Странный случай GreenPass Губки Боба

(Ди Марко Роттинги)
02/11/21

Пару дней назад, когда я завтракал, я получил сообщение на своем смартфоне, в котором говорилось: "Доброе утро. Похоже, они слили ключи для создания зеленых проходов ...

В случае подтверждения это означает, что теоретически любой может предъявить действительные сертификаты GreenPass ».

Эта новость сразу же привлекла мое внимание, заставив меня мгновенно вывести на поверхность тревожную мысль: если бы новости были правдой, мы бы аннулировали один из важнейших инструментов контроля, на котором основаны постпандемические планы экономического, социального и гуманитарного перезапуска!

Мгновение спустя возникла еще более ужасающая вторая мысль, хотя и состоящая всего из трех слов: по всей Европе!

В разгар вихря процессов и взаимодействий, характерных для моих дней, я попытался уделить внимание развитию новостей, которые к полудню из пары интернет-газет, в которых они появлялись, были переведены в национальные новости.

Предложенное доказательство было вполне осязаемым: QR-код, который, если он был подтвержден официальным приложением VerificationC19, возвращал зеленый проход действительно для… Адольфа Гитлера, дата рождения 1900 г .; однако дата неверна, поскольку персонаж родился в Австрии в 1889 году.

Проблема, выходящая за рамки студенческого духа, оставалась очень серьезной: как могло случиться, что они украли криптографические ключи, действительные для генерации Зеленый перевал, которые должны были быть абсолютно точно обработаны министерствами или правительственными структурами, в процессах которых на самых высоких уровнях преобладала безопасность?

Фальшивые новости, гипотезы и даже некоторые явно маловероятные обещания, нацеленные, возможно, на снижение уровня тревоги, преследовали друг друга в течение дня, начиная объединяться с эхом из-за границы, где проблема появилась на известных сайтах, таких как bleepingcomputer.com .

На этих сайтах также говорилось о вероятной краже или, в любом случае, кражи закрытых ключей, что вызывает дополнительное беспокойство из-за некоторых Слухи который предположил, что украденные ключи касались нескольких государств-членов Европейского Союза.

Слух об этой новости распространился дальше, вместе (к счастью) из-за реакции менеджеров, которые приступили к признанию недействительными обоих Зеленый перевал действителен от имени Гитлера, который некоторые маловероятные другие создали за это время, например, Губка Боб Квадратные Штаны который я сообщаю при вскрытии (искаженный, ndd), с относительным доказательством признания его недействительным.

Вечером 28 числа колонна "Привет, Интернет" Маттео Флора на канале YouTube предложил более правдоподобное и, откровенно говоря, более обнадеживающее объяснение с определенной точки зрения: кто-то нашел способ злоупотреблять ключами.

В частности, злоупотребление, по-видимому, произошло через код dgca-Issuance-web - легко доступный, потому что он опубликован на сайте GitHub Европейским Союзом - в сочетании с действительным ключом подписи, которым владеет пользователь.

Рассматриваемый код представляет собой программу, полезную для создания GreenPass, которые во всех отношениях сравниваются с бумажными сертификатами вакцинации, мазка или выздоровления, перенесенными в цифровую форму.

Как и в случае с бумажными сертификатами, цифровые сертификаты должны быть подписаны, чтобы они приобрели ценность. Процесс подписания, невозможность использовать ручка, использовать личный цифровой ключ который сочетается с открытый цифровой ключ вставлен в сертификат. Этот открытый цифровой ключ это объект проверки, позволяющий подтвердить подлинность сертификата.

Поэтому несколько маловероятно использовать действующий закрытый ключ - поскольку ключи подписи выдаются из расчета один на страну.

Что еще хуже, некоторые страны, включая Италию, не могут только аннулировать некоторые сертификаты, подписанные национальным ключом… но они должны аннулировать ключ; операция, которая потребовала бы переиздания миллионов Зеленый перевал правда, официальный и действительный выданный до сих пор; принуждение владельцев запрашивать копию через известные традиционные каналы: онлайн-сайт, аптеки и т. д.

Дело развилось в сторону дальнейшего объяснения, которое действовало около 13:40 28 октября. По данным сайта Дезинформатик Фактически, было идентифицировано как минимум шесть действительных точек доступа к порталам, способным генерировать Зеленый перевал действителен в режиме Предварительный просмотр с использованием фиктивных данных, которые затем не сохраняются.

Сохраняя это изображение, которое представляет собой действующий сертификат, можно сгенерировать сертификаты, которые появились в Интернете с маловероятными владельцами. После сохранения изображения операцию можно безопасно отменить, не оставляя следов генерации; сертификата, который остается - в любом случае - действительным.

То, что происходит, кажется, является результатом важной, огромной по масштабу и размеру, уязвимости процесса. Что в сочетании с человеческий фактор сомнительной законности, он создал условия для возможной отмены одного из наиболее успешных процессов восстановления после разрушительных последствий пандемии.

Следовательно, кражи ключей нет, по крайней мере, в том состоянии, в котором все до сих пор развивалось..

Только один плохая цифровая гигиена при реализации ИТ-процесса.

Этот факт должен заставить нас задуматься над аспектом, который часто объединяет множество киберинцидентов, в том числе тот, о котором мы говорим.

Технология, используемая для создания Зеленый перевал он, безусловно, надежен: на самом деле, он сочетает в себе цифровые сертификаты, визуализацию информации с помощью QR-кода, что делает все доступным для простого использования, единообразие принятия и функциональную совместимость реализации между несколькими состояниями.

Недостаток, уязвимая часть в важном смысле, больше касается процесса внедрения и реализации. Здесь очень мало технологического, потому что речь идет об управлении и безопасности процесса.

Из того, что было отмечено до сих пор, очевидно, что на этом этапе были допущены серьезные ошибки.

Примером может служить создание предварительного просмотра сертификата, действительного во всех отношениях, без проверки, например, того, что предварительный просмотр может контролироваться только приложением, отличным от того, которое проверяло бы окончательную версию.

Другой пример касается управления конфиденциальностью.

Если выдача Зеленый перевал принадлежит официальному государственному органу и подтверждает неопровержимую истину - подобно тому, как нотариус, удостоверяющий договор купли-продажи недвижимости между двумя субъектами, - должен был быть ограничен отслеживаемыми уполномоченными операторами, чьи привилегии должны предоставляться именно при наличии специального разрешения. .

Не говоря уже о том, что любое приложение перед «запуском в производство» должно быть протестировано и утверждено экспертами по безопасности, называемыми Тестер проникновения. Они направлены на изучение потенциальных недостатков приложения, а также на способ его использования ... и потенциальный способ злоупотребления.

Если бы все эти шаги были выполнены заранее и исправно исправили в случае утечки, сегодня нам бы не пришлось столкнуться с аварией.

Что еще более важно, мы не должны даже нести расходы по реагированию на этот инцидент, который может оказаться поистине разрушительным с точки зрения экономики и надежности действительно фундаментального инструмента поддержки для экономического и социального восстановления.