Infiltrato speciale – la sicurezza di non essere sicuri

da rai.it

di Paolo Mondani

Decine di italiani sarebbero stati spiati abusivamente da un “trojan di Stato”. È stato un caso isolato o c’è una falla nel sistema delle intercettazioni telematiche?  Cos’è cambiato negli ultimi anni nel mondo dello spionaggio ad uso investigativo e della cybersecurity? Spyware e malware sono stati utilizzati in questi anni da diversi governi in tutto il mondo anche per colpire oppositori politici, giornalisti e per la cosiddetta “sorveglianza di massa”. Report ha analizzato la legislazione di alcuni paesi, non solo europei e ha messo sotto osservazione anche la nostra: dal “Decreto Orlando” sino alla “Spazzacorrotti” del ministro Alfonso Bonafede. Infine, ha incontrato gli esperti del settore e i vertici di alcune aziende leader per capire chi ha comprato la nostra privacy in nome della sicurezza.

Quando avrete un segreto – spiega nell’anteprima del servizio Paolo Mondani – prima o poi lo confiderete con qualcuno e il vostro cellulare sarà pronto ad ascoltarvi, perché la tecnologia corre più veloce delle leggi dei governi. E nelle pieghe delle leggi si infilano poi questi trojan ..
L’inchiesta partirà dal “trojan di Stato” scoperto quest’anno: il virus iniettato nei sospettati di alcuni reati (come per l’inchiesta sulle nomine dentro il CSM che ha coinvolto alcuni pm a Roma) per captarne le conversazioni: è dalla riforma Bonafede dello scorso anno che questi “captatori” possono essere usati nelle indagini sulla corruzione, fino a quel momento potevano essere usati solo nelle indagini su mafia e terrorismo. Non solo i cellulari possono essere infettati, anche smart tv e console per i giochi.
Mondani ha chiesto supporto a Francesco Zorzi, perito di diverse procure e specialista in cyber intelligence: il consulente gli ha mostrato quanto sia facile inoculare il virus in un cellulare e poi andare ad inserirgli foto e video, prenderne cioè possesso. Chi ha comprato la nostra privacy in nome della sicurezza?
Exodus è il nome di questo Trojan di Stato inventato da un italiano, Diego Fasano, arrestato nei mesi scorsi con l’accusa di aver intercettato abusivamente decine di persone inconsapevoli, bastava scaricarsi questa App dallo store di Google.
L’accusa deriva dalle rivelazioni di un ex dipendente, che il titolare della E Surv, su cui sta indagando la procura di Napoli.
Galileo è invece il nome dello Spyware creato da una società milanese, venduto anche a paesi con regimi poco democratici, Kazakistan, Uzbekistan, Singapore, Emirati Arabi Uniti, Arabia, Nigeria, Sudan, Egitto, Panama e Messico. “Una volta inoculato, Galileo era in grado di raccogliere praticamente tutto dai device” racconta un dipendete della società Hacking Team.
Il software non era usato contro i terroristi, ma contro oppositori e giornalisti: ma tutte le commesse erano autorizzate dal Mise.
Mondani racconta poi del boom che sta avvenendo in America: sempre più aziende qui stanno acquistando spyware per spiare i loro impiegati, mogli e mariti, genitori ..
Il trojan rischia di essere la normalità: dobbiamo abituarci ad essere controllati come nel mondo del Grande Fratello di Orwell?
E’ notizia di queste settimane il data leak (furto di dati personali) di tre milioni di clienti di Unicredit: tra questi anche il conduttore stesso di Report, Sigfrido Ranucci:

La violazione ha riguardato tutte le informazioni presenti dal 2015 nell’archivio della banca dove quattro anni fa il giornalista ha aperto un conto. Non ci sarebbe stata nessuna sottrazione di denaro, ma si sarebbe trattato di un’operazione finalizzata solo a prendere informazioni su di lui. Un’operazione che non si riferisce al data breach di cui la banca in questione aveva dato notizia tempo fa. La security della Rai si è subito messa al lavoro per verificare se ci sono rischi per l’Azienda, considerato che esistono spyware che possono penetrare attraverso un indirizzo mail o un cellulare nell’intranet di un’azienda. Non solo: essendo Ranucci il responsabile della trasmissione è contestualmente anche il terminale di tutte le informazioni più sensibili. Sulla sua mail, spiegano le fonti della security all’agenzia Adnkronos, viaggiano file audiovisivi, copioni, inchieste che sono in preparazione, che stanno per andare in onda, documenti legali, testi sensibili. Tutte informazioni, inclusi i numeri telefonici delle fonti e ogni altro numero che potrebbero rendere più vulnerabile un’inchiesta giornalistica.

Ma quale è lo scopo di questa violazione? E cosa c’era tra i dati acquisiti dagli hacker? “È difficile valutare lo scopo, non ho idea di chi abbia in mano tutti questi dati sensibili e che uso vuole farne. Ci sono i contatti con le fonti, le chat, le rubriche. Per altro, si tratta di utenze aziendali, dunque il mio telefono potrebbe essere diventato il ponte per entrare in altre utenze di un’ azienda che fa informazione”, dice Ranucci. Il fatto che gli hacker abbiano agito da un Paese dell’ Est può esserci quale legame con le inchieste di Report su Moscopoli e i falsi account social?”Non ci voglio neanche pensare – continua il giornalista a Repubblica – anche se è difficile credere alle coincidenze. Per altro proprio lunedì andremo in onda con una puntata sui software spia a livello mondiale, da Exodus alle nuove forme che entrano ovunque, su Whatsapp, su Telegram. La loro sicurezza è una illusione, non c’ è nulla di criptato. Devi solo scegliere da chi devi essere spiato. È del tutto evidente la fragilità di questo sistema del quale la privacy dei cittadini è totalmente in balìa. La tecnologia è naturalmente una grande opportunità ma i governi stanno trasformando lo spyware da strumento contro la mafia e il terrorismo ad arma di sorveglianza di massa”.

Sul Fatto Quotidiano c’è una anticipazione del servizio di questa sera: “Aise 360 mila euro per la cimice mai usata”

Poco più di 300 mila euro per il contratto, più altri 60 mila per manutenzione e aggiornamento. È la cifra sborsata dall’Aise, i servizi segreti esteri, per la sperimentazione di Exodus, un software in grado di trasformare un cellulare in una cimice.
Nulla di male se non fosse che quel software – secondo l’Aise mai neanche utilizzato – è finito nel mirino dei pm di Napoli, che sospettano sia stato usato (non dai servizi) per registrare dati e comunicazioni senza il consenso dell’autorità giudiziaria, intercettando anche persone estranee alle inchieste penali, per poi conservare il materiale in un cloud in Oregon (Usa).

Leave a Reply