Domanda Decodifica Green Pass

Stato
Discussione chiusa ad ulteriori risposte.
parli dell'infame tessera verde ? Lo vedo un nome piu corretto, visto che ora chi non la detiene non puo lavorare (se non torturato da tmaponi a sue spese), ed il lavoro e' un diritto umano fondamentale.

Come vedi il tema non mi entusiasma, ma tuttavia,
puoi postare gli errori che ricevi, cosi forse qualcuno magari ti aiuta.

Non puoi pensare che qui la gente compili il programma per te.
 
bhe, se si potesse crackare non sarebbe male.
Non si può, l'abbiamo già spiegato in altri post. Se volete provarci siete liberi di provarci, ma non siate stupidi e diffidate da chi vi promette di potervi fornire una certificazione falsificata in cambio di denaro. Non si sono inventati niente di nuovo, hanno semplicemente applicato un protocollo crittografico già diffuso ed è proprio per queta ragione che "non si può hackerare". Inoltre, tutto il codice e tutto il procedimento utilizzato per generare e verificare il green pass è open source e ben documentato. Per esempio, qui spiegano i requisiti della chiavi. Se volete qualche altra informazione vi assicuro che la troverete, non c'è bisogno di fare reverse engineering, è tutto pubblico. L'unico modo plausibile di "hackerare il green pass" che mi viene in mente è creando una app Verifica19 fasulla che vi fa diventare verdi i certificati che volete voi, ma quando saranno gli altri (con il loro telefono) a verificarvi il green pass, sarete fottuti. Non dico che il sistema è indubbiamente inattaccabile, ma di sicuro non è alla portata degli hacker della domenica e, realisticamente, un possibile attacco non sarà in grado di raggiungere i risultati che sperate voi.

puoi postare gli errori che ricevi, cosi forse qualcuno magari ti aiuta.
Non credo che abbia errori particolari, sta semplicemente cercando una libreria C che implementa le primitive di di cui ha bisogno. In particolare credo che stia cercando un parser per il formato COSE. Il problema è che il C, by design, non si presta bene a risolvere i problemi in questo modo: in Javascript e in Python quando hai un problema importi la libreria che lo risolve, in C lo risolvi scrivendo più codice. Concordo che se nemmeno linka le librerie che ha scaricato c'è poco da aiutare e io non ho idea di quali siano i suoi scopi finali, ma secondo me C is the wrong tool for the job.

Se volete scannarvi per questa cosa del vaccino, tempo fa in community bar c'era una discussione a riguardo. Altrimenti apritene una nuova nella sezione più appropriata, al di fuori della development area. Va bene esprimere opinioni contrastanti ma, visto che si tratta di un topic caldo, bisogna rimanere civili e bisogna essere capaci di non offendersi facilmente. L'unico motivo per cui vale la pena dibattere è per capire il punto di vista di chi ha un'opinione diversa dalla nostra.
 
No St3ve si stava parlando del procurarsi un GP autentico e spacciarsi con una ID card falsa, ovviamente devi andare solamente in posti dove ti conoscono.... Eviterei di andare in una palestra dove sei gia schedato con il tuo vero nome, credo sia la via più accessibile che scalare la chiave privata... oppure trovare un dottore che svouti il vaccino nel lavandino, dato che li da parte del medico c'è il penale, un giornalista dopo che si sparge la voce lo sputtana in due minuti..... Altre alternative per ora non mi vengono... notte.
Ah beh sì, quello sicuramente. Come ho fatto notare anche prima, penso che sia fattibile anche allungare 5000€ a qualche medico incaricato a fare i green pass (magari di un paese est europeo, dove gli stipendi sono bassi) e ottenerne uno valido a nome tuo. Parliamoci chiaro, io sono già vaccinato e sono interessato all'argomento da un punto di vista puramente informatico. Capisco bene il punto di vista di chi non vuole vaccinarsi e sono anch'io convinto che questa imposizione non-ufficiale ad un vaccino tutt'ora classificato come sperimentale e "autorizzato all'uso di emergenza", sebbene abbia buoni propositi, sia una violazione dei nostri diritti. Però pensateci 10 volte prima di anche solo indagare su come si possano commettere atti illeciti di questo tipo. Un conto è essere contro il green pass, un altro è quello di essere disposti a commettere reati gravi pur di non vaccinarsi. Essere poveri non è una giustificazione per diventare ladri. State sicuri che se vi accusano di furto d'identità, di corruzione di pubblico ufficiale o peggio, il vaccino diventerà l'ultimo dei vostri pensieri. Senza contare che, se volete la mia opinione, questo vaccino è destinato a diventare obbligatorio (e solo a quel punto rimuoveranno il green pass).

Manteniamo la discussione sul punto di vista della sicurezza informatica, altrimenti ce la chiudono ;)
 
Ultima modifica:
Non dico che il sistema è indubbiamente inattaccabile, ma di sicuro non è alla portata degli hacker della domenica e, realisticamente, un possibile attacco non sarà in grado di raggiungere i risultati che sperate voi.
Hanno hackerato il green pass. Pare che sia stato un polacco e ancora non si hanno notizie su come abbia fatto. Realisticamente ha violato i server nella italiani regione Lazio e ha beccato la chiave privata, ma ancora non è chiaro. Ansa parla di chiavi sottratte (link).

452294_FCqDPDFWUAQm_Sn.jpeg


Questo è un certificato valido in Italia e in Europa a nome di Hitler Adolf, nato il 01/01/1930. È possibile che tornerà ad essere rosso nel giro di poco perché lo annulleranno a mano. L'ho testato personalmente e alle 10:45 del 27 Ottobre 2021 è verde usando l'app ufficiale Verifica19. Questo tizio vende certificati a 300€. Non date per scontato che i certificati comprati rimarranno validi per sempre o anche solo per settimane/mesi.

Sottolineo che il green pass non è stato hackerato oggi ma, realisticamente, da almeno una settimana.

Okay, non solo un polacco. C'è in giro diversa gente che vende green pass validi, italiani e non.
 
  • Mi piace
Reazioni: MRPants e 0xbro
Ci sono altri thread a riguardo, in particolare questo e questo. Pare che non ci sia nessuna chiave leakata. Molto semplicemente, qualche sito governativo aveva il frontend ufficiale per generare i green pass accessibile senza alcuna protezione (no VPN e no credenziali). Una volta trovato il link giusto, compilavi il form con i dati di tuo interesse (nome, cognome, etc.), clickavi su genera certificato e avevi il tuo green pass. Non dovevi essere un hacker per essere capace di farlo, dovevi solo trovare l'indirizzo giusto utilizzando gli strumenti appropriati. Da qualche ora stanno risolvendo il problema e stanno chiudendo tutti quei portali. I certificati (fasulli e non) autenticati utilizzando quel servizio per adesso rimangono prevalentemente verdi. Più avanti si vedrà. Più info in questa discussione.

Se avessero veramente leakato qualche chiave, il problema sarebbe stato significativamente più grave. Hanno commesso un errore da idioti, ma il sistema crittografico è ancora solido. Vedremo cosa succederà nei prossimi giorni, ma a me sembra abbastanza evidente che sia ormai tutto finito. Adesso si stanno occupando di chiudere la falla (qualche indirizzo è già stato fixato) e più avanti si occuperanno di arrossare i green pass falsi. In base ai dati che loggano, potrebbe volerci poco o "tanto" tempo.

Magari continuiamo in una discussione sola almeno evitiamo di frammentare il discorso per tutto il forum.
 
Scusate chiedo da completo ignorante. Premetto che io sono vaccinato e ho il Green Pass vero e non ho intenzione di comprarmene uno, ma al posto di entrare in server per fregare chiavi che verranno cambiate ogni momento non basterebbe modificare la app di VerificaC19 in modo tale che possa leggere qualsiasi Qcode positivo? Da quello che ho visto ogni persona utilizza questa app per il controllo e verifica del GP, app che si trova sullo store di Android. Cosa ne pensate?
Certamente. Modificare l'app opensource Verifica19 per fare in modo che verifichi tutti i green pass che vuoi è fattibilissimo e anche estremamente facile... il problema è che il green pass non te lo verifichi da solo, ma sono gli altri a verificartelo. Dovresti convincere tutta Italia (o tutta l'Europa) ad installare la tua app tarocca.
L'alternativa sarebbe rubare le credenziali di google play del ministero della salute, caricare la tua app tarocca e farla scaricare a tutta Italia come aggiornamento della app attuale. Ma appena se ne accorgono, gli basterà cambiare la password e ricaricare la versione originale.
 
  • Geniale
Reazioni: -Anbu-
Certamente. Modificare l'app opensource Verifica19 per fare in modo che verifichi tutti i green pass che vuoi è fattibilissimo e anche estremamente facile... il problema è che il green pass non te lo verifichi da solo, ma sono gli altri a verificartelo. Dovresti convincere tutta Italia (o tutta l'Europa) ad installare la tua app tarocca.
L'alternativa sarebbe rubare le credenziali di google play del ministero della salute, caricare la tua app tarocca e farla scaricare a tutta Italia come aggiornamento della app attuale. Ma appena se ne accorgono, gli basterà cambiare la password e ricaricare la versione originale.

Difatti pensavo proprio a qualcuno che spacci la versione modificata e la inserisca tramite aggiornamento sostituendo la versione originale ma, come dici tu, ovviamente basta che cambino la password e ripristinino il tutto per non farla più andare! Dovrebbero caricare quella versione ogni momento, troppo lavoro..mi sa che l'unica per chi pensa di avere un Green Pass senza vaccinarsi è...vaccinarsi oppure fregarlo ad un parente e spacciarsi per lui, sempre sperando che non ti controllino un documento per la verifica :ehm:
 
  • Mi piace
Reazioni: Eoloprox
inoltre se non sbaglio il database della app deve essere aggiornato manualmente dall'operatore
Se sei online, si aggiorna automaticamente ogni volta che apri l'app. Se non si aggiorna è perché l'app era già aperta in background. Quando il playstore o l'apple store aggiorna una app, te la chiude automaticamente (anche se continui a vederla nelle app recenti). In ogni caso, potete vedere "ultimo aggiornamento dati e regole" nella schermata principale di Verifica19. Con il database aggiornato a sta mattina il certificato francese era già invalido, quello polacco è diventato invalido poche ore fa.

Da quanto ne so non c'è ancora un meccanismo pratico per revocare una singola certificazione. Potrei sbagliarmi, ma chi ha contratto il covid e si è ritrovato il green pass temporaneamente sospeso potrà darci la sua testimonianza a riguardo. Se fosse così, è plausibile che tutti i certificati emessi da alcune chiavi (quelle palesemente leakate) siano già stati annullati e trasferiti verso un'altra chiave.

Più info in questo thread.
 
  • Mi piace
Reazioni: 0xbro
OK un brute force, in quanto tempo la risolverebbe...almeno la lunghezza è possible saperla?

Il sistema accetta certificati RSA o ECDSA (Curva ellittica) senza specificare la dimensione, viene lasciata al singolo paese la scelta di cosa usare. Nel caso di ECDSA sarà molto probabilmente una chiave a 256 bit, per RSA quasi certamente a 4096 bit (è sicuro quanto ECDSA nonostante la dimensione della chiave). Il bruteforce non è pensabile se non con un potente computer quantistico che ha un notevole vantaggio nel rompere la crittografia asimmetrica.
 
  • Mi piace
Reazioni: Eoloprox
Bazzigando in rete ho trovato questo... con questa storia, cosa ne pensate..

A oggi esiste la possibilità di acquistare un green pass valido su telegram, non è vero che sono tutte truffe, un mio amico lo ha comprato e funziona perfettamente.
Perché gli hacker “cattivi” speculano vendendo green pass e gli hacker “buoni”invece non danno la possibilità di crearlo personalizzato facendo crollare informaticamente il sistema a vantaggio di tutti?
A quanto ho capito è un problema di “chiavi”, esiste già un pannello di creazione del green pass a questo link:
https://github.pathcheck.org/eu.dgc.html
Il problema è che la chiave privata non è valida e serve una persona compiacente all’interno del servizio sanitario in qualsiasi parte della comunità europea che ti rilasci la sua chiave per generare green pass che passino la validazione. Di queste persone compiacenti ce ne sono molte ed è per questo motivo che iniziano a girare molti green pass che sono perfettamente funzionanti ma c’è un problema, questa chiave non può essere rilasciata pubblicamente altrimenti chi controlla le frodi potrebbe facilmente annullare tutti i green pass creati con quella determinata chiave.
Quindi ad oggi per avere un green pass valido senza farsi il vaccino o il tampone l’unica soluzione è affidarsi a questi speculatori in rete.
Qui nasce l’ennesima discriminazione, soggetti che sono “smanettoni” riescono a procurarsi il green pass con 100 euro e si risolvono il “problema”, gli altri poco pratici continuano a farsi stuprare il naso per poter lavorare.
Il nostro governo si dovrebbe vergognare per tutto questo ma ormai siamo all’interno di una follia collettiva dove la vergogna non è contemplata.
Il sistema informatico del green pass si regge sul nulla, è pieno di falle e come ho già ripetuto spesso non può essere usato come strumento di controllo.
Questa cosa che ho scritto dovrebbe essere l’apertura di ogni telegiornale per denunciare questa truffa ma come al solito tutto tace...
 
  • Mi piace
Reazioni: spenk
Bazzigando in rete ho trovato questo... con questa storia, cosa ne pensate..

Direi che ci sono un po' di inesattezze....
Prima di tutto il personale medico non è in possesso di nessuna chiave privata... In Italia, il certificato viene emesso dal Ministero della Salute. Quello che fa il personale medico al momento del tampone / vaccino è inserire i dati del paziente nel portale web e questi vengono poi trasmessi al server preposto per generare il GreenPass.
La chiave privata è quindi custodita in qualche server del Ministero e, a dirla tutta, dubito fortemente che sia anche esposto su internet.
Gli ultimi GreenPass falsi che sono girati sono stati emessi dai server della Macedonia in quanto, a causa di una configurazione errata, il loro portale di immissione dati era esposto al pubblico, senza nessuna autenticazione.
Ci sono almeno altri due server (Vietnam e Lao) che hanno il loro servizio esposto al pubblico dove puoi inserire i dati e scaricarti il GreenPass, tuttavia il loro GP non è valido in Europa, quindi non te ne fai nulla.

Per quanto riguarda il link è stato detto più e più volte.
Il sistema del GreenPass poggia su fondamenti tecnici consultabili da chiunque su internet. Ci sono tutti i codici sorgenti su GitHub... dall'applicazione di verifica a come codificare il dato.
Non vedo perchè ci si continua a meravigliare quando si trovano queste cose....

Qui nasce l’ennesima discriminazione, soggetti che sono “smanettoni” riescono a procurarsi il green pass con 100 euro e si risolvono il “problema”, gli altri poco pratici continuano a farsi stuprare il naso per poter lavorare.
Ma discriminazione di cosa?
Se vuole il GreenPass si faccia vaccinare.
Se lo vuoi di sottobanco paghi qualcuno che te lo fa avere. Sbaglio o in Italia non puoi acquistare un carrarmato? Ma scommetto che se pago qualcuno riesco a metterlo nel mio garage... Quindi? Sono discriminato?!
 
  • Mi piace
Reazioni: LinuxUser
Ultima modifica:
ho scaricato da internet circa 90/100 greenpas , se non lo avessi ne potrei usare uno al giorno con un po di astuzia
Supponendo che tu non fossi vaccinato, cosa ci fai con questi 100 green pass? Stabilito che al lavoro la gente ti conosce, non puoi di certo presentare un certificato a nome non tuo e sperare che nessuno se ne accorga. Vuoi viaggiare? Buona fortuna a presentarti agli aeroporti senza che nessuno si faccia due domande quando il nome sul green pass non corrisponde al nome sul biglietto, del passaporto e della carta d'identità. Le uniche cose che puoi fare con un green pass a nome di qualcun altro è andare nei bar, nei cinema e nelle zone d'intrattenimento... sperando che non ti dicano niente quando fingi di esserti dimenticato un documento di identità. Se poi qualcuno ti becca o capita il giorno sfigato che ci sono i carabinieri a fare i controlli random poi l'accusa non è semplicemente "è andato in giro senza vaccino"; qui si parla di furto d'identità e cose simili e se qualcuno vuole farti passare problemi, stai tranquillo che ci riesce.

Di green pass (falsi o veri) ne serve solo uno, ma dev'essere a nome tuo e con la tua data di nascita. Con 100 green pass non ci fai proprio niente.

io ho trovato questo su github ma ora il repo e stato sospeso il file compressso che allego l ho scaricato appena in tempo prima che sospendessero il repo
A leggere il readme, è chiaramente un progetto didattico che non ha portato ad alcun risultato significativo. Roba molto amatoriale anche perché, per esempio, leggo: "This public keys also called certificates and are not public, perhaps that inside the QR Code is the public key and the other is the private however we need to find a way to get them". Cosa assolutamente falsa, visto le chiavi pubbliche sono veramente pubbliche.

Visto che ti piace smanettare, se usi linux puoi fare:
Codice:
curl "https://get.dgc.gov.it/v1/dgc/signercertificate/update" -H "X-RESUME-TOKEN: 5" | base64 -d | openssl x509 -inform DER -text

Ed eccoti qui la chiave pubblica (certificato) italiana del Ministero della Salute:
Codice:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Che per la cronaca contiene queste informazioni:
Codice:
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            46:57:6e:e6:bb:1f:ac:37:99:b4:30:71:ac:9f:92:ba:33:2b:d8:8b
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = IT, O = Ministero della Salute, CN = Italy DGC CSCA 1
        Validity
            Not Before: May 12 08:18:17 2021 GMT
            Not After : May 12 08:11:59 2023 GMT
        Subject: C = IT, O = Ministero della Salute, CN = Italy DGC DSC 1
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub:
                    04:9c:bf:7e:5a:72:29:f5:fb:db:72:87:19:48:65:
                    05:95:2c:3d:7d:f5:bf:8d:b3:0e:37:37:2f:9b:55:
                    f8:73:ea:57:38:f1:2c:ec:2e:3f:f3:7f:8f:c5:2f:
                    12:c1:e6:b6:86:09:bf:b4:ab:78:3c:8d:33:f3:08:
                    27:21:e8:68:8f
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Authority Key Identifier:
                keyid:BE:54:E5:69:5E:67:92:40:89:97:60:41:00:07:FA:4B:45:50:B0:FF

            X509v3 CRL Distribution Points:

                Full Name:
                  URI:ldap://cads.dgc.gov.it/CN=Italy%20DGC%20CSCA%20x\1,O=Ministero%20della%20Salute,C=IT

            X509v3 Subject Key Identifier:
                2E:1B:01:B0:AF:A4:0A:EB:81:9D:04:F9:1A:EA:4B:C5:7B:4C:D3:48
            X509v3 Key Usage: critical
                Digital Signature
    Signature Algorithm: sha256WithRSAEncryption
         8f:14:de:17:bc:a1:2b:3f:f7:3c:a6:7d:f9:67:e0:64:f6:88:
         cd:9b:e7:3b:f9:e6:b9:46:ab:b6:05:5d:df:1b:93:3c:db:5d:
         e6:db:98:44:d4:bf:d4:1e:fc:1c:d3:64:ed:f5:e2:ab:98:47:
         da:af:31:1c:5f:72:c5:8c:44:c6:8b:f6:a8:5a:df:50:c0:f9:
         1c:e6:73:60:a1:d9:72:37:16:14:d1:ef:1f:a8:f1:ee:a0:c2:
         b5:be:4f:ac:e8:12:2b:94:14:43:3c:9c:47:b3:20:58:81:62:
         9e:85:b0:b1:62:2b:03:50:09:3b:07:d4:a2:2e:ef:d5:aa:16:
         34:c2:b5:78:76:66:47:76:3d:2d:0f:38:a9:e1:36:c8:39:37:
         8e:a1:06:8e:52:55:09:b8:01:a7:b3:bc:7a:6c:f2:d8:a8:56:
         bf:72:72:45:98:13:98:5c:fb:a7:a7:91:5c:3c:d4:60:7b:49:
         6a:e7:ef:78:88:64:34:cf:d4:f2:9d:d2:ed:e8:10:7a:09:62:
         20:53:26:b9:fb:c4:c9:97:a6:0f:60:4c:bd:bf:7b:1f:d3:d0:
         a6:ec:de:33:00:7c:cd:c1:5b:b9:99:8d:97:8d:80:14:c4:36:
         3e:14:1e:db:ba:54:d3:01:6c:0c:4a:8b:7b:41:13:6f:97:91:
         dd:3f:4b:eb:37:52:ad:69:5d:c3:a5:2e:5e:86:15:d3:fe:5f:
         be:30:39:e6:a0:a3:01:a2:c9:d2:a8:b5:e8:26:bf:8e:de:a2:
         2a:ec:2c:fc:a2:a1:f7:2a:fe:16:a6:4c:9d:95:07:d8:3d:a3:
         da:2f:0b:04:0e:bb:21:ed:09:a1:93:d2:a2:3a:fc:73:04:93:
         c5:00:5d:24:52:3b:db:6b:9c:cc:28:ff:46:de:bd:63:8b:0b:
         75:5d:e1:35:0d:80:f6:11:eb:5d:eb:32:42:c9:6b:d1:ec:f7:
         50:71:f3:0d:11:4c:56:53:97:58:26:b2:8f:72:c8:82:fb:5f:
         4e:32:ab:4f:52:7e:ff:75:6e:f5:fb:ec:d7:e0:82:24:42:ee:
         0b:d8:2d:54:bc:4c:b1:d4:5c:fc:0e:bf:6e:f5:b8:98:0b:32:
         63:bf:11:39:7d:bb:06:2f:02:c4:f3:79:21:96:ed:8b:28:e9:
         99:d7:eb:d9:bb:9f:0d:cc:21:c3:37:70:b1:d4:10:0e:84:a2:
         20:5d:4b:66:a0:a7:ee:c1:c1:99:48:73:a0:f7:01:25:d5:c5:
         11:3e:7c:10:aa:30:d0:15:9c:7a:b6:73:a6:fb:15:1d:c3:13:
         13:6b:ae:01:4a:ff:25:48:75:48:1a:68:24:28:8c:21:14:a5:
         f9:73:e8:10:0d:aa:a9:85

ho letto che in un post precedente c'era il link con il file condiviso della chiave privata
Nah... è disinformazione. Nei primi giorni qualche giornale ha parlato di chiavi private leakate ed è quella la voce che si è sparsa in giro, poi si è scoperto che bastava aprire un link e compilare un form: roba veramente a prova di stupido, è più difficile registrarsi su Inforge. L'unica cosa un po' complicata era trovare il link giusto che, se non te lo comunicava nessuno, dovevi andarlo a cercare in un motore di ricerca fatto apposta per queste cose che si chiama Shodan. Come ho scritto in un post precedente: sembrava una cosa seria, ma alla fine si è rivelata una boiata (dal punto di vista informatico).

mi da questo errore, ho provato a cambiare directory /home/kali/certificate/script.py e private-key.pem ma nulla
Se vuoi fare esperimenti di questo tipo usa il sito https://github.pathcheck.org/eu.dgc.html linkato anche da Eoloprox in un post precedente. Funziona bene, fai meno fatica e non devi installare niente.
 
  • Mi piace
Reazioni: zecchi69
Quale sarebbe questo form che hanno compilato?
Apri un sito web con un normalissimo browser e ti appare questa roba.

form.png


Inserisci i tuoi dati, fai click su "Next" e hai il tuo green pass. Un green pass falso, ma che appare vero all'app Verifica19 (e alle altre app europee) perché viene firmato con una chiave privata vera che però non è visibile attraverso queste API. Volendo potevi anche scegliere di ottenere altri certificati simili, tipo quello che ti danno con il tampone invece che col vaccino. Al posto di Italy potevi metterci quello che volevi, non era un sito gestito dal governo italiano. C'era più di un sito di questo tipo, con la stessa interfaccia, ma di paesi diversi (con chiave privata diversa). Niente password o credenziali di alcun tipo per entrare, bastava il link. Esistono ancora siti di questo tipo, ma pare che adesso siano (tutti?) protetti da credenziali.

Dal punto di vista politico è una cosa seria perché la strategia che hanno scelto è "tutti ci fidiamo di tutti" e gli si è ritorta contro alla grande, ma dal punto di vista informatico è una barzelletta e non c'è proprio niente di interessante da vedere. Avevano letteralmente lasciato il portale per fare i green pass accessibile da chiunque, su internet e senza alcun tipo di protezione. Negligenza umana.
 
  • Mi piace
Reazioni: 0xbro
@St3ve: forse hai interpretato male il messaggio. Non mi interessa se lo screenshot proviene dal tuo browser o meno, vuoi spiegare qui in modo pratico come sei riuscito a trovare con Shodan (quale query) questo modulo o devo strapparti “le parole dalla bocca”?
http.favicon.hash:-1955025782

Ti salteranno fuori 10 server ma nessuno utilizzabile, tranne quello di Lao e del Vietnam che però, chiaramente, generano un QRCode non valido per i paesi Europei.
 
  • Mi piace
Reazioni: 0xbro
Se è così, dando un'occhiata al filtro http.favicon.hash di Shodan è molto probabile che i moduli scoperti (che dovevano essere protetti da credenziali) siano stati trovati in questo modo. Il malintenzionato:
  1. Cerca con un motore di ricerca (es. Google) un paio di pagine concernenti alla certificazione verde.
  2. Colleziona i link delle icone associate a queste particolari pagine web (/favicon.ico).
  3. Crea uno script (es. in JavaScript) che effettui una richiesta HTTP GET al link, poi codifichi i dati binari dell'immagine (che vengono restituiti nella risposta HTTP) in Base64 e infine restituisca un hash a 32 bit come intero di tipo signed (con segno) attraverso la funzione MurmurHash: "una funzione hash non crittografica adatta per ricerche generali basate su hash" (Wikipedia, ndr). In particolare utilizza la variante MurmurHash3.
  4. Cerca su Shodan il numero restituito dallo script preceduto dal filtro http.favicon.hash.
  5. Trova il modulo da compilare per registrare un green pass.
La prestazione è il motivo per cui viene utilizzata questa funzione, è designato per essere veloce e minimizzare le collisioni. Shodan ha indicizzato un'abbondante quantità di pagine web e il suo database deve archiviare gli hash nel modo più stringato possibile. Gli hash più piccoli sono più veloci da archiviare ed elaborare e questo è il motivo per cui bisogna in generale evitare un hash crittografico (e non) completo.
 
  • Mi piace
Reazioni: 0xbro

ilaTecnimed

Utente Iron
7 Ottobre 2021
2
2
2
6
Buongiorno a tutti, spero non sia stato già aperta una discussione su questo argomento, nel qual caso chiedo scusa. Sto sviluppando un programma che ottenuta una stringa dalla lettura di un green pass deve decodificarla per poter comparare i dati con quelli letti dalla CIE o passaporto elettronico. Il programma è sviluppato su C (lavoro a basso livello) e non riesco a trovare il metodo corretto so che i passaggi sono Stringa (Che ottengo da un lettore) --> Base45(libreria che ho trovato su GitHub, testata e funzionante)-->Zlib(il codice decomprime ma ottengo un errore)-->COSE(non riesco a trovare nulla di concreto per C)--> Cbor(libreria trovata online ma non restituisce nulla di concreto). Per chiarire meglio la situazione posto il mio codice di lavoro, ovviamente il Green Pass è finto.
C:
int main(int argc, char **argv) {
    unsigned char out[20000],u_out[20000],buf[20000];
    size_t size_out;
    char* in;
    int err, i;
    long int ucompSize_out;
    long int compSize_out;
  
    cbor_reader_t reader;
    cbor_item_t item;
    //stringa green pass
    in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
    size_out=sizeof(out);
    
    printf("GP:(\"%s\") ", (char*)in);
    printf("\n%d",err);
    
    //codifica in base45
     err=base45_decode(out,&size_out,in,strlen(in));
     printf("\nbase45(\"%s\") ", (char*)out);
    printf("\n%d",err);
        
    //decompressione zlib
    ucompSize_out= strlen(out)+1;
    compSize_out= compressBound(ucompSize_out);
    err=uncompress ((Byte *)u_out, &ucompSize_out, (const Byte *) out, compSize_out );
    printf("\nzlib(\"%s\") ", (char*)u_out);
    printf("\n%d",err);
    
    
    //cbor
    cbor_reader_init(&reader,&u_out,sizeof(u_out));
    item.type=CBOR_ITEM_STRING;
    item.size=sizeof(u_out);
    err=cbor_decode(&reader, &item, (char*)buf, sizeof(buf));
    
    printf("\ncbor(\"%s\") ", (char*)buf);
    printf("%d",err);
};
 
Ciao, ci ho bestemmiato come un beduino tutto il sabato e parte del venerdì notte perchè mi ci sono incaponito e onestamente non avevo niente di meglio da fare qui c'è la mia implementazione se ci vuoi dare un'occhio.

In sostanza c'è poca disponibilità di librerie per quanto riguarda COSE e quella lì (COSE-C) è peggio di openssl, dopo tantissime bestemmie comunque, leggendo pezzi di rfc e tutti i test della libreria (unica documentazione utile) incappando per altro in cose come questa (immagine sotto), dicevo alla fine ci sono riuscito, spero che tu ti diverta un po' meno di quanto mi son divertito io XD

1635026645375.png
 
Scusate chiedo da completo ignorante. Premetto che io sono vaccinato e ho il Green Pass vero e non ho intenzione di comprarmene uno, ma al posto di entrare in server per fregare chiavi che verranno cambiate ogni momento non basterebbe modificare la app di VerificaC19 in modo tale che possa leggere qualsiasi Qcode positivo? Da quello che ho visto ogni persona utilizza questa app per il controllo e verifica del GP, app che si trova sullo store di Android. Cosa ne pensate?
 
Hanno hackerato il green pass. Pare che sia stato un polacco e ancora non si hanno notizie su come abbia fatto. Realisticamente ha violato i server nella italiani regione Lazio e ha beccato la chiave privata, ma ancora non è chiaro. Ansa parla di chiavi sottratte (link).

452294_FCqDPDFWUAQm_Sn.jpeg


Questo è un certificato valido in Italia e in Europa a nome di Hitler Adolf, nato il 01/01/1930. È possibile che tornerà ad essere rosso nel giro di poco perché lo annulleranno a mano. L'ho testato personalmente e alle 10:45 del 27 Ottobre 2021 è verde usando l'app ufficiale Verifica19. Questo tizio vende certificati a 300€. Non date per scontato che i certificati comprati rimarranno validi per sempre o anche solo per settimane/mesi.

Sottolineo che il green pass non è stato hackerato oggi ma, realisticamente, da almeno una settimana.

Okay, non solo un polacco. C'è in giro diversa gente che vende green pass validi, italiani e non.

Questa mattina era valido, mentre poco fa non più.

Secondo me qualche dottore polacco/francese si sta divertendo per farsi $$$ facili.
Sul forum dove è scoppiata la notizia non hanno recuperato nessuna chiave privata.

Soltanto queste due persone di origine polacca e francese pare essere in grado di generare QR "validi".
 
Ultima modifica:
Questa mattina era valido, mentre poco fa non più.
A me risulta ancora valido. Quelli che hanno annullato sono quelli francesi, io ho postato quello polacco.
Comunque la situazione è grave. Dicendo "soltanto queste due persone di origine polacca e francese" stai sminuendo un po' l'accaduto. Quelli sono solo due cristiani che hanno postato sullo stesso forum, ma plausibilmente potrebbero essercene anche altri. La cosa più plausibile è che abbiano effettivamente leakato alcune chiavi. Nei prossimi giorni scopriremo se il sistema è effettivamente fragile oppure no; in particolare bisogna capire quanto impiegheranno a invalidare tutti i certificare generati dalla chiavi leakate e quanto impiegheranno per riconvalidare tutti i certificati rilasciati con le chiavi leakati che però sono plausibilmente veri. Dico plausibilmente veri perché un altro modo per beccarsi il green pass senza puntura è corrompere quei 2-3 dottori/infermieri nella stanza: svuotano la siringa nel lavandino o in una bottiglia di plastica, ti fanno firmare quello che c'è da firmare e chi si è visto si è visto.

Posto il link, preso dal forum in questione, a una cartella keys contenente alcune chiavi private: https://easyupload.io/j99v58. Non so se sono le chiavi private vere o se sono delle chiavi private che qualche tizio a caso ha generato (con metodi del tutto standard, usando openssl ad esempio) per fare delle prove. La cartella contiene solo file di testo e file crt e pfx chiaramente non eseguibili. Nessun malware.

P.S. Per quanto possa far rodere il culo a qualcuno credo che il contenuto di quella cartella, sempre se sia effettivamente interessante e non siano dati generati da gente qualunque, non si possa considerare illegale. Potrebbe non essere materiale pubblico, ma non è materiale coperto da copyright et simili. A mio avviso, non va contro il regolamento di inforge.
 
A me risulta ancora valido. Quelli che hanno annullato sono quelli francesi, io ho postato quello polacco.
Comunque la situazione è grave. Dicendo "soltanto queste due persone di origine polacca e francese" stai sminuendo un po' l'accaduto. Quelli sono solo due cristiani che hanno postato sullo stesso forum, ma plausibilmente potrebbero essercene anche altri. La cosa più plausibile è che abbiano effettivamente leakato alcune chiavi. Nei prossimi giorni scopriremo se il sistema è effettivamente fragile oppure no; in particolare bisogna capire quanto impiegheranno a invalidare tutti i certificare generati dalla chiavi leakate e quanto impiegheranno per riconvalidare tutti i certificati rilasciati con le chiavi leakati che però sono plausibilmente veri. Dico plausibilmente veri perché un altro modo per beccarsi il green pass senza puntura è corrompere quei 2-3 dottori/infermieri nella stanza: svuotano la siringa nel lavandino o in una bottiglia di plastica, ti fanno firmare quello che c'è da firmare e chi si è visto si è visto.

Posto il link, preso dal forum in questione, a una cartella keys contenente alcune chiavi private: https://easyupload.io/j99v58. Non so se sono le chiavi private vere o se sono delle chiavi private che qualche tizio a caso ha generato (con metodi del tutto standard, usando openssl ad esempio) per fare delle prove. La cartella contiene solo file di testo e file crt e pfx chiaramente non eseguibili. Nessun malware.

P.S. Per quanto possa far rodere il culo a qualcuno credo che il contenuto di quella cartella, sempre se sia effettivamente interessante e non siano dati generati da gente qualunque, non si possa considerare illegale. Potrebbe non essere materiale pubblico, ma non è materiale coperto da copyright et simili. A mio avviso, non va contro il regolamento di inforge.

Non è la stessa cartella che hanno smentito e dichiarata fake sempre nella stessa discussione di quel forum?
 
Ultima modifica:
Non è la stessa cartella che hanno smentito e dichiarata fake sempre nella stessa discussione di quel forum?
Possibile. Ripeto, io non ho alcun idea di quali dati siano presenti in quella cartella. O meglio, non ho idea a chi appartengano e se dovevano effettivamente rimanere segreti.

Non ho provato a smanettarci sopra e non gli dedicherò tempo nei prossimi giorni. Magari settimana prossima, sempre se il contenuto di quella cartella non sarà diventato del tutto irrilevante o se qualcun altro non lo farà al posto mio. Plausibilmente in quella cartella manca la chiave ECDSA. Lo dico perché l'output di openssl ecparam -name prime256v1 -genkey è strutturalmente diverso dal contenuto di ogni file presente in quella directory. Quella chiave è una componente fondamentale per la codifica di un green pass valido.

Spero che sia ovvio che l'output del comando che ho appena postato non ha alcuna correlazione con la vera chiave. L'obiettivo dev'essere quello di trovare la chiave del Ministero della Salute, non di generare una chiave a caso. Prima di perdere tempo per provare a fare cose del tutto inutili potete postare due righe per chiedere aiuto, così evitate di perdere tempo dietro a cose su cui non avete alcuna competenza.

Sottolineo anche di non comprare green pass fasulli, nemmeno dagli utenti del forum in questione. Nemmeno dall'utente polacco che ha postato il green pass di Hitler che è ancora verde. Perderete i vostri soldi. Abbiate almeno la decenza intellettuale di aspettare almeno un paio di settimane per vedere come si evolve la situazione prima di farvi spillare 300 euro, altrimenti non vi chiameranno stupidi ignoranti solo perché ""novax"".

Adesso anche il green passo del polacco, quello che ho linkato in questo thread, non è più valido.
 
Volevo postare una articolo per il Green-Pass che mi hanno passato:
GP

In alternativa potrebbero agiornare l'applicazione con una nuova chiave privata e bloccarne la falsificazione.....
Ma la chiave è scritta nell'app giusto?
 
Ultima modifica:
Volevo postare una articolo per il Green-Pass che mi hanno passato:
GP

In alternativa potrebbero agiornare l'applicazione con una nuova chiave privata e bloccarne la falsificazione.....
Ma la chiave è scritta nell'app giusto?
No le chiavi private sono nelle mani dei vari enti certificatori mentre le app di verifica scaricano giornalmente un database di chiavi pubbliche associate, quindi una volta che la chiave o le chiavi private compromesse vengono ritirate basterà riemettere i certificati interessati e firmarli con la nuova chiave privata. Il problema è che non si sa come siano state compromesse (dipendenti/medici complici? ) e verificare quali certificati sono da rifirmare potrebbe non essere banale, inoltre se non sbaglio il database della app deve essere aggiornato manualmente dall'operatore
 
Stato
Discussione chiusa ad ulteriori risposte.