Green pass: usate chiavi crittografiche per creare certificati falsi che funzionano, che succede?

http://www.salvoamato.it
informatica liofilizzata in pillole per uso strettamente professionale
Sat, 30 Oct 2021 15:44:25 +0000
it-IT

hourly

1
https://wordpress.org/?v=5.4.7

http://www.salvoamato.it/wp-content/uploads/2018/04/cropped-logo-salvo-1-32×32.png
Salvo Amato
http://www.salvoamato.it
32
32

Green pass: usate chiavi crittografiche per creare certificati falsi che funzionano, che succede?
http://www.salvoamato.it/2021/10/30/green-pass-usate-chiavi-crittografiche-per-creare-certificati-falsi-che-funzionano-che-succede/

Sat, 30 Oct 2021 15:41:43 +0000

http://www.salvoamato.it/?p=2079

Quando ho letto la notizia non volevo crederci. Da informatico mi ero fatto una idea diversa, ma il sistema di
L’articolo Green pass: usate chiavi crittografiche per creare certificati falsi che funzionano, che succede? proviene da Salvo Amato.
]] >
Quando ho letto la notizia non volevo crederci. Da informatico mi ero fatto una idea diversa, ma il sistema di certificazione europeo ha prodotto qualcosa che stento a credere.

La notizia di questi giorni è quella del furto di alcune chiavi crittografiche che si usano per creare il QrCode per il Green pass. Con quelle chiavi e con gli algoritmi utilizzati (presi non si sa dove o comunque di pubblico dominio), di fatto, qualcuno riesce a produrre un QrCode per qualsiasi certificato, anche a nome di Topo Gigio.

Come dovrebbe funzionare il sistema in sicurezza

Prima, però, vorrei esporvi come mi aspettavo funzionasse il sistema.

La UE ha un grande archivio dove ci sono le anagrafiche dei vaccinati e i certificati verdi di tutti (anche di quelli con tampone 48 ore). Questo archivio blindato consente una consultazione ma solo a chi è autorizzato.

Per effettuare la consultazione mette a disposizione una app che letto qualcosa sul QrCode effettua una interrogazione su questo archivio centrale e legge i dati di chi sia il proprietario di quel certificato e li restituisce in chiaro. Praticamente mi aspettavo che il QrCode fosse solo un codice unico da usare per individuare il cittadino e non l’intero certificato criptato.

E’ per questo che quando ho appreso la notizia, ho sorriso e ho detto: ammesso che si riesca a produrre un QrCode valido, come si farà ad aggiornare l’archivio centrale con il certificato di Topo Gigio? Se no, una interrogazione non porterà alcuna risposta positiva e dirà che il tizio non è certificato, non trovandolo in archivio.

Ho, quindi, fatto una verifica sul QrCode del mio certificato. Ho scaricato l’app ufficiale che potete trovare qui e ho fatto il controllo. Prima di controllare ho messo il cellulare in modalità aereo, quindi isolato dalla rete.

Secondo la mia ipotesi, l’app non avrebbe dovuto funzionare ma invece, con mio stupore, ha dato i risultati mostrando che il certificato appartiene a me. L’app non usa internet per fare la verifica. Ciò dimostra una sola cosa: il QrCode contiene al suo interno tutti i dati necessari compresi quelli che vengono resi in chiaro: nome, cognome, esito della certificazione e data. Di fatto il QrCode, contiene al suo interno una stringa di dati criptati. Non serve alcun altro controllo on line per verificarne l’autenticità

Cosa vuol dire questo? Semplice: non occorre interrogare alcun database centrale per effettuare la verifica, l’app di fatto decripta i dati contenuti nel QrCode e li rende visibili.

Allora se siamo in possesso degli algoritmi di crittografia e delle relative chiavi possiamo produrre in autonomia il certificato? La risposta è Sì. Ed è anche stato semplice capirlo. E’ bastato usare l’app off line e rendersi conto che nel certificato c’è tutto.

Come funzionerà probabilmente il sistema e i suoi punti deboli

Di fatto pare che il sistema funzioni in questo modo:

Il sistema che genera i certificati usa un algoritmo e una chiave crittografica criptando i dati necessari come nome, cognome, data di nascita, scadenza certificato e forse altri dati. I dati criptati vengono trasformati in QrCode per una leggibilità in formato elettronico tramite un lettore ottico. Questa trasformazione avviene con funzioni di pubblico dominio.il QrCode può essere letto ma all’atto della lettura si ottiene il dato criptato. A questo punto l’app che legge applica una chiave di decriptazione per decodificarlo e ottenere i dati in chiaro.

Molto più probabilmente è stata usata una crittografia a doppia chiave asimmetrica pubblica e privata. La chiave privata segreta che viene usata per criptare i dati, quella pubblica viene usata per decriptare. Tutto il commercio elettronico si basa su questo sistema.

Nel caso specifico l’app di lettura usa una chiave publica che serve solo a decriptare i dati ma non a criptarli. La chiave segreta è solo quella di crittografia.

E’ proprio la chiave segreta di crittografia quella rubata. Ce ne sono sicuramente tante, non una, ma tutte consentono di cifrare dati che si potranno decifrare con la stessa chiave pubblica.

Qualcosa di simile ai cosiddetti documenti firmati elettronicamente dove la decifrazione serve a certificare che non siano stati manomessi.

Quindi cosa sarà successo? Di certo è stato trafugata qualche chiave di crittografia e altrettanto certamente qualcuno è venuto a conoscenza degli algoritmi di cifratura. Il sistema magari ne ha usato qualcuno non proprio segreto. Il vero segreto alla fine sta solo nella chiave, quella che è stata trafugata.

Così facendo, chi è entrato in possesso della chiave, può generare tutti i certificati che vuole. Basta fornire i dati di partenza per generare il certificato che si vuole. Nell’immagine che segue trovate il certificato di Michel Mouse nato il 31 dicembre 2001. Provate voi stessi.

Ma come è possibile che sia potuto succedere qualcosa del genere? Come è possibile che un sistema progettato per usare la massima sicurezza sia così facile da bucare e tra l’altro senza una possibilità semplice di correre ai ripari.

Cos’altro può essere successo?

Secondo quanto raccontano alcuni esperti, più precisamente potrebbe essere successa un’altra cosa comunque non meno grave. Gli enti autorizzati all’emissione di certificato hanno anche la possibilità, nel sistema di effettuare una preview dei dati senza generare il certificato. Sarebbe facile, quindi, che un funzionario compiacente possa generare una preview senza poi salvarla ma stamparla o comunque fornirla per le vie brevi e successivamente cancellarla. Questa potrebbe essere la spiegazione che sicuramente da un lato non ci dà certezza sulla fuga di chiavi, dall’altro forse è ancora più grave, poiché fa sì che chiunque abbia accesso al sistema possa di fatto produrre certificazioni false senza conservarle ma comunque valide per i controlli.

Quali soluzioni?

Quale sarebbe la soluzione? Di certo occorrerebbe centralizzare il meccanismo di verifica, creando una App aggiornata che effettui un controllo interrogando l’archivio centralizzato on line, proprio come avevo ipotizzato funzionasse il sistema. In questo modo il signor Topo Gigio non avendo una vera scheda anagrafica nel sistema centralizzato, pur presentando un QrCode ben fatto non passerebbe i controlli.

Tutta questa storia lascia sbigottiti per la leggerezza delle scelte tecniche. Sarebbe come se un sistema di pagamento con bancomat o carta di credito si fidasse dei dati presenti nella carta, senza effettuare una verifica on line per vedere se c’è disponibilità economica. Non occorreva certo inventare nulla di nuovo ma far sì che un sistema fosse fornito di meccanismo di controllo adeguato. Non è così difficile immaginare che possa esserci anche una fuga di chiavi crittografiche dagli ambienti di lavoro e un sistema di controllo centralizzato avrebbe reso vano la possibilità di creare certificati falsi.

Di certo il sistema informatizzato della UE non ne esce a testa alta e sicuramente la fiducia in esso sarà irrimediabilmente compromessa. Non basterà porre rimedio con qualche pezza informatica.
L’articolo Green pass: usate chiavi crittografiche per creare certificati falsi che funzionano, che succede? proviene da Salvo Amato.
]] >

Coding Game: ecco una pagina semplice per la settimana del codice
http://www.salvoamato.it/2021/10/23/coding-game-ecco-una-pagina-semplice-per-la-settimana-del-codice/

Sat, 23 Oct 2021 17:02:44 +0000

http://www.salvoamato.it/?p=2068

Una carrellata di 8 diverse attività da svolgere a scuola direttamente sul web.
L’articolo Coding Game: ecco una pagina semplice per la settimana del codice proviene da Salvo Amato.
]] >
Una carrellata di 8 diverse attività da svolgere a scuola direttamente sul web.

L’articolo Coding Game: ecco una pagina semplice per la settimana del codice proviene da Salvo Amato.
]] >

Gli studenti copiano dalla rete? Ecco alcune app che rivelano le fonti a partire da frammenti di testo.
http://www.salvoamato.it/2021/10/13/gli-studenti-copiano-dalla-rete-ecco-alcune-app-che-rivelano-le-fonti-a-partire-da-frammenti-di-testo/

Wed, 13 Oct 2021 16:14:59 +0000

http://www.salvoamato.it/?p=2056

Ultimamente sono frequenti i casi in cui per velocizzare i compiti gli studenti ricorrono a veri e propri “copia e
L’articolo Gli studenti copiano dalla rete? Ecco alcune app che rivelano le fonti a partire da frammenti di testo. proviene da Salvo Amato.
]] >
Ultimamente sono frequenti i casi in cui per velocizzare i compiti gli studenti ricorrono a veri e propri “copia e incolla” sulla rete addirittura senza aggiustare granché. Sono tempi duri per gli insegnanti che pur verificando che il testo prodotto non è lavoro dell’alunno, hanno difficoltà a dimostrare che sia vero e proprio plagio.

Per determinare casi di copia su altri contesti come ad esempio quello giornalistico, esistono dei siti on line che effettuano per nostro conto una verifica e consentono di fare un confronto in rete. In pochi secondi è possibile avere un resoconto di quanto trovato in rete, anche sui gruppi social e in siti di nicchia, purché siano contenuti aperti al pubblico.

https://plagiarismdetector.net/it

E’ uno dei servizi piace usati in rete e consente una ricerca approfondita fornendo tutte le fonti anche in caso di testo leggermente alterato. Il software fornisce le fonti ed una percentuale del plagio in modo da consentire una dimostrazione chiara ed esauriente.

Il servizio prevede anche l’elaborazione di un resoconto in formato PDF da usare a dimostrazione del plagio riscontrato.

Servizi del genere vengono usati sempre più anche per le tesi di laurea dove il fenomeno si sta allargando sempre più. In questo caso ovviamente se si copia da una fonte non disponibile on line, la ricerca perde di significato.

Ovviamente potremmo anche dire che i docenti dovrebbero aggirare l’ostacolo della copiatura chiedendo compiti di creatività personalizzati. In questo caso lo studente non sarebbe in grado di avvalersi delle fonti se non elaborandole personalmente.
L’articolo Gli studenti copiano dalla rete? Ecco alcune app che rivelano le fonti a partire da frammenti di testo. proviene da Salvo Amato.
]] >

Coding a scuola, il mio seminario introduttivo GRATUITO per le scuole, ecco come prenotarsi entro il 31 ottobre
http://www.salvoamato.it/2021/10/13/coding-a-scuola-il-mio-seminario-introduttivo-gratuito-per-le-scuole-ecco-come-prenotarsi-entro-il-31-ottobre/

Wed, 13 Oct 2021 08:53:03 +0000

http://www.salvoamato.it/?p=2047

Il coding è la quarta competenza, ciò che consente di imparare a ragionare e a risolvere problemi. Esso spesso viene
L’articolo Coding a scuola, il mio seminario introduttivo GRATUITO per le scuole, ecco come prenotarsi entro il 31 ottobre proviene da Salvo Amato.
]] >
Il coding è la quarta competenza, ciò che consente di imparare a ragionare e a risolvere problemi. Esso spesso viene usato nelle scuole ma ci si ferma all’ora o alla settimana del codice.

Ciò che sarebbe veramente interessante è l’introduzione sistematica delle strategie del pensiero computazionale nella programmazione didattica in tutti gli ordini di scuola.

Per fare ciò gli insegnanti non hanno solo bisogno di conoscere gli strumenti ma occorre necessariamente capire come agire, come strutturare una unità didattica integrandovi il coding e come adeguarlo all’ordine di scuola in cui si insegna.

Negli ultimi 10 anni sono stati fatti notevoli passi avanti ma molto resta ancora da fare. Gli studenti spesso vedono le attività come un momento ludico e non fanno propri gli strumenti del coding per usarli laddove possono servire. La strategia didattica spesso si rivela inefficace perchè limitata ad un periodo ristretto ed isolata dal resto delle competenze.

Per quest’anno ho pensato di avviare una serie di seminari rivolti direttamente alle singole istituzioni scolastiche. Seminari della durata di 2 ore GRATUITI che consentano agli insegnanti di avvicinarsi al Coding e di capire come questo possa essere utile per la propria disciplina.

L’invito è rivolto ai dirigenti scolastici e agli animatori digitali che vogliano approfittare di un momento formativo gratuito per stimolare i docenti alle nuove strategie del coding.

Durante l’invito è occasione per presentare il mio libro, un manuale per gli insegnanti che spiega in modo semplice ed intuitivo l’uso del coding attraverso 12 esempi pratici da usare in tutti gli ordini di scuola.

Le istituzioni che vorranno aderire potranno inviare al sottoscritto una email a salvo.amato@gmail.com oppure compilare il modulo sottostante.

Avrò il piacere di rispondervi ed eventualmente di programmare un incontro on line sul coding e pensiero computazionale.

Ecco il modulo per inviare la manifestazione di interesse

Abilita JavaScript nel browser per completare questo modulo.Nome *NomeCognomeRuoloDirigente scolasticoAnimatore digitaleDocente interessatoAltroScuola di appartenenzaEmail *Email istituzionale o personaleAltre comunicazioniInserisci qui eventuali domande, dubbi sull’iniziativa o eventuali altre informazioni di contatto come numero di telefono o contatto socialCommentInvia

Ti sei mai chiesto cos’è il furto di immagini e come può influire su di te? Bene, immagina di aver scattato una splendida fotografia che cattura un prezioso istante di un tramonto. Hai condiviso quella foto sulle tue piattaforme di social media e, subito dopo due giorni, qualcuno ha usato la tua foto e l’ha condivisa come propria.

Questo si chiama furto di immagini, amico mio!

Il furto di immagini non è altro che una pratica frustrante e immorale che può danneggiare i creatori originali. Inoltre, questa è una delle pratiche più comuni che sono state utilizzate nei tempi attuali.

Inoltre, in rete è difficile impedire questa pratica aassolutamente non etica, ma non è impossibile. Alcuni approcci possono portare a rilevare tracce delle tue foto rubate. Ora, potresti pensare, quale?

Bene, questa guida per mostrerà come l’IA può identificare il furto di immagini e cosa fare una volta che viene rilevato.

Come identificare il furto di immagini?

Una volta che sei a conoscenza del furto, è il momento di identificarlo. Puoi usare la tecnica che ora ti spiego, in quanto facile ed efficace. Quindi iniziamo.

Inverti ricerca per immagini

Ecco il modo utile per identificare il furto di immagini, ma che cos’è esattamente? La ricerca inversa delle immagini si riferisce alla navigazione in Internet con l’aiuto di un’immagine invece di qualsiasi query testuale o parola chiave.

Potrebbe non essere chiaro per alcuni lettori. Non preoccuparti. Capiamolo con un esempio.

Vogliamo conoscere i dettagli sull’ultimo modello di Honda. Normalmente, puoi semplicemente digitare “l’ultimo modello Honda” nel motore di ricerca, ma nel caso della ricerca di immagini inversa, devi solo caricare una foto dell’ultimo modello e il motore di ricerca ti farà conoscere le informazioni su quell’immagine. Con questa tecnica, puoi prendere due piccioni con una fava ottenendo informazioni sul modello e anche sulla fonte di quella foto.

Ora, cambiamo il tuo ruolo da ricercatore a creatore originale! Se sei il creatore dell’ultima immagine del modello Honda, puoi semplicemente entrare nella ricerca per immagini ed eseguire una rocerca inversa di immagini al suo interno e sapere se è utilizzato da qualcun altro. In parole semplici, se trovi qualcuno che usa la tua immagine come propria, hai rilevato con successo il furto di immagini, amico!

Cosa fare dopo aver rilevato il furto di immagini?

Evviva, hai scoperto il furto! Ora è necessario agire contro i furti e per la prevenzione futura. Fortunatamente, possiamo fare alcune cose subito dopo il rilevamento, quindi vediamole nel dettaglio.

1. Invia un avviso DMCA

L’avviso DMCA prevede l’assunzione di un avvocato, la cui spesa normalmente è decisamente elevata, ma non in questo caso! È il modo più semplice per recuperare le tue immagini dagli imitatori. DMCA è l’abbreviazione di Legge sul copyright del millennio digitale e la maggior parte delle piattaforme di social media, inclusi Instagram, Facebook e Pinterest, hanno i loro moduli di copyright. Se trovi qualcuno su queste piattaforme che ha usato la tua immagine, puoi semplicemente compilare il modulo di copyright e inviarlo.

Inoltre, se tu trovi le tue immagini su qualsiasi sito Web invece che sui social media, puoi predisporre un avviso DMCA e inviarlo alla loro e-mail ufficiale. Al contrario, alcuni siti Web non visualizzano le loro e-mail affinché puoi contattarli tramite i loro moduli di contatto.

2. Invia un’e-mail

Se qualcuno ruba la tua immagine, scrivi semplicemente un’e-mail gentile e dai loro un paio di opzioni, ad esempio rimuovere l’immagine o assegnarti dei crediti.

Di conseguenza, se una qualsiasi delle tue opzioni viene accettata, sarai soddisfatto. Ad esempio, se il sito Web accetta di darti credito, puoi ottenere un backlink gratuitamente. Altrimenti, se decidono per la rimozione dell’immagine,recupererai la tua completa originalità.

Quindi, scrivere un’e-mail è un’ottima e vantaggiosa opzione. Inoltre, può essere fatto in pochi minuti senza problemi o costi.

3. Filigrana le tue immagini

Questo è un’altra eccellente opzione per impedire il furto delle immagini. Una filigrana si riferisce all’inserimento di un logo, un URL o una firma sull’immagine. Quindi, se vuoi proteggere le tue immagini, prendi semplicemente il logo o l’URL del tuo sito web e stampalo sull’area che non può essere ritagliata.

Inoltre, l’aggiunta di filigrane alle immagini non le protegge completamente dal furto, ma diventa facile dimostrare che l’immagine è tua.

4. Posizionare avvisi di copyright

A volte, le tue immagini possono essere utilizzate involontariamente o per scopi senza scopo di lucro. Quindi, puoi evitare il furto accidentale visualizzando avvisi di copyright. Ad esempio, questi avvisi possono essere visualizzati nel piè di pagina e subito sotto l’immagine (nella descrizione o nella didascalia).

Un avviso di copyright avviserà che l’immagine visualizzata non è libera e, in ogni caso di copia, verranno presi provvedimenti seri. Quindi, in questo modo, puoi proteggere le immagini anche da furti accidentali.

Non è sbagliato dire che questo è la più diretta accortezza per quanto riguarda il furto di immagini. E la cosa buona è che puoi scrivere le descrizioni del copyright da solo.

Conclusione

Il furto di immagini è un reato importante che può profondamente danneggiare i legittimi creatori, quindi questo deve essere combattuto. Oggi, se il furto di immagini è facile, anche individuarlo e prevenirlo non è particolarmente complicato. In questa guida abbiamo indicato come rilevare e prevenire il furto di immagini. Seguendo questa guida, non solo potrai trovare le tracce delle tue immagini, ma anche recuperarle e ottenere la tua completa originalità.

Articoli Correlati