Cos'è e come funziona lo spyware Graphite di Paragon

Nessuna dietrologia: è naturale che l’industria dietro agli spyware si muova nell’ombra, in quel limbo senza confini certi tra la sicurezza nazionale e la violazione della privacy individuale. L’ultima rivelazione di Citizen Lab che ha individuato Graphite, questo il nome del software di sorveglianza della società israeliana Paragon Solutions che si è attivato attraverso WhatsApp - sui cellulari di novanta persone in quattordici paesi europei, tra cui sette attivisti e giornalisti italiani, ha riacceso il dibattito sulla proliferazione di questi strumenti e sulle loro implicazioni.

 

Leggi anche:

Che cosa sappiamo del caso Paragon e dello spyware usato per spiare giornalisti e attivisti

Redazione

      

Il mercato degli spyware

Paragon Solution, come altri operatori del settore, vende software di sorveglianza avanzata ai governi, promuovendoli come strumenti essenziali per il contrasto alla criminalità e alla protezione della sicurezza nazionale. Tuttavia, la realtà è complessa e come ogni strumento può essere utilizzato con finalità diverse da quelle originarie: le cronache raccontano le storie di giornalisti, attivisti, oppositori politici e funzionari vittime di spyware realizzati dalla moltitudine di aziende che proliferano nel settore. Insomma, anche in questo caso, nonostante spesso ci siano dichiarazioni pubbliche di intenti etici con la promessa di vendere esclusivamente a governi democratici e stabili, il rischio di abusi rimane alto per la stessa natura dei “software spia”.

La stessa Paragon, recentemente acquisita dal gruppo di investimenti statunitense AE Industrial Partners, si posiziona come alternativa più responsabile rispetto ad altri competitor tipo NSO Group, il produttore di Pegasus, ma il contesto è quello che conta. L’uso specifico di queste tecnologie è determinato dai clienti, ovvero governi e agenzie di intelligence, sebbene le società mantengano la facoltà di eseguire controlli per verificare che vengano rispettate le condizioni stabilite nei contratti. Come pare sia accaduto in questo caso con la rescissione del contratto, anticipata dal Guardian, tra la società e il governo italiano.

Zero-click, la minaccia invisibile

Spiare senza lasciare tracce non è impossibile. Basta pagare e, se una volta la cyber-sorveglianza era un problema per pochi, oggi anche gli utenti comuni possono essere bersagliati da attacchi sofisticati, come i cosiddetti zero-click exploit. Già il nome spiega come funziona: un attacco zero-click si basa su falle di sicurezza nel software per colpire un dispositivo senza alcuna azione da parte dell’utente. Approfittando di queste vulnerabilità, l’exploit può installare malware o compiere operazioni dannose senza che la vittima debba aprire file sospetti, cliccare su link o eseguire qualsiasi altra operazione. Infatti, il codice malevolo si nasconde banalmente all’interno di e-mail, messaggi di testo, file PDF, immagini e testo e permette praticamente ogni tipo di funzione: dal controllo del microfono all’accesso della posizione GPS, dalla registrazione delle chiamate all’attivazione della fotocamera. E tutto senza che l’utente se ne accorga.

Il caso dello spyware che sfruttava un bug nel calendario di iCloud per infettare gli iPhone fu emblematico. L’attacco, scoperto nel 2021, aveva evidenziato la capacità di tali exploit di operare indisturbati per anni. Anche Apple, pur con la sua attenzione alla sicurezza, aveva già subito altre minacce simili, come quella individuata in iMessage nel 2020. Tutto questo perché queste azioni zero click il più delle volte sfruttano vulnerabilità denominate “zero-day”, ossia una qualunque vulnerabilità di un software non nota ai suoi sviluppatori o nota ma non gestita con le precauzioni necessarie. Anche in questo caso è la complessità del settore a rendere praticamente impossibile la limitazione di queste soluzioni: la velocità con cui viene sviluppato nuovo software impone sfide enormi per la sicurezza. Mentre le aziende tech investono in test automatici, revisioni del codice e intelligenza artificiale per individuare vulnerabilità, il sospetto che alcuni bug possano essere deliberatamente inseriti per future operazioni di sorveglianza è sempre più diffuso tra gli addetti del settore. "Non tutte le vulnerabilità sono semplici errori di programmazione", ha ricordato nei mesi scorsi un esperto come Petr Kocmich, Global Cyber Security Delivery Manager per Soitron. "Alcune potrebbero essere backdoor intenzionali, pronte per essere sfruttate al momento giusto". Un dubbio per cui non ci sarà mai una risposta. Nel frattempo, le raccomandazioni per gli utenti restano sempre le stesse: aggiornare costantemente i dispositivi, adottare pratiche di sicurezza avanzate e diffidare dall’illusione di poter mantenere la propria privacy in un mondo sempre più connesso e sorvegliato. Non è così. Per nessuno.