Sono agghiaccianti i risvolti che emergono dalla investigazione forense[1] condotta da Amnesty International nell’ambito del “progetto Pegasus”, coordinato da Forbidden Stories e che ha tolto il velo su un’operazione di cyberspionaggio globale da parte vari attori non ben identificati – Governi dittatoriali, narco trafficanti – ai danni di almeno un migliaio tra attivisti, avvocati dei diritti umani, politici, docenti e almeno 180 giornalisti di 20 nazioni del mondo, alcuni dei quali europei.
Giornalisti intercettati e poi uccisi, dati alle fiamme, da narco trafficanti all’estero.
Intercettati anche Romano Prodi e Emmanuel Macron.
Già questo basterebbe, ma bisogna leggere a fondo quelle pagine, con occhio tecnico per rendersi conto davvero dell’enormità. Siamo tutti sotto possibile sorveglianza, se abbiamo uno smartphone.
Ma appunto perché occhio tecnico serve e sensibilità a tali questioni, sarà – temo – un’enormità ignorata dal pubblico.
L’indagine forense Su Pegasus
Il report riguarda l’utilizzo dello spyware “Pegasus” dell’azienda di spionaggio israeliana NSO e descrive, tra le altre cose, come venga fatto uso del Network Injection: ossia avendo il controllo sui router o tramite l’utilizzo di dispositivi hardware tattici da utilizzare per sostituirsi alle celle della rete mobile, l’attaccante ha potuto reindirizzare il dispositivo dell’attivista marocchino Maati Monjib, o del giornalista Omar Radi, tramite redirect da yahoo.fr su un server di NSO in cui è stato “servito” un exploit specifico per iOS.
Val la pena notare a questo punto che tutto il report è incentrato su iOS, e poco o nulla si dice a proposito di Android.
iOs più vulnerabile di Android?
Di questo c’è una spiegazione molto semplice e piuttosto preoccupante. Sappiamo di per certo da altri indizi che Pegasus è utilizzato sia su iOS che su Android, ma di quest’ultimo non si fa menzione appunto, perché, spiega il report di Amnesty, “nella nostra esperienza ci sono molte più tracce forensi accessibili agli investigatori sui dispositivi Apple che sui dispositivi stock Android”.
Insomma, iOS è tutt’altro che l’eccellenza dei sistemi operativi mobili per quanto riguarda la security.
E l’elenco delle applicazioni sfruttate presente nel report è lunghissimo. Da iMessage a Apple Music, Photo, SMS, Safari. Quasi tutti zero click, ovvero senza la necessità che l’utente intervenga.
Ciò non implica però che Android sia più sicuro. Nulla si può dire di certo, date le numerose versioni del sistema. Neanche Amnesty è chiara su quel punto; sembrano dire “non c’è materiale per lavorare” in sostanza, perché la situazione è troppo frammentata.
Caso Pegasus, ma anche l’Italia pecca di trojan di Stato: a rischio i diritti di tutti
Pegasus, una vecchia conoscenza
Dal report emerge quindi come più della metà dei dispositivi consegnati riportassero tracce indirette della presenza di Pegasus.
Le prove sono in verità indiziarie: Pegasus è uno strumento assai complesso e continuamente sviluppato e perfezionato da NSO, e con il tempo ha acquisito sia tecniche nuove di infezione, sia metodologie di evasione e di rimozione delle proprie tracce.
La resilienza di NSO è indicata, per esempio, da un fatto. Pegasus era già stato identificato ed esposto in un report da Citizen Lab e da Amnesty nell’agosto 2018. L’infrastruttura informatica fatta di Server di delivery dei contenuti e di server di controllo, nella migliore strategia di compartimentazione in layer al fine di ridurre l’esposizione ad eventuali contro-attacchi, è stata quindi nel mese successivo (settembre 2018) smantellata dalla stessa NSO e ricostruita con una struttura nuova e server, domini e C&C completamente nuovi.
È dunque comprensibile che la ricerca del malware sui dispositivi sia stata difficile e piena di incognite. L’immagine della ricerca di un ago in un pagliaio visualizza bene la situazione, con la differenza che in questo caso l’ago non vuole farsi trovare e non si sa neppure che forma abbia.
Ciò nonostante, Amnesty e Citizen Lab sono riusciti a raccogliere informazioni importanti, i cui dettagli sono ampiamente descritti nel report.
Il report di Amnesty International su Pegasus: la scheda
Lo scopo del progetto era raccogliere prove a sostegno dell’accusa rivolta a NSO group, una compagnia di software che dal 2010 produce Pegasus, un arma di spionaggio e sorveglianza che permette attraverso la compromissione dei dispositivi dei bersagli, di intercettarne le comunicazioni elettroniche (chiamate, messaggistica anche criptata, email, rubrica di contatti), di geolocalizzarli in tempo reale, di attivare microfono e telecamera, e in breve di effettuare un’azione di spionaggio ed esfiltrazione di dati.
Sebbene NSO Group dichiari di vendere i propri servizi esclusivamente a governi che rispettano i diritti umani e per scopi esclusivamente di contrasto al terrorismo e al crimine, in verità da molti anni ormai si alimentano sospetti e prove che dimostrano come questo strumento sia stato usato in molteplici occasioni contro attivisti, giornalisti, addirittura avvocati e persone politicamente interessanti; non è neppure segreto che una vasta parte dei clienti di NSO siano governi che non brillino propriamente nel rispetto dei diritti umani: Ungheria, India, Messico, Marocco, Arabia Saudita, Ruanda, Kazakhstan.
Quindi, è emerso come un massiccio data leak, la cui data né l’origine sono specificati nei report, abbia esposto circa 50,000 numeri di telefono di persone considerate di interesse per i clienti di NSO a partire dal 2016.
La sola presenza del numero nella lista di per sé non era sufficiente per trarre delle conclusioni o confermare i sospetti. Pertanto, Amnesty International ha ottenuto dai diretti interessati i dispositivi mobili su cui effettuare, una volta estratta una immagine del contenuto, delle indagini forensi.
Il procedimento[2] è stato soggetto a peer review[3] da parte di Citizen Lab, un’organizzazione no-profit che si occupa da vent’anni di dare supporto tecnico informatico a giornalisti, attivisti e difensori dei diritti umani in tutto il mondo. Il suo fondatore, Ronald J. Deibert, è tra l’altro autore del bellissimo libro “Black Code”, nella cui introduzione leggiamo: “Miriamo a documentare ed esporre l’esercizio del potere nascosto alla vista dell’utente medio di internet… il nostro intento è quello di “osservare gli osservatori””[4].
I due report, quello di Amnesty e il peer review di Citizen Lab, concordano nelle conclusioni; le metodologie forensi utilizzate sono state sviluppate indipendentemente dai due laboratori e giungono a conclusioni assolutamente sovrapponibili, confermando l’avvenuta installazione nei dispositivi analizzati di un software di intercettazione assai sofisticato e che fa uso di vulnerabilità prima ignote (zero day) senza uso di intervento da parte dell’utente (zero click). L’attribuzione a Pegasus e a NSO avviene sulla base delle precedenti investigazioni e sulla knowledge base sviluppata negli anni.
Dal report, i particolari più agghiaccianti
Assodato dunque che la lista dei 50,000 è probabilmente “calda”, cosa possiamo dire delle persone contenute in essa?
Fa sussultare trovare i familiari del giornalista Jamal Khashoggi, assassinato, lo ricordiamo tutti con raccapriccio, a Istambul il 2 ottobre 2018. Ci sono evidenze che Pegasus sia stato installato nel dispositivo mobile della fidanzata di Khashoggi solo 4 giorni dopo il brutale assassinio, e in quello dei familiari prima e dopo.
In Messico, il telefono di Cecilio Pineda, assassinato nel 2017, fu selezionato come target solo poche settimane prima.
E così via. Il report di Amnesty è un vaso di Pandora su tanti fatti di sangue accaduti di recente a giornalisti scomodi.
Trojan super-arma per le indagini, il compromesso tra garantisti e giustizialisti
Le reazioni
A seguito della pubblicazione del report da parte dei partecipanti al Pegasus Project, NSO ha provveduto ad emanare un comunicato con cui nega le accuse e bolla il contenuto del report come “esagerato”. Molte delle conclusioni cui giunge Amnesty, secondo NSO, sarebbero “affrettate” e “non suffragate dai fatti”. NSO vende ufficialmente i propri prodotti solo a militari, forze dell’ordine e agenzie di spionaggio, e controlla rigorosamente l’attitudine dei clienti al rispetto dei diritti umani prima di concederli in licenza. Tuttavia, concede il comunicato, NSO non ha controllo sull’operato e sul contenuto dei dati raccolti dai propri clienti; nel contempo non risulta a NSO che Pegasus sia coinvolto nell’assassinio di Khasshoggi o di Pineda. Affermazioni contrastanti che si prestano comunque a interessanti ragionamenti.
In attesa di ulteriori chiarimenti, ieri Amazon ha chiuso i contratti di servizio Cloudfront che costituivano una parte dell’infrastruttura di delivery dei contenuti di NSO. Altri fornitori tra cui Digital Ocean, OVH e Linode, stanno temporeggiando. Già nel 2020 la rivista Motherboard aveva inoltrato una richiesta di commento ad Amazon riguardo le prove del coinvolgimento dei servizi cloud di AWS nelle attività di NSO. L’azienda non aveva risposto[5].
Con sorprendente tempismo, pare che uno dei giornalisti coinvolti, Omar Radi, sia stato ieri giudicato colpevole e condannato a 6 anni di reclusione per spionaggio e violenza sessuale[6], non senza lasciare pochi dubbi sulla correttezza del processo[7]. Il governo del Marocco ha negato l’uso del software di NSO.
Abusi che non hanno presa sull’opinione pubblica
Tuttavia, la notizia pare non aver scalfito l’interesse del lettore di medio di giornali, attualmente catturato dalla minaccia della variante Delta e dai timori della sorveglianza di massa fantasiosamente attuata dall’utilizzo del green pass. Forse perché, è evidente, gli spyware, che da noi il mondo del diritto ha ribattezzato con un asettico termine, “Captatori informatici”, non sono propriamente strumenti di sorveglianza di massa.
Eppure, la minaccia del loro uso diffuso è, a mio parere, devastante a tutti i livelli.
Da una parte ci sono pochi dubbi sul fatto che la loro esportazione dovrebbe essere equiparata a quella delle armi; già dal 2014 in Europa la loro esportazione[8] è regolamentata come “uso duale”.
Ciò ha fatto sì che nel corso degli anni venissero a galla gli abusi di aziende europee, ricordiamo tutti la vicenda di Hacking Team, la quale però, sospetto, sarebbe ancora in piena attività se la sua reputazione non fosse stata completamente distrutta dal devastante leak subito, leak che ha confermato l’attività di vendita dello strumento a governi diversamente democratici e in black list.
Però tale moratoria non è efficace al di fuori dell’Europa, e sebbene le violazioni abbiano un discreto impatto nell’opinione pubblica, come si vede dalla vicenda appena narrata è difficile portare prove a supporto dei sospetti. E in ogni caso, l’ultima parola spetta ai tribunali delle nazioni esportatrici, come Amnesty stessa nel luglio 2020 ha sperimentato, quando la sua causa contro la stessa NSO è stata rigettata dal tribunale israeliano “per insufficienza di prove”. In tale causa, Amnesty imputava a NSO lo spionaggio di un suo dipendente tramite Pegasus.
Ma esiste un pericolo ben più grosso nell’uso indiscriminato, legale o illegale, di tali strumenti.
Nelle scienze forensi il caposaldo del bilanciamento tra accusa e difesa è costituito dalla “catena di custodia”, che garantisce che la prova acquisita durante l’investigazione sia mantenuta cristallizzata e inalterata, al fine di impedire che qualunque alterazione comprometta la lettura della prova. Tant’è, per esempio, che per la legge italiana quando si devono effettuare procedure che alterino il reperto stesso, ad esempio, un jailbreak, le parti sono chiamate a presenziare allo svolgimento delle stesse (“accertamenti tecnici non ripetibili”, art. 360 cpp.)
Ora, è evidente che i captatori informatici sono per loro stessa natura alterazioni delle prove, in quanto l’installazione stessa è un’azione di alterazione sul dispositivo. Identificare la presenza di uno spyware è difficilissimo, ricostruirne l’attività praticamente impossibile, in quanto lo spyware stesso si guarda bene dal documentarla. Pertanto, occorre un’enorme fiducia nell’istituzione inquirente per accettare senza batter ciglio il loro uso, in special modo in quei paesi che non brillano per trasparenza e per rispetto nei confronti dei diritti umani. Se poi pensiamo che, per quel che ne sappiamo, tali spyware potrebbero anche impiantare false prove nei dispositivi dei bersagli, la paura diventa reale.
Conclusioni
La discussione sulla legalità di strumenti come Pegasus è tutt’ora in atto in occidente, sebbene, almeno in Italia, ristretta ad una cerchia di pochi informati e preoccupati.
In fin dei conti, la missione delle agenzie di spionaggio è proprio quella di spiare, no? E se non hai nulla da nascondere… beh, non proprio. Il report di questi giorni ha portato alla luce la triste realtà. Nel mondo globale, nessuno è al sicuro, un attivista per i diritti umani, un giornalista critico verso il tal governo o la tal dittatura, un avvocato… E se spiare diventa facile, immediato come inviare un comando, tutti diventano potenzialmente persone di interesse. E spiare può avere, come dimostrano le cronache, delle serie conseguenze nel mondo reale.
Note
- https://www.amnesty.org/en/latest/news/2021/07/the-pegasus-project/ ↑
- https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/ ↑
- https://citizenlab.ca/2021/07/amnesty-peer-review/ ↑
- La traduzione è mia, il libro non mi risulta sia stato tradotto e pubblicato in Italia ↑
- https://www.vice.com/en/article/qj4p3w/nso-group-hack-fake-facebook-domain ↑
- https://www.france24.com/en/live-news/20210719-morocco-court-jails-journalist-omar-radi-for-six-years ↑
- https://twitter.com/AidaAlami/status/1417135442974019591?s=20 ↑
- https://www.wired.it/internet/regole/2014/11/10/europa-regolamenta-esportazione-spyware ↑
