L’aspetto più sconcertante della vicenda Paragon (se non sapete nulla, leggete la mia precedente newsletter), più che il suo eventuale utilizzo da parte dell’Italia, è l’apparente incapacità di tutti – in primo luogo politica e istituzioni – a dare, se non spiegazioni, almeno delle minime informazioni di base.
Così, a distanza di settimane dalla notizia dell’attacco effettuato attraverso questo spyware ad uso governativo ai telefoni del giornalista Francesco Cancellato, e di vari attivisti connessi alle attività di salvataggio migranti nel Mediterraneo, la vicenda e lo spyware in questione sono già diventati una entità inconsistente, inafferrabile e direi ineffabile (letteralmente, se perfino le istituzioni minacciano querele, come riporta Fanpage, di cui Cancellato è il direttore).
Ancora poco e nulla sappiamo del suo funzionamento tecnico (in attesa che Whatsapp e Citizen Lab escano con informazioni più dettagliate). Sappiamo che Aise e Aisi (rispettivamente i nostri servizi esteri e interni) hanno infine ammesso di essere clienti di Paragon, di averlo usato, ma di non averlo impiegato contro giornalisti e attivisti.
Più precisamente il direttore dell’Aise Caravelli avrebbe confermato l’uso di Graphite, lo spyware di Paragon, ma non per spiare media o attivisti, riferisce Domani. E qualcosa di simile (sono informazioni filtrate attraverso il Copasir e riportate dalla stampa) avrebbe detto anche il direttore dell’Aisi, Valensise.
Non è nemmeno chiaro se i contratti di Paragon con l’Italia siano stati o meno rescissi, dato che la stampa estera aveva riportato questa notizia, e il governo italiano l’ha poi di fatto smentita. Come sintetizza Pagella Politica: “dopo che lo spionaggio è stato reso noto, il governo ha detto di non c’entrare nulla. Secondo il Guardian e Haaretz, Paragon Solutions avrebbe rescisso il contratto con l’Italia perché il governo avrebbe «violato i termini e il quadro etico», ma il ministro Ciriani ha smentito questa ricostruzione dei fatti, dicendo che il contratto con Paragon Solutions è ancora in vigore”.
Non solo. Il sottosegretario Mantovano aveva detto che la vicenda era “classificata”, e invece il ministro Nordio ne ha parlato alla Camera – racconta Il Post – “negando che le strutture che dipendono dal suo ministero avessero contratti con società come Paragon, e dicendo inoltre che nel 2024 nessuno è stato intercettato dalla Polizia penitenziaria”.
(Se vi chiedete il perché di questa smentita, è che in questa grottesca caccia a chi avrebbe usato Paragon in Italia, in questo giallo in stile Dieci piccoli indiani, la Polizia Penitenziaria a un certo punto era rimasta col cerino in mano).
Dunque che si fa ora? Ripartiamo dai target dello spyware. Uno di questi è Luca Casarini, fondatore e capomissione di Mediterranea SavingHumans, che come gli altri è stato avvisato solo il 31 gennaio da un messaggio di Meta/Whatsapp. Un messaggio che in sostanza gli diceva di essere stato oggetto di un attacco di hacking governativo e di contattare Citizen Lab, il gruppo di ricercatori che studiano spyware governativi, per avere un’analisi del telefono e un supporto.
“Già il messaggio di Meta diceva di liberarsi del telefono. E anche Citizen Lab (che si sta occupando di una prima analisi del dispositivo) mi ha poi suggerito lo stesso, dato che neanche il ripristino delle modalità di fabbrica sarebbe stato sufficiente”, commenta a Guerre di Rete Casarini.
Su questa indicazione, che ritengo un punto importante, ho chiesto un parere a un veterano del settore. Uno che questi strumenti li ha sviluppati per anni, ovvero Valerio ‘valerino’ Lupi, CTO di Mentat, ex Hacking Team e Verint. Il quale mi conferma che, almeno per i dispositivi Android (perché di quelli si occupava), è una ipotesi del tutto plausibile. Ovvero il ripristino alle condizioni di fabbrica potrebbe non bastare.
Stesso parere anche da parte di Stefano Zanero, professore ordinario di “Computer Security” e “Digital Forensics and Cybercrime” al Politecnico di Milano, nonché tra le più autorevoli voci del mondo della sicurezza informatica in Italia e fuori. “Può avere senso”, mi dice. “Il ripristino viene comunque controllato dal software, non è impensabile che un bootkit fatto bene sopravviva”.
Ma Casarini racconta a Guerre di Rete come lo stesso Citizen Lab, contattato entro poche ore, gli abbia anche detto di mettere subito il telefono in modalità aerea, di avvolgerlo in carta stagnola e lasciarlo in un cassetto. Probabilmente per evitare interferenze nell’immediatezza della notizia.
“Se il telefono è infettato la cosa migliore è togliere la batteria, se possibile”, commenta ancora Lupi. “O metterlo in un posto dove non prende finché si scarica la batteria”.
Sempre la stessa Citizen Lab avrebbe detto a Casarini che Paragon sarebbe uno spyware molto sofisticato, e capace di molteplici funzioni. Una sorta di evoluzione del più celebre Pegasus, prodotto dalla concorrente NSO.
Nei resoconti giornalistici sulla scoperta dell’invio di questo spyware contro circa 90 utenti si è poi parlato dell’uso di un pdf e di chat di gruppo per veicolare l’attacco. Casarini non ricorda un’occasione, una chat o un pdf specifico (“ne ricevo in continuazione in diverse chat”, dice), ma ricorda invece un precedente (di cui ha anche scritto Mediterranea in un comunicato).
Ovvero di quando a febbraio 2024 aveva ricevuto un avviso da Facebook in relazione al suo account sul social network. L’avviso gli diceva di essere stato oggetto di un attacco informatico di tipo governativo, e di rivolgersi al centro assistenza. All’epoca Casarini non aveva preso troppo sul serio l’avviso e si era limitato a cambiare la password dell’account.
Ma gli è tornato in mente quando Citizen Lab gli ha chiesto informazioni al riguardo. “Hanno visto un’attività sospetta, un tentativo di infezione che però è stato bloccato. Forse una prima attività propedeutica per infezioni successive”, commenta Casarini.
Un genere di attività, anche con profili finti su Facebook, che Meta aveva raccontato in un report proprio del febbraio 2024, in cui erano citate anche aziende italiane, e che Citizen Lab ha inviato allo stesso Casarini.
Per l’attivista tutta la vicenda è grave dal punto di vista politico e culturale. Ma ha anche i contorni di una matrixiana, la chiama così, una Matrix all’italiana. E in fondo l’immagine si presta abbastanza: mentre si provano ad aprire delle porte, il palazzo si trasforma e le uscite si chiudono davanti ai nostri occhi. Inconsistente, inafferrabile e ineffabile.
Sempre che non arrivi, prima o poi, il Mastro di Chiavi.
Fonte
Nessun commento:
Posta un commento