L'APPROFONDIMENTO

Green Pass, i nuovi rischi per la sicurezza del sistema: facciamo il punto

La recente scoperta dei Green Pass falsi ma validi intestati a Mickey Mouse e Adolf Hitler e la comparsa sul Web di vere e proprie “collection” liberamente scaricabili e condivise su eMule evidenziano i rischi per la sicurezza del sistema di gestione delle certificazioni Covid-19. Facciamo il punto su cosa sta accadendo

23 Nov 2021
C
Fabio Cogno

IT & Cyber Security Unit, Certimeter Group

Oltre un migliaio di Green Pass sono disponibili online in vere e proprie “collection” che è possibile scaricare facilmente e gratuitamente, altre certificazioni Covid-19 autentiche vengono condivise attraverso la nota piattaforma di file sharing eMule: un fenomeno allarmante che ha richiamato anche l’attenzione del Garante Privacy che ha infatti avviato un indagine dando mandato alla Guardia di Finanza di acquisire tutti gli archivi disponibili online.

Cosa sta succedendo? Come è possibile che circolino Green Pass validi ma rilasciati a persone inesistenti o di fantasia? Per dare una risposta a queste domande è utile fare il punto sui nuovi rischi per la sicurezza del sistema di gestione delle cosiddette certificazioni verdi.

Decreto green pass lavoro: cosa cambia per le aziende con la conversione in legge

Che c’è da sapere sulle Green Pass Collection

Proviamo, innanzitutto, a capire da dove arrivano le “Green Pass Collections” condivise sul web ovvero archivi liberamente scaricabili contenenti Green Pass apparentemente di persone vere e che comunque vengono riconosciuti come validi da diverse app europee come VerificaC19.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Questi archivi contengono, in modo ben strutturato, almeno un paio di Green Pass per anno di nascita, sia con nomi femminili che maschili, come l’esempio sopra che una volta decompresso mostra il seguente risultato:

Immagine che contiene tavoloDescrizione generata automaticamente

Chi verifica, quindi, dovrebbe necessariamente chiedere anche un documento di identità per assicurarsi che il certificato mostrato corrisponda all’identità della persona che ha di fronte.

Come vengono create queste collezioni

Proviamo a descrivere qualche modo con cui è possibile ottenere certificati Covid-19 validi.

Social proof

Un possibile modo è quello di scandagliare i social network in cerca di quelle persone che l’hanno pubblicato. Abbiamo cercato alcuni dei nomi presenti nella collection sopra e abbiamo trovato il Green Pass visibile senza nemmeno dover fare accesso al social network, come l’esempio qua sotto:

I dati corrispondono esattamente a quelli presenti nella collection e il Green Pass risulta valido con l’app VerificaC19.

È fondamentale sensibilizzare le persone che oltre ad eventuali tematiche legate alla privacy, pubblicare il Green Pass può portare altri a farne un uso illecito. Un vero e proprio furto d’identità che in questo clima non aiuta la tutela della sanità pubblica.

App non ufficiali

Un altro modo per cui un Green Pass può essere sottratto al proprietario è che sia stato scansionato da un app non ufficiale e appositamente creata per conservare o inviare il certificato a qualche entità terza. Gli store sono pieni di app per la verifica del Green Pass ma l’unica ufficialmente riconosciuta è appunto VerificaC19.

Le altre app potrebbero fare qualunque cosa, anche inviare il certificato a dei malintenzionati.

È importante sensibilizzare chi è tenuto a verificare il Green Pass come i datori di lavoro o i ristoratori che l’unico sistema che tutela tutti è l’applicazione VerificaC19 e che bisogna diffidare da altri sistemi.

L’app del Ministero Italiano, oltre ad essere stata analizzata da diversi esperti, espone il codice su un sistema pubblico e chiunque può verificare quali comportamenti ha.

Tutte le altre app potenzialmente non sono state controllate e verificate da nessuno e nessuno ne conosce i comportamenti e le funzionalità.

Certificato conservato su sistemi compromessi

Un ultimo modo che ci viene in mente è che, come spesso accade anche per altri documenti come i passaporti e le carte d’identità, qualcuno abbia memorizzato il certificato un po’ ovunque e che alcuni di questi sistemi siano stati compromessi.

Negli attacchi come quelli ransomware che ci hanno colpiti specialmente nel 2021 non è raro trovare operazioni di “data exfiltration”. In particolare, soprattutto quando i dati sono tanti e potrebbe essere lungo e complesso portare via tutto, l’attaccante cerca file che si chiamano “pass”, “passwd”, “password”, “passport” e via dicendo con l’obiettivo di dimostrare alla vittima che detiene informazioni sensibili e importanti.

Non è da escludere che in alcuni attacchi qualcuno abbia anche cercato la presenza di Green Pass o che gli attacchi futuri possano andare anche in questa direzione.

Green Pass: il no del Garante Privacy all’emendamento che ne legittima la “consegna” al datore di lavoro

Green Pass falsi: come sono finiti online?

I possibili modi per ottenere un Green Pass valido sono diversi. L’ipotesi più remota è che sia stata individuata una falla nei protocolli utilizzati. Quest’ipotesi è remota perché ad oggi non ci sono studi che documentino attacchi possibili e in tempi ragionevoli. Inoltre, il problema avrebbe impatti anche più ampi della falsificazione del Green Pass.

Un’altra ipotesi, tra quelle che circolano in questi giorni, è che sia stata compromessa una o tutte le chiavi private a disposizione dei Ministeri degli Stati UE. È un’ipotesi remota anche questa in quanto ci si aspetta che quelle chiavi siano ben protette, ma non è comunque da scartare.

L’ipotesi più verosimile è che siano stati compromessi dei portali utilizzati per il rilascio dei Green Pass e fruibili dalle strutture ospedaliere, dalle farmacie e da ogni altra organizzazione che può rilasciare dei Green Pass. Su ormai diversi forum si parla di scansioni massive e sono state rilasciate schermate e indirizzi di dubbia provenienza e tutti da verificare. Si può però ipotizzare che i portali di questo tipo potrebbero essere soggetti a tentativi di attacco nei prossimi giorni o nelle prossime settimane.

Le contromisure che si stanno prendendo

Al tempo stesso in questi giorni sono state apportate diverse modifiche al codice dell’app VerificaC19. Al momento non sono ancora uscite nuove versioni dell’app che saranno rilasciate probabilmente nei prossimi giorni. Al momento, sul Google Play Store è disponibile la versione 1.1.7 rilasciata lo scorso 4 novembre, mentre dall’Apple Store è possibile scaricare la versione 1.1.6 del 30 ottobre 2021.

Le modifiche, visibili su GitHub dove il Ministero della Salute ha deciso di rilasciare il codice sorgente, riguardano l’introduzione di un meccanismo di verifica ulteriore che include controlli sulla revoca del certificato.

Con il prossimo aggiornamento, oltre ai già noti messaggi di verifica “Certificazione non valida”, “Certificazione non ancora valida” e “Errore di lettura del QR Code, oppure non è il Certificato verde COVID-19” ci sarà anche la dicitura “Certificazione revocata”.

L’idea alla base è quella di creare e scaricare sul dispositivo una lista di identificativi di certificati revocati per poi procedere ad un confronto con il certificato scansionato.

L’approccio al momento non impatta la velocità con cui l’app darà un risultato in quanto la lista è estremamente limitata a poche decine di elementi, ma potrebbe diventare impattante se l’elenco dovesse crescere, ma dovremmo arrivare all’ordine dei milioni di elementi.

In ogni caso, al momento non sembra imminente una revoca delle chiavi che renderebbe invece non validi tutti i certificati firmati con quella chiave e comporterebbe quindi una nuova emissione delle certificazioni.

Immagine che contiene testoDescrizione generata automaticamente

È possibile visualizzare l’elenco delle modifiche degli ultimi giorni qui:

Immagine che contiene testoDescrizione generata automaticamente

Conclusioni

Il sistema Green Pass è efficace se utilizzato correttamente, ovvero se le persone conservano con cura il proprio certificato e se il verificatore usa gli strumenti ufficiali e segue correttamente la procedura di verifica chiedendo anche il documento d’identità.

Se vengono a mancare queste condizioni, il sistema perde di efficacia.

È bene ricordare che il Green Pass è un documento paragonabile alla carta d’identità o alla patente e che quindi va conservato con tutte le precauzioni del caso e che chi è adibito ai controlli deve trattare quell’informazione nel modo corretto e fare tutte le verifiche del caso.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2