Guerre di Rete - Un update di Apple e delle leggi sulla cybersorveglianza

Cyber spie e Dipartimento di Giustizia Usa. Whatsapp e backup. Facebook e Instagram

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.113 - 19 settembre 2021

Oggi si parla di:
- update Apple e spyware
- cyber spie e Dipartimento di Giustizia Usa (sviluppi del Project Raven)
- effetti collaterali del mercato degli exploit
- Facebook, VIP e moderazione
- Instagram e teenager
- biometria
- prossimi eventi

->Considerazione per i nuovi iscritti
Questo numero è pieno di notizie legate al precedente speciale Spyware Ltd su spyware, mercato degli exploit, ecc. Non tutti i numeri di Guerre di Rete sono così specializzati, ma sono le stesse notizie uscite in settimana ad aver dettato l’agenda, portando a una specie di seguito dello speciale della scorsa settimana.

SPYWARE
Apple chiude vulnerabilità connessa allo spyware Pegasus
Apple ha rilasciato un aggiornamento di sicurezza per chiudere una vulnerabilità zero-day (significa che fino ad ora era sconosciuta alla stessa Apple, che quindi avrebbe avuto zero giorni per metterla a posto) che interessa iPhone, iPad, Mac and Apple Watch. Dovete dunque aggiornare alla versione 14.8 di iOS, a OSX Big Sur 11.6, a watchOS 7.6.2.
Di questa vulnerabilità (segnalata ad Apple il 9 settembre) parla anche un nuovo report dei ricercatori del laboratorio dell’Università di Toronto, Citizen Lab. I ricercatori la ritengono connessa a un attacco sfruttato da Pegasus, lo spyware prodotto dall’azienda israeliana NSO Group, e venduto a vari governi. Lo spyware è in grado di prendere il controllo dei dispositivi infettati e spiarne tutta l’attività.
Nel report di Citizen Lab pubblicato in questi giorni, gli autori scrivono di aver individuato questo attacco (exploit, ovvero un codice di attacco che sfrutta una data vulnerabilità) mentre analizzavano “il telefono di un attivista saudita che aveva il telefono infettato dallo spyware Pegasus”. L'exploit è di tipo zero-day (dunque, come già detto sopra, sfruttava una vulnerabilità sconosciuta) e zero-click (significa che non richiedeva interazione da parte dell’utente, come ad esempio dover cliccare su un link, per funzionare e installare lo spyware) e riguarda il servizio di messaggistica iMessage. In particolare si avvantaggia di una “vulnerabilità nel modo in cui gli apparecchi Apple riproducono immagini sullo schermo”, sintetizza TechCrunch. Per capirci, ai target venivano inviati dei file, alcuni dei quali avevano l’estensione .gif, ma in realtà erano dei file Adobe malevoli, cioè includevano exploit zero-day. La vulnerabilità è stata chiamata FORCEDENTRY da Citizen Lab.

Va sottolineato che tale vulnerabilità era già stata individuata da Amnesty International lo scorso luglio proprio in connessione a Pegasus. Come nota su Twitter Claudio Guarnieri, che dirige il Security Lab di Amnesty International, si tratterebbe infatti della stessa vulnerabilità zero-click descritta in questo report. Allora i ricercatori di Amnesty l’avevano chiamata Megalodon.

Ancora l’uso di spyware e di Pegasus sulla graticola
Se avete letto il mio lungo speciale diviso in 3 parti della scorsa settimana intitolato Spyware Ltd (qui anche in un’unica versione e in formato pdf, giuro senza spyware incorporato), saprete tutto di NSO e Pegasus, degli spyware e di Citizen Lab. Quindi la faccio breve e aggiungo solo due considerazioni.

Dopo l’insieme di inchieste sull’uso di questo spyware da parte di vari governi, e il fatto che sia stato ritrovato anche in cellulari di giornalisti e attivisti (ovvero la vicenda Pegasus Project, di cui avrete letto a luglio e di cui parlo anche nello speciale), Pegasus torna già al centro della scena mediatica, in questo caso anche con un aggiornamento di sicurezza da parte di Apple (clamoroso ma non unico, era già successo, esattamente con Pegasus, nel 2016, a partire dal caso dello spyware rinvenuto sul cellulare del dissidente emiratino Ahmed Mansoor - anche di questo scrivo nello speciale Spyware Ltd).

App di chat, il ventre molle della sicurezza dei device
Ma la vicenda mette in una posizione scomoda anche la stessa Apple e in generale le aziende che producono app di messaggistica. Scrivono gli autori del report, che pure, va detto, ringraziano il colosso di Cupertino per la pronta reazione: “Questa scoperta sottolinea anche l’importanza fondamentale di rendere sicure le app di messaggistica più popolari. Onnipresenti app di chat sono diventate uno dei target principali di attaccanti (threat actor) sofisticati, tra cui operazioni di spionaggio statale e aziende mercenarie di spyware che servono gli Stati. Per come sono ingegnerizzate attualmente, molte app di chat sono diventate un irresistibile e facile bersaglio. Senza un'intensa attenzione a questo aspetto, riteniamo che continueranno a essere pesantemente prese di mira, e sfruttate con successo”.
Un concetto ribadito anche da uno degli autori del report, John Scott-Railton, al WashPost: “I programmi di chat stanno diventando il ventre molle della sicurezza dei device”. In quanto alla vulnerabilità segnalata ad Apple, Scott-Railton ha aggiunto: “Non avremmo scoperto questo exploit se lo strumento di NSO non fosse stato usato contro qualcuno che non doveva essere preso di mira”.

Le reazioni della politica
L’attenzione però questa volta non è stata solo mediatica, ma anche politica. Il 14 settembre l’alto commissario per i diritti umani delle Nazioni Unite, Michelle Bachelet, ha pubblicato una dichiarazione proprio sulle “implicazioni del software Pegasus”. Così scrive: “L’attacco contro difensori dei diritti umani, giornalisti e politici è solo l’ennesimo esempio di come strumenti presumibilmente pensati per affrontare rischi di sicurezza finiscano con l’essere trasformati in armi contro dissidenti”. Bachelet cita Pegasus ma anche un altro spyware prodotto da una diversa azienda israeliana, Candiru (anche di questo parlo in Spyware Ltd).
“Abusi facilitati dall’industria della sorveglianza sono diventati così comuni che giorni prima le rivelazioni su Pegasus, un altro report descriveva accordi opachi riguardanti la commercializzazione di un diverso spyware, Candiru (...) E’ tempo di fare una pausa”, conclude Bachelet. “Come enfatizzato da esperti di diritti umani, finché non sarà garantita la compliance con gli standard sui diritti umani, i governi dovrebbero implementare una moratoria sulla vendita e il trasferimento di tecnologie di sorveglianza”.

Il dibattito nell’Ue
Non è l’unica presa di posizione di alto livello. Nel corso di un dibattito proprio sullo scandalo Pegasus tenutosi in questi giorni al Parlamento europeo, sono arrivate le parole nette del commissario europeo alla Giustizia, Didier Reynders. In sostanza per il commissario l’Ue deve prendere delle misure per proteggere i diritti di giornalisti, attivisti e politici, e chi ha condotto sorveglianza illegale deve essere perseguito. Ha aggiunto che la Commissione sta seguendo con attenzione l’indagine da parte dell’Autorità per la protezione dei dati ungherese sulle accuse che il governo Orban abbia preso di mira giornalisti e politici di opposizione usando proprio lo spyware Pegasus. (The Guardian). Non solo: il dibattito nel Parlamento europeo (che ho seguito online) sembra mostrare una forte attenzione al tema. La parlamentare olandese Sophie In ‘t Veld ha annunciato che la commissione per le libertà civili, la giustizia e gli affari interni (LIBE) aprirà una indagine sull’uso di Pegasus nell’Unione europea. Poi ci sono stati alcuni interventi interessanti: l’europarlamentare Patrick Breyer ha detto che anche l’Europol utilizza e conserva vulnerabilità per fare indagini, invece di farle chiudere. Ed europarlamentari catalani hanno dichiarato che anche politici locali in Spagna sarebbero stati spiati attraverso Pegasus dal governo centrale. Infine, non sono mancati vari appelli a favore della cifratura.

Un altro giornalista europeo con spyware sul telefono
Mentre scrivo questa newsletter, è arrivata la notizia che un altro giornalista europeo avrebbe avuto lo spyware Pegasus sul suo telefono. Si tratta del belga Peter Verlinden. A riferirlo sono state alcune testate, come Knack e Le Soir, sulla base di un rapporto del servizio di intelligence militare ADIV. Ma anche il Security Lab di Amnesty ha confermato. Secondo Knack, per l’intelligence belga l’intrusione sarebbe stata condotta, “molto probabilmente”, dalle autorità del Rwanda. Verlinden ha scritto molto delle vicende di quel Paese. A essere infettato anche il dispositivo della moglie.

PROJECT RAVEN
Tre americani ammettono di aver illegalmente fornito servizi di hacking agli Emirati
Tre cittadini americani, ex dependenti dei militari o dell’intelligence statunitense, che hanno poi lavorato come cyber spie per una società degli Emirati Arabi Uniti, hanno ammesso di aver violato le leggi americane sull’hacking e l’export di tecnologie militari e hanno concordato di pagare complessivamente 1,69 milioni di dollari per evitare di essere condannati a pene ben più severe. I tre erano parte di una “unità clandestina chiamata Progetto Raven”, che aiutava gli Emirati a spiare su nemici, giornalisti e dissidenti, scrive Reuters. Anche questo è un clamoroso sviluppo di una vicenda di cui ho scritto solo pochi giorni fa in Spyware Ltd, ovvero la storia di come alcuni hacker che avevano lavorato per l’intelligence Usa erano stati reclutati prima da un contractor americano, CyberPoint, per andare a lavorare ad Abu Dhabi in un progetto sulla carta “difensivo” ma che in realtà puntava a violare una serie di soggetti. Il progetto è poi proseguito nell’ambito della società emiratina DarkMatter, strettamente legata all’intelligence del Paese. Ora il Dipartimento di Giustizia americano ha dato una svolta alla vicenda, con una azione che scoraggerà altri hacker statunitensi da questo genere di imprese.
“Hacker in affitto e quelli che in altro modo aiutano attività in violazione della legge americana dovrebbero aspettarsi di essere perseguiti per la loro condotta criminale”, ha dichiarato la procura.
I tre americani - Marc Baier, Ryan Adams e Daniel Gericke - hanno ammesso di aver implementato uno strumento chiamato Karma che permetteva all’EAU di violare iPhone senza che il target cliccasse su alcun link. Ma i tre non avrebbero avuto alcuna autorizzazione per fornire questi servizi (sottoposti alle leggi sull’export) agli Emirati, sostiene il Dipartimento di Giustizia.

In pratica l’accordo riguarda due distinte attività criminali, scrive il Dipartimento di Giustizia. Una è la fornitura senza una licenza di servizi, controllati da leggi sull’export, usati per sostenere la violazione di reti informatiche (computer network exploitation). L’altra riguarda “la creazione, il supporto e la gestione, da parte di una società commerciale, di sistemi progettati specificamente per permettere ad altri di accedere a dati in computer di tutto il mondo, inclusi gli Usa, senza autorizzazione”.
Che è una definizione interessante perché potrebbe essere utilizzata in altri casi. Specie se letta insieme a ulteriori spiegazioni date dal Dipartimento di Giustizia. I tre americani avrebbero infatti aiutato e guidato i dipendenti della società emiratina a creare due sistemi di raccolta di intelligence e di hacking “zero-click” che sfruttavano server negli Usa appartenenti a una azienda tecnologica americana. E questo per ottenere un accesso remoto e non autorizzato a smartphone e apparecchi che a loro volta utilizzano un sistema operativo fornito dall’azienda americana. Come ho twittato qualche giorno fa, potrei sbagliarmi, ma mi chiedo se le implicazioni di queste spiegazioni non si allarghino anche ad altre vicende, ad esempio alla causa in corso tra Whatsapp e l’azienda di spyware NSO, che è stata accusata dal colosso di messaggistica di aver in qualche modo abusato della sua infrastruttura (anche qua vedi Spyware Ltd).

Ma non sono finite qua le novità. Secondo la MIT Technology Review, uno degli strumenti di attacco principali usati da Karma era un exploit di iMessage ottenuto da una società di exploit americana, Accuvant (oggi parte di Optiv). La società non è indagata. La transazione sarebbe stata facilitata dai tre americani.
“La notizia di questa vendita getta luce sull’industria degli exploit e sul ruolo giocato dalle aziende e dai mercenari americani nella proliferazione di potenti capacità di hacking nel mondo”, scrive la MIT Technology Review.

C’è infine un dettaglio sottolineato da altri giornalisti, come Joseph Menn. Uno dei tre cittadini americani che hanno raggiunto l’accordo con il Dipartimento di Giustizia oggi lavora come CIO per un grosso fornitore VPN, ExpressVPN. “Conosci il tuo fornitore di VPN la metà di come lui conosce te?”, twitta Menn. Qui c’è la risposta di ExpressVPN che difende la sua scelta e rassicura i clienti.

EXPLOIT BROKER
Come l’India ha usato i servizi di una società americana per attaccare Cina e Pakistan
A proposito del mercato degli exploit, questa settimana è uscito anche questo. Una vulnerabilità segnalata da Exodus Intelligence, società americana di exploit di cui avevo scritto la scorsa settimana, sarebbe stata usata dall’India, che era cliente di Exodus, per sviluppare una campagna di cyberspionaggio contro reti pachistane e cinesi, scrive Forbes. Tutto ciò ha riacceso il dibattito fra esperti su questa industria e come gestirla.

WHATSAPP
Arrivano i backup cifrati end-to-end (nelle prossime settimane)
WhatsApp sta per introdurre la cifratura end-to-end (la più sicura, in cui le chiavi sono controllate dall’utente e nemmeno la piattaforma può leggere i contenuti) per i backup dei suoi messaggi. In pratica in questo modo gli utenti possono cifrare i backup prima di inviarli a Google Drive o iCloud, rendendoli impossibili da decifrare per Apple, Google e la stessa WhatsApp. Chi decida di cifrarli (l’opzione è opt-in) potrà scegliere fra due diverse possibilità di conservazione della chiave: o salvarsi una chiave di cifratura da 64 cifre o creare una password con cui accedere alla suddetta chiave (salvata in questo caso da WhatsApp, cui però risulta “invisibile”). “Siamo il primo sistema di messaggistica di massa a offrire cifratura end-to-end dei messaggi e dei backup”, ha dichiarato Mark Zuckerberg, CEO di Facebook (che controlla WhatsApp).

Come funziona
“Il client (WhatsApp) cifra i messaggi di chat e tutti i dati relativi (testo, foto, video ecc) di cui venga fatto backup usando una chiave generata casualmente sull’apparecchio dell’utente”, spiega il white paper.
Chi decida di usare solo la chiave da 64 cifre dovrà occuparsi di salvarla manualmente da qualche parte. Ovviamente se la perde perde anche la possibilità di decifrare i backup. Come alternativa più semplice per molti utenti, WhatsApp permette invece di scegliere una password o passphrase. In tal caso, “la chiave per cifrare i backup è protetta attraverso una password prodotta dall’utente. La password è sconosciuta a WhatsApp, ai partner cloud usati dall’utente (cioè Google o Apple, nda), o ad altre parti. La chiave viene conservata in un HSM Backup Key Vault”, in pratica un modulo hardware, un sistema che la stessa WhatsApp paragona a una cassetta di sicurezza. Che verifica i tentativi di accesso via password e rende la chiave inaccessibile se superati un certo numero di tentativi. “Queste misure offrono protezione contro tentativi di attacchi a forza bruta (bruteforce, quando si fanno tanti tentativi per indovinare una password, nda) per recuperare la chiave”, scrive WhatsApp. Lo stesso hardware usato è sparso in vari data center di Facebook contro il rischio di blackout internet. 

Ricapitolando, spiega l’esperto di sicurezza informatica Gerardo Di Giacomo a Guerre di Rete, “come scrive WhatsApp, i backup vengono cifrati con una chiave generata sullo smartphone e poi salvata su questi HSM, dispositivi progettati appositamente per gestire e memorizzare chiavi di cifratura. Questi HSM sono stati programmati in modo da fornire accesso a ciò che custodiscono tramite una password. WhatsApp ci dice che non ha accesso a questa password perché, a differenza dei sistemi tradizionali, utilizza OPAQUE (opaco), un moderno protocollo di autenticazione particolare che non richiede la trasmissione della password. WhatsApp quindi - prosegue Di Giacomo - divide le responsabilità di proteggere questi dati tra tre entità: chi memorizza i backup cifrati (Apple o Google), chi memorizza la chiave di cifratura (WhatsApp), e chi conosce il modo per accedere a questa chiave (l’utente). In questo blog WhatsApp ci ha spiegato come fa”.
Maggiori info anche sul blog di Facebook.
Di questa decisione di Whatsapp e altre ne parla anche Will Cathart, head di Whatsapp, su the Platformer.

FACEBOOK
Liste di utenti VIP moderate diversamente
Secondo documenti ottenuti dal Wall Street Journal, Facebook avrebbe un programma interno (XCheck) riservato a celebrità e politici pensato come un controllo di qualità rispetto ad azioni prese contro account di alto profilo che di fatto è diventato un trattamento di favore rispetto alle regole di moderazione dei contenuti. In pratica proteggerebbe 5,8 milioni di VIP dalle normali procedure di moderazione, con la conseguenza che in molti casi i profili in questione avrebbero potuto violare le regole interne contro abusi e incitamento alla violenza sulla piattaforma.
“XCheck inizialmente era pensato come un’ulteriore misura di controllo per proteggere gli account di importanti personalità da azioni contro di loro”, scrive Wired Italia “Nella realtà è diventato un lasciapassare per questi profili. Il Wall Street Journal scrive che alcuni sono stati messi direttamente in una white list che li rende immuni da qualsiasi misura della piattaforma, mentre altri “sono autorizzati a pubblicare materiale che viola le regole in attesa delle revisioni dei dipendenti di Facebook che spesso non avvengono mai”.

INSTAGRAM
Facebook conosceva gli effetti negativi su alcuni teenager

Ancora un’altra inchiesta del Wall Street Journal mette sotto la lente l’effetto di Instagram sui teenager ma soprattutto il comportamento di Facebook rispetto ad alcuni dati su questo tema. Il giornale ha ottenuto alcune ricerche interne condotte da Facebook e non condivise pubblicamente secondo le quali Instagram avrebbe un effetto negativo, rispetto alla percezione di sé e del proprio corpo, su una parte di teenager, soprattutto ragazze. Secondo una slide di una presentazione interna di Facebook, “Peggioriamo problemi legati all’immagine del corpo per una ragazza teenager su tre” (rispetto a teenager che già avevano riportato questioni di questo tipo).

Facebook ha risposto al WSJ dicendo che il giornale non avrebbe rappresentato accuratamente le ricerche svolte internamente e i motivi di alcune decisioni prese.

RANSOWMARE SANITA
Colpito anche ospedale San Giovanni
Dopo il caso della Regione Lazio quest’estate, anche l’azienda ospedaliera San Giovanni Addolorata, a Roma, sarebbe stata colpita da un ransomware, un software malevolo che cifra tutto e chiede un riscatto, come confermato dallo stesso ospedale ai media.
Dice Repubblica: “Inutilizzabile la rete dei computer. Inaccessibili i Drg (Diagnosis related group), la classificazione, secondo i codici regionali, delle prestazioni effettuate dall’azienda ospedaliera ai fini dei rimborsi da parte del sistema sanitario. Irraggiungibili i telefoni dei reparti. Isolati i cercapersone. Impossibile inviare i fax.(...)  Le richieste e le risposte delle analisi del sangue, con le etichette per le provette con i nomi dei pazienti impossibili da stampare e i risultati da compilare come gli amanuensi; e la radiologia, dove per richiedere e leggere una lastra bisognava recarsi di persona, dal momento che i referti non potevano essere spediti e visualizzati direttamente da pc.
“La procura di Roma ha già fatto partire le indagini seguendo il filone di due ipotesi di reato: accesso abusivo al sistema informatico e tentata estorsione”, scrive Giornalettismo.

BIOMETRIA UE
L'Europa sta spendendo più di 900 milioni per un maxi-sistema di dati biometrici
L’Unione europea spenderà oltre 930 milioni di euro per creare un database con milioni di dati biometrici delle persone che attraversano le frontiere comuni. A tanto ammontano tre contratti firmati da Eu-Lisa, l’agenzia europea che ha il compito di fornire le infrastrutture informatiche per la gestione dei confini, dei flussi migratori e della sicurezza interna, scrive Wired Italia.

RICONOSCIMENTO FACCIALE
I sistemi di riconoscimento facciale stanno arrivando nelle città italiane

Torino, Como e Udine hanno già approvato i progetti, nonostante i rischi e il fatto che al momento non siano tecnicamente legali - Il Post

STRUMENTI
Sicurezza digitale per filmmaker

C’è un bel progetto (in inglese) sulla sicurezza digitale dei filmmaker. E’ un sito online che funziona come una cassetta degli attrezzi. Dalla valutazione del rischio a come comunicare, dalla sicurezza in viaggio all’accesso sicuro ai filmati.
https://digitalsecurity.film/

APPROFONDIMENTI
Epic Games vs Apple. Com’è finita? - Valigia Blu

EVENTI
Sabato 25 settembre a Roma si svolge RomHack2021
, uno dei più importanti eventi della scena cyber italiana, ovvero la conferenza di sicurezza organizzata dall’associazione Cyber Saiyan. I biglietti in presenza sono finiti da subito, ma si può seguire online in streaming sul Cyber Saiyan YouTube channel. Qui il programma

Poi ci vediamo a Modena il 2 e 3 ottobre dove parlerò di Spyware Ltd e dintorni ai DIG Awards, festival internazionale di giornalismo investigativo.

E il primo ottobre al Cyber Act Forum a Viterbo parlerò di cybersicurezza e persone, e perché non è mai solo un problema individuale.

—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter e un neonato profilo Instagram. Seguiteli!

I podcast della newsletter (che escono il lunedì in genere, anche se ora sono in pausa) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm). Ogni due settimane circa esce anche Chat di Rete, podcast di interviste condotto assieme a Vincenzo Tiani.

→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.  La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista donatori).
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti. Ciao!

Guerre di Rete - SPYWARE LTD (PARTE 3)

Edizione speciale della newsletter con un lungo approfondimento a tema trojan di Stato. PARTE TERZA

PARTE TERZA
La prima e seconda parte si trovano nelle due newsletter precedenti. Con questa si conclude lo speciale.
L’intero Spyware Ltd si può anche leggere o scaricare in versione pdf a questo indirizzo (https://bit.ly/spyware_ltd
).

Chine pericolose

A volte alcune di queste aziende finiscono coinvolte in episodi a dir poco controversi. Il termine Candiru indica un pesce gatto amazzonico che si insinua nelle branchie di altri pesci e si alimenta degli stessi. Ma è anche il nome di un’azienda israeliana di spyware meno nota, almeno fino a quando nel 2019 Haaretz non esce con un articolo. All’epoca la società avrebbe impiegato circa 120 persone, generando 30 milioni di dollari all’anno di vendite (ma si tratta di stime fatte da osservatori esterni). La discrezione è massima. Nessuno dei dipendenti è presente su LinkedIn. Perfino il suo nome non sarebbe quello ufficiale. La società sarebbe stata registrata prima come Grindavik Solutions nel settembre 2014. Poi LDF Associates nel 2017. Poi ancora Grindavik. Secondo Intelligence online, Candiru sarebbe anche nota come Saito Tech, e prima ancora Taveta Ltd. Rispetto a NSO, inizialmente sembra essere più specializzata sui computer tanto che al tempo c’è chi ipotizza fusioni fra le due. Con NSO, ha un investitore in comune, Isaac Zack.

Catfishing e organizzazioni di diritti umani

Ad ogni modo, qualche mese dopo, anche la testata Forbes ne scrive, sostenendo che tra i clienti di Candiru ci sarebbe l’Uzbekistan, almeno secondo un ricercatore della società di sicurezza informatica Kaspersky. Un Paese che instilla subito preoccupazioni in alcuni esperti di diritti umani per il rischio di abusi da parte delle autorità.
Preoccupazioni che si fanno decisamente più forti e concrete nel 2021, quando i ricercatori di Citizen Lab tornano con un report dedicato questa volta proprio alla semi-sconosciuta società. Secondo i suoi autori, alcuni dei domini web associati allo spyware di Candiru e usati per infettare i target hanno indirizzi che richiamano (si mascherano da) Ong, gruppi per i diritti delle donne e gruppi di attivisti, organizzazioni sanitarie e media. In particolare i domini in questione riportano termini come“Amnesty Reports”, “Refugee International”, “Woman Studies”, “Euro News” e “CNN 24-7”.

Scrive Citizen Lab: “Facendo uno scanning internet abbiamo identificato più di 750 siti collegati all’infrastruttura dello spyware di Candiru. Abbiamo trovato molti domini che si mascherano da organizzazioni di advocacy come Amnesty International, movimenti come Black Lives Matter, media e altre entità della società civile. Abbiamo identificato una vittima attiva politicamente nell’Europa occidentale e recuperato una copia dello spyware per Windows di Candiru”. I ricercatori spiegano di aver lavorato assieme a Microsoft, e di aver scoperto alcune vulnerabilità sfruttate dal malware, poi messe a posto dal colosso di Redmond. “Nella loro indagine, Microsoft ha osservato almeno 100 vittime in Palestina, Israele, Iran, Libano, Yemen, Spagna, Gran Bretagna, Turchia, Armenia, e Singapore. Le vittime includono difensori dei diritti umani, dissidenti, giornalisti, attivisti e politici”.
Oltre ai siti che si spacciavano per no profit, i ricercatori hanno trovato dei domini che sembrano impersonare una pubblicazione indonesiana di sinistra; un sito che pubblica atti giudiziari su palestinesi incarcerati; un sito critico di Mohammed bin Salman, il principe ereditario e monarca de facto dell’Arabia Saudita; e uno associato all’Organizzazione mondiale della sanità. “Non ci sono ragioni legittime per società di intelligence o per i governi loro clienti di creare siti che impersonano gruppi di attivisti di alto profilo o organizzazioni no profit”, ha commentato uno dei coautori del report, Bill Marczak, sul Guardian. Candiru dal suo canto non ha rilasciato dichiarazioni alla stampa, proseguendo sulla sua linea di segretezza e invisibilità. Solo che ora il pesce gatto è diventato visibile. 

Da Stealth Falcon a DarkMatter
Nel gennaio 2019 la comunità dell’intelligence statunitense è scossa da un altro (ennesimo) scandalo. Secondo uno scoop di Reuters, una serie di hacker specializzati in operazioni offensive che erano stati al servizio del governo americano, spesso attraverso società esterne, hanno accettato il ricco ingaggio di un contractor di cybersicurezza del Maryland, CyberPoint, per andare a lavorare ad Abu Dhabi, di fatto per l’intelligence emiratina. È il progetto Raven, che però assume col tempo dei contorni ancora più inquietanti e problematici, anche e soprattutto per degli hacker statunitensi. Perché tra i target da infettare e spiare non ci sono solo terroristi, ma si aggiungono attivisti, militanti dei diritti umani, perfino altri governi, come quello del rivale Qatar, e infine il tabù principale, persone con passaporto a stelle e strisce. E che passaporto. In alcuni casi, andando dietro a target di alto profilo, gli attaccanti sfiorano addirittura le email della first lady, Michelle Obama. A quel punto alcuni capiscono di stare rischiando grosso, tornano negli USA e parlano con l’FBI. Parte un’indagine e partono anche le prime inchieste giornalistiche. 

CyberPoint è un piccolo contractor di cybersecurity fondato da Karl Gumtov nel 2009 a Baltimora. Tra i clienti ha il dipartimento della Difesa USA, la marina americana e il dipartimento di Sicurezza nazionale. Fin qui tutto regolare, nel senso che rientra pienamente nel profilo di quei contractor della Beltway che lavorano per il governo USA, alcuni dei quali sono specializzati in operazioni e strumenti cyber offensivi. E che tendenzialmente lavorano solo per il governo statunitense. CyberPoint invece ha diversificato. Gode di buone entrature con la politica nazionale e fa da consulente agli Emirati per aiutarli a sviluppare capacità difensive, con una sorta di imprimatur dell’amministrazione americana.
Ma qualcosa inizia a incrinarsi. Il contractor finisce sui giornali nell’estate del 2015, a causa del leak di Hacking Team, che come abbiamo visto svela dettagli anche su altre società del settore. Secondo i documenti diffusi online, sembrerebbe infatti che CyberPoint faccia da partner alla società italiana per commercializzare il suo spyware negli Emirati, come viene riportato da varie testate. Forse l’inattesa pubblicità non la favorisce, sta di fatto che proprio a cavallo di quel periodo l’intelligence di Abu Dhabi decide di accentrare le operazioni cyber, trasferendo il progetto Raven nell’alveo di una società locale, DarkMatter. A quel punto gli americani reclutati possono scegliere se tornare negli Usa o continuare a lavorare per la nuova società. Metà di loro resteranno.

Tra quelli che se ne andranno c’è David Evenden, che ha raccontato alcuni dei retroscena più interessanti sulle attività condotte dal progetto Raven. Evenden è un ex hacker della NSA che viene reclutato da CyberPoint e si trasferisce ad Abu Dhabi nel 2014. Nel suo primo giorno di lavoro riceve due diversi briefing: il primo era che avrebbe aiutato a difendere i sistemi EAU, la versione ufficiale, il briefing viola; il secondo, quello nero, contiene invece istruzioni sul suo ruolo effettivo. Avrebbe violato (hack) terroristi e reti straniere. Ma ai terroristi si aggiungono successivamente gli attivisti per i diritti umani. E poi le reti e i sistemi del governo del Qatar. E poi le informazioni sui voli della famiglia reale qatariota. È a quel punto, nel 2015, che si ritrova sul pc le email di Michelle Obama, che era stata invitata a un summit a Doha sull’educazione. “Quello è il momento in cui ho detto: non dovremmo farlo; non è normale”, ha commentato Evenden a Perlroth.

DarkMatter era stata fondata poco prima, nel 2014, dall’imprenditore tech Faisal Al Bannai, ma già nel 2016 uscivano informazioni sui legami della stessa con le forze di sicurezza emiratine e sull’aggressiva campagna acquisti di talenti stranieri, sostenuta da paghe stellari e condizioni fiscali imbattibili. “DarkMatter è intrinsecamente legata alle agenzie di intelligence dell’EAU, come la National Electronic Security Authority (NESA) (ora chiamata Signals Intelligence Agency), e l’equivalente emiratino della National Security Agency (NSA)”, scrive un report dell’Atlantic Council. Che ricorda anche come DarkMatter abbia tentato di diventare un’autorità di certificazione (CA), solo per vedersi negare la richiesta. “Le autorità di certificazione sono alcune organizzazioni selezionate per emettere certificati digitali per siti, software e altre entità, verificando che un certo sito o software sia di una entità fidata. Appena il progetto Raven è divenuto pubblico, Mozilla e Google hanno bloccato il tentativo di DarkMatter. Se DarkMatter fosse diventata un'autorità di certificazione, qualsiasi operazione di sicurezza offensiva intrapresa dalla società avrebbe potuto avvantaggiarsi dello status di autorità di certificazione per mascherare i suoi domini di comando e controllo come siti legittimi, ingannando vittime inconsapevoli nello scaricare software apparentemente legittimo, che invece avrebbe infettato la vittima con malware”, specifica ancora il report.
DarkMatter, che avrebbe anche legami con altre società emiratine del settore difesa e sicurezza, tra cui Pax AI e Group 42, si dipinge come un fornitore di soluzioni di cyber protezione. “Tuttavia non corrisponde all’immagine che vuole dare al pubblico generale”, sostiene anche un recente report dell’università australiana Macquarie University.

Quando esce lo scoop sul progetto Raven è il 2019. Ma qualche anno prima, nel 2016,  Citizen Lab aveva pubblicato un report che parlava di un’operazione di cyberspionaggio di matrice emiratina contro un giornalista che si trovava a Londra, Rori Donaghy, critico nei confronti del governo EAU. Il reporter aveva ricevuto un’email a fine 2015 che sembrava arrivare da un individuo appartenente a un’organizzazione fantasma e che lo invitava a un panel. Ma la mail conteneva uno spyware veicolato attraverso un documento Word che chiedeva di abilitare le macro. Oggi sappiamo — riferisce nel suo libro Perlroth — che a confezionare quella mail fu proprio Evenden.

Tuttavia Donaghy era già in contatto con i ricercatori di Citizen Lab che hanno così potuto analizzare mail, documento, e spyware. “Un nuovo attore malevolo che prende di mira dissidenti degli Emirati”, avevano concluso i ricercatori, e lo avevano chiamato Stealth Falcon. Oggi Ronald J. Deibert, direttore del Citizen Lab, nel suo recente libro Reset: Reclaiming the Internet for Civil Society, così scrive: “...Quello che avevamo chiamato Stealth Falcon raccontava in realtà il lavoro di DarkMatter. Un ex contractor NSA che ha lavorato a DarkMatter e dopo è diventato un whistleblower ha rivelato che la startup di intelligence aveva perfino provato a violare (“hack”) Citizen Lab in risposta alle nostre indagini. Ad oggi non sappiamo se ci sono riusciti o no”.

Incontri ravvicinati del terzo tipo
Sappiamo però che almeno un ricercatore di Citizen Lab è stato avvicinato da un esponente di una società privata di intelligence. Che si spacciava per altri. E che ha provato a registrare la conversazione con lo scopo di far dire all’interlocutore qualcosa che potesse screditarlo.
John Scott-Railton, autore di vari report del centro canadese, all’inizio del 2019 era stato contattato da un misterioso Michael Lambert, che si fingeva un uomo d’affari interessato a discutere la tesi di dottorato del ricercatore. E che, dopo aver insistito per un incontro in un ristorante newyorchese, ha virato le sue domande sul lavoro a Citizen Lab, e anche su quanto il laboratorio o lo stesso Scott-Railton fossero antisemiti o meno, mostrando un evidente interesse per il lavoro fatto su NSO, riferisce AP. L’uomo aveva anche tirato fuori una videocamera nascosta in una penna, e poteva contare su alcuni complici presenti nel ristorante. Ma Scott-Railton, che da una serie di episodi e segnali precedenti aveva intuito si potesse trattare di una trappola, era arrivato a sua volta munito di videocamere nascoste e soprattutto di un giornalista di AP, che stava al tavolo a fianco, ad ascoltare, e pronto a intervenire. Quando poi effettivamente il reporter si è fatto vivo presentandosi, il sedicente Lambert è praticamente scappato. Dopo che la storia è emersa sui giornali, i media israeliani hanno identificato l’uomo come Aharon Almog-Assouline, un israeliano con un passato in servizi di sicurezza che secondo il WSJ avrebbe lavorato per la società di intelligence privata israeliana BlackCube (quest’ultima ha sempre negato la connessione, così come NSO si è detta del tutto estranea all’episodio).
BlackCube è stata spesso accusata di utilizzare tattiche a dir poco aggressive per cercare di screditare avversari dei suoi clienti. Secondo il WSJ, “è nota per le sue strategie di creare false aziende e identità per adescare i target in incontri che sono poi registrati di nascosto”. In ogni caso, dopo che è uscita la storia del ricercatore di Citizen Lab, la AP ha riportato altri casi molto simili in cui erano state prese di mira persone che avevano sollevato domande sull’uso degli spyware israeliani.

Gli emergenti

A partire dal 2019, in sordina, comincia a sbucare il nome di un nuovo attore del settore spyware: la startup spagnola Mollitiam Industries, che lavorerebbe con l’intelligence madrilena e dell’America Latina. Sappiamo che già quell’anno è presente con una demo su come prendere il controllo di telefoni Android all’ISS World Training dell’America Latina, la più volte citata fiera del settore sicurezza/indagini, divisa per regioni, dove convergono aziende, polizie e intelligence. Come COO e fondatore, anche in ISS successivi, viene indicato Antonio Ramos. Ma le informazioni sono ancora molto limitate. Almeno fino a inizio 2020, quando sulla testata colombiana El Espectador esce notizia di uno scandalo: le forze armate del Paese avrebbero intercettato illegalmente politici, giornalisti e magistrati. Tra gli strumenti usati, ci sarebbe anche un prodotto, sostiene la testata, un malware per Mac e Windows, chiamato Hombre Invisible (Invisible Man), comprato nel settembre 2019 da una società spagnola, Mollitiam Industries, per circa 790mila dollari. Il prodotto, considerato uno strumento di intelligence, ha potuto aggirare i normali processi di acquisto, e gode di uno status di segretezza. Le informazioni sul contratto sarebbero state secretate per anni (anche se svelate in parte dai media) perché avrebbero potuto avere un impatto sulle relazioni diplomatiche internazionali, dal momento che “lo strumento può essere usato su obiettivi di interesse nazionale”. Poco dopo l’organizzazione Reporters Senza Frontiere include Mollitiam Industries nella sua lista di “predatori digitali della libertà di stampa”.

Come ho avuto modo di verificare, Mollitiam Industries è una società registrata a fine 2018 in Spagna, a Toledo. Allo stesso indirizzo legale compare anche la società In-nova Programa de Innovacion International. Che, scrive al riguardo un altro articolo di El Espectador, lavora nell'ambito della sicurezza e difesa. E, diversamente da Mollitiam, compare sui registri dei fornitori del governo colombiano dal 2016. Avrebbe infatti avuto sia un contratto con l’aeronautica militare sia con una tv per la realizzazione di un progetto/programma intitolato Mundo Hacker.
Secondo Intelligence Online, anche Perù e Brasile avrebbero comprato lo spyware di Mollitiam. Ma qualche elemento in più è arrivato nel 2021, quando Wired USA ha potuto accedere ad alcune brochure, dopo che una terza parte aveva lasciato documenti di Mollitiam esposti online. I suoi software — chiamati Invisible Man e Night Crawler — sono per Mac, Windows e Android. Possono accedere ai file di un target, alla sua posizione geografica, possono attivare videocamere e microfono, intercettare quanto digitato sulla tastiera. Per evitare di essere individuato, il malware userebbe una tecnologia che dice di ridurre il consumo di dati e batteria del telefono (non una novità, anche NSO ne pubblicizza una simile). Ma, nota Wired, Mollitiam Industries sta pure lavorando a un progetto per costruire una piattaforma di intelligence con cui estrarre, analizzare e correlare grandi quantità di dati aperti presi dai social media e dal dark web. Progetto che è parzialmente finanziato dal Regional Development Fund dell’Unione europea (qui il documento). Edin Omanovich, direttore dell’advocacy di Privacy International, ha criticato la scelta dell’Unione di finanziare prodotti di intercettazione come questo “di natura segreta e intrusiva che possono facilitare abusi dei diritti umani”. 

Covid-19 e opportunità

Negli ultimi mesi sul sito di Mollitiam Industries è apparso anche un progetto — non è chiaro se sia collegato a quello appena menzionato sopra – intitolato Osint Covid 19 Surveillance. “È essenziale per le autorità monitorare le identità digitali sui social network in questi momenti di incertezza per rispondere a diverse domande”, è scritto sul sito. “Qual è la percezione (il sentiment) sulla gestione della crisi? Cosa dicono i cittadini del governo e delle misure applicate? Quali profili o hashtag incoraggiano movimenti sovversivi? Che cosa diffonde fake news o porta a movimenti di massa? In quali aree i cittadini si sentono non protetti o dimenticati?”. Dunque un’azienda privata che fa sorveglianza di mestiere si propone anche di monitorare quello che dicono i cittadini del governo, individuando e segnalando specifici profili.

Non è la prima volta che un’azienda di questo settore si fa avanti anche nella gestione della crisi pandemica. Nell’aprile 2020, in pieno panico da lockdown, la BBC riferiva che NSO Group stava promuovendo con alcuni governi un suo sistema per monitorare e predire la diffusione del coronavirus attraverso i dati degli smartphone (presumibilmente forniti dalle telco). La demo vista dalla BBC mostrava una mappa su cui erano monitorati i telefoni di persone con le infezioni, rappresentati con dei numeri “anonimizzati”. Ed erano mostrati dettagli sui telefoni che incontravano, luogo e tempo. I dati usati per queste demo, in particolare quelli di geolocalizzazione, sono stati poi trovati su un database esposto online. NSO Group ha dichiarato che non erano basati su dati veri. Altri ricercatori, sentiti poi da TechCrunch, hanno sostenuto il contrario. NSO ha ribadito che non si fondavano su dati reali e genuini “collegati a individui affetti da COVID-19”. In ogni caso, ad oggi, non è chiaro se la piattaforma di monitoraggio  — chiamata Fleming — presentata dalla società israeliana a vari governi e media sia stata adottata da qualcuno e con quali esiti.
En passant, va detto che anche Cellebrite, società israeliana che non fa spyware ma vende strumenti per l’estrazione forense di dati dai cellulari, si era proposta — sostiene Reuters — ad alcuni sistemi sanitari nazionali per individuare spostamenti e contatti di un infetto permettendo alle autorità di risucchiare dati dal suo telefono.

Ma le società del settore sorveglianza che si sono proposte alle autorità per monitorare in vario modo la diffusione del Covid sono diverse. Tra queste anche Intellexa, che offriva una piattaforma per tracciare i movimenti di ogni persona, attraverso una marea di dati di localizzazione, scriveva Reuters. Intellexa è un consorzio internazionale di società che vendono diverse tecnologie per l’intercettazione e l’estrazione di dati, dalla francese Nexa Technologies, alla cipriota WiSpear, alla israelo-cipriota Senpai. Consorzio che si pone come un concorrente di NSO. Anche se ci sono interessanti incroci precedenti attraverso il fondatore di WiSpear, Tal Diliam. Il quale inizia la sua carriera nell'intelligence israeliana. E successivamente fonda Circles, azienda che commercializzava tecnologie per l’intercettazione e la localizzazione dei telefoni, poi acquistata per 130 milioni di dollari dalla società di private equity Francisco Partners prima della fusione proprio con NSO Group nel 2014, scrive Business Insider. Per arrivare a Wispear, che come la precedente Circles opera da Cipro. E che sarebbe stata controllata da Alidada Group, una holding registrata alle Isole Vergini Britanniche, riferiva Intelligence Online.
Nel giugno 2021, uno dei membri del consorzio, la francese Nexa Technologies (ex Amesys) è finita al centro di una delicata indagine giudiziaria. “Quattro dirigenti delle aziende francesi Amesys e Nexa sono indagati perché sospettati di aver fornito ai regimi dell'Egitto e della Libia strumenti di cybersorveglianza utili a seguire e controllare gli oppositori”, scrive Agenzia Nova. Le accusa vanno da "complicità in atti di tortura" a "scomparsa forzata" e fanno capo a due indagini del Tribunale giudiziario di Parigi. 

La scuola israeliana
Di certo c’è che NSO Group ha tirato la volata a una serie di altre startup specializzate in varie forme di intercettazione e infezione di dispositivi. Prendiamo ad esempio Quadream. Società di Tel Aviv, fondata nel 2016, nessun sito, nessun logo, aria discreta, avrebbe venduto spyware per smartphone all’Arabia Saudita, ha scritto pochi mesi fa la testata israeliana Haaretz. Il suo software, chiamato Reign, non richiederebbe che l’utente clicchi su un link, e avrebbe tutte le principali funzionalità dei trojan più moderni, dalla capacità di attivare microfono e videocamera all’estrazione di messaggi. Reign— scrive Hareetz — sarebbe venduto da InReach Technologies, una società sorella che si trova a Cipro, probabilmente per gestire meglio le regole sull’export.

In alcuni casi, in queste nuove realtà imprenditoriali, si ritrovano ex dirigenti ed ex dipendenti di NSO Group. Secondo Business Insider, ci sarebbero infatti una ventina di società fondate da persone passate a vario titolo per la leader degli spyware israeliani. Tra queste spicca Interionet, che sviluppa malware per router. Pronta a seguire le capofila di settore, Verint e NSO Group, nel campo della cyber intrusione e delle intercettazioni mobili, scriveva già nel 2019 Intelligence online. Oppure società come Wayout, specializzata in intercettazione di apparecchi definiti comunemente come “internet delle cose”, ovvero altoparlanti intelligenti, videocamere casalinghe ecc.
Al di là delle società cresciute alla scuola di NSO, negli ultimi anni si è ingrossato, sempre in Israele, anche un diverso sottosettore di startup della cyber sorveglianza, che invece di ricorrere a spyware sul telefono punta sui malware per router Wi-Fi o su attacchi contro le reti Wi-Fi, per cui l’intercettazione avviene mentre i dati sono in transito e l’attaccante in condizioni di prossimità al target. Nomi come la stessa Wispear, Equus technologies (poi divenuta Merlinx); Rayzone e Magen.
Magen, fondata nel 2011 da veterani dell'intelligence israeliana, promuove una piattaforma di intercettazione mobile che può stare in uno zaino, per accedere a dati e account cloud dei telefoni nelle vicinanze. Tra i suoi obiettivi, così come era pubblicizzato dal sito, “controllare vandalismo organizzato e movimenti di massa illegali”, ma anche “monitorare massicci numeri di target potenziali, mostrando una fotografia globale ed enfatizzando cosa vi interessa di più”.

Rayzone è un’azienda israeliana che vende vari prodotti, inclusa una piattaforma costruita su grandi quantità di dati raccolti dai telefoni. Mentre un altro suo strumento si chiama Piranha ed è presentato come un IMSI-catcher, che può essere a sua volta integrato in altri sistemi, come videocamere di sorveglianza, riconoscimento facciale e biometrico. Due suoi cofondatori avrebbero “fatto da intermediari in un accordo del 2011 in cui NSO ha venduto il suo spyware Pegasus ai militari di una nazione estera con l’aiuto di un uomo d’affari straniero accusato di corruzione e il cui nome è protetto da un divieto di pubblicazione”, ha scritto Calcalistech. “Da allora, gli affari di Rayzone sono stati condotti in completa segretezza”.

Tuttavia a fine 2020 è emerso che Rayzone avrebbe ottenuto, tramite un operatore mobile delle Isole del Canale, un accesso diretto alle reti di telecomunicazione per sfruttare una vulnerabilità nel sistema SS7 (un insieme di protocolli di comunicazione usati dalle società telefoniche per comunicare fra loro) e permettere ai suoi clienti di localizzare telefoni in giro per il mondo. Più o meno negli stessi mesi, Rayzone era anche fra quelle società che offrivano ai governi piattaforme di tracciamento contro il coronavirus.

Nella lista (non esaustiva) di aziende specializzate in intercettazioni Wi-Fi c’è poi Wintego, di Haifa, che comincia a fare capolino nel 2016, sostenendo di essere in grado di estrarre dati direttamente dalle app del telefono, di fatto intercettando le comunicazioni Wi-Fi o usando il Wi-Fi per iniettare un malware con cui poi estrarre dati. Va detto che vari crittografi all’epoca si mostravano scettici rispetto alla possibilità che tale metodo funzionasse, come era pubblicizzato dalla società, con app cifrate end-to-end. Nel 2018 Wintego compariva come specialista di “cyber intelligence ed estrazione dati” alla International Homeland Security and Cyber Exhibition and Conference di Tel Aviv. Da notare che in questa conferenza su cyber e sicurezza nazionale erano presenti 500 aziende da tutto il mondo, di cui 354 americane. Al secondo posto spiccava Israele con 82 società, anche se 40 erano registrate negli USA per ragioni fiscali.
Per concludere, nel gruppetto delle imprese specializzate nell’accesso da remoto a dispositivi di internet delle cose, vale a dire i vari smart speaker, Echo, videocamere, termostati e via dicendo, vanno anche incluse Toka e Incert Intelligence. 

Il piano inclinato
Ma non c’è solo Israele, dove pure la stretta relazione fra militari, intelligence e startup ha creato un ecosistema sui generis. Altri Stati stanno emergendo per capacità informatiche e per un’industria locale cyber offensiva specializzata in sorveglianza, trojan inclusi. Uno di questi è l’India, dove spicca fra le altre ClearTrail, presente alle fiere internazionali di settore, come il prossimo Milipol 2021 di Parigi. Questa società di Indore da anni vende diversi prodotti di sorveglianza digitale, tra cui Astra, un framework per l’infezione e il monitoraggio da remoto di computer e telefoni. Nella fiera ISS tenutasi a Dubai nel giugno 2021 la sua presentazione riguardava come scoprire identità reali dietro a Twitter, Facebook, WhatsApp, Signal, Telegram, Skype e FaceTime “su scala nazionale”. E infine, come abbiamo già visto, gli Emirati Arabi Uniti.

Ma altri Stati e altre società sono già i prossimi in lista. Nuovi strumenti e funzionalità sono perfezionati. Nuove tentazioni di controllo e opportunità che emergono a fronte di un panorama globale estremamente instabile. Il piano inclinato resta lì, anche dopo dieci anni. Se ci si agita si scivola; se si sta immobili, si scivola. Almeno finché non si riuscirà a trovare un solido sistema internazionale con cui contenere, regolare, e limitare la proliferazione di questi strumenti, soprattutto il loro utilizzo per la violazione dei diritti umani e la repressione del dissenso politico.

Nota dell’autrice

Per trasparenza ricordo a chi non lo sappia già che da qualche tempo lavoro per Amnesty International, ampiamente citata in questo scritto. Nondimeno questo lavoro nasce esclusivamente nell’ambito delle attività informative dell’associazione e newsletter Guerre di Rete. E ha come retroterra il mio precedente lavoro di giornalista, in cui mi sono occupata del tema spyware fin dal 2011. Il testo è stato distribuito in primo luogo agli iscritti della newsletter Guerre di Rete, che da tre anni fa informazione su questi temi ed è diffusa in modo gratuito e facilmente accessibile. Questo speciale è anche un modo per ringraziare chi ha partecipato al primo crowdfunding di Guerre di Rete nel 2021 e può essere distribuito liberamente con licenza CC BY-SA 4.0 e gentilmente con un link alla newsletter. Se però volete fare una donazione a Guerre di Rete potete farlo qua.
Infine, vorrei ringraziare tutti quelli che hanno rilasciato commenti per questo speciale, con o senza nome. E un ringraziamento speciale a Gerardo Di Giacomo e Gianluca Varisco per le consulenze tecniche. Ovviamente eventuali imprecisioni dipendono solo da me, e nel caso resto disponibile per correggerle. 

Per approfondire

Nicole Perlroth, This Is How They Tell Me the World Ends: The Cyberweapons Arms Race, Bloomsbury, 2021

Ronald J. Deibert, Reset: Reclaiming the Internet for Civil Society, House of Anansi Press, 2020

Fabio Chiusi, Progetto Pegasus, l’inchiesta sullo spyware che controlla tutto e minaccia la democrazia, Valigia Blu, 2021

Carola Frediani, Il Dissidente, cronaca di un assassinio pianificato, Guerre di Rete newsletter, 2021

Carola Frediani, Spyware e giornalisti, Guerre di Rete newsletter, 2020

Carola Frediani, L’hacker antisistema che vuole portare la lotta di classe online - Valigia Blu - 2019

Carola Frediani, Hacking Team, il super sospettato Usa: “Non c’entro, ho solo comprato droga coi Bitcoin”, La Stampa, 2017

Carola Frediani, Arrestato “il dissidente da un milione di dollari”, accusato di “odio attraverso i social”, La Stampa, 2017

AAVV,  Attacco ai pirati: L’affondamento di Hacking Team: tutti i segreti del datagate italiano, La Stampa/40K, 2015

Kim Zetter, Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon, Crown, 2014

(FINE DELLO SPECIALE IN 3 PARTI. DALLA PROSSIMA DOMENICA TORNA LA NEWSLETTER IN VERSIONE NORMALE)

Guerre di Rete - SPYWARE LTD (PARTE 2)

Edizione speciale della newsletter con un lungo approfondimento a tema trojan di Stato (SECONDA PARTE)

SECONDA PARTE
(La prima parte, con l’indice, si trova nella precedente newsletter. La terza e ultima parte si trova nella newsletter seguente. L’intero Spyware Ltd si può anche leggere o scaricare in versione pdf a questo indirizzo (https://bit.ly/spyware_ltd.)

Lo spyware venuto dall’exploit

All’inizio degli anni Duemila, in Italia, per infettare un indagato con uno spyware “bisognava che il target stesso lo installasse, o che qualcuno andasse a installarlo”, racconta il già citato X, “e non si usavano exploit”.
Ciò significa che si dovevano adottare vari escamotage. “Uno di questi era il tecnico telefonico che doveva riparare un problema creato appositamente, ad esempio la connessione che non andava, e invece era un agente che installava un trojan sul pc”, mi racconta una diversa persona ben informata su come venivano e vengono fatte queste operazioni nel nostro Paese, e che preferisce non essere nominata. “Poi qualche anno dopo si è passati a una fase di intercettazione passiva, in cui si studiavano le abitudini del target, i siti su cui andava, i software che utilizzava, per poi effettuare un attacco di iniezione diretta sul traffico di rete”. Così gli compariva un finto aggiornamento di un software e gli si faceva scaricare il trojan. “Oggi esiste un po’ di tutto — prosegue la fonte — dal trojan con necessità che chi è intercettato clicchi su un link fino a uno zero-day e uno zero-click [uno zero-day o 0-day, cioè una vulnerabilità ancora sconosciuta anche ai produttori di software, e zero-click, un attacco per cui non è neanche necessario che la vittima clicchi su qualcosa, nda]. E ciò vale sia per Android sia per iOS”.

Dunque, ricapitolando, negli anni gli spyware, abbandonati i primi metodi creativi utilizzati per infettare un target, hanno iniziato a sfruttare sempre di più vulnerabilità software, che permettevano di installare il trojan su un dispositivo da remoto. Nella maggior parte dei casi era comunque necessaria una qualche interazione della vittima: il download di un’app, l’apertura di un documento ricevuto via mail, il click su un link. Anche se negli ultimi anni abbiamo visto la diffusione di spyware zero-click, in cui non era richiesta alcuna azione, ma attraverso una catena di vulnerabilità (spesso legate a funzioni e app di messaggistica e comunicazione, come iMessage, FaceTime, WhatsApp)  il malware si installava silenziosamente.
Questo è stato reso possibile anche da un’evoluzione del mercato di vulnerabilità ed exploit, cui l’industria degli spyware è legata — anche se non in modo esclusivo, e anzi, a detta di molti osservatori, a spingere il mercato degli attacchi informatici sono stati in primis gli Stati, come raccontato ad esempio nel recente libro This Is How They Tell Me the World Ends, di Nicole Perlroth, ma anche in numerosi reportage giornalistici precedenti.
“In realtà la sicurezza dei nostri dispositivi non è affatto peggiorata, e i nostri telefoni sono oggi molto più robusti (specie quelli che montano Android). Certo resta una disparità tra chi fa difesa, e deve rendere un dispositivo impermeabile anche quando è in mano all’utente, e l’aggressore che deve solo trovare una via giusta”, mi dice Stefano Zanero, professore di sicurezza informatica al Politecnico di Milano, e membro del board della conferenza internazionale Black Hat. “Il punto è che abbiamo assistito a una industrializzazione degli attacchi, e quello che prima era un settore più sottotraccia è stato sdoganato”.

Non è questo il luogo per fare la storia dell’evoluzione di questo specifico settore, che è molto più complesso, sfaccettato e pieno di sfumature rispetto a quello degli spyware. Ma qualche riferimento è necessario, anche per capire il retroterra in cui l’industria dei trojan è prosperata. Di sicuro la relazione tra società di spyware e società di exploit esiste, anche se, mi dice un’altra persona che ha lavorato proprio in questo mercato ai suoi albori (e che preferisce non essere nominata), “chi ricerca la vulnerabilità e scrive l'exploit, e l'azienda che fa e vende lo spyware sono due cose diverse. Probabile che già ai miei tempi (metà anni Duemila) tra i nostri clienti ci fossero aziende di spyware ma personalmente non ci ho mai avuto a che fare”.
Tra le prime società strutturate, tra i primi a immaginare di plasmare un mercato dal magma di bollettini online, forum, segnalazioni gratuite, mercati neri e contrattazioni private, è l’azienda americana iDefense, che “diventa una delle prime ad aprire pubblicamente le porte agli hacker e a pagarli per vulnerabilità zeroday”, scrive Perlroth. Siamo nel 2003. Il sistema si basa ancora sul segnalare la vulnerabilità a una lista di iscritti. Tra i suoi clienti ci sono banche e agenzie federali. Ma dopo poco iDefense inizia a ricevere chiamate da contractor che dicono di lavorare per il governo, pronti a pagare molto di più, a patto di ricevere il bug in esclusiva e in segreto.
Iniziano ad aumentare i concorrenti. Nel 2005 nasce Digital Armaments, che offre ricche ricompense per vulnerabilità nei sistemi Microsoft, Oracle, VMware; richiede “diritti esclusivi” e dice di essere pronta a notificare i bug ai vendor, i produttori di software, “alla fine”.
Negli Usa i grandi contractor della Difesa — Lockheed Martin, Raytheon, BAE Systems, Northrop Grumman, Boeing — cominciano a rivolgersi ai broker e ad aziende che sviluppano exploit, mentre la richiesta governativa di questi strumenti aumenta, e il costo degli stessi — come il numero di venditori che li trafficano — raddoppia ogni anno, sostiene Perlroth. 

“Siccome gli zero day possono essere usati sia per difendere un sistema che per attaccarlo — scriveva già qualche anno fa Kim Zetter in Countdown to Zeroday — molte società nascondono il lavoro offensivo dietro la copertura di quello difensivo. Aziende americane come Endgame Systems, Raytheon, Norhtrop Grumman, SAIC, Booz Hallen Hamilton e Lockheed Martin sono tutte nella partita exploit a vari livelli”.
Ma anche in Europa ci sono i primi tentativi di creare un mercato ad hoc e alla luce del sole. Nell’estate 2007 in Svizzera, fondata da un italiano, Roberto Preatoni, nasce WabiSabiLabi, che intende vendere vulnerabilità al miglior offerente. “Chiaramente consapevole che questo è destinato a essere un modello di business controverso — scrive all’epoca Ars Technica — WabiSabiLabi obietta che il suo lavoro sarebbe etico perché compensa più equamente i ricercatori di sicurezza per il loro tempo e sforzo”, dal momento che molti di questi segnalano bug senza ricevere alcun premio. La società sostiene anche di verificare i venditori e i compratori (non è accettato l’anonimato), così come le informazioni oggetto di contrattazione. Chi vince l’asta riceve le info sull’exploit e anche un proof of concept [un dimostrazione di fattibilità dell’attacco teorico, una prova del suo funzionamento, nda]. “Non esistono vulnerabilità zero day. Esiste la ricerca di sicurezza”, dicevano le FAQ di WabiSabiLabi. La sua avventura però finisce dopo alcuni mesi. “Eravamo in anticipo sui tempi”, aveva dichiarato il fondatore, che nel mentre era anche stato arrestato delle autorità italiane non per la sua attività col mercato degli exploit ma per una vicenda precedente, le indagini sui dossier illeciti di Telecom (successivamente sarà assolto con prescrizione). 

È un settore non proprio noioso. E malgrado gli sforzi di segretezza e le grandi capacità tecniche dei suoi protagonisti, paradossalmente emergono informazioni proprio a causa di fughe di dati e attacchi informatici. E così ad esempio che si viene a sapere qualcosa di più sulla già citata Endgame Systems. Fondata nel 2008 in Georgia, Stati Uniti, dopo due anni aveva già raccolto 30 milioni di dollari in venture capital, seguiti da altri 23 nel round successivo. Nel board aziendale anche il direttore esecutivo di In-Q-Tel, la società di venture capital della CIA. Nel 2011 il Ceo di Endgame Christopher Rouland dichiarava a un giornale locale che i ricavi più che raddoppiavano ogni anno. Ma proprio nel 2011 Anonymous, il movimento di hacktivisti, all’epoca in piena espansione e diviso in vari gruppi e costole, viola i server di un’altra società, HBGary Federal, scaricando e mettendo online le email aziendali. Incluse quelle scambiate con la dirigenza di Endgame. In queste missive la società discuteva del suo lavoro sugli exploit, e dei suoi sforzi di mantenere tale attività in ombra (vanificati dall’incursione in HBGary per cui successivamente saranno condannati alcuni hacktivisti). Dunque pubblicamente Endgame diceva di vendere protezioni contro virus e botnet, ma privatamente vendeva pacchetti di exploit. 

Sempre nel 2008, tornando di nuovo in Europa, nasce un’altra società, a Montpellier, di cui si sentirà parlare spesso: Vupen. Inizialmente nata per servizi difensivi, dal 2010 vende exploit a pieno regime, ufficialmente a intelligence e governi. Dopo la scoperta di Stuxnet, inizia a ricevere più richieste per sistemi di controllo industriale. Nel 2011 incassa 1,2 milioni di dollari di ricavi, il 90 per cento al di fuori della Francia. E sempre nel 2011 finisce sugli Spy Files di Wikileaks una sua brochure: qui si legge che Vupen offre un sistema di crediti da cui gli iscritti possono scalare punti ogni volta che sono interessati a un determinato exploit. Questi si dividono in 4 categorie, ognuna vale dei crediti diversi. Nel 2013 la società apre un ufficio negli USA. Del resto, proprio quell’anno verrà fuori (da una richiesta di accesso agli atti) che la NSA comprava anche dai francesi.

Ma è il leak di Hacking Team — ancora una volta, un leak — che mostra altri dettagli sulla boutique di attacchi fondata dal francese di origine algerina Chaouki Bekrar. Ad esempio che vendeva non solo a governi, ma anche a società private, come appunto quella italiana di spyware. Anche se la relazione fra Hacking Team e Vupen non era delle migliori: gli italiani ritenevano che i francesi rifilassero loro gli exploit meno pregiati o addirittura di seconda mano, per così dire; insomma, roba vecchia, e non propriamente degli zero-day.

Nel leak sono presenti anche altri venditori singoli e aziende che sviluppano/commerciano exploit, e in particolare spicca l’americana Netragard, che all’epoca aveva la policy di non vendere fuori dagli Usa. In effetti la relazione con Hacking Team passò inizialmente attraverso un intermediario, Cicom USA, per poi diventare diretta. Dopo la fuga di dati, il Ceo di Netragard Adriel Desautels dichiarò che avrebbe chiuso il suo programma di acquisizione di exploit anche per ragioni etiche. “Gli 0-days non sono niente altro che strumenti utili che quando sono nelle mani giuste possono fare del bene”, scrisse nel suo sito, aggiungendo che sarebbe servita una cornice legale per rendere i compratori finali responsabili dell’uso di questa tecnologia. E che tale regolamentazione non avrebbe dovuto colpire gli zero-days ma solo chi li comprava e utilizzava. “Vulnerabilità ed exploit sono codice, il codice è speech [discorso, libertà di parola, nda], per cui regolarne le transazioni è una china pericolosissima”, commenta oggi Zanero al riguardo. “Ritengo invece si possa intervenire su quelli che vendono framework per fare exploitation [strumenti per l’esecuzione di exploit, nda] ma anche lì... come distingui i clienti?”

Di sicuro i ripensamenti alla Desautels non sono frequenti in questo mondo, e anzi da quel momento in molti hanno iniziato a giocare a carte scoperte, e il mercato è esploso. “Pensa alla differenza su come venne accolta all’epoca WabiSabiLabi, che faceva un millesimo di quello che fa oggi una Zerodium [vedi sotto, nda], e di come sono cambiati i tempi”, commenta ancora Zanero. Nel 2016 — mentre Ahmed Mansoor diventava il dissidente da un milione di dollari, come vedremo a breve — Apple lanciava il suo primo programma di bug bounty, offrendo ricompense fino a 200mila dollari per la compromissione del suo software o hardware, e una società texana del settore exploit, Exodus Intelligence, rilanciava con un suo programma per ricevere vulnerabilità in cui pagava più del doppio di Apple.

Chi è sempre apparso poco preoccupato della cattiva pubblicità, e semmai pronto a cavalcarla è anche il già citato Chaouki Bekrar, alla guida di Vupen. L’auto-proclamato “lupo di Vuln Street” (Vuln come vulnerabilità) nel luglio 2015 — mentre dilagavano informazioni inedite su tutto il settore in seguito alla violazione di Hacking Team —  creava Zerodium, una piattaforma di brokeraggio con sede negli Usa che fece subito parlare di sé, mettendo tre taglie da 1 milione di dollari l’una sull’ultimo sistema operativo dell’iPhone. Da allora il prezzario a colori di Zerodium, pubblicato online, è diventato l’esemplificazione pacchiana di un mercato in crescita, legale, e sempre più scoperto, che affianca e rimescola i mercati grigi e neri (come raccontavo in questo reportage anni fa), e che scavalca le piattaforme di segnalazioni di vulnerabilità alle aziende. Ma nel contempo, malgrado tutto, ancora fortemente opaco e senza regole. Così accanto alle boutique che mantengono un profilo ultra-discreto come la società ReVuln, fondata da due italiani, ma registrata a Malta, Belize e Hong Kong, ci sono nuove realtà emergenti, che hanno lanciato una piattaforma di brokeraggio, come Crowdfense, sede negli Emirati, direttore italiano, forte presenza alle fiere di settore della cyber intelligence e sorveglianza, come la già citata ISS.

NSO e il suo (Zero)-Day After

Dell’azienda israeliana NSO Group chi si occupava di spyware aveva sentito parlare già nel 2015, quanto meno come una concorrente in ascesa rispetto alle consolidate Gamma/Hacking Team, per altro mentre entrambe navigavano acque difficili. Ma il suo ingresso sulla ribalta mediatica avverrà nell’agosto 2016, con una vicenda impossibile da ignorare. È in questo periodo che Ahmed Mansoor — noto attivista dei diritti umani degli Emirati Arabi Uniti, da tempo soggetto a vari tentativi di sorveglianza, anche con spyware — riceve sul suo iPhone due sms che parlano di detenuti torturati, e un link. L’uomo, ormai divenuto esperto dopo anni di attacchi informatici, gira i messaggi a Citizen Lab con cui è già in contatto. I ricercatori, insieme a un’altra società di sicurezza informatica, Lookout Security, scoprono che il link porta a una catena di tre exploit zero-days, cioè di codici di attacco molto pregiati perché sfruttano vulnerabilità del software ancora sconosciute. Così mentre Apple, avvisata, fa partire un aggiornamento globale per chiudere le vulnerabilità, esce un rapporto di grande impatto. S’intitola: “Il dissidente da un milione di dollari. Gli zero-day per iPhone di NSO Group usati contro un difensore dei diritti umani negli Emirati”.

La notizia è una sferzata per due motivi. Il primo era che si trattava almeno del terzo spyware ricevuto da Mansoor (quanto meno secondo l’analisi di Citizen Lab). Un triste e allucinante primato. Il primo spyware gli era stato inviato nel marzo 2011 con un finto pdf; e ricercatori di Citizen Lab allora l’avevano attribuito all’azienda Gamma/FinFisher; il secondo spyware lo aveva ricevuto nel luglio 2012 attraverso un documento Word. Sempre secondo i ricercatori del centro canadese, sarebbe stato prodotto dall’azienda italiana Hacking Team. Le due società hanno sempre ribadito di vendere solo a governi e forze dell’ordine per fare indagini su criminali, all’interno delle regole internazionali vigenti, e di non avere conoscenza dell’utilizzo finale, evitando di commentare singoli episodi.
Sta di fatto che ora Mansoor — che era stato oggetto anche di premi internazionali —  si era ritrovato sul telefono l’ennesimo tentativo di infezione con un trojan sofisticato e “governativo”. Non solo: uno spyware che aveva la strada spianata sugli iPhone (fino allora considerati gli smartphone più sicuri) grazie a tre vulnerabilità sconosciute e quindi molto costose.
“I ricercatori di Citizen Lab ritengono che sia la prima volta che un attacco di questo tipo, con jailbreak [un processo che rimuove alcune restrizioni software nei dispositivi iOS, nda] da remoto, su un iPhone sia stato scoperto nel mondo reale come parte di una campagna mirata. Inoltre hanno ricondotto il malware e i link a una infrastruttura di server e a una suite di software spia di nome Pegasus connesse a NSO Group, un’azienda di origine israeliana, acquisita nel 2014 da una società di private equity americana, Francisco Partners Management (...). La portata e il costo dell’attacco, il coinvolgimento di NSO che venderebbe solo a Stati e il tipo di vittima fanno concludere ai ricercatori che dietro l’azione ci possa essere il governo degli Emirati Arabi Uniti”, scrivevo allora su La Stampa. Ma tutti i media mondiali si buttarono su questa storia. E su quella società fino a quel momento poco conosciuta.

Mansoor è stato poi arrestato nel 2017 dalle autorità degli Emirati, condannato a dieci anni nel 2018, e da allora le sue condizioni di salute si sono deteriorate mentre ancora oggi si trova in isolamento in una cella, malgrado vari appelli internazionali. Dal suo canto, Citizen Lab ha continuato a tenere NSO sotto la lente. A partire dal 2017 ha pubblicato una serie di analisi su varie operazioni di spionaggio condotte in Messico contro sostenitori di una tassa sulle bevande zuccherate, contro giornalisti, avvocati, politici, gruppi anticorruzione. I target avevano ricevuto degli sms, che li spingevano a cliccare su un link. “In alcuni casi simulavano di essere notifiche relative alle bollette telefoniche o alla carta di credito; alert sulla scomparsa di bambini; messaggi dall’ambasciata americana del Paese che segnalava problemi con il visto; notizie di interesse; e perfino segnalazioni inviate apparentemente da conoscenti che avvisavano le vittime di possibili minacce sotto casa. Una volta cliccato sul link del messaggio, il telefono visitava un server che verificava il tipo di dispositivo utilizzato (se iPhone o Android) e poi inviava allo stesso un exploit, un codice di attacco che sfruttava una vulnerabilità del sistema operativo”. Il Messico sembra avere un problema endemico con l’abuso degli spyware, e nelle analisi citate Citizen Lab ritiene che il trojan utilizzato sia proprio Pegasus, il prodotto di NSO Group.
Oggi Ronald Deibert, direttore di Citizen Lab, nel suo recente libro Reset: Reclaiming the Internet for Civil Society, così descrive come lavorarono per tracciare quello specifico spyware, dopo il caso Mansoor. “Abbiamo fatto un reverse-engineering di Pegasus e abbiamo cominciato a fare scansioni e un monitoraggio della rete alla ricerca dell'infrastruttura di NSO e dei suoi clienti governativi. (...) Il monitoraggio ha funzionato. Tra 2017 e 2018 abbiamo lavorato assieme a gruppi d’inchiesta sui diritti umani in Messico come SocialTIC e R3D per seguire le piste tecniche del nostro scanning della rete e identificare casi di abusi” nel Paese.

Ma la pubblicità maggiore arriverà quando scenderà in campo un’altra azienda tech, un colosso, anziil colosso della messaggistica cifrata, nonchè parte di Facebook: Whatsapp. Nel maggio 2019 infatti WhatsApp annuncia di aver individuato e bloccato un attacco che sfruttava una vulnerabilità zero-day della sua funzione di videochiamata, vulnerabilità con cui il dispositivo veniva infettato da uno spyware. Attraverso la chiamata gli attaccanti trasmettevano di nascosto un codice malevolo. Non era necessario che la persona rispondesse alla chiamata. A volte le chiamate nemmeno rimanevano nel registro.
Tra i target c’è almeno un avvocato che lavora per la difesa dei diritti umani in Gran Bretagna, riferiscono i ricercatori di Citizen Lab. In particolare, si tratta del legale che aveva aiutato un gruppo di giornalisti e attivisti messicani, un cittadino del Qatar, e un dissidente saudita residente in Canada a fare causa, qualche mese prima, a NSO, sostenendo che l'azienda fosse corresponsabile degli abusi commessi dai suoi clienti.

Il dissidente saudita rifugiato in Nord America è Omar Abdulaziz, vicino a Jamal Khashoggi (il giornalista ucciso brutalmente dai sauditi nel loro consolato in Turchia il 2 ottobre 2018). Su questa storia ci torniamo tra poco, ma intanto vale la pena ricordare che qualche mese dopo questa notizia, Whatsapp deciderà di fare causa a NSO Group. Secondo l’azione legale promossa dalla società di messaggistica, la società di spyware avrebbe costruito una piattaforma di hacking che sfruttava una vulnerabilità della funzionalità VoIP di WhatsApp per aiutare i clienti a violare i cellulari di almeno 1400 utenti, tra aprile e maggio 2019. Gli attaccanti avrebbero usato server e servizi di hosting già associati a NSO, nonché account WhatsApp, sostiene la denuncia. Il colosso di messaggistica ritiene che quegli attacchi siano un abuso della sua rete; e vuole un’ingiunzione per impedire alla società israeliana di accedere alla sua piattaforma. La società israeliana nei mesi successivi ha sostenuto di essere immune da una eventuale azione giudiziaria perché avrebbe lavorato per governi stranieri. WhatsApp/Facebook hanno controbattuto che NSO non avrebbe mostrato prove di questo ingaggio, e che comunque non ci sarebbero leggi che garantiscono immunità a contractor che agiscono in nome di un governo. La causa è ancora in corso.

Il fatto è che in quella vicenda WhatsApp avrebbe individuato, fra i target presi di mira, almeno 100 attivisti dei diritti umani, giornalisti e membri della società civile in tutto il mondo, dagli USA agli Emirati, dal Bahrein al Messico, dal Pakistan all’India. Persone come Faustin Rukundo, oppositore del governo in Rwanda, ma residente a Leeds (UK). Secondo Reuters, però, una porzione “significativa” di vittime erano anche funzionari governativi e militari di alto profilo, sparsi per 20 Paesi, incluse nazioni alleate agli Usa. Uno scenario che apriva la possibilità che alcuni clienti della società di spyware avessero usato i suoi servizi non per fare indagini interne, ma per operazioni di spionaggio.
“Dopo che WhatsApp ha rilasciato la patch [la correzione della vulnerabilità, nda] e bloccato l’attacco, Citizen Lab si è offerto volontario per identificare i target”, scrive oggi Deibert nel suo libro. “Whatsapp ha condiviso con noi un migliaio di numeri di telefono, che riflettevano il periodo di due settimane di attacco su cui avevano i dati. Dopo mesi di indagini, il nostro team di ricerca ha identificato più di cento individui in 20 Paesi, che non erano né terroristi né criminali ma giornalisti, avvocati, attivisti per i diritti umani, e figure di opposizione, i cui telefoni erano stati compromessi in questo modo”.
Tra le vittime individuate dai ricercatori c’è il già citato Faustin Rukundo, scappato dal Rwanda. Il suo nome, scrive Deibert, “stava su una lista in circolazione di nemici del governo del Rwanda sotto il titolo ‘Quelli che devono essere ammazzati subito’”. 

Mosche e api

Ma prima ancora che uscisse questa storia, il Citizen Lab era al lavoro su un’altra vicenda, su una pista saudita, che vedeva coinvolto proprio Omar Abdulaziz, e di rimando Jamal Khashoggi. Qui ci sono alcune informazioni interessanti e inedite che provengono dal libro di Deibert. Mentre i sauditi si prodigavano in sforzi per sorvegliare dissidenti all’estero, “noi, a nostra volta, sorvegliavamo loro”, scrive il direttore del Citizen Lab in un colpo di scena. In pratica il team di ricerca aveva messo assieme un elaborato metodo di monitoraggio del traffico generato dai dispositivi per documentare l'infrastruttura di NSO Group e “avevamo (all’insaputa dell'azienda e dei suoi clienti) un mirino in tempo reale sul numero di apparecchi infetti nel mondo, così come dei possibili governi che li operavano. E nell’estate 2018 potevamo osservare che qualcuno a Montreal aveva avuto il suo telefono violato da sauditi attraverso Pegasus, ma non sapevamo chi fosse”. A quel punto Citizen Lab si mette alla ricerca di una lista di dissidenti sauditi residenti in Canada, e inizia a bussare alla loro porta, uno ad uno. Finché non trovano Omar Abdulaziz, e controllano i messaggi sms ricevuti, confermando che si trattava di lui.

Ma chi è Omar Abdulaziz? Uno studente saudita in Canada, che a un certo punto, nel 2014, riceve asilo dalle autorità locali perché il suo Paese d’origine gli revoca la borsa di studio a causa delle sue critiche pubbliche. Il giovane ha infatti un canale satirico su YouTube e un profilo Twitter, entrambi molto seguiti, tanto da essere identificato come uno dei tre influencer dissidenti più importanti nel rapporto di una società di consulenza. Non solo. È anche in contatto con Jamal Khashoggi, altro saudita in esilio ben più visibile di lui, noto giornalista, firma del Washington Post, ultimamente sempre più critico del principe ereditario Mohammed bin Salman, noto come MbS. Anzi, i due esiliati iniziano a progettare assieme alcune azioni di contrasto alla propaganda di Ryad sui social media. Una di queste era il progetto Electronic Bees (api elettroniche), il cui obiettivo era organizzare un ampio numero di attivisti e dissidenti sauditi su Twitter, per rispondere direttamente alle attività dei troll e degli operatori del regime. Ma i sauditi erano venuti a conoscenza di questi progetti in tempo reale dal telefono di Abdulaziz, sostiene lo stesso in una causa contro NSO (di cui avevo scritto a suo tempo nella newsletter Guerre di Rete).

Infatti nel giugno 2018 Abdulaziz riceve una finta notifica di un corriere DHL, poche ore dopo aver fatto un acquisto su Amazon. Clicca sul link e senza saperlo permette all’intelligence saudita di acquisire un controllo pressochè totale del suo telefono. “Per settimane — scrive Deibert — agenti sauditi hanno risucchiato e analizzato tutto quello che Omar comunicava, incluse le sue regolari interazioni con Khashoggi. Hanno ascoltato Omar e Khashoggi disprezzare il regime, e lo stesso MbS. ‘Più vittime divora, più ne vuole’, aveva scritto Khashoggi su WhatsApp, riferendosi a MbS, che definiva anche ‘la bestia’. Hanno monitorato i loro piani per contrastare il ‘Signore delle Mosche’ [la propaganda saudita sui social, nda] con quello che chiamavano ‘un esercito di api’. Khashoggi si era anche offerto di finanziare il progetto, trasferendo migliaia di dollari a Omar per sviluppare la campagna. Agli occhi dei despoti sauditi, tali piani equivalgono a tradimento punito con la morte”, conclude Deibert. Quando Adbulaziz scopre, da Citizen Lab, di aver avuto il telefono spiato, lo comunica a Khashoggi. Lui gli risponde su WhatsApp: “Che Dio ci aiuti”.

Abdulaziz non è l’unico a essere inseguito da spyware sauditi quell’estate. Anche un ricercatore di Amnesty International ne riceve uno. Secondo l’analisi fatta dall’Ong per i diritti umani, si tratterebbe di Pegasus. A riceverlo anche un dissidente saudita (si scoprirà poi essere Yahya Assiri, un ex ufficiale dell’aeronautica saudita divenuto difensore dei diritti umani all’estero). Citizen Lab, chiamato ad analizzare il caso a sua volta, ritiene valida l’analisi ed esce con un articolo. È il primo agosto 2018. Ma non è finita, ancora. Il primo ottobre 2018 Citizen Lab pubblica un nuovo report, dove spiega come avrebbe individuato uno spyware, che ritiene sia prodotto da NSO, e inviato dal governo saudita sul telefono di Omar Abdulaziz. Il giorno dopo Jamal Khashoggi entra nel consolato saudita di Istanbul al fine di ottenere dei documenti per sposare la fidanzata. Non ne uscirà mai.
“Come molti altri i cui account sono stati compromessi, con conseguenze dolorose per le loro comunità di riferimento, Omar [Abdulaziz] ha sofferto sia un trauma che sensi di colpa per quanto accaduto ad altri, come Khashoggi”, scrive Deibert nel suo libro. E così prosegue: “Sebbene sia impossibile dirlo con sicurezza, la sorveglianza che abbiamo svelato su Omar Abdulaziz potrebbe essere stata uno dei fattori decisivi nella decisione di uccidere Jamal Khashoggi”.

Progetto Pegasus  

A metà luglio 2021 il torpore mediatico estivo e pandemico viene scosso da un grosso progetto internazionale. Una collaborazione fra 17 testate globali — inclusi Guardian, Le Monde, Washington Post — coordinate dalla nota no profit francese Forbidden Stories, specializzata nell’organizzare grandi inchieste internazionali, e con la collaborazione tecnica del Security Lab di Amnesty International (a sua volta validata dall’esterno dal Citizen Lab), esce con uno scoop composto da una serie di storie a cascata. Il fulcro delle storie è l’utilizzo dello spyware Pegasus da parte di diversi governi. Secondo l’inchiesta internazionale, Pegasus sarebbe stato utilizzato contro 180 giornalisti, e poi avvocati, politici, attivisti. Ci sono nomi, facce, storie, raccontate in dettaglio dalle testate dei diversi Paesi. A fare notizia è l’entità della denuncia, in questo caso, e anche la copertura geografica. Gli Stati sospettati di aver abusato dello spyware sono più di una decina, e includono Azerbaigian, Bahrein, Kazakistan, Messico, Marocco, Rwanda, Arabia Saudita, Togo, Emirati, India e Ungheria.

Gi attacchi coprirebbero un periodo che va dal 2014 al 2021, e i più recenti sfrutterebbero un attacco zero-click (per cui non è richiesta alcuna azione, alcun clic o altro da parte del target) capace di violare anche un iPhone 12 con iOS 14.6. Alla base dell’inchiesta internazionale, anche in questo caso così come abbiamo visto spesso in passato, c’è proprio un leak, una fuga di dati da o sull’azienda interessata (o, presunto tale, visto che NSO nega ci sia stato alcun leak di suoi dati e non concorda con l’interpretazione della lista data dal consorzio). Sta di fatto che Forbidden Stories e Amnesty avrebbero costruito le loro analisi a partire da questo presunto leak (la cui fonte non è stata rivelata) di una lista di oltre 50mila numeri di telefono. Questi numeri sarebbero, ritiene il consorzio giornalistico, di soggetti di interesse per i clienti di NSO Group, insomma una lista di possibili, potenziali target. Ma essere sulla lista non vuol dire avere avuto il telefono compromesso, né aver mai ricevuto per forza un tentativo di compromissione. Il Security Lab di Amnesty (guidato dal ricercatore di sicurezza Claudio Guarnieri) è riuscito a effettuare un’analisi forense su 67 di questi telefoni, e su 37 ha confermato la presenza di tracce dell’attività di Pegasus. Inoltre il consorzio è riuscito a identificare i proprietari di oltre mille numeri (tutte queste sfaccettature sono spiegate forse al meglio da OCCRP, una delle testate coinvolte).

Non mi soffermo qua su tutte le vicende emerse dal progetto Pegasus: è storia recente, ampiamente seguita dai media, e in italiano potete ad esempio leggere questo approfondimento di Valigia Blu. Ricordo solo, per riallacciare alcuni fili, che per il Washington Post ci sarebbero le prove dell’invio di Pegasus anche sul telefono della moglie di Khashoggi, Hanan Etral, sei mesi prima del suo assassinio. E che invece lo smartphone della fidanzata del giornalista, Hatice Cengiz, sarebbe stato violato pochi giorni dopo l’omicidio, seconda una analisi forense dello stesso. 

Ma anche che un giornalista messicano, Cecilio Pineda Birto, avrebbe avuto il suo numero inserito in questa lista poco prima della sua uccisione nel 2017. Che la giornalista azera Sevinc Vaqifqizi, che già aveva ricevuto minacce per il suo lavoro, ha avuto il suo telefono infetto per due anni, secondo il Security Lab di Amnesty che l’ha analizzato. Che 40 giornalisti in India erano presenti nella lista come “potenziali target”. E altri 34 in Marocco. Che le analisi forensi sui telefoni hanno dimostrato come Siddharth Varadarajan e MK Venu, cofondatori della testata online indiana indipendente The Wire, avrebbero avuto il dispositivo sorvegliato fino al 2021. 

“Non abbiamo e non abbiamo mai avuto alcuna connessione con la lista”, ha dichiarato Shalev Hulio, cofondatore e CEO di NSO Group, “e se verrà fuori che un cliente ha abusato del nostro sistema per spiare giornalisti o attivisti dei diritti umani interromperemo subito il servizio”. Per Hulio, dietro al progetto Pegasus ci sarebbe una campagna orchestrata contro Israele e le sue aziende, e ipotizza soggetti come il Qatar o BDS, il movimento pro-palestinese per l’adozione di misure di boicottaggio, disinvestimento e sanzioni ecomomiche contro Israele. “Non voglio sembrare cinico, ma ci sono persone che non vogliono far importare gelati in Israele o vedere le nostre tecnologie esportate”.
Vale la pena notare che, quando anni prima sono usciti report, articoli e leak che mettevano sulla graticola aziende anglotedesche (Gamma) e italiane (Hacking Team), giravano accuse simili. Anche se allora i presunti manovratori sarebbero stati altri. Per altro quel riferimento ai gelati ricorda molto i panini di Hacking Team, ovvero ancora una volta viene avanzata la tesi che gli spyware siano un prodotto come un altro, esportabile come un altro, e non parte di un “complesso di cybersorveglianza industriale” strettamente connesso all’intelligence del Paese dove l’azienda è nata, risiede e prospera.

Non a caso, secondo la testata israeliana Haaretz, la commercializzazione di Pegasus all’estero appare collegata alla diplomazia del governo Netanyahu. “I Paesi in cui i giornalisti sono stati presi di mira attraverso la tecnologia NSO come rivelato dal progetto Pegasus - scrive il giornale - sono Arabia Saudita, Ungheria, Azerbaigian, EAU, Rwanda, Marocco, India e Messico. Questa lista suona un campanello per chiunque segua le notizie in Israele, perché rispecchia la lista di Paesi con cui Israele ha migliorato le proprie relazioni diplomatiche negli ultimi anni, sotto il primo ministro Benjamin Netanyahu”. Haaretz prosegue con una serie di esempi, e rincara la dose: “L’altro comune denominatore dei Paesi nominati nel progetto Pegasus è che Israele ha, verso gli stessi, un consolidato interesse geopolitico”.
Di sicuro, le commercializzazione dello spyware fuori dai confini nazionali non è avvenuta all'insaputa del governo. Per vendere all’estero una società come NSO ha bisogno “di tre livelli di approvazione dal governo: quando entra in una negoziazione, quando la conclude e quando vende. Ma il ministero della Difesa ha approvato richieste senza freni. La posizione del governo israeliano è stata di vendere vendere vendere quanto puoi”, ha commentato in un podcast di Haaretz il giornalista Yossi Melman. 

Cosa sappiamo di NSO Group? 

È  stata fondata nel 2009 da tre israeliani, Niv Carmi, Shalev Hulio e Omri Lavie (da cui il nome NSO, anche se Niv Carmi è poi uscito) ed è composta da un alto tasso di ex membri dell’intelligence o dell’esercito. I suoi stessi fondatori provengono dall’Unit 8200, il ramo dell’intelligence israeliana che conduce sorveglianza elettronica, analogo alla statunitense NSA.
NSO Group nel 2018 fatturava 250 milioni di dollari, sei volte tanto rispetto al 2014, quando fu comprata dalla società americana di private equity Francisco Partners. Nel 2019 i fondatori e il management team si sono ricomprati l'azienda, col supporto della società europea di private equity Novalpina. Per Times of Israel l’accordo avrebbe valutato la società un miliardo di dollari.

Secondo varie fonti, NSO sarebbe collegata ad altre società, come Circles (specializzata anch’essa in sorveglianza, e nello specifico nella localizzazione di telefoni) e la lussemburghese OSY Technologies, in una complessa ramificazione societaria con importanti basi d’appoggio tra Bulgaria e Cipro. Si tratta di due Paesi che hanno il vantaggio di essere parte dell’Unione europea, e che offrono alcuni benefit a livello regolamentare e commerciale. Come spiega un addetto ai lavori ad Hareetz, “Cipro è certamente uno dei Paesi preferiti [da questo genere di industria, nda]. Alcuni Stati non vogliono lavorare con aziende israeliane e insistono di voler trattare con società europee, quindi ti serve una società apposta per vincere le gare. In molti casi, se vuoi vendere nella Ue, e di sicuro nei Paesi del Golfo, hai bisogno di una società non israeliana”. In ultima analisi la licenza dei prodotti NSO è regolata dalle autorità di tre diversi Paesi da cui esporta: Bulgaria, Cipro e Israele, dove ha il suo quartier generale. Qui, come scritto in precedenza, è il ministero della Difesa, che gestisce l’agenzia di controllo sulle esportazioni, ad avere voce voce in capitolo sulla concessione di licenze per l’export a società di prodotti di sorveglianza.

A tentare di seguire la ramificazione aziendale prima citata ci ha provato un report di 3 Ong uscito qualche tempo fa. Il report e le relative permutazioni societarie (che trovate minutamente descritte nello stesso) sono impossibili da riassumere. Ma proprio per tale motivo mostrano la traiettoria evolutiva di questo genere di industria e la difficoltà per chiunque voglia monitorarla e obbligarla a una maggiore trasparenza e responsabilità. “La struttura corporate di NSO Group, alimentata dagli investimenti globali e plasmata dalle priorità strategiche di società di private equity e governi, è cresciuta fino a inglobare multiple giurisdizioni nel mondo, incluse le Isole Vergini britanniche, la Bulgaria, le isole Cayman, Cipro, Israele, il Lussemburgo, la Gran Bretagna e gli Stati Uniti”, scrivono nelle conclusioni gli autori. “Le entità di NSO Group hanno ottenuto licenze per l’export da Israele, Bulgaria e Cipro. Attraverso molteplici livelli di holding e il fondo di private equity Novalpina Capital, NSO Group conta attualmente investitori individuali e istituzionali, tra cui due fondi pubblici in Gran Bretagna e due negli Usa. In definitiva, la struttura corporate della società di sorveglianza NSO ha facilitato la crescita e l’accettazione di questa compagnia e in generale del settore ‘dell’intrusione come servizio’, legando i rendimenti degli investitori all’espansione della vendita della sorveglianza”.

Anche per questo non è un caso che tra le innumerevoli reazioni al progetto Pegasus, ci sia una lettera firmata da molte Ong e associazioni per i diritti umani di vari Paesi, e da vari esperti indipendenti, che chiede agli Stati di adottare una moratoria sulla vendita, trasferimento e uso di simili tecnologie. Ma anche altri provvedimenti e una nuova cornice legale per obbligare le aziende a essere più trasparenti sui loro prodotti e clienti, e per renderle responsabili in caso di impatto negativo sui diritti umani, coinvolgendo anche la filiera e la catena di intermediari, sussidiarie, holding.

(FINE SECONDA PARTE)

Guerre di Rete - SPYWARE LTD (PARTE 1)

Edizione speciale della newsletter con un lungo approfondimento in 3 parti sul tema trojan di Stato. - PARTE 1

PARTE 1
La seconda e terza parte si trovano nelle newsletter successive.
Clicca qui per la seconda parte.
Clicca qui per la terza parte.
L’intero Spyware Ltd si può anche leggere o scaricare in versione pdf a questo indirizzo (https://bit.ly/spyware_ltd).

Spyware Ltd

Indice

  • Introduzione

  • Primavere

  • Il primo leak 

  • La scuola italiana di malware

  • Lo spyware venuto dall’exploit

  • NSO e il suo zero-day

  • Progetto Pegasus

  • Chine pericolose

  • Gli emergenti

  • Nota dell’autrice

  • Per approfondire


Introduzione

Vent’anni di industria della sorveglianza più profonda: quella che opera attraverso l’inoculazione di un trojan, uno spyware. I due termini — che qui sono usati come sinonimi — indicano quei software malevoli che di nascosto prendono il controllo di un dispositivo e ne spiano, tracciano, intercettano tutte le attività: mail, messaggistica (inclusa quella cifrata, visto che il controllo avviene direttamente tramite il dispositivo), foto, video, geolocalizzazione, file salvati, screenshot dello schermo, microfono e videocamera che possono attivarsi e registrare. Un’industria che lavora principalmente al servizio di governi, forze dell’ordine, intelligence per svolgere indagini. Ma che, da almeno dieci anni, ha iniziato a sollevare interrogativi e preoccupazioni in ricercatori di sicurezza informatica, giornalisti, hacktivisti, attivisti per i diritti umani, aziende che si occupano di cyber-difesa. Da un decennio questo gruppetto inizialmente sparuto e stranamente assortito chiede maggiori controlli e trasparenza sul settore, e soprattutto salvaguardie contro l’abuso di questi strumenti, specie in Paesi con tendenze autoritarie. Nel mentre, l’oggetto principale di questo saggio, l'industria degli spyware — tra alti e bassi di singoli protagonisti, fughe di dati, attacchi informatici subiti, indagini giudiziarie, catene societarie, intermediari, governi amici, partner nelle boutique di vulnerabilità, legami con l’intelligence — nel suo complesso è cresciuta. Si è diversificata. Ha trovato e continua a trovare nuovi clienti. Si è perfino proposta con soluzioni per monitorare la diffusione di infezioni nella pandemia. Malgrado la nuvola societaria — tra holding, sussidiarie, Limited Company (Ltd) — che offusca parte di questo settore, il suo raggio d’azione sembra sempre più illimitato.

Mappare tale industria è dunque molto difficile, anche per la segretezza in cui si muove. Qui si vuole tracciare solo alcune sue traiettorie. O, ancora più modestamente, segnare alcuni puntini. Lasciamo ai lettori il compito di unirli come meglio credono. Quale che sia il disegno che ne verrà fuori, è l’ora di guardarlo con attenzione.

Primavere

Dopo aver cacciato il presidente-rais Hosni Mubarak, i dimostranti egiziani irrompono anche negli uffici degli apparati di sicurezza. Siamo all’inizio del marzo 2011, in piena Primavera Araba, quelle proteste antigovernative che nel giro di pochi mesi avrebbero squassato gran parte del Medio Oriente e del Nord Africa, e in particolare la Tunisia, l’Egitto, la Libia, lo Yemen, la Siria e il Bahrein.

I manifestanti, dopo aver negoziato coi militari, riescono a entrare dunque nelle stanze di quegli edifici definiti “la capitale dell’inferno”, nel distretto di Nasr City, al Cairo, dove i temuti servizi di sicurezza egiziani incarceravano, torturavano, e conservavano documenti. Qui, tra montagne di carta appena triturata dai funzionari evacuati, vengono ritrovati anche documenti intatti e riservati. Tra questi quella che appare essere un’offerta commerciale, fatta nel giugno 2010, per un prodotto di sorveglianza, un software per spiare da remoto nei computer dopo averli infettati. Un trojan. Uno spyware. Sul nome del documento c’è FinFisher, una soluzione di intrusione prodotta da un’azienda europea, Gamma International UK Limited. Ma la proposta sarebbe arrivata tramite una controllata, Modern Communication Systems.

Non è chiaro se il documento sia originale, se l’offerta (da 287mila euro) sia andata a buon fine, se e come venga usato quel prodotto in Egitto. Un avvocato di Gamma dirà poi al Washington Times che la vendita non sarebbe mai avvenuta, mentre al Guardian un rappresentante dichiarerà che Gamma International UK Limited non aveva fornito FinFisher al governo egiziano.
In ogni caso, il documento, trovato da un blogger, attivista e medico egiziano, Mostafa Hussein Omar (noto come Moftasa), viene subito mandato a un noto e carismatico esperto di cybersicurezza, Mikko Hypponen, che lavora a Helsinki per la società finlandese F-Secure, e che sempre all’inizio di marzo ci scrive un articolo sul blog aziendale.

È un post passato un po’ in sordina ma estremamente importante. È insieme una presa d’atto e una dichiarazione di guerra. “Noi non sappiamo se i servizi segreti egiziani (State Security) abbiano comprato lo strumento o no. Non sappiamo se lo abbiano usato per spiare sui loro stessi cittadini”, premette Hypponen. Ma, alla domanda se loro in quanto esperti di sicurezza informatica sarebbero pronti a individuare quel software, la risposta è sì. Perché “siamo nel business di vendere protezione”, indipendentemente da dove e da chi arrivi l’attacco.
“È facile immaginare il caso in cui un nostro cliente sia innocente ma sospettato di un crimine che non ha commesso. In tale situazione è giusto che si aspetti che il suo antivirus lo protegga dai trojan, anche da quei trojan che possano arrivare dal governo [neretto nel testo originale, nda]. E questo sarebbe ancora più importante se il cliente vivesse in uno Stato totalitario. Come avviene per alcuni dei nostri clienti”. E poi ancora: “Smettere di individuare trojan governativi significherebbe prendere una china pericolosa”.

Insomma, il post dice due cose. La prima è che l’era dei trojan di Stato, di strumenti di intrusione di origine governativa e non criminale usati per spiare le attività di computer (e poi di smartphone) di alcuni cittadini, è iniziata da tempo e sta crescendo. In Stati democratici e in Stati autoritari. La seconda è che noi non staremo a guardare. Il noi è la società per cui lavora, ovviamente, ma qui Hypponen sembra rappresentare anche qualcosa di più: un sottoinsieme di ricercatori di sicurezza che da questo momento iniziano a darsi da fare per tracciare tali software. Anche se sono usati dai governi. Soprattutto se sono usati da governi illiberali o dittatoriali.

Non era così scontato dirlo, mi racconta oggi Mikko Hypponen. Era la prima volta che veniva a sapere di FinFisher, attraverso quei documenti ritrovati in Egitto. “Il primo a dare la notizia su Twitter fu Moftasa, e fu proprio lui a darci il documento”, mi conferma Hypponen. “All’epoca l’atteggiamento delle aziende di cybersicurezza verso i malware che non provenivano da criminali non era affatto limpido. E dunque volevo chiarire la nostra posizione: il nostro lavoro era di individuare il malware, tutto lì. Non ci interessava chi lo aveva scritto. Avremmo avuto le palle di aggiungere l’individuazione di questo genere di cose, anche se erano scritte o usate da poliziotti o spie. Da allora, è diventato comune per i governi usare strumenti informatici offensivi. Ma allora non era così noto. Quando ho scritto quel post era il marzo 2011”. Sono gli stessi mesi in cui emerge con forza il caso Stuxnet, nota ancora Hypponen.
Ovvero il primo malware usato per sabotare con successo un impianto industriale, uno stabilimento di arricchimento dell’uranio, a Natanz, in Iran. Considerata la prima “cyber arma” nota, dal momento che il software malevolo era stato in grado di provocare una distruzione fisica (in quel caso delle centrifughe). Realizzata da Stati contro altri Stati.

Ma restiamo agli spyware usati come intelligence, e non ai malware distruttivi. La Primavera Araba apre dunque una finestra su questa nascente industria. Forse la alimenta anche, perché molti governi della regione iniziano a temere molto di più il dissenso e a cercare di prevenirlo e perseguirlo. Tuttavia, a prendere nota, sono anche alcuni attivisti per i diritti umani ed esperti di sicurezza informatica. È chiaro ormai che sono di fronte a quella brutta china di cui parla Hypponen, a un piano sempre più inclinato, e non vogliono scivolarci sopra. I dieci anni a seguire saranno la storia di questo piano, di quanto ha continuato a inclinarsi, dei suoi improvvisi e inopinati scossoni, e dei difficili tentativi di raddrizzarlo.

C’è posta per te, dal Bahrein

Passano pochi mesi, è ancora il dicembre 2011. Le rivelazioni di Snowden sui programmi di sorveglianza statali globali sono ancora lontane due anni, arriveranno solo nel 2013. Ma intanto in Germania una delle più autorevoli organizzazioni hacker sulla scena mondiale, il Chaos Computer Club, ha appena rinvenuto e analizzato un trojan governativo, anzi, federale (lo chiamano il Bundestrojaner, trojan federale) e denunciano l’assenza di salvaguardie tecniche per limitarlo. E ora WikiLeaks, l’organizzazione fondata da Julian Assange, che nel 2010 aveva pubblicato documenti riservati sulla guerra in Iraq, in Afghanistan e i documenti interni della diplomazia statunitense, se ne esce con gli Spy Files, migliaia di pagine, materiali, brochure su quella che viene definita “l’industria della sorveglianza globale di massa”. Gli Spy Files mettono assieme società, tecnologie e settori diversi. Ci sono nomi che emergeranno sempre di più negli anni successivi, come l’italiana Hacking Team, la francese Vupen, la tedesca Trovicor. 

E ricompare il nome di Gamma International. Secondo la sua stessa brochure pubblicata allora, FinSpy, il suo prodotto di punta all’interno del kit FinFisher, una volta installato su un computer (Mac, Windows o Linux), monitora le chat e chiamate Skype e le email, può estrarre file dall’hard disk, registrare quanto viene digitato sui tasti, e può attivare microfono e videocamera per una sorveglianza in tempo reale. I dati estratti dal target (il pc infetto) e i comandi inviati dal server che controlla ora il target passano attraverso una serie di altri computer che stanno in mezzo, fanno cioè da proxy, in modo da offuscare, anonimizzare chi sta raccogliendo le informazioni alla fine della catena.

Ad ogni modo, si tratta finora solo di documenti commerciali e brochure. Questi sistemi, che ancora attirano l’interesse di pochi, sembrano non solo arcani ma anche impalpabili e asettici. Ma passano circa sei mesi, e arriva il primo report a gettare una luce sul funzionamento effettivo di questo genere di programma. E soprattutto lo situa, lo cala in una realtà.

Il 25 luglio 2012 infatti la testata Bloomberg e il laboratorio Citizen Lab dell’Università di Toronto (che fa ricerca sull’intersezione fra diritti umani e tecnologie) escono rispettivamente con un’inchiesta e un’analisi tecnica. Tra aprile e maggio alcuni attivisti per la democrazia in Bahrein avevano infatti ricevuto delle email con degli allegati malevoli. Ad esempio, Ala’a Shehabi, una economista nata in UK e cofondatrice di Bahrain Watch, Ong pro-democrazia, aveva ricevuto una email che sembrava provenire da una giornalista di Al Jazeera (ma l’indirizzo Gmail non era il suo), e che conteneva presunte informazioni su dei casi di tortura e delle immagini di detenuti. Insieme a un malware. La donna, insospettita dalla mail, aveva contattato un giornalista di Bloomberg che a sua volta aveva chiesto aiuto a Citizen Lab. I ricercatori a quel punto scoprono che gli allegati avrebbero installato un software malevolo, un trojan, uno spyware, che avrebbe poi raccolto screenshot, password, chiamate Skype ecc. Il trojan si connette a un server il cui indirizzo IP appartiene alla Batelco, la principale compagnia di telecomunicazioni del Bahrein. I ricercatori creano una “firma”, come un’impronta digitale, del malware, che risulta molto simile a quella di un altro spyware trovato da un altro ricercatore, e che si connette a domini riconducibili, scrivono gli autori del report, a Gamma International, perché sembra essere una demo, cioè una versione dimostrativa, del prodotto di questa azienda.

Identificare e attribuire un software malevolo di questo tipo è un lavoro certosino che mette insieme tante tessere diverse, un’indagine indiziaria, circostanziale, ma che può comunque essere valutata e soppesata da altri perché i dati sono esplicitati. In ogni caso i ricercatori — che dispongono ancora di pochi elementi su cui lavorare in questa fase — sono cauti. “L’analisi suggerisce l’uso di FinSpy, parte del kit di intrusione FinFisher, distribuito da Gamma International”, scrivono, invitando l’azienda a commentare e chiarire.

Resta un punto interrogativo sull’identità del malware rinvenuto, ma non sulle intenzioni di chi lo sta usando. “Dal Bahrein con amore”, è infatti il titolo sarcastico dell’analisi. A ricevere quel malware sono stati alcuni attivisti per la democrazia, che si trovavano a Manama, la capitale del regno nel Golfo Persico, a Washington o a Londra. Dicono di non essere al corrente di indagini nei propri confronti. D’altra parte, Gamma ribadisce a Bloomberg che il suo strumento è venduto solo ai governi per investigare criminali e che vengono seguite le regole sull’export di Germania, Gran Bretagna e USA.

La mail con informazioni preziose che sembra arrivare da un giornalista. Il ritrovamento di un trojan nei dispositivi di attivisti per i diritti umani. Gli spyware che sono venduti solo ai governi, ma l’impossibilità di sapere quali. La presenza di mediatori e intermediari a complicare la ricostruzione della catena commerciale. E la presenza di Paesi con grossi problemi di democrazia. Ci sono già tutti gli elementi che si ripeteranno, quasi identici, ogni volta, per anni. Ma, come vedremo, in un crescendo.

Una, nessuna, centomila

Ma chi produce FinFisher? È inglese o tedesca? Non è così semplice indicarlo con precisione. A volte Gamma è definita tedesca, altre volte inglese, e con nomi diversi. C’è infatti un ramo in Gran Bretagna, ad Andover, Gamma International Ltd; e uno tedesco, a Monaco, Gamma International Gmbh. Sono sussidiarie di Gamma Group, gruppo specializzato in soluzioni di sorveglianza e monitoraggio, che impiega ex personale militare, di proprietà di un uomo d’affari britannico basato in Libano, Louthean Nelson, attraverso una società offshore nelle Isole Vergini britanniche, Gamma Group International Ltd, creata nel 2007 attraverso una agenzia di Singapore.
Il padre di Nelson, William (Bill), sarebbe invece il Ceo della unità britannica, Gamma UK, che sta vicino alla casa di famiglia nell’Hampshire, riferisce l’International consortium of investigative journalists. Ma la figura centrale è Louthean, il quale inizia la sua carriera negli anni ‘80 in una azienda tedesca, PK Electronics, che farebbe da intermediaria nel commercio internazionale di prodotti di sicurezza, scrive l’agenzia olandese di ricerca Buro Jansen and Janssen. Negli anni ‘90 iniziano i primi passi di Gamma, e soprattutto inizia a nascere una costellazione di società tra UK, Germania, Isole Vergini britanniche, Cipro e Libano. L’espansione in Germania avviene dal 2008, ed è qui che il kit FinFisher viene sviluppato. E qui entra in scena un’altra figura, Martin J. Muench, che avrebbe una quota della sussidiaria tedesca oltre ad essere il suo managing director. Un passato da hacker, Muench avrebbe contribuito allo sviluppo della distribuzione Linux BackTrack, e secondo alcune fonti sarebbe l’autore, la mente dietro al toolkit di intrusione di FinFisher. In ogni caso Muench gira per le conferenze di intelligence e sicurezza e rilascia talk con le iniziali MJM. È anche l’unico portavoce o volto pubblico, dato che Louthean Nelson è quasi invisibile.
A sviluppare il prodotto ci sono però anche altre figure e società, tra cui la più interessante sembra essere l’americana CloudShields, un contractor della difesa statunitense che nel 2009 avrebbe inviato un ingegnere a Monaco a incontrare proprio Muench. Secondo alcuni ricercatori, avrebbe dato un contributo allo sviluppo di attacchi di network injection (di iniezione diretta sul traffico di rete, in cui si interferisce in una connessione iniettando dei codici malevoli).

Ad ogni modo, nell’agosto 2012, poco dopo il primo report sul Bahrein, gli stessi ricercatori che lo hanno firmato, Morgan Marquis-Boire e Bill Marczak, cui si aggiunge Claudio Guarnieri, escono con un altro report. Che questa volta analizza presunte varianti del toolkit FinFisher per gli smartphone, mentre finora si era parlato solo di computer. Ma la parte più interessante è che gli autori sostengono di aver individuato una parte dell’infrastruttura di comando e controllo del software (ovvero il sistema messo in piedi per comunicare con i dispositivi infettati); e in particolare potenziali server in Paesi come il Bahrein, Brunei, Etiopia, Indonesia, Turkmenistan, Emirati, Mongolia. Le funzionalità sarebbero le stesse del materiale promozionale della società, e il malware richiederebbe una qualche interazione da parte dell’utente (come cliccare su un link) per installarsi. I campioni del malware sono anche firmati con un certificato digitale che cita una società, Cyan Engineering Services SAL, registrata a Beirut. Gli autori ritengono che questa sia collegata a Gamma, sottolineando anche una omonimia del rappresentante di Cyan e quello dei produttori di FinFisher. Che replicano dicendo di non vendere al Bahrein e che quella potrebbe essere una copia rubata.

Da questo momento in poi cominciano a uscire altri report o articoli giornalistici che mettono FinFisher sotto la lente. A guidare queste analisi resta però Citizen Lab, che nel 2013 — sempre a firma di quei tre ricercatori cui si aggiunge John Scott-Railton — esce con un report su quella che definisce la “proliferazione globale” di FinFisher. Aumenterebbero i Paesi in cui gli autori sostengono di aver trovato i server di comando e controllo del programma, e questi Stati includono Qatar, Vietnam, Turkmenistan, Messico. Naturalmente, precisano loro stessi, la presenza di server in un luogo non significa automaticamente che il software sia usato dal governo e dall’intelligence locale, in alcuni casi potrebbero essere server affittati da soggetti che stanno altrove. Ma l’analisi di allegati e mail usati per infettare può rivelare qualcosa di più, quanto meno sulle vittime (e di rimando su chi attacca). Ad esempio, i ricercatori sostengono di aver individuato una campagna di infezione con questo software che avrebbe usato come esca delle immagini di un gruppo di opposizione etiope. E questo, scrivono, è una “forte indicazione di una scelta dei target politicamente motivata”. 

Alla fine, Citizen Lab nota come il mercato dei software di sorveglianza e intrusione sia di fatto non regolamentato, e che il proprio obiettivo sia di fare un po’ di luce al riguardo anche per stimolare il dibattito politico. A dire il vero, quest’ultimo rimarrà inchiodato per anni ai margini delle priorità di gran parte dei legislatori e governanti. Ma di sprazzi di luce ne arriveranno ancora molti.

La comparsa di Phineas Fisher 

Intanto in Messico iniziano a esserci richieste di chiarimento sull’uso di questo prodotto, anche perché, secondo alcune inchieste giornalistiche, l’acquisto dello spyware da parte delle autorità sarebbe avvenuto attraverso un rivenditore, una azienda locale, Obses.
Ma a catapultare di nuovo FinFisher sotto i riflettori di molti media è un attacco informatico. È l’inizio di agosto 2014, e un neonato profilo Twitter, @GammaGroupPR, con il nome di “Phineas Fisher”, inizia a twittare proprio su FinFisher e chi lo produce. “Siccome qua a Gamma abbiamo esaurito i governi, apriamo le vendite al pubblico”, esordisce il primo tweet e a seguire arrivano quelli che sembrano essere le brochure, il listino prezzi e vari documenti confidenziali dell’azienda. Il giorno dopo, Phineas Fisher pubblica anche un post sul noto forum Reddit, nella sezione (subreddit) Anarchism, dove dice di aver violato l’azienda anglotedesca e di aver copiato 40GB di dati che si ritrovano anche online a quel punto, scaricabili da chiunque (e poi pubblicati da WikiLeaks). Pochi giorni dopo l’autore pubblica anche una lunga spiegazione in inglese su come avrebbe fatto. La intitola "HackBack, una guida fai da te per chi non ha la pazienza di aspettare i whistleblower" (qui non faròun profilo accurato di Phineas, ma se volete l’ho scritto per Valigia blu).
Nei documenti c’è anche una lista di aziende da cui Gamma comprerebbe gli exploit, i codici di attacco con cui sfruttare specifiche vulnerabilità del software dei dispositivi e infettare i target. In questa lista c’è ad esempio la società francese Vupen che ritroveremo più avanti. Questi documenti daranno un vantaggio a quelli che cercano di analizzare Gamma e il suo spyware, “un vantaggio prima inimmaginabile”, scrive all’epoca la giornalista tech Violet Blue.
FinFisher Gmbh (come si chiama ora l’azienda produttrice dell'omonimo software insieme ad altri partner) continuerà a essere una protagonista del settore fino ad oggi. Nell’ottobre 2020 la stampa tedesca ha riferito di un raid della polizia nella sede della società a Monaco e in Romania, e di una indagine che riguarderebbe il presunto export dei suoi prodotti senza le dovute autorizzazioni.
Ma non c’è solo FinFisher.

La scuola italiana di malware

È il 2003 quando in Italia viene fondata Hacking Team. Raccoglie e raccoglierà negli anni a venire alcuni dei più bravi hacker italiani, specializzati nel reverse engineering (una attività di analisi che permette di risalire al funzionamento di un programma) del malware e in quel ramo della cybersicurezza che viene definita, con un certo understatement e non senza suscitare fastidio nei diretti interessati, offensiva. La parte più tradizionale di penetration testing (una pratica per individuare vulnerabilità di sistemi usata per testare le difese di un’organizzazione) viene presto sopravanzata però da quella che si mette a sviluppare Ornella, il primo nome del futuro prodotto di punta dell’azienda, un trojan, uno spyware, infine chiamato e conosciuto pubblicamente come RCS (Remote Control System). Anche se all’inizio non era così scontato per tutti che Ornella sarebbe diventato il ramo principale dell’azienda. “All’epoca la creazione di un malware era visto come un esperimento difficile”, mi dice oggi un ex dipendente di Hacking Team, chiamiamolo X. “Non era tanto la sua realizzazione il problema, anche perché esistevano altre backdoor, ma la sua scalabilità. Ed è stata questa l’intuizione principale”.

“Allora non c’erano modelli da seguire, non c’erano concorrenti, o meglio se c’erano non ne eravamo a conoscenza”, racconta anche una diversa persona che all’epoca  lavorava lì. A partire dal 2004 arriva il primo cliente istituzionale, la polizia postale italiana, cui seguiranno ROS dei Carabinieri, SCICO della Guardia di Finanza, intelligence, in un regime di quasi monopolio.  “Il discorso era semplice allora, ed era il seguente: ci pagano, è la polizia, e lo usano per prendere terroristi”, commenta ancora X,  il primo dei due ex dipendenti citati. 

Nel 2007 entrano due fondi di venture capital, Innogest e Finlombarda Gestioni Sgr, quest’ultimo controllato da Finlombarda Spa, finanziaria della Regione Lombardia. Il software milanese inizia a trapelare sui giornali in occasione di inchieste giudiziarie importanti. Ma comincia anche ad attrarre l’interesse di governi stranieri, di altri Stati. Parte così l’espansione globale della società, in termini di vendite e clienti, espansione che diventerà dopo alcuni anni anche il suo tallone d’Achille.
Dal 2011 in poi Hacking Team non vola più sotto il radar, anche in virtù di un piccolo ma ostinato stuolo di attivisti, giornalisti e ricercatori di sicurezza. Esordisce Wikileaks nel 2011, includendola nei suoi già citati Spy Files, con una brochure, una presentazione dell’azienda e del suo prodotto.

“La crescita esponenziale delle comunicazioni VoIP cifrate (...) è un incubo per le forze dell’ordine”, si legge nel documento. Il riferimento, all’epoca, è ancora a Skype. “I governi hanno bisogno di capacità difensive e offensive”, afferma la presentazione. Sono proprio gli anni in cui i governi, anche e soprattutto quelli con gravi carenze sul fronte della democrazia e dello stato di diritto, corrono a dotarsi di questi strumenti. Così nell’agosto 2012 un articolo di Slate racconta la storia di un gruppo di giornalisti d’opposizione marocchini, Mamfakinch.com, sorto dalla Primavera Araba, e attaccato da uno spyware sofisticato, che alcuni ricercatori attribuiscono alla casa milanese. Poco dopo esce anche Citizen Lab con un report sul caso marocchino ma anche sul caso di uno spyware inviato a un noto attivista dei diritti umani negli Emirati Arabi Uniti, Ahmed Mansoor. Lo ritroveremo più avanti. Per ora i ricercatori del Citizen Lab sottolineano come “gli attacchi con malware siano un problema crescente per i gruppi che difendono i diritti umani”. E Hacking Team — che in tutte le occasioni ribadisce di vendere il suo software solo a governi per fare indagini su criminali e terroristi, e di non occuparsi direttamente delle investigazioni — diventa a sua volta una osservata speciale. Escono altri studi del Citizen Lab dedicati al malware made in Italy, e nel 2013 la società di via della Moscova riceve dall'organizzazione per la libertà di stampa Reporters Senza Frontiere il titolo di “Nemico di Internet” (insieme a Gamma Group, e altre aziende).

Ma sarà il 6 luglio 2015 a cambiare tutto. Quella notte infatti, lo stesso account Twitter della società italiana pubblicherà all’improvviso un tweet inequivocabile: “Siccome non abbiamo nulla da nascondere, pubblichiamo tutte le nostre email, i file e i codici sorgente”. Quello che sta succedendo è che il profilo social non è più gestito dai responsabili dell’azienda, ma dalla stessa persona o gruppo che, si scoprirà a breve, ha violato i produttori italiani di trojan. Quel tweet è infatti solo la prima goccia di un leak da 400 GB che finirà online, successivamente ripubblicato dalla stessa Wikileaks in modo da permettere a chiunque di fare ricerche nella gigantesca mole di materiali. A rivendicare il leak, e l’attacco informatico che lo ha prodotto, una figura che abbiamo già incontrato: Phineas Fisher, il nome di chi, esattamente un anno prima, aveva attaccato Gamma/FinFisher. Quando la testata Vice scrive un messaggio al profilo Twitter di Hacking Team (in quelle ore in mano al misterioso attaccante), questi “risponde dicendo di essere Phineas Fisher e che lo avrebbe dimostrato. E infatti subito dopo il profilo @GammaGroupPR, che abbiamo visto all’inizio di questa storia, si risveglia e scrive: “HT e Gamma cadute, e altre da far cadere". Il tweet è poi rilanciato dal profilo (violato) di Hacking Team” (ancora una volta per questa storia rimando al mio profilo su Phineas su Valigia Blu).
Sei mesi dopo arriverà, come avvenuto con Gamma, lo spiegone sull’attacco, ovvero Phineas Fisher​​ pubblicherà di nuovo un documento in cui sostiene di essere entrato/a nella rete di Hacking Team con un exploit, un codice con cui sfruttare una data vulnerabilità, attraverso i servizi esposti (come router, Vpn ecc) della società. Una dinamica che verrà anche confermata nel 2017 dagli inquirenti italiani al momento della richiesta di archiviazione dell’indagine sulla violazione di Hacking Team (indagine che alla fine scagionerà del tutto alcuni ex-dipendenti della società, inizialmente sospettati, e inseguirà invece una pista che porta negli Stati Uniti, dove però dovrà infine arrendersi in un nulla di fatto).

Ad ogni modo quel leak produce una quantità di interesse e articoli sulla società milanese, dal momento che i presunti documenti finiti online (mai confermati né smentiti da Hacking Team) aprono il sipario sui suoi presunti contratti, sui Paesi con cui sembra avere relazioni commerciali, sulla rete di contatti che una simile azienda coltiva: venditori di exploit, intermediari, società che fanno da partner in altri Stati, militari, funzionari dell’intelligence. Una cornucopia di informazioni e dettagli sull’industria degli spyware e i suoi dintorni fino a quel momento inimmaginabile. E poi una lunga lista di Stati e servizi di intelligence.

Si è scritto molto di quelle rivelazioni (io stessa ho scritto tantissimo, quindi non starò a ripetermi — alla fine trovate una minima bibliografia per approfondire, e per ora segnalo Attacco ai pirati, l’instant book per La Stampa uscito all’epoca e di cui sono anche coautrice). Qui interessa sottolineare tre punti. Il primo è che quel leak ha sconvolto in primis proprio le forze dell’ordine, le procure, e l’intelligence italiane, che avevano una stretta relazione con la società milanese, e che in quei giorni sono andate nel panico (salvo poi iniziare a cercare nuovi referenti). Il secondo è che la copertura mediatica dell’evento ha rilanciato il dibattito, già esistente da prima, a livello europeo soprattutto, sulla necessità di regolare l’uso e le esportazioni di questi strumenti (ma anche su come regolamentare il loro utilizzo interno nelle nostre indagine giudiziarie). Dibattito che però è avanzato con passetti piccoli, e non decisivi. Il terzo è che il leak ha dato un duro colpo alla società milanese, la quale già prima sembrava attraversare qualche difficoltà; e che dal 2014 aveva iniziato a perdere dipendenti preziosi.

E, sempre in connessione al primo dei punti, la fuga di dati ha evidenziato anche un’ambiguità esistenziale di questo genere di industria, che ritroveremo anche in altre aziende simili. All’inizio del 2015, quando Hacking Team era pressata dall’ONU che voleva far rientrare le sue tecnologie in quelle soggette a embargo e voleva avere informazioni sulle sue attività in Sudan, un consulente della società scriveva al management che la società milanese doveva essere considerata come un venditore di panini. Ma, in altre circostanze, lo stesso management non mancava di sottolineare con i propri referenti nell’intelligence italiana quanto i prodotti e servizi dell’azienda fossero fondamentali per gli interessi dell’Italia. Quello a cui abbiamo assistito (e assistiamo ancora oggi per altre imprese simili di altri Paesi) è dunque una sorta di bipolarismo fra la parte business, da un lato, e quindi l’immagine agnostica che si vuole dare, di essere un’impresa come tante, che esporta eccellenze come si esportano forme di parmigiano; e la parte di stretti legami e appoggi con l’intelligence e gli apparati statali, dall’altro, per cui la sicurezza dell’azienda diventa questione di sicurezza nazionale. E gli interessi dell’azienda sono gli interessi di un Paese.

Nel marzo-aprile 2019 il gruppo InTheCyber (con sede legale a Lugano) ha acquisito l’80 per cento di Hacking Team (la cui composizione societaria nel 2016 era cambiata, i fondi di venture capital erano usciti, l’80 per cento era tornato in mano allo storico amministratore delegato, e il 20 per cento a una società di Cipro, Tablem Limited, i cui proprietari non sono mai stati del tutto chiariti). Così è nata Memento Labs, che ha fatto confluire le attività di cyber intelligence della stessa InTheCyber con quelle della società milanese di spyware. Il nuovo soggetto ha adottato un profilo più basso, anche se ciò non ha impedito alla stampa di occuparsi ancora dell’ex Hacking Team. Nel marzo 2020 Vice raccontava come molti dei vecchi sviluppatori avessero lasciato la nuova società, mentre il nuovo proprietario, Paolo Lezzi, diceva di aver trovato una situazione difficile (inclusi salari spropositati per alcuni dipendenti), e di stare ricostruendo tutto da capo.

Oggi Memento Labs è presente alle principali fiere di settore. Era tra i partecipanti dell’ISS World Middle East del giugno 2021, dove secondo alcuni resoconti avrebbe iniziato a entrare nel mercato delle intercettazioni hardware, in particolare nel settore degli IMSI-catcher, dispositivi usati per monitorare e localizzare i telefoni in un’area geografica, i cui modelli più evoluti promettono di accedere anche a comunicazioni e  dati in transito delle app. Fiera dove presenziavano anche altre italiane del settore sorveglianza/cyber intelligence, come Area, IPS, Cy4gate, RCS (da non confondere col software citato prima). La “scuola italiana” ha prodotto molte realtà in questo campo negli ultimi anni. C’è anche però chi è finito a sua volta al centro di indagini per come venivano raccolti e gestiti i dati delle intercettazioni, come la calabrese Esurv che produceva lo spyware Exodus, utilizzato da molte procure italiane, e la Stm che lo commercializzava. Tutto ciò ha rilanciato, senza risolverlo, anche il dibattito sull’uso interno di questi prodotti.


(FINE PRIMA PARTE)

Guerre di Rete- Sorveglianza e buone vacanze

Un anno di newsletter

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.111 - 27 giugno 2021

Questa è l’ultima newsletter prima della pausa estiva. Come sempre in estate Guerre di Rete va un po’ in vacanza (ora, lo so che un po’ di gente associa le vacanze della newsletter a catastrofi informatiche, ma si tratta di notizie false e tendenziose cui non bisogna dare credito….:D). 

Questa newsletter oggi sarà più scarna e succinta del solito, e sarà così costituita:

  • una selezione dei numeri della newsletter che hanno suscitato più interesse o che in qualche modo sono ancora attuali nell’ultimo anno (lo conto come gli studenti, da settembre a luglio)

  • un breve aggiornamento su alcune news della settimana

Per il resto, è stato un anno intenso. Riposate anche voi e, come ogni estate, che ci accompagni il mantra: “stacca stacca stacca!!”

--------------

UN ANNO DI GUERRE DI RETE
E’ stato un anno segnato dai ransomware, i virus che cifrano e chiedono un riscatto. Si è partiti a settembre con un incidente clamoroso in Germania, perché ha bloccato il pronto soccorso di un ospedale e una donna che è stata ricoverata altrove in ritardo è poi morta.
- Ransomware e ospedali; social, odio e moderazione
E si è proseguito praticamente per tutto l’anno, in una escalation che ha portato al blocco dell’oleodotto americano Colonial Pipeline
- L'oleodotto ha pagato. E ora?
Per poi concludere con un approfondimento dedicato all’organizzazione dell’ecosistema criminale dietro ai ransomware, in questo:
- Speciale Ransomware

Ma per restare nel campo cybercrimine, e nell’argomento “guerre di rete” per antonomasia, è stato anche un anno di incidenti o intrusioni a infrastrutture critiche che si sono rivelate in tutta la loro fragilità. E non sempre dietro a questi attacchi ci sono Stati stranieri, intelligence e via dicendo. Ma la domanda che assilla molti esperti è: se riescono a fare danni attaccanti quasi casuali e non specializzati, cosa potrebbero fare, volendolo, attaccanti strutturati?
- Intrusione nell’impianto dell’acqua 

E poi ci sono stati gli attacchi supply chain, che sfruttano la catena di fornitura del software per colpire un gran numero di target dopo aver compromesso un loro fornitore. Il caso di cyberspionaggio Solarwinds è un caso esemplare e che ha scosso gli Stati Uniti (prima vittima) al punto da influenzare le politiche cyber della nuova amministrazione Biden.
- Edizione speciale Solarwinds

Altro grande tema di quest’anno è stato il rapporto fra piattaforme, politici, moderazione dei contenuti. A partire da quell’evento quasi epocale del grande deplatforming di Trump.
-Trump e il grande deplatforming
Con tutto il contorno di dibattito su strumenti come il Comitato per il controllo di Facebook, e le sue prime decisioni (La Corte Suprema di Facebook vuole il diritto di satira). E con uno scorcio sulle indagini fatte per individuare gli assalitori del Campidoglio a gennaio, che sono una lezione importante anche sulle tracce lasciate online dalle persone.
- Le indagini online dopo Capitol Hill

Infine, c’è stato un anno di sorveglianza. Che riguarda Stati autoritari e illiberali, come l’Arabia Saudita, su cui sono emersi nuovi dettagli rispetto alla repressione dei dissidenti e l’omicidio del giornalista Khashoggi.
- Il Dissidente, cronaca di un assassinio pianificato
Ma riguarda anche gli Stati democratici che stanno chiedendo più controllo a partire dalle piattaforme, come raccontato sia in newsletter (Stati, piattaforme, censura e free reach) sia in questo articolo per Valigia Blu

Infine ricordo alcuni approfondimenti a tema come questo:
- Facciamo Threat Modeling assieme. Un esercizio in autodifesa digitale

2 anni di Fuori Controllo
Infine, visto che è estate e si va sul leggero, ricordo che esattamente due anni fa pubblicavo questo romanzo, un cyber thriller: Fuori Controllo (Venipedia edizioni) - qui la recensione di Daniele Barbieri. Per chi fosse interessato, in occasione di quest’anniversario l’editore ha creato un codice promozionale FC-2ANNI per i lettori di questa newsletter (30% sconto su acquisto dal negozio online dell’editore, fino a domenica 4 luglio). Da questo link si applica automaticamente il coupon al carrello, una volta scelto quale supporto avere del libro: https://mercante.venipedia.it/shop/libri/fuori-controllo/?coupon-code=FC-2ANNI

----------

E veniamo alle notizie della settimana:

SORVEGLIANZA
Amesys-Nexa, 4 indagati per complicità in tortura 
Quattro dirigenti (ex ed attuali) della società di tecnologie di sorveglianza francese Nexa Technologies (nota prima come Amesys) sono stati indagati in Francia per complicità in tortura.
Tra il 2007 e il 2014 la società in cui lavoravano avrebbe infatti venduto strumenti di sorveglianza a Libia ed Egitto, strumenti utilizzati dai regimi di Gheddafi e di al-Sisi per identificare dissidenti, giornalisti e attivisti, leggerne le email e i messaggi, e in alcuni casi catturarli, torturarli e ucciderli. Secondo le denunce, presentate dalla International Federation for Human Rights, e dalla French League for Human Rights, l’azienda non aveva il permesso del governo di vendere le sue tecnologie in Libia o in Egitto, scrive MIT Technology Review.

Ora la sezione sui crimini di guerra e contro l’umanità della Corte giudiziaria di Parigi valuterà se i quattro indagati debbano essere processati.
Decisive sembrano essere state anche le testimonianze di alcune vittime, arrestate e torturate, che avrebbero spiegato di essere state identificate attraverso le loro comunicazioni elettroniche, o come gli interrogatori si sarebbero basati sui contenuti di loro comunicazioni. In ogni caso questa decisione costituisce il riconoscimento da parte degli inquirenti francesi della possibilità di determinare il ruolo di aziende di sorveglianza nella complicità di violazioni di diritti umani, scrive l’International Federations for Human Rights, aggiungendo che l’incriminazione dei 4 dirigenti potrebbe precedere quella delle società come entità legali.

La notizia colpisce perché, come nota Wired US, questo genere di indagini e incriminazioni sono estremamente rare, mentre il mercato degli strumenti di sorveglianza è stato per anni deregolamentato. Anche per questo lo scorso anno l’Ue ha introdotto nuove regole che obbligano le aziende a ottenere delle licenze per l’esportazione per certe tecnologie di “uso duale” (che possono avere sia usi civili che militari/di intelligence) come gli spyware o altri software di sorveglianza. I governi che devono dare le licenze devono valutare la probabilità che tali strumenti siano usati per violare diritti umani (inutile dire però che queste norme lasciano comunque una certa discrezionalità ai governi). Lo scorso ottobre anche gli Usa hanno aggiornato le loro regole sull’export di software potenzialmente pericoloso e ora il Dipartimento del Commercio dovrà considerare anche i diritti umani nell’approvare o negare le licenze.

AMAZON/WICKR
Amazon si compra un sistema di messaggistica cifrata
Amazon (attraverso AWS, Amazon Web Services) ha acquistato Wickr, società americana che ha sviluppato un servizio di messaggistica cifrato end-to-end (in cui solo mittente e destinatario hanno le chiavi per cifrare e decifrare i messaggi), alla Signal, per intenderci. E la mossa non solo sembra aver preso alla sprovvista gran parte degli analisti e commentatori, ma nessuno sembra avere chiaro cosa implichi.
Fondata nel 2012 a San Francisco, Wickr ha raccolto un totale di 73 milioni di dollari in 4 round di finanziamenti, l’ultimo nel dicembre 2018. Offre una versione gratuita del servizio di messaggistica, che è usato e apprezzato da giornalisti, e utenti di vario genere; e un servizio a pagamento rivolto a imprese, governi, militari, e già utilizzato ad esempio da alcuni settori dell’amministrazione Usa, come le Dogane e la Polizia di frontiera, nota Vice.
D’altra parte AWS, parte rilevante del business di Amazon, ha alcuni grossi contratti proprio coi governi (e negli Usa ha un contenzioso legale con Microsoft che si è aggiudicata una commessa governativa per fornire servizi cloud, il famoso contratto Jedi).
Qualcuno ovviamente si chiede se una simile proprietà non farà fuggire una parte degli utilizzatori di Wickr. E’ anche vero che la necessità di comunicazioni sicure per aziende e governi è diventata questione all’ordine del giorno, dopo un anno segnato da molti episodi di violazioni informatiche, cyberspionaggio, attacchi, in mezzo a un contesto di lavoro ibrido, in cui molti dipendenti stanno a casa (e questo aspetto è stato proprio sottolineato dalle comunicazioni ufficiali AWS).

Del resto, non è un caso che Teams (servizio di messaggistica e video riunioni enterprise dell’acerrima rivale Microsoft) abbia da poco annunciato l’arrivo della cifratura end-to-end per le comunicazioni uno a uno. Zoom ha aggiunto la stessa a fine 2020. E non dimentichiamo che Facebook sta spingendo su Whatsapp Business. Insomma, c’è un mercato per la cifratura end-to-end, perfino un mercato governativo. Come tutto ciò si concili con le periodiche levate di scudi contro la cifratura stessa o alcuni servizi che la offrono però non è chiarissimo al momento.

MISINFORMATION GERMANIA
Mentre si avvicinano le elezioni federali in Germania per il rinnovo del Bundestag il 26 settembre, crescono le preoccupazioni per il rischio di campagne di disinformazione e cattiva informazione sia in merito al processo elettorale che alla Covid, senza che si sia investito molto in prevenzione. Osservata speciale, la destra estrema, scrive la newsletter di Politico.

MCAFEE
E’ morto John McAfee, su cui è già stato scritto tutto e il contrario di tutto, senza per altro dare la minima impressione di avvicinarsi a una qualche comprensione, anche solo giornalistica, del personaggio. Eviterò quindi di aggiungere altro a questo inutile esercizio di stile, ma mi limito a riportare alcune sue parole rilasciate qualche anno fa alla BBC e ricordate in questo podcast.

“Il problema della sorveglianza governativa è molto più difficile da affrontare (rispetto a quella derivante da criminalità, ndr) e per questo anche più minaccioso di ogni altra cosa combinata. Tutti i governi hanno iniziato a temere questo massiccio cambiamento nella tecnologia, per cui la missione originaria di proteggere i cittadini è diventata quella di proteggersi potenzialmente dai cittadini, ma non siamo i nemici”.
Alcuni però lo sono, chiede l’intervistatore, criminali, terroristi ecc per cui governi come l’UK dicono che in situazioni estreme devono poter accedere alle loro comunicazioni.
McAfee: “Sono sicuro che dicano così, ma la questione qua è che abbiamo convissuto coi criminali da sempre, ma questo significa che dovremmo sorvegliare tutto? No. Torniamo indietro a quando non c’erano i computer. Cos’era allora la cifratura? Era qualcosa che veniva sussurrato nell’orecchio. Ora viviamo in un'età tecnologica, in cui il sussurro è una comunicazione cifrata, qualcosa che nessun altro può sentire. Quindi se suona da pazzi che il governo ti dica che non puoi sussurrare all’orecchio di tua moglie, lo è anche quando ti dice che non puoi farlo via internet”.

GREEN PASS
Con l'arrivo del green pass, cominciano a comparire sui social le prime immagini di QR Code esibite da chi lo ha ricevuto. Qui Guido Scorza, componente del collegio del Garante privacy, spiega perché non è una buona idea (via Linkedin)

Smettiamola di dire che la privacy è un intoppo burocratico (Wired Italia)

CYBER
La Commissione europea vuole creare un team di sicurezza informatica comune (Wired Italia)

Un report sulla coordinated vulnerability disclosure in Canada (via Gianluca Varisco)

-------------------------------------------------------------
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter. Seguiteli!
I podcast della newsletter (che escono il lunedì in genere, anche se ora sono in pausa) li trovate sulle principali piattaforme (Apple PodcastsSpotifyGoogle PodcastAnchor.fm). Ogni due settimane circa esce anche Chat di Rete, podcast di interviste condotto assieme a Vincenzo Tiani.

→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.  La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista donatori).
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti. Ciao!

Loading more posts…