate Issuance Web Frontend " per emettere Green Pass.
Tale sistema è open source ed il codice è facilmente visualizzabile e riproducibile qui:
github.com/eu-digital-gre…
Tale sistema è open source ed il codice è facilmente visualizzabile e riproducibile qui:
github.com/eu-digital-gre…
Chi si è occupato di creare tale sistema (contractor dell'#UnioneEuropea che non hanno pensato alla sicurezza informatica), ha generato una password default del server NGINX e l'ha lasciata in chiaro, sotto la stessa repository GitHub:
github.com/eu-digital-gre…
github.com/eu-digital-gre…
Poi, i vari dipartimenti nazionali che si sono occupati di installare, gestire e lanciare tale sistema per le varie nazioni Europee (e non solo) non hanno minimamente pensato di cambiare password, rendere i server accessibili solo privatamente o applicare un minimo di sicurezza.
Ciò ha quindi permesso a degli #hacker di scovare tali server pubblici e trasparenti, autenticandosi con la password generata di default e lasciata in chiaro, per accedere a tali frontend e generare dei Green Pass.
Al momento, sembrerebbe ci siano oltre 15 server compromessi.
Al momento, sembrerebbe ci siano oltre 15 server compromessi.
Non solo, chi ha creato il sistema in primis, ha pensato di includere una funzionalità di anteprima durante la creazione dei pass, che però, anzichè sfruttare delle "chiavi d'autenticazione di prova", utilizzava delle chiavi vere, reali ed esistenti.
Quindi, gli hacker che sono entrati in tali sistemi, non solo hanno potuto creare pass falsi, ma non hanno lasciato alcun dato su alcun database.
Se nessun dato viene salvato in nessun database, la creazione di un green pass può passare inosservata, anche per mesi.
Se nessun dato viene salvato in nessun database, la creazione di un green pass può passare inosservata, anche per mesi.
Probabilmente questa vulnerabilità è passata inosservata per mesi, solo da due giorni è stata scoperta grazie ad una segnalazione sulla repository open source del primo tweet.
Un problema però rimane: come si possono annulare tutti i pass falsi creati con i server compromssi?
Un problema però rimane: come si possono annulare tutti i pass falsi creati con i server compromssi?
Risposta: probabilmente non si può, senza causare grossi problemi e disagi nazionali.
Perchè? Perchè annullando le chiavi usate in tali server compromessi (ad esempio un server del sistema sanitario Macedone), si vanno ad annullare TUTTI i green pass emessi con tale chiave.
Perchè? Perchè annullando le chiavi usate in tali server compromessi (ad esempio un server del sistema sanitario Macedone), si vanno ad annullare TUTTI i green pass emessi con tale chiave.
Qui ad esempio è stata annullata una chiave compromessa:
github.com/rgrunbla/TAC-F…
Però in cosa risulta tutto ciò? Probabilmente ciò che ho citato qui sopra, quindi andrebbe ad annullare tutti i pass emessi con tale chiave.
github.com/rgrunbla/TAC-F…
Però in cosa risulta tutto ciò? Probabilmente ciò che ho citato qui sopra, quindi andrebbe ad annullare tutti i pass emessi con tale chiave.
Non essendoci un sistema di revoca di singoli certificati, ora chi di competenza sarà davanti a due scelte:
- Annullare e invalidare tutto, andando a ricreare uno ad uno, tutti i certificati reali, con conseguente perdita di tempo, denaro e carte
- Lasciare così com'è
- Annullare e invalidare tutto, andando a ricreare uno ad uno, tutti i certificati reali, con conseguente perdita di tempo, denaro e carte
- Lasciare così com'è
Per chi l'ha notato, tra le giornate di ieri ed oggi, i famosi green passi intestati ad Adolf Hitler, Spongebob e Topolino, sono divenuti validi, poi non validi e poi validi ancora.
Perchè? Perchè ora chi di dovere sta testando le varie soluzioni per capire cosa fare.
Perchè? Perchè ora chi di dovere sta testando le varie soluzioni per capire cosa fare.
Al momento ciò che sta accadendo a livello europeo è il seguente:
1. Verifica di quali server siano pubblicamente accessibili da internet e compromessi (poichè utilizzano la stessa password)
2. Verifica di quali chiavi siano state utilizzate per emettere dei green pass falsi
1. Verifica di quali server siano pubblicamente accessibili da internet e compromessi (poichè utilizzano la stessa password)
2. Verifica di quali chiavi siano state utilizzate per emettere dei green pass falsi
3. Messa offline dei server (ad esempio il famoso server Macedone menzionato in precedenza, come mostrato nel seguente screenshot)
4. Rimozione delle chiavi compromesse (come mostrato nel precedente tweet)
5. Verifica dei danni causati dai punti 4 e 5
4. Rimozione delle chiavi compromesse (come mostrato nel precedente tweet)
5. Verifica dei danni causati dai punti 4 e 5
In ogni caso, la cosa più grave deve ancora arrivare:
un gruppo di hacker ha affermato di avere accesso a diverse workstation e di poter emettere pass da 25 nazioni diverse.
Ecco il modo in cui hanno operato e operano tutt'ora:
un gruppo di hacker ha affermato di avere accesso a diverse workstation e di poter emettere pass da 25 nazioni diverse.
Ecco il modo in cui hanno operato e operano tutt'ora:
Questo è un solo gruppo di hacker, e potete star certi che ormai questa cosa è diventata di dominio pubblico e ci sono individui singoli e gruppi che hanno sfruttato tale falla per creare centinaia se non migliaia o decine di migliaia di pass falsi, ma autenticati e validi.
La storia è molto più lunga ed articolata. Meriterebbe chiarezza, trasparenza e condivisione, soprattutto perchè va a toccare tutti.
Questa è inoltre l'ennesima prova che non possiamo fidarci di terze parti nella salvaguardia dei nostri dati personali sensibili, sanitari e non.
Questa è inoltre l'ennesima prova che non possiamo fidarci di terze parti nella salvaguardia dei nostri dati personali sensibili, sanitari e non.
La sicurezza informatica viene presa ancora troppo poco sul serio da chi dovrebbe tenere al sicuro i nostri dati...
È il caso che tutto ciò cambi velocemente, perchè ne è del nostro futuro in quanto viviamo in una società digitale.
È il caso che tutto ciò cambi velocemente, perchè ne è del nostro futuro in quanto viviamo in una società digitale.
Qui trovate un esempio di tale dashboard open source riportata nel primo tweet:
fake-dgc.github.io
(Non è assolutamente un consiglio per creare green pass falsi, anche perchè non è collegata ad alcuna chiave e in ogni caso risulterebbero non validi)
fake-dgc.github.io
(Non è assolutamente un consiglio per creare green pass falsi, anche perchè non è collegata ad alcuna chiave e in ogni caso risulterebbero non validi)
Voglio ricordare a tutti che tutto ciò è una mia personale ipotesi a scopo educativo e tutti i link postati sono di pubblico dominio.
Anche la dashboard qua sopra è in licenza open source e può essere creata e riprodotta da tutti attraverso il link: github.com/eu-digital-gre…
Anche la dashboard qua sopra è in licenza open source e può essere creata e riprodotta da tutti attraverso il link: github.com/eu-digital-gre…
• • •
Missing some Tweet in this thread? You can try to
force a refresh
