Foto: MANDEL NGAN/AFP (Getty Images)

All’inizio di questa settimana, il Dipartimento di Giustizia ha rivelato che tre ex agenti dell’intelligence degli Stati Uniti stavano affrontando accuse federali in relazione al loro lavoro per BlackMatter, una società straniera di cybersecurity con sede negli Emirati Arabi Uniti.

Gli uomini, che in precedenza lavoravano per la National Security Agency, facevano parte di un’operazione segreta intitolata “Progetto Raven,” che, tra il 2016 e il 2019, ha aiutato il governo degli EAU a spiare i critici del suo regime. A tal fine, gli hackers-for-hire hanno aiutato la monarchia mediorientale a introdursi in sistemi e dispositivi informatici in tutto il mondo, compresi quelli situati negli Stati Uniti.

Mentre i colpevoli hanno raggiunto un accordo di differimento dell’azione penale con il governo, consentendo loro di pagare fondamentalmente la loro via d’uscita dal carcere (una scappatoia con un prezzo di 1,6 milioni di dollari) – le ramificazioni del caso sicuramente non sono così facilmente messe a dormire.

Basti dire che l’idea di ex agenti della sicurezza nazionale americana che prendono di mira i sistemi degli Stati Uniti su ordine di un governo straniero è uno scenario piuttosto agghiacciante. Eppure tale attività è probabilmente solo la punta dell’iceberg quando si tratta della nefandezza dell’industria dello spyware, un regno poco compreso che, come molti hanno notato, ha pochi significativi guardrail legali o normativi per impedire che questo tipo di merda depravata accada.

L’incidente “Raven” dimostra che ci sono pochi vincoli per le aziende con sede negli Stati Uniti che vogliono vendere potenti armi informatiche a governi stranieri: Gli operatori di BlackMatter apparentemente hanno collaborato con una società informatica americana, con sede a Denver Accuvant-che ha venduto loro uno strumento di hacking per iPhone da 1,6 milioni di dollari che è stato utilizzato in successive scappatelle di hacking.

Ad aggravare lo scandalo c’è anche il fatto che uno degli accusati, Daniel Gericke, è attualmente impiegato come responsabile dell’informazione di ExpressVPN, uno dei prodotti di privacy più utilizzati nel suo genere sul mercato. Già, un tizio che è stato accusato di aver infranto le leggi federali per compromettere le reti e i dispositivi americani è anche attualmente impiegato con un’azienda che dovrebbe proteggere la tua privacy online. Inquietante, no?

La notizia del coinvolgimento di Gericke nel Project Raven ha naturalmente suscitato non poca indignazione online, alimentando una conversazione sul fatto che il prodotto medio per la privacy possa essere affidabile.

Tuttavia, la società ha difeso la sua decisione di assumerlo e ha anche ammesso che sapeva del suo passato quando lo ha assunto nel 2019.

“Troviamo profondamente deplorevole che le notizie degli ultimi giorni riguardanti Daniel Gericke abbiano creato preoccupazioni tra i nostri utenti e dato motivo ad alcuni di mettere in dubbio il nostro impegno verso i nostri valori fondamentali”, la società ha detto in un post sul blog Giovedì. “Per essere completamente chiari, per quanto apprezziamo l’esperienza di Daniel e come ci ha aiutato a proteggere i clienti, non condoniamo il Progetto Raven. La sorveglianza che rappresenta è completamente antitetica alla nostra missione”.

Ma quanto possono essere davvero confortanti queste rassicurazioni quando è chiaro che l’industria della privacy è apparentemente popolata dalle stesse persone che gestiscono l’industria della sorveglianza?

Quest’anno, le controversie che coinvolgono l’industria della sorveglianza hanno continuato a spuntare, una sopra l’altra, alimentando chiamate per regolamenti nazionali e globali che possano affrontare gli abusi.

In particolare, l’indignazione è stata rinnovata per il abusi del gruppo NSOuna famigerata azienda israeliana di spyware che è stata conosciuta per vendere il suo potente malware che compromette i dispositivi ai regimi repressivi di tutto il mondo. Nel mese di luglio, un certo numero di organizzazioni non-profit e punti di informazione hanno iniziato a pubblicare storie collegate al “Progetto Pegasus,” un’indagine sulla misura in cui il malware della società è stato distribuito a livello globale. L’indagine ha rivelato una carrellata di circa 50.000 “potenziali obiettivi” di Pegasus che, secondo i ricercatori, includevano i telefoni di dignitari e diplomatici come il leader francese Emmanuel Macron, così come i dispositivi appartenenti ad altri presidenti, ex primi ministri e il re del Marocco, tra gli altri. Ancora più problematico, proprio la scorsa settimana Apple ha annunciato patch per le falle di sicurezza che avevano visto lo sfruttamento legato a Pegasus. Le patch sono state applicate ad alcune 1,65 miliardi di prodotti Apple, i quali erano stati vulnerabili da marzo.

Nonostante tutto questo, ci può essere qualche speranza all’orizzonte con qualche indicazione che gli organismi di regolamentazione stanno finalmente cedendo alle richieste di azione.

Come esempio, si consideri il caso di SpyFone, una società di “stalkerware”. che i critici dicono che ha aiutato “gli stalker e i molestatori domestici” nella loro ricerca di sorvegliare le vittime. L’azienda è stata recentemente bandita dal funzionamento da parte della Federal Trade Commission – una prima decisione di questo tipo che potrebbe segnalare un prossimo giro di vite sull’industria dello spyware in generale. Il commissario della FTC Rohit Chopra ha anche suggerito che le forze dell’ordine potrebbero considerare se le accuse penali sono giustificate.

Tuttavia, i sostenitori della privacy hanno suggerito che il semplice divieto di operare per un’azienda occasionale o l’occasionale accusa non saranno sufficienti. Amnesty International, che ha contribuito a esporre gli abusi NSO, ha chiesto una moratoria globale sulla vendita di prodotti spyware fino a quando un “quadro normativo conforme ai diritti umani” possa essere sviluppato e implementato. Altri attivisti hanno similmente suggerito che tutte le vendite dovrebbero essere fermate fino a quando i governi possono “indagare e regolare questa industria” – il che è poco compreso sia dai legislatori che dalla gente comune.

.

Source link