TRADING Europe falls
by ipv752 - November 04, 2021 at 11:48 AM
(November 29, 2021 at 03:28 PM)4398DA Wrote: Perdonate l'ignoranza, ma se non è stato usato un UVCI già esistente, se ognuno di questi regali è stato creato ed era evidentemente funzionante, allora si torna al punto di partenza, con due possibilità: o sono stati creati sfruttando un accesso al sistema ministeriale (italiano o estero), o sono stati creati in privato, e per fare ciò serve la famosa chiave privata.
La prima. Ora il sistema è stato patchato ed è tenuto sotto controllo. Questo dopo che i soliti creniti si son messi a vendere GP, parlarne nei forum e nei gruppi telegram!
Non ha MAI, ripeto Mai funzionato il metodo di usare un UVCI già esistente, ma proprio mai, manco dal primo giorno di GP e non parlo per sentito dire
La app ufficiale "VerificaC19" non verifica la congruenza del dato UVCI rispetto a nome, cognome, data di nascita, dunque i dati si potrebbero variare a piacimento se non fosse per la ben nota verifica della "firma", il vecchio discorso della crittografia asimmetrica. La app non accede nemmeno alla rete durante la verifica, potete fare la prova mettendo il cellulare in modalità aereo, per ciò che concerne il contenuto UVCI pare essere in parte soggetto a future modifiche, ma in ogni caso non è legato ai dati anagrafici, di seguito la struttura del pacchetto UVCI ed il link al documento: vaccination-proof_interoperability-guidelines_en.pdf
Detto questo nella pratica non si può fare nulla, alla fine del processo occorrerebbe "firmare" per mezzo della chiave privata che non abbiamo, in assenza di prove concrete non credo a chiunque afferma di possederla.

[Image: Immagine-2021-11-29-204222.png]
Insomma siamo alle porte di dicembre e le speranze si fanno sempre più deboli.
Spero di sbagliarmi, ma mi risulta che Icureyou sia assente da ormai una settimana.
Capisco gli impegni della vita quotidiana, ma spero non ci abbia abbandonati, ripeto, spero di sbagliarmi.
Un saluto a tutti i giornalisti corrotti e complici che leggono.
To hell with the system!!
(November 29, 2021 at 06:47 PM)mrgip88 Wrote:
(November 29, 2021 at 03:28 PM)4398DA Wrote: Perdonate l'ignoranza, ma se non è stato usato un UVCI già esistente, se ognuno di questi regali è stato creato ed era evidentemente funzionante, allora si torna al punto di partenza, con due possibilità: o sono stati creati sfruttando un accesso al sistema ministeriale (italiano o estero), o sono stati creati in privato, e per fare ciò serve la famosa chiave privata.
La prima. Ora il sistema è stato patchato ed è tenuto sotto controllo. Questo dopo che i soliti creniti si son messi a vendere GP, parlarne nei forum e nei gruppi telegram!
Ma i gp che stanno vendendo,intendo quelli qui su rf negli altri thread,arrivano sulla nostra App"IO",che voi sappiate?
Dal momento che i datori di lavoro con + di 50 dipendenti controllano a chi e' in scadenza il gp mediante una piattaforma che prendera' i dati credo dal portale sanita'?
(November 26, 2021 at 01:05 AM)riderpale Wrote: As a cyber security enthusiast, for research purposes, I coded a program a few months ago that extracts data from GPs, and then another one that builds a QR-code based on choosen name/last name/DoB, the GP will scan alright but will eventually show as invalid because, I assume, one of steps requires encryption (CBOR, with a private key). So, to the extent of my knowledge, it's not possible to generate valid QR codes without (illegally) accessing a private key or a system with which doctors / vaccine centers generate them.

But could you use an existing GP certificate from someone else and only change the name and DOB?
Quote:But could you use an existing GP certificate from someone else and only change the name and DOB?

No, with an existing (valid) QR code you can get the data by: (the below is public information since the tool is open source)

1 - converting the QR code data to a text string
2 - base45 decode this string
3 - zlib decompress the result
4 - decode the resulting COSE message

Then you get the actual JSON data with name, DoB, vaccine type (or info on healing / testing), and more.

You can edit this data at will and do above steps in reverse order (1 to 4: COSE encode, zlib compress, base45 encode and then convert it to a QR code) and the app to check will show the right data but it will display an "invalid" sign. I assume that's because to be valid, the GP needs to be digitally signed, probably step 4 would need to be done in conjunction with a private key, but that's only possible if you access the private key (which might be illegal based on your country's laws) or if you brute force it based on the public key, which to my knowledge is impossible. If anyone here has info on the above, I'm always willing to improve my skills.
(November 29, 2021 at 11:41 PM)Antares74 Wrote:
(November 29, 2021 at 06:47 PM)mrgip88 Wrote:
(November 29, 2021 at 03:28 PM)4398DA Wrote: Perdonate l'ignoranza, ma se non è stato usato un UVCI già esistente, se ognuno di questi regali è stato creato ed era evidentemente funzionante, allora si torna al punto di partenza, con due possibilità: o sono stati creati sfruttando un accesso al sistema ministeriale (italiano o estero), o sono stati creati in privato, e per fare ciò serve la famosa chiave privata.
La prima. Ora il sistema è stato patchato ed è tenuto sotto controllo. Questo dopo che i soliti creniti si son messi a vendere GP, parlarne nei forum e nei gruppi telegram!
Ma i gp che stanno vendendo,intendo quelli qui su rf negli altri thread,arrivano sulla nostra App"IO",che voi sappiate?
Dal momento che i datori di lavoro con + di 50 dipendenti controllano a chi e' in scadenza il gp mediante una piattaforma che prendera' i dati credo dal portale sanita'?
no non risultano sul portale io. Quindi son inutili per chi ha controlli tramite quei portali Inps. Per chi lavora su grandi aziende l'unica è vaccinarsi al momento.
(November 09, 2021 at 07:02 PM)IcureYou Wrote: Scrivo in italiano perché questo messaggio è riferito esclusivamente a loro in primis e poi agli altri diretti interessati. Se siete talmente disposti a spendere 250$ per un certificato, piuttosto ve lo faccio io a 150$,consegnato in meno di 10 minuti e rilasciato in ITALIA! Sono disposto a offrire un vouchal primo italiano che mi scrive qua oppure via PM se servono prove o altro. Se sono stato zitto fino a oggi è semplicemente perché' speravo qualcun altro venisse fuori con un progetto più' grande del mio o di quel coglione, offrendolo gratis ma vedo che oramai è diventata solo questione di soldi!

(November 29, 2021 at 11:44 AM)nicanto Wrote:
(November 29, 2021 at 09:32 AM)M3Cc4726 Wrote: [quote="IcureYou" pid='4652221' dateline='1637774037']
Ciao a tutti! Scusate se sono stato inattivo ma hovoluto prendermi una pausa. Avevo qualcosa da ridire su quanto successo. Carico qua un link pastebin per chi fosse interessato a leggerlo:
collegamento: https://pastebin.com/THqDW2ir
pass: EG0cvnExvn

Grazie!
[/Citazione]
Ciao, non riesco a contattarti in pvt. Mi puoi scriver tu?

can you reupload pastebin?

Ciao, non ne sono il proprietario, lo aveva postato lui. Manco io l'ho aperto...
Shit's heating up in the EU

(November 30, 2021 at 12:17 AM)riderpale Wrote:
Quote:But could you use an existing GP certificate from someone else and only change the name and DOB?

No, with an existing (valid) QR code you can get the data by: (the below is public information since the tool is open source)

1 - converting the QR code data to a text string
2 - base45 decode this string
3 - zlib decompress the result
4 - decode the resulting COSE message

Then you get the actual JSON data with name, DoB, vaccine type (or info on healing / testing), and more.

You can edit this data at will and do above steps in reverse order (1 to 4: COSE encode, zlib compress, base45 encode and then convert it to a QR code) and the app to check will show the right data but it will display an "invalid" sign. I assume that's because to be valid, the GP needs to be digitally signed, probably step 4 would need to be done in conjunction with a private key, but that's only possible if you access the private key (which might be illegal based on your country's laws) or if you brute force it based on the public key, which to my knowledge is impossible. If anyone here has info on the above, I'm always willing to improve my skills.
You got it, all you wrote is correct, but brute forcing a private key is impossible.

Possibly Related Threads…
Thread Author Replies Views Last Post
SELLING 📧 EMAIL : PASS : USER HQ COMBO [ +25 Country 🇪🇺 Europe & Asia FR AU UK USA DE ] Darka 1 5,195 7 hours ago
Last Post: Darka
SELLING I Sell Office365 Logs Company usa uk asia europe smithy123 158 49,770 9 hours ago
Last Post: smithy123
BUYING Buying bases in the US and Europe Sufficient budget sosjbzvh 0 87 Today at 09:27 AM
Last Post: sosjbzvh

 Users browsing this thread: 5 Guest(s)