Europa, guerra alla crittografia

#Sorveglianze

Europa, guerra alla crittografia

Riccardo Coluccini

Quando scriviamo un messaggio su WhatsApp, o nelle chat segrete di Telegram e Messenger, è come se stessimo inviando bigliettini inseriti in una piccola cassaforte rinforzata. La cassaforte è fatta di una lega speciale impossibile da rompere e non vi è modo di vedere dall’esterno cosa contiene. Le uniche chiavi per aprirla sono in mano alle persone che si stanno scrivendo. La crittografia usata nelle app come WhatsApp e Signal è quella cassaforte.

La sicurezza di questo sistema potrebbe però cedere se, ad esempio, i costruttori della cassaforte fossero costretti a creare e consegnare una terza chiave passepartout alle forze dell’ordine, in grado di aprire tutte le casseforti prodotte – quella che in ambito informatico si chiama anche backdoor. Oppure se ci fosse un difetto nel materiale di realizzazione, ignorato persino dai produttori, che permette di aprire con precisione chirurgica la lega metallica, sferrando semplici colpi di martello con la giusta frequenza. In entrambi questi casi ci sarebbe quindi una vulnerabilità che può essere sfruttata per leggere i messaggi scambiati. In ambito informatico vengono scoperte vulnerabilità con una certa frequenza.

Non dovrebbe stupirci se criminali e agenzie di intelligence straniere volessero individuare queste vulnerabilità per sfruttarle a loro vantaggio. Probabilmente ci riuscirebbero nel giro di poco tempo. Da anni le forze dell’ordine di tutto il mondo, tuttavia, dichiarano di non riuscire in alcun modo ad accedere alle comunicazioni cifrate che passano attraverso applicazioni come WhatsApp o Signal. Le loro casseforti reggono il colpo, nonostante gli sforzi. Gli attacchi contro la cifratura si susseguono, spesso sotto la spinta delle agenzie di intelligence di Stati Uniti, Regno Unito e Australia. Ma negli ultimi due anni anche i governi dei Paesi europei hanno portato avanti, spesso a porte chiuse, discussioni sulla possibilità di introdurre backdoor – le chiavi passepartout per aprire le casseforti, che siano di natura legale oppure tecnologica – in app sicure usate da milioni di persone.

Lighthouse Reports, redazione non profit che si occupa di inchieste collaborative, ha analizzato insieme a IrpiMedia centinaia di pagine di documenti, note interne, e email (qui in olandese) pubblicati dal governo dei Paesi Bassi resi pubblici a seguito di una richiesta di accesso agli atti. I documenti ottenuti offrono la rara opportunità di osservare la discussione in corso da una posizione privilegiata e comprendere meglio le implicazioni per la privacy di centinaia di milioni di persone.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

Backdoor, la porta sul retro nel mondo informatico

In informatica, una backdoor è una porzione di codice che permette di bypassare i controlli e le misure di sicurezza di un sistema, fornendo così un accesso non autorizzato ai malintenzionati. Di solito è inserita di nascosto e nemmeno gli sviluppatori originari del sistema stesso se ne possono accorgere. Avere una backdoor in un sistema che usa la crittografia end-to-end, ovvero il sistema di messaggistica a casseforti che abbiamo descritto in precedenza, permette a chiunque ne conosca l’esistenza di leggere il contenuto delle chat. Al contrario, lo scopo delle chat segrete è impedire a chiunque altro se non mittente e destinatario di leggere i messaggi.

Crittografia per tutti o tutti contro la crittografia

Il problema della cifratura è dibattuto da anni. Europol e Eurojust producono persino un rapporto annuale sul conflitto tra cifratura e indagini. Nel report pubblicato a luglio 2021, le due autorità europee sottolineano come la crittografia continui a essere sempre più sfruttata dai criminali «sia come parte del loro modus operandi sia come mezzo per consentire comunicazioni segrete e attività illegali mettendole fuori dalla portata delle forze dell’ordine».

Sempre nel report, si legge come le due principali strade percorribili sono bypassare del tutto la cifratura o riuscire a indebolirla. I documenti rilasciati dai Paesi Bassi sottolineano gli sforzi in entrambe le direzioni.

Negli anni si sono susseguite spesso le promesse di individuare soluzioni tecnologiche in grado di fornire accesso alle comunicazioni cifrate per il contrastro al terrorismo e per limitare la condivisione di materiale fotografico legato all’abuso di minori. E tutto questo dovrebbe essere possibile senza minare la sicurezza delle app cifrate come WhatsApp e Signal, scelte dagli utenti perché tutelano la privacy dei loro messaggi più di altri concorrenti sul mercato.

L’esempio più recente è la proposta di regolamento europeo contro la diffusione di contenuti pedopornografici di maggio 2022. Introduce la necessità di introdurre filtri in ogni app e servizio per analizzare le foto e il testo alla ricerca di contenuti pedopornografici o attività di adescamento di minori. Secondo esperti di sicurezza informatica e organizzazioni per i diritti digitali come European Digital Rights (EDRi), di fatto questo regolamento minerebbe «l’essenza della cifratura».

Diverse sezioni non redatte dei documenti analizzati da IrpiMedia e LHR suggeriscono che questo tipo di soluzione non si possa, al momento, mettere in atto. «Attualmente non è possibile adattare i prodotti di crittografia in modo che sia possibile un accesso mirato a livello individuale, senza rendere troppo vulnerabile la sicurezza dei sistemi digitali che utilizzano la crittografia», scrivono alcuni funzionari del Ministero della Giustizia olandese in un documento datato aprile 2021.

Attivisti per la privacy ed esperti del settore hanno già sottolineato come il conflitto con le autorità inquirenti sia sostanzialmente impossibile da risolvere. Questi documenti offrono la rara opportunità di vedere anche ufficiali governativi ammettere quelle stesse difficoltà. Rivelano ad esempio come l’introduzione di meccanismi per le intercettazioni legali, come normalmente avviene con le chiamate telefoniche, non è praticabile con le app di messaggistica crittografata, perché nemmeno le società che le gestiscono sono a volte in possesso del corrispettivo dei “tabulati telefonici” e dei contenuti.

Nei documenti si legge che in futuro potrebbe essere necessario ricorrere più spesso all’uso di spyware (vedi glossario) e allo sfruttare vulnerabilità non note ai produttori dei software. In un report datato 8 luglio 2021, a seguito di una consultazione avvenuta tra i Ministeri olandesi e società come Google, operatori telefonici, rappresentanti del mondo accademico e organizzazioni della società civile, si ribadisce che devono essere comunque tenute in considerazione anche altre soluzioni per accedere ai contenuti cifrati, ad esempio «usando meglio le opzioni disponibili, come gli hacking powers». E per farlo sarebbe necessario investire in questo tipo di attività e «sfruttare le debolezze dei sistemi (software) come fanno gli hacker».

Questi documenti assumono una gravità maggiore se si considera che pochi giorni dopo quella consultazione sarebbe esploso uno scandalo senza precedenti grazie alle inchieste giornalistiche che hanno rivelato l’abuso dello spyware Pegasus, prodotto dall’azienda israeliana NSO, compiuto tra gli altri dai governi di Polonia, Ungheria, Grecia e Spagna. Queste inchieste hanno mostrato come gli spyware finiscano con l’essere fuori controllo persino in Paesi democratici. Il governo spagnolo ha ammesso di aver spiato alcuni politici indipendentisti catalani – secondo Citizen Lab si tratterebbe di oltre 60 persone, tra politici, assistenti, familiari e persone loro vicine, oltre a attivisti per l’indipendenza. Poco dopo però il governo spagnolo ha dovuto ammettere di essere stato spiato a sua volta tramite Pegasus da un soggetto terzo. A farne le spese sono stati il primo ministro Pedro Sánchez e la ministra della Difesa Margarita Robles.

I documenti, che includono anche comunicazioni tra il Ministero olandese e le controparti in Regno Unito e Germania, oltre a comunicazioni riguardo meeting con altri paesi dell’Unione europea e con la stessa Commissione Ue, mostrano le difficoltà avute dagli ufficiali governativi negli ultimi due anni per trovare una soluzione al problema.

Rompicapo istituzionale

Stralci dei documenti che contengono la discussione in corso tra istituzioni olandesi ed europee circa le implicazioni per la privacy di milioni di persone

Una delle vie esplorate nei documenti visionati da IrpiMedia e dagli altri partner è quella di equiparare le app cifrate ai servizi offerti dagli operatori telefonici classici, imponendo quindi loro l’obbligo di trovare una soluzione tecnica per garantire l’accesso da parte della polizia alle comunicazioni. Il desiderio delle forze dell’ordine sarebbe quindi scaricato direttamente sulle aziende che sono costrette a trovare una soluzione tecnologica a un problema che ricercatori e esperti di sicurezza informatica continuano a sottolineare sia irrisolvibile senza minare dalle fondamenta la crittografia che protegge i messaggi e le chiamate. Questo problema spinge gli ufficiali governativi verso dilemmi che suonano familiari: «È il governo a regolamentare o è il mercato a stabilire cosa è possibile fare?».

Verso una nuova proliferazione di vulnerabilità

Gli stessi funzionari governativi si interrogano sull’eventualità che le novità introdotte in Europa possano facilitare dittatori di regimi autoritari o «terzi malintenzionati». Riflettendo sulla possibilità di sviluppare nuove tecniche per intercettare le comunicazioni cifrate, un ufficiale del Ministero di Giustizia dei Paesi Bassi chiede se ci siano modi per garantire che uno strumento in grado di spezzare la cifratura, sviluppato da aziende private, possa essere utilizzato solo da «Paesi democratici». Il timore è che, non appena questa capacità fosse disponibile, «anche Paesi che destano particolare preoccupazione possono usare [la stessa tecnologia], e così attivisti per i diritti umani, giornalisti, e dissidenti che vivono in questi regimi (…) possono diventare più vulnerabili». «Mi sembra che sia molto difficile – da un punto di vista del controllo delle esportazioni – limitare in anticipo queste soluzioni tecnologiche ai soli Paesi occidentali», è la risposta che ottiene da un altro funzionario. «Alla fine – conclude -, il soggetto privato vorrà guadagnarci e lo diffonderà nel mercato».

Un meccanismo già noto nella storia italiana, dove un mercato interno ricco di aziende ha spinto negli anni alcune di queste a vendere all’estero a regimi e governi autoritari, con casi noti come quello di Hacking Team e di Area SpA.

Altre aziende italiane hanno già provato a sfruttare a proprio vantaggio il successo di WhatsApp come punto di ingresso per installare i captatori informatici. Cy4gate, azienda che come ricostruito da IrpiMedia punta a diventare una sfidante di NSO, avrebbe utilizzato un finto sito web che impersona WhatsApp per facilitare l’installazione del proprio spyware, come rivelato da Motherboard.

Le intercettazioni in Italia

A una decrescita del numero di intercettazioni telefoniche e ambientali corrisponde un aumento di quelle telematiche, secondo i dati raccolti dalla Direzione Generale di Statistica del Ministero di Giustizia

L’opzione di imporre degli obblighi di legge per indebolire la cifratura, ragionano i funzionari olandesi, rischia di avere un effetto controproducente: allontanare le aziende. «Dobbiamo evitare la situazione in cui WhatsApp smetta di essere disponibile nei Paesi Bassi,» mette in guardia un funzionario pubblico del Ministero degli Affari Economici olandese.

Gli esperti del governo olandese però vedono comunque una remota possibilità di avere un meccanismo internazionale in grado di rendere i messaggi cifrati leggibili alle forze dell’ordine in casi specifici ma questo richiede un ampio accordo tra governi, imprese e mondo accademico, e ci potrebbero volere dieci anni. Ma i problemi sarebbero risolti solo in parte: «Supponiamo che tutto questo sia possibile tecnicamente. Possiamo quindi costruire un’infrastruttura globale per le intercettazioni. L’umanità è pronta per tutto questo? È possibile raggiungere un accordo su quali Paesi possono utilizzare questa infrastruttura di intercettazione e per quali reati?».

La strada dell’attacco diretto: l’hacking in mano alla polizia

Malgrado le difficoltà tecniche e legali, i funzionari olandesi hanno iniziato a parlare della possibilità di ampliare “l’hackeraggio di Stato” e l’accesso ai software di captazione come lo spyware Pegasus. Questi ultimi sfruttano le vulnerabilità dei sistemi operativi dei dispositivi per accedere di nascosto ai messaggi, prima o dopo che questi siano stati cifrati, ad esempio raccogliendo screenshot delle chat. Hanno anche chiari svantaggi: possono facilmente finire nelle mani sbagliate e un utilizzo eccessivo può spingere le aziende di smartphone a riparare le vulnerabilità. Nel caso di Pegasus, infatti, Apple sta giocando una partita colpo su colpo cercando di chiudere ogni falla di sicurezza emersa dall’analisi dello spyware fatta da Citizen Lab e Amnesty Tech. «L’uso di “Govware” (ossia spyware nelle mani dei governi, ndr) o di strumenti di accesso legale per ottenere prove, installati sotto copertura in un dispositivo mirato, può anche porre sfide pratiche e legali, in particolare la difficoltà di iniettare tali strumenti senza un’azione da parte del sospetto e il fatto che il loro uso non è chiaramente indicato nelle disposizioni procedurali della maggior parte delle giurisdizioni», si legge inoltre nel report di Europol.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

L’Italia è in realtà tra i pochi Paesi europei il cui quadro legislativo supporta – o non ostacola del tutto – l’impiego degli spyware e di altre forme di intercettazione. «In Italia le intercettazioni telematiche già permettono di raccogliere il traffico dati delle telefonate WhatsApp ma i dati sono comunque cifrati e illeggibili», spiega a IrpiMedia l’avvocato Stefano Aterno, esperto di reati informatici e legislazione di captatori. Le intercettazioni telematiche sono quelle in grado di copiare il traffico internet dei dispositivi, come ad esempio quello legato ai siti web visitati da uno smartphone ma anche alle chiamate fatte via internet. Secondo l’avvocato, un governo potrebbe decidere di attaccare la cifratura di quel traffico dati intercettato per accedere al contenuto. Per farlo sarebbe necessario o entrare in possesso delle chiavi di cifratura o trovare una vulnerabilità nel protocollo crittografico utilizzato.

L’ampio impiego dei captatori informatici e le sentenze della Corte Suprema di Cassazione mettono inoltre l’Italia in una posizione diversa riguardo il dibattito emerso dai documenti del governo olandese. A febbraio 2022, spiega Aterno, la Cassazione ha deciso di equiparare la raccolta degli screenshot fatti tramite captatore informatico a una forma di intercettazione telematica. La discussione sull’obbligare WhatsApp a fornire un accesso ai governi «non sarà fatta in Italia finché non si avrà un parere della Cassazione opposto a quello di febbraio». Con uno screenshot si può bypassare tutta la protezione della crittografia: il testo della chat è lì immortalato proprio come appare di fronte agli occhi delle persone che lo stanno scrivendo.

La travagliata storia legislativa degli spyware in Italia

La storia dei captatori informatici nelle indagini giudiziarie in Italia comincia con la legge Orlando del 2017 – la cui applicazione ha subito però diverse proroghe fino al 2019. La legge permette di attivare da remoto il microfono presente sui dispositivi per registrare le conversazioni tra presenti, attività che può essere fatta sia per ipotesi di reato importanti come mafia e terrorismo, sia per altre minori, come quelli collegati a sostanze stupefacenti (in questi ultimi casi, però, è espressamente richiesto di indicare i luoghi e il tempo in cui il microfono sarà attivo). Nella legge rimangono fuori tutti i dettagli relativi alle altre capacità dei captatori: raccogliere screenshot, monitorare la posizione con il GPS, analizzare il traffico internet, e registrare ogni parola digitata sulla tastiera incluse le password. Con la legge Spazzacorrotti del 2019 si estende l’uso degli spyware anche ai reati contro la pubblica amministrazione commessi da pubblici ufficiali o incaricati di pubblico servizio puniti con almeno cinque anni di reclusione. In seguito, alla fine di febbraio 2020, un nuovo decreto legge ha apportato alcune ulteriori chiarificazioni sulle intercettazioni.

La Corte di Cassazione è intervenuta a redimere le controversie in diverse occasioni, riconoscendo ormai una solida giurisprudenza all’uso dei captatori. Per esempio ne ha legittimato l’uso per acquisire le password di accesso agli account della persona indagata, monitorando cosa viene digitato sulla tastiera. Nel 2017 la Corte ha ritenuto che l’acquisizione di screenshot dello schermo di un dispositivo possa essere considerata come una sorta di intercettazione di flussi di dati telematici.

Le capacità invasive dei captatori informatici vivono una doppia vita: esistono e sono note da report e analisi di ricercatori informatici e attivisti per i diritti umani che ne subiscono gli abusi in tutto il mondo ma sembra che non vogliano essere messe nero su bianco dai legislatori italiani. In alcuni casi però questa barriera di separazione si rompe come nel caso della recente riforma dei costi delle intercettazioni. Nella tabella dei costi, che dovrebbe facilitare e uniformare le spese di giustizia nelle varie Procure, sono descritti i vari utilizzi: raccolta rubrica dei contatti, fotografie, password, contenuti delle app come WhatsApp e Signal.

In una risposta a un’interrogazione parlamentare del 16 marzo 2022 riguardo una posizione lavorativa focalizzata anche sulle intercettazioni di app come WhatsApp e Signal, la Ministra della Giustizia olandese ha sottolineato alcuni punti sull’impiego dei poteri dell’hacking nelle indagini: «Questi poteri sono meno scalabili e la loro efficacia è meno prevedibile a causa delle competenze richieste, dei costi di attuazione, della capacità necessaria e della questione se i servizi investigativi e di intelligence riusciranno a ottenere e mantenere l’accesso alle comunicazioni desiderate».

Per ovviare a questo problema i funzionari discutono la possibilità di creare un’unità all’interno di Europol «che possa effettuare intrusioni informatiche su richiesta degli Stati membri», si legge nei documenti analizzati da IrpiMedia e Lighthouse Reports attraverso una richiesta di accesso agli atti nei Paesi Bassi. Europol però è stata recentemente accusata di conservare illegalmente informazioni e sembra voler diventare un’agenzia di sorveglianza di massa in stile National Security Agency (Nsa), l’agenzia di sicurezza degli Stati Uniti di cui conosciamo i segreti grazie alle rivelazioni di Edward Snowden. Europol ha inoltre già avviato una «piattaforma di decrittazione» in grado di aiutare nei casi in cui i dati conservati sui dispositivi elettronici siano cifrati.

L’iniziativa della Commissione europea

Al momento i Paesi Bassi hanno deciso di rimandare la decisione finale in attesa di un segnale dall’Unione europea. La Commissione sta infatti lavorando a un inventario delle possibili soluzioni e ha già iniziato a inviare dei questionari ai vari stati Ue, come provano i documenti pubblicati dal governo olandese. La Commissione ha chiesto tramite un questionario ai vari Stati membri in che modo le forze dell’ordine gestiscono le vulnerabilità e se notificano ai produttori la loro esistenza, e se per sfruttare queste vulnerabilità si affidano a esperti interni o consulenti esterni che vengono dal settore privato.

Le domande sono state discusse a una riunione degli ufficiali di giustizia dei 27 Stati membri dell’Unione europea a maggio 2021 a tema «cifratura e accesso legale».

Le risposte del governo olandese non sono state pubblicate interamente nei documenti ma è presente un breve riassunto: «Le risposte indicano i rischi che circondano il mercato dei software di intrusione, le vulnerabilità sconosciute e i danni collaterali alle tecnologie. Ma nulla è escluso».

Nelle domande del questionario si chiede anche agli Stati membri se ritengono necessario che a livello europeo sia introdotta una legge che faciliti l’accesso ai dati cifrati delle comunicazioni e, inoltre, quali capacità sono disponibili solo fuori dall’Ue e in futuro dovrebbero essere rese disponibili anche qui.

IrpiMedia ha chiesto al Ministero dell’Interno e a quello di Giustizia italiani, che secondo i documenti olandesi sarebbero entrambi a conoscenza dell’inventario condotto dalla Commissione europea, di chiarire se considerano la crittografia un intralcio alle indagini, di fornire eventuali dati a supporto e spiegare quali soluzioni vedono per questo problema. L’ufficio stampa del Ministero di Giustizia non ha potuto inviare le risposte a causa di «numerosi impegni», mentre il Ministero dell’Interno non ha fatto pervenire le risposte.

CREDITI

Autori

Riccardo Coluccini

Editing

Lorenzo Bagnoli

In partnership con

Lighthouse Reports

Infografiche

Lorenzo Bodrero

Foto di copertina

Cybersorveglianza, le conseguenze dell’inchiesta Pegasus Project

27 Luglio 2021 | di Riccardo Coluccini

Apartire da domenica 18 luglio 2021 sono stati pubblicati più di cento articoli di un’inchiesta internazionale che rivela l’estensione degli abusi effettuati con lo spyware Pegasus, prodotto dall’azienda israeliana NSO Group e utilizzato da diversi Paesi per sorvegliare gli smartphone e le vite di giornalisti, attivisti, avvocati, politici e dei loro familiari.

L’inchiesta prende il nome di Pegasus Project ed è coordinata da Forbidden Stories, organizzazione francese che prosegue le inchieste di giornalisti minacciati o uccisi, con il supporto tecnico del Security Lab di Amnesty International e coinvolge 17 testate in tutto il mondo. I casi di abuso si estendono in quasi ogni continente ma l’inchiesta dimostra che questo tipo di sorveglianza illegittima è già penetrato in Europa: ci sono infatti casi in Ungheria ma anche giornalisti e politici francesi sorvegliati probabilmente dal Marocco.

Al centro della storia vi è una lista di 50mila numeri telefonici che potenzialmente potrebbero essere gli obiettivi dei clienti di NSO. Amnesty è riuscita ad analizzare 67 dispositivi collegati a quei numeri e in 37 casi ci sono conferme di inoculazioni dello spyware o comunque indizi di tentativi di infezione. A fianco di ogni numero la lista conterrebbe anche un’indicazione di orario e data: questi dati starebbero a indicare il momento esatto in cui il numero di cellulare del target è stato inserito nel sistema – non è chiaro se per verificare lo status del numero (in che zona del mondo si trova e se è attivo oppure no) o per effettuare anche subito l’attacco e installare Pegasus. In base alle analisi di Amnesty, questa marca temporale precederebbe sempre di alcuni minuti l’inoculazione del malware sui dispositivi analizzati. Non è chiaro chi abbia messo insieme questa lista, né se tutti i numeri siano stati oggetto di tentativi di compromissione e sorveglianza. La lista include obiettivi in 50 Paesi e i dati risalgono indietro nel tempo fino al 2016.

Nella lista non sono presenti i nomi dei possessori di quei numeri ma i giornalisti sono riusciti a identificare più di mille persone: tra queste ci sono 10 tra ex e attuali primi ministri, tre presidenti e un re, quasi 200 giornalisti, familiari e persone vicine a Jamal Khashoggi, rivali del leader indiano Narendra Modi e un giornalista messicano che è stato ucciso da un sicario nel 2017, Cecilio Pineda Birto (dell’utilizzo del software in Messico se n’è occupata anche IrpiMedia nell’ambito dell’inchiesta Cartel Project). Un altro caso di cui ci siamo già occupati riguarda il giornalista marocchino Omar Radi.

Gli esponenti politici non hanno concesso la possibilità di analizzare i propri dispositivi e in altri casi non è stato possibile farlo perché lo smartphone utilizzato nel momento in cui il numero è apparso nella lista è stato cambiato. I numeri della lista fanno riferimento a Paesi già noti per effettuare questo tipo di sorveglianza e per essere clienti di NSO Group. La presenza del numero di cellulare nella lista non vuol dire necessariamente che il dispositivo sia stato infettato.

I Paesi origine dei dispositivi sorvegliati da Pegasus

Secondo i giornalisti, nella lista vi sarebbero anche numeri appartenenti a criminali ma non è possibile stabilire con esattezza in quale percentuale visto che non tutti i proprietari dei telefoni sono stati identificati.

NSO Group sostiene che il lavoro di Forbidden Stories si basi su «false ipotesi e teorie non provate», si legge in un comunicato di replica all’inchiesta. Ribadisce che il proprio software è utilizzato per il contrasto al terrorismo e in altri gravi reati e ritiene che «le affermazioni che sono fatte dalle fonti senza nome a Forbidden Stories sono basate su un’interpretazione fuorviante dei dati […] che non hanno alcuna attinenza con la lista degli obiettivi dei clienti di Pegasus o qualsiasi altro prodotto NSO».

Cos’è Pegasus e cosa fa

Il Security Lab di Amnesty segue da anni le tracce lasciate da Pegasus come dimostrano le precedenti analisi di dispositivi infettati: IrpiMedia si era occupata del caso di Omar Radi, giornalista d’inchiesta del giornale indipendente LeDesk in Marocco, bersaglio di una campagna di intrusioni informatiche contro il suo telefono durata almeno un anno, dal gennaio del 2019.

Pegasus può infettare gli smartphone in due modi: con un’interazione diretta della vittima come ad esempio cliccando un link ricevuto via SMS (1-click) oppure senza che la persona faccia nulla (0-click) sfruttando falle in iMessage, WhatsApp, o indirizzando la navigazione su un sito in cui è presente il malware. Una volta installato, Pegasus è in grado di accedere a tutti i contenuti presenti sullo smartphone: la lista dei nostri contatti, le foto salvate, i documenti scaricati, gli sms e le email, le nostre chat; ma può anche agire attivamente accendendo il nostro microfono o la fotocamera, scattando screenshot delle nostre schermate e registrando le nostre chiamate.

Nella dettagliata analisi tecnica che accompagna l’inchiesta di Forbidden Stories, il Security Lab traccia una panoramica delle modalità di infezione individuate in 37 smartphone tra i 67 su cui i ricercatori sono riusciti a mettere le mani: 23 telefoni sono stati infettati con successo e 14 hanno mostrato segni di tentativi. Per i restanti 30 telefoni i test sono stati inconcludenti, in diversi casi perché i telefoni erano stati sostituiti. Per questi ultimi, quindici dei telefoni erano dispositivi Android che, a differenza degli iPhone, non registrano il tipo di informazioni necessarie per il lavoro investigativo di Amnesty. Tuttavia, tre telefoni Android hanno mostrato segni di targeting, come i messaggi SMS collegati a Pegasus.

Amnesty ha registrato tracce di infezione tramite iMessage e casi in cui sembrerebbero essere stati sfruttati anche l’app Foto e l’app Apple Music per installare Pegasus. Gli attacchi di tipo 0-click sono stati osservati a partire dal 2018 e continuano fino ad oggi: un iPhone 12 con la versione di iOS 14.6, l’ultima disponibile rispetto alla data di pubblicazione dell’inchiesta, ha mostrato segni di compromissione.

«Queste scoperte più recenti indicano che i clienti di NSO Group sono attualmente in grado di compromettere a distanza tutti i recenti modelli di iPhone e versioni di iOS», spiegano nell’analisi i ricercatori di Amnesty.

L’invasione di Pegasus. Anche in Europa

La storia di NSO è costellata di casi in cui il software Pegasus è stato usato contro dissidenti e altre vittime che non sono in alcun modo collegate al terrorismo o a gravi reati. Pegasus ha fatto il suo ingresso in scena nel 2016 grazie a un report del Citizen Lab, un laboratorio interdisciplinare dell’Università di Toronto: Ahmed Mansoor, attivista per i diritti umani negli Emirati Arabi Uniti, riceve un SMS con un link sospetto e da lì i ricercatori scoprono la catena di infezioni per installare lo spyware. In precedenza c’erano state notizie legate a potenziali intercettazioni illegali a Panama e l’uso contro giornalisti in Messico.

Forbidden Stories e le altre testate sono riuscite a identificare potenziali clienti in 11 Paesi: Azerbaijan, Bahrain, Ungheria, India, Kazakhstan, Messico, Marocco, Rwanda, Arabia Saudita, Togo ed Emirati Arabi Uniti.

«Il numero di giornalisti identificati come obiettivi illustra vividamente come Pegasus sia usato come strumento per intimidire i media. Si tratta di controllare la narrazione pubblica, resistere allo scrutinio e sopprimere ogni voce di dissenso», ha dichiarato Agnès Callamard, segretario generale di Amnesty International.

L’inchiesta di Forbidden Stories rivela che questo tipo di attacco avviene proprio in Europa: per anni Pegasus è stato in uso in Ungheria contro obiettivi come giornalisti investigativi e proprietari di media. La testata ungherese Direkt36, che ha preso parte al Pegasus Project, ha individuato prove di avvenuta infezione nei dispositivi di due suoi giornalisti, Szabolcs Panyi e András Szabó.

L’attacco ai media è facilmente ricostruibile, secondo quanto ricostruito dal giornale e dalle analisi di Amnesty: il 3 aprile 2019 Panyi ha inviato una richiesta di commento a diversi dipartimenti governativi riguardo un articolo a cui stava lavorando sulle operazioni di una banca russa che si stava trasferendo a Budapest. Il giorno seguente lo smartphone di Panyi è stato infettato da Pegasus.

Tra gli oltre 300 numeri telefonici ungheresi, Direkt36 ha identificato anche altri due giornalisti, un fotografo ungherese che stava lavorando come fixer per un giornalista statunitense, il figlio e uno dei più stretti confidenti dell’ex oligarca Lajos Simicska – Simicska nel 2018 stava apertamente attaccando Orbán ed era a capo di un vero e proprio impero mediatico -, e Adrien Beauduin, uno studente straniero della Central European University arrestato dalla polizia ungherese durante una protesta antigovernativa nel 2018. In questi casi non ci sono prove di infezione sui dispositivi ma i numeri erano presenti nella lista.

Pegasus è stato però installato sullo smartphone di una delle persone che hanno preso parte a una cena organizzata da Zoltán Varga, proprietario di Central Media Group e oggetto di attacchi da parte del governo, secondo quanto ricostruito da Direkt36.

Un ex membro dei servizi di intelligence ungheresi ha dichiarato a Direkt36 che Pegasus è in uso dal 2018 grazie all’avvicinamento nelle relazioni internazionali avvenuto tra Israele e Ungheria – NSO deve infatti richiedere un’approvazione dal governo israeliano per esportare il suo software.

«Ci sono tanti pericoli per lo Stato ovunque», ha dichiarato la Ministra della giustizia ungherese Judit Varga in risposta alle domande di un giornalista di Le Monde, coinvolto nel progetto Pegasus, che chiedeva se avrebbe autorizzato la sorveglianza di un giornalista o di un esponente dell’opposizione.

Nel frattempo, dall’altra parte dell’Europa anche la Francia si trova a dover fare i conti con Pegasus. Nella lista ci sono i numeri di telefono di diversi giornalisti francesi e direttori di testate come Le Monde, Le Canard enchaîné, Le Figaro, Agence France-Presse e France Télévisions.

Cinque sono i giornalisti francesi sui cui smartphone sono state trovate tracce di Pegasus: Dominique Simonnot, una ex cronista giudiziaria di Le Canard enchaîné e ora Garante francese per la protezione delle persone private della libertà; Bruno Delport, direttore della radio TSF Jazz e che si occupa di lavoratori e lavoratrici sessuali in Marocco; due vittime all’interno del giornale Mediapart, la giornalista Lenaïg Bredoux che aveva indagato in passato sul capo dei servizi segreti di Rabat, e il fondatore del giornale stesso, Edwy Plenel; e infine un giornalista di Le Monde che non è stato nominato esplicitamente.

Mediapart e Le Canard enchaîné hanno annunciato il 19 luglio di aver sporto denuncia e il 20 Luglio la procura di Parigi ha aperto un’inchiesta. Secondo quanto riportato da Le Monde, ci sarebbero dieci ipotesi di reato tra cui «violazione della privacy», «intercettazione di corrispondenza», «accesso abusivo» a un sistema informatico e «associazione criminale».

«Il governo del regno del Marocco non ha mai acquisito software per infiltrarsi nei dispositivi di comunicazione, né le autorità marocchine hanno mai fatto ricorso a tali atti», riporta un comunicato inviato al The Guardian.

La lista di numeri però mette ancora più in difficoltà il Marocco. Oltre ai giornalisti vi sono anche i numeri di cellulare del Presidente francese Emmanuel Macron, dell’ex primo ministro Édouard Philippe e di 14 ministri compresi quelli della giustizia e degli affari esteri. Non è chiaro se gli smartphone siano stati effettivamente sorvegliati ma in un caso l’analisi di Amnesty conferma tracce di un tentativo di inoculazione di Pegasus: è lo smartphone dell’ex ministro dell’ambiente François de Rugy che ha ricevuto tre diversi tentativi di intrusione nel 2019. Sempre nello stesso anno, il numero di Macron è stato inserito nella lista.

I precedenti europei e altre storie di abusi

Non è la prima volta però che Pegasus mette piede in Europa. Lo ha fatto sul piano legale: nel 2019 l’associazione Access Now ha scritto ai governi di Bulgaria e Cipro per richiedere indagini sulle licenze di esportazione che sarebbero state rilasciate dalle autorità bulgare e cipriote a NSO Group, secondo quanto rivelato da Novalpina Capital, società con sede a Londra che possiede la maggioranza delle azioni di NSO, in una lettera a diverse associazioni tra cui Amnesty.

Ma NSO non si è fermata a quello: secondo un articolo del Guardian ed El Pais pubblicato nel 2020, i telefoni cellulari di diversi politici in Spagna sono stati presi di mira con Pegasus nel 2019. Non è chiaro chi fosse stato il mandante ma un ex dipendente di NSO ha confermato a Motherboard che il governo spagnolo è diventato uno dei clienti dell’azienda a partire dal 2015.

Lo stesso amministratore delegato, cofondatore e responsabile delle vendite dei software intrusivi di NSO, Shalev Hulio, ha dichiarato in un’intervista che «la maggior parte dei 45 Paesi con cui lavoriamo sono in Europa». Casi di utilizzo di Pegasus sono già stati indicati in precedenza in un report del Citizen Lab del 2018: ci sono tracce in Polonia, Paesi Bassi, Svizzera, Francia, Grecia e Lettonia.

Le prove raccolte negli anni dimostrano che il software della NSO è stato utilizzato ripetutamente per sorvegliare e monitorare attivisti, dissidenti politici e giornalisti, ma Pegasus è stato abusato persino dagli stessi dipendenti di NSO: in un caso un dipendente si è introdotto nell’ufficio di un cliente e ha effettuato l’accesso al sistema Pegasus al di fuori del normale orario di lavoro per sorvegliare una donna per cui provava interesse.

Inoltre NSO dichiara di non poter né voler colpire vittime negli Stati Uniti però impiega server e infrastruttura su suolo statunitense come emerso quando in passato è stata sfruttata una vulnerabilità di WhatsApp per colpire 1.400 utenti – tra cui sembra ci fossero anche ufficiali di governo -, motivo per cui Facebook ha portato in tribunale NSO. E secondo Reuters, l’FBI starebbe indagando dal 2017 sull’azienda israeliana.

Le reazioni e il contrattacco

A causa delle prove di infezione sul dispositivo dell’ex Ministro dell’Ambiente Francois de Rugy e della presenza del numero del Presidente francese nella lista, Emmanuel Macron ha indetto già una riunione urgente per parlare di sicurezza nazionale. Secondo la BBC, Macron avrebbe anche cambiato il proprio smartphone e numero di telefono.

I procuratori ungheresi hanno aperto un’indagine sulle accuse rivolte al governo per l’utilizzo dello spyware Pegasus per colpire centinaia di numeri di telefono, compresi quelli dei giornalisti.

Il governo israeliano starebbe istituendo una task force per valutare modifiche alle regole sulle esportazioni. Al momento i prodotti di NSO richiedono tutti una licenza per essere esportati, ricostruiscono i giornalisti dell’inchiesta Pegasus Project, ma sembra che Israele abbia usato NSO come carta diplomatica per facilitare nuove connessioni: basti pensare che è un reato punibile per i cittadini israeliani viaggiare in Arabia Saudita senza la dovuta autorizzazione, ma nel 2017 NSO ha ricevuto la licenza per vendere il proprio spyware direttamente dal governo israeliano.

«Quello che abbiamo letto, se confermato dopo le verifiche, è qualcosa di completamente inaccettabile. Contro ogni tipo di regole che abbiamo nell’Unione europea»
Ursula von der Leyen, Presidente della Commissione europea

«Quello che abbiamo letto, se confermato dopo le verifiche, è qualcosa di completamente inaccettabile. Contro ogni tipo di regole che abbiamo nell’Unione europea», ha dichiarato la Presidente della Commissione europea Ursula von der Leyen durante una visita a Praga.

Nel frattempo il governo del Marocco è passato alla controffensiva presentando una denuncia in Francia contro Forbidden Stories e Amnesty International per diffamazione. Il governo marocchino nega di aver acquistato il software malgrado ci fossero già in precedenza sufficienti prove per dimostrare l’uso di Pegasus contro i giornalisti. Omar Radi, il giornalista sorvegliato nel 2019, deve scontare ora una pena di 6 anni in carcere.

Nella lista, secondo il Washington Post, è presente anche il numero di Romano Prodi, inserito insieme ad altri numeri che sembrano essere riconducibili a obiettivi del Marocco. Il Garante italiano per la protezione dei dati personali ha inviato una richiesta a NSO lo scorso 23 luglio per sapere «se vi siano, ed eventualmente chi siano, i clienti italiani che utilizzano il software».

Per l’Alta Commissaria delle Nazioni unite per i diritti umani, Michelle Bachelet, le notizie rivelate dal Pegasus Project dimostrano che «la linea rossa è stata superata più e più volte nella totale impunità».

Per ora NSO continua a negare ogni coinvolgimento con la lista dei numeri, afferma di implementare dei rigidi controlli su chi può essere un obiettivo della sorveglianza, e dichiara di aver effettuato tutte le verifiche con i propri clienti e di non aver riscontrato alcun tipo di abuso. Inoltre, pur avendo dichiarato che non avrebbe rilasciato più dichiarazioni, l’azienda continua a spostare il focus dagli abusi sui diritti umani all’origine della lista dei numeri: in un’intervista rilasciata al giornale gratuito conservatore Israel Hayom il 21 luglio, l’ad di NSO ha sostenuto che molte aziende di cybersicurezza israeliane sono vittime di attacchi da gruppi pro-Palestina. «Sembra che qualcuno voglia andarci contro», ha aggiunto in riferimento all’inchiesta coordinata da Forbidden Stories. I promotori dell’attacco, secondo Shalev Hulio, sono il Qatar o il movimento Boycott, Divestment, and Sanctions (BDS) che cerca di fare pressione sull’opinione pubblica internazionale promuovendo il boicottaggio di Israele e le sanzioni nei suoi confronti per porre fine all’occupazione della Palestina.

Per Amnesty International non ci sono dubbi: «I dati sono inconfutabilmente collegati a potenziali obiettivi dello spyware Pegasus di NSO Group. Le false voci diffuse sui social media hanno lo scopo di distrarre dall’attacco illegale nei confronti di giornalisti, attivisti e altri che il Pegasus Project ha rivelato».

Amnesty chiede che sia adottata immediatamente una moratoria globale sull’esportazione, la vendita e l’uso di apparecchiature di sorveglianza fino a quando non ci sarà un quadro normativo conforme ai diritti umani.

Share via