Pegasus: nulla da nascondere? – (1)

di jolek78

Era domenica sera e io ero seduto davanti al mio computer alla ricerca di magliette a tema “nerd“. Fa davvero molto caldo in questo periodo nella perfida Albione. Mentre mi apprestavo a prendere nota dei prezzi – sempre sempre troppo care, dannazione – mi arrivava dal Guardian una notifica. Ma questa volta non si parlava del biondone Boris alla ricerca di cose inopportune da fare al momento inopportuno, ma di qualcos’altro. Il titolo dell’articolo si riferiva a qualcosa chiamato Pegasus. Ma dove l’avevo letto già quel nome?

Pegasus

Ecco dove l’avevo letto. Era il lontano 2015 e Wikileaks pubblicava uno dei suoi leak più celebri. Si chiamava SpyFiles e conteneva più di un milione di email provenienti dal gruppo italiano HackingTeam che, nel lontano 2013, discuteva di questo tool venduto dalla NSO e chiamato, appunto, Pegasus (qui)

Pegasus e’ prodotto da NSO, una azienda israeliana. Non ne sono sicuro ma sembra che al momento funzioni soltanto su Blackberry (ha un sistema di propagazione molto potente) ed ha un prezzo alto.

Secondo le analisi fatte dalla azienda Lookout nel 2015, questo tool era in grado d’installarsi senza alcuna interazione da parte dell’utente, magari attraverso una notifica push, d’interagire col device e di non lasciare alcuna traccia della sua esistenza. Tecnicamente viene piazzato sul device un programma chiamato in gergo “agente” che al tempo stesso scansiona, estrae e trasmette i dati provenienti dall’attaccato all’attaccante. Ma quel 2015 ci regalava un’altra cosa straordinaria: un manuale d’uso che descriveva il suo funzionamento. Leggerlo, per come era strutturato, per come interagisce, per come funziona nel suo complesso e nella sua (apparente) semplicità, lascia letteralmente senza parole. Innanzi tutto si presenta esplicitamente come una “soluzione di cyber intelligence per estrarre qualsiasi tipo d’informazione da un device mobile”. Nelle parole della NSO il tool è stato sviluppato da “veterani dei servizi d’intelligence per fornire ai governi un nuovo modo per intercettare le comunicazioni, in un mondo dove la sfida si svolge dinamicamente nei campi di battaglia cibernetici”. Per sommi capi vediamo cosa è in grado di fare:

– accesso remoto a informazioni come contatti, chiamate telefoniche, password etc
– capacita’ d’intercettazione di chiamate voip – skype viber whatsapp etc… – in real time
– capacita’ di bypassare la crittografia SSL
– capacita’ di tracciamento real time della posizione gps
– autodistruzione nel caso di rischio di esposizione

Ci sono vari layer su cui il sistema opera. Il primo, e forse quello fondamentale, è quello del target dove opera l’agente immagazzinando dati e ritrasmettendoli. Il secondo è composto da una rete WAN – wide area network – con al suo interno un nodo che anonimizza il traffico. Il terzo è ovviamente quello del customer che da remoto controlla, monitora, comanda, ricerca e gestisce le informazioni.

Poiché inoltre il sistema produce una quantità sterminata di dati, viene richiesto da parte del customer l’installazione di hardware dedicato, con un cabinet cosi’ composto: 10T di storage, 5 servers, 1 web server 3 switches, 1 sistema di backup, 1 router e, bontà loro, 1 sistema UPS per le prevenire le cadute di corrente elettrica. Una volta installata tutta questa architettura informatica, per il monitoraggio attivo viene fornita una interfaccia grafica per la ricerca delle parole chiave, l’ascolto delle chiamate, la geo localizzazione e molto altro. Ho deciso, mi hanno convinto: domani ne compro uno. Chissà se lo vendono su ebay…

Le analisi di Lookout

Nel report e nella conferenza che si tenne al BlackHat di Londra nel 2016, Lookout spiega alcune cose interessanti. Pegasus non è l’unica applicazione e NSO non è l’unica azienda capace di fare questo genere di cose. Aziende come FinFisher o l’italianissima HackingTeam hanno produzioni e scopi molto simili. Pegasus pero’, a differenza delle altre, raggiunge un sistema di sofisticazione molto più alto. La ragione per la quale è considerato il migliore spyware in circolazione è la sua capacita’ di attaccare il kernel in maniera silente e di agire istantaneamente sulle applicazioni installate di uso più comune. Nel corso degli anni molte sono state le patch applicate da Android, IOS e da applicazioni come WhatsApp o Skype.

Pegasus, in sostanza, funziona cosi’:
stage1: Un codice javascript nascosto analizza l’intero contenuto del device e lancia un rce – comando eseguito da remoto. È in sostanza un exploit che si basa, normalmente, sulle vulnerabilità del sistema operativo e del kernel che state utilizzando
stage2: Una volta acquisito il sistema, il codice di pegasus viene effettivamente installato. Comincia repentinamente la modifica del codice interno del device e delle sue applicazioni
stage3: Le applicazioni appena modificate cominciano a fare il loro lavoro e trasmettono le informazioni alla sorgente. Il device è definitivamente compromesso.

Cosa sappiamo di NSO

Citizenlab, una associazione no profit composta da giornalisti e ricercatori con base a Toronto, da anni si occupa di tematiche legate alla sicurezza informatica. Uno degli argomenti che, nel corso del tempo, ha trattato con più assiduità,  è stata proprio questa famigerata NSO, e il suo coinvolgimento in operazioni più o meno lecite che l’hanno portata alla ribalta della cronaca. Uno degli scandali più noti riguarda il famoso exploit a WhatsApp che permetteva, senza alcuna interazione “manuale” da parte dell’utente, d’infettare il target con una semplice notifica push, un messaggio, o una chiamata anche non risposta. La vulnerabilità CVE-2019-3568 è stata poi successivamente “patchata” da WhatsApp con un aggiornamento, ma questo non vuol dire che una situazione simile non si possa più ripetere.

NSO è un’azienda fondata da alcuni esperti in cybersecurity, con sede principale in Israele, che si occupa specificamente di produrre “best-in-class technology” – tecnologia di alto livello – per aiutare agenzie governative a prevenire e lottare il crimine e il terrorismo. Questo negli intenti pero’. La realtà è invece che il loro business si basa, come tutte le aziende peraltro, su chi decida di acquistare i suoi servizi e prodotti. Business is business in fondo, se non fosse pero’ che qui stiamo parlando, potenzialmente, della vita e della privacy di privati cittadini. La loro posizione è chiara da tempo. In uno scambio di email fra CitizenLab e NSO impariamo quel che segue:

– affermano di non far politica
– affermano di tenere in seria considerazione il rispetto dei diritti umani
– affermano di fornire prodotti soltanto ad agenzie “verificate”
– affermano di non avere accesso ai dati dei loro clienti

Se Pinocchio avesse le ali, sarebbe sicuramente un F-35

Lo scoop di ForbiddenStories

Negli scorsi anni il consorzio giornalistico ForbiddenStories, nato pochi mesi dopo dalla strage di Charlie Hebdo, è entrato in possesso di un materiale unico. Un leak, forse il più importante dell’anno. Più di 50.000 numeri di telefono controllati e spiati attraverso Pegasus per più di 3 anni. La mole di dati era immensa e il lavoro da fare probabilmente inestimabile. Cosi’ ForbiddenStories decide di coinvolgere altri giornalisti e altri gruppi per analizzare i dati, in modo da avere un controllo granulare sulle informazioni estratte. È cosi’ che nasce il Pegasus Project, un progetto giornalistico al quale partecipano più di 80 reporter e 17 associazioni sparse per il mondo.

In questo straordinario progetto, Amnesty International si occupa di fare la cosa più importante e forse più difficile di tutte: l’analisi forense spiegando nel dettaglio la tecnica utilizzata. La prova delle prove insomma, per non permettere a nessuno di poter dire “vi siete sbagliati” o “siete dei dilettanti”. Si scopre quindi che l’asserzione “Pegasus non lascia tracce della sua presenza” è parzialmente falsa. Non solo lascia tracce, ma a una analisi dettagliata si può visualizzare come, cosa, e in che in modo ha operato per modificare, ricevere e inviare dati dal target attaccato. Amnesty inoltre fornisce un toolkit chiamato MVT, rilasciato su Github in Mozilla Public License, che permette di fare una analisi forense direttamente sul proprio smartphone Android. E se non bastasse fornisce una lista di domini e link compromessi da NSO, sempre su GitHub, sempre disponibili pubblicamente.

Il parere di Snowden su NSO

In una intervista rilasciata al Guardian, Edward Snowden si lascia andare ad alcune affermazioni che fanno davvero riflettere:

Quello che ci ha rivelato il progetto Pegasus è l’esistenza di un settore dove l’unico prodotto sono i vettori d’infezione. Questi non sono tool di sicurezza, non forniscono alcun tipo di protezione, alcun tipo di profilassi. Questo settore non fornisce vaccini ma soltanto virus.

Cosa sappiamo fino a ora

Rispetto al numero di telefoni intercettati, rispetto ai governi fino a ora coinvolti, le informazioni trapelate son davvero poche gocce in un oceano. Il modello che ForbiddenStories e il network che compone il Pegasus Project è differente da quello che adottava Wikileaks. Per ora infatti hanno deciso di rilasciare solo poche informazioni, ben documentate, tenendo da parte i dati sensibili dei target coinvolti. Un approccio molto più giornalistico, molto più attento alla privacy di chi, la privacy, se l’e’ vista già violata. Di sicuro sappiamo che:

– I telefoni dei parenti e di alcuni amici del giornalista Jamal Khashoggi sono stati infettati da Pegasus pochi giorni prima del suo omicidio. Il governo dell’Arabia Saudita sembra essere coinvolto nello scandalo.
– Il telefono della principessa Haya, ex moglie dell’emiro di Dubai, è stato infettato per anni da Pegasus e controllato anche dopo il suo trasferimento a Londra. Il governo degli Emirati Arabi sembra essere coinvolto.
– Il telefono del fondatore di Telegram, una applicazione end-to-end encrypted simile a WhatsApp, Pavel Durov, è stato tenuto sotto controllo da Pegasus. Non è chiaro chi abbia ordinato il controllo.
– Nella lista, salta fuori il nome del presidente francese Emmanuel Macron, quello dell’ex presidente dell’Unione Europea Romano Prodi e quello di altri politici internazionali.

E poi, forse quello che per chi fa informazione davvero fa paura:
– quasi 200 giornalisti in tutto il mondo sono stati tracciati dal tool della NSO
qui una iniziale lista confermata da Forbidden Stories

Il live stream in arrivo

Martedi 27 Luglio 2021 alle ore 20:00 BST, il consorzio ha organizzato un live stream dove Paul Lewis e Stephanie Kirchgaessner del Guardian e Agnès Callamard, segretario generale di Amnesty International, parleranno del leak ricevuto e delle informazioni in esso contenute. Sara’ molto interessante partecipare alla conferenza (anche se da remoto), e capire…

https://www.eventbrite.co.uk/e/the-pegasus-project-revealing-a-global-abuse-of-cyber-surveillance-tickets-163379288851


Per approfondire

https://citizenlab.ca/tag/nso-group/
https://forbiddenstories.org/case/the-pegasus-project/
https://www.theguardian.com/news/series/pegasus-project/
https://www.amnesty.org/en/latest/news/2021/07/the-pegasus-project/

Fabio
Un tizio che pensava di essere uno scienziato. Si ritrovò divulgatore scientifico. Poi si addormentò e si svegliò informatico. Ma era sempre lui.

3 commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *