Hace un par de días, mientras desayunaba, recibí un mensaje en mi teléfono inteligente que decía "Buenos dias. Parece que han filtrado las claves para crear los pases verdes ...
Si se confirma, significa que, en teoría, cualquiera puede producir GreenPasses válidos ”.
La noticia me llamó la atención de inmediato, haciéndome aflorar instantáneamente un pensamiento alarmante: si la noticia fuera cierta, ¡habríamos anulado una de las herramientas de control más importantes en las que se basan los planes de reinicio económico, social y humano pospandémicos!
Un momento después, un segundo pensamiento aún más aterrador, aunque compuesto de solo tres palabras: ¡toda Europa!
En medio del torbellino de procesos e interacciones que caracterizan mis días, traté de dedicar un espacio de atención a la evolución de la noticia, que al mediodía desde un par de diarios online en los que aparecía había sido trasladada a la actualidad nacional.
La prueba ofrecida era bastante tangible: un código QR que, si se validaba con la aplicación oficial VerificationC19, devolvía un pase verde válido para… Adolf Hitler, completo con fecha de nacimiento 1900; Sin embargo, fecha incorrecta, ya que el personaje nació en Austria en 1889.
El problema, más allá del espíritu estudiantil, seguía siendo muy grave: cómo era posible que hubieran robado claves criptográficas válidas para la generación de Pase verde, que debieron haber sido manejados con absoluta precisión por entidades ministeriales o gubernamentales con procesos dominados por la seguridad al más alto nivel?
Las noticias ficticias, las hipótesis, incluso algunas promesas claramente inverosímiles destinadas quizás a bajar el nivel de alarma se han ido persiguiendo a lo largo del día, comenzando a combinarse con un eco del exterior donde el problema aparecía en sitios conocidos como bleepingcomputer.com. .
Estos sitios también hablaron de un probable robo o exfiltración de claves privadas, lo que lo hace aún más preocupante debido a algunos rumores quien planteó la hipótesis de que las claves robadas afectaban a varios Estados miembros de la Unión Europea.
El rumor de la noticia se extendió aún más, junto (afortunadamente) a la reacción de los directivos que procedieron a invalidar tanto la Pase verde válido en nombre de Hitler que algunos otros improbables generaron mientras tanto, como el de Bob Esponja Pantalones Cuadrados que informo en la apertura (distorsionado, ndd), con prueba relativa de invalidación.
En la tarde del 28, la columna "Hola Internet" de Matteo Flora en el canal de YouTube ofreció una explicación más plausible y, francamente, más tranquilizadora desde cierto punto de vista: alguien ha encontrado la manera de abusar de las claves.
Más específicamente, el abuso parece haber ocurrido a través del código dgca-issuance-web, fácilmente disponible porque la Unión Europea lo comparte en el sitio de GitHub, combinado con una clave de firma válida en posesión de un usuario.
El código en cuestión representa el programa útil para generar los GreenPasses, que se comparan en todos los aspectos con los certificados impresos de vacunación, hisopo o recuperación, transpuestos en forma digital.
Al igual que con los certificados en papel, los certificados digitales deben estar firmados para que adquieran valor. El proceso de firma, al no poder utilizar un pluma, utilizar una clave digital privada que se combina con un clave digital pública insertado en el certificado. Esta clave digital pública es el objeto de verificación que permite confirmar la originalidad del certificado.
Lo poco probable, por tanto, es utilizar un clave privada válida - dado que las claves de firma se dan a razón de una por nación.
Para empeorar las cosas, el hecho de que algunos países, incluido Italia, no solo pueden invalidar algunos certificados firmados con la clave nacional ... sino que deberían invalidar la clave; operación que requeriría la reedición de millones de Pase verde verdadero, oficial y válido emitido hasta el momento; obligando a los propietarios a solicitar una copia a través de los conocidos canales tradicionales: sitio online, farmacias, etc.
El asunto evolucionó hacia una explicación adicional válida alrededor de la 13:40 pm del 28 de octubre. Según el sitio El desinformático de hecho, se han identificado al menos seis puntos de acceso válidos a portales capaces de generar Pase verde válido en modo Avance utilizando datos ficticios que luego no se guardan.
Al guardar esa imagen, que representa un certificado válido, es posible generar certificados que han aparecido en la web con propietarios poco probables. Después de guardar la imagen, la operación se puede cancelar de forma segura sin dejar ningún rastro de la generación; de un certificado que sigue siendo, en cualquier caso, válido.
Por tanto, lo que está sucediendo parece ser el resultado de una vulnerabilidad de proceso importante, enorme en alcance y dimensión. Que combinado con un Factor humano de dudosa legalidad, creó las condiciones para cancelar potencialmente uno de los procesos más exitosos para recuperarse de los devastadores efectos de la pandemia.
Por lo tanto, no hay robo de llaves, al menos en el estado en el que las cosas han evolucionado hasta ahora..
Sólo uno mala higiene digital en la implementación de un proceso de TI.
Este hecho debería hacernos reflexionar sobre un aspecto que a menudo une a muchos ciberincidentes, incluido el que estamos hablando.
La tecnología utilizada para generar la Pase verde ciertamente es sólido: de hecho, combina certificados digitales, visualización de información vía QR Code que hace que todo sea utilizable de manera sencilla, uniformidad de aceptación e interoperabilidad de implementación entre varios estados.
La falla, la parte vulnerable de una manera importante, tiene más que ver con el proceso de implementación y la implementación. Aquí hay muy poca tecnología, porque el tema se refiere a la gestión y seguridad de un proceso.
Por lo que se ha señalado hasta ahora, es evidente que se han cometido graves errores en esta etapa.
Un ejemplo es permitir la generación de una vista previa del certificado válida en todos los aspectos, sin asegurarse, por ejemplo, de que la vista previa solo fuera controlable por una aplicación diferente a la que habría verificado la versión final.
Otro ejemplo se refiere a la gestión de la confidencialidad.
Si la emisión de un Pase verde Pertenece a un organismo oficial del gobierno y afirma una verdad incontrovertible --como un Notario que certifica una escritura de compraventa de bienes inmuebles entre dos sujetos-- debería haberse restringido a operadores rastreados y autorizados, cuyos privilegios deberían otorgarse precisamente ante una autorización específica .
Sin mencionar que cualquier aplicación, antes de ser "puesta en producción", debe ser probada y validada por expertos en seguridad llamados Probador de penetración. Estos tienen como objetivo estudiar los posibles defectos de la aplicación, pero también la forma de utilizarla ... y la forma potencial de abusar de ella.
Si todos estos pasos se hubieran realizado con anticipación y se hubieran subsanado de manera artesanal en caso de fugas, hoy no tendríamos que enfrentarnos a un accidente.
Y lo que es más importante, ni siquiera deberíamos asumir los costes de respuesta a este incidente, que corre el riesgo de ser realmente devastador en términos ciertamente económicos, pero también en términos de credibilidad de una herramienta de apoyo verdaderamente fundamental para la recuperación económica y social.
