Le recenti rivelazioni emerse dall’investigazione Project Pegasus hanno rapidamente fatto il giro del mondo, da più parti si è alzato un coro di indignazione nei confronti dell’abuso delle tecnologie di sorveglianze.
Con il passare dei giorni emergono nuovi raccapriccianti dettagli relativi alla disponibilità di un software così pericoloso da parte di organizzazioni criminali come il cartello della droga messicano.
Indice degli argomenti
Pegasus: la metodologia usata per identificare lo spyware
Si è detto tutto del complesso software spia: sappiamo che lo spyware è in grado di compromettere sia dispositivi Android sia iPhone e che è possibile inocularlo sui telefoni delle vittime senza che esse compiano nessuna azione.
Una volta installato, è possibile accedere alle comunicazioni delle vittime, spiarne le conversazioni attraverso sistemi di messagistica, localizzarle, spiarle attraverso l’attivazione della camera e del microfono del dispositivo, ed ovviamente accedere a tutti i file in esso contenuti.
La metodologia forense seguita da Amnesty International, e successivamente validata da altre organizzazioni, ha consentito l’identificazione delle infezioni con lo spyware Pegasus dall’analisi dei backup iTunes dei dispositivi iPhone compromessi.
La metodologia utilizzata da Amnesty per identificare i nomi dei processi utilizzati da Pegasus si basa sulla correlazione temporale tra la prima apparizione degli elementi nei registri e le connessioni effettuate dai telefoni con i server utilizzati per l’installazione del noto spyware.
iOS mantiene i record delle esecuzioni dei processi e del rispettivo utilizzo della rete in due database SQLite denominati DataUsage.sqlite e netusage.sqlite che sono memorizzati sul dispositivo. Essendo il primo dei due database presente anche nei backup su iTunes, gli esperti si sono concentrati sulla sua analisi per l’individuazione dei nomi dei processi Pegasus.
Relativamente poi alla catena di vulnerabilità sfruttate dal software per compromettere i dispositivi, sono state fatte molte ipotesi, ivi compresa la capacità di sfruttare falle in iOS Photos app o nel servizio Photostream.
Le “tecniche di attacco” utilizzate dalle agenzie governative
Per attacchi condotti da agenzie di intelligence e organi governativi contro dissidenti nel loro paese, il vettore di attacco più efficace ed economico è senza dubbio l’iniezione del malware direttamente nel traffico diretto al dispositivo (network injection), attacco possibile quando si ha il supporto degli operatori di rete mobile del paese. Per attacchi contro individui che possono essere all’estero si predilige l’utilizzo di falle nel sistema operativo o in alcuni suoi componenti.
Gli esperti hanno documentato lo sfruttamento di vulnerabilità cosiddette zero-click, ovvero che non richiedono iterazione da parte delle vittime per l’attivazione, in servizi come iMessage e FaceTime.
Falle di questo tipo sono estremamente ricercate, attorno ad esse si è sviluppato un mercato milionario in cui le agenzie di intelligence sono tra i principali acquirenti.
Pegasus e uso indiscriminato dei software spia
Ma tecnicismi a parte, il caso in analisi seppur non sorprendente per noi addetti ai lavori, ha correttamente suscitato scalpore ed allarme tra i cittadini.
Possibile che software come Pegasus possano essere venduti a stati totalitari e gruppi criminali? Come possiamo difenderci?
Queste sono le domande che ho ricevuto nella maggior parte di interviste che fatto con emittenti di tutto il mondo.
Le risposte sono tutt’altro che semplici e purtroppo non quelle che vorremmo ricevere quando ci si confronta con una situazione come questa.
Per una persona comune è praticamente impossibile difendersi da un attacco basato su software complessi come Pegasus che sono inoculabili anche senza che la vittima compia alcuna azione.
Riguardo alla proliferazione incontrollata dei software spia va detto che le licenze di software come Pegasus sono spesso oggetto di acquisizione da parte di soggetti che fungono da intermediari e che, servendosi di reti di vendita multi livello che operano a livello internazionale, cercano ed evidentemente riescono a eludere controlli.
Questo, tuttavia, non chiarisce come e perché tra i fruitori della tecnologia vi siano anche gruppi criminali.
Le conseguenze dell’assenza di controlli adeguati e restrizioni alle vendite sono catastrofiche, chiunque potrebbe finire nel mirino di governi totalitari o peggio di gruppi criminali. La posta in gioco è elevata, talvolta questi strumenti sono utilizzati per reprimere l’opposizione politica e la storia ci insegna che le persecuzioni contro di essi hanno avuto spesso un tragico epilogo.
Come impedire l’abuso di queste tecnologie
Come ovviare a tutto ciò? Quale risultato avremmo se si vietasse l’uso di questi software?
Di certo sarebbero impattate investigazioni contro gruppi criminali e terroristi in cui i software spia sono largamente utilizzati e talvolta con ottimi risultati.
Pur ipotizzando di poterne fare a meno, tuttavia, non saremmo in grado di impedirne la commercializzazione su canali paralleli, gli stessi attraverso i quali si acquistano zero-day exploit, ovvero codici che consentono di sfruttare falle non note dalle aziende produttrici per comprometterne i sistemi.
Il rischio è quello di alimentare un mercato in forte espansione, in cui molteplici attori malevoli potrebbero fiutare le possibilità di guadagno e cominciare a sviluppare software sofisticati come Pegasus.
Da più parti si invoca il divieto per una tecnologia che, come altre, viola palesemente il diritto alla privacy. Il problema risiede nell’impedire gli abusi della tecnologia conseguenti ad una diffusione non regolamentata su scala globale.
Un problema di natura legale ed etico
Il settore urge di rigide regolamentazioni che obblighino i principali fornitori di spyware a fornire informazioni sui loro clienti e sul reale impiego dei loro software.
Non è tollerabile che queste aziende si trincerino dietro dichiarazioni di circostanza che li svincolano dalla responsabilità degli abusi del proprio software.
Il problema non è di natura tecnica, bensì squisitamente legale ed etico. Non sarebbe tecnicamente complesso autorizzare l’uso dei software spia solo per utenze iscritte in registri di indagati condivisi in un contesto internazionale.
Il caso Pegasus deve fungere da esempio: una società democratica non può tollerare tali abusi che ne minano le fondamenta.
