Una delle frasi più sentite, fino a poco tempo fa, per un esperto di sicurezza informatica era: "ma WhatsApp è sicuro? Posso usarlo per lavoro?"
La risposta, generalmente, era sempre stata la stessa: "Io non lo userei per lavoro, ma al massimo per comunicare con amici e famiglia".
Poi, con l'avvento della crittografia end-to-end e in particolare con la pubblicità che è stata data ad un evento eminentemente tecnico, la domanda non si è più sentita. Tutti si sono sentiti automaticamente tranquillizzati e non aveva più senso fare la domanda.
Ma è veramente cosi?
L'avvento della crittografia end-to-end ha, apparentemente, dato la risposta che tutti volevano sentire : "ora siete sicuri, potete usare WhatsApp per fare tutto ciò che già fate senza ammetterlo, ma ora siete sicuri". Naturalmente era solo una illusione, ma era ciò che tutti volevano sentire e dunque è diventata realtà.
Ecco però, spuntare dal nulla, o meglio da uno dei paesi più avanzati nel settore cyber, la disillusione. Il suo nome è Pegasus, come il cavallo alato nato dal sangue di Medusa…
Pegasus è un software creato è venduto in tutto il mondo dal gruppo NSO, una società israeliana fondata nel 2010 per il 70% di proprietà del gruppo americano "Francisco partners". NSO afferma di sviluppare "technology that enables government intelligence and law enforcement agencies to prevent and investigate terrorism and crime". Tecnologie che ufficialmente sono destinate ai governi israeliano, americano e dei paesi europei.
Pegasus non è nato oggi, già da alcuni anni se ne sente parlare, oggi però ha avuto la notorietà in quanto WhatsApp è un sistema impiegato da più di un miliardo di persone e Pegasus, in questo caso, si è trasformato da cavallo alato a cavallo di Troia, consentendo agli hacker, governativi o meno, di svolgere sugli smartphone su cui è installato WhatsApp attività di spionaggio.
Ora potrebbe seguire una spiegazione dettagliata del funzionamento di Pegasus e di come questo abbia sfruttato le vulnerabilità di WhatsApp, ma non credo che la cosa sarebbe comprensibile per tutti. Più utile, a mio parere, dare qualche suggerimento ai lettori...
Primo: non esistono sistemi informatici "sicuri" al 100%, non sono mai esistiti e non esisteranno mai, qualunque cosa vi dicano. La cosa va accettata e gestita.
Secondo: è possibile usare WhatsApp? Si, come qualunque altro software di comunicazione. Oggi si è scoperto che Pegasus sfrutta le vulnerabilità di WhatsApp, domani si scoprirà qualche altra cosa su altri software. Vale la regola del punto uno: non esiste sicurezza al 100%. I sistemi si impiegano gestendo il rischio. Pensare di risolvere il problema delle comunicazioni sicure disinstallando WhatsApp dallo smartphone è una pura illusione!
Terzo: cosa possiamo fare nell'immediato? Semplice, verificare che WhatsApp sia stato aggiornato alla versione messa qualche giorno fa. Se non lo fosse, aggiornatelo. Esistono diverse versioni di WhatsApp a seconda del Sistema Operativo dello smartphone dunque occorre capire qual è la versione giusta ma esistono tanti siti da cui prendere le informazioni. Io personalmente in questo caso mi sono rivolto a Kaspersky per cui tra i link troverete anche un link ad un articolo in lingua italiana dove sono indicate le principali versioni di WhatsApp.
Quarto ed ultimo: non dimenticate mai che la cybersecurity non è un gioco e se possedete una azienda o siete un dirigente di una struttura pubblica, organizzatevi per "gestire il rischio" e dubitate sempre di chi vi assicura la sicurezza al 100%.
Per approfondire:
https://www.theweek.co.uk/101201/whatsapp-reveals-attack-by-advanced-cyb...
https://www.businessinsider.fr/us/whatsapp-hack-who-is-nso-group-spy-fir...
https://www.thesun.co.uk/tech/9069460/whatsapp-update-how-cyber-attack-s...
https://www.thesun.co.uk/tech/9069460/whatsapp-update-how-cyber-attack-s...
https://securityaffairs.co/wordpress/76333/malware/nso-pegasus-spyware-r...
https://www.businessinsider.fr/us/pegasus-nso-group-iphone-2016-8
https://www.nsogroup.com/
https://www.kaspersky.it/blog/whatsapp-call-zeroday/17314/
https://www.youtube.com/watch?v=_2be9gcmjjQ
https://www.zambianobserver.com/zambian-mobile-phones-allegedly-targeted...
