Guerre di Rete - SPYWARE LTD (PARTE 3)

Edizione speciale della newsletter con un lungo approfondimento a tema trojan di Stato. PARTE TERZA

set 12, 2021

PARTE TERZA
La prima e seconda parte si trovano nelle due newsletter precedenti. Con questa si conclude lo speciale.
L’intero Spyware Ltd si può anche leggere o scaricare in versione pdf a questo indirizzo (https://bit.ly/spyware_ltd).

Chine pericolose

A volte alcune di queste aziende finiscono coinvolte in episodi a dir poco controversi. Il termine Candiru indica un pesce gatto amazzonico che si insinua nelle branchie di altri pesci e si alimenta degli stessi. Ma è anche il nome di un’azienda israeliana di spyware meno nota, almeno fino a quando nel 2019 Haaretz non esce con un articolo. All’epoca la società avrebbe impiegato circa 120 persone, generando 30 milioni di dollari all’anno di vendite (ma si tratta di stime fatte da osservatori esterni). La discrezione è massima. Nessuno dei dipendenti è presente su LinkedIn. Perfino il suo nome non sarebbe quello ufficiale. La società sarebbe stata registrata prima come Grindavik Solutions nel settembre 2014. Poi LDF Associates nel 2017. Poi ancora Grindavik. Secondo Intelligence online, Candiru sarebbe anche nota come Saito Tech, e prima ancora Taveta Ltd. Rispetto a NSO, inizialmente sembra essere più specializzata sui computer tanto che al tempo c’è chi ipotizza fusioni fra le due. Con NSO, ha un investitore in comune, Isaac Zack.

Catfishing e organizzazioni di diritti umani

Ad ogni modo, qualche mese dopo, anche la testata Forbes ne scrive, sostenendo che tra i clienti di Candiru ci sarebbe l’Uzbekistan, almeno secondo un ricercatore della società di sicurezza informatica Kaspersky. Un Paese che instilla subito preoccupazioni in alcuni esperti di diritti umani per il rischio di abusi da parte delle autorità.
Preoccupazioni che si fanno decisamente più forti e concrete nel 2021, quando i ricercatori di Citizen Lab tornano con un report dedicato questa volta proprio alla semi-sconosciuta società. Secondo i suoi autori, alcuni dei domini web associati allo spyware di Candiru e usati per infettare i target hanno indirizzi che richiamano (si mascherano da) Ong, gruppi per i diritti delle donne e gruppi di attivisti, organizzazioni sanitarie e media. In particolare i domini in questione riportano termini come“Amnesty Reports”, “Refugee International”, “Woman Studies”, “Euro News” e “CNN 24-7”.

Scrive Citizen Lab: “Facendo uno scanning internet abbiamo identificato più di 750 siti collegati all’infrastruttura dello spyware di Candiru. Abbiamo trovato molti domini che si mascherano da organizzazioni di advocacy come Amnesty International, movimenti come Black Lives Matter, media e altre entità della società civile. Abbiamo identificato una vittima attiva politicamente nell’Europa occidentale e recuperato una copia dello spyware per Windows di Candiru”. I ricercatori spiegano di aver lavorato assieme a Microsoft, e di aver scoperto alcune vulnerabilità sfruttate dal malware, poi messe a posto dal colosso di Redmond. “Nella loro indagine, Microsoft ha osservato almeno 100 vittime in Palestina, Israele, Iran, Libano, Yemen, Spagna, Gran Bretagna, Turchia, Armenia, e Singapore. Le vittime includono difensori dei diritti umani, dissidenti, giornalisti, attivisti e politici”.
Oltre ai siti che si spacciavano per no profit, i ricercatori hanno trovato dei domini che sembrano impersonare una pubblicazione indonesiana di sinistra; un sito che pubblica atti giudiziari su palestinesi incarcerati; un sito critico di Mohammed bin Salman, il principe ereditario e monarca de facto dell’Arabia Saudita; e uno associato all’Organizzazione mondiale della sanità. “Non ci sono ragioni legittime per società di intelligence o per i governi loro clienti di creare siti che impersonano gruppi di attivisti di alto profilo o organizzazioni no profit”, ha commentato uno dei coautori del report, Bill Marczak, sul Guardian. Candiru dal suo canto non ha rilasciato dichiarazioni alla stampa, proseguendo sulla sua linea di segretezza e invisibilità. Solo che ora il pesce gatto è diventato visibile.

Da Stealth Falcon a DarkMatter
Nel gennaio 2019 la comunità dell’intelligence statunitense è scossa da un altro (ennesimo) scandalo. Secondo uno scoop di Reuters, una serie di hacker specializzati in operazioni offensive che erano stati al servizio del governo americano, spesso attraverso società esterne, hanno accettato il ricco ingaggio di un contractor di cybersicurezza del Maryland, CyberPoint, per andare a lavorare ad Abu Dhabi, di fatto per l’intelligence emiratina. È il progetto Raven, che però assume col tempo dei contorni ancora più inquietanti e problematici, anche e soprattutto per degli hacker statunitensi. Perché tra i target da infettare e spiare non ci sono solo terroristi, ma si aggiungono attivisti, militanti dei diritti umani, perfino altri governi, come quello del rivale Qatar, e infine il tabù principale, persone con passaporto a stelle e strisce. E che passaporto. In alcuni casi, andando dietro a target di alto profilo, gli attaccanti sfiorano addirittura le email della first lady, Michelle Obama. A quel punto alcuni capiscono di stare rischiando grosso, tornano negli USA e parlano con l’FBI. Parte un’indagine e partono anche le prime inchieste giornalistiche.

CyberPoint è un piccolo contractor di cybersecurity fondato da Karl Gumtov nel 2009 a Baltimora. Tra i clienti ha il dipartimento della Difesa USA, la marina americana e il dipartimento di Sicurezza nazionale. Fin qui tutto regolare, nel senso che rientra pienamente nel profilo di quei contractor della Beltway che lavorano per il governo USA, alcuni dei quali sono specializzati in operazioni e strumenti cyber offensivi. E che tendenzialmente lavorano solo per il governo statunitense. CyberPoint invece ha diversificato. Gode di buone entrature con la politica nazionale e fa da consulente agli Emirati per aiutarli a sviluppare capacità difensive, con una sorta di imprimatur dell’amministrazione americana.
Ma qualcosa inizia a incrinarsi. Il contractor finisce sui giornali nell’estate del 2015, a causa del leak di Hacking Team, che come abbiamo visto svela dettagli anche su altre società del settore. Secondo i documenti diffusi online, sembrerebbe infatti che CyberPoint faccia da partner alla società italiana per commercializzare il suo spyware negli Emirati, come viene riportato da varie testate. Forse l’inattesa pubblicità non la favorisce, sta di fatto che proprio a cavallo di quel periodo l’intelligence di Abu Dhabi decide di accentrare le operazioni cyber, trasferendo il progetto Raven nell’alveo di una società locale, DarkMatter. A quel punto gli americani reclutati possono scegliere se tornare negli Usa o continuare a lavorare per la nuova società. Metà di loro resteranno.

Tra quelli che se ne andranno c’è David Evenden, che ha raccontato alcuni dei retroscena più interessanti sulle attività condotte dal progetto Raven. Evenden è un ex hacker della NSA che viene reclutato da CyberPoint e si trasferisce ad Abu Dhabi nel 2014. Nel suo primo giorno di lavoro riceve due diversi briefing: il primo era che avrebbe aiutato a difendere i sistemi EAU, la versione ufficiale, il briefing viola; il secondo, quello nero, contiene invece istruzioni sul suo ruolo effettivo. Avrebbe violato (hack) terroristi e reti straniere. Ma ai terroristi si aggiungono successivamente gli attivisti per i diritti umani. E poi le reti e i sistemi del governo del Qatar. E poi le informazioni sui voli della famiglia reale qatariota. È a quel punto, nel 2015, che si ritrova sul pc le email di Michelle Obama, che era stata invitata a un summit a Doha sull’educazione. “Quello è il momento in cui ho detto: non dovremmo farlo; non è normale”, ha commentato Evenden a Perlroth.

DarkMatter era stata fondata poco prima, nel 2014, dall’imprenditore tech Faisal Al Bannai, ma già nel 2016 uscivano informazioni sui legami della stessa con le forze di sicurezza emiratine e sull’aggressiva campagna acquisti di talenti stranieri, sostenuta da paghe stellari e condizioni fiscali imbattibili. “DarkMatter è intrinsecamente legata alle agenzie di intelligence dell’EAU, come la National Electronic Security Authority (NESA) (ora chiamata Signals Intelligence Agency), e l’equivalente emiratino della National Security Agency (NSA)”, scrive un report dell’Atlantic Council. Che ricorda anche come DarkMatter abbia tentato di diventare un’autorità di certificazione (CA), solo per vedersi negare la richiesta. “Le autorità di certificazione sono alcune organizzazioni selezionate per emettere certificati digitali per siti, software e altre entità, verificando che un certo sito o software sia di una entità fidata. Appena il progetto Raven è divenuto pubblico, Mozilla e Google hanno bloccato il tentativo di DarkMatter. Se DarkMatter fosse diventata un'autorità di certificazione, qualsiasi operazione di sicurezza offensiva intrapresa dalla società avrebbe potuto avvantaggiarsi dello status di autorità di certificazione per mascherare i suoi domini di comando e controllo come siti legittimi, ingannando vittime inconsapevoli nello scaricare software apparentemente legittimo, che invece avrebbe infettato la vittima con malware”, specifica ancora il report.
DarkMatter, che avrebbe anche legami con altre società emiratine del settore difesa e sicurezza, tra cui Pax AI e Group 42, si dipinge come un fornitore di soluzioni di cyber protezione. “Tuttavia non corrisponde all’immagine che vuole dare al pubblico generale”, sostiene anche un recente report dell’università australiana Macquarie University.

Quando esce lo scoop sul progetto Raven è il 2019. Ma qualche anno prima, nel 2016, Citizen Lab aveva pubblicato un report che parlava di un’operazione di cyberspionaggio di matrice emiratina contro un giornalista che si trovava a Londra, Rori Donaghy, critico nei confronti del governo EAU. Il reporter aveva ricevuto un’email a fine 2015 che sembrava arrivare da un individuo appartenente a un’organizzazione fantasma e che lo invitava a un panel. Ma la mail conteneva uno spyware veicolato attraverso un documento Word che chiedeva di abilitare le macro. Oggi sappiamo — riferisce nel suo libro Perlroth — che a confezionare quella mail fu proprio Evenden.

Tuttavia Donaghy era già in contatto con i ricercatori di Citizen Lab che hanno così potuto analizzare mail, documento, e spyware. “Un nuovo attore malevolo che prende di mira dissidenti degli Emirati”, avevano concluso i ricercatori, e lo avevano chiamato Stealth Falcon. Oggi Ronald J. Deibert, direttore del Citizen Lab, nel suo recente libro Reset: Reclaiming the Internet for Civil Society, così scrive: “...Quello che avevamo chiamato Stealth Falcon raccontava in realtà il lavoro di DarkMatter. Un ex contractor NSA che ha lavorato a DarkMatter e dopo è diventato un whistleblower ha rivelato che la startup di intelligence aveva perfino provato a violare (“hack”) Citizen Lab in risposta alle nostre indagini. Ad oggi non sappiamo se ci sono riusciti o no”.

Incontri ravvicinati del terzo tipo
Sappiamo però che almeno un ricercatore di Citizen Lab è stato avvicinato da un esponente di una società privata di intelligence. Che si spacciava per altri. E che ha provato a registrare la conversazione con lo scopo di far dire all’interlocutore qualcosa che potesse screditarlo.
John Scott-Railton, autore di vari report del centro canadese, all’inizio del 2019 era stato contattato da un misterioso Michael Lambert, che si fingeva un uomo d’affari interessato a discutere la tesi di dottorato del ricercatore. E che, dopo aver insistito per un incontro in un ristorante newyorchese, ha virato le sue domande sul lavoro a Citizen Lab, e anche su quanto il laboratorio o lo stesso Scott-Railton fossero antisemiti o meno, mostrando un evidente interesse per il lavoro fatto su NSO, riferisce AP. L’uomo aveva anche tirato fuori una videocamera nascosta in una penna, e poteva contare su alcuni complici presenti nel ristorante. Ma Scott-Railton, che da una serie di episodi e segnali precedenti aveva intuito si potesse trattare di una trappola, era arrivato a sua volta munito di videocamere nascoste e soprattutto di un giornalista di AP, che stava al tavolo a fianco, ad ascoltare, e pronto a intervenire. Quando poi effettivamente il reporter si è fatto vivo presentandosi, il sedicente Lambert è praticamente scappato. Dopo che la storia è emersa sui giornali, i media israeliani hanno identificato l’uomo come Aharon Almog-Assouline, un israeliano con un passato in servizi di sicurezza che secondo il WSJ avrebbe lavorato per la società di intelligence privata israeliana BlackCube (quest’ultima ha sempre negato la connessione, così come NSO si è detta del tutto estranea all’episodio).
BlackCube è stata spesso accusata di utilizzare tattiche a dir poco aggressive per cercare di screditare avversari dei suoi clienti. Secondo il WSJ, “è nota per le sue strategie di creare false aziende e identità per adescare i target in incontri che sono poi registrati di nascosto”. In ogni caso, dopo che è uscita la storia del ricercatore di Citizen Lab, la AP ha riportato altri casi molto simili in cui erano state prese di mira persone che avevano sollevato domande sull’uso degli spyware israeliani.

Gli emergenti

A partire dal 2019, in sordina, comincia a sbucare il nome di un nuovo attore del settore spyware: la startup spagnola Mollitiam Industries, che lavorerebbe con l’intelligence madrilena e dell’America Latina. Sappiamo che già quell’anno è presente con una demo su come prendere il controllo di telefoni Android all’ISS World Training dell’America Latina, la più volte citata fiera del settore sicurezza/indagini, divisa per regioni, dove convergono aziende, polizie e intelligence. Come COO e fondatore, anche in ISS successivi, viene indicato Antonio Ramos. Ma le informazioni sono ancora molto limitate. Almeno fino a inizio 2020, quando sulla testata colombiana El Espectador esce notizia di uno scandalo: le forze armate del Paese avrebbero intercettato illegalmente politici, giornalisti e magistrati. Tra gli strumenti usati, ci sarebbe anche un prodotto, sostiene la testata, un malware per Mac e Windows, chiamato Hombre Invisible (Invisible Man), comprato nel settembre 2019 da una società spagnola, Mollitiam Industries, per circa 790mila dollari. Il prodotto, considerato uno strumento di intelligence, ha potuto aggirare i normali processi di acquisto, e gode di uno status di segretezza. Le informazioni sul contratto sarebbero state secretate per anni (anche se svelate in parte dai media) perché avrebbero potuto avere un impatto sulle relazioni diplomatiche internazionali, dal momento che “lo strumento può essere usato su obiettivi di interesse nazionale”. Poco dopo l’organizzazione Reporters Senza Frontiere include Mollitiam Industries nella sua lista di “predatori digitali della libertà di stampa”.

Come ho avuto modo di verificare, Mollitiam Industries è una società registrata a fine 2018 in Spagna, a Toledo. Allo stesso indirizzo legale compare anche la società In-nova Programa de Innovacion International. Che, scrive al riguardo un altro articolo di El Espectador, lavora nell'ambito della sicurezza e difesa. E, diversamente da Mollitiam, compare sui registri dei fornitori del governo colombiano dal 2016. Avrebbe infatti avuto sia un contratto con l’aeronautica militare sia con una tv per la realizzazione di un progetto/programma intitolato Mundo Hacker.
Secondo Intelligence Online, anche Perù e Brasile avrebbero comprato lo spyware di Mollitiam. Ma qualche elemento in più è arrivato nel 2021, quando Wired USA ha potuto accedere ad alcune brochure, dopo che una terza parte aveva lasciato documenti di Mollitiam esposti online. I suoi software — chiamati Invisible Man e Night Crawler — sono per Mac, Windows e Android. Possono accedere ai file di un target, alla sua posizione geografica, possono attivare videocamere e microfono, intercettare quanto digitato sulla tastiera. Per evitare di essere individuato, il malware userebbe una tecnologia che dice di ridurre il consumo di dati e batteria del telefono (non una novità, anche NSO ne pubblicizza una simile). Ma, nota Wired, Mollitiam Industries sta pure lavorando a un progetto per costruire una piattaforma di intelligence con cui estrarre, analizzare e correlare grandi quantità di dati aperti presi dai social media e dal dark web. Progetto che è parzialmente finanziato dal Regional Development Fund dell’Unione europea (qui il documento). Edin Omanovich, direttore dell’advocacy di Privacy International, ha criticato la scelta dell’Unione di finanziare prodotti di intercettazione come questo “di natura segreta e intrusiva che possono facilitare abusi dei diritti umani”.

Covid-19 e opportunità

Negli ultimi mesi sul sito di Mollitiam Industries è apparso anche un progetto — non è chiaro se sia collegato a quello appena menzionato sopra – intitolato Osint Covid 19 Surveillance. “È essenziale per le autorità monitorare le identità digitali sui social network in questi momenti di incertezza per rispondere a diverse domande”, è scritto sul sito. “Qual è la percezione (il sentiment) sulla gestione della crisi? Cosa dicono i cittadini del governo e delle misure applicate? Quali profili o hashtag incoraggiano movimenti sovversivi? Che cosa diffonde fake news o porta a movimenti di massa? In quali aree i cittadini si sentono non protetti o dimenticati?”. Dunque un’azienda privata che fa sorveglianza di mestiere si propone anche di monitorare quello che dicono i cittadini del governo, individuando e segnalando specifici profili.

Non è la prima volta che un’azienda di questo settore si fa avanti anche nella gestione della crisi pandemica. Nell’aprile 2020, in pieno panico da lockdown, la BBC riferiva che NSO Group stava promuovendo con alcuni governi un suo sistema per monitorare e predire la diffusione del coronavirus attraverso i dati degli smartphone (presumibilmente forniti dalle telco). La demo vista dalla BBC mostrava una mappa su cui erano monitorati i telefoni di persone con le infezioni, rappresentati con dei numeri “anonimizzati”. Ed erano mostrati dettagli sui telefoni che incontravano, luogo e tempo. I dati usati per queste demo, in particolare quelli di geolocalizzazione, sono stati poi trovati su un database esposto online. NSO Group ha dichiarato che non erano basati su dati veri. Altri ricercatori, sentiti poi da TechCrunch, hanno sostenuto il contrario. NSO ha ribadito che non si fondavano su dati reali e genuini “collegati a individui affetti da COVID-19”. In ogni caso, ad oggi, non è chiaro se la piattaforma di monitoraggio — chiamata Fleming — presentata dalla società israeliana a vari governi e media sia stata adottata da qualcuno e con quali esiti.
En passant, va detto che anche Cellebrite, società israeliana che non fa spyware ma vende strumenti per l’estrazione forense di dati dai cellulari, si era proposta — sostiene Reuters — ad alcuni sistemi sanitari nazionali per individuare spostamenti e contatti di un infetto permettendo alle autorità di risucchiare dati dal suo telefono.

Ma le società del settore sorveglianza che si sono proposte alle autorità per monitorare in vario modo la diffusione del Covid sono diverse. Tra queste anche Intellexa, che offriva una piattaforma per tracciare i movimenti di ogni persona, attraverso una marea di dati di localizzazione, scriveva Reuters. Intellexa è un consorzio internazionale di società che vendono diverse tecnologie per l’intercettazione e l’estrazione di dati, dalla francese Nexa Technologies, alla cipriota WiSpear, alla israelo-cipriota Senpai. Consorzio che si pone come un concorrente di NSO. Anche se ci sono interessanti incroci precedenti attraverso il fondatore di WiSpear, Tal Diliam. Il quale inizia la sua carriera nell'intelligence israeliana. E successivamente fonda Circles, azienda che commercializzava tecnologie per l’intercettazione e la localizzazione dei telefoni, poi acquistata per 130 milioni di dollari dalla società di private equity Francisco Partners prima della fusione proprio con NSO Group nel 2014, scrive Business Insider. Per arrivare a Wispear, che come la precedente Circles opera da Cipro. E che sarebbe stata controllata da Alidada Group, una holding registrata alle Isole Vergini Britanniche, riferiva Intelligence Online.
Nel giugno 2021, uno dei membri del consorzio, la francese Nexa Technologies (ex Amesys) è finita al centro di una delicata indagine giudiziaria. “Quattro dirigenti delle aziende francesi Amesys e Nexa sono indagati perché sospettati di aver fornito ai regimi dell'Egitto e della Libia strumenti di cybersorveglianza utili a seguire e controllare gli oppositori”, scrive Agenzia Nova. Le accusa vanno da "complicità in atti di tortura" a "scomparsa forzata" e fanno capo a due indagini del Tribunale giudiziario di Parigi.

La scuola israeliana
Di certo c’è che NSO Group ha tirato la volata a una serie di altre startup specializzate in varie forme di intercettazione e infezione di dispositivi. Prendiamo ad esempio Quadream. Società di Tel Aviv, fondata nel 2016, nessun sito, nessun logo, aria discreta, avrebbe venduto spyware per smartphone all’Arabia Saudita, ha scritto pochi mesi fa la testata israeliana Haaretz. Il suo software, chiamato Reign, non richiederebbe che l’utente clicchi su un link, e avrebbe tutte le principali funzionalità dei trojan più moderni, dalla capacità di attivare microfono e videocamera all’estrazione di messaggi. Reign— scrive Hareetz — sarebbe venduto da InReach Technologies, una società sorella che si trova a Cipro, probabilmente per gestire meglio le regole sull’export.

In alcuni casi, in queste nuove realtà imprenditoriali, si ritrovano ex dirigenti ed ex dipendenti di NSO Group. Secondo Business Insider, ci sarebbero infatti una ventina di società fondate da persone passate a vario titolo per la leader degli spyware israeliani. Tra queste spicca Interionet, che sviluppa malware per router. Pronta a seguire le capofila di settore, Verint e NSO Group, nel campo della cyber intrusione e delle intercettazioni mobili, scriveva già nel 2019 Intelligence online. Oppure società come Wayout, specializzata in intercettazione di apparecchi definiti comunemente come “internet delle cose”, ovvero altoparlanti intelligenti, videocamere casalinghe ecc.
Al di là delle società cresciute alla scuola di NSO, negli ultimi anni si è ingrossato, sempre in Israele, anche un diverso sottosettore di startup della cyber sorveglianza, che invece di ricorrere a spyware sul telefono punta sui malware per router Wi-Fi o su attacchi contro le reti Wi-Fi, per cui l’intercettazione avviene mentre i dati sono in transito e l’attaccante in condizioni di prossimità al target. Nomi come la stessa Wispear, Equus technologies (poi divenuta Merlinx); Rayzone e Magen.
Magen, fondata nel 2011 da veterani dell'intelligence israeliana, promuove una piattaforma di intercettazione mobile che può stare in uno zaino, per accedere a dati e account cloud dei telefoni nelle vicinanze. Tra i suoi obiettivi, così come era pubblicizzato dal sito, “controllare vandalismo organizzato e movimenti di massa illegali”, ma anche “monitorare massicci numeri di target potenziali, mostrando una fotografia globale ed enfatizzando cosa vi interessa di più”.

Rayzone è un’azienda israeliana che vende vari prodotti, inclusa una piattaforma costruita su grandi quantità di dati raccolti dai telefoni. Mentre un altro suo strumento si chiama Piranha ed è presentato come un IMSI-catcher, che può essere a sua volta integrato in altri sistemi, come videocamere di sorveglianza, riconoscimento facciale e biometrico. Due suoi cofondatori avrebbero “fatto da intermediari in un accordo del 2011 in cui NSO ha venduto il suo spyware Pegasus ai militari di una nazione estera con l’aiuto di un uomo d’affari straniero accusato di corruzione e il cui nome è protetto da un divieto di pubblicazione”, ha scritto Calcalistech. “Da allora, gli affari di Rayzone sono stati condotti in completa segretezza”.

Tuttavia a fine 2020 è emerso che Rayzone avrebbe ottenuto, tramite un operatore mobile delle Isole del Canale, un accesso diretto alle reti di telecomunicazione per sfruttare una vulnerabilità nel sistema SS7 (un insieme di protocolli di comunicazione usati dalle società telefoniche per comunicare fra loro) e permettere ai suoi clienti di localizzare telefoni in giro per il mondo. Più o meno negli stessi mesi, Rayzone era anche fra quelle società che offrivano ai governi piattaforme di tracciamento contro il coronavirus.

Nella lista (non esaustiva) di aziende specializzate in intercettazioni Wi-Fi c’è poi Wintego, di Haifa, che comincia a fare capolino nel 2016, sostenendo di essere in grado di estrarre dati direttamente dalle app del telefono, di fatto intercettando le comunicazioni Wi-Fi o usando il Wi-Fi per iniettare un malware con cui poi estrarre dati. Va detto che vari crittografi all’epoca si mostravano scettici rispetto alla possibilità che tale metodo funzionasse, come era pubblicizzato dalla società, con app cifrate end-to-end. Nel 2018 Wintego compariva come specialista di “cyber intelligence ed estrazione dati” alla International Homeland Security and Cyber Exhibition and Conference di Tel Aviv. Da notare che in questa conferenza su cyber e sicurezza nazionale erano presenti 500 aziende da tutto il mondo, di cui 354 americane. Al secondo posto spiccava Israele con 82 società, anche se 40 erano registrate negli USA per ragioni fiscali.
Per concludere, nel gruppetto delle imprese specializzate nell’accesso da remoto a dispositivi di internet delle cose, vale a dire i vari smart speaker, Echo, videocamere, termostati e via dicendo, vanno anche incluse Toka e Incert Intelligence.

Il piano inclinato
Ma non c’è solo Israele, dove pure la stretta relazione fra militari, intelligence e startup ha creato un ecosistema sui generis. Altri Stati stanno emergendo per capacità informatiche e per un’industria locale cyber offensiva specializzata in sorveglianza, trojan inclusi. Uno di questi è l’India, dove spicca fra le altre ClearTrail, presente alle fiere internazionali di settore, come il prossimo Milipol 2021 di Parigi. Questa società di Indore da anni vende diversi prodotti di sorveglianza digitale, tra cui Astra, un framework per l’infezione e il monitoraggio da remoto di computer e telefoni. Nella fiera ISS tenutasi a Dubai nel giugno 2021 la sua presentazione riguardava come scoprire identità reali dietro a Twitter, Facebook, WhatsApp, Signal, Telegram, Skype e FaceTime “su scala nazionale”. E infine, come abbiamo già visto, gli Emirati Arabi Uniti.

Ma altri Stati e altre società sono già i prossimi in lista. Nuovi strumenti e funzionalità sono perfezionati. Nuove tentazioni di controllo e opportunità che emergono a fronte di un panorama globale estremamente instabile. Il piano inclinato resta lì, anche dopo dieci anni. Se ci si agita si scivola; se si sta immobili, si scivola. Almeno finché non si riuscirà a trovare un solido sistema internazionale con cui contenere, regolare, e limitare la proliferazione di questi strumenti, soprattutto il loro utilizzo per la violazione dei diritti umani e la repressione del dissenso politico.

Nota dell’autrice

Per trasparenza ricordo a chi non lo sappia già che da qualche tempo lavoro per Amnesty International, ampiamente citata in questo scritto. Nondimeno questo lavoro nasce esclusivamente nell’ambito delle attività informative dell’associazione e newsletter Guerre di Rete. E ha come retroterra il mio precedente lavoro di giornalista, in cui mi sono occupata del tema spyware fin dal 2011. Il testo è stato distribuito in primo luogo agli iscritti della newsletter Guerre di Rete, che da tre anni fa informazione su questi temi ed è diffusa in modo gratuito e facilmente accessibile. Questo speciale è anche un modo per ringraziare chi ha partecipato al primo crowdfunding di Guerre di Rete nel 2021 e può essere distribuito liberamente con licenza CC BY-SA 4.0 e gentilmente con un link alla newsletter. Se però volete fare una donazione a Guerre di Rete potete farlo qua.
Infine, vorrei ringraziare tutti quelli che hanno rilasciato commenti per questo speciale, con o senza nome. E un ringraziamento speciale a Gerardo Di Giacomo e Gianluca Varisco per le consulenze tecniche. Ovviamente eventuali imprecisioni dipendono solo da me, e nel caso resto disponibile per correggerle.