Caso Pegasus, l’abuso dei nostri dati è un rischio inevitabile? Conflitti e interessi in gioco

La vicenda legata al software Pegasus dimostra che un mondo in rapida trasformazione come quello delle tecnologie cyber, i problemi, la loro gestione, gli scontri di interessi possono essere affrontati soltanto in un contesto conflittuale regolato dalla rule of law.

E i conflitti sono quelli degli interessi in gioco, quegli stessi interessi dal cui confronto, anche in sede legale, vengono poi le risposte più efficaci e le indicazioni più utili per ridefinire il quadro normativo e regolamentare.

È difficile, però che la risoluzione del problema avvenga per la sola via normativa.

D’altra parte, quando a luglio di quest’anno Amnesty International ha rivelato che molti giornalisti erano vittime di attività di spionaggio da parte di Pegasus, avviate da governi e agenzie di difesa, la sua attenzione iniziale era stata ulteriormente sollecitata proprio da Facebook che, come vedremo, voleva monitorare con le capacità di Pegasus, gli utenti di Apple^[1].

Spyware Pegasus, la Ue a un bivio: il caso Ungheria e i paletti del Gdpr

Pegasus, il cavallo alato figlio di Medusa

NSO Group, società di cyber-intelligence israeliana, posseduta dal fondo di investimenti londinese Novalpina Capital, intendeva quotarsi, ad inizio d’anno, con una IPO da 2 miliardi di dollari alla borsa di Tel Aviv. Poi non se ne è fatto più niente. Perché l’azienda è entrata nel mirino non solo degli investitori, ma dell’opinione pubblica che si è mobilitata contro il suo prodotto di punta, il software Pegasus, con il quale un telefono o altro terminale mobile, viene trasformato in potente strumento di spionaggio.

Pegaso, il bianco cavallo alato del mito eroico, è figlio di Medusa, la Gorgone che trasforma chi la guarda in statua: un nome azzeccato per un software che trasforma il telefonino nel tuo peggior nemico.

WhatsApp si era accorta della violazione nel 2019, sostenendo, come al solito, che il numero di utenti coinvolti era molto limitato e provvedendo in una decina di giorni a creare la patch di correzione del difetto che Pegasus sfruttava nel suo sistema di chiamata, efficace anche in caso di mancata risposta.

Ad aprile del 2020, in piena esplosione della pandemia, WhatsApp aveva fatto causa a NSO per il suo software che si installa nei cellulari dei suoi utenti, rendendoli docili strumenti di raccolta di e-mail e messaggi, di dati sulla geolocalizzazione e mettendo al servizio dell’attaccante telecamera e microfono.

Le “colpe” degli accusatori

L’accusa era pesante: aver puntato sulle capacità di Pegasus per controllare centinaia di attivisti e di giornalisti impegnati nella difesa dei diritti umani. L’accusa, in realtà, proveniva dalla stessa azienda che aveva cercato proprio nelle tecnologie di NSO gli strumenti per raccogliere i dati degli utenti dotati di dispositivi iOS (Apple), quando questi si erano rivelati resistenti alle tradizionali tecniche di violazione della privacy^[2].

Nelle parole del fondatore di NSO Group, Facebook voleva monitorare con le capacità di Pegasus, gli utenti di Apple, i cui dati resistevano più di quelli dei dispositivi Android ai tentativi di effrazione. NSO aveva declinato l’offerta argomentando che i suoi clienti sono solo agenzie di applicazione della legge o governi.

WhatsApp ha denunciato al Dipartimento di Giustizia la violazione e informato dei rischi per violazione della privacy a diverse organizzazioni non governative.

“In nessuna circostanza NSO potrebbe essere coinvolta nell’azione e nell’identificazione degli obiettivi della sua tecnologia, che è usata soltanto da agenzie di intelligence e di applicazione della legge” è stata la difesa di NSO, a cui ha risposto, sempre nel 2019, Amnesty International chiedendo al governo di Tel Aviv di cancellare il permesso di esportare ad NSO “Gruppo che vende i suoi prodotti a governi ben noti per gli abusi in violazione dei diritti umani, fornendo lor gli strumenti per tracciare gli attivisti e i critici. L’attacco ad Amnesty International è solo l’ultima goccia”^[3].

L’infrastruttura di attacco di Pegasus secondo le indagini di Amnesty

Il fatto che la difesa dei diritti e della privacy dei giornalisti e degli attivisti provenga da un’azienda nota per la sua gigantesca raccolta di dati personali all’insaputa degli utenti, nulla toglie all’importanza della denuncia stessa: l’evoluzione del contesto normativo è quasi sempre dettata dalla pressione di interessi che, più o meno legittimamente, si sentono attaccati o indeboliti da altre iniziative, tecnologie, imprese.

Con il grafico in basso riportiamo l’analisi condotta da Amnesty su quella che viene definita l’infrastruttura di Pegasus, ossia il cluster dei domini da cui partono gli attacchi. Il grafico segue l’evoluzione nel tempo dall’inizio del 2016 a metà del 2021, delle diverse versioni dell’infrastruttura.

È degno di nota come l’infrastruttura evolva, secondo Amnesty, in relazione alle attività di indagine e alla pubblicazione delle informazioni sulle sue attività: le linee verticali indicano i momenti in cui, ad una pubblicazione o notifica relativa alle attività di Pegasus, corrisponde una modifica drastica dell’infrastruttura.

Grafico 1. Evoluzione dell’infrastruttura Pegasus 2016-2021

“Gran parte dell’infrastruttura della versione 3 è stata bruscamente chiusa nell’agosto 2018 a seguito del rapporto su un membro dello staff di Amnesty International preso di mira con Pegasus. L’infrastruttura della versione 4 è stata successivamente implementata a partire da settembre 2018.
Un numero significativo di nuovi domini è stato registrato a novembre 2019 poco dopo che WhatsApp ha informato i propri utenti del presunto targeting con Pegasus. Ciò può derivare o dalla rotazione dei domini NSO motivata dal rischio percepito che vengano scoperti o a causa dell’interruzione dell’infrastruttura di hosting esistente.
L’infrastruttura del server DNS V4 ha iniziato a essere offline all’inizio del 2021 a seguito del rapporto Citizen Lab iPwn22 che ha rivelato più domini Pegasus V4.
Amnesty International sospetta che la chiusura dell’infrastruttura V4 coincida con il passaggio di NSO Group all’utilizzo di servizi cloud come Amazon CloudFront, per fornire le fasi iniziali dei loro attacchi. L’uso di servizi cloud protegge il Gruppo NSO da alcune tecniche di scansione Internet.^[4]”

L’infrastruttura di Pegasus, secondo Amnesty, è costituita prevalentemente da server DNS e data center da cui partono, all’insaputa dei titolari, gli attacchi-infezioni: dalla tabella 1 si vede come prevalentemente siano collocati in Europa, ed in particolare in Germania.

Tabella 1. Dislocazione per paesi dell’infrastruttura

Mentre, per quanto riguarda la titolarità dei server DNS è riportata nella tabella 2.

Tabella 2. Network e numero di server per network

Sulla base di queste due tabelle e altre disponibili sul Report, Amnesty giunge alla conclusione che la maggior parte degli attacchi proviene da server collocati in Europa e gestiti da società statunitensi.

L’imbarazzo delle Big Tech

Abbiamo visto Facebook in prima fila nei rapporti, ambigui, intrattenuti con NSO Group, decisa a denunciarne le attività che mettono a repentaglio la percezione di protezione della privacy che WhatsApp dovrebbe assicurare ai suoi utenti.

Analogo imbarazzo serpeggia sia in casa iOS sia in casa Android, ossia Apple e Google, perché la violazione della privacy e la sorveglianza estesa e dettagliata fornita da Pegasus ai danni degli utenti che si affidano ai rispettivi sistemi operativi mobili. L’efficacia dello spionaggio attuata attraverso Pegasus, dimostra che non esiste la protezione che Apple e Google assicurano di poter garantire negli ambienti sviluppati all’interno del loro sistema operativo. Ciò diminuisce il valore dei loro servizi e inficia parte dell’argomento, sostenuto con forza da Tim Cook nella causa Epic contro Apple che si è recentemente conclusa.

L’AD della mela morsicata aveva risposto alle obiezioni della giudice Gonzales Rogers sull’eccessivo onere imposto con la commissione del 30% agli sviluppatori di app con queste parole: “Abbiamo un focus maniacale sull’utente e sulle cose giuste da fare da parte del cliente. Sicurezza e protezione sono le fondamenta su cui si basa la privacy. La tecnologia ha la capacità di risucchiare tutti i tipi di dati dalle persone e ci piace fornire alle persone gli strumenti per evitarlo”.

“Apple, purtroppo, ha collaborato assai poco – ha detto Aaron Cockerill responsabile strategico di Lookout, società che fornisce servizi di sicurezza sul mobile, descrivendo iOS come una scatola nera, mentre in ambito Android “è molto più facile scoprire i comportamenti malevoli”^[5]

Ma tutte Big Tech, non solo Apple, tradizionalmente sospettose verso le interferenze regolatorie e i controlli delle autorità sul loro mercato, in questo caso hanno invocato l’intervento pubblico: la minaccia al valore dei loro servizi è tale da indurle ad accantonare i loro istinti primordiali. Will Cathcart, che guida WhatsApp, si è premurato di annunciare che tra i 1400 suoi clienti target di Pegasus vi sono anche dirigenti di governi alleati degli Stati Uniti. Ciò non significa che siano stati attaccati, ma semplicemente che il cliente li aveva individuati come potenziali target.

Come funziona Pegasus

Nella lista individuata dal Progetto Pegasus, l’indagine condotta sulle attività di NSO da 17 organizzazioni dei media, risulta una cifra di 50.000 individui, assai più ampia di quella dei clienti di WhatsApp del 2019. Claudio Guarnieri, responsabile del gruppo di analisi di Amnesty con sede a Berlino che rappresenta il partner tecnico del consorzio ha messo l’allerta sui rischi dell’evoluzione di Pegasus: “Le cose cambiano per coloro che sono target, accorgersene è diventato molto più complicato” poiché i clienti di NSO, i famosi governi e agenzie di sicurezza a cui l’azienda israeliana vende i suoi servizi, hanno abbandonato lo strumento degli SMS, più sospetto ed evidente, a favore di attacchi che si realizzano anche senza rispondere (zero- click)^[6].

Abbiamo schematizzato il funzionamento di Pegasus, come risulta dalle analisi di Amnesty, nel grafico seguente.

Grafico 2. Come si attiva Pegasus

Ma chi sono questi governi e come hanno reagito le istituzioni?

Le reazioni

La denuncia di Amnesty ha risvegliato l’attenzione delle istituzioni regolatorie, da un lato, e dall’altro dei governi che risultano coinvolti nelle attività di spionaggio attraverso Pegasus.

Due reazioni ben diverse. Abbiamo ricordato come, pur tra qualche ambiguità le Big Tech abbiano invocato la tutela pubblica, preoccupate della perdita di credibilità dei propri investimenti in sicurezza, che giustificano – almeno nella loro narrazione – gli alti margini di profitto che realizzano nei lor ambienti iOS e Android.

Michelle Bachelet, Alto Commissario ONU per i diritti umani, ha invocato una moratoria dei governi sulla cessione e sul trasferimento di tecnologie di sorveglianza:

“Le minacce poste in campo da Pegasus sono incompatibili con i diritti umani…questi mercati sono cresciuti nell’ombra in modo pericoloso, lontani dalla supervisione della giustizia e dall’osservazione critica dell’opinione pubblica”^[7].

Didier Reynders, Commissario europeo alla giustizia, come ha ricordato Diego Dimalta su questa rivista auspicando una severa applicazione della protezione della privacy, vorrebbe che gli Stati membri svolgessero indagini sulla vicenda, ma almeno uno dei governi europei, l’Ungheria di Viktor Orban, è accusato di utilizzare Pegasus per tenere sotto controllo i giornalisti dissidenti, ricorrendo alla legge sulla sicurezza nazionale, che consente all’intelligence di utilizzare simili strumenti, come dichiarato orgogliosamente dal ministro della giustizia Judith Varga^[8].

Direct36, il media partner del progetto Pegasus per l’Ungheria, ha confermato che uno degli oppositori di Orban, il giornalista Zoltán Pláva è stato infettato da Pegasus^[9], mentre l’autorità di vigilanza sulla protezione dei dati ungherese ha avviato un’indagine sul comportamento del governo.

Ma anche la polizia tedesca sembra essersi dotata di Pegasus, forse senza averlo ancora utilizzato, aggiungendosi alla lista dei sospetti che comprende anche Arabia Saudita, Azerbaijan, India, Marocco, Spagna, UAE ^[10].

Legge e libertà

I giornalisti spingono affinché venga adottato rapidamente dai Parlamenti nazionali, il Regolamento 821/2021 sul controllo dell’export di prodotti e servizi dual-use. Esso, nel preambolo recita testualmente: “Il presente regolamento mira a garantire che, nel settore dei prodotti a duplice uso, l’Unione e i suoi Stati membri tengano pienamente conto di tutte le considerazioni pertinenti. Tra le considerazioni pertinenti figurano gli obblighi e gli impegni internazionali, gli obblighi nell’ambito delle pertinenti sanzioni, le considerazioni di politica estera e sicurezza nazionale, comprese quelle contenute nella posizione comune 2008/944/PESC del Consiglio, tra cui i diritti umani, e le considerazioni relative all’uso finale previsto e al rischio di diversione. Attraverso il presente regolamento l’Unione dimostra il suo impegno a mantenere solidi obblighi giuridici per quanto riguarda i prodotti a duplice uso, nonché a rafforzare lo scambio di informazioni pertinenti e una maggiore trasparenza. Per quanto riguarda i prodotti di sorveglianza informatica, le autorità competenti degli Stati membri dovrebbero considerare in particolare il rischio che siano utilizzati in relazione alla repressione interna o per commettere gravi violazioni dei diritti umani e del diritto internazionale umanitario”^[11].

La Federazione Europea dei Giornalisti sostiene, durante il dibattito del Parlamento europeo sul caso Pegasus, la necessità di “chiudere il vuoto normativo europeo” che consente agli Stati membri di acquisire ed utilizzare contro i giornalisti di opposizione strumenti come Pegasus^[12]. E chiede anche, con forza e con una elevata condivisione, di creare una protezione ai giornalisti che operano fuori dalle frontiere dell’Unione.

Non sarà facile portare governi e parlamenti ad accelerare il passo sull’adozione del Regolamento, che doterebbe l’Unione di strumenti di controllo e di condivisione delle informazioni su prodotti e servizi di spyware.

Non sono in alternativa tra loro leggi più stringenti e libertà: in questa materia un quadro normativo stringente aiuta la società civile e i media a difendersi dall’ingerenza dei governi e delle agenzie di spionaggio. All’interno dei governi, e forse anche dei parlamenti, le agenzie e le correnti politiche favorevoli all’uso di questi strumenti per la lotta alla criminalità e al terrorismo accampano la necessità di poter utilizzare tali strumenti in via riservata, come la pratica dello spionaggio richiede.

La soluzione del problema verrà contrastata e anche attenuata per lasciare spazio di manovra in mano agli esecutivi. L’abuso è quindi un rischio inevitabile, si tratta di ridurlo al minimo.

Il problema, quindi, resterà aperto ed è solo l’impegno di denuncia e di informazione dei media che può porre un argine agli abusi. Tra le iniziative indirette, che sicuramente avrebbero effetti positivi, vi sono quelle che rafforzano la tutela giuridica della stampa, dei giornalisti e degli oppositori e che agevolano, in qualunque parte del globo, il loro lavoro investigativo e le loro denunce.

Note

1. ) Amnesty International, Forensic Methodology Report: How to Catch NSO Group’s Pegasus, July 18, 2021. ↑
2. ) Devin Coldewey, Before suing NSO Group, Faceboo allegedly sught their software to better spy on users, Techcrunch, April 4, 2020. ↑
3. ) Mehul Srivastava, WhatsApp voice calls used to inject Israeli spyware oin phones, Financial Times. May 14, 2019, ↑
4. ) Amnesty International, Forensic… cit. ↑
5. ) Tim Bradshaw, Apple under pressure over iPhone security after NSO spyware claims, Financial Times, 7/20/2021. ↑
6. ) Stephanie Kirchgaesser, Officials who are US allies among taergets of NSO malware, say WhatsApp Chief, The Guardian. July 24, 2021. ↑
7. ) Wire Staff, Spyware Like Pegasus Is ‘Incmpatible With Human Rights’: UN’s Michelle Bachelet, The Wire, September 15, 2021. ↑
8. ) Diego Dimalta, Spyware Pegasus, la Ue a un bivio: il caso Ungheria e i paletti del Gdpr, Agenda Digitale 28/9/2021. ↑
9. ) Omer Benjacob, Israeli NSO Ws Used to Snoop on Orbán Critic in Hungary. Report Reveals,Haaretz, September 9, 2021 ↑
10. ) Stephanie Kinchengaesser and Sam Jones, Phone of top Catalan politician ‘targeted by government-grade spyware’, The Guardian, July 13, 2020, e anche Stephanie Kirchengaesser, New evidence suggests spyware used to surveil Emirati activist Alaa Al-Siddiq, The Guardian, September 24, 2021. ↑
11. ) Regulation (EU) 2021/821 of the European Parliament and of the Council of 20 May 2021 setting up a Union regime for the control of exports, brokering, technical assistance, transit and transfer of dual-use items (recast). ↑
12. ) European federation of Journalists, MFRR: EU action needed to tackle spyware abuses after Pegasus revelations, https://europeanjournalists.org/blog/2021/09/15/mfrr-eu-action-needed-to-tackle-spyware-abuses-after-pegasus-revelations/. Alla stessa richiesta si sono associate altre associazioni di giornalisti:European Centre for Press and edia Freedom, Internetional Press Institute, OBC Transeuropa. ↑