Nel corso della scorsa settimana, abbiamo visto storie su storie su un'azienda chiamata NSO Group e uno spyware chiamato Pegasus. Alcune delle storie sono state scioccanti, con accuse che smartphone completamente aggiornati possono essere violati con un singolo messaggio di testo e riportano che due donne vicine al giornalista assassinato Jamal Khashoggi erano tra quelle prese di mira da un'agenzia governativa che utilizzava lo strumento di spionaggio.
Dietro la notizia c'è una coalizione di testate giornalistiche, tra cui The Washington Post, Le Monde e The Guardian, che lo chiamano Progetto Pegasus. Il progetto è stato guidato da Forbidden Stories, un'organizzazione di giornalisti che lavora sulle storie dopo che i reporter originali sono stati in qualche modo messi a tacere. Amnesty International ha eseguito analisi forensi dettagliate su 67 smartphone per cercare prove che fossero stati presi di mira dallo spyware Pegasus e 37 di questi telefoni sono risultati positivi. Ma molti dettagli cruciali non sono ancora chiari.
Ecco cosa sappiamo finora su NSO Group e Pegasus.
Cos'è Pegasus e chi o cosa è NSO Group?
Pegasus è uno spyware sviluppato da un appaltatore privato per essere utilizzato da agenzie governative. Il programma infetta il telefono di un bersaglio e restituisce i dati, incluse foto, messaggi e registrazioni audio/video. Lo sviluppatore di Pegasus, una società israeliana chiamata NSO Group, afferma che il software non può essere fatto risalire al governo che lo ha utilizzato, una caratteristica cruciale per le operazioni clandestine.
In breve, NSO Group realizza prodotti che consentono ai governi di spiare i cittadini. L'azienda descrive il ruolo dei suoi prodotti sul suo sito Web come aiutare “l'intelligence governativa e le forze dell'ordine a utilizzare la tecnologia per affrontare le sfide della crittografia” durante le indagini su terrorismo e criminalità. Ma come puoi immaginare, i gruppi per le libertà civili non sono contenti del business dello spyware a noleggio e limitare l'attività ai clienti del governo fa ben poco per placare le loro preoccupazioni.
La società ha dichiarato al Washington Post che lavora solo con agenzie governative e che interromperà l'accesso di un'agenzia a Pegasus se trova prove di abuso. Nel suo rapporto sulla trasparenza pubblicato alla fine di giugno, la società ha affermato di averlo già fatto. Tuttavia, una dichiarazione di Amnesty International ha sollevato preoccupazioni sul fatto che l'azienda fornisca spyware a governi oppressivi, dove non ci si può fidare che le agenzie governative facciano bene i loro cittadini.
L'organizzazione Forbidden Stories, che ha contribuito a guidare gli sforzi del Progetto Pegasus, ha un resoconto degli exploit e delle controversie dell'azienda negli ultimi dieci anni, alcuni dei quali hanno ispirato azioni legali da parte di giornalisti e attivisti che sostengono che il software di NSO è stato utilizzato in modo improprio. Il Washington Post ha anche un'intervista che copre la storia dell'azienda su come è stata fondata e come è iniziata nel settore della sorveglianza.
Chi veniva spiato?
Non lo sappiamo per certo. Tuttavia, gran parte delle segnalazioni ruota attorno a un elenco contenente 50.000 numeri di telefono, il cui scopo non è chiaro. Il Progetto Pegasus ha analizzato i numeri nell'elenco e ne ha collegati oltre 1.000 ai rispettivi proprietari. Quando lo ha fatto, ha trovato persone che avrebbero dovuto essere vietate allo spionaggio governativo (in base agli standard a cui la NSO dice di trattenere i suoi clienti): centinaia di politici e impiegati governativi – tra cui tre presidenti, 10 primi ministri e un re — più 189 giornalisti e 85 attivisti per i diritti umani.
Aspetta, chi ha fatto questa lista?
A questo punto, è chiaro come il fango. NSO afferma che l'elenco non ha nulla a che fare con la sua attività e afferma che proviene da un semplice database di numeri cellulari che è una caratteristica della rete cellulare globale. Una dichiarazione di un portavoce di Amnesty International, pubblicata su Twitter dal giornalista di sicurezza informatica Kim Zetter, afferma che l'elenco indica i numeri contrassegnati come “di interesse” per i vari clienti di NSO. Il Washington Post afferma che la lista è del 2016.
Amnesty afferma che i media israeliani hanno riportato erroneamente una dichiarazione rilasciata loro in ebraico sulla lista di 50.000 numeri di telefono. Vedi qui: https://t.co/rhksVHineG
Ma ho ottenuto la dichiarazione completa in ebraico che hanno rilasciato ai giornalisti e i media israeliani l'hanno citata correttamente. pic.twitter.com/9JNmwC3QW4
— Kim Zetter (@KimZetter) 22 luglio 2021
Il Washington Post afferma che l'elenco non contiene informazioni su chi ha aggiunto numeri o se le persone collegate ai numeri erano sotto sorveglianza. La lista è stata curata da un'agenzia governativa oscura che cercava di ottenere il lato positivo di altri governi? È stato mantenuto da un gruppo Slack di utenti Pegasus? Era semplicemente un elenco di numeri? È una domanda essenziale che rimane frustrantemente poco chiara.
Quindi l'elenco è importante?
Sembra che. Il Washington Post riporta che alcuni dei telefoni analizzati sono stati presi di mira poco dopo essere stati aggiunti all'elenco. In alcuni casi, solo pochi secondi separano i timestamp che indicano quando il numero di telefono è stato aggiunto all'elenco e gli episodi di attacchi Pegasus ai telefoni.
Secondo The Guardian, Amnesty ha condotto la sua analisi su 67 telefoni collegati ai numeri. Ha scoperto che almeno 37 telefoni erano stati presi di mira da Pegasus e che 23 di quei telefoni erano stati hackerati con successo. Il Washington Post spiega come Pegasus sia stato usato per hackerare un telefono appartenente alla moglie di un attivista imprigionato.
Chi altro c'è nella lista?
Un rapporto del Washington Post descrive alcuni dei funzionari di più alto grado con i numeri nell'elenco. Secondo un'analisi fatta dal Post e da altri membri del Progetto Pegasus, sono stati inclusi gli attuali presidenti di Francia, Iraq e Sudafrica, insieme agli attuali primi ministri di Pakistan, Egitto e Marocco, sette ex primi ministri e il re del Marocco.
Un rapporto separato del Post afferma che il re marocchino non era l'unico reale il cui numero compariva nell'elenco: è stata aggiunta anche una principessa di Dubai, insieme ad alcuni suoi amici, mentre cercava di ottenere asilo politico. Il suo tentativo fallì quando sarebbe stata rapita da commando armati che si erano imbarcati sullo yacht che stava usando per fuggire.
Nella lista c'erano anche due donne vicine a Jamal Khashoggi, un giornalista che è stato assassinato nel 2018.
C'era lo stesso Khashoggi nella lista?
Non sembra (anche se ci occuperemo di alcune sfumature tra un momento), ma le persone si avvicinano per lui erano. Il Washington Post ha riferito che uno di quei telefoni hackerati apparteneva al fidanzato di Khashoggi e che secondo quanto riferito ci sono prove che anche il telefono di sua moglie sia stato preso di mira. L'amministratore delegato della NSO ha negato con forza che la moglie di Khashoggi fosse un bersaglio.
Sul fatto che la NSO abbia preso di mira lo stesso Khashoggi, questa è una domanda senza una risposta definitiva. NSO nega fermamente di essere stato coinvolto – lo ha fatto nel 2019, e di nuovo di recente, con il Washington Post citando una dichiarazione della società secondo cui la sua tecnologia “non era in alcun modo associata all'efferato omicidio di Jamal Khashoggi”. Secondo il Post, il telefono di Khashoggi è sotto la custodia delle autorità turche che stanno conducendo un'indagine sull'omicidio del giornalista.
Cosa fa Pegasus?
Secondo il Washington Post, lo spyware può rubare dati privati da un telefono, inviando messaggi, password, contatti, foto e altro di un bersaglio a chiunque abbia avviato la sorveglianza. Secondo quanto riferito, può persino accendere le fotocamere o i microfoni del telefono per creare registrazioni segrete. Un documento di NSO descrive le capacità del software in modo più dettagliato.
Secondo quanto riferito, le versioni recenti di esso sono state in grado di farlo senza dover costringere l'utente a fare nulla: viene inviato un collegamento al telefono, senza una notifica, e Pegasus inizia a raccogliere informazioni. In altri casi, secondo quanto riferito, Pegasus ha fatto affidamento sugli utenti per fare clic sui link di phishing che poi consegnano il payload di Pegasus.
Aspetta, come può Pegasus ottenere tutte queste informazioni?
Sia The Guardian che The Washington Post hanno articoli che spiegano come sfruttare anche i telefoni moderni con gli ultimi aggiornamenti software. (Amnesty ha dimostrato che anche alcune delle versioni più recenti di iOS sono vulnerabili ai metodi utilizzati da NSO.) Il riassunto è che nessun software è perfetto. Dove c'è un software complicato, come iMessage o WhatsApp, ci saranno bug e alcuni di questi bug daranno agli hacker l'accesso a molto più di quanto molti riterrebbero possibile. E, con milioni di dollari in gioco, hacker e ricercatori di sicurezza sono molto motivati a trovare quei bug, anche se saranno utilizzabili solo per un breve periodo di tempo.
Può fare tutto questo su iPhone? E la sicurezza e la privacy di Apple?
In una dichiarazione a The Guardian, Apple non ha negato la capacità di NSO di sfruttare gli iPhone, affermando invece che attacchi come Pegasus sono “altamente sofisticati, costano milioni di dollari per lo sviluppo, spesso hanno una breve durata e vengono utilizzati per colpire individui specifici. “, quindi non interessando la maggior parte dei clienti Apple. Apple ha affermato che continua “a lavorare instancabilmente per difendere tutti i nostri clienti e aggiungiamo costantemente nuove protezioni per i loro dispositivi e dati”.
Tuttavia, come sottolinea il Washington Post, il fatto che l'iPhone possa essere così completamente compromesso da un messaggio apparentemente invisibile è un peccato per un'azienda che è orgogliosa della sicurezza e della privacy, una che sostiene “ciò che accade sul tuo iPhone, rimane i cartelloni del tuo iPhone”. I ricercatori di sicurezza che hanno parlato con il Post danno principalmente la colpa a iMessage e al suo software di anteprima, nonostante le protezioni che Apple avrebbe implementato di recente per cercare di proteggere iMessage.
Solo gli iPhone sono vulnerabili?
No. Gran parte dei rapporti si concentra sugli iPhone, ma è solo perché si sono dimostrati più facili da analizzare per i segni di un'infezione da Pegasus rispetto ai telefoni Android. Pegasus può, tuttavia, infettare entrambi, secondo un documento informativo NSO. Sia Apple che Google hanno commentato la situazione, con Apple che ha condannato gli attacchi contro giornalisti e attivisti e Google che ha affermato di avvertire gli utenti di tentativi di infiltrazione, anche quelli sostenuti dai governi.
Penso Ho già sentito parlare di Pegasus?
Lo spyware fa notizia da anni, spesso in relazione a incidenti simili a quelli attualmente segnalati. Nel 2017, sono emerse segnalazioni secondo cui il software era stato utilizzato in attacchi contro giornalisti e attivisti messicani. Nel 2019, WhatsApp ha fatto causa a NSO Group, sostenendo che lo sviluppatore del software era coinvolto nell'hacking di circa 1.400 dispositivi utilizzando un exploit trovato nel codice di WhatsApp. Microsoft, Google, Cisco e altre società tecnologiche hanno segnalato il supporto per la causa di WhatsApp. (A partire dall'aprile 2021, il caso era in corso, secondo un rapporto di Politico.)
Nel 2020, è stato riferito che NSO era indagato dall'FBI, in relazione al Hack 2018 del cellulare di Jeff Bezos. All'epoca, secondo Reuters, la NSO ha negato la conoscenza dell'indagine dell'FBI e l'FBI ha recentemente rifiutato di commentare la questione al Washington Post.
Chi c'è dietro il targeting di attivisti e giornalisti?
Al momento non lo sappiamo, ma probabilmente non è solo un'agenzia governativa o un paese. Il Washington Post indica un elenco di 10 paesi da cui sembrano provenire molti dei numeri di telefono nell'elenco e afferma che tali paesi hanno lavorato con NSO in passato. Ma il fatto che molti dei fatti di base sull'elenco rimangano controversi significa che non ci sono davvero abbastanza informazioni per trarre conclusioni solide.
Quanto costa spiare un telefono?
Secondo quanto riferito, NSO offre sconti all'ingrosso
Nel 2016, il New York Times ha riferito che il gruppo NSO ha addebitato $ 500.000 per configurare un cliente con il sistema Pegasus, quindi ha addebitato un costo aggiuntivo per infiltrarsi effettivamente nei telefoni delle persone. All'epoca, i costi sarebbero stati di $ 650.000 per hackerare 10 utenti iPhone o Android o $ 500.000 per infiltrarsi in cinque utenti BlackBerry. I clienti potrebbero quindi pagare di più per prendere di mira utenti aggiuntivi, risparmiando mentre spiano con sconti all'ingrosso: $ 800.000 per altri 100 telefoni, $ 500.000 per altri 50 telefoni e così via. Secondo quanto riferito, NSO addebiterebbe il 17% di ciò che i clienti avevano pagato nel corso di un anno come canone di manutenzione annuale. Secondo Forbidden Stories, il contratto di NSO con l'Arabia Saudita da solo vale fino a 55 milioni di dollari.
Cosa dice NSO dei rapporti?
In un'intervista con Calcalist, il CEO e co-fondatore di NSO Group Shalev Hulio ha ampiamente negato le accuse, sostenendo che l'elenco dei numeri non aveva nulla a che fare con Pegasus o NSO. Ha sostenuto che un elenco di numeri di telefono presi di mira da Pegasus (che NSO afferma di non conservare, poiché non ha “nessuna visione” di quali indagini vengono svolte dai suoi clienti) sarebbe molto più breve – ha detto a Calcalist che NSO 45 i clienti hanno in media circa 100 obiettivi Pegasus all'anno.
“Qualcuno deve fare il lavoro sporco”
Hulio afferma inoltre che NSO ha indagato sull'uso del software da parte dei suoi clienti e non ha trovato prove che abbiano preso di mira nessuno dei numeri di telefono forniti a NSO, incluso quello legato alla moglie di Khashoggi. Dice anche che è politica di NSO interrompere l'accesso dei clienti a Pegasus se scopre che stanno usando il sistema al di fuori dell'uso previsto.
Hulio ha detto al Washington Post che i rapporti erano “preoccupanti” e che la società avrebbe indagato. Ha detto a Calcalist che NSO ha eseguito controlli con i clienti presenti e passati nell'ultima settimana.
Come fa NSO a sapere se queste persone sono state prese di mira o a impedire loro di essere prese di mira, se non ha idea di chi si rivolgono ai suoi clienti?
Ottima domanda. Hulio cerca di rispondere nella sua intervista con Calcalist, menzionando la capacità di analizzare i sistemi di un cliente, ma in realtà non fornisce dettagli sufficienti per essere rassicurante.
Inoltre, in che modo l'affermazione di Hulio secondo cui i clienti Pegasus hanno una media di 100 obiettivi all'anno quadrano con gli sconti all'ingrosso forniti da NSO?
Ancora una volta, ottima domanda.
Perché creare un software come questo?
Secondo NSO, costruisce Pegasus esclusivamente per l'uso nell'antiterrorismo e nelle forze dell'ordine. Secondo quanto riferito, la società vende il software solo a specifiche agenzie governative che sono state approvate dal Ministero della Difesa israeliano.
NSO sembra vedere il suo software come una parte necessaria, anche se spiacevole, della sorveglianza moderna, con il suo CEO che dice al Washington Post che “qualcuno deve fare il lavoro sporco” e che Pegasus è “usato per gestire letteralmente il peggio che questo pianeta deve sopportare. offerta.”
Ci sono altre aziende che producono strumenti come Pegasus?
Assolutamente. L'Economic Times ha una buona carrellata di alcune delle aziende di più alto profilo che lavorano nello spazio, insieme a una spiegazione di come il modello degli agenti di cyber intelligence israeliani che lasciano il servizio militare e fondano start-up porta Israele a essere la casa di molte di queste aziende.
Cosa posso fare per mantenere me stesso al sicuro e le mie informazioni private?
Nonostante il rapporto di Amnesty secondo cui le versioni di iOS di luglio sono vulnerabili a Pegasus, mantenere il telefono aggiornato assicurerà che il telefono sia soggetto a meno exploit, poiché gli aggiornamenti vengono continuamente corretti dai produttori di telefoni. C'è anche il set standard di best practice per la sicurezza: usare password forti e univoche (preferibilmente con un gestore di password), attivare la crittografia, non fare clic su collegamenti da sconosciuti, ecc.
Naturalmente , Pegasus ha dimostrato di aggirare la maggior parte di queste misure di sicurezza – una copia trapelata di materiale informativo NSO si vanta che l'installazione “non può essere impedita dal bersaglio” – ma ti aiuteranno a proteggerti da hacker meno sofisticati.
Come posso verificare se il mio telefono è stato compromesso?
Amnesty International ha effettivamente rilasciato uno strumento che può essere utilizzato per l'analisi e puoi leggere la nostra guida su come utilizzarlo qui.
Quanto dovrei preoccuparmi?
Supponendo che tu non sia un giornalista che lavora su storie delicate, un leader mondiale o in qualche posizione che potrebbe minacciare i poteri governativi, le probabilità sono che qualcuno non abbia pagato migliaia o decine di migliaia di dollari per prenderti di mira con Pegasus. Detto questo, è ovviamente preoccupante che questi tipi di attacchi siano possibili e che potrebbero potenzialmente cadere nelle mani di hacker che cercano di prendere di mira una gamma molto più ampia di persone.
Come per tutte le misure relative alla sicurezza, è importante essere realistici riguardo alle minacce che stai affrontando e cosa dovresti fare al riguardo. Per la maggior parte delle persone che probabilmente non saranno prese di mira da un attore a livello di uno stato nazionale (che si spera includa te), la più grande minaccia alla privacy proviene dai broker di dati, che operano legalmente e su scala più ampia. D'altro canto, se sei effettivamente preso di mira dai governi, con tutte le risorse a loro disposizione, probabilmente non c'è molto che puoi fare per mantenere privati i tuoi dati digitali.
Ho sentito dire che il software non può essere utilizzato contro persone con numeri di codice paese +1, come quelli trovati negli Stati Uniti o in Canada.
NSO ha affermato molte volte che il software è tecnicamente incapace di indirizzare i telefoni con numeri di telefono statunitensi +1. Questo, ovviamente, non protegge gli americani che usano numeri di telefono internazionali, ma è anche qualcosa che è difficile da dimostrare per l'azienda. Secondo il Washington Post, l'indagine non ha trovato prove che i numeri americani fossero stati violati, ma hanno controllato solo 67 telefoni.
Il resto dei paesi che utilizzano il codice +1 all'inizio dei loro numeri di telefono, come Canada, Giamaica e altri, sono in gran parte non menzionati nella nuova ondata di rapporti NSO, sebbene il Canada sia stato menzionato in un rapporto del 2018.