Pegasus, nella mitologia greca, è il cavallo alato, un animale selvaggio e simbolo di libertà. Appare almeno ironico, quindi, che la società israeliana NSO Group, specializzata in sistemi di cyber-sicurezza e sorveglianza, abbia scelto questo nome per un suo prodotto mirato al controllo da remoto di persone fisiche totalmente ignare da parte dei potenti del mondo. Nell’ultimo mese si sono susseguite le notizie sul cosiddetto “data leak”, la fuga di informazioni che ha portato l’organizzazione di giornalismo no-profit Forbidden Stories a formulare una teoria di spionaggio senza precedenti per portata e peso specifico. Con la collaborazione di Amnesty International e il suo Secuity Lab, sono riusciti a confezionare una storia che sembra presa da un libro di Ken Follett.

Il data leak

Forbidden Stories e Amnesty International hanno avuto accesso a una lista di oltre 50mila numeri di telefono che, a partire dal 2016, si ritiene siano stati oggetto di attenzione da parte dei clienti di NSO, cioè le entità governative che hanno acquistato il prodotto Pegasus. La lista contiene anche data e ora in cui un particolare numero è stato inserito nel sistema ma non permette di associare un numero all’entità che ne ha chiesto l’inserimento in lista. Oltre 80 giornalisti di 16 società di informazione in tutto il mondo hanno lavorato negli ultimi mesi per identificare i nomi collegati a tali numeri, persone probabilmente poste sotto sorveglianza dal proprio (o da un altro) governo.

Essere sulla lista è sicuramente prova di un’intenzione ma per capire se veramente ci sia stato il tentativo di hackeraggio del cellulare è stato necessario esaminare i device: il Security Lab di Amnesty ha potuto effettuare l’analisi solo su 67 smartphone, a fronte del rifiuto di molte potenziali vittime (tra cui i massimi vertici statali di diversi Paesi) di consegnare il proprio cellulare, paradossalmente per “ragioni di sicurezza”. Le analisi forensi hanno riscontrato violazioni certe su 23 smartphone, mentre 14 mostravano tracce di un tentativo di accesso. I test sugli altri 30 non hanno dato riscontro certo, spesso perché lo stesso numero era stato nel frattempo spostato su altro device o perché il sistema operativo non trattiene di default le informazioni necessarie agli analisti. L’esito del Security Lab è stato confermato dal doppio controllo effettuato da Citizen Lab, un gruppo di ricerca dell’Università di Toronto che da tempo studia e osserva Pegasus.

Chi sono i sorveglianti

I dati ottenuti dal consorzio sono organizzati in gruppi che lasciano supporre la relazione tra un cluster e un particolare cliente ma, come detto, non permettono di individuare precisamente quale cliente di NSO abbia scelto e inserito un particolare numero. La società israeliana ha dichiarato al gruppo di ricercatori di aver venduto Pegasus a 60 clienti, esclusivamente governativi, in 40 nazioni ma non ha rilasciato l’elenco; l’analisi incrociata di numerose informazioni ha però permesso di identificare almeno 10 governi ritenuti responsabili di aver selezionato i numeri in lista. Secondo Forbidden Stories si tratterebbe – in ordine puramente alfabetico – di Arabia Saudita, Azerbaijan, Bahrain, Emirati Arabi Uniti, Kazakhstan, India, Messico, Marocco, Rwanda e l’europea Ungheria. Dal Canada, Citizen Lab ha trovato evidenza che i Paesi indicati sono tutti clienti di NSO.

Nell’impossibilità di puntare il dito contro uno o più governi oltre ogni ragionevole dubbio, il gruppo di ricerca si limita a sottolineare il comportamento poco prudenziale da parte della società israeliana, che non sembra preoccuparsi troppo della natura più o meno liberale del cliente, e ancor meno delle finalità per cui può essere utilizzato Pegasus, specie da un regime dittatoriale o anche solo liberticida. “Business is business” potrebbe essere il motto sullo stemma di NSO, oppure “il cliente ha sempre ragione”; a voi la scelta.

NSO obietta in una nota ufficiale che il consorzio «è partito da presupposti iniziali errati» e che «una lista di così tanti numeri è impossibile sia correlata al nostro Pegasus, probabilmente si tratta di liste usate dai nostri clienti per motivi loro». Ulteriormente pressati dal consorzio, i legali dell’azienda israeliana sostengono si tratti di «una lista che chiunque con una certa dimestichezza con internet avrebbe potuto reperire con sistemi open source». Sembra insomma che Forbidden Stories, Amnesty International e tutti i giornalisti e analisti coinvolti abbiano preso un grosso grasso granchio per aver «interpretato in modo fuorviante i dati e creato correlazioni dove noi non ne vediamo».

Chi sono i controllati

Il processo di identificazione è ancora in corso e non è semplice, considerate le normative anti-doxxing in vigore in molti paesi, che impediscono di accedere ai dati personali delle persone fisiche. Quel che si può già raccontare è che le figure finora identificate sono tutte di altissimo profilo: numerosi regnanti, presidenti o capi di Governo in Paesi di ogni continente, ma anche politici di rango inferiore, oppositori politici e vertici sindacali. Ci sono i numeri dei componenti della famiglia, delle guardie del corpo e anche degli amici di capi di Stato e personaggi noti alle cronache come la Principessa emiratina Latifa e il suo entourage, oppure il presidente francese Macron. Complessivamente, sono oltre 600 le figure governative o politiche individuate, in 34 Paesi diversi. Accanto ai governanti e agli oppositori politici, si trovano poi numerosi giornalisti investigativi, molti riferibili alle più note testate investigative internazionali ma anche personaggi celebri solo a livello locale; in ogni caso persone con la scrittura facile e scomoda.

Alla luce dell’elenco di numeri e relativi nomi appare fin troppo facile abbinare ciascuno al governo che potrebbe aver deciso di metterlo sotto controllo ma faremo uno sforzo per evitare illazioni e speculazioni. Restiamo innamorati dei fatti, anche se la tentazione di tirare righe sul foglio è enorme, tanto evidente appare lo schema.

Come lavora il software

Al simpatico prezzo di 8 milioni di dollari, Pegasus entra nello smartphone della vittima, si installa a livello di amministratore, cioè costringendo il device a eseguire comandi che l’utente non potrebbe mai dare. Ottiene quindi accesso a tutte le informazioni immagazzinate: foto, email e numeri di contatto (e di possibili fonti protette, nel caso dei giornalisti). Accende anche il microfono in autonomia e, se attivato da una o più parole chiave, può registrare anche conversazioni non telefoniche, come una microspia. Potrebbe perfino aggiungere contenuti compromettenti in uno smartphone, con le possibili implicazioni illecite a danno del proprietario. Secondo i ricercatori canadesi di Citizen Lab, si starebbe anche perfezionando per lasciare sempre meno tracce della sua esistenza; la nuova versione (successiva al data leak) si installerebbe infatti nella memoria temporanea del telefono, invece che nel suo hard drive, di fatto “scomparendo” quando il telefono viene spento. Anche l’utente più attento e preoccupato, e a giudicare dall’elenco di nomi molti avrebbero ragioni per esserlo, non può fare niente per difendersi. Niente.

Per ora non sono stati divulgati nominativi italiani, né sul fronte politico né su quello giornalistico. Viene da sorridere a pensare quanta irrilevanza debbano possedere le due categorie del Belpaese agli occhi del mondo; se questi governi con le manie di controllo non ritengono l’Italia un obiettivo interessante, forse è solo perché la nostra classe politica è talmente semplice e trasparente che tutto quel che fa, dice e pensa (e mangia!) sta già comodamente sui social. Discorso diverso sul livello del giornalismo nostrano, evidentemente considerato poco scomodo e visto come un calderone di aspiranti redattori con poca voglia e ancor meno tempo di fare fact-checking, a cui si contrappongono pochi, meravigliosi irriducibili della verità.

L’Italia si colloca purtroppo soltanto al 41mo posto nella classifica di Reporter Senza Frontiere, su 180 paesi analizzati; aumentano in tutta Europa e anche da noi le querele contro i giornalisti, si intensificano le minacce sui social o fisiche e permangono diverse situazioni che costringono i reporter a vivere sotto scorta. In Italia le leggi a tutela e regolamentazione degli attacchi al giornalismo sono in un limbo dimenticato da anni, sempre messe in fondo alla lista delle priorità governative. Viene il dubbio che a chi comanda quel 41mo posto vada bene così, che il giornalismo sia perfetto se resta buono buono al suo posto e ripeta soltanto la voce dello Stato, senza instillare noiosi dubbi nei lettori, senza commentare in proprio la notizia o esprimere opinioni divergenti dallo status quo che stimolino il pensiero critico nella popolazione. Ci sono poche, fulgide eccezioni a questo appiattimento verso il basso, sempre più una specie da segnalare al WWF per il rischio estinzione.

© RIPRODUZIONE RISERVATA