Torniamo a trattare l’argomento cybersicurezza nazionale con una delle notizie che ha sconvolto la nostra Nazione nelle ultime settimane ovvero il caso Paragon e lo spyware che ha infettato lo smartphone di personaggi non contrattualmente dichiarati. Per capire la vicenda senza entrare nel dibattito politico come sta accadendo, bisogna partire dall’inizio dei fatti con alcune premesse. Nei nostri articoli spesso parliamo di comportamenti da adottare per proteggersi nel mondo digitale da virus, malware, ransomware e quant’altro disponibile nei nostri giorni, per correttezza d’informazione e per spiegare gli ultimi avvenimenti, bisogna capire che ci sono delle casistiche molto particolari e sofisticate dove, a causa di falle di sicurezza presenti in un sistema o in un’applicazione non ancora conosciute pubblicamente (meglio conosciute come falle/exploit zero-day), anche i comportamenti più in linea con le regole possono essere inutili perchè il software malevolo riuscirà a installarsi automaticamente senza che l’utente stesso interagisca e ne sia a conoscenza.
La società Paragon e lo spyware Graphite
Un po’ di storia per capire il contesto: Paragon Solutions è una società israeliana che recentemente è stata acquisita da un fondo statunitense, la quale si occupa di sicurezza informatica e produzione di software di spionaggio tra cui il tanto diventato famoso spyware Graphite. La società Paragon è legittimamente attiva e tra i numerosi contratti ha diversi Governi mondiali e agenzie di sicurezza governative che utilizzano i suoi prodotti (tra cui lo spyware Graphite) per spiare persone coinvolte in indagini di criminalità o terrorismo, come indicato nei contratti di utilizzo del software della stessa società. Nelle ultime settimane però, il nostro stivale è stato scosso da alcune notizie allarmanti lato privacy perchè circa 7 connazionali non facenti parte del mondo della criminalità o del terrorismo, (per un totale di 90 persone a livello mondiale) tra cui Luca Casarini fondatore dell’ong Mediterranea e il direttore di fanpage.it Francesco Cancellato, sono stati avvisati dalla società Meta (nello specifico dal team di sicurezza di WhatsApp) che li ha avvisati di “aver interrotto l’operato di una società produttrice di spyware che ha infettato il loro dispositivo. “
Entrando nei dettagli, questo messaggio indicava proprio che queste persone sono state vittima dello spyware Graphite, un software di spionaggio che è riuscito a installarsi nei dispositivi senza che loro muovessero un dito. Questo sofisticato spyware, che viene acquistato dai Governi e dalle società di spionaggio con contratti molto onerosi, ha sfruttato una falla zero-day di WhatsApp che aggiungendo le vittime in un gruppo WhatsApp dove hanno ricevuto un file PDF, sono riusciti a infettarli rimanendo operativi nell’ombra per diverso tempo. Una volta che uno spyware si trova all’interno di un sistema, può vedere qualsiasi tipo di attività che la vittima effettua durante la giornata senza restrizioni. Proprio per questo i contratti di Paragon Solution sono riservati a clienti selezionati e devono rispettare clausole molto restringenti come le motivazioni dell’utilizzo legate a indagini di criminalità o di terrorismo. La società stessa, dopo la diffusione della notizia, ha rescisso il contratto con le autorità italiane a causa di “violazione degli accordi di vendita“.
Questo evento così come altri avvenimenti accaduti in passato, seppur gravi a livello di violazione della privacy, devono far capire che il mondo collegato in rete di qualsiasi persona è sempre a rischio. Che sia uno spyware o un malware di altra tipologia, in ogni sistema possono esserci exploit zero-day o altre falle note in corso di risoluzione che possono permettere ai malintenzionati di introdurre facilmente software malevolo per compromettere l’utilizzo del sistema stesso e dei dati all’interno.
“I software di sorveglianza come Graphite non sono malware ordinari e sono tra le minacce più insidiose e pericolose che si possono incontrare. Questi strumenti danno la possibilità all’attaccante di avere il controllo completo dei dispositivi ed essenzialmente monitorare tutto quello che viene effettuato dalla vittima. Questi malware, usati in combinazione con exploit 0-day, permettono agli attaccanti di avere una sorta di “passe-partout”, una chiave per accedere alla maggior parte dei dispositivi e le relative informazioni”
Giampaolo Dedola, Lead Security Researcher del GReAT di Kaspersky.
Seppur questi exploit zero-day sono i più pericolosi ed è molto difficile proteggersi, come sottolineato anche da Giampaolo Dedola, è necessario introdurre in modo più marcato un approccio proattivo alla cybersecurity per incrementare la conoscenza, a un bacino di utenza sempre più numeroso, di quali sono i pericoli che si possono incontrare nel web e responsabilizzare ogni utente sul suo utilizzo.