“La realtà ha dimostrato più volte come strumenti simili siano stati impiegati per monitorare giornalisti, attivisti, dissidenti politici e persino funzionari governativi di Paesi alleati. In un contesto che va ben oltre la lotta al crimine e che si avvicina pericolosamente a forme di sorveglianza mirata e non autorizzata”.
A parlare, in esclusiva per Notizie.com, è Pietro Di Maria, esperto di cybersicurezza e direttore generale di Meridian Group. Con Di Maria abbiamo fatto il punto della situazione sul caso di Graphite, il software-spia di proprietà della società israeliana Paragon Solutions. Pochi giorni fa è emersa la notizia che il direttore di Fanpage, Francesco Cancellato, e il fondatore dell’ong Mediterranea, Luca Casarini, sarebbero stati spiati proprio tramite il software della Paragon.
“L’utilizzo di spyware come Graphite, sviluppato da Paragon, solleva questioni estremamente delicate. – ha spiegato Di Maria – Se da un lato l’impiego di strumenti tecnologicamente avanzati è diventato essenziale per contrastare minacce gravi come il terrorismo, la criminalità organizzata e il traffico di esseri umani, dall’altro la mancanza di un controllo efficace e di una regolamentazione chiara lascia spazio a possibili abusi. Che possono trasformare queste tecnologie in strumenti di sorveglianza indiscriminata o di repressione politica”.
Proprio questa mattina la Federazione nazionale della stampa italiana (Fnsi) e l’Ordine nazionale dei giornalisti hanno presentato una denuncia. L’esposto, contro ignoti, è stato depositato presso la Procura della Repubblica di Roma per fare chiarezza sul caso dei giornalisti spiati. Mediterranea, invece, ha annunciato che renderà pubblico oggi il primo report sul software di Paragon. “Segreto di Stato – ha scritto Casarini – e lo spionaggio ai fini del dossieraggio e montature giudiziarie contro attivisti e giornalisti?”.
“Il problema principale è che, al di là delle dichiarazioni ufficiali e delle motivazioni legate alla sicurezza nazionale, – ha continuato il direttore generale di Meridian – spyware di questo tipo non rimangono necessariamente nelle mani di governi democratici o di istituzioni che operano nel rispetto delle norme internazionali. Spesso vengono utilizzati da regimi autoritari e da entità poco trasparenti. Il che rende impossibile garantire che vengano impiegati esclusivamente per scopi legittimi”.
Secondo Di Maria uno degli aspetti più critici di questi strumenti è la difficoltà di tracciarne l’utilizzo. E di individuare con precisione chi ne sia stato bersaglio. Il loro funzionamento si basa su tecniche avanzate che rendono estremamente complesso sia l’accertamento delle responsabilità sia l’individuazione delle vittime. Questo consente a chi ne fa uso di operare in una zona grigia dove il rischio di abuso è altissimo.
Il fatto che internet non abbia confini e che le operazioni condotte con spyware come Graphite possano avvenire senza lasciare tracce evidenti rende ancora più difficile intervenire in modo efficace per limitare gli abusi. Anche quando un attacco viene scoperto, è spesso impossibile risalire con certezza a chi lo abbia commissionato e con quale scopo. Una delle problematiche principali per la sicurezza sta nel cosiddetto attacco a zero-click.
“Rappresentano una delle forme più avanzate e insidiose di minaccia informatica. – ha affermato Pietro Di Maria – A differenza di altre tecniche di attacco che richiedono un’interazione da parte della vittima, come il clic su un link malevolo o l’apertura di un allegato infetto, in questo caso l’infezione avviene in modo completamente invisibile e automatico. Si sfruttano vulnerabilità presenti nei protocolli di comunicazione o nei sistemi operativi. Senza che l’utente debba fare nulla per innescare l’attacco”.
Tale tipologia di attacco si basa su vulnerabilità zero-day. Ovvero falle di sicurezza che non sono ancora state scoperte dagli sviluppatori di software. Di conseguenza, non esistono ancora patch correttive. Il che significa che, fino a quando la vulnerabilità non viene individuata e risolta, gli attacchi zero-click risultano praticamente impossibili da prevenire. E rappresentano una minaccia concreta anche per gli utenti più attenti alla sicurezza.
“Spyware avanzati come Graphite – ha detto l’esperto di cybersicurezza – sfruttano questi meccanismi per ottenere il controllo di un dispositivo attraverso l’invio di messaggi apparentemente innocui su applicazioni di messaggistica come WhatsApp, iMessage o altri servizi simili. Solo fatto di ricevere il messaggio è sufficiente per attivare l’exploit e consentire all’attaccante di installare malware, acquisire dati sensibili o persino assumere il controllo del dispositivo senza che la vittima se ne accorga”.
La difficoltà di difendersi da attacchi di questo tipo è dovuta al fatto che le vulnerabilità sfruttate dagli spyware zero-click sono, per definizione, sconosciute. Fino a quando non vengono scoperte e corrette. Il che lascia gli utenti completamente esposti e privi di strumenti concreti per proteggersi. L’unico modo per ridurre almeno in parte il rischio è adottare misure di mitigazione come la disattivazione di servizi notoriamente vulnerabili, come iMessage e AirDrop su iPhone. Oppure utilizzare dispositivi che offrono un maggiore controllo sulla sicurezza, come quelli basati su sistemi operativi più protetti come GrapheneOs per Android.
Anche queste soluzioni non offrono però una protezione assoluta. Il problema principale rimane il fatto che le vulnerabilità sfruttate dagli attacchi zero-click non possono essere previste fino a quando non vengono scoperte dagli sviluppatori e corrette con aggiornamenti di sicurezza. Il caso Paragon evidenzia quindi possibili abusi da parte di governi o attori esterni. Ma uno dei problemi principali legati alla diffusione degli spyware è la totale assenza di un controllo efficace sulla vendita e sull’utilizzo di queste tecnologie.
“Al momento non esistono regolamenti internazionali che impongano restrizioni concrete. – ha commentato Di Maria – E che impediscano che strumenti di sorveglianza così avanzati finiscano nelle mani sbagliate. Il risultato è che il mercato degli spyware è diventato sempre più vasto e accessibile. Senza alcuna garanzia che i governi o le organizzazioni che li acquistano li utilizzino esclusivamente per scopi leciti. Sarebbe necessario introdurre normative più stringenti a livello internazionale che regolino l’esportazione di spyware come Graphite. Imponendo limitazioni rigide alla vendita e consentendo l’acquisto solo a governi che rispettino precisi standard di trasparenza e di tutela dei diritti umani”.
Sarebbe perciò necessario un sistema di monitoraggio che garantisca che questi strumenti non vengano impiegati per attività di sorveglianza illegale. O per colpire oppositori politici e giornalisti. Altro aspetto cruciale sarebbe quello di introdurre controlli indipendenti sulle aziende che sviluppano spyware. Obbligandole a fornire informazioni dettagliate sull’utilizzo delle loro tecnologie e sottoponendole a verifiche periodiche da parte di enti terzi. In questo modo si garantirebbe che questi strumenti non vengano utilizzati per attività di sorveglianza di massa al di fuori di un contesto legale chiaro.
Inoltre, sarebbe essenziale imporre ai governi che acquistano spyware l’obbligo di documentarne in modo dettagliato l’utilizzo. Rendendolo verificabile da organismi di controllo indipendenti, per evitare che vengano impiegati in operazioni segrete prive di supervisione. “Diventa fondamentale che chiunque gestisca informazioni sensibili, in particolare giornalisti e attivisti, adotti misure di sicurezza più avanzate per proteggere la propria privacy digitale, anche se nessuna strategia può garantire una protezione assoluta contro attacchi così sofisticati”.
“L’utilizzo di dispositivi progettati con un livello di sicurezza più elevato, – ha concluso l’esperto – come gli iPhone con la modalità Lockdown Mode attivata o i telefoni con GrapheneOs, può ridurre il rischio di essere intercettati. Evitare di utilizzare applicazioni di messaggistica vulnerabili, preferendo soluzioni più sicure come Signal, può offrire un ulteriore livello di protezione. Separare gli ambienti digitali utilizzando dispositivi diversi per le comunicazioni più riservate e prestare attenzione a eventuali segnali di compromissione del dispositivo, come un consumo anomalo di batteria o di traffico dati, sono accorgimenti che, pur non eliminando il rischio, possono rendere molto più difficile essere intercettati illegalmente”.