Pegasus, Toka e gli altri: ecco perché l’UE pensa a una moratoria sull’uso degli spyware - Cybersecurity360

Un uso non consapevole della tecnologia aumenta i rischi a essa collegati. È il caso degli spyware, usati da alcuni governi in violazione delle leggi europee. Dopo il caso Pegasus e il recente Toka, ora l’Europa pensa a una moratoria sul loro utilizzo negli Stati membri per normare un settore che continua a proliferare.

I dettagli nel mio articolo per Cybersecurity360

moratoria sull’uso degli spyware

È ancora in bozza, ma la proposta presente nella relazione del Parlamento europeopubblicata di recente parla chiaro: i software di sorveglianza, i cosiddetti spyware, devono essere bloccati negli Stati membri europei.

Il documento finale è stato pubblicato dal Comitato d’inchiesta per le indagini sull’uso di Pegasus e di spyware di sorveglianza equivalenti (PEGA – Pegasus and equivalent surveillance spyware), istituito il 10 marzo del 2022 per investigare sul presunto spionaggio illegale condotto in alcuni Paesi dell’UE e i cui lavori dovrebbero terminare nel marzo 2023, salvo proroghe.

 

Proposta europea di divieto per gli spyware

A settembre era stata già avanzata dalla Commissione Europea la proposta di vietare l’uso di software di sorveglianza per spiare i giornalisti.

Software come Pegasus del gruppo israeliano NSO Group e prodotti simili sono stati finora utilizzati senza che i governi facessero rispettare le regole, arrivando così alla violazione delle leggi europee, tra cui il Regolamento generale sulla protezione dei dati (GDPR), come ha dichiarato l’europarlamentare olandese Sophie in ‘t Veld, che presiede la Commissione PEGA.

Secondo lei, il problema risiede nel fatto che “in una democrazia, mettere le persone sotto sorveglianza dovrebbe essere un’eccezione e dovrebbero esserci delle regole”. L’europarlamentare olandese sostiene che è necessario rafforzare l’applicazione delle norme a livello sovranazionale, così che un paese europeo sia autorizzato a vendere, acquistare e utilizzare spyware solo se vengono soddisfatti determinati criteri, ad esempio se divulga un elenco di crimini per i quali sfrutterà le potenzialità dello spyware e se acquista una licenza per utilizzarlo.

A novembre scorso il governo greco, a seguito della notizia riportata da un giornale secondo cui 30 persone, tra politici e giornalisti, sono state sottoposte a sorveglianza da parte dello Stato, ha dichiarato di voler vietare la vendita degli spyware. In particolare, un politico dell’opposizione ha scoperto di avere il telefono sotto sorveglianza attraverso la variante di spyware Predator, prodotta dall’azienda Cytrox, gruppo di ricerca dell’Università di Toronto.

La relazione della commissione d’inchiesta avrà una versione finale il prossimo anno, per cui c’è ancora del lavoro da fare e, anche se della questione si stanno occupando le autorità europee, dall’altra parte esse stesse sostengono che è di competenza delle autorità di sicurezza dei singoli Paesi membri.

La Corte europea dei diritti dell’uomo, che esamina i casi di violazione dei diritti da parte degli Stati membri, ha recentemente evidenziato il ruolo dei governi nazionali nella regolamentazione della sorveglianza.

A settembre la Corte ha stabilito che la legislazione ungherese mancava di sufficienti garanzie in un caso del 2015 che riguardava Benedek Jávor, un ex membro del Parlamento europeo che si è accorto di avere il telefono sotto sorveglianza dopo che, durante una telefonata con un avvocato di un gruppo per le libertà civili, la telefonata è terminata improvvisamente e quando l’avvocato ha chiamato l’altro cellulare del signor Jávor, ha sentito una registrazione della loro precedente chiamata.

 

Il caso Pegasus e gli spyware in Europa

Il rapporto, come era prevedibile, prevede anche una sezione dedicata a NSO Group, produttrice di Pegasus, e altre aziende che vendono spyware simili, con sede in Unione Europea.

Da un’indagine portata avanti da testate internazionali lo scorso anno, tra cui l’autorevole Washington Post, che ha portato l’amministrazione Biden ad inserire NSO Group in una lista di divieto di esportazione, era emerso che Pegasus, di produzione dell’azienda israeliana, aveva attaccato numerosi dispositivi di giornalisti, attivisti e capi di stato: 180 reporter e 30 capi di stato.

Da quanto dichiarato a seguito dell’indagine, il software israeliano era stato utilizzato da alcuni governi del mondo come strumento di spionaggio nei confronti di giornalisti, attivisti e manager. Tra questi governi che ne hanno fatto uso ci sarebbe stato anche quello ungherese presieduto da Victor Orban.

Nato come software per controllare i traffici di terroristi e criminali a livello internazionale, del valore di 8 milioni di dollari, Pegasus aveva coinvolto più di 50.000 numeri di telefono localizzati nei paesi che sono soliti sorvegliare i propri cittadini, clienti della NSO Group e appartenenti a numerosi giornalisti di testate internazionali autorevoli, come CNN, New York Times, Wall Street Journal, Financial Times, Voice of America e Al Jazeera, così come quelli di diversi capi di stato.

In Ungheria, il malware di spionaggio sembrava aver preso di mira giornalisti investigativi e manager di media indipendenti su ordine del presidente ungherese Victor Orban, nella sua guerra contro i media. Ma anche persone vicine a Jamal Khashoggi, il giornalista “saudita progressista” del Washington Post che aveva apertamente criticato l’operato del principe ereditario dell’Arabia Saudita, Mohammad bin Salman. Lo stesso Khashoggi si era anche opposto all’intervento militare saudita in Yemen e fu ucciso all’interno dell’Ambasciata Saudita a Istanbul dallo stesso principe ereditario, secondo quanto dichiarato dalla CIA.

In occasione di questo più recente coinvolgimento, NSO Group non ha rilasciato alcun commento, ma, quest’estate, in un’audizione al Parlamento europeo, un rappresentante dell’azienda ha dichiarato di aver venduto il software a cinque paesi europei.

Pegasus è uno spyware che permette di controllare il telefono obiettivo della sorveglianza fino alla modifica dei suoi dati, come affermato dal direttore delle politiche europee e dell’advocacy presso l’organizzazione no-profit Access Now, Fanny Hidvégi, ecco perché la richiesta di vietare software spia come questo in maniera definitiva è arrivata anche dai sostenitori della privacy.

 

Non solo Pegasus: scoppia il caso Toka

Siamo sempre a Israele e si torna a parlare di un software spia, questa volta capace di avere accesso alle telecamere di videosorveglianza. Dal caso NSO Group a Toka, azienda proprietaria del nuovo spyware sotto inchiesta del quotidiano Haaretz, fondata da Ehud Barak, ex premier israeliano, e Yaron Rosen, ex capo della divisione informatica dell’esercito israeliano.

Il software di Toka, secondo quanto dichiarato dalla stessa società sul proprio sito web, è destinato esclusivamente a organizzazioni governative, servizi segreti, forze dell’ordine ed eserciti stranieri e riesce a entrare nelle telecamere di videosorveglianza, senza lasciare traccia dell’intrusione, modificare le immagini in real time e manomettere registrazioni d’archivio, o anche tracciare in tempo reale i movimenti delle automobili.

La procedura è abbastanza semplice: si sceglie l’area geografica, si entra nel sistema CCTV del luogo di interesse, un hotel o un’abitazione privata per esempio, e si ha accesso alle webcam, quindi alle immagini in real time, così come si può risalire al proprietario del sistema di videosorveglianza.

Altra potenzialità del software di Toka, che crea ulteriori perplessità, riguarda la sostituzione di audio e video di registrazioni passate, che può compromettere materiale di indagine, costruirne di nuovo lontano dalla realtà dei fatti, con conseguente coinvolgimento di persone innocenti in un determinato crimine, oltre alla mancanza di rispetto del diritto alla privacy dei cittadini.

Tra i paesi già in contatto con Toka, secondo il report di Haaretz, ci sarebbero Stati Uniti, Israele, Germania, Australia, Singapore, Italia, Spagna, Portogallo, Francia, Regno Unito, Grecia e Canada.

 

 

Fonte: Cybersecurity 360