ECONOMIA DELLA SORVEGLIANZA

Pegasus, lo spionaggio cyber continua: ecco perché servono nuove regole

In Israele è scoppiato un nuovo caso Pegasus dopo che i giornali hanno denunciato l’ennesima massiccia operazione di cyber spionaggio ai danni di politici, giornalisti e attivisti. Ecco perché l’adozione di regole che limitino l’utilizzo di app spyware non è più procrastinabile

08 Feb 2022
G
Davide Giribaldi

Cyber Risk and information security Advisor

Pegasus è il più famoso spyware al mondo e la recente inchiesta del quotidiano israeliano Calcalist sull’uso massiccio dell’app per accedere ai cellulari di personaggi pubblici, incluso l’ex premier Netanyahu, e comuni cittadini, è solo la punta dell’iceberg di una situazione totalmente fuori controllo: le tecnologie di sorveglianza di massa.

Lo dico subito e con chiarezza: Pegasus non è soltanto un software di sorveglianza, ma è la più potente arma cyber attualmente in circolazione e il fatto che sia stato messo al bando da alcune nazioni tra cui gli Stati Uniti, non può e non deve farci dormire sonni tranquilli.

Pegasus, intercettazioni e trojan di Stato: ecco perché nessuno smartphone è al sicuro

L’evoluzione dello spyware Pegasus

Ufficialmente nato come spyware per monitorare le attività di gruppi terroristici e dei cartelli della droga, è stato usato in diverse indagini contro la pedofilia anche in UE, ma si è velocemente trasformato in un sistema di sorveglianza molto sofisticato nei confronti di attivisti, giornalisti, dissidenti politici e avvocati.

digital event
Quali sono le opportunità dell’Intelligenza Artificiale nelle nostre vite e nelle nostre attività?
Blockchain
Intelligenza Artificiale

Per comprendere la sua rapida evoluzione dobbiamo tenere conto di due elementi tanto semplici quanto sottovalutati: la velocità di cambiamento della tecnologia e la totale assenza di regole universali in grado di contrastare scenari comunque difficili da comprendere.

Sono oltre 30.000 le persone prese di mira e tra queste alcuni leader mondiali e sostenitori dei diritti civili, ma la platea dei potenziali obiettivi si estende a chiunque sia dotato di device mobili con sistemi operativi Android e Apple.

Pegasus è un software in grado di infettare un dispositivo in modalità zero click, quindi in totale assenza di messaggi contenenti allegati o link malevoli e, oltre a diversi zero days, sfrutta il principio fondante di qualsiasi produttore di dispositivi connessi: rendere difficile se non impossibile il loro spegnimento. Le analisi forensi di Amnesty International e Citizenz Lab, molto attive nella lotta contro i software di cybersorveglianza, hanno infatti verificato che dopo un semplice riavvio del device target non ci sono più tracce dell’attività dello spyware.

Reign e Hacking Team: non c’è solo Pegasus

Pegasus, purtroppo, è solo il caso più clamoroso ma non l’unico; nei giorni scorsi la Reuters ha citato fonti esperte secondo cui almeno un’altra azienda, con un profilo decisamente più riservato rispetto a NSO, ha sviluppato un software (Reign) molto simile a Pegasus e quindi in grado di assumere il completo controllo di qualsiasi dispositivo mobile senza lasciare tracce evidenti.

Ma quanti di noi ricordano l’attacco informatico all’azienda italiana Hacking Team del 2015?. I dati trafugati diedero evidenza del numero di governi interessati a quello che all’epoca era considerato uno dei sistemi più sicuri per la cyber sorveglianza e tra questi il governo sudanese che non brilla certo per il rispetto dei diritti civili.

Chi si ricorda dello scandalo che prese di mira Jeff Bezos o l’omicidio del giornalista Jamal Khassogi in cui entrambi pare fossero oggetto di attività di sorveglianza proprio attraverso Pegasus?

Pegasus e app spia: il nodo della questione

Il 70% del mercato mondiale degli spyware è in mano a poche nazioni o continenti come USA, Israele ed Europa e anche se non si hanno informazioni circa l’adozione di strumenti simili da parte di altre potenze in cui i sistemi di sorveglianza sono all’ordine del giorno, è chiaro che i Governi di tutto il mondo stiano opponendo resistenza alla regolamentazione di questi meccanismi, sia per la loro efficacia in termini d’intelligence che per il costo d’investimento relativamente basso dal punto di vista economico e reputazionale di fronte alla quantità di informazioni in grado di raccogliere.

Va però ribadito ancora una volta che il nodo della questione è tutto nella distanza abissale che esiste tra i tempi di reazione della politica e quelli di evoluzione della tecnologia e se vogliamo essere onesti con noi stessi, chiediamoci cosa sia cambiato dal 2013, anno in cui Edward Snowden denunciò che la National Security Agency (NSA) stava raccogliendo in maniera impropria i dati di milioni di cittadini anche non statunitensi, ad oggi.

Chiediamoci cosa sia cambiato dal settembre 2018 quando la Corte europea per i diritti dell’uomo, condannò la Gran Bretagna per la violazione degli art.8 e 10 della Convenzione stabilendo che l’intero sistema messo in piedi dall’agenzia governativa per la sicurezza inglese (GCHQ) poteva monitorare le informazioni personali di chiunque decidesse di seguire, anche se non aveva nulla a che fare con la sicurezza nazionale.

Aldilà di proclami e azioni di facciata, direi sia successo ben poco.

Basti pensare che nel 2019 FBI e CIA hanno investito almeno 9 milioni di dollari per l’acquisto di licenze Pegasus, per motivi di studio della tecnologia e valutazione del prodotto.

Poi, a seguito del divieto da parte del Presidente Biden, ufficialmente il progetto è stato abbandonato, ma con quali garanzie per i cittadini?

La cyber sorveglianza è anche un problema politico

Le pressioni all’uso dei sistemi di sorveglianza sono talmente forti che pare che NSO stia trattando con alcune banche ed investitori americani la cessione dei propri asset. Inoltre, dall’analisi di documenti (per ora non vincolanti) sull’eventuale accordo finale, il New York Times ha scoperto la volontà condivisa di ridurre il numero di clienti ufficiali dagli attuali 37 a 5, ma guarda caso si tratterebbe delle Agenzie d’intelligence di Gran Bretagna, Australia, Nuova Zelanda, Canada e Stati Uniti (la “Five Eyes Alliance” come la conosciamo oggi).

Sempre secondo la stessa inchiesta, Israele avrebbe dichiarato NSO azienda d’importanza strategica per gli interessi nazionali, arrivando a controllare le esportazioni delle licenze di Pegasus esattamente come avviene per le armi di tipo convenzionale.

Sia chiaro, la cosa sarebbe sostenibile in nome della tutela di tali interessi, ma che dire dell’imbarazzo del governo israeliano quando è stato dimostrato l’uso non convenzionale e non autorizzato del software da parte delle forze di polizia contro cittadini ignari?

Per chi non lo avesse ancora compreso fino in fondo gli strumenti di cybersorveglianza sono in grado di scandagliare ogni recondito segreto della nostra esistenza senza lasciare alcuna traccia e quindi la domanda è : dovremmo sentirci più sicuri se qualcuno li usasse contro di noi, a nostra insaputa, senza un controllo e senza le necessarie autorizzazioni?

App spia: il ruolo dell’Europa

E l’Europa?

Il Parlamento europeo e la Commissione sono intervenuti più per atto dovuto che per reale convinzione, cosi come la Francia che accortasi di essere entrata nel mirino di Pegasus ha vietato accordi con NSO, ma che dire dell’Ungheria?

Ci sono prove dell’uso di Pegasus contro giornalisti e personaggi politici di opposizione al Governo in carica, seguiranno indagini, forse qualcuno pagherà, ma il nodo della questione resterà irrisolto, a meno che non si voglia dare concretamente seguito a quanto già previsto dalla bozza di Regolamento sull’intelligenza artificiale che tra le altre cose prevede una serie di controlli a seconda dell’invasività tecnologica sulla vita degli essere umani, estendendolo anche ai sistemi di sorveglianza di questo tipo.

Si tratterebbe di una possibile strada da percorrere, non l’unica, ma ancora una volta è necessaria una riflessione sui tempi di attuazione delle norme. Fino a quando non saremo in grado di renderli compatibili con l’evoluzione tecnologica, qualsiasi soluzione adottata sarà un palliativo e non una soluzione strategica, proprio quella di cui avremmo bisogno per non cadere nell’incubo di una democrazia di sorveglianza globale.

WHITEPAPER
Intelligent Enterprise: come usare i dati e l’AI per creare la CX perfetta e omnicanale
Big Data
Digital Transformation
@RIPRODUZIONE RISERVATA

Articolo 1 di 5