Tanto si è parlato e si continua a parlare di Pegasus lo spyware realizzato dal gruppo israeliano NSO per aiutare “i governi a prevenire e investigare il terrorismo e il crimine e salvare migliaia di vite” (almeno così si legge sulla loro home page).
E se ne parla anche perché nelle scorse settimane la società ha ricevuto una proposta di acquisto dall’americana L3Harris: un fatto alquanto bizzarro se pensiamo che il Governo degli Stati Uniti ha inserito NSO nella lista nera delle organizzazioni che rappresentano un pericolo per la sicurezza nazionale. Come si spiega?
Proviamo a capire quali saranno gli effetti dell’iniziativa, al di là degli impatti che potrà avere nel contesto della cybersicurezza, dei servizi di intelligence e anche a livello geopolitico.
Caso Pegasus, ma anche l’Italia pecca di trojan di Stato: a rischio i diritti di tutti
Perché il paese che ancora oggi detiene il primato di competenze nel mondo della cybersecurity, che negli ultimi anni è stato capace di produrre exploit di massima complessità come quelli che hanno consentito la realizzazione di Stuxnet o EternalBlue, sente la necessità di rafforzare la “sua squadra” anche a costo di giocarsi la faccia? Non si può mettere al bando un’organizzazione che svolge azioni contrarie alla sicurezza nazionale e dopo qualche mese provare a portarsela in casa, anche se non direttamente.
Pegasus, da bestia nera Usa a preda ambita
Partiamo dalle basi. Pegasus è di fatto di uno spyware che sfruttando zero days individuati dal team di NSO si installa principalmente sugli smartphone di ogni tipo (iOS, Android), acquisisce i diritti di amministratore e trasforma lo smartphone infettato in un perfetto sistema di intercettazione comandato da remoto.
La peculiarità di Pegasus rispetto ai sistemi concorrenti pare sia da ricercarsi nella capacità del team di NSO di individuare zero days, indipendentemente dalla capacità dei vendor di predisporre patch correttive.
Le contromisure contro gli abusi delle tecnologie dual use
Stiamo però parlando della classica tecnologia dual use, che oltre ad essere usata per compiere azioni lodevoli può anche essere abusata per compiere tutt’altro. Inevitabilmente questo è successo anche a Pegasus come a tanti altri prodotti prima di lui (come non ricordare il nostrano Remote Control Systems di Hacking Team). Negli ultimi anni non sono state poche le notizie apparse sui media che hanno riportato casi in cui la tecnologia Pegasus è stata utilizzata in diversi paesi per prendere di mira cittadini, giornalisti, attivisti e oppositori politici.
Come spesso accade in queste situazioni gli abusi superano velocemente ogni limite di decenza ed è necessario prendere delle drastiche misure per arginarli. Tra i primi paesi ad intraprendere azioni di questo tipo annoveriamo gli USA che nel novembre 2021 aggiungono la società di spyware israeliana NSO Group alla “entity list”, una lista nera federale che vieta all’azienda di ricevere tecnologie americane, e vieta alle aziende statunitensi di commerciare con loro. L’inserimento nella “entity list” di un’organizzazione avviene solitamente dopo che il governo ha appurato che l’organizzazione è stata in qualche modo coinvolta in attività contrarie alla sicurezza nazionale o rappresenta un concreto pericolo per gli interessi interni ed esteri degli Stati Uniti. Recentemente anche il garante della protezione dei dati dell’Unione europea (Union Data Protection Supervisor – EDPS) ha esortato i funzionari dell’UE a vietare l’uso e la diffusione dello spyware commerciale Pegasus in tutta Europa, adducendo rischi e danni senza precedenti alle libertà personali e allo stato di diritto in tutta Europa.
Spyware, gli Stati e la “licenza di violare”: la Ue (finalmente) accende il faro su Pegasus
La proposta di acquisto per NSO: cosa c’è dietro?
A fronte di queste prese di posizione appare alquanto bizzarro (eufemisticamente parlando) che la società L3Harris uno dei principali fornitori di tecnologie per il ministero della difesa statunitense abbia avanzato una proposta per l’acquisto della società NSO, in particolare si parla dell’acquisto della tecnologia (codice) dell’azienda israeliana nonché di un possibile trasferimento del personale della NSO a L3Harris. Ovviamente l’accordo per poter essere siglato necessita della benedizione dei governi statunitense e israeliano, che non hanno ancora dato il via libera.
L’importanza di saper produrre zero day
Crediamo che la risposta a questo interrogativo risieda nel riconoscimento dell’estremo valore che stanno acquisendo nello scenario internazionale gli zero day, e soprattutto dalla constatazione che è sempre più difficile produrne o più precisamente trovare persone in grado di produrli.
NSO in tutti questi anni ha dimostrato di possedere un team che ha saputo “tenere testa” alle squadre di sviluppatori iOS e Android, trovando falle nei loro sistemi che hanno consentito a Pegasus di continuare ad operare indisturbato. Ha dimostrato sul campo di essere tra i più forti gruppi di hacker oggi presenti sul mercato. Individuare zero days è un’attività estremamente complessa che richiede accanto ad una vena di creatività competenze tecniche molto approfondite e difficilissime da reperire sul mercato. Non esistono percorsi di formazione per creare questi tipi di professionalità, l’accademia può fornire le conoscenze di base e gli strumenti iniziali il resto viene con lo studio di approfondimento e tanta esperienza. Tra l’altro, nel nostro continente sono ben poche le Università che sanno offrire questo percorso formativo.
Inoltre, trovare zero day è sempre più difficile perché nel corso degli anni sono stati introdotti (grazie alle attività di ricerca) una serie di meccanismi che rendono impraticabili diverse tecniche di attacco, e dell’altra si fanno sempre più sofisticati i sistemi di code analysis, che contribuiscono all’individuazione di security bug prima del rilascio del prodotto.
In questo scenario non c’è da stupirsi se alcune tipologie di zero day possono essere quotate anche qualche milione di euro, o diventare l’elemento chiave per acquisizioni come quella di cui stiamo parlando. La capacità offensiva reale di un cyber team risiede proprio nella sua capacità di generare zero day, ed il loro valore di mercato lo dimostra.
Le competenze sono tutto, anche per gli hacker
Questa vicenda ci invita anche ad un ulteriore riflessione sul livello strategico su cui si stanno muovendo i grandi player nel contesto della cybersecurity. Negli ultimi anni si è assistito al moltiplicarsi di tornei di hacking che hanno ricevuto molta enfasi dai media, ma non solo. Quasi che la partecipazione e il piazzamento a questi tornei fosse la cartina tornasole per misurare le competenze in termini di cybersicurezza possedute da un paese/organizzazione. Ma che differenza c’è tra gli hacker di NSO e quelli che vincono un hacking contest? Per i media non sembra esserci differenza tra le due categorie sempre di hacker stiamo parlando. Ma allora come mai L3Harris sembra preferire i primi ai secondi, perché se così non fosse invece di pensare ad acquisire NSO avrebbe acquisito qualche team vincitore di qualche competition, e probabilmente con un potenziale esborso inferiore di qualche ordine di grandezza.
La risposta è nel tipo di competenze acquisite. Volendo fare un paragone potremmo dire che la prima categoria di hacker può essere assimilata ad un team di ricerca che di fronte ad un nuovo virus ha le capacità di elaborare un nuovo antidoto e la seconda a quella di un team che per curare il nuovo virus miscela opportunamente i farmaci sino a quel momento disponibili. Non è difficile prevedere chi prevarrà sul lungo periodo.
Conclusioni
Partecipare e vincere un hacking contest significa essenzialmente aver acquisito tecniche di intrusione/difesa sviluppate da altri e riconoscere i contesti più appropriati dove applicarle. Un’attività indubbiamente molto utile e formativa ma è solo la punta dell’iceberg, una parte sicuramente impegnativa ma anche molto ingegnerizzata e meccanica. Dall’altra parte c’è l’attività di chi fornisce il materiale per questi contest e su cui la potenziale acquisizione di L3Harris sembra puntare.
Questa è anche un’indicazione importante che i nostri decisori e quelli europei dovrebbero tener presente a livello strategico e che si traduce concretamente nel sostegno e nella promozione della ricerca. La Cybersicurezza (quella con la C maiuscola) si fa nei laboratori di ricerca non nelle convention o nei contest ed ha un unico obiettivo: contribuire a creare prodotti digitali senza security bug e/o individuare e correggere nel minor tempo possibile, attraverso l’adozione di un’adeguata politica di responsible disclosure, prodotti “bacati”. Forse non è proprio quello che ha in mente L3Harris con la sua potenziale acquisizione di NSO ma sarebbe l’unica via per evitare che Pegasus e le sue future versioni continuino a solcare i nostri “cieli” e che ci auguriamo L’Europa voglia intraprendere al più presto.
.
