Scandalo Pegasus di NSO: Zero-Day, Zero-Clicks, Zero-Privacy?

Perché le cyber-armi devono essere vietate proprio come le armi nucleari.

È un uccello! È un aereo! No, è un altro software di sorveglianza. Questa settimana siamo stati esposti allo scandalo Pegasus. Pegasus è un pezzo di malware, pubblicizzato e venduto da NSO Group che può infettare i dispositivi mobili con poca o nessuna azione richiesta dal proprietario del telefono. Le estese intercettazioni rese possibili da Pegasus violano molteplici leggi e, quindi, devono essere vietate - proprio come è vietato il commercio di armi nucleari.


Pegasus: Dal mito al malware

Il 18 luglio 2021 lo scandalo sul Progetto Pegasus ha trascinato il misterioso NSO Group di nuovo alla vista del pubblico. Pegasus è un programma spyware sviluppato da NSO Group ed è un’arma informatica di punta per la sorveglianza dei dispositivi mobili.

Questo pezzo di malware è stato distribuito a livello globale ed è stato utilizzato per la sorveglianza diretta “di quasi 200 giornalisti in tutto il mondo i cui telefoni sono stati selezionati come obiettivi dai clienti di NSO” come riporta Forbidden Stories. Con il pretesto della sicurezza nazionale, i governi di tutto il mondo hanno acquistato questo programma per fare pressione su giornalisti, attivisti e i loro avversari politici.

Nonostante l’attuale scintilla nell’interesse dei media, Pegasus non è un nuovo attore sulla scena della sorveglianza internazionale. Secondo il “Forensic Methodology Report” di Amnesty International, la diffusione di Pegasus è iniziata già nel 2016 e continua oggi nel 2021.

Come funziona Pegasus

Nel 2016 l’attivista per i diritti umani Ahmed Mansoor ha ricevuto un messaggio di testo sul suo iPhone, dopo ulteriori indagini di Citizen Lab si è scoperto che si trattava di un classico schema di spear-phishing che cercava di installare il malware Pegasus sul suo dispositivo: “Se avesse toccato il link, il telefono sarebbe stato saccheggiato. Enormi quantità di dati privati: messaggi di testo, foto, e-mail, dati di localizzazione, anche ciò che viene raccolto dal microfono e dalla fotocamera del dispositivo”.

A partire dal 2019, Pegasus non ha più bisogno di un obiettivo che tocchi quel link sospetto per cadere vittima. NSO ha ripetutamente sfruttato vulnerabilità zero-day in piattaforme di messaggistica come WhatsApp e più recentemente iMessage. Questi exploit zero-day sfruttano le vulnerabilità di sicurezza in programmi, sistemi operativi o applicazioni mobili. L’attuale iterazione di Pegasus può infettare i dispositivi iOS in esecuzione alla versione 14.6 o precedente. Una volta che il dispositivo è stato infettato, il programma può rapidamente stabilire i privilegi di root. L’attaccante che usa Pegasus avrà il controllo completo del dispositivo.

Se tu dovessi diventare di interesse per uno dei clienti di NSO Group, tutto ciò di cui hanno bisogno è il tuo numero di telefono per infettare il tuo dispositivo. Non era necessario cliccare su un link o scaricare un file perché Pegasus fosse installato in remoto sul vostro dispositivo Android o iOS. Secondo Amnesty International “è stato osservato un attacco ‘zero-click’ di successo che ha sfruttato più zero-days per attaccare un iPhone 12 completamente patchato con iOS 14.6 nel luglio 2021”. Un elenco completo di questi exploit può essere trovato nel rapporto sulla metodologia forense di Amnesty International.

Apple ha rilasciato la versione 14.7 di iOS il 19 luglio e ora il mondo sta facendo il conto alla rovescia fino alla scoperta del prossimo zero-day. Nel frattempo, è stato rilasciato un nuovo strumento chiamato Mobile Verification Toolkit che può essere utilizzato per determinare se un dispositivo è stato compromesso o meno dal malware Pegasus. Tuttavia, questo toolkit è complicato da usare.

La crescita dell’industria delle cyber-armi

Alla luce di queste recenti rivelazioni, stiamo dando uno sguardo alla crescente industria delle cyber-armi. La tecnologia agisce come un virus: Tutto ciò che fa è infettare gli smartphone per spiare i loro proprietari. Se questo non è abbastanza brutto in quanto tale, questa tecnologia virus è regolarmente venduta a chiunque possa permetterselo.

Non c’è bisogno di scavare in squallidi siti web per trovare questo software. NSO Group opera come qualsiasi altro appaltatore del governo, dove tutti possono vederli. Una rapida ricerca vi porterà a “nsogroup.com” dove potete contattare NSO Group con richieste riguardanti i prezzi e potenziali sconti per le armi di sorveglianza di massa. Il banner principale sul loro sito web sta attualmente pubblicizzando “Eclipse: Protect Your Skies” che è una piattaforma per droni che può essere utilizzata per rilevare e confiscare “droni commerciali non autorizzati”.

Advertisement for Eclipse by the NSO Group. Advertisement for Eclipse by the NSO Group.

Questa pubblicità sfacciata mostra la crescente legittimità di un’industria che una volta esisteva nei mercati darknet o nei forum di hacking.

Ma qual è la differenza tra un’organizzazione come NSO Group che è autorizzata a lavorare apertamente con entità governative e il gruppo di hacker DarkSide che è perseguito per la distribuzione di programmi ransomware?

Sembra che sia solo una questione di clientela.

Pegasus rappresenta una minaccia alla privacy

Pegasus e l’ascesa dell’industria della sorveglianza rappresentano una minaccia incommensurabile per giornalisti, attivisti politici e cittadini come te. Le vulnerabilità della sicurezza non andranno via e non esiste una cosa come la sicurezza perfetta. Questo porta alla domanda: cosa possiamo fare noi come persone comuni per proteggere i nostri dispositivi, la nostra privacy e i nostri dati personali alla luce di questo scandalo? Quello che Claudio Guarnieri del Security Lab di Amnesty International - che come esperto di sicurezza fa uso di Secure Connect sul suo sito web - ha detto al Guardian è meno che ottimista,

“Questa è una domanda che mi viene posta praticamente ogni volta che facciamo analisi forensi con qualcuno: “Cosa posso fare per evitare che questo accada di nuovo?” ha detto Guarnieri.

Germania: L’uso di Pegasus sarebbe illegale

A rischio di finire con un tono di sconfitta, ci sono alcune gemme di speranza da trovare in questa vicenda. Interrogati da NDR e WDR sul fatto che le autorità tedesche abbiano o meno acquistato e usato questo software di spionaggio, i funzionari tedeschi hanno risposto affermando: “‘Pegasus’ ist schlichtweg zu mächtig, zu potent. Der Trojaner kann viel mehr, als es die deutsche Gesetzeslage erlaubt.” (Pegasus è semplicemente troppo potente, troppo potente. Il trojan può fare molto di più di quello che è permesso dalla legislazione tedesca).

Di conseguenza, le autorità tedesche hanno rifiutato Pegasus quando NSO Group ha cercato di venderglielo.

Questo atteggiamento delle autorità tedesche è ammirevole, se paragonato ad altre agenzie globali di intelligence e di applicazione della legge che hanno adottato un approccio più “spia ora - cambia le leggi dopo”. L’esempio tedesco dimostra che la legislazione può limitare pratiche di sorveglianza invasive e non necessarie. Se una forte legislazione sulla privacy può ritenere queste agenzie responsabili delle loro azioni, allora ogni cittadino votante ha ancora un mezzo per contrastare la sorveglianza di massa.

Al di là del regno del governo, il gigante tecnologico Amazon “ha chiuso le infrastrutture e gli account collegati alla società di sorveglianza israeliana NSO Group”. Indipendentemente dal fatto che questa sia semplicemente una trovata PR per evitare le critiche o una genuina preoccupazione per la privacy, questa azione mostra che c’è ancora una preoccupazione per l’opinione pubblica negativa verso la sorveglianza di massa.

Le cyber-armi devono essere vietate

Dobbiamo iniziare a trattare queste aziende di cyber-armi come tali. Stanno producendo e distribuendo strumenti che vengono utilizzati per intimidire e mettere a tacere. Queste armi sono facilmente disponibili per chiunque possa permettersi i costi. Va notato che quando Philip Zimmerman, il creatore di PGP, ha rilasciato il suo programma di crittografia gratuito che cercava solo di fornire una piattaforma di comunicazione sicura, è stato indagato dal servizio doganale degli Stati Uniti per la potenziale violazione della legge sul controllo delle esportazioni di armi.

È scandaloso che il sostegno alla privacy personale guadagni un’indagine federale, ma il disinteressarsene completamente guadagni un contratto ben finanziato.

In un’intervista al Guardian, Edward Snowden colpisce il chiodo direttamente sulla testa: “Ci sono certe industrie, certi settori, da cui non c’è protezione, ed è per questo che cerchiamo di limitare la proliferazione di queste tecnologie. Non permettiamo un mercato commerciale di armi nucleari”.

Mentre la maggior parte degli utenti internet non sarà presa di mira da questo programma, c’è un effetto raggelante su coloro che temono di attirare l’attenzione su di sé. Gli obiettivi di alto profilo che temono la sorveglianza del governo sarebbero consigliati di cambiare regolarmente i dispositivi e i numeri di telefono per evitare il tracciamento persistente da parte di strumenti di spionaggio come Pegasus.

Snowden ha chiuso l’intervista con un appello alla solidarietà e all’attivismo contro la crescente industria della sorveglianza: “La soluzione qui per la gente comune è di lavorare collettivamente. Questo non è un problema che vogliamo cercare di risolvere individualmente, perché sei tu contro una società miliardaria… Se vuoi proteggerti devi cambiare il gioco, e il modo in cui lo facciamo è porre fine a questo commercio”.

Come azienda che mette al primo posto la privacy, chiediamo ai legislatori internazionali e al pubblico votante di sostenere il divieto di vendita di queste cyber-armi. Proprio come non c’è un mercato di consumo per le armi nucleari, non ci deve essere un mercato per la vendita aperta di exploit software e malware.