È così efficiente che costa 8 milioni di euro: il software di sorveglianza Pegasus torna alla ribalta delle cronache per lo spionaggio di 180 giornalisti e migliaia di attivisti dei diritti umani.
La notizia, diffusa dalla ong Forbidden Stories e da Amnesty International e riportata da 17 testate giornalistiche, sta facendo tremare mezzo mondo perché coinvolge anche politici e capi di Stato e, come ha già dichiarato Edward Snowden, potrebbe rappresentare la più grossa violazione della privacy dai tempi di Prism, il programma Usa di sorveglianza elettronica da lui svelato nel 2013.
Andiamo con ordine: Pegasus, dal nome del cavallo alato della mitologia greca, è un software di sorveglianza prodotto da un’azienda israeliana, la Nso Group, per finalità anticrimine e antiterrorismo, su cui il governo di Naftali Bennet, come quelli precedenti, mantiene uno stretto controllo.
Pegasus è progettato per raccogliere messaggi di testo, intercettare le telefonate, geolocalizzare l’utente e copiarne le password. Motivo per cui è stato usato da molti governi nel passato per tenere sotto controllo le attività di chiunque potesse rappresentare, secondo loro, un pericolo per la sicurezza nazionale.
Ma il software Pegasus sarebbe stato usato anche per pedinare dentro e fuori dal cyberspace il giornalista Jamal Khashoggi, assassinato dall’intelligence saudita secondo gli americani, e circa 20 membri della sua famiglia, compreso uno stretto collaboratore poi riparato in Canada. Ma non è la prima volta che si trova sotto i riflettori: è dal 2016 che Amnesty International e il Citizen Lab di Toronto ne denunciano l’uso illecito nei confronti di avvocati della privacy e attivisti per i diritti umani e civili in 45 Paesi nel mondo, dall’Egitto al Messico.
Questa volta, secondo quanto riportato dall’Amnesty Security Tech Lab, guidato dall’italiano Claudio Guarnieri, sarebbe servito a sorvegliare oltre 50mila utente telefoniche di giornalisti, politici, avvocati, e perfino 13 capi di Stato (di cui 3 europei) da parte dei governi di Messico, India, Marocco, Indonesia, Ruanda, Togo e perfino dall’Ungheria di Orban, che lo userebbe per controllare gli oppositori; 15mila utenze sono messicane e tra queste c’è quella di un giornalista ucciso nel 2018, Cecilio Pineda Birto.
La notizia è stata riportata dal Guardian, dal New York Times, dall’Associated Press, dalla Reuters e altre testate internazionali.
Come funziona Pegasus
Per Claudio Guarnieri una volta che un telefono è stato infettato da Pegasus, un cliente di Nso potrebbe non solo prenderne il controllo, ma anche leggere la messaggistica crittografata su WhatsApp, Telegram e Signal e tracciare i movimenti passati di una persona e la sua posizione in tempo reale, con la massima precisione, per esempio stabilendo la direzione e la velocità in cui viaggia in auto.
Insomma: doveva essere uno strumento contro il crimine organizzato e il terrorismo, ma con queste caratteristiche Pegasus può essere usato come un qualsiasi spyware.
Per questi motivi, Stefano Quintarelli, presidente dell’Advisory Group on Advanced technologies delle Nazioni unite, ci ha detto che “tutti gli spyware sono strumenti essenziali per le indagini criminali, ma il loro uso conferisce un un potere enorme, capace di destabilizzare uno Stato. Tutta la supply chain della loro messa in produzione va controllata, al pari del loro uso. Nei nostri dispositivi c’è la copia della nostra vita. Chi prende il controllo del nostro telefono può fare tutto senza essere notato, anche metterci dentro immagini pedopornografiche e poi denunciarci. E se il bersaglio fosse un sindaco o un ministro? È urgente affrontare il tema riprendendo la proposta che feci da deputato nella scorsa legislatura. Non si può pensare sempre e solo alle registrazioni telefoniche o ambientali.”
Come altri software spia, Pegasus viene inoculato nel telefono della vittima in seguito all’azione dell’utente e da quel momento è in grado di inoltrare mail, foto e video a chi controlla il telefono hackerato, da remoto, potendo anche attivarne il microfono e la telecamera. Vale per tutti i telefoni, anche quelli particolarmente sicuri come l’iPhone. E a quanto pare sarebbe capace di leggere qualsiasi tipo di chat, seppure fatta con le app dotate di crittografia end-to-end, che le cifratura dal mittente al ricevente. Nel caso di Pegasus, i suoi programmatori avrebbero sfruttato le vulnerabilità dei software con cui interagisce. Si tratta spesso di 0-Day, le vulnerabilità del software “note da 0 giorni”, ovvero sconosciute al resto del mondo, e che, vendute e comprate sia nei circuiti criminali sia attraverso agenzie di brokeraggio legali, una volta scoperte, vengono appunto sfruttate per aprire la porta ai software spia.
C’è di peggio: per il team di Guarnieri, la tecnologia Nso consente di penetrare i telefoni con attacchi “zero-click, cioè senza che un utente debba cliccare su un collegamento dannoso per infettarsi, trovando pure le prove che Nso avrebbe sfruttato le vulnerabilità associate a iMessage, che viene installato su tutti gli iPhone.
Secondo Snowden, questa è la storia dell’anno. Con ricadute legali e politiche importanti. È infatti ancora in piedi la causa tra Facebook e la Nso, considerata dai legali di Zuckerberg responsabile di aver hackerato 1400 utenti di WhatsApp. Tesi smentita dagli israeliani di Nso, che l’anno scorso hanno reagito all’accusa contrattaccando: secondo l’Ad dell’azienda, due rappresentanti di Facebook avrebbero avvicinato nel 2017 i loro dirigenti per acquistare i diritti d’utilizzo del software di sorveglianza e monitorare i propri utenti. Nso ha invocato l’immunità per chiudere la causa, ma nello scorso aprile due giudici hanno considerato prematura la richiesta della società informatica.
Lo spyware Pegasus è stato scoperto per la prima volta sugli iPhone nel 2016, sfruttando una vulnerabilità che si attivava cliccando su una chiamata persa da WhatsApp (veniva da un prefisso svedese) in grado di inoculare il software di sorveglianza, controllare il microfono e la fotocamera del telefono, raccogliere password e rovistare tra foto e messaggi di posta elettronica: Apple ha rilasciato un aggiornamento nell’agosto 2016 volto a chiudere le vulnerabilità. Lo stesso era accaduto con i dispositivi Android.
(da Repubblica.it)