“Forniamo tessere di vaccinazione registrate, tessere di vaccinazione e cartelle di vaccinazione con codice di scansione QR attivato per tutti coloro che non vogliono portare con sé le vaccinazioni, ma hanno bisogno delle tessere / certificati di vaccinazione per lavoro e viaggio. I certificati/carte sono validi al 100% e autenticamente registrati da medici professionisti che lavorano con noi. I medici che lavorano con noi sono in cima al gioco e quindi hanno accesso all’intero database medico di tutti i Paesi in Europa, America e parte dell’Asia. Una volta che i tuoi dati sono stati raccolti e il tuo certificato / le tue carte sono stati registrati, nel database medico del tuo Paese risulterà che sei stato completamente vaccinato dove e quando vuoi senza problemi”.
Un annuncio, come tanti, sul dark web, la parte oscura di Internet: la migliore sintesi di un commento all’attacco hacker al Green pass di ieri.
Un evento perpetrato, a quanto sembra, non per solo lucro, ma a fini dimostrativi, e che secondo chi scrive, si incardina in un disegno eversivo anti-sistema.
Alle proteste – spesso violente – delle piazze, si aggiunge ora la protesta via web. Sì, perché questa è una forma di “protesta”, attraverso il sabotaggio di uno degli strumenti cardine, a torto o a ragione, della battaglia contro il coronavirus.
Un utente chiede: “Quanto costa una tessera vaccinale?”. Gli si risponde: “300” (verosimilmente dollari), da pagarsi con carte di credito, Paypal, buoni Amazon o, preferibilmente, criptovalute. Invece 200, allo stesso modo, per i pass di 48 ore (la domanda viene posta in italiano).
Un altro fornitore (probabilmente italiano) fa “pubblicità comparativa”: “Forniamo QR Code UE digitali firmati e autentici, attualmente siamo gli unici che forniscono davvero il servizio, la maggior parte di ciò che puoi trovare su Internet in questo momento è una truffa! I nostri certificati sono autentici e funzionano in modo affidabile, il nostro obiettivo è fornire un servizio di qualità, veloce e automatizzato, anonimo e che garantisca la massima privacy. Non intendiamo fare affari con i dati dei nostri clienti e non siamo interessati in alcun modo a raccogliere dati sanitari.”
Anche in questo caso, forme di pagamento accettate sono le stesse, con una offerta “a saldo”: 1 green pass euro 100, 4 al prezzo di 300, 6 a 500 euro.
Poi, un canale Telegram chiamato “Gren Bypass2.0” oggetto di oscuramento e indagini, che continua a funzionare – parrebbe – con gli stessi materiali, ma diversa denominazione.
La cosa altrettanto sconcertante è che tali fatti sono resi possibili dal furto di alcune chiavi private che consentono la generazione del Green pass europeo, per poi mettere in rete programmi per creare i certificati falsi (si è già deciso di annullare tutti i pass generati con quelle chiavi).
Il furto delle chiavi non sarebbe avvenuto nel nostro Paese: secondo quanto si apprende, dai primi accertamenti effettuati, non risulterebbero infatti attacchi informatici alla Sogei, la società di Information Tecnology del ministero dell’Economia, che per l’Italia fornisce i codici per generare i certificati verdi. In base alle prime ricostruzioni, tutto sembra nascere da un thread su RaidForums, un market sul web ormai noto per essere punto di scambio e pubblicazione di data leaks e altro materiale non sempre lecito. All’interno di questo forum sarebbero circolate queste chiavi private, provocando la conseguente creazione di green pass arbitrari, perfettamente validi ma non autorizzati.
Un mercato parallelo, con le sue leggi di domanda e offerta, vetrine, merchandising e con canali finanziari suoi propri.
Sconcerta altresì la facilità di appropriarsi di identità, sia pubbliche che private. Infatti, sono stati “copiati” i dati relativi all’emittente dei certificati irregolari, presuntivamente la CNAM –Caisse Nationale d’Assurance Maladie-, l’equivalente francese dell’INPS italiano, in data 25.10.2021, con l’identificativo univoco; si pensa però che anche la chiave privata del governo polacco possa essere stata sottratta.
Il meccanismo di verifica dei certificati DGC “green pass” funziona attraverso un sistema di firma digitale a chiave pubblica/privata che garantisce la validità dei dati contenuti nel QRcode. Le specifiche dei DGC sono pubbliche e disponibili (github.com/ehn-dcc-development/hcert-spec), poiché l’intero meccanismo di certificazione dei dati si basa non sulla segretezza dell’algoritmo, ma della chiave usata per la firma. La segretezza della chiave privata è quindi un requisito essenziale, come risulta indicato nel documento delle specifiche tecniche per il rilascio dei DGC da parte degli Enti Governativi.
La soluzione tecnica a questa situazione sarebbe un’inversione di quelle chiavi che invaliderebbe tutti pass generati con le chiavi compromesse, e la rigenerazione di nuovi certificati per tutte le persone che avevano ottenuto il Green Pass dall’ente violato. Sarà più complesso, invece, valutare quali saranno le conseguenze di questa possibile violazione sull’affidabilità del sistema di verifica e sulla credibilità di uno strumento che in Italia ed in tutta Europa è sempre più indispensabile.
Da questo ennesimo caso le questioni che emergono sono di due tipi: da una parte vi è un problema in termini di sicurezza informatica, con l’evidente violazione del sistema digitale europeo attraverso il data leak delle chiavi private, ed il conseguente abuso di queste chiavi di firma. Dall’altra parte, inoltre, vi è il già accennato rischio concreto di sfruttamento, da parte delle diverse organizzazioni criminali, di vendita sul dark web di questi certificati falsi per finanziare le loro attività criminali. Il tema della vendita dei pass illegali non è nuovo, ricordiamolo: ci sono stati nei mesi scorsi già dei tentativi di vendita che sono stati prontamente sventati dall’operato della Guardia di Finanza.
Un effetto pubblicitario, va ripetuto, anche in questo caso efficace per progredire sulla strada intrapresa da molti di questi pirati informatici, ormai sempre meglio organizzati. Che sono veri e propri fornitori, ora, di servizi di questo tipo, anche a coloro che non siano capaci, da soli, di perpetrare attacchi cyber. Servono risorse da affiancare a quelle, già pronte, della nostra Difesa, dell’Intelligence e delle Forze di Polizia. L’Agenzia sulla Cybersecurity costituirà indubbiamente il fulcro delle risposte sul tema.
*Consigliere per la Cybersecurity del Sottosegretario alla Difesa
