Beberapa hari yang lalu, ketika saya sedang sarapan, saya mendapat pesan di smartphone saya yang mengatakan "Selamat pagi. Tampaknya mereka telah membocorkan kunci untuk membuat izin hijau ...
Jika dikonfirmasi, itu berarti secara teori siapa pun dapat menghasilkan GreenPasses yang valid ”.
Berita itu segera menarik perhatian saya, membuat saya langsung memunculkan pemikiran yang mengkhawatirkan: jika berita itu benar, kita akan meniadakan salah satu alat kontrol terpenting yang menjadi dasar rencana pemulihan ekonomi, sosial, dan manusia pascapandemi!
Sesaat kemudian, pikiran kedua yang lebih menakutkan, meskipun hanya terdiri dari tiga kata: di seluruh Eropa!
Di tengah pusaran proses dan interaksi yang mewarnai hari-hari saya, saya mencoba mendedikasikan slot perhatian pada evolusi berita, yang pada siang hari dari beberapa surat kabar online yang muncul telah dipindahkan ke berita nasional.
Bukti yang ditawarkan cukup nyata: QR Code yang - jika divalidasi dengan aplikasi resmi VerificationC19 - dikembalikan sebagai lulus hijau berlaku untuk… Adolf Hitler, lengkap dengan tanggal lahir 1900; namun salah tanggal, karena karakter tersebut lahir di Austria pada tahun 1889.
Masalahnya, di luar semangat siswa, tetap sangat serius: bagaimana mungkin mereka telah mencuri kunci kriptografi yang valid untuk generasi Tiket Hijau, yang seharusnya ditangani secara akurat oleh kementerian atau lembaga pemerintah dengan proses yang didominasi oleh keamanan di tingkat tertinggi?
Berita fiktif, hipotesis, bahkan beberapa janji yang jelas tidak mungkin ditujukan mungkin untuk menurunkan tingkat alarm telah mengejar satu sama lain sepanjang hari, mulai bergabung dengan gaung dari luar negeri di mana masalah muncul di situs terkenal seperti bleepingcomputer.com .
Situs-situs ini juga berbicara tentang kemungkinan pencurian atau eksfiltrasi kunci pribadi, membuatnya semakin mengkhawatirkan karena beberapa rumor yang berhipotesis bahwa kunci yang dicuri itu menyangkut beberapa Negara Anggota Uni Eropa.
Desas-desus berita itu menyebar lebih jauh, bersama-sama (untungnya) dengan reaksi para manajer yang kemudian membatalkan keduanya. Tiket Hijau berlaku atas nama Hitler yang dihasilkan oleh beberapa orang lain yang tidak mungkin pada saat itu, seperti spongebob Squarepants yang saya laporkan pada pembukaan (terdistorsi, ndd), dengan bukti pembatalan relatif.
Pada malam ke-28 kolom "Halo Internet" oleh Matteo Flora di saluran YouTube menawarkan penjelasan yang lebih masuk akal dan - terus terang - lebih meyakinkan dari sudut pandang tertentu: seseorang telah menemukan cara untuk menyalahgunakan kunci.
Lebih khusus lagi, penyalahgunaan tampaknya telah terjadi melalui kode dgca-issuance-web - mudah tersedia karena dibagikan di situs GitHub oleh Uni Eropa - dikombinasikan dengan kunci tanda tangan yang valid yang dimiliki pengguna.
Kode yang dimaksud mewakili program yang berguna untuk menghasilkan GreenPasses, yang dalam segala hal dibandingkan dengan sertifikat kertas vaksinasi, usap atau pemulihan, yang diubah dalam bentuk digital.
Seperti halnya sertifikat kertas, sertifikat digital harus ditandatangani untuk mendapatkan nilai. Proses penandatanganan, tidak bisa menggunakan pena, Gunakan kunci digital pribadi yang digabungkan dengan kunci digital publik dimasukkan ke dalam sertifikat. Ini kunci digital publik itu adalah objek verifikasi yang memungkinkan untuk mengkonfirmasi keaslian sertifikat.
Oleh karena itu, hal yang agak tidak mungkin adalah menggunakan kunci pribadi yang valid - karena kunci tanda tangan diberikan dengan tarif satu per negara.
Lebih buruk lagi, beberapa negara, termasuk Italia, tidak hanya dapat membatalkan beberapa sertifikat yang ditandatangani dengan kunci nasional… tetapi mereka harus membatalkan kunci tersebut; operasi yang akan membutuhkan penerbitan ulang jutaan Tiket Hijau benar, resmi dan sah yang dikeluarkan selama ini; memaksa pemilik untuk meminta salinan melalui saluran tradisional yang terkenal: situs online, apotek, dll.
Masalah ini berkembang menuju penjelasan lebih lanjut yang berlaku sekitar pukul 13:40 pada tanggal 28 Oktober. Menurut situs Ahli Disinformatika pada kenyataannya, setidaknya enam titik akses yang valid ke portal yang mampu menghasilkan telah diidentifikasi Tiket Hijau berlaku dalam mode pratinjau menggunakan data fiktif yang kemudian tidak disimpan.
Dengan menyimpan gambar itu, yang mewakili sertifikat yang valid, adalah mungkin untuk membuat sertifikat yang telah muncul di web dengan pemilik yang tidak mungkin. Setelah menyimpan gambar, operasi dapat dibatalkan dengan aman tanpa meninggalkan jejak generasi; sertifikat yang tersisa - dalam hal apapun - valid.
Oleh karena itu, apa yang terjadi tampaknya merupakan hasil dari kerentanan proses yang penting, sangat besar dalam ruang lingkup dan dimensi. Yang dikombinasikan dengan faktor manusia dari keabsahan yang meragukan, itu menciptakan kondisi yang berpotensi membatalkan salah satu proses paling sukses untuk pulih dari dampak buruk pandemi.
Oleh karena itu, tidak ada pencurian kunci, setidaknya dalam keadaan di mana hal-hal telah berevolusi sejauh ini.
Hanya satu kebersihan digital yang buruk dalam implementasi proses TI.
Fakta ini seharusnya membuat kita merenungkan aspek yang sering menyatukan banyak insiden siber, termasuk yang sedang kita bicarakan.
Teknologi yang digunakan untuk menghasilkan Tiket Hijau itu pasti solid: menggabungkan sertifikat digital, visualisasi informasi melalui QR Code yang membuat semuanya dapat digunakan dengan cara yang sederhana, keseragaman penerimaan dan interoperabilitas implementasi antara beberapa negara.
Cacatnya, bagian yang rentan dalam arti penting, lebih pada proses implementasi dan implementasinya. Ada sangat sedikit teknologi di sini, karena topiknya menyangkut manajemen dan keamanan suatu proses.
Dari apa yang telah dicatat sejauh ini, jelas bahwa kesalahan serius telah dibuat pada tahap ini.
Contohnya adalah mengizinkan pembuatan pratinjau sertifikat yang valid dalam segala hal, tanpa memastikan - misalnya - bahwa pratinjau hanya dapat dikontrol oleh aplikasi selain aplikasi yang akan memeriksa versi final.
Contoh lain menyangkut pengelolaan kerahasiaan.
Jika penerbitan Tiket Hijau milik badan pemerintah resmi dan menegaskan kebenaran yang tak terbantahkan - seperti notaris yang mengesahkan akta penjualan real estat antara dua subjek - seharusnya dibatasi untuk dilacak, operator resmi, yang hak istimewanya harus diberikan tepat di hadapan otorisasi khusus .
Belum lagi aplikasi apa pun, sebelum "diproduksi", harus diuji dan divalidasi oleh pakar keamanan yang disebut Tester Penetrasi. Ini bertujuan untuk mempelajari potensi kekurangan aplikasi, tetapi juga cara menggunakannya ... dan cara potensial untuk menyalahgunakannya.
Jika semua langkah ini telah dilakukan sebelumnya dan diperbaiki dengan cara yang baik jika terjadi kebocoran, hari ini kita tidak akan menghadapi kecelakaan.
Lebih penting lagi, kita seharusnya tidak menanggung biaya untuk menanggapi insiden ini, yang berisiko benar-benar menghancurkan dalam hal ekonomi, tetapi juga dalam hal kredibilitas alat pendukung yang benar-benar mendasar untuk pemulihan ekonomi dan sosial.
