Le armi tech fuori controllo

Questo è uno dei modi in cui la tecnologia di sicurezza che in teoria era ottima contro i terroristi si espande tipo blob e tocca anche chi si illudeva di restarne fuori. C'è anche un altro percorso e passa dal Messico e dalle ricche nazioni arabe del Golfo, che hanno grosse responsabilità. Prendiamo il Gruppo Nso, che è una società israeliana specializzata nella sorveglianza dei telefonini. “La nostra tecnologia ha contribuito a fermare crimini orrendi e attacchi terroristici in tutto il mondo – dice una sua dichiarazione ufficiale che dovrebbe rassicurare gli scettici – non tolleriamo un uso sbagliato dei nostri prodotti e rivediamo i nostri contratti a intervalli regolari per assicurarci che non siano usati per altro che non sia la prevenzione e le indagini che riguardano il terrorismo e i criminali”. Il Gruppo è nato dall'idea di due amici di scuola israeliani, Shalev Hulio e Omri Lavrie, che nel 2008 decisero di creare un'applicazione civile della tecnologia sviluppata dall'Unità 8200 (è il reparto dell'intelligence israeliana che si occupa di intercettazioni e comunicazioni, l'equivalente della National Security Agency americana). A loro il New York Times ha dedicato un articolo nel 2019 che è stato scritto da una squadra dei migliori giornalisti specializzati in questioni di intelligence e fa rizzare i capelli. In pratica i due hanno un'idea molto legittima e tranquilla: perché non dare ai proprietari di telefonini un modo per mettersi in contatto con il servizio assistenza in caso di problemi e lasciare che siano i tecnici a risolvere a distanza il problema? I tecnici si collegano al telefonino come se l'avessero in mano, prendono il comando della situazione e fanno quello che devono fare.

Il fatto è che negli stessi anni le agenzie di intelligence stanno fronteggiando il problema delle comunicazioni criptate fra telefonini. E' quel messaggio che vedete all'inizio di una conversazione su WhatsApp (tanto per fare un esempio, ma vale lo stesso con Telegram e gli altri) che dice che lo scambio dei messaggi avviene attraverso pacchetti di dati criptati che sono illeggibili per chi li volesse intercettare. Di colpo, tutti hanno a disposizione comunicazioni blindate contro i tentativi esterni di violarle. E' una meraviglia per chiunque voglia scambiarsi messaggi senza farsi più intercettare dalle forze di sicurezza. A quel punto la soluzione dei servizi di intelligence è semplice: che ci importa di intercettare i dati che un telefonino si scambia con un altro (tanto non possiamo leggerli) se invece possiamo prendere il controllo di un telefonino senza che il suo proprietario lo sappia? In fin dei conti, tra aggiustarlo a distanza e spiarlo a distanza non c'è molta differenza, bisogna soltanto cambiare il modo per attivare il software. Il Gruppo Nso ha scritto così un programma che si chiama Pegasus, che oggi ha probabilmente molte imitazioni e ancora più efficienti. “Quando queste società ti invadono il telefonino, ne diventano i padroni. Tu lo porti soltanto in giro”, dice Avi Rosen, un consulente israeliano specializzato nella sicurezza elettronica.

Pegasus dovrebbe essere un nome molto più celebre considerato quello che riesce a fare, ma resta confinato agli addetti ai lavori. Il primo cliente è il Messico, che paga 77 milioni di dollari per usarlo contro i cartelli della droga. Il risultato, ma non è una storia ufficiale, è l'arresto e l'estradizione negli Stati Uniti di Joaquín Guzmán Loera “El Chapo” – che come tutti sanno era il narcotrafficante più potente del mondo. Il problema è che il governo messicano usa Pegasus anche contro altri bersagli che non sono i narcos, come decine di giornalisti e di critici e anche contro gli investigatori internazionali che stanno indagando sulla sparizione di 43 studenti – secondo Citizen Lab, un laboratorio di ricerca che studia queste cose affiliato all'Università di Toronto. Alcuni bersagli messicani non sono terroristi o criminali, ma sono finiti pure loro sotto controllo. Del resto se hai il potere di sapere cosa succede sui telefonini della gente che ti infastidisce di più, che cosa ti trattiene – a parte la legge e l'etica? Inoltre il Messico non è un paese a tenuta stagna, non c'erano garanzie che Pegasus non avrebbe cominciato a circolare fuori dalle stanze segrete dove si fa la guerra ai narcos.

Il Gruppo Nso dice di avere un comitato etico che decide con chi fare affari e con chi no e che si basa sull'indice globale di trasparenza e di rispetto dei diritti umani dei paesi stilato, fra gli altri, dalla Banca mondiale. Non abbiamo venduto Pegasus alla Turchia, spiegano, perché mette in carcere giornalisti e dissidenti. E però, nota il team di giornalisti del New York Times, Messico e Arabia Saudita sono più in basso rispetto alla Turchia su quell'indice compilato dalla Banca mondiale ed entrambi sono clienti del gruppo. Citizen Lab dice che molti amici e conoscenti di Jamal Khashoggi, l'editorialista saudita attirato con l'inganno dentro il consolato saudita di Istanbul e fatto a pezzi con una sega nell'ottobre 2018, erano tenuti sotto sorveglianza con i software di hacking del Gruppo Nso e sospettano che anche Khashoggi lo fosse – ma è indimostrabile perché il suo telefonino è sparito. Si sa che Saud al Qahtani, l'uomo che per conto del principe erede al trono saudita Mohammed bin Salman sorvegliava Khashoggi, si era rivolto agli israeliani di Nso per acquistare i loro servizi – un segnale di disgelo fra arabi e israeliani molto interessante se non fosse stato fatto con così tanta discrezione. Nel 2013 gli israeliani di Nso hanno fatto un contratto con gli Emirati Arabi Uniti e nel giro di un anno il software è stato usato negli Emirati per spiare il telefono di Ahmed Mansoor, un attivista per i diritti umani. Quando la cosa è stata scoperta, la Apple ha dovuto scrivere un aggiornamento d'urgenza del sistema operativo per tappare la falla da cui gli hacker erano entrati nel telefono del dissidente – che oggi è in carcere con una condanna a dieci anni.

“Da tre anni molti esperti di politica si vantano con me di avere il numero personale di Mohammed bin Salman e di scambiarsi messaggini con lui via WhatsApp fin dal 2017. Mi hanno fatto pure vedere i video di deserti e montagne saudite che lui gli mandava in chat. Conclusione: tutti sono stupidi”. Bin Salman è il principe saudita che secondo le accuse uscite la scorsa settimana è riuscito a entrare nel telefonino di Jeff Bezos, il fondatore di Amazon, con un software spia tipo Pegasus che era nascosto dentro un video innocente. Glielo aveva mandato via WhatsApp. Bin Salman, o meglio la squadra di hacker dietro di lui, ha poi succhiato via il contenuto del telefonino di Bezos comprese le foto dell'amante e le chat con lei. A scrivere la cosa di prima – degli esperti che si vantavano di chattare con Bin Salman e di ricevere bei video – è un'analista del medio oriente che ha pensato quello che hanno pensato un po' tutti. Quante volte e con chi Bin Salman ha fatto lo stesso trucchetto? Si dice persino che Bin Salman avesse un gruppo WhatsApp con Jared Kushner, il genero di Trump incaricato di seguire le faccende mediorientali, con un politico israeliano e con l'emiro Bin Zayed degli Emirati Arabi Uniti e che si chiamasse “il quartetto”. Avrà tentato di fare la stessa cosa anche con loro? Forse si sarà trattenuto, perché gli israeliani in pratica hanno inventato questo tipo di operazioni.

Alla fine del 2017 c'è stata una serie di dimissioni nello staff della Nso, formato da ex agenti d'intelligence specializzati in questo genere di operazioni. Il Gruppo si è insospettito, ha assoldato alcuni detective che hanno seguito i tecnici transfughi e hanno scoperto che si erano spostati a Cipro, a lavorare per una società rivale, l'emiratina Dark Matters (ironia della sorte, sono stati beccati con un lavoro di sorveglianza vecchio stile). La Dark Matters è privata, ma è anche un braccio dei servizi degli Emirati Arabi Uniti (la sede centrale è nello stessa torre dell'agenzia di sicurezza emiratina sull'autostrada tra Dubai e Abu Dhabi). Le due società in questi anni si sono fatte una competizione spietata per assoldare gli esperti migliori e a volte se li sono rubati a vicenda con stipendi enormi. L'idea che il business che muove questa gara sia fondato soltanto sulla prevenzione del crimine o del terrorismo è ingenua. L'idea che tutto questo lavoro per azzerare la privacy di persone normali resti contenuto in certe stanze governative e non sia un problema comune già in questo momento è ancora più ingenua.

Daniele Raineri

• 

• Daniele Raineri

• Di Genova. Nella redazione del Foglio mi occupo soprattutto delle notizie dall'estero. Sono stato corrispondente dal Cairo e da New York. Ho lavorato in Iraq, Siria e altri paesi. Ho studiato arabo in Yemen. Sono stato giornalista embedded con i soldati americani, con l'esercito iracheno, con i paracadutisti italiani e con i ribelli siriani durante la rivoluzione. Segui la pagina Facebook (https://www.facebook.com/news.danieleraineri/)