Si chiama Pegasus ed è la bestia nera di businessmen, governi, capi di stato e attivisti per i diritti umani. E’ assurto agli onori delle cronache di politica internazionale per la vicenda che ha coinvolto Jeffrey Preston Bezos (imprenditore statunitense, fondatore, presidente ed amministratore delegato di Amazon) e il principe saudita Mohammad Bin Salman Al Sa’ ud. Con l’aiuto della società israeliana NSO Group, creatrice dello spyware Pegasus, l’erede al trono saudita avrebbe inviato un video-messaggio whatsapp sul telefono di Bezos. Il video-messaggio conteneva lo spyware, utile per carpire una serie di informazioni riservatissime. La vicenda, oltre ad avere sollevato un polverone, fa paura a molti.
Ma cos’è Pegasus, a cosa serve, come si usa, chi lo produce e quali pericoli provengono da un attacco informatico tramite questo spyware? Flavio Foglia, esperto di cybersecurity, fondatore ed amministratore di BreakingSecurity.net, sito web ed impresa di cybersecurity, ne spiega i rischi possibili.
Che tipo di programma è Pegasus? Come è strutturato? Come opera?
Pegasus è uno spyware progettato per mettere sotto sorveglianza i dispositivi dove viene installato. Una volta installato tramite varie tecniche di hacking, lo spyware è in grado di ottenere il controllo del dispositivo e l’accesso ad ogni informazione in esso contenuta. Queste informazioni includono l’esatta posizione del dispositivo tramite geolocalizzazione GPS, la lista dei contatti e delle chiamate, le chat di vari programmi di messaggistica come Whatsapp, ed in generale ogni file salvato sul dispositivo, come foto e video. Inoltre, vi sono funzionalità di sorveglianza esterna, tramite le videocamere ed il microfono del dispositivo. Strutturalmente, questo tipo di programma è generalmente formato da due principali componenti: la Backdoor, che è il componente che viene installato sul dispositivo e che si installa nel telefono, apre un canale di comunicazione con l’operatore (generalmente via HTTPS), e riceve ed esegue comandi dall’operatore. Generalmente questo componente è completamente invisibile una volta installato. La seconda componente è il Controller, o interfaccia di comando, che viene utilizzato dall’operatore per controllare e sorvegliare a distanza i dispositivi. Questo componente ha generalmente un’interfaccia grafica da cui si può gestire la sorveglianza ed inviare comandi alla backdoor. Pegasus, come altri programmi simili, altro non è che uno strumento: utile nelle mani giuste, dannoso in quelle sbagliate. La maggior parte dei Paesi nel 2020 utilizza simili programmi per ottenere della preziosa intelligence su criminalità e terrorismo: perciò bisogna valutare caso per caso come vengono utilizzati simili strumenti di sorveglianza.
Esistono forme di difesa dagli attacchi informatici provenienti da un programma del genere?
Non esiste un rimedio universale. Generalmente dipende dall’abilità dell’hacker. Un hacker esperto può essere in grado di cancellare ogni sua traccia. È per questo che ogni governo dovrebbe, a sua volta, investire risorse nel campo della sicurezza, ad esempio assumendo e formando hacker esperti, in maniera tale da contrastare questi fenomeni.
L’Italia sarebbe in grado di affrontare hackeraggi di questo tipo?
Il fatto che anche un grande magnate esperto di tecnologia come Bezos possa essere hackerato ci fa riflettere che è impossibile bloccare il 100% degli attacchi. Quello che è possibile fare in Italia, però, è investire di più nel campo della sicurezza, in maniera tale da minimizzare il numero e la percentuale di successo degli attacchi.
Come si fa a capire di avere un tipo di malware del genere nel dispositivo? Ci sono dei segnali sospetti?
Un bravo hacker può entrare in un dispositivo senza destare il minimo sospetto. In genere i segnali sono invisibili ad un utente medio non ferrato in questo campo. È per questo che è importante, per un’organizzazione, assumere esperti tecnici ed analisti nel campo della sicurezza. A volte, solo a seguito di un’accurata analisi si può individuare ed isolare il problema. È come venire infettati da un virus biologico: senza una visita da parte di un medico, è difficile e rischioso fare una diagnosi da soli o capire che cosa stia succedendo.
Quali sono i programmi migliori per passare i dati da un dispositivo all’altro? Esistono delle modalità particolari per trattare dei dati sensibili?
Generalmente un collegamento diretto fra i due dispositivi (ad esempio tramite cavo USB) è più sicuro di un trasferimento che utilizza server intermedi (come Dropbox, ad esempio). Infatti, se uno di questi server intermedi venisse hackerato, o acceduto impropriamente da terze parti, esse avrebbero l’accesso ai dati di passaggio. Generalmente comunque, il problema non sta tanto nel passaggio dei dati, quanto nella sicurezza nei singoli dispositivi dove questi dati risiedono. Questo perché la maggior parte delle moderne applicazioni utilizza protocolli cifrati (come HTTPS) che non permettono la decifrazione dei dati in trasmissione.
Quali sono a livello tecnico gli strumenti informatici che un governo dovrebbe possedere per evitare danni di ogni genere?
Così come vi sono numerosi strumenti di attacco, vi sono anche vari strumenti di difesa. A seconda del tipo di sistema da proteggere, si utilizzano gli strumenti giusti. Comunemente possiamo parlare di software anti-malware, firewall, Intrusion Detection Systems (IDS) eccetera. Inoltre, molte organizzazioni, specie quelle più grosse, strutturano la propria rete informatica in maniera tale da rendere difficile l’accesso dall’esterno della propria rete. Tuttavia, lo strumento più prezioso è sempre il cervello. La conoscenza di tecniche di attacco e difesa vale da sola molto più di qualunque strumento.
Quello di Bezos è solo uno dei modi per subire un attacco hacker, quali sono alcuni altri possibili modi? Come possono essere intercettati?
Esistono migliaia di strumenti e tecniche di hacking. Ogni attacco viene progettato in base al tipo di dispositivo ed all’obiettivo che si vuole ottenere. Vi sono strumenti, come software anti-malware e software Intrusion Detection System (IDS) che sono programmati per intercettare e bloccare parte degli attacchi. Tuttavia nuove tecniche di attacco vengono sviluppate su base giornaliera e sono focalizzate ad eludere le tecniche di difesa esistenti. Perciò è necessario investire su professionisti della sicurezza, che sanno come intercettare ed isolare attacchi e malware.
