Scott Railton (Citizen Lab): ”L’indagine su Paragon è solo all’inizio, tocca al governo dare risposte”

“Abbiamo deciso di pubblicare questo rapporto più velocemente possibile data la specifica natura del caso italiano, per dare qualche risposta alle vittime italiane di questo attacco. Ma l’indagine su Paragon è appena iniziata”. John Scott Railton è ricercatore senior di Citizen Lab, il centro di ricerca dell’Università di Toronto che assieme a Meta ha scoperto che i telefoni di oltre novanta tra attivisti e giornalisti erano diventarti bersaglio dello spyware Graphite prodotto da Paragon Solutions. Ci risponde al telefono dopo la pubblicazione del primo report ufficiale sul caso, per larga parte incentrato sul caso italiano, che ha visto coinvolte in qualità di vittime l’armatore dell’Ong Mediterranea Beppe Caccia, il suo capomissione Luca Casarini, il fondatore di Refugees from Libia David Yambio e il direttore di Fanpage.it Francesco Cancellato

Scott Railton, nel vostro rapporto date testimonianza dei log – informazioni registrate dal sistema e dalle app installate sul tuo dispositivo – che confermano la presenza di Graphite sui telefoni di Caccia e Casarini. Sono log, tuttavia, tutti successivi al 23 dicembre. Cosa significa questo?

Che i telefoni Android non hanno in memoria tanti log. C’è molto poca memoria in questi telefoni, per scelta del produttore del sistema operativo. Investigare su questi telefoni è come avere il testimone di un crimine che soffre di amnesia: si ricorda bene gli ultimi cinque minuti, ma non tutto quel che è successo prima. E questa è una sfida enorme per chi investiga su uno spyware come Graphite di Paragon.

E perché nel telefono di Caccia risultano log di Graphite successivi a dicembre 2024, visto che Whatsapp ha detto che a fine dicembre l’attacco era stato interrotto?

Ci sono un sacco di cose che stiamo imparando su come funziona Paragon. Questa è una di quelle su cui stiamo ancora investigando.

Nel rapporto dite anche che, eventualmente, un log può essere sovrascritto o cancellato…

Può essere sovrascritto o cancellato, esattamente. Aggiungo anche che è molto difficile lavorare coi log. Una volta che sono stati modificati è difficile capire cosa c’è sotto.

E chi lo sa, cosa c’è sotto?

Whatsapp può saperne qualcosa di più, certo. Ma sai chi sicuramente ha i log completi?

No, chi?

Il cliente che ha preso di mira giornalisti e attivisti. Il punto sul caso italiano è questo: abbiamo prove su chi è stato preso di mira, abbiamo prove su chi è stato infettato. È lui che  deve rispondere: da quando? Per quanto tempo? Perché ha i log, se è il cliente che ha usato Graphite per prendere di mira giornalisti e attivisti.

Si ma non sappiamo chi ha usato Paragon…

Il governo deve aiutare ad avere delle risposte. La responsabilità di chiedere la completa conoscenza di quanto successo non può essere della vittima, in un caso come questo. Se sei vittima di una rapina, non è tuo compito tuo accertare cosa ti abbia rubato. È il rapinatore che deve testimoniare. È la polizia che deve indagare.

Nel vostro rapporto siete molto critici col governo italiano, però…

Gli italiani non possono essere soddisfatti delle risposte del loro governo. Anzi, questo caso dovrebbe essere il movente per chiedere più responsabilità e più controlli sull’uso di spyware come Graphite di Paragon.

I governi invece dicono: servono per il crimine organizzato…

È vero, gli spyware servono per combattere il terrorismo e il crimine organizzato, ma vediamo ogni volta che la tentazione per il potere politico di usarli per scopi diversi è fortissima. E molto spesso accade.

Ultima domanda: ci sono i tre casi italiani, ma Whatsapp ha avvisato più di novanta persone. State investigando su di loro?

Abbiamo investigazioni ancora in corso, ma oltre a quel che abbiamo pubblicato nel rapporto non possiamo aggiungere altro.