Una delle tecniche giornalistiche d’indagine più preziose è quella che io chiamo Regola dell’Informazione Laterale: le informazioni più attendibili su un dato argomento non provengono da chi è favorevole o contrario ad esso, ma da chi non è parte direttamente in causa. 

Per esempio, se uno storico vuole sapere come è andata una battaglia, quanti sono stati i morti e i feriti da una parte e dall’altra, non si fida dei resoconti dei vinti o dei vincitori, ciascuno dei quali ha interessi pesanti nel presentare gli eventi a proprio favore, ma guarda gli aridi registri dei contabili.

Il nome di questa regola è ispirato dal concetto di pensiero laterale: risolvere un problema guardando da angolazioni differenti da quelle solite. 

Nel caso delle malattie e delle pandemie, per esempio, la Regola dell’Informazione Laterale suggerisce di guardare i dati delle compagnie assicurative, che sono esperte nel valutare i rischi e le evoluzioni delle situazioni più disparate. Gli attuari non fanno altro che questo. Non importa quale sia l’opinione di una compagnia assicurativa a proposito di una pandemia: i dati sono quelli che sono e determineranno l’andamento dei premi assicurativi negli anni a venire. Alle compagnie conviene rappresentare la realtà per quella che è, senza sovrastimarla e senza sottostimarla, per non perdere in competitività rispetto alle concorrenti e per non incorrere in errori previsionali catastrofici che le porterebbero sul lastrico.

Dagli Stati Uniti arriva un esempio tragico di questa regola: secondo quanto riferito da The Center Square, il direttore della compagnia assicurativa OneAmerica, Scott Davidson, ha detto che i tassi di mortalità attuali sono “i più alti mai visti nella storia di questo settore, e non solo alla OneAmerica” e sono saliti del 40% rispetto ai livelli pre-pandemia fra le persone in età lavorativa. 

Visto che OneAmerica gestisce polizze vita, questo dato è cruciale per la sua attività. Davidson ha aggiunto che non sono gli anziani a morire ma “principalmente le persone in età lavorativa, fra i 18 e i 64 anni.” 

“Tanto per darvi un’idea di quanto questo sia grave” ha dichiarato “una catastrofe da tre sigma, ossia una di quelle che avvengono una volta ogni 200 anni, comporterebbe un aumento del 10% rispetto al valore pre-pandemia, per cui il 40% è inaudito.”

In altre parole, negli Stati Uniti in questo periodo c’è una sovramortalità eccezionale: qualcosa la sta causando. Va notato che alle compagnie assicurative del ramo vita la causa della morte interessa relativamente: quello che conta è che l’assicurato è deceduto. Davidson ha dichiarato che nella maggior parte delle richieste di riscossione di premi per il caso morte, il decesso non viene classificato come causato da Covid. “Quello che ci dicono i dati è che le morti che vengono segnalate come morti da Covid sottostimano di gran lunga le perdite effettive per morte tra le persone in età lavorativa a causa della pandemia. Sul loro certificato di morte non è detto che ci sia scritto Covid, ma i morti sono aumentati in numero enorme.” 

Il CEO ha aggiunto che questo aumento causerà un aumento dei premi.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Ultimo aggiornamento: 2021/11/24 13:40. Tratto da questo mio thread su Twitter, ripulito e ampliato.

A chi ancora pensa che l’antivaccinismo sia semplicemente una rivendicazione di un diritto personale o di una diversità di opinioni consiglio la lettura dell’ondata di odio che mi è arrivata per questo tweet.

Ovviamente silenzio tutti questi hater inesorabilmente, e presumo che sappiano benissimo che questa è la fine che fanno i loro insulti. Ma lo fanno lo stesso. Per cui no, mi spiace: l’antivaccinismo rabbioso non è una semplice differenza di opinioni. È odio. È violenza. E come tale va trattato.

Discutere, ragionare, portare i dati, spiegare concetti è inutile con questa gente che capisce solo l’odio. Quindi scusatemi se non perdo tempo ad argomentare con chi tanto ha già deciso in partenza che non ascolterà.

Scusatemi, inoltre, se non spiego per filo e per segno perché non debunko il video X o la frase Y. E scusatemi se non debunko puntualmente ogni singola frase Y, video X e grafico Z.

Ammiro la pazienza infinita dei colleghi debunker che in questi quasi due anni hanno diligentemente cercato di spiegare i miti, le bugie e le manipolazioni alla base dell’antivaccinismo.

Ma sinceramente, a questo punto, dopo tutto questo tempo, dopo oltre cinque milioni di morti nel mondo (centrotrentamila morti in Italia), chi non ha ancora capito non capirà mai. 

Perché il suo antivaccinismo non è basato su argomenti, dati, numeri, ricerche. Parte dall’odio, dal fottersene degli altri, dall’egoismo smisurato, dall’arroganza ignorante, e solo dopo sceglie i dati, i video, le frasi e gli “esperti” che gli confermano la sua visione del mondo.

L’antivaccinista hater non è uno che si è informato male. Non è una persona confusa che ha paura. È uno che odia in partenza e che nell’antivaccinismo ha trovato l’appiglio per vomitare il suo odio. Prima c’è l’odio, poi arriva l’antivaccinismo.

Se questa mia descrizione dell’antivaccinismo vi pare drastica o estrema, ripeto: guardate i commenti che arrivano a qualunque tweet o post sui vaccini. 

Quindi che si fa? Si rinuncia a fare debunking? Si smette di spiegare pazientemente cose che ormai sono o dovrebbero essere straovvie? Ossia che il Covid è un pericolo reale che fa collassare le terapie intensive (di nuovo) e l’intero sistema sanitario a danno di tutti, che il vaccino non è perfetto ma funziona bene, e che disquisire sull’ennesimo dettaglio è una perdita di tempo e bisogna semplicemente vaccinarsi, mettere bene la mascherina, tenere le distanze e non affollarsi in luoghi poco ventilati, punto e basta?

Opinione personale: sì, si smette. Io, perlomeno, smetto. I colleghi più pazienti di me che continueranno avranno tutta la mia ammirazione e tutto il mio rispetto. Ma per quel che mi riguarda, il tempo delle spiegazioni pazienti è finito.

È ormai chiaro che c’è una fetta di popolazione, in ogni paese, che è completamente refrattaria a qualunque spiegazione e ragionamento. Per colpa di questa fetta, ci stiamo andando di mezzo tutti. Da quasi due anni.

Si è cercato di puntare sul buon senso, sulla solidarietà, sullo spiegare con parole semplici, sulla fiducia nell’intelligenza del prossimo, ma alla fine siamo ancora qui, alla quarta e presto quinta ondata, con i malati gravi e i morti che aumentano. 

E alla fine qualcuno si è arreso all’evidenza e ha deciso che siccome dialogare non serve a nulla e per colpa degli idioti ci stiamo andando di mezzo tutti, resta una sola via, da affrontare con sconsolata rassegnazione dopo aver esaurito tutte le altre. L’obbligo.

L’Austria è la prima in Europa ad aver esaurito la pazienza. Altri stati non europei l’hanno già fatto da mesi.

Perché se ti dicono che se metti le dita nella presa di corrente rischi la scossa e tu insisti a dire che prendere la scossa è un tuo diritto e tanto un po’ di corrente non ha mai ucciso nessuno e la lobby degli elettricisti ce l’ha con te, allora mi spiace: sei scemo.

AVRÀ CAMBIATO IDEA?

Il leader dei #novax in Veneto è ricoverato in terapia sub intensiva per Covidhttps://t.co/7X1dnq0UCx

— neXt quotidiano (@neXtquotidiano) November 24, 2021

E con gli scemi non si perde tempo in spiegazioni. Ci provi una volta, perché è giusto provarci, dare una possibilità, ma quando vedi che non ti ascoltano ma anzi ti attaccano e ti insultano, allora lasci perdere. 

Se lo scemo che rivendica il diritto di mettere le dita nella presa di corrente contro la "dittatura elettrica" si folgora e toglie la corrente al palazzo, allora gli altri inquilini che devono fare? Sopportare? Mettersi a discutere con chi dice che 220 volt sono troppi e forse 110 o 50 sarebbero meglio, anzi facciamo 12 volt e non se ne parla più? Dibattere se togliere tutte le prese elettriche in ossequio al "principio di precauzione"? O semplicemente levare la corrente a lui?

Quante cretinate, quanti cavillamenti su numeri, percentuali, "di / con / per" dobbiamo sopportare, quanti altri malati cronici e morti, quante altre ondate, quanti altri mesi di chiusure e mascherine dobbiamo pagare per colpa degli scemi irrecuperabili?

In conclusione, scusatemi la schiettezza: mi sono rotto i coglioni di sopportare le idiozie degli antivaccinisti. E anche quelle di quei colleghi giornalisti che, puttane del clic, soffiano sul fuoco pur di vendere qualche copia in più e compiacere l’omuncolo politico di turno che cavalca qualunque scemenza pur di accaparrarsi qualche voto in più.

E mi rassegno all’idea che l’appello al buon senso e alla solidarietà è fallito miseramente. Sarebbe ora di ammettere questo fallimento e agire di conseguenza. Civilmente, educatamente, ma agire.

---

Piccolo avviso finale: se mi insultate, verrete silenziati. Se esigete da me il debunking di questa o quella affermazione sui vaccini, verrete silenziati. Se mi coinvolgete in battibecchi con gli antivaccinisti, verrete silenziati. Nessun preavviso, nessun meme con delfino, nessun appello. Non ho più né tempo né pazienza per queste cose.

Perché avete il sacrosanto diritto alla vostra opinione, ma io ho il sacrosanto diritto di non doverla ascoltare. E di non rispondere ai rompicoglioni attaccabrighe.

E per il vostro bene, vaccinatevi.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Vedo che si parla molto della scoperta di numerosi green pass italiani su eMule; è partita un’indagine d’urgenza del Garante Privacy italiano. 

Matteo Flora, nel video qui sotto, Dario Fadda su Cybersecurity360.it e Bufale.net hanno già fatto egregiamente il punto della situazione, per cui non mi dilungo, ma in estrema sintesi: lo scenario più plausibile, al momento attuale, è che molto banalmente numerosi utenti di eMule hanno scaricato il proprio certificato Covid e lo hanno lasciato nella cartella Downloads... che è quella che hanno messo in condivisione col mondo in eMule.

Per cui qualcuno ha semplicemente cercato il nome standard dei file dei certificati Covid e ne ha fatto incetta. Poi ha lasciato l’incetta a disposizione degli altri su eMule.

Amici nostalgici del Mulo, a meno che non vogliate fornire un illecito servizio, spostate dalla cartella Downloads di #eMule il #GreenPass vostro e dei familiari. Archivi .zip/.rar e file .pdf online del #DGC a valanghe. pic.twitter.com/lWntDw7nkt

— N_{Dario Fadda} (@nuke86) November 7, 2021

Non c’è nulla, al momento, che faccia pensare a una violazione dei sistemi informatici che generano i “green pass”.

Certo che bisogna essere dei Veri Geni per 

a) usare ancora eMule nel 2021

b) settarlo per accedere alla cartella Downloads generica 

c) salvare il proprio certificato Covid nella cartella Downloads...

... e poi indignarsi perché su eMule si trovano certificati Covid.

Prima che salti fuori il Solito Polemista che dice che lui usa eMule da anni e non gli è mai successo niente, vorrei ricordare che esiste Shareaza LE, una versione di Shareaza usata per il monitoraggio dei circuiti peer-to-peer, dove LE sta per Law Enforcement. Se usate eMule e simili, siete sorvegliati. Se scaricate o condividete (anche per errore) qualunque cosa il cui checksum sia nelle liste di contenuti proibiti gestite dalle agenzie governative di lotta al crimine, verrete identificati in men che non si dica.

Lo so perché ho avuto modo, pochi mesi fa, di vedere concretamente come funziona Shareaza LE e tutto il sistema internazionale di segnalazione per lavoro. Posso solo dire che è stato molto interessante. Linko un paio di esempi statunitensi (uno; due), ma i princìpi tecnici valgono anche in Europa.

Poi non dite che non vi ho avvisato.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

L’offerta è scritta in inglese maccheronico e in italiano quasi completamente corretto ma non idiomatico.

Lascio in chiaro l’indirizzo di mail del sedicente venditore perché tanto l’offerta è facilmente reperibile con un motore di ricerca e la pubblicazione potrebbe facilitare il lavoro delle autorità, oltre a consentire di ostacolare l’attività del venditore con un flooding delle sue caselle di mail.

ENGLISH:
- I sell Green Passes by registering directly from the Italian health system "Cartella Sole" and "ASL".-
The price amounts to 150EUR, I only accept Bitcoin payment.

I only comunicate via this two MAIL:  

seriously3@onionmail.org
seriouslyy@onionmail.org

I am new online and have always sold to patients of a doctor.
Want more info? I'll answer in this thread or via PM.
Please don't ask for discounts lol.

As proof I have access to the panel, here is the screenshots:

[omissis]

Warning: Don't lose my time asking stupid questions and don't write random commets about scam and shit only because you want it for free or because you sell my same service, i already sold a lot of GP all over the world and i have proof of it, about all the conversation with the customers.


ITALIAN:

- Vendo Green Passes registrandomi direttamente dal Sistema sanitario italiano "Cartella Sole" e "ASL".-
Il prezzo ammonta a 150EUR, accetto solo pagamenti Bitcoin.

Io comunico SOLO tramite queste due MAIL: 

seriously3@onionmail.org
seriouslyy@onionmail.org

Sono nuovo online e ho sempre venduto ai pazienti di un medico.
Vuoi maggiori informazioni? Risponderò in questo thread o tramite PM.
Si prega di non chiedere sconti lol.

Come prova ho accesso al pannello, ecco gli screenshot:

[omissis]

Attenzione: non perdere il mio tempo a fare domande stupide e non scrivere commenti casuali sul fatto che sia truffa e cazzate solo perché lo vuoi gratuitamente o perché vendi il mio stesso servizio, ho già venduto un sacco di GP in tutto il mondo e ne ho la prova, su tutte le conversazioni con i clienti.

Va detto che il modus operandi di questo aspirante criminale (o troll) non è particolarmente brillante: pubblicare queste offerte in forum notoriamente monitorati, con tanto di indirizzo di mail facilmente tracciabile e schermate che identificano il sistema usato, significa lasciare una pista diretta che porta a casa sua.

Le schermate mostrate dall’offerente sono infatti queste e credo che contengano informazioni sufficienti a consentire agli inquirenti di identificare l’incosciente che sta mettendo a rischio tutti con questa frode:

Anche questo caso sembra indicare una violazione a basso livello del sistema (uso illecito da parte di un addetto o di qualcuno che simula di essere un addetto) e non un furto delle chiavi crittografiche di generazione dei “green pass”.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Vaccino: EU/1/20/1525 

Tipo: J07BX03 (Vaxzevria di AstraZeneca)

Fabbricante: ORG-100001417

1 dose di 1

Data di vaccinazione: 1/10/21

Stato: Polonia

Emittente: Centrum e-Zdrowia

Non dico altro.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Pubblicazione iniziale: 2021/10/27 00:00. Ultimo aggiornamento: 2021/10/28 13:40.

Sto ricevendo numerose segnalazioni di codici QR come quello qui accanto, che alcune applicazioni di verifica dei “green pass” considerano validi ma che sono intestati ad Adolf Hitler. Successivamente si sono aggiunti altri codici QR intestati a Topolino, a Spongebob e ad altri.

Provate a scansionare i primi tre codici QR di questo articolo con l’app italiana VerificaC19 o con l’app svizzera equivalente, CovidCheck: restituiscono HITLER come cognome, ADOLF come nome e 01.01.1900 (oppure 01.01.1930) come data di nascita. Cosa più importante, queste app di verifica li accettano come validi.

A prima vista sembrerebbe essere una gravissima violazione dell’affidabilità del sistema dei green pass o certificati Covid digitali, che minerebbe alla base la fiducia nel sistema di verifica. In teoria, infatti, soltanto gli enti o operatori sanitari autorizzati hanno le chiavi crittografiche private che consentono di generare green pass validi e rendono impossibile alterare un green pass esistente immettendovi per esempio un nome differente (questa è la procedura di richiesta di autorizzazione in Svizzera, per esempio). Ma affermazioni straordinarie richiedono prove straordinarie, che per ora scarseggiano.

Questo è un altro codice QR (segnalato da @reversebrain) che fornisce lo stesso risultato, anche qui con il nome e cognome interamente in maiuscolo:

Questo, invece, risulta valido ma intestato a Adolf Hitler (in minuscolo tranne le iniziali), con data di nascita 01.01.1930:

Secondo le prime analisi (grazie @fuomag9 e alla sua app Green Pass Decoder), l’ente emittente indicato nei primi due codici QR sarebbe la CNAM francese (Caisse Nationale d’Assurance Maladie), ma secondo queste fonti e i commenti qui sotto il dato potrebbe essere stato immesso da chiunque abbia una chiave privata valida per l’emissione dei certificati Covid. La chiave privata, infatti, consente di firmare un certificato inserendovi qualunque valore o testo a piacere.

Il primo codice viene interpretato da Green Pass Decoder così:

{
	1:"CNAM",
	4:1697234400,
	6:1635199742,
	-260:{
		1:{
			"v":[
				{
					"ci":"URN:UVCI:01:FR:T5DWTJYS4ZR8#4",
					"co":"FR",
					"dn":2,
					"dt":"2021-10-01",
					"is":"CNAM",
					"ma":"ORG-100030215",
					"mp":"EU/1/20/1528",
					"sd":2,
					"tg":"840539006",
					"vp":"J07BX03"
				}
			],
			"dob":"1900-01-01",
			"nam":{
				"fn":"HITLER",
				"gn":"ADOLF",
				"fnt":"HITLER",
				"gnt":"ADOLF"
			},
			"ver":"1.3.0"
		}
	}
}

Il secondo codice viene letto da Green Pass Decoder come se fosse identico al primo, mentre il terzo viene decifrato come segue:

{
	4:1685101990,
	6:1635098906,
	1:"PL",
	-260:{
		1:{
			"v":[
				{
					"dn":1,
					"ma":"ORG-100001417",
					"vp":"J07BX03",
					"dt":"2021-07-11",
					"co":"PL",
					"ci":"URN:UVCI:01:PL:1/AF2AA5873FAF45DFA826B8A01237BDC4",
					"mp":"EU/1/20/1525",
					"is":"Centrum e-Zdrowia",
					"sd":1,
					"tg":"840539006"
				}
			],
			"nam":{
				"fnt":"HITLER",
				"fn":"Hitler",
				"gnt":"ADOLF",
				"gn":"Adolf"
			},
			"ver":"1.0.0",
			"dob":"1930-01-01"
		}
	}
}

Secondo queste info, dob è la data di nascita, fn è il cognome, gn è il nome, co è il paese di vaccinazione, dn è il numero di dosi ricevute, dt è la data di vaccinazione, is è l’ente che ha emesso il green pass, ma è il produttore del vaccino, mp è l’identificativo di prodotto del vaccino, sd è il numero totale di dosi, tg è la malattia coperta dal vaccino, vp indica vaccino o profilassi, ver è la versione dello schema, 4 indica la scadenza del codice e 6 indica la data di generazione del codice.

Su Raidforums c’è una discussione molto lunga e tecnica secondo la quale sembrerebbe che siano state trovate le chiavi private (o che siano state generate per forza bruta). Open ha indagato e dice che sembra che un utente polacco di Raidforums abbia creato un codice QR a nome di Hitler per dimostrare di essere in grado di farlo e offre il servizio a pagamento.

Se così fosse, chiunque potrebbe ottenere un green pass fraudolento e l’intero sistema sarebbe da buttare e rifare da capo (o almeno sarebbe necessario revocare tutte le chiavi private attuali e cambiarle) e in ogni caso il green pass avrebbe perso gran parte della sua credibilità presso l’opinione pubblica non esperta.

Stefano Zanero, docente di computer security e informatica forense al Politecnico di Milano, ha commentato pubblicamente in questo modo: “che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia discutibile, è abbastanza evidente.”

--- 

2021/10/27 1:25. VerificaC19 non riconosce più come validi i codici QR mostrati qui sopra, o perlomeno questo è quello che dice l’app sul mio telefono Android, mentre altre persone mi dicono che la loro app continua a ritenerli validi:

L’app svizzera CovidCheck, invece, li riconosce ancora validi. 

---

2021/10.27 9:20. Oggi alle 9 circa ho registrato questi due video che documentano la situazione a quel momento (il rumore che sentite nei video è prodotto dalla mia gatta MiniCalzini, che è sorda e quindi non sa quanto è rumorosa quando fa le fusa):

---

2021/10/27 12:10. Ansa parla di chiavi sottratte e dice che “le chiavi che sono state sottratte sono state annullate e, di conseguenza, sono stati invalidati tutti i green pass generati con quei codici.”

---

2021/10/27 13:00. Ne parla anche Il Post. Sembra ormai piuttosto chiaro, anche da alcune verifiche tecniche che mi sono arrivate confidenzialmente, che almeno la chiave privata francese e quella polacca usate per firmare questi codici QR sono state rubate o ottenute in qualche altro modo.

Intanto c’è anche un altro codice QR, stavolta intestato a Rokotepassieu (cognome) Ota Yhteyttä Wickr (nome) con data di nascita 06.12.1917. Dai commenti mi dicono che Rokote in finlandese vuol dire “vaccino”, quindi Rokotepassieu starebbe per “Passi Vaccino EU”, e Ota Yhteyttä Wickr dovrebbe voler dire “contattami su Wickr”). Viene tuttora riconosciuto come valido da CovidCheck ma non da VerificaC19 (perlomeno sul mio telefono Android):

---

2021/10/27 14:15. VerificaC19 ora non riconosce più come valido il mio green pass svizzero. La faccenda si fa personale.

---

2021/10/27 16:40. La vicenda è approdata anche in Svizzera (LaRegione; RSI.ch). Intanto  Insicurezzadigitale.com segnala un sito nel Dark Web (la parte di Internet accessibile via Tor) che venderebbe green pass falsi a partire da 250 euro.

𝗨𝗽𝗱𝗮𝘁𝗲 #𝗚𝗿𝗲𝗲𝗻𝗣𝗮𝘀𝘀 𝗳𝗮𝗹𝘀𝗶: creato un sito sotto #Tor per la vendita.
🔹 https://t.co/Gne0kqYkmk
Via, @nuke86 pic.twitter.com/eGf3hIdwO5

— Claudio (@sonoclaudio) October 27, 2021

Per chiunque fosse tentato di acquistarne uno sentendosi particolarmente furbo, ho due spunti di riflessione:

• Il primo è che se sei disposto a violare la legge e a pagare 250 euro per qualcosa che potresti avere gratis semplicemente vaccinandoti, sei il bersaglio perfetto per gli spennapolli che popolano il Dark Web.
• Il secondo è che se lo comperi, non illuderti che duri più di qualche ora: basta che un singolo agente di polizia o addetto alla sicurezza ne compri uno per sapere quale chiave privata è stata usata per generare i green pass falsi e revocare quella chiave e con essa tutti i green pass truffaldini. Ma i soldi che hai mandato ai truffatori non saranno altrettanto revocabili.
  

---

2021/10/27 20:40. Mi è stata segnalata da fonte confidenziale l’esistenza di un codice QR che viene riconosciuto come green pass valido, sia da VerificaC19 sia da Covid-Check, ed è intestato a Mickey Mouse, data di nascita 31 dicembre 2001. Eccolo.

---

2021/10/28 00:25. Mi è arrivata la segnalazione di un altro codice QR falso ma validato dall’app di verifica svizzera, stavolta a nome di Spongebob Squarepants, nato l’1/10/1900, vaccinato il 27 settembre 2021 nel Regno Unito, con Ministry of Health come emittente del certificato, tecnicamente valevole fino al 27 settembre 2022.

.@DavidPuente @disinformatico Greenpass a nome di Spongebob Squarepants. Generati da portale; questo screenshot viene da 4chan. Il pass é valido con VerificaC19 (28/10 01:11pm con update del 27 alle 11:43) pic.twitter.com/0XiKefUoNj

— Andrea Santaniello 🏴‍☠️ (@lupetto_) October 27, 2021

Sulla base di tutto questo, di questa analisi di Denys Vitali, di quest’altra analisi, del fatto che i green pass falsi sono apparentemente firmati dalle chiavi di numerosi paesi differenti e anche di alcune informazioni ricevute da fonti confidenziali, sembra che la spiegazione più plausibile (per ora, sottolineo, ipotetica) sia questa:

• alcuni membri di piccole organizzazioni sanitarie autorizzate a emettere i certificati Covid avrebbero deciso di abusare della fiducia concessa loro e della scarsità di controlli interni (logici e fisici) e quindi avrebbero creato questi codici QR falsi per burla o per soldi.
• Altri truffatori, nei forum online di criminali, avrebbero deciso di dire di poter generare green pass a pagamento e avrebbero usato questi green pass farlocchi come “dimostrazione” delle loro capacità. Gli allocchi pagherebbero e poi i truffatori scapperebbero coi soldi, senza consegnare il green pass promesso.

In tal caso, i  green pass corrispondenti sarebbero formalmente “veri”, nel senso che sarebbero stati emessi da persone autorizzate, e non ci sarebbe stata alcuna sottrazione massiccia di chiavi crittografiche private di paesi multipli o sfruttamento di qualche falla tecnica del sistema o (ancora più improbabile) bruteforcing per trovare queste chiavi. 

Quello degli addetti disonesti è insomma uno scenario che rispetta il Rasoio di Occam.

---

2021/10/28 11:25. Matteo Flora ha pubblicato un video nel quale mostra una tecnica che consentirebbe a quasi chiunque di generare un’anteprima del green pass, senza salvarla, potendo quindi creare codici QR validi ma falsi senza lasciarne traccia nel sistema. Questa sarebbe una falla procedurale davvero grossa, che ha parecchi indizi a supporto. Ecco il video:

---

2021/10/28 13:40. Sono stati trovati almeno sei punti di accesso al sistema di generazione delle anteprime dei green pass, lasciati stupidamente accessibili a chiunque. A questo punto è estremamente improbabile che siano state rubate chiavi crittografiche: i truffatori hanno semplicemente usato quello che gli addetti ai lavori hanno stupidamente lasciato in giro. Non c’è alcun bisogno di rubare chiavi, se la porta è aperta.

---

 Se scoprite altri dettagli, segnalatemeli nei commenti; aggiornerò questo articolo man mano che avrò informazioni più dettagliate e sicure.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Qualcuno ha sovrapposto al codice QR un pallino sfuocato, che però non rende affatto illeggibile il codice, visto che i codici QR sono fatti apposta per tollerare danni e cancellazioni.

Per chi obietta “Ma tanto si tratta solo di nome, cognome e data di nascita”, ricordo che il codice QR contiene molti altri dati: lo stato di vaccinazione o meno, la data di eventuale vaccinazione, il tipo di vaccino e altro ancora. Dati sanitari sensibili, insomma, che non vengono letti dalle normali app di verifica ma possono essere letti tramite software facilmente reperibile online. 

2021/10/06 2:50. Il Fatto ha cambiato la foto. La versione attuale non mostra più il codice QR.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Ultimo aggiornamento: 2021/08/09 9:20.

Matteo Flora ha pubblicato poco fa su Twitter questo suo resoconto dedicato alla vicenda dei “green pass” falsi offerti in vendita online. Leggete l’originale e condividetelo, visto che potrebbe educare qualcuno: lo riporto qui ripulendo alcuni refusi. Il link in fondo porta a uno dei gruppi Telegram citati.

I #GREENPASS FALSI? UNA DOPPIA FRODE! 

Può una truffa essere talmente bella da configurarsi come Arte? La risposta è sì, e la migliore è quella ai danni dei #NoVax che ha visto la luce nelle scorse ore. 

Come forse sapete i "#NoGreenPass" hanno acquistato a caro prezzo (150€-350€), su gruppi #Telegram che avete visto su tutti i quotidiani, dei documenti falsi nonostante fosse palese che i pass NON POTEVANO essere contraffatti.  

Ora si sono aggregati in gruppi di "utenti delusi" quando hanno scoperto che il FOTTUTO GENIO dietro ai gruppi non può e non vuole (ovviamente) consegnarli. Scoperto l'inghippo, vogliono indietro i soldi, altrimenti minacciano di denunciare chi glieli ha venduti.

Ma qui viene il bello: i truffatori ora hanno detto ai clienti che hanno pagato (con codice fiscale e carta d'identità) che O PAGANO un riscatto di 350€ in Bitcoin OPPURE diffonderanno i documenti online e faranno avere i nominativi dei clienti alla Polizia.

È tutto così bello da fare quasi piangere. E non so chi tu sia, impavido truffatore, ma passa che ti stendo di birre e pacche sulle spalle. #Darwin vince. Sempre. :D

go.mgpf.it/3irYKVW

La vicenda ha un seguito:

Addendum: pic.twitter.com/0rJ0Ae6bq2

— Matteo G.P. Flora (@lastknight) August 7, 2021

Addendum 2: qui i circa 6.000 dollari che hanno già fatto con l’estorsione https://t.co/woCEDHI0dL

— Matteo G.P. Flora (@lastknight) August 7, 2021

Addendum 3: il@messaggio degli Admin del canale originale: pic.twitter.com/oli1DYjXs8

— Matteo G.P. Flora (@lastknight) August 7, 2021

Addendum 4: il “nuovo” gruppo suggerisce di corrompere un medico o un farmacista. pic.twitter.com/MdV0GMd298

— Matteo G.P. Flora (@lastknight) August 7, 2021

Addendum 5: nel frattempo in 20 hanno pagato il riscatto, portando gli incassi del SOLO RISCATTO (i GP si pagavano anche in buoni Amazon) a 0.16981955 BTC (circa 7.600 dollari).https://t.co/t6FAhk0Isc

— Matteo G.P. Flora (@lastknight) August 8, 2021

Addendum 6: Il @fattoquotidiano mi cita e che percula i #NoVax è come una telenovela che continua...
(metto un po' di rassegna sulla cosa!)https://t.co/CWwBrLvBIX

— Matteo G.P. Flora (@lastknight) August 8, 2021

2021/08/09 9:20

La Polizia Postale ha avviato una retata con perquisizioni e sequestri nei confronti degli amministratori di 32 canali Telegram sui quali venivano asseritamente offerti certificati Covid digitali falsi. “Alcuni di questi canali, come «Green Pass ITA» o «Green Pass Italia Acquisto», contavano migliaia di iscritti (oltre 17mila il primo e 35mila il secondo)” (Open).

Commercio online di falsi #greenpass #COVID19#Poliziapostale sta eseguendo perquisizioni e sequestri nei confronti di amministratori di 32 canali #Telegram che mandavano messaggi promettendo invio di certificati vaccinali con cui ottenere il Green Pass #essercisempre #9Agosto pic.twitter.com/q23GpXggKJ

— Polizia di Stato (@poliziadistato) August 9, 2021

Da qualche giorno parecchie persone hanno cominciato a festeggiare l’arrivo dei certificati Covid digitali, quelli dotati di codice QR, pubblicandone le immagini sui social network. È una pessima idea, come dice bene l’avvocato Guido Scorza, componente del Garante della Privacy italiano.

Come al solito, in questi casi arrivano le obiezioni: ma tanto il certificato contiene solo il nome e il cognome e la data di nascita (non è vero), ma cosa vuoi che se ne facciano dei miei dati, eccetera eccetera.

Chiarisco come stanno realmente le cose: il Garante della Privacy italiano ha tweetato che

#GreenPass Il QR code del pass vaccinale contiene informazioni personali e sanitarie, non visibili ma potenzialmente leggibili e utilizzabili da chiunque, anche attraverso specifiche app: è rischioso esporlo sui social network #ituoidati #GarantePrivacy pic.twitter.com/KpCx57IPNF

— Garante Privacy (@GPDP_IT) June 24, 2021

Sempre l’avvocato Scorza scrive su Agendadigitale.eu che il codice QR “è una miniera di dati personali invisibili a occhio nudo ma leggibili da chiunque avesse voglia di farsi i fatti nostri....Chi siamo, se e quando ci siamo vaccinati, quante dosi abbiamo fatto, il tipo di vaccino, se abbiamo avuto il Covid e quando, se abbiamo fatto un tampone, quando e il suo esito e tanto di più.”

Infatti è vero che l’app usata dai verificatori (Covid Check per Android e iOS in Svizzera; VerificaC19 per iOS e Android in Italia) visualizza soltanto nome, cognome e data di nascita, ma il codice QR contiene molte più informazioni, che possono essere lette prendendole dalle foto postate sui social network e usando appositi programmi di analisi, che sono già in circolazione e sono facili da realizzare, visto che le specifiche del contenuto dei codici QR sono ovviamente e necessariamente pubbliche e il codice sorgente delle app di verifica è altrettanto necessariamente aperto. Questo contenuto è descritto in dettaglio su Dday.it.

Pubblicare queste foto sui social consente ai malintenzionati di fare raccolta di massa di dati sanitari. Come spiega Guido Scorza, questi dati consentono di “desumere che la persona ha patologie incompatibili con la vaccinazione o è contraria al vaccino. E di qui negare impieghi stagionali, tenere lontani da un certo luogo, insomma per varie forme di discriminazione. O anche per fare truffe mirate o per fare profilazione commerciale. Immaginiamo la possibilità che questi dati finiscano in un database venduto e vendibile.”

Immaginate, giusto per fare il primo esempio che mi viene in mente, un truffatore che vi telefona a casa e si spaccia per un operatore sanitario e si rende credibile recitandovi il vostro nome e cognome, la data di nascita e quando avete fatto la vaccinazione e con quale vaccino. A quel punto probabilmente vi fiderete di qualunque cosa vi chieda di fare. Pensate anche ai vostri familiari o genitori, che magari non sono smaliziati quanto voi.

----

2021/06/29 13.30: Full Fact segnala un esempio di come i malviventi possono sfruttare la situazione: nel Regno Unito alcuni truffatori chiedono via mail soldi per ottenere il certificato Covid, che è invece gratuito.

Emails that look like they are from the NHS are asking people to pay money for a digital pass in order to show your vaccination status. Several police forces have warned that this is a scam.

You can access the NHS Covid Pass for free online, and will not be asked to pay for it. pic.twitter.com/W6OqqjXHdr

— Full Fact (@FullFact) June 29, 2021

----

Non solo: “questa prassi potrebbe facilitare la circolazione di QR-Code falsi che frustrerebbero l’obiettivo circolazione sicura perseguito con i green pass.”

Insomma, le aziende che sviluppano i software sanitari e queste app anti-Covid si fanno in quattro per rispettare tutte le normative e proteggere i dati degli utenti, e tutto questo lavoro rischia di essere stato fatto invano perché sono gli utenti stessi a spiattellare i propri dati su Internet.

Avete ricevuto il “green pass”? Buon per voi. Ditelo e basta; non c’è bisogno di postare una foto. Ci crediamo.

Ultimo aggiornamento: 2021/06/25 15:25.

La fissa dei giornalisti per i termini inglesi ha creato l’errore del “green pass”, che è il nome sbagliato di quello che in realtà si chiama certificato Covid digitale europeo, il documento concepito per consentire di varcare le frontiere interne europee in modo agevolato. Il green pass, invece, è il permesso israeliano di accesso ad attività commerciali e uffici per i vaccinati; la possibilità di attraversare frontiere nazionali non c’entra nulla.

Questo certificato europeo consentirà di attestare l’avvenuta vaccinazione, la guarigione o il risultato negativo di un test a partire dall’1 luglio a livello europeo. Il certificato equivalente svizzero, compatibile con quello europeo, è già pronto e in Canton Ticino è stato distribuito in forma elettronica a tutti i vaccinati con un SMS ieri (circa un migliaio di persone hanno ricevuto l’SMS il giorno precedente come prova generale). Stamattina circa la metà dei certificati era già stata scaricata, secondo il sito ufficiale del Canton Ticino.

Chi volesse richiedere questo certificato trova tutte le informazioni del caso presso www.ti.ch/certificato.

A me l’SMS è arrivato alle 19.29. Il messaggio conteneva un link personalizzato: l’ho seguito e sono arrivato a questa pagina di registrazione.

Qui ho immesso il mio indirizzo di mail, ho spuntato la casella Desidero ottenere un certificato COVID e letto l’informativa sulla privacy linkata nella pagina.

Pochi secondi dopo ho ricevuto questa risposta, che è una pagina standard pubblica:

Qualche altro secondo più tardi mi è arrivata una mail contenente un link personalizzato per scaricare il certificato:

Cliccando sul link mi è stato chiesto di immettere il mio numero di cellulare e poi di immettere il codice a sei cifre che ho ricevuto via SMS sul telefonino. A quel punto è comparso un pulsante Scarica.

Il certificato è arrivato sotto forma di PDF in formato A4 con questo aspetto:

Contiene i dati essenziali in italiano e in inglese: la malattia per la quale sono stato vaccinato; il numero di dosi; il tipo, prodotto e fabbricante del vaccino (Comirnaty è il marchio registrato del vaccino Pfizer/BioNTech); la data e il paese di vaccinazione; il mio nome, cognome e data di nascita; e un URN (Uniform Resource Name) abbinato a un codice QR. Le specifiche tecniche dell’URN sono pubblicate qui.

---

Questo certificato, autenticato dall’Ufficio federale della sanità pubblica (grazie alla firma digitale generata usando i miei dati) mi darà accesso a grandi eventi e manifestazioni in Svizzera (nei casi previsti) e dovrebbe facilitare l’attraversamento delle frontiere, perché basterà una scansione del codice QR e un controllo di un documento d’identità per documentare che sono vaccinato.

Il foglio A4 non è molto pratico da portare in giro, per cui ho provato subito l’app apposita che fa da “portadocumenti”, ossia Covid Certificate (Android; iOS). Ne avevo parlato in anteprima qualche giorno fa. 

Ho lanciato l’app, ho letto le brevi informazioni di presentazione e poi ho cliccato su Aggiungere. L’app mi ha chiesto (ovviamente) il permesso di accedere alla fotocamera, che ho accettato solo per questa volta, e ho fatto la scansione del codice QR dal PDF stampato (si può fare anche partendo dal PDF visualizzato su uno schermo).

Qualche foto (l’app saggiamente non consente screenshot, per cui accontentatevi di queste immagini fatte di corsa):

---

Sono insomma a posto: ho il certificato su PDF, su carta e nell’app (che, fra l’altro, consente di archiviare più di un certificato, come ho verificato con quello della Dama del Maniero). Mi resta solo da levarmi una curiosità: come funziona la verifica?

La verifica usa l’apposita app Covid Check (Android; iOS), che è liberamente installabile da chiunque. Ho provato a scansionare il mio certificato Covid stampato, e l’app mi ha mostrato soltanto queste informazioni: validità, nome, cognome e data di nascita. Idem quello della Dama. Questo vuol dire che i verificatori non sanno se la persona che verificano è vaccinata o ha fatto il Covid o ha fatto un tampone negativo.

Dai commenti qui sotto risulta che l’app verifica soltanto i codici QR rilasciati dall’autorità sanitaria svizzera: quelli di altri paesi vengono letti ma non verificati.

Un dettaglio interessante: l’app di verifica funziona anche senza connessione a Internet. Sembra quindi che il controllo avvenga completamente in locale, senza mandare dati ad alcun server centrale, tutelando quindi fortemente la riservatezza (l’informativa sulla privacy dell’app di verifica è qui). 

Mi restano solo due dubbi:

• Il primo è che non ho capito come funziona la revocabilità: visto che per poter sapere se un certificato è stato revocato presumo che debba scaricare periodicamente (da dove? Quando?) dei dati per sapere quali certificati sono stati revocati. Secondo l’informativa di privacy di Covid Check, “Le applicazioni per la conservazione dei certificati COVID-19 necessitano dell’elenco dei certificati di firma per verificare la validità dei certificati memorizzati nell’app. Le applicazioni per la verifica dei certificati COVID-19 necessitano dell’elenco dei certificati di firma per verificare la validità dei certificati scansionati. Il sistema d’informazione elabora solo i certificati di firma, quindi non tratta dati personali... L’UFIT gestisce un sistema d’informazione che permette di comparare i certificati con quelli revocati e che a tal fine contiene l’identificativo univoco dei certificati revocati. L’elenco degli identificativi dei certificati revocati è messo a disposizione delle applicazioni per la verifica e la conservazione dei certificati COVID-19. Questo elenco consente alle applicazioni per la conservazione dei certificati COVID-19 di verificare la validità e lo stato di revoca dei certificati COVID-19 archiviati nell’app. L’elenco consente alle applicazioni per la verifica dei certificati COVID-19 di verificare la validità e lo stato di revoca dei certificati scansionati con l’app. Dall’identificativo del certificato non è possibile risalire alle persone, quindi nessun dato personale è trattato in questo sistema.”
  
• Il secondo è questa segnalazione di Tio.ch secondo la quale l’“applicazione di verifica utilizzata da terzi può in teoria essere programmata non solo per controllare la validità o meno di un certificato, ma anche per leggere i dati relativi alla salute dell'utente”, tanto che l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha proposto una versione “light”del certificato che non conterrebbe dati sanitari ma sarebbe validata comunque dalla firma digitale.
  

In attesa di risolvere quest’ultimo dubbio, ora non mi resta che trovare un grande evento al quale partecipare (ma pare che non ci saranno restrizioni ridotte per chi ha il certificato Covid) oppure tentare l’attraversamento della frontiera (possibilmente dopo il primo luglio, quando in teoria le app di verifica dei certificati Covid saranno interoperabili).

----

2021/06/25 15:25. AgendaDigitale ha pubblicato un interessante confronto tecnico e giuridico fra il certificato Covid svizzero e quello italiano/UE. In sintesi: quello italiano offre maggiori tutele.

Pubblicazione iniziale: 2021/06/12 16:59. Ultimo aggiornamento: 2021/06/14 10:00.

Stamattina (12/6) è comparso su Twitter un avviso che dice che qualcuno ha postato su un forum sul deep Web un annuncio che offre (a suo dire) i dati di vaccinazione Covid di 7,4 milioni di italiani.

[ALERT] A forum on the DeepWeb has posted a post selling COVID-19 vaccination data of 7.4 Million Italians. pic.twitter.com/O5EcOEqM3s

— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) June 12, 2021

So di che forum si tratta, ma non credo che sia opportuno divulgare qui questo dato. Mi limito a precisare che deep Web non è il dark Web che piace tanto ai giornalisti sensazionalisti: è semplicemente la parte di Internet che i motori di ricerca non indicizzano, ed è liberamente consultabile con un comune browser (non occorre Tor, insomma).

La persona che afferma di avere questi dati ha pubblicato sul forum in questione un campione dei dati a riprova di quello che dice, precisando che la versione completa include delle password (circa cinque milioni e mezzo) e che il dataset è in vendita a un prezzo imprecisato. 

I campi pubblicati finora nel campione sono i seguenti:

• mail
• nome
• ruolo (sempre blank)
  
• cognome
• data_nascita
• gia_positivo (sempre blank)
• verificato_2 (yes/no)
  
• codice_fiscale
• tel cellulare

In un altro campione i campi sono invece:

• anno (quasi sempre 2021)
  
• mese (sempre 2)
  
• nome
• email
• giorno (valore numerico a una o due cifre)
  
• status (valori Iscritto o Trasferimento in ingresso)
  
• cognome
• altre_asl
• privacy_1
• privacy_2
• verificato
• data_nascita
• verificato_2
• cap_domicilio
• cap_residenza
• codice_fiscale
  

David Puente su Open fornisce ulteriori dettagli e sospetta che si tratti di una truffa, nel senso che i dati non sarebbero privati ma sarebbero in realtà pubblici e di una categoria ben specifica (i record esaminati da Puente riguardano “medici, psicologi e psicoterapeuti del Sud Italia”). Anche ItalianTech ha pubblicato una prima analisi del campione reso pubblico, che conferma l’appartenenza dei dati a operatori sanitari, e ha successivamente contattato l’autore dell’annuncio, che dice di aver messo in vendita i dati a 5000 dollari e non ha parole gentili per la competenza tecnica dei gestori dei siti dai quali ha estratto i dati.

Secondo una fonte riservata che conosce direttamente i dati, almeno parte del campione proverrebbe dal database della web app di vaccinazione della Regione Campania. Alcune delle persone sarebbero operatori sanitari perché i primi ad essere vaccinati sono stati appunto questi operatori. Un primo riscontro sembra confermare che almeno una parte dei dati messi in vendita corrisponde esattamente al contenuto del database campano.

Sono in contatto con l’autore dell’annuncio, che dichiara che si tratta di un’aggregazione di vari database provenienti da fonti differenti (circa 150, secondo le informazioni raccolte da Matteo Flora). A suo dire le password sono in parte in chiaro e per la maggior parte hashed.

Insomma, ci sono dubbi sull’autenticità dell’offerta. Non va dimenticato che si tratta di un’offerta fatta da una persona che si presenta come criminale informatico e che quindi ha ogni incentivo per mentire o confondere la situazione in modo da ottenere la massima monetizzazione delle proprie attività. 

Questo è quello che so e che posso pubblicare al momento.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Stamattina l’Ufficio federale della sanità pubblica svizzero ha annunciato l‘avvio di un test pubblico di sicurezza per SwissCovid, l’app di tracciamento di prossimità finora usata per consentire di allertare anonimamente chi è stato vicino a una persona risultata poi positiva.

Avvio del Public Security Test per la funzione check-in nell’app #SwissCovid. Contribuite a verificare la sicurezza della nuova funzione e comunicate i risultati dei vostri test tramite il sito web dell’NCSC. https://t.co/nfqKVI5fTU

— BAG – OFSP – UFSP (@BAG_OFSP_UFSP) June 9, 2021

Il tweet è piuttosto ermetico: che cos’è la “funzione check-in”? E perché viene aggiunta a SwissCovid? Sono sempre un po’ sospettoso quando vedo aggiunte di questo genere, perché temo il classico feature creep che ha spesso conseguenze impreviste.

Questo è quello che ho trovato finora: l’annuncio del Centro Nazionale di Cibersicurezza dice che

Tra breve l'app SwissCovid sarà completata con l'applicazione «NotifyMe», che potrà essere impiegata nel quadro di eventi e riunioni. Il codice sorgente di SwissCovid verrà pertanto ampliato. 

e linka delle FAQ che citano CrowdNotifier (altre info qui), che parlano di un tracciamento di presenza (non più di prossimità) sicuro, decentrato e protettivo della privacy, allo scopo di  (traduco) “semplificare e accelerare il processo di notifica delle persone che hanno condiviso un luogo semipubblico con una persona positiva alla SARS-CoV-2 per un tempo prolungato, senza introdurre nuovi rischi per gli utenti e i luoghi.”

La documentazione di Crowd Notifier prosegue dicendo che (traduco) “i sistemi esistenti di tracciamento di prossimità (app di tracciamento dei contatti come SwissCovid, Corona Warn App e Immuni) notificano soltanto un sottoinsieme di queste persone: quelle che sono state abbastanza vicine per abbastanza tempo. Gli eventi attuali hanno reso evidente la necessità di notificare tutte le persone che hanno condiviso uno spazio con una persona positiva alla SARS-CoV-2.”

Sembra insomma che si voglia introdurre in SwissCovid una nuova funzione che generi una notifica semplicemente quando si va in un luogo affollato nel quale risulta poi che c’era qualche persona positiva al Covid, anche se non si è stati vicini alla persona per periodi prolungati.

A giudicare dagli schemi pubblicati, che vedete in testa a questo articolo, ci sono dei codici QR che vengono generati dal proprietario del luogo (o locale) e vengono scansionati dai visitatori.

Si tratta di una proposta, per ora, e il suo scopo è (traduco) “fornire un’alternativa al crescente uso di app con intenzioni analoghe che sono basate su una raccolta invasiva o che si prestano ad abusi da parte delle autorità.”

La questione è aperta e delicata: le app di questo genere consentono, se realizzate male, tracciamenti di massa decisamente inaccettabili. Se ci saranno novità, le segnalerò qui. Se scoprite qualcosa, i commenti sono come sempre a vostra disposizione.

I certificati COVID svizzeri, che facilitano gli spostamenti da un paese all’altro e la partecipazione ai grandi eventi, sono ancora in fase sperimentale (arriveranno entro fine mese, sia in forma digitale sia in forma cartacea). Sono però già disponibili per lo scaricamento le due app per la gestione di questi certificati.

La prima è l’app per gli utenti, quella che custodisce il certificato (anche per più persone) e si usa per esibirlo, si chiama Covid Certificate ed è qui per iOS (installabile anche su iPad, dalla versione 12.0 e successive) e qui per dispositivi Android (compatibile con Android 7.0 e successivi).

La seconda app è quella che serve per verificare i certificati; è usabile da chiunque per scansionare e verificare la validità dei certificati esibiti e si chiama Covid Certificate Check. La trovate qui per Android (7.0 e successivi) e qui per iOS (12.0 e successivi).

In attesa di poter usare queste app, diffidate delle imitazioni e delle app quasi omonime presenti negli Store: installate soltanto le versioni originali, che si possono riconoscere dal nome dello sviluppatore, che è l’Ufficio federale della sanità pubblica (UFSP/BAG).

Per tutti i dettagli sul funzionamento dei certificati COVID potete leggere questo mio articolo.

Pubblicazione iniziale: 2021/06/04 1:17. Ultimo aggiornamento: 2021/06/17 15:30.

Chiunque può testare la sicurezza del software che gestirà il “certificato Covid” svizzero che certificherà l’avvenuta vaccinazione, la guarigione o il risultato negativo di un test e sarà necessario o facilitante per esempio per viaggiare oltre frontiera e per partecipare alle grandi manifestazioni (secondo le modalità dettagliate qui e in queste FAQ). Il codice sorgente e la documentazione sono disponibili per l’esame qui su GitHub.

La versione svizzera del certificato Covid sarà compatibile con quella dell’UE (spesso chiamata impropriamente green pass dai giornalisti che si sono ispirati male a un sistema israeliano) e viceversa; sarà introdotta gradualmente a partire dal 7 giugno. 

2021/06/17:15.30. Il certificato è stato distribuito.

Il certificato Covid sarà in sostanza un codice QR non falsificabile, stampato su carta (o fornito come PDF) oppure contenuto all’interno di un’apposita app che fa da wallet. Il certificato conterrà una firma elettronica della Confederazione che consente la verifica del certificato stesso senza trasmettere o salvare dati personali.

L’app per gli utenti si chiamerà Covid Certificate; dovrebbe essere pubblicata dall’Ufficio Federale della Sanità Pubblica (UFSP) e dovrebbe quindi comparire per esempio qui nel Play Store Android (ci sarà anche una versione iOS) dal 7 giugno 2021. L’app sarà gratuita (fonte: Dipartimento Federale delle Finanze).

Ci sarà anche un’app per verificare i certificati, chiamata Covid Certificate Check,* e ci sarà un sito riservato ai generatori autorizzati di questi certificati, presso www.covidcertificate.admin.ch (attualmente non operativo).**

Il progetto è stato affidato alla società zurighese Ubique (la stessa che ha prodotto SwissCovid) e ad altre due aziende svizzere, basandosi sul protocollo sviluppato dall’EPFL e sotto la supervisione dell’Ufficio Federale dell’Informatica e della Telecomunicazione (UFIT), scrive Le Temps.

Ecco qualche screenshot dalla versione Android non definitiva dell’app per gli utenti in italiano (le altre lingue disponibili sono tedesco, francese e inglese):

Queste, invece, sono immagini non definitive dell’app per verificatori:

Il funzionamento dovrebbe essere grosso modo il seguente.

L’utente richiederà il certificato, che sarà disponibile entro fine giugno e verrà fornito dai centri di vaccinazione, dai medici, dagli ospedali, dalle farmacie e dai centri di test (come spiega la RSI) e potrà importarlo nell’app Covid Certificate facendone una scansione. Chi verrà vaccinato con l’ultima dose prima della fine di giugno (come me) dovrà consultare il sito del Cantone per informazioni su come richiedere il certificato; chi verrà vaccinato dopo la fine di giugno riceverà il certificato automaticamente in forma elettronica (o, su richiesta, in PDF sul posto), come descritto qui.

L’utente esibirà questo certificato su richiesta (nei casi previsti) a un verificatore, che userà l’app di verifica Covid Certificate Check per leggere il codice QR ed accertarsi che il certificato sia autentico e non sia stato revocato.

Il verificatore che usa l’app potrà vedere solo “il nome, il cognome, la data di nascita e l’indicazione della validità del certificato COVID” (comunicato stampa del 4/6).

Il PDF conterrà un grande codice QR e alcuni dati stampati in chiaro: nome, cognome e data di nascita del titolare; numero di dose, marca, fabbricante del vaccino; data di vaccinazione; paese; ente emittente. L’app, invece, mostrerà solo il codice QR e il nome e la data di nascita della persona, perlomeno nella schermata principale.

In termini di privacy, non ci sarà un archivio centrale: ogni persona dovrà provvedere a custodire il proprio certificato sul proprio dispositivo digitale o su carta. “I dati personali non sono salvati a livello centrale dall’Amministrazione federale e quelli necessari per la firma elettronica del certificato vengono cancellati dal sistema della Confederazione non appena il certificato è stato generato e trasmesso”, dice il suddetto comunicato stampa, e non viene fatto alcun tracciamento delle verifiche. In caso di smarrimento del certificato bisognerà richiederne uno nuovo.

---

La decisione di effettuare un test di sicurezza pubblico è stata annunciata dall’Ufficio Federale dell’Informatica e della Telecomunicazione (UFIT). Ulteriori dettagli verranno resi pubblici oggi (venerdì 4 giugno) e verranno pubblicati qui sul sito dell’UFSP.

Si tratta di un progetto open source di massima trasparenza: come dicevo, il codice sorgente è già liberamente esaminabile e disponibile su GitHub; le condizioni e regole di partecipazione al test di valutazione della sicurezza, con le relative garanzie di non perseguibilità, sono pubblicate sul sito del Centro Nazionale per la Cibersicurezza insieme al modulo per la notifica dei problemi riscontrati e all’elenco di quelli già scoperti (fra i quali figura una password hardcoded).

Il periodo di verifica pubblica è iniziato il 31 maggio scorso e complementa i test già condotti dall’Istituto Nazionale di Test per la Cibersicurezza (NTC). Non sono previste ricompense (niente bug bounty, insomma).

Oltre al codice sorgente delle app per Android e iOS e dei servizi di generazione dei certificati, con la documentazione delle loro architetture, su GitHub si trovano anche le presentazioni che descrivono l’aspetto, i principi e la tabella di marcia dell’app e del documento cartaceo.

Frugando un pochino nella documentazione si trovano anche la guida rapida e le istruzioni per i “superutenti” (gli incaricati di generare i certificati) e per la loro formazione. Nulla che interessi al comune cittadino, ma interessante per chi vuole studiare le procedure interne del sistema.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.