Intervista esclusiva a Nex, 31 anni, co-fondatore di Security Without Borders, l’organizzazione no profit che, in collaborazione con Motherboard, ha svelato lo scandalo del software usato da molte procure italiane che ha intercettato illegalmente anche centinaia di cittadini inconsapevoli
Rosita Rijtano
“QUELLE app-spia non sono state rilasciate per errore. Gli spyware sono una minaccia per la democrazia”. Nex, 31 anni, è lo pseudonimo di un hacker noto per l’impegno nella difesa dei diritti umani. È co-fondatore diSecurity Without Borders, l’organizzazione no profit che, in collaborazione con Motherboard, ha svelato lo scandalo Exodus: un software che permetteva di collezionare i dati degli smartphone su cui venivano installate app-spia scaricabili da Play Store, il negozio digitale di Google. Era usato da molte procure italiane per le indagini giudiziarie, ma per due anni ha intercettato illegalmente anche centinaia di cittadini inconsapevoli.Come funzionavano le app?“Queste app erano all’apparenza innocue e normalmente mascherate da offerte di operatori di telefonia. Ma, in realtà, nascondevano funzionalità di intercettazione molto estese. Una volta installate su uno smartphone Android, scaricavano componenti aggiuntive che silenziosamente collezionavano numerosi dati dal dispositivo e li inviavano a un server remoto. Inoltre, a causa di alcune modifiche fatte al software, lo spyware esponeva i telefoni sottoposti a intercettazione, a potenziali ulteriori compromissioni e manipolazioni dei dati salvati sul dispositivo. Problematiche che rendono molto preoccupante l’utilizzo di Exodus per finalità giudiziarie, perché potenzialmente permetteva a chiunque di manipolare le prove. Non abbiamo trovato corrispondenti per iPhone”.Spesso gli utenti vengono accusati di installare le applicazioni con troppa leggerezza. Condivide?“Colpevolizzare gli utenti è, sfortunatamente, una retorica troppo comune tra i tecnici. Ma i link sono fatti per essere cliccati, le pagine di login completate, e le applicazioni installate. Richiedere agli utenti di colmare ovvie lacune tecnologiche e di sicurezza, penso sia un’abdicazione di responsabilità da parte degli informatici. Dobbiamo creare tecnologie e servizi più robusti e rispettosi degli interessi del consumatore. In questo caso, è molto speculativo e semplicistico parlare di utenti sprovveduti perché diverse applicazioni Exodus facevano persino riferimento alla ricezione di un sms come: “Hai ricevuto un codice o un’offerta personalizzata tramite sms? Scarica la nostra applicazione ed attivala immediatamente”. Era, insomma, più difficile insospettirsi”.Le app sono rimaste indisturbate su Play Store per oltre due anni. Big G ha delle responsabilità?“Google sicuramente ha una responsabilità, come fornitore di un servizio vitale come Play Store, di essere più efficace nel prevenire e fermare queste minacce. Sfortunatamente non è raro leggere di applicazioni malevole che in una maniera o nell’altra riescono a bypassare i controlli”.Qualcuno inizialmente ha ipotizzato che le app siano finite su Google Play Store per un errore di programmazione.“Security Without Borders non ha mai parlato di un errore di programmazione. Si tratta di una valutazione che, personalmente, ritengo speculativa e fatta da tecnici che non hanno avuto alcun ruolo in questa ricerca. Il caricamento delle applicazioni su Play Store è stato ovviamente deliberato, non è avvenuto per un errore. Non possiamo sapere nemmeno quante delle infezioni siano state volute e quante, invece, siano state accidentali. Ma i telefonini che abbiamo usato per i test non sono mai stati disinfettati in remoto dagli operatori dello spyware, come dovrebbe essere da prassi per intercettazioni accidentali”.Stando alle indagini, i dati collezionati dalle app erano conservati su server Amazon negli Stati Uniti e facilmente accessibili. Qual è la sua opinione in merito, sulla base delle analisi che avete effettuato?“Nel nostro rapporto mostriamo quali erano i server a cui le app malevole inviavano i dati collezionati. Indubbiamente, alcuni erano forniti da Amazon, tuttavia erano presenti anche degli altri provider cloud. Spesso, però, come visto in precedenti casi simili, spyware di questo tipo sono configurati per utilizzare dei server definiti “relay”, cioè che reindirizzano i dati ricevuti a un terzo server di collezione, mascherandone così la vera destinazione e la locazione. In questo caso, non possiamo sapere dove le informazioni venissero effettivamente salvate e se questi server Amazon fossero appunto dei “relay” oppure, come suggerito da quanto riportato dalla stampa sulle indagini in corso, gli ultimi destinatari dei dati raccolti dai dispositivi infetti. Tutti questi dettagli possono essere chiariti solo dalle indagini”.Che succede ora? E quali sono i consigli per gli utenti finiti in questa “pesca a strascico”?“Le applicazioni sono già state rimosse dal Play Store di Google. I server non sembrano più attivi e presumo siano al momento oggetto di analisi da parte degli inquirenti. Non saprei cosa può essere successo ai dati. Agli utenti che hanno trovato una copia di queste app sul proprio dispositivo consiglio di fare una copia dei dati. Poi possono scegliere se rivolgersi alla Polizia postale, oppure ripristinare le impostazioni di fabbrica che dovrebbe rimuovere ogni traccia dello spyware”.Gli spyware sono sempre più usati nelle intercettazioni a fini giudiziari. Quali sono i rischi e come conciliare le esigenze investigative con i diritti fondamentali dei cittadini?“Gli spyware, o captatori informatici, sono la nuova frontiera dell’intercettazione. Il crescente utilizzo della crittografia da parte di siti web e servizi di messaggistica fa sì che le nostre comunicazioni e i nostri dati in transito siano offuscati e irriconoscibili, rendendo i metodi di intercettazione tradizionali sempre più inefficaci. Questi software sono la risposta allo sviluppo tecnologico, perché permettono di collezionare i dati alla fonte, cioè il dispositivo che li genera, prima di essere cifrati e trasmessi. Ma sono strumenti talmente invasivi e pericolosi che sollevano dubbi sulla loro affidabilità e la conciliazione con i nostri diritti umani e costituzionali. Non saprei quale sia la risposta giuridica giusta, ma mi preoccupa l’apparente mancanza di un adeguato dibattito pubblico. In questi anni in Italia, come nel resto d’Europa, si sta legiferando su questi metodi di sorveglianza nuovi e ancora non molto compresi. Ogni nuova tecnologia investigativa che erode il nostro diritto umano alla privacy dovrebbe essere considerata e analizzata molto seriamente, da tutti noi”.Pensa che il settore sia sufficientemente regolamentato? Basta regolamentarlo per evitare derive?“La risposta a entrambe le domande è no. Servono regolamentazioni più stringenti e specifiche, specialmente sull’estensione delle capacità tecniche di collezione, sulla salvaguardia dei dati collezionati, e sulla trasparenza e responsabilità dell’utilizzo di questi software. Inoltre, credo che al momento ci sia una crescita della loro adozione così rapida che sembra manchino i dovuti controlli sulla qualità degli spyware in uso e sulla loro ottemperanza alle regolamentazioni vigenti. Trovo anche preoccupante che società private possano essere centrali all’operazione di questi software spia. Gli operatori di questi strumenti di intrusione così invasivi dovrebbero essere equipaggiati con significative competenze tecniche, legali, ed etiche”.L’utilizzo sistematico di spyware rappresenta una minaccia per la democrazia?“Come ogni strumento che inevitabilmente erode ai nostri diritti fondamentali, come il diritto alla privacy, anche l’utilizzo di spyware può rappresentare una minaccia alle nostre libertà civili, e di conseguenza alla democrazia. Ecco perché devono essere regolamentati anche con occhio critico, e costruiti e utilizzati con estrema serietà”.A maggio 2018 il Ministero della Giustizia ha pubblicato i requisiti tecnici che devono essere rispettati nella produzione e utilizzo dei captatori informatici. Secondo lei è sufficiente?“I requisiti tecnici sono un punto di partenza, ma penso che siano troppo vaghi per essere messi in pratica. Credo che i captatori informatici, per via della loro potenza e sensibilità d’uso, debbano attenersi a standard tecnici molto più definiti, stringenti e soprattutto verificabili. Quanto appena avvenuto, fa credere che non ci sia molta validazione al momento”.Il nostro Paese è anche fucina di software spia che fanno il giro del mondo. Basti pensare a Hacking Team. Qual è il peso dell’Italia nel panorama internazionale dei produttori di strumenti per la sorveglianza?“L’Italia sembra essere terreno fertile per società di sorveglianza. Ne esistono molte, in particolare produttrici di spyware. Questo potrebbe essere attribuibile ad un forte uso sul territorio italiano, ma è difficile saperlo con precisione. I dati disponibili al pubblico sono pochi”.Ci sono aziende da tenere d’occhio?“Tutte”.Lei ha redatto report molto accurati su Hacking Team. Il nome di Hacking Team è stato fatto sia per il caso Regeni che per Kashoggi (due dei sauditi sotto accusa per l’omicidio dell’oppositore hanno avuto rapporti con l’azienda milanese di cybersicurezza). Possibile che i loro software spia abbiano avuto un ruolo?“Possibile, ma non dimostrato. Sono domande che dovrebbero essere poste alle opportune istituzioni”.Come evitare che questi spyware finiscano nelle mani di regimi repressivi?“È difficile controllarli. Nonostante l’Unione Europea abbia introdotto da qualche anno leggi che ne regolino l’esportazione, molte di queste società riescono ad ovviare i controlli tramite prestanome ed uffici commerciali in altre giurisdizioni. Sfortunatamente, di casi in cui questi prodotti italiani ed europei, sono finiti nelle mani di regimi autoritari, ed utilizzati contro giornalisti e dissidenti, ce ne sono fin troppi. Pochi invece sono i casi in cui queste aziende hanno risposto delle proprie responsabilità”.
Scopri di più da NUOVA RESISTENZA antifa'
Abbonati per ricevere gli ultimi articoli inviati alla tua e-mail.