Nella notte tra domenica 18 e lunedì 19 luglio è apparsa su molte testate internazionali la notizia che il software “israeliano” Pegasus sarebbe stato utilizzato in molti paesi per controllare e spiare oppositori politici e attivisti nel campo dei diritti umani. Tra le vittime anche alcuni capi di stato.
Ma chi è la società che ha prodotto Pegasus e come opera?
Pegasus
Pegasus è un insieme di strumenti e programmi che si auto-installano nei telefoni dei target a insaputa degli utilizzatori e che vengono normalmente definiti trojan o spyware.
La società autrice del software si chiama “NSO Group” e – da quanto racconta Amnesty International nella sua approfondita analisi – è un’organizzazione piuttosto oscura e non sottoposta al controllo di alcuna autorità garante.
NSO Group
Il nome esatto della società è NSO Group Technology Ltd. Fondata nel 2010 a Herzliya, poco a nord di Tel Aviv, ha come obiettivo dichiarato la creazione di software destinato alle agenzie che combattono il terrorismo internazionale.
Investitori internazionali
Nel 2014 NSO Group ha visto un importante investimento da parte della società di equity “San Francisco Partners” che ha rilevato il 70% delle azioni per 115 milioni di dollari. Operazione non semplice da decifrare, visto che contemporaneamente i fondatori di NSO creano una nuova società, di nome Q Cyber Technology con lo scopo di acquisire il pacchetto di maggioranza di NSO.
Caymani
Successivamente una ulteriore società, OSY Technology SARL con sede nelle isole Cayman, diviene l’unica proprietaria delle azioni di Q Cyber Technology; ed è proprio questo il veicolo utilizzato da San Francisco Partner per ottenere il controllo di NSO (tramite le varie scatole intermedie).
La complessità cresce
Tutto finito? Per nulla. La struttura cresce e si complica negli anni successivi. Vi rimandiamo al rapporto di Amnesty per tutti i dettagli, facendo solo notare che apparentemente sono state create aziende controllate in molti dei paesi oggi accusati di aver utilizzato Pegasus per fini politici (o in quelli confinanti).
Buyback
Nel 2019 i fondatori di NSO group annunciano il riacquisto della compagnia da San Francisco Partner. La struttura risultante è rappresentata da un insieme di box e connessioni talmente intricata che evitiamo di riportarla in questo articolo (per chi fosse interessato: diagramma 7 a pagina 58 del documento di Amnesty).
Come funziona Pegasus?
Come nel caso della struttura societaria di NSO, anche il funzionamento di Pegasus ha avuto notevoli sviluppi nel tempo. Partendo dal classico sistema degli SMS non sollecitati che iniettano codice nel sistema operativo (IOs di Apple nei casi analizzati) si è passati all’utilizzo di falle nell’applicazione Photos e anche a sconosciuti bug in iMessage.
Infettarsi con una semplice ricerca
In tutti i casi il codice inserito utilizza un intricatissimo network di siti per canalizzare informazioni estratte dal portatile della vittima. In un esempio analizzato da Amnesty, una semplice ricerca utente su yahoo.fr o l’accesso al sito online di le Parisien vengono redirette ad un sito di nome freexxxdownloads.com (dove xxx sono tre cifre). Sito che contiene il codice incriminato.
Il ruolo dei database
Un particolare interessante: tutte queste operazioni vengono normalmente registrate in alcuni database relazionali interni all’iPhone. Pegasus riesce in genere a cancellare le tracce di queste operazioni, ma in alcuni casi (per errori di programmazioni) sono state lasciate situazioni incoerenti nel database stesso, permettendo a chi sa cosa cercare di identificare l’accaduto.
Inconsistenze
Un database relazionale è infatti composto da numerose tabelle messe in relazione da campi comuni: la presenza di una certa informazione in una tabella implica la presenza di numerose altre informazioni nelle tabelle correlate. È proprio la mancanza di questa corrispondenza che ha permesso ad Amnesty di identificare con certezza la manomissione. Tutti i dettagli sono disponibili a questo indirizzo
Un network di oltre 600 siti
Impressionante il network di falsi siti creati da NSO a supporto del funzionamento del sistema di spionaggio: ne abbiamo contati oltre seicento, registrati per lo più in Europa e spesso con nomi insospettabili, quali telecom-info.com, starbuckscoffeeweb.com o hotels-review.org (che consigliamo di non visitare).
Nessun sito con nomi afferenti all’area del porno, a dimostrazione di una certa etica da parte di chi li ha ideati.
La risposta di NSO
La risposta ufficiale di NSO a queste denunce è apparsa nell’area news del sito ufficiale il 18 luglio. La società nega ogni utilizzo illecito del proprio software, creato – scrive – al solo scopo di salvare vite e prevenire atti di terrorismo. In particolare nessuna prova esisterebbe del suo utilizzo nella vicenda dell’assassinio del giornalista Kashoggi, mentre è certo – conclude – che l’utilizzo di Pegasus ha contribuito a sgominare bande di pedofili, proteggere spazi aerei e perfino (affermazione davvero sorprendente) a “individuare sopravvissuti bloccato nelle macerie di palazzi crollati”.
Come proteggersi da Pegasus (e simili)
Inutile la solita ricetta “aggiornare il sistema operativo”. Nei documenti qui illustrati si trovano infatti degli epxloit attivi anche con le ultimissime release dei sistemi operativi IOs e Android. Chi volesse dunque proteggersi da Pegasus (e altri possibili sistemi analoghi) non ha che una strada: lasciare a casa lo smartphone e portare sempre con sè un cellulare non-smart stile anni ’90 (i famosi feature phone), quali i vari modelli retro di Nokia. O magari un genuino Razr, ancora piuttosto trendy dopo due decenni di vita. (M.H.B. per NL)