Alla luce dello scandalo dello spyware Pegasus, quali sono i controlli e contrappesi per prevenire l’abuso delle procedure?
La storia così lontana: Un gruppo internazionale di testate giornalistiche riferisce di uno spyware noto come Pegasus è stato usato per spiare politici, giornalisti e attivisti, principalmente in 10 paesi. I report della raccolta sono chiamati file Progetto Pegaso, che include The Wire in India, guardiano Nel Regno Unito, il Washington Post Negli Stati Uniti, suggeriamo che in India, Non meno di 40 giornalistiÈ probabile che i ministri del governo e i titolari di cariche costituzionali siano soggetti a controllo. I rapporti si basano su un database di quasi 50.000 numeri di telefono a cui hanno accesso Forbidden Stories e Amnesty International, senza scopo di lucro con sede a Parigi, che si dice siano numeri di interesse per i clienti NSO, la società israeliana che ha creato Pegasus. per me guardianoIl Security Lab di Amnesty International ha testato 67 telefoni associati a questi numeri e ha scoperto che “23 telefoni sono stati infettati con successo e 14 hanno mostrato segni di un tentativo di hacking”.
Cosa sappiamo di Pegaso?
Pegasus può utilizzare diversi modi per accedere al telefono di destinazione. I suoi primi avatar utilizzavano lo spear phishing, un metodo incostante in cui un collegamento dannoso è incorporato in un messaggio destinato a invogliare l’obiettivo a fare clic. Tuttavia, ora si è evoluto per includere Attacchi a zero clicL’obiettivo non deve intraprendere alcuna azione affinché il telefono venga infettato. Nel 2019, WhatsApp ha rilasciato una dichiarazione in cui affermava che Pegasus può entrare nei telefoni tramite chiamate effettuate sulla piattaforma, anche se non sono presenti. Pegasus utilizza molti di questi “buchi” o vulnerabilità nei telefoni Android e Apple per entrare nei telefoni; Si dice che molte di queste vulnerabilità siano “zero-day”, il che significa che non sono una debolezza di cui i produttori di hardware sono a conoscenza. I rapporti sulle storie proibite usati di frequente sono i bug nell’app di comunicazione iMessage dell’iPhone. Pegasus può anche essere trasmesso via etere da un trasmettitore wireless nelle vicinanze o inserito manualmente se il telefono di destinazione è fisicamente disponibile.
Una volta al telefono, Claudio Guarnieri, che gestisce il laboratorio di sicurezza di AI, ha affermato che Pegasus cerca “privilegi di root” guardiano. I privilegi di root sono un livello di controllo su un telefono che va oltre quello che ha l’utente medio. Consente a Pegasus di creare un negozio all’interno del telefono e stabilire connessioni con le sue console attraverso una rete anonima di indirizzi Internet e server. Può quindi iniziare a trasmettere tutti i dati memorizzati sul telefono ai suoi centri di comando e controllo. Questo livello di controllo significa anche che Pegasus può azionare le fotocamere e i microfoni di un telefono per trasformarlo in un dispositivo di spionaggio all’insaputa del proprietario.
Chi sono i suoi clienti?
Il gruppo NSO, che ha sviluppato ufficialmente Pegasus, afferma di avere 60 clienti in 40 paesi, sebbene la società non abbia rivelato le loro identità. Facendo riferimento all’analisi del Progetto Pegasus sui numeri di telefono che potrebbero essere stati presi di mira dallo spyware, i suoi clienti hanno interessi principalmente in 10 paesi: Azerbaigian, Bahrain, Kazakistan, Messico, Marocco, Ruanda, Arabia Saudita, Ungheria, India ed Emirati Arabi Uniti .
Leggendo questo insieme alla dichiarazione della NSO che Pegasus è classificata come arma cibernetica e può essere venduta solo a enti governativi autorizzati secondo la legge israeliana, la maggior parte dei rapporti ha indicato che i governi di questi paesi sono i clienti.
Forbidden Stories ha anche riferito che il ministero della Difesa israeliano ha avuto un ruolo importante nel determinare a chi NSO ha venduto il software e sembra averlo venduto all’Arabia Saudita nonostante le riserve della compagnia. Ciò è significativo in quanto i rapporti indicano che Pegasus è stato utilizzato per spiare Jamal Khashoggi prima che il giornalista e dissidente saudita fosse attirato all’ambasciata del regno in Turchia e assassinato. In India, il governo non ha né confermato né smentito di aver mai acquistato il programma NSO.
Chi è stato preso di mira?
NSO ha dichiarato che Pegasus non è uno strumento per la sorveglianza di massa, ma le 10.000 cifre nel database marocchino indicano il contrario, afferma Forbidden Stories. Sebbene l’obiettivo dichiarato di Pegasus sia quello di combattere il crimine e il terrorismo, il database contiene anche il numero di oltre 200 giornalisti in tutto il mondo, di cui 40 provenienti da media indiani come The Wire, indù, E quotidiano Hindustan Times Times.
Il database contiene anche i numeri di circa 13 capi di stato, come il presidente francese Emmanuel Macron, che potrebbero essere stati spiati dal Marocco; il presidente sudafricano Cyril Ramaphosa, forse spiato dal Ruanda; E il primo ministro pakistano Imran Khan, probabilmente spiato dall’India.
Un gruppo di 2.000 numeri telefonici indiani e pakistani, identificati come di potenziale interesse per il cliente indiano, ha contatti con politici dell’opposizione, attivisti per i diritti civili e giudici.
Cosa definiscono le leggi indiane?
Sezione 5 (2) di Indian Telegraph Act, 1885, stabilisce che il governo può intercettare un “messaggio o una classe di messaggi” quando è “nell’interesse della sovranità e dell’integrità dell’India, della sicurezza dello Stato, delle relazioni amichevoli con le nazioni straniere o dell’ordine pubblico o per impedire l’incitamento a commettere un’offesa”.
Il processo e le sue procedure operative sono illustrate in Regola 419a delle Regole del Telegrafo Indiano, 1951. La Regola 419A è stata aggiunta alle Regole del Telegrafo nel 2007 dopo la sentenza in Unione per le libertà civili del popolo (PUCL) contro Unione dell’India Un caso del 1996, in cui la Corte Suprema ha affermato che le conversazioni telefoniche coprivano il diritto alla privacy, che può essere violato solo se esistono procedure stabilite. Ai sensi dell’articolo 419 bis, la sorveglianza deve essere sanzionata dal Segretario degli Interni a livello centrale o statale, ma in “circostanze inevitabili” può essere autorizzata dal Segretario congiunto o dai suddetti funzionari, se hanno l’autorizzazione del Segretario del Interni.
Nel Kansas Pottaswamy contro Unione dell’India Nella sua sentenza del 2017, la Corte Suprema ha ulteriormente ribadito la necessità di una supervisione della sorveglianza, affermando che deve essere legalmente valida e servire un legittimo obiettivo del governo. Il tribunale ha anche affermato che i mezzi adottati devono essere proporzionati alla necessità di sorveglianza e che devono esistere procedure per verificare eventuali abusi di sorveglianza.
La seconda normativa che consente la sorveglianza è Articolo 69 dell’Information Technology Act del 2000che si occupa di monitoraggio elettronico. Il governo facilita “l’intercettazione, il monitoraggio o la decodifica di qualsiasi informazione attraverso qualsiasi risorsa informatica” se è nell’interesse della “sovranità o integrità dell’India, della difesa dell’India, della sicurezza dello Stato, delle relazioni amichevoli con paesi stranieri o ordine pubblico” o per prevenire o indagare su qualsiasi reato identificabile.
Le procedure di monitoraggio elettronico sono dettagliate come autorizzato nella Sezione 69 del Regole sulla tecnologia dell’informazione (procedure e salvaguardie per l’intercettazione, il monitoraggio e la decrittografia delle informazioni), 2009. Queste regole, secondo Apar Gupta, avvocato e CEO della Internet Freedom Foundation, sono molto ampie e consentono persino di reindirizzare il traffico a siti Web falsi o di impiantare qualsiasi dispositivo per ottenere qualsiasi informazione.
Il sig. Gupta ritiene che l’uso di Pegasus sia illegale in quanto costituisce un accesso non autorizzato ai sensi della Sezione 66 dell’Information Technology Act.
La Sezione 66 penalizza chiunque ottenga l’accesso non autorizzato ai computer e “scarica, copia o estrae dati” o “introduce o provoca l’introduzione di qualsiasi contaminante informatico o virus informatico”, come previsto nella Sezione 43. .