המקרה המוזר של ה-GreenPass של בובספוג

(של מרקו רוטיני)
02 / 11 / 21

לפני כמה ימים, בזמן שאכלתי ארוחת בוקר, אני מקבל הודעה בסמארטפון שלי שאומרת "בוקר טוב. נראה שהם הדליפו את המפתחות ליצירת המעברים הירוקים...

אם יאושר, זה אומר שבתיאוריה כל אחד יכול לייצר GreenPasses תקפים ".

הידיעה מיד משכה את תשומת לבי, וגרמה לי לעלות מיד על מחשבה מדאיגה: אם החדשות היו נכונות, היינו מבטלים את אחד מכלי הבקרה החשובים ביותר שעליהם מבוססות התוכניות שלאחר המגפה של הפעלה מחדש כלכלית, חברתית ואנושית!

רגע לאחר מכן, מחשבה שנייה מפחידה עוד יותר, אם כי מורכבת משלוש מילים בלבד: ברחבי אירופה!

בעיצומו של מערבולת התהליכים והאינטראקציות המאפיינות את ימיי, ניסיתי להקדיש משבצת תשומת לב לאבולוציה של החדשות, שעד הצהריים מכמה עיתונים מקוונים שבהם הופיעה הועברה לחדשות הארציות.

ההוכחה שהוצעה הייתה מוחשית למדי: קוד QR אשר - אם אושר באמצעות אפליקציית VerificationC19 הרשמית - החזיר א. מעבר ירוק תקף ל... אדולף היטלר, מלא עם תאריך לידה 1900; תאריך שגוי ככל שיהיה, מכיוון שהדמות נולדה באוסטריה ב-1889.

הבעיה, מעבר לרוח הסטודנטיאלית, נותרה חמורה מאוד: איך ייתכן שהם גנבו מפתחות קריפטוגרפיים תקפים ליצירת מעבר ירוק, שהיו צריכים להיות מטופלים בצורה מדויקת לחלוטין על ידי גורמים שרים או ממשלתיים עם תהליכים שנשלטים על ידי אבטחה ברמות הגבוהות ביותר?

החדשות הפיקטיביות, ההשערות, אפילו כמה הבטחות לא סבירות בעליל שמטרתן אולי להנמיך את רמת האזעקה רדפו זה אחר זה לאורך היום, החלו להשתלב עם הד מחו"ל שבו הבעיה הופיעה באתרים ידועים כמו bleepingcomputer. com .

אתרים אלה דיברו גם על גניבה או חילוץ אחר של מפתחות פרטיים, מה שהופך את זה לעוד יותר מדאיג בגלל כמה שמועות שהניח שהמפתחות הגנובים נוגעים לכמה מדינות חברות באיחוד האירופי.

השמועה על החדשות התפשטה עוד יותר, יחד (למרבה המזל) לתגובת המנהלים שהמשיכו לפסול את שני מעבר ירוק תקף בשם היטלר שכמה אחרים לא סבירים יצרו בינתיים, כמו זה של בובספוג מכנסמרובע שעליו אני מדווח בהתחלה (מעוות, ndd), עם הוכחה יחסית לפסילה.

במוצאי כ"ח הטור "שלום אינטרנט" מאת Matteo Flora בערוץ היוטיוב הציע הסבר הגיוני יותר ולמען האמת - מרגיע יותר מנקודת מבט מסוימת: מישהו מצא דרך לעשות שימוש לרעה במפתחות.

ליתר דיוק, נראה שהשימוש לרעה התרחש באמצעות קוד dgca-issuance-web - זמין בקלות מכיוון שהוא משותף באתר GitHub על ידי האיחוד האירופי - בשילוב מפתח חתימה תקף שברשותו של משתמש.

הקוד המדובר מייצג את התוכנית המועילה להפקת ה-GreenPasses, אשר בהשוואה מכל הבחינות לאישורי נייר של חיסון, ספוגית או החלמה, מועברות בצורה דיגיטלית.

כמו בתעודות נייר, יש לחתום על תעודות דיגיטליות כדי לקבל ערך. תהליך החתימה, אי יכולת להשתמש ב Penna, תשתמש ב מפתח דיגיטלי פרטי אשר משולב עם א מפתח דיגיטלי ציבורי מוכנס בתעודה. זֶה מפתח דיגיטלי ציבורי זה מושא האימות המאפשר לאשר את מקוריות האישור.

הדבר הקצת לא סביר, אם כן, הוא להשתמש ב-a מפתח פרטי תקף - שכן מפתחות החתימה ניתנים בשיעור של אחד לכל מדינה.

כדי להחמיר את המצב, העובדה שמדינות מסוימות, כולל איטליה, אינן יכולות רק לבטל תעודות מסוימות החתומות במפתח הלאומי... אבל הן צריכות לפסול את המפתח; פעולה שתחייב הנפקה מחדש של מיליוני מעבר ירוק נכון, רשמי ותקף שהוצא עד כה; לאלץ את הבעלים לבקש עותק בערוצים המסורתיים הידועים: אתר אינטרנט, בתי מרקחת וכו'.

העניין התפתח לקראת הסבר נוסף שתקף בסביבות השעה 13:40 ב-28 באוקטובר. לפי האתר הדיסאינפורמטיקאי למעשה, זוהו לפחות שש נקודות גישה חוקיות לפורטלים המסוגלים ליצור מעבר ירוק תקף במצב אנטפרימה באמצעות נתונים פיקטיביים שאינם נשמרים לאחר מכן.

על ידי שמירת התמונה, המייצגת תעודה חוקית, ניתן להפיק אישורים שהופיעו ברשת עם בעלים לא סבירים. לאחר שמירת התמונה, ניתן לבטל את הפעולה בבטחה מבלי להשאיר זכר לדור; של אישור שנותר - בכל מקרה - בתוקף.

נראה כי מה שקורה הוא תוצאה של פגיעות תהליכית חשובה, עצומה בהיקפה ובמימד. אשר בשילוב עם א גורם אנושי של חוקיות מפוקפקת, זה יצר את התנאים לביטול פוטנציאלי של אחד התהליכים המוצלחים ביותר להתאוששות מההשפעות ההרסניות של המגיפה.

לכן אין גניבת מפתחות, לפחות במצב בו התפתחו הדברים עד כה.

רק אחד היגיינה דיגיטלית גרועה ביישום תהליך IT.

עובדה זו אמורה לגרום לנו להרהר בהיבט שלעתים קרובות מאחד אירועי סייבר רבים, כולל זה שאנו מדברים עליו.

הטכנולוגיה המשמשת ליצירת ה מעבר ירוק זה בהחלט מוצק: למעשה, הוא משלב תעודות דיגיטליות, הדמיית מידע באמצעות קוד QR שהופך את הכל לשמיש בצורה פשוטה, אחידות של קבלה ותפעול הדדי של יישום בין מספר מדינות.

הפגם, החלק הפגיע באופן חשוב, הוא יותר על תהליך היישום והיישום. יש כאן מעט מאוד טכנולוגי, כי הנושא נוגע לניהול ובטיחות של תהליך.

ממה שצוין עד כה, ברור שנעשו טעויות חמורות בשלב זה.

דוגמה היא לאפשר הפקת תצוגה מקדימה של התעודה תקפה מכל הבחינות, מבלי לוודא – למשל – שהתצוגה המקדימה הייתה ניתנת לשליטה רק על ידי אפליקציה אחרת מזו שהיתה בודקת את הגרסה הסופית.

דוגמה נוספת נוגעת לניהול החיסיון.

אם הנפקת א מעבר ירוק שייכת לגוף ממשלתי רשמי ומאשרת אמת בלתי ניתנת לערעור - כמו נוטריון שמאשר שטר מכירה במקרקעין בין שני נושאים - היה צריך להיות מוגבל למפעילים מורשים מעקבים, שהפריבילגיות שלהם צריכות להינתן דווקא מול הרשאה ספציפית .

שלא לדבר על כך שכל אפליקציה, לפני שהיא "הוכנסה לייצור", צריכה להיבדק ולאמת על ידי מומחי אבטחה הנקראים בודק חדירה. מטרות אלו לחקור את הפגמים הפוטנציאליים של האפליקציה, אך גם את הדרך להשתמש בה... ואת הדרך הפוטנציאלית להשתמש בה לרעה.

אם כל השלבים הללו היו מבוצעים מראש ומתוקנים באופן מעשי במקרה של נזילות, היום לא היינו צריכים לעמוד בפני תאונה.

חשוב מכך, אל לנו אפילו לשאת בעלויות התגובה לאירוע הזה, אשר מסתכן בהרס אמיתי במונחים כלכליים בהחלט, אך גם במונחים של האמינות של כלי תמיכה בסיסי באמת להתאוששות כלכלית וחברתית.

הגנת rheinmetal