Pegasus, il cyberspionaggio globale dai risvolti agghiaccianti: ecco perché siamo tutti coinvolti - Agenda Digitale

sicurezza

Pegasus, il cyberspionaggio globale dai risvolti agghiaccianti: ecco perché siamo tutti coinvolti

Il report di Amnesty International ha portato alla luce la triste realtà: nessuno è al sicuro, un attivista per i diritti umani, un giornalista critico verso il tal governo, un avvocato. E se spiare diventa facile, tutti diventano potenzialmente persone di interesse

20 Lug 2021
Federico Fuga

ingegnere elettronico, coordinatore della commissione ICT dell’Ordine degli Ingegneri della provincia di Verona

Sono agghiaccianti i risvolti che emergono dalla investigazione forense[1] condotta da Amnesty International nell’ambito del “progetto Pegasus”, coordinato da Forbidden Stories e che ha tolto il velo su un’operazione di cyberspionaggio globale da parte vari attori non ben identificati – Governi dittatoriali, narco trafficanti – ai danni di almeno un migliaio tra attivisti, avvocati dei diritti umani, politici, docenti e almeno 180 giornalisti di 20 nazioni del mondo, alcuni dei quali europei.

Giornalisti intercettati e poi uccisi, dati alle fiamme, da narco trafficanti all’estero.

Intercettati anche Romano Prodi e Emmanuel Macron.

Già questo basterebbe, ma bisogna leggere a fondo quelle pagine, con occhio tecnico per rendersi conto davvero dell’enormità. Siamo tutti sotto possibile sorveglianza, se abbiamo uno smartphone.

Ma appunto perché occhio tecnico serve e sensibilità a tali questioni, sarà – temo – un’enormità ignorata dal pubblico.

L’indagine forense Su Pegasus

Il report riguarda l’utilizzo dello spyware “Pegasus” dell’azienda di spionaggio israeliana NSO e descrive, tra le altre cose, come venga fatto uso del Network Injection: ossia avendo il controllo sui router o tramite l’utilizzo di dispositivi hardware tattici da utilizzare per sostituirsi alle celle della rete mobile, l’attaccante ha potuto reindirizzare il dispositivo dell’attivista marocchino Maati Monjib, o del giornalista Omar Radi, tramite redirect da yahoo.fr su un server di NSO in cui è stato “servito” un exploit specifico per iOS.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Val la pena notare a questo punto che tutto il report è incentrato su iOS, e poco o nulla si dice a proposito di Android.

iOs più vulnerabile di Android?

Di questo c’è una spiegazione molto semplice e piuttosto preoccupante. Sappiamo di per certo da altri indizi che Pegasus è utilizzato sia su iOS che su Android, ma di quest’ultimo non si fa menzione appunto, perché, spiega il report di Amnesty, “nella nostra esperienza ci sono molte più tracce forensi accessibili agli investigatori sui dispositivi Apple che sui dispositivi stock Android”.

Insomma, iOS è tutt’altro che l’eccellenza dei sistemi operativi mobili per quanto riguarda la security.

E l’elenco delle applicazioni sfruttate presente nel report è lunghissimo. Da iMessage a Apple Music, Photo, SMS, Safari. Quasi tutti zero click, ovvero senza la necessità che l’utente intervenga.

Ciò non implica però che Android sia più sicuro. Nulla si può dire di certo, date le numerose versioni del sistema. Neanche Amnesty è chiara su quel punto; sembrano dire “non c’è materiale per lavorare” in sostanza, perché la situazione è troppo frammentata.

Caso Pegasus, ma anche l’Italia pecca di trojan di Stato: a rischio i diritti di tutti

Pegasus, una vecchia conoscenza

Dal report emerge quindi come più della metà dei dispositivi consegnati riportassero tracce indirette della presenza di Pegasus.

Le prove sono in verità indiziarie: Pegasus è uno strumento assai complesso e continuamente sviluppato e perfezionato da NSO, e con il tempo ha acquisito sia tecniche nuove di infezione, sia metodologie di evasione e di rimozione delle proprie tracce.

La resilienza di NSO è indicata, per esempio, da un fatto. Pegasus era già stato identificato ed esposto in un report da Citizen Lab e da Amnesty nell’agosto 2018. L’infrastruttura informatica fatta di Server di delivery dei contenuti e di server di controllo, nella migliore strategia di compartimentazione in layer al fine di ridurre l’esposizione ad eventuali contro-attacchi, è stata quindi nel mese successivo (settembre 2018) smantellata dalla stessa NSO e ricostruita con una struttura nuova e server, domini e C&C completamente nuovi.

È dunque comprensibile che la ricerca del malware sui dispositivi sia stata difficile e piena di incognite. L’immagine della ricerca di un ago in un pagliaio visualizza bene la situazione, con la differenza che in questo caso l’ago non vuole farsi trovare e non si sa neppure che forma abbia.

Ciò nonostante, Amnesty e Citizen Lab sono riusciti a raccogliere informazioni importanti, i cui dettagli sono ampiamente descritti nel report.

Dal report, i particolari più agghiaccianti

Assodato dunque che la lista dei 50,000 è probabilmente “calda”, cosa possiamo dire delle persone contenute in essa?

Fa sussultare trovare i familiari del giornalista Jamal Khashoggi, assassinato, lo ricordiamo tutti con raccapriccio, a Istambul il 2 ottobre 2018. Ci sono evidenze che Pegasus sia stato installato nel dispositivo mobile della fidanzata di Khashoggi solo 4 giorni dopo il brutale assassinio, e in quello dei familiari prima e dopo.

In Messico, il telefono di Cecilio Pineda, assassinato nel 2017, fu selezionato come target solo poche settimane prima.

E così via. Il report di Amnesty è un vaso di Pandora su tanti fatti di sangue accaduti di recente a giornalisti scomodi.

Trojan super-arma per le indagini, il compromesso tra garantisti e giustizialisti

Le reazioni

A seguito della pubblicazione del report da parte dei partecipanti al Pegasus Project, NSO ha provveduto ad emanare un comunicato con cui nega le accuse e bolla il contenuto del report come “esagerato”. Molte delle conclusioni cui giunge Amnesty, secondo NSO, sarebbero “affrettate” e “non suffragate dai fatti”. NSO vende ufficialmente i propri prodotti solo a militari, forze dell’ordine e agenzie di spionaggio, e controlla rigorosamente l’attitudine dei clienti al rispetto dei diritti umani prima di concederli in licenza. Tuttavia, concede il comunicato, NSO non ha controllo sull’operato e sul contenuto dei dati raccolti dai propri clienti; nel contempo non risulta a NSO che Pegasus sia coinvolto nell’assassinio di Khasshoggi o di Pineda. Affermazioni contrastanti che si prestano comunque a interessanti ragionamenti.

In attesa di ulteriori chiarimenti, ieri Amazon ha chiuso i contratti di servizio Cloudfront che costituivano una parte dell’infrastruttura di delivery dei contenuti di NSO. Altri fornitori tra cui Digital Ocean, OVH e Linode, stanno temporeggiando. Già nel 2020 la rivista Motherboard aveva inoltrato una richiesta di commento ad Amazon riguardo le prove del coinvolgimento dei servizi cloud di AWS nelle attività di NSO. L’azienda non aveva risposto[5].

Con sorprendente tempismo, pare che uno dei giornalisti coinvolti, Omar Radi, sia stato ieri giudicato colpevole e condannato a 6 anni di reclusione per spionaggio e violenza sessuale[6], non senza lasciare pochi dubbi sulla correttezza del processo[7]. Il governo del Marocco ha negato l’uso del software di NSO.

Abusi che non hanno presa sull’opinione pubblica

Tuttavia, la notizia pare non aver scalfito l’interesse del lettore di medio di giornali, attualmente catturato dalla minaccia della variante Delta e dai timori della sorveglianza di massa fantasiosamente attuata dall’utilizzo del green pass. Forse perché, è evidente, gli spyware, che da noi il mondo del diritto ha ribattezzato con un asettico termine, “Captatori informatici”, non sono propriamente strumenti di sorveglianza di massa.

Eppure, la minaccia del loro uso diffuso è, a mio parere, devastante a tutti i livelli.

Da una parte ci sono pochi dubbi sul fatto che la loro esportazione dovrebbe essere equiparata a quella delle armi; già dal 2014 in Europa la loro esportazione[8] è regolamentata come “uso duale”.

Ciò ha fatto sì che nel corso degli anni venissero a galla gli abusi di aziende europee, ricordiamo tutti la vicenda di Hacking Team, la quale però, sospetto, sarebbe ancora in piena attività se la sua reputazione non fosse stata completamente distrutta dal devastante leak subito, leak che ha confermato l’attività di vendita dello strumento a governi diversamente democratici e in black list.

Però tale moratoria non è efficace al di fuori dell’Europa, e sebbene le violazioni abbiano un discreto impatto nell’opinione pubblica, come si vede dalla vicenda appena narrata è difficile portare prove a supporto dei sospetti. E in ogni caso, l’ultima parola spetta ai tribunali delle nazioni esportatrici, come Amnesty stessa nel luglio 2020 ha sperimentato, quando la sua causa contro la stessa NSO è stata rigettata dal tribunale israeliano “per insufficienza di prove”. In tale causa, Amnesty imputava a NSO lo spionaggio di un suo dipendente tramite Pegasus.

Ma esiste un pericolo ben più grosso nell’uso indiscriminato, legale o illegale, di tali strumenti.

Nelle scienze forensi il caposaldo del bilanciamento tra accusa e difesa è costituito dalla “catena di custodia”, che garantisce che la prova acquisita durante l’investigazione sia mantenuta cristallizzata e inalterata, al fine di impedire che qualunque alterazione comprometta la lettura della prova. Tant’è, per esempio, che per la legge italiana quando si devono effettuare procedure che alterino il reperto stesso, ad esempio, un jailbreak, le parti sono chiamate a presenziare allo svolgimento delle stesse (“accertamenti tecnici non ripetibili”, art. 360 cpp.)

Ora, è evidente che i captatori informatici sono per loro stessa natura alterazioni delle prove, in quanto l’installazione stessa è un’azione di alterazione sul dispositivo. Identificare la presenza di uno spyware è difficilissimo, ricostruirne l’attività praticamente impossibile, in quanto lo spyware stesso si guarda bene dal documentarla. Pertanto, occorre un’enorme fiducia nell’istituzione inquirente per accettare senza batter ciglio il loro uso, in special modo in quei paesi che non brillano per trasparenza e per rispetto nei confronti dei diritti umani. Se poi pensiamo che, per quel che ne sappiamo, tali spyware potrebbero anche impiantare false prove nei dispositivi dei bersagli, la paura diventa reale.

Conclusioni

La discussione sulla legalità di strumenti come Pegasus è tutt’ora in atto in occidente, sebbene, almeno in Italia, ristretta ad una cerchia di pochi informati e preoccupati.

In fin dei conti, la missione delle agenzie di spionaggio è proprio quella di spiare, no? E se non hai nulla da nascondere… beh, non proprio. Il report di questi giorni ha portato alla luce la triste realtà. Nel mondo globale, nessuno è al sicuro, un attivista per i diritti umani, un giornalista critico verso il tal governo o la tal dittatura, un avvocato… E se spiare diventa facile, immediato come inviare un comando, tutti diventano potenzialmente persone di interesse. E spiare può avere, come dimostrano le cronache, delle serie conseguenze nel mondo reale.

Note

  1. https://www.amnesty.org/en/latest/news/2021/07/the-pegasus-project/
  2. https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
  3. https://citizenlab.ca/2021/07/amnesty-peer-review/
  4. La traduzione è mia, il libro non mi risulta sia stato tradotto e pubblicato in Italia
  5. https://www.vice.com/en/article/qj4p3w/nso-group-hack-fake-facebook-domain
  6. https://www.france24.com/en/live-news/20210719-morocco-court-jails-journalist-omar-radi-for-six-years
  7. https://twitter.com/AidaAlami/status/1417135442974019591?s=20
  8. https://www.wired.it/internet/regole/2014/11/10/europa-regolamenta-esportazione-spyware
WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3