Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 25 Giugno 2021 07:16
Con l’avvento dell’estate, per agevolare i viaggi e le vacanze, è stato creato il green-pass, ovvero quella certificazione che attesta l’avvenuta vaccinazione, la guarigione o la negatività a un test per il Covid-19.
In questo articolo esploreremo cosa è il green pass e un QR Code, ma soprattutto i dati presenti all’interno di questo codice, viste le tante notizie in giro che riportano problematiche di privacy online.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Si tratta di un QR code, ovvero un codice che qualora acquisito, consentirà si spostarsi in auto (ma non solo) tra regioni o in zone arancioni o rosse senza restrizioni e senza doversi portare dietro l’ormai onnipresente autocertificazione che certifichi che lo spostamento avviene per motivi di lavoro, salute o emergenza.
La certificazione è compilata dalla struttura sanitaria presso cui è stato effettuato il vaccino e andrà ad aggiungersi alla scheda sanitaria elettronica dell’interessato. Viene però rilasciato soltanto dopo la seconda dose, ossia il richiamo, oppure dopo la prima nel caso del vaccino di Johnson&Johnson e ha una validità di 6 mesi.
Infine, il ministro della Sanità italiano Roberto Speranza ha annunciato in un post su Facebook che l’Italia consentirà l’ingresso da Stati Uniti, Canada e Giappone alle stesse condizioni del programma “green verde” dell’UE a partire dal 21 giugno.
L’uso è semplice, all’inizio di un evento o quando viene richiesto dalle istituzioni, occorrerà presentarlo, in modo da avere appunto il “pass” per l’ingresso che certifica che la persona è in uno stato corretto di salute. Ovviamente verrà verificato che i dati della persona (nome, cognome e data di nascita), corrispondano a quanto contenuto nel gree-pass.
Si tratta di un codice a barre a matrice bidimensionale (o codice 2D), composto da moduli neri disposti all’interno di uno schema bianco di forma quadrata, impiegato in genere per memorizzare informazioni destinate per essere lette tramite uno scanner oppure uno smartphone.
Il codice QR fu sviluppato nel 1994 dalla compagnia giapponese Denso Wave, per tracciare i pezzi delle automobili nelle fabbriche di Toyota. Vista la sua capacità di codificare molti dati, più di un semplice codice a barre, fu in seguito utilizzato da diverse industrie per la gestione delle scorte.
Pensate che in un solo crittogramma possono essere contenuti fino a 7.089 caratteri numerici o 4.296 alfanumerici, quindi una quantità impressionante di dati. Genericamente il formato matriciale più usato è di 29×29, ma il crittogramma può essere ampliato per contenere un numero maggiore di informazioni, come nel caso del green-pass.
Le specifiche per chi vuole comprendere al meglio il funzionamento, sono riportate nel file PDF rilasciato da eHealt Network in data 21/04/2021.
Possiamo utilizzare molte risorse open source per analizzare il green-pass, qualora lo leggiamo tramite la libreria zbar, quello che ci viene restituito è una stringa codificata in Base64, come da specifica.
Trasformato e portato in testo normale, atterriamo su dei dati codificati in CBOR Object Signing and Encryption e dopo una serie di trasformazioni, ecco il classico formato JSON che trasformato sulla base del documento dell’unione europea, ci porta ai dati contenuti nel Green pass che vediamo di seguito.
QR Code Issuer : ITQR Code Expiry : 2023-05-12 00:00:00QR Code Generated : 2021-06-22 23:32:43 Vaccination Group Dose Number : 1 Marketing Authorization Holder : ORG-100030215 vaccine or prophylaxis : 1119349007 ISO8601 complete date: Date of Vaccination : 2021-06-03 Country of Vaccination : IT Unique Certificate Identifier: UVCI : 01IT037281FD58AE4FC79CF2508B8196A1C7#2 vaccine medicinal product : EU/1/20/1528 Certificate Issuer : Ministero della Salute Total Series of Doses : 2 disease or agent targeted : 840539006 Surname(s), forename(s) Standardised surname : PEZZALI Surname : PEZZALI Standardised forename : ROBERTO Forename : ROBERTO Schema version : 1.0.0 Date of birth : 1978-07-25
In effetti dentro il green-pass non ci sono dati particolarmente sensibili. C’è si il nome, il cognome e la data di nascita. C’è il numero delle dosi fatte, la tipologia del vaccino somministrato, informazioni di validità e null’altro.
Molte notizie su diverse riviste online riportano che è una pessima idea pubblicare il green pass sui social e questo e questa è una cosa assolutamente condivisibile.
Ma dobbiamo anche dire che il green pass è stato progettato per contenere il minimo numero di informazioni personali per identificare una persona come il nome, il cognome e la data di nascita.
Quindi va bene essere consapevoli dei rischi, ma occorre anche fornire la giusta chiave di lettura agli utenti che non conoscono il punto di vista tecnico, senza generare terrorismi inutili.
Nome e cognome e numero di telefono di moltissimi degli italiani (ma aggiungerei anche email, indirizzo), sono online su internet da diverso tempo, frutto di attività di scraping sui social network con collection presenti di milioni di italiani, non ultima la fuga dei 533 milioni di utenti facebook di qualche mese fa ancora disponibile su Telegram e nelle darknet e anche nel clear web, dove sono presenti questi dati di 35 milioni di italiani.
https://github.com/ministero-salute
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
RedazioneI servizi di Windows dedicati alle connessioni remote hanno da sempre rappresentato una fonte inesauribile di “soddisfazioni” per chi si occupa di sicurezza informatica, rivelando vulnerabilità d...
La scena è sempre quella: monitor accesi, dashboard piene di alert, log che scorrono troppo in fretta, un cliente in ansia dall’altra parte della call. Ti siedi, ti guardi intorno e ti rendi conto ...
Un noto broker di accesso iniziale (IAB) denominato “Storm-0249“, ha modificato le proprie strategie operative, utilizzando campagne di phishing ma anche attacchi altamente mirati, i quali sfrutta...
È stato rilasciato uno strumento che consente il monitoraggio discreto dell’attività degli utenti di WhatsApp e Signal utilizzando solo un numero di telefono. Il meccanismo di monitoraggio copre o...
Il MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
