l'analisi

AAA hacker cercasi: ecco perché un’azienda Usa vuole NSO (e lo spyware Pegasus)

NSO possiede un team che ha saputo “tenere testa” agli sviluppatori iOS e Android, trovando falle nei loro sistemi che hanno consentito allo spyware Pegasus di continuare ad operare indisturbato. Ha dimostrato sul campo di essere tra i più forti gruppi di hacker oggi presenti sul mercato. Ecco perché ora gli Usa la vogliono

Pubblicato il 14 Lug 2022

Danilo Bruschi

Professore ordinario, Dipartimento di Informatica Giovanni degli Antoni

Tanto si è parlato e si continua a parlare di Pegasus lo spyware realizzato dal gruppo israeliano NSO per aiutare “i governi a prevenire e investigare il terrorismo e il crimine e salvare migliaia di vite” (almeno così si legge sulla loro home page).

E se ne parla anche perché nelle scorse settimane la società ha ricevuto una proposta di acquisto dall’americana L3Harris: un fatto alquanto bizzarro se pensiamo che il Governo degli Stati Uniti ha inserito NSO nella lista nera delle organizzazioni che rappresentano un pericolo per la sicurezza nazionale. Come si spiega?

Proviamo a capire quali saranno gli effetti dell’iniziativa, al di là degli impatti che potrà avere nel contesto della cybersicurezza, dei servizi di intelligence e anche a livello geopolitico.

Caso Pegasus, ma anche l’Italia pecca di trojan di Stato: a rischio i diritti di tutti

Perché il paese che ancora oggi detiene il primato di competenze nel mondo della cybersecurity, che negli ultimi anni è stato capace di produrre exploit di massima complessità come quelli che hanno consentito la realizzazione di Stuxnet o EternalBlue, sente la necessità di rafforzare la “sua squadra” anche a costo di giocarsi la faccia? Non si può mettere al bando un’organizzazione che svolge azioni contrarie alla sicurezza nazionale e dopo qualche mese provare a portarsela in casa, anche se non direttamente.

Pegasus, da bestia nera Usa a preda ambita

Partiamo dalle basi. Pegasus è di fatto di uno spyware che sfruttando zero days individuati dal team di NSO si installa principalmente sugli smartphone di ogni tipo (iOS, Android), acquisisce i diritti di amministratore e trasforma lo smartphone infettato in un perfetto sistema di intercettazione comandato da remoto.

La peculiarità di Pegasus rispetto ai sistemi concorrenti pare sia da ricercarsi nella capacità del team di NSO di individuare zero days, indipendentemente dalla capacità dei vendor di predisporre patch correttive.

Spyware, gli Stati e la “licenza di violare”: la Ue (finalmente) accende il faro su Pegasus

La proposta di acquisto per NSO: cosa c’è dietro?

A fronte di queste prese di posizione appare alquanto bizzarro (eufemisticamente parlando) che la società L3Harris uno dei principali fornitori di tecnologie per il ministero della difesa statunitense abbia avanzato una proposta per l’acquisto della società NSO, in particolare si parla dell’acquisto della tecnologia (codice) dell’azienda israeliana nonché di un possibile trasferimento del personale della NSO a L3Harris. Ovviamente l’accordo per poter essere siglato necessita della benedizione dei governi statunitense e israeliano, che non hanno ancora dato il via libera.

L’importanza di saper produrre zero day

Crediamo che la risposta a questo interrogativo risieda nel riconoscimento dell’estremo valore che stanno acquisendo nello scenario internazionale gli zero day, e soprattutto dalla constatazione che è sempre più difficile produrne o più precisamente trovare persone in grado di produrli.

NSO in tutti questi anni ha dimostrato di possedere un team che ha saputo “tenere testa” alle squadre di sviluppatori iOS e Android, trovando falle nei loro sistemi che hanno consentito a Pegasus di continuare ad operare indisturbato. Ha dimostrato sul campo di essere tra i più forti gruppi di hacker oggi presenti sul mercato. Individuare zero days è un’attività estremamente complessa che richiede accanto ad una vena di creatività competenze tecniche molto approfondite e difficilissime da reperire sul mercato. Non esistono percorsi di formazione per creare questi tipi di professionalità, l’accademia può fornire le conoscenze di base e gli strumenti iniziali il resto viene con lo studio di approfondimento e tanta esperienza. Tra l’altro, nel nostro continente sono ben poche le Università che sanno offrire questo percorso formativo.

Inoltre, trovare zero day è sempre più difficile perché nel corso degli anni sono stati introdotti (grazie alle attività di ricerca) una serie di meccanismi che rendono impraticabili diverse tecniche di attacco, e dell’altra si fanno sempre più sofisticati i sistemi di code analysis, che contribuiscono all’individuazione di security bug prima del rilascio del prodotto.

In questo scenario non c’è da stupirsi se alcune tipologie di zero day possono essere quotate anche qualche milione di euro, o diventare l’elemento chiave per acquisizioni come quella di cui stiamo parlando. La capacità offensiva reale di un cyber team risiede proprio nella sua capacità di generare zero day, ed il loro valore di mercato lo dimostra.

Le competenze sono tutto, anche per gli hacker

Questa vicenda ci invita anche ad un ulteriore riflessione sul livello strategico su cui si stanno muovendo i grandi player nel contesto della cybersecurity. Negli ultimi anni si è assistito al moltiplicarsi di tornei di hacking che hanno ricevuto molta enfasi dai media, ma non solo. Quasi che la partecipazione e il piazzamento a questi tornei fosse la cartina tornasole per misurare le competenze in termini di cybersicurezza possedute da un paese/organizzazione. Ma che differenza c’è tra gli hacker di NSO e quelli che vincono un hacking contest? Per i media non sembra esserci differenza tra le due categorie sempre di hacker stiamo parlando. Ma allora come mai L3Harris sembra preferire i primi ai secondi, perché se così non fosse invece di pensare ad acquisire NSO avrebbe acquisito qualche team vincitore di qualche competition, e probabilmente con un potenziale esborso inferiore di qualche ordine di grandezza.

La risposta è nel tipo di competenze acquisite. Volendo fare un paragone potremmo dire che la prima categoria di hacker può essere assimilata ad un team di ricerca che di fronte ad un nuovo virus ha le capacità di elaborare un nuovo antidoto e la seconda a quella di un team che per curare il nuovo virus miscela opportunamente i farmaci sino a quel momento disponibili. Non è difficile prevedere chi prevarrà sul lungo periodo.

Conclusioni

Partecipare e vincere un hacking contest significa essenzialmente aver acquisito tecniche di intrusione/difesa sviluppate da altri e riconoscere i contesti più appropriati dove applicarle. Un’attività indubbiamente molto utile e formativa ma è solo la punta dell’iceberg, una parte sicuramente impegnativa ma anche molto ingegnerizzata e meccanica. Dall’altra parte c’è l’attività di chi fornisce il materiale per questi contest e su cui la potenziale acquisizione di L3Harris sembra puntare.

Questa è anche un’indicazione importante che i nostri decisori e quelli europei dovrebbero tener presente a livello strategico e che si traduce concretamente nel sostegno e nella promozione della ricerca. La Cybersicurezza (quella con la C maiuscola) si fa nei laboratori di ricerca non nelle convention o nei contest ed ha un unico obiettivo: contribuire a creare prodotti digitali senza security bug e/o individuare e correggere nel minor tempo possibile, attraverso l’adozione di un’adeguata politica di responsible disclosure, prodotti “bacati”. Forse non è proprio quello che ha in mente L3Harris con la sua potenziale acquisizione di NSO ma sarebbe l’unica via per evitare che Pegasus e le sue future versioni continuino a solcare i nostri “cieli” e che ci auguriamo L’Europa voglia intraprendere al più presto.

.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati