Vor ein paar Tagen, während ich frühstückte, erhalte ich eine Nachricht auf meinem Smartphone, die sagt: "Guten Morgen. Es scheint, dass sie die Schlüssel durchgesickert haben, um die grünen Pässe zu erstellen ...
Wenn dies bestätigt wird, bedeutet dies, dass theoretisch jeder gültige GreenPasses vorlegen kann.
Die Nachricht erregte sofort meine Aufmerksamkeit und brachte mich sofort zu einem alarmierenden Gedanken: Wenn die Nachricht wahr wäre, hätten wir eines der wichtigsten Kontrollinstrumente, auf denen die postpandemischen Pläne für einen wirtschaftlichen, sozialen und menschlichen Neustart basieren, zunichte gemacht!
Einen Moment später ein noch erschreckender zweiter Gedanke, der allerdings nur aus drei Worten besteht: quer durch Europa!
Inmitten des Strudels von Prozessen und Interaktionen, die meine Tage charakterisieren, versuchte ich, der Entwicklung der Nachrichten, die bis Mittag von ein paar Online-Zeitungen, in denen sie erschienen, in die nationalen Nachrichten übergegangen waren, einen Aufmerksamkeitsplatz zu widmen.
Der angebotene Beweis war ziemlich greifbar: ein QR-Code, der - wenn er mit der offiziellen VerificationC19-App validiert wurde - als grüner Pass gültig für… Adolf Hitler, komplett mit Geburtsdatum 1900; das Datum ist jedoch falsch, da der Charakter 1889 in Österreich geboren wurde.
Das Problem, das über den studentischen Geist hinausging, blieb sehr ernst: wie es möglich war, dass sie kryptografische Schlüssel gestohlen hatten, die für die Generierung von Grüner Pass, die von ministeriellen oder staatlichen Stellen mit sicherheitsdominierten Prozessen auf höchster Ebene absolut korrekt gehandhabt werden sollten?
Die fiktiven Nachrichten, die Hypothesen, sogar einige offensichtlich unwahrscheinliche Versprechungen, die vielleicht darauf abzielen, den Alarmpegel zu senken, haben sich den ganzen Tag über gejagt und sich mit einem Echo aus dem Ausland verbunden, wo das Problem auf bekannten Websites wie bleepingcomputer auftauchte. com .
Diese Seiten sprachen auch von wahrscheinlichem Diebstahl oder in jedem Fall Exfiltration von privaten Schlüsseln, was es aufgrund einiger weiter beunruhigend macht Gerüchte der vermutete, dass die gestohlenen Schlüssel mehrere Mitgliedstaaten der Europäischen Union betrafen.
Das Gerücht über die Nachricht verbreitete sich weiter, zusammen (zum Glück) mit der Reaktion der Manager, die beide Grüner Pass gültig im Namen Hitlers, die inzwischen einige unwahrscheinliche andere hervorgebracht haben, wie der von Spongebob Schwammkopf die ich bei der Eröffnung berichte (distorted, ndd), mit relativem Ungültigkeitsnachweis.
Am Abend des 28. die Kolumne "Hallo Internet" von Matteo Flora auf dem YouTube-Kanal bot eine plausiblere und - ehrlich gesagt - beruhigendere Erklärung aus einer bestimmten Sicht: Jemand hat einen Weg gefunden, die Schlüssel zu missbrauchen.
Genauer gesagt, der Missbrauch scheint durch den dgca-issuance-Webcode erfolgt zu sein – leicht verfügbar, weil er von der Europäischen Union auf der GitHub-Site geteilt wird – kombiniert mit einem gültigen Signaturschlüssel im Besitz eines Benutzers.
Der fragliche Code stellt das Programm dar, das für die Erstellung der GreenPasses nützlich ist, die in jeder Hinsicht mit Papierzeugnissen über Impfung, Abstrich oder Genesung in digitaler Form verglichen werden.
Wie bei Papierzertifikaten müssen digitale Zertifikate signiert werden, um Wert zu gewinnen. Der Unterzeichnungsprozess, der nicht in der Lage ist, a . zu verwenden penna, benutze einen privater digitaler Schlüssel was kombiniert wird mit a öffentlicher digitaler Schlüssel in das Zertifikat eingefügt. Dies öffentlicher digitaler Schlüssel es ist der Überprüfungsgegenstand, der es ermöglicht, die Originalität des Zertifikats zu bestätigen.
Die etwas unwahrscheinliche Sache ist daher die Verwendung von a gültiger privater Schlüssel - da die Signaturschlüssel zum Preis von einem pro Nation vergeben werden.
Erschwerend kommt hinzu, dass einige Länder, darunter Italien, nicht nur einige mit dem nationalen Schlüssel signierte Zertifikate ungültig machen können ... aber sie sollten den Schlüssel ungültig machen; Operation, die die Neuausgabe von Millionen von Grüner Pass wahr, offiziell und gültig bisher ausgestellt; zwingt die Eigentümer, eine Kopie über die bekannten traditionellen Kanäle anzufordern: Online-Site, Apotheken usw.
Die Angelegenheit entwickelte sich zu einer weiteren Erklärung, die am 13. Oktober gegen 40:28 Uhr gültig war. Laut Website Der Desinformatiker tatsächlich wurden mindestens sechs gültige Zugangspunkte zu Portalen identifiziert, die in der Lage sind, zu generieren Grüner Pass gültig im Modus Vorschau unter Verwendung fiktiver Daten, die dann nicht gespeichert werden.
Durch das Speichern dieses Bildes, das ein gültiges Zertifikat darstellt, ist es möglich, im Internet aufgetauchte Zertifikate mit unwahrscheinlichen Besitzern zu generieren. Nach dem Speichern des Bildes kann der Vorgang sicher abgebrochen werden, ohne Spuren der Generierung zu hinterlassen; eines Zertifikats, das in jedem Fall gültig bleibt.
Das Geschehen scheint daher das Ergebnis einer wichtigen, in Umfang und Dimension enormen Prozessanfälligkeit zu sein. Welche kombiniert mit a menschlicher Faktor von zweifelhafter Rechtmäßigkeit hat es die Voraussetzungen geschaffen, um möglicherweise einen der erfolgreichsten Prozesse zur Erholung von den verheerenden Auswirkungen der Pandemie abzubrechen.
Kein Schlüsseldiebstahl also, zumindest in dem Zustand, in dem sich die Dinge bisher entwickelt haben.
Nur einer schlechte digitale Hygiene bei der Implementierung eines IT-Prozesses.
Diese Tatsache sollte uns dazu bringen, über einen Aspekt nachzudenken, der oft viele Cyber-Vorfälle vereint, auch den, über den wir sprechen.
Die Technologie zur Erzeugung der Grüner Pass es ist auf jeden Fall solide: Tatsächlich kombiniert es digitale Zertifikate, Informationsanzeige per QR-Code, die alles auf einfache Weise nutzbar macht, einheitliche Akzeptanz und Interoperabilität der Implementierung zwischen mehreren Staaten.
Der Fehler, der anfällige Teil in einer wichtigen Weise, betrifft mehr den Implementierungsprozess und die Implementierung. Technisch gibt es hier sehr wenig, denn das Thema betrifft die Führung und Sicherheit eines Prozesses.
Aus dem bisher Gesagten geht hervor, dass in dieser Phase gravierende Fehler gemacht wurden.
Ein Beispiel ist, die Erzeugung einer in jeder Hinsicht gültigen Vorschau des Zertifikats zu ermöglichen, ohne beispielsweise sicherzustellen, dass die Vorschau nur von einer anderen Anwendung steuerbar war, als derjenigen, die die endgültige Version überprüft hätte.
Ein weiteres Beispiel betrifft das Management der Vertraulichkeit.
Wenn die Ausgabe von a Grüner Pass gehört einer offiziellen Regierungsbehörde an und bekräftigt eine unumstößliche Wahrheit - wie ein Notar, der eine Kaufurkunde über den Verkauf von Immobilien zwischen zwei Subjekten beglaubigt - hätte auf nachgewiesene, autorisierte Betreiber beschränkt sein müssen, deren Privilegien genau angesichts einer bestimmten Genehmigung gewährt werden sollten .
Ganz zu schweigen davon, dass jede Anwendung vor der "Produktion" von Sicherheitsexperten namens . getestet und validiert werden sollte Penetrationstester. Diese zielen darauf ab, die potenziellen Mängel der Anwendung zu untersuchen, aber auch die Art und Weise, wie sie verwendet wird ... und die Möglichkeit, sie zu missbrauchen.
Wären all diese Schritte im Vorfeld durchgeführt und bei Undichtigkeiten fachmännisch behoben worden, hätten wir heute keinen Unfall mehr.
Noch wichtiger ist, dass wir nicht einmal die Kosten für die Reaktion auf diesen Vorfall tragen sollten, der in Bezug auf die Wirtschaft und die Glaubwürdigkeit eines wirklich grundlegenden Unterstützungsinstruments für den wirtschaftlichen und sozialen Aufschwung wirklich verheerend sein könnte.
