Alla fine qualcuno ha trovato un buco d’i ngresso. Il grande sistema di blockchain che genera i nostri green pass è stato perforato e alcuni hacker si sono impossessati delle chiavi crittografiche con cui generare le carte verdi. Dalla serata di martedì hanno iniziato a circolare su Twitter, sui siti specializzati e sui forum di settore, due green pass intestati ad Ad ol f H i tl e r, con unica differenza la data di nascita. Uno riportava il primo gennaio del 1900, l’altro il primo gennaio del 1930. Al di là dell’evidente bufala e dell’errata data di nascita del Führer, nato il 20 aprile del 1889, entrambi i pass avevano però un Qr code che, se scannerizzato con la app ufficiale del ministero della Salute risultava valido. E, dunque, utilizzabile ogni qualvolta venisse richiesto. Le verifiche condotte in Italia dall’Agenzia per la cybe rsicurezza nazionale, dagli enti e dai ministeri interessati e dalla Polizia postale qualche risposta l’hanno data, anche se sono ancora molti i punti da chiarire. La prima è, appunto, che qualcuno avrebbe sottratto alcune chiavi che consentono di realizzare il green pass, ognuna delle quali può attivare più certificazioni verdi, e non lo ha fatto in Italia: dai primi accertamenti investigativi e dalle informazioni d’intelligence non risultano infatti attacchi informatici alla Sogei che nel nostro Paese fornisce i codici con i quali vengono generati i certificati ve rd i . L’altra ipotesi è che qualcuno abbia fatto un utilizzo improprio della chiave stessa. Diversi blog di settore avanzano l’ipotesi che la sottrazione delle chiavi private avrebbe riguardato la Francia e la Polonia: uno dei due pass intestati ad H i tl e r sarebbe stato emesso dall’e nte francese Cnam, Caisse nationale d’assurance maladiè il 25 ottobre, mentre l’a l tro indicherebbe invece l’a z ie n - da Janssen Cilag international come produttrice del vaccino somministrato, in Polonia, dal «Centrum e Z d row i a » . I vertici di Bruxelles si sono riuniti d’urgenza e dopo sei ore si sono limitati a diffondere un comunicato per tranquillizzare i cittadini e ribadire che la struttura non è stata compromessa. In realtà non sappiamo se il furto sia avvenuto direttamente a livello di Secretariat, il nodo centrale delle chiavi c r i ttog ra fic h e che consente la lettura in entrata e in uscita di tutti i green pass europei, oppure l’h ac ke - raggio abbia colpito i centri secondari che utilizzano le me desi me chiavi per generare i certificati. Ciò che sappiamo è che Bru xe ll es avrebbe deciso di bloccare le chiavi compromesse. Scelta che ha automaticamente invalidato tutte le green card emesse con quelle chiavi. Di certo più di un cittadino straniero che nulla a che fare con il furto ma ha comunque un certificato emesso con quel codice, da oggi risulta non in regola a un controllo nel nostro Paese perché in possesso di un documento non valido. Non siamo nemmeno in grado di escludere che anche green pass di cittadini italiani siano stati annullati per ché avendo viaggiato all’estero siano stati «vidimati» dalle chiavi crittografiche compromesse. Le verifiche degli investigatori nostrani nel frattempo si concentrano su due fronti: capire se qualcuno, nel nostro Paese, stia tentando di vendere quelle chiavi nel dark Web e tentare di ricostruire chi abbia sottratto le chiavi e come abbia fatto a bucare i sistemi che le generano. Bucare il Secretariat vorrebbe dire aver compromesso il cervello stesso del green pass. È più facile in realtà ipotizzare che la penetrazione sia avvenuto a livello periferico e quindi sia rimediabile semplicemente azzerando le chiavi. Ipotesi che comunque apre una serie di interrogativi molto complessi. Ciascun documento per essere efficace deve essere anonimizzato. Cioè identificabile ma non direttamente tracciabile. La carta fornisce le informazioni sanitarie e il nome ma non è direttamente collegata all’utenza. Ne segue che o il sistema ha previsto di poter smontare il processo e creare un percorso inverso, o non sarà possibile avvisare i diretti interessati e far sapere loro che il green pass di cui sono in possesso è azzerato. Non sarà neppure possibile reinserire le informazioni sanitarie, perché l’azzeramento delle chiavi crittografiche ha resettato tutto. Come recuperare il numero dei lotti di vaccinazione in modo automatico? Senza farlo in modo manuale? Come gestire l’o rga n i z za - zione delle terze dosi? Sono interrogativi non irrilevanti. E questo indipendentemente dal numero di green pass azzerati. Anche se l’attac c o di martedì fosse concentrato su piccoli numeri, nulla esclude che possa essere un test per intervenire sui database periferici in modo più capillare. A quel punto il sistema sanitario che consente la tracciabilità della campagna vaccinale avrebbe seri problemi. Nei prossimi giorni si capirà la reale entità del danno e soprattutto potrebbe arrivare una rivendicaz io n e. A quel punto non basterà trincerarsi dietro a una condanna morale. «Il furto», si legge nella nota diffusa dall’esecutivo europeo, «rappresenta un’interferenza in u n’area sensibile e strategica, in un momento in cui i servizi sanitari di tutti gli Stati membri sono sotto pressione nella lotta alla pandemia». Servirà rivedere il sistema e interrogarsi sull’opportunità di proteggere i cittadini prima di trasformarli in account digitali.
Nessun commento:
Posta un commento