Il sistema fa acqua
"Magari uno stillicidio e non una cascata, ma fa acqua" è uno dei commenti all'ultima news sull'argomento di queste settimane, i gp farlocchi. A caldo mi vengono in mente alcune considerazioni. a) il "buco" di sicurezza non è stato riparato, quel GP falso è dell'altrieri. b) a quanti hanno sostenuto che la situazione è "grave" ma non "gravissima" suggerirei di riconsiderare l'affermazione c) un conto è la scienza (in questo caso matematica) un altro la tecnologia che così come ogni attività umana complessa ha le sue falle, le sue insicurezze. A chi ha definito il meccanismo dell'intera infrastruttura del green pass "geniale" perché "matematicamente" sicuro, suggerirei quanto meno di cambiare termine. A. [1] https://attivissimo.blogspot.com/2021/11/il-green-pass-di-bettino-craxi.html
interessante. come ci si potrebbe proteggere dal fatto che un operatore, in uno qualunque dei pesi che lo adottano, inserisca dati errati ? ciao, s. On 05/11/21 10:10, Antonio Iacono wrote:
"Magari uno stillicidio e non una cascata, ma fa acqua"
è uno dei commenti all'ultima news sull'argomento di queste settimane, i gp farlocchi. A caldo mi vengono in mente alcune considerazioni. a) il "buco" di sicurezza non è stato riparato, quel GP falso è dell'altrieri. b) a quanti hanno sostenuto che la situazione è "grave" ma non "gravissima" suggerirei di riconsiderare l'affermazione c) un conto è la scienza (in questo caso matematica) un altro la tecnologia che così come ogni attività umana complessa ha le sue falle, le sue insicurezze. A chi ha definito il meccanismo dell'intera infrastruttura del green pass "geniale" perché "matematicamente" sicuro, suggerirei quanto meno di cambiare termine.
A.
[1] https://attivissimo.blogspot.com/2021/11/il-green-pass-di-bettino-craxi.html _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Il 5 novembre 2021 10:38:01 CET, Stefano Quintarelli <stefano@quintarelli.it> ha scritto:
interessante. come ci si potrebbe proteggere dal fatto che un operatore, in uno qualunque dei pesi che lo adottano, inserisca dati errati ?
ciao, s.
Ovviamente utilizzando un audit trail sull'uso delle chiavi. Non è stato previsto? Non ci credo, ma se è cosí è piuttosto grave. Poi bisogna vedere se si tratta di 'operatore' legittimo o altro ... rob
On 05/11/21 11:47, Roberto Resoli wrote:
Il 5 novembre 2021 10:38:01 CET, Stefano Quintarelli <stefano@quintarelli.it> ha scritto:
interessante. come ci si potrebbe proteggere dal fatto che un operatore, in uno qualunque dei pesi che lo adottano, inserisca dati errati ?
ciao, s.
Ovviamente utilizzando un audit trail sull'uso delle chiavi. Non è stato previsto? Non ci credo, ma se è cosí è piuttosto grave.
sappiamo se qualche operatore infido, in uno degli n paesi, sia stato indagato o che nessun operatore infido lo sia stato ? ciao, s.
Poi bisogna vedere se si tratta di 'operatore' legittimo o altro ... rob
Buongiorno, a fini archivistici, segnalo che questo thread è strettamente correlato a questo: https://server-nexa.polito.it/pipermail/nexa/2021-October/022449.html ...anche per non ripeterci, magari :-) Roberto Resoli <roberto@resolutions.it> writes:
Il 5 novembre 2021 10:38:01 CET, Stefano Quintarelli <stefano@quintarelli.it> ha scritto:
interessante. come ci si potrebbe proteggere dal fatto che un operatore, in uno qualunque dei pesi che lo adottano, inserisca dati errati ?
ma perché è questo quello di cui stiamo parlando? É ancora una ipotesi o è una informazione ufficiale fornita da un organo competente del sistema che gestisce i "Green Pass" EU? detto in altri termini: c'è una pagina ufficiale su quando sta accadedo o tutto quello di cui disponiamo è la discussione su GitHub: https://github.com/ehn-dcc-development/hcert-spec/discussions/105 ??? (lo seguo di tanto in tanto ma non mi pare ci siano info nuove) ...o i "dispacci" alla Attivissimo?
Ovviamente utilizzando un audit trail sull'uso delle chiavi. Non è stato previsto? Non ci credo, ma se è cosí è piuttosto grave.
in merito è interessante questo scambio: https://raidforums.com/Thread-SELLING-COVID-19-ITALIAN-GREEN-PASS?pid=457004... --8<---------------cut here---------------start------------->8---
But guys, just think about it:
Every cert can be back-tracked to the portal, on which it got created - even to the portal-user, who has created the cert.
So, even if somebody is really having access to a cert portal - first time a fed/cop is requesting a cert here he can back-track it and it's game over.
I think all of those offers are scam - but I might be wrong.
you are wrong. it's tracked, but i have the panel access as a Doctor. The doctor is aware of the activity.
Your statement does not change the situation.
This would mean, that your doctor is risking his/her job & life. Again; imagine a fed is contacting you over this forum, you create a cert for that fed guy - what then ? They can check immediately which account has created the cert (your doc), then they will revoke all the certs the account has created and put the doc and maybe you into jail.
--8<---------------cut here---------------end--------------->8--- Quindi c'è chi sostiene (millanta?) che medici compiacenti sono disposti a vendere GP falsi per pochi euri, come i passaporti venduti sottobabco da poliziotti corrotti in alcuni paesi: in che modo "la digitalizzazione" potrebbe mai risolvere questa classe di problemi? Le autorità di sicurezza informatica hanno abbastanza risorse per fare controlli a campione sui Green Pass venduti sul mercato nero? Possono legalmente farlo... intra EU?!? Non era già abbastanza chiaro /prima/ che una serie impressionante di certificazioni, anche mediche, sono falsificate per trarne vantaggio economico? Davvero qualcuno ha pensato che un documento firmato digitalmente (occhio: NON un certificato, tecnicamente parlando) potesse magicamente risolvere tutti questi i problemi e far risparmiare evitando i controlli "fisici"?!? Possibile che non sia stato ancora beccato un medico che ha venduto Green Pass falsi?
Poi bisogna vedere se si tratta di 'operatore' legittimo o altro ...
Esatto: siccome ho letto di alcuni gruppi che sostengono (millantano?) di essere riusciti a rubare i certificati privati mentre altri che sostengono (millantano?) di essre riusciti a infiltrarsi in un anello debole della catena del sistema, mi piacerebbe che le autorità di cybersecurity EU ci dicessero qualcosa di concreto e dimostrabile. saluti, 380° -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
On 05/11/21 12:30, 380° wrote:
interessante. come ci si potrebbe proteggere dal fatto che un operatore, in uno qualunque dei pesi che lo adottano, inserisca dati errati ? ma perché è questo quello di cui stiamo parlando? É ancora una ipotesi o è una informazione ufficiale fornita da un organo competente del sistema che gestisce i "Green Pass" EU?
no, ma non e' da escludere, essendo il vettore di attacco piu' semplice...
On November 5, 2021 1:54:49 PM UTC, Stefano Quintarelli <stefano@quintarelli.it> wrote:
On 05/11/21 12:30, 380° wrote:
interessante. come ci si potrebbe proteggere dal fatto che un operatore, in uno qualunque dei pesi che lo adottano, inserisca dati errati ? ma perché è questo quello di cui stiamo parlando? É ancora una ipotesi o è una informazione ufficiale fornita da un organo competente del sistema che gestisce i "Green Pass" EU?
no, ma non e' da escludere, essendo il vettore di attacco piu' semplice...
No: quando i server macedoni erano pubblicamente accessibili, il vettore di attacco più semplice era quello. Infinitamente più semplice. Giacomo
detto in altri termini: c'è una pagina ufficiale su quando sta accadedo o tutto quello di cui disponiamo è la discussione su GitHub: ... Ci sono altri strumenti, oltre la pagina web, per avere informazioni ufficiali. Uno di questi è l'interrogazione parlamentare. Uno o più parlamentari potrebbero/dovrebbero chiedere al ministro della Salute di essere informati sul fatto. Parlamento italiano perché l'ultimo green pass falso è intestato ad un italiano, seppure non più tra noi.
Fatto: il 3 novembre 2021 alle ore 18:24:12 il Centrum e-Zdrowia (E-Health Center) del Ministero della Salute polacco ha firmato digitalmente un certificato intestato a tale Bettino Craxi nato il 24/2/1934. Si chiede di conoscere quali iniziative intende adottare il Governo al fine: a) di escludere che simili false attestazioni possano verificarsi con "chiavi" italiane; b) di tutelare la sicurezza dei legittimi possessori del green pass; c) di intervenire presso le autorità polacche per una rapida indagine sui fatti accaduti. A.
participants (5)
-
380° -
Antonio Iacono -
Giacomo Tesio -
Roberto Resoli -
Stefano Quintarelli