(New York) – Il governo etiope ha rinnovato gli sforzi per mettere a tacere voci indipendenti all’estero attraverso l’uso di quello che sembra essere spyware proveniente dall’estero, ha detto oggi Human Rights Watch. Le autorità etiopi dovrebbero cessare immediatamente attacchi digitali sui giornalisti, mentre i rivenditori stranieri di tecnologia di sorveglianza dovrebbero indagare su presunti abusi collegati ai loro prodotti.
Ricercatori indipendenti di Citizen Lab, centro di ricerca a Toronto, hanno riferito, il 9 marzo 2015, di nuovi tentativi da parte dell’Etiopia di attaccare computer e account di impiegati della Televisione satellitare etiope (Esat) di base negli Stati Uniti. Gli attacchi assomigliano a casi precedenti, che risalgono a dicembre 2013, in cui erano stati presi di mira giornalisti etiopi al di fuori dell’Etiopia. L’Esat è una televisione e stazione radio indipendente gestita da esuli.
“Il governo etiope, nel corso dell’ultimo anno, ha acuito il suo assalto alla libertà di stampa cercando, con sistematicità, di mettere a tacere i giornalisti” ha detto Cynthia Wong, ricercatrice esperta su Internet a Human Rights Watch. “Questi attacchi digitali minacciano la capacità dei giornalisti di proteggere l’incolumità delle proprie fonti e di evitare rappresaglie”.
Il governo ha represso i mezzi d’informazione indipendenti in vista delle elezioni generali previste a Maggio, ha detto Human Rights Watch. Molte pubblicazioni cartacee di proprietà privata si autocensurano pesantemente nella copertura di questioni politiche delicate o hanno chiuso. Nell’ultimo anno, almeno ventidue tra giornalisti, blogger ed editori sono stati citati penalmente, almeno sei pubblicazioni sono state chiuse nel mezzo di una campagna persecutoria, e molti giornalisti sono fuggiti dal Paese.
Molti Etiopi si rivolgono a Esat e altre stazioni straniere per ottenere notizie e analisi indipendenti dal Fronte democratico rivoluzionario del popolo, attualmente al potere. Tuttavia, la sorveglianza invasiva di queste testate giornalistiche ne indebolisce l’abilità di proteggere le fonti e limita ulteriormente il panorama dell’informazione alla vigilia delle elezioni. Le autorità del governo hanno ripetutamente intimidito, molestato, e detenuto arbitrariamente fonti che fornivano informazioni a Esat e altre stazioni straniere.
L’analisi di Citizen Lab suggerisce che gli attacchi sono stati sferrati attraverso uno spyware chiamato Remote Control System (Rcs) venduto dall’azienda italiana Hacking Team, la quale vende tecnologia per sorveglianza e manomissione informatica. Si presume che questo spyware fosse già stato usato in precendenti tentativi di infettare computer di impiegati dell’Esat nel dicembre 2013. Se installato con successo sul computer di un obiettivo, lo spyware permette, a un governo che ne abbia il controllo, accesso all’attività su di un computer o un telefono, e quindi a e-mail, file, password digitate sull’apparecchio, liste di contatti, nonché audio e video dal microfono e dalla telecamera dell’apparecchio.
Citizen Lab ha anche scoperto che lo spyware usato negli attacchi contro Esat sembrerebbe essere stato aggiornato, più recentemente, nel dicembre del 2014. Il 19 novembre, un ricercatore sulla sicurezza, Claudio Guarnieri, insieme a molte altre organizzazioni nongovernative, ha rilasciato al pubblico uno strumento chiamato Detekt, che può essere usato per individuare su dei computer l’Rcs di Hacking Team e altro spyware. Le prove effettuate da Citizen Lab hanno determinato che Detekt era stato in grado di riconoscere la versione di Rcs usata nell’attacco di novembre, ma non quella usata nell’attacco di dicembre. Citizen Lab ha concluso che ciò potrebbe indicare che il software sia stato aggiornato nel lasso di tempo trascorso tra i due tentativi.
Queste nuove scoperte, se accurate, sollevano gravi preoccupazioni che Hacking Team non abbia affrontato le prove di abuso del suo prodotto da parte del governo etiope, e che possa continuare a facilitare tale abuso attraverso aggiornamenti o altre forme di assistenza, ha detto Human Rights Watch.
Hacking Team afferma di vendere i propri prodotti esclusivamente a governi, in particolare forze dell’ordine e agenzie di intelligence. L’azienda ha detto a Human Rights Watch nel 2014 di aspettarsi che i loro “clienti si comportino responsabilmente e nei limiti della legge” e che essa sospenderà l’assistenza nell’uso della propria tecnologia, se ritiene che il cliente l’abbia usata “per facilitare evidenti violazioni dei diritti umani”, o “che rifiuti di rispettare le misure previste dai contratti [dell’azienda] che descrivono l’uso previsto del software di HT [Hacking Team]”. Hacking Team ha anche affermato di aver sospeso l’assistenza in passato, caso in cui “il prodotto diviene presto inutilizzabile”.
Resoconti della stampa e ricerche di organizzazioni indipendenti per i diritti umani, nell’anno passato, hanno provato gravi violazioni dei diritti umani da parte del governo etiope le quali, in certe occasioni, sono state facilitate dall’uso improprio di poteri di sorveglianza. Sebbene le aziende di spyware commercializzino i propri prodotti come soluzioni per “intercettazioni legali” da usarsi nella lotta a gravi crimini o nell’antiterrorismo, il governo etiope ha abusato le proprie leggi sull’antiterrorismo per perseguire blogger e giornalisti che riferiscono, semplicemente, di affari pubblici o questioni politicamente delicate. Le leggi etiopi che autorizzano la sorveglianza non proteggono adeguatamente il diritto alla privacy, il giusto processo e altri diritti di base, e non sono conformi ai requisiti internazionali sui diritti umani.
Hacking Team ha detto, in precedenza, a Human Rights Watch, che “per mantenerne il riserbo” l’azienda non “conferma né nega l’esistenza di alcun cliente in particolare o l’ubicazione del loro Paese”. Il 25 febbraio 2015, Human Rights Watch ha scritto all’azienda per chiedere se abbia indagato su possibili abusi dei suoi prodotti da parte del governo etiope al fine di prendere di mira l’informazione indipendente e violare i computer dell’Esat. Nella sua risposta del 6 marzo, un rappresentante dell’azienda ha scritto per e-mail a Human Rights Watch che l’azienda “prende precauzioni con ciascun cliente per far sì che essi non abusino i nostri sistemi e indaghiamo quando sorgono accuse di uso improprio” e che l’azienda “sta tentando di comprendere quali siano le circostanze in questo caso”. La società, inoltre, ha affermato che “può essere piuttosto difficile ottenere i fatti veri e propri specialmente dato che non gestiamo sul campo i sistemi di sorveglianza per conto dei nostri clienti”. Hacking Team ha sollevato dubbi non specifici circa le prove presentate per individuare lo spyware usato in tali attacchi.
Human Rights Watch ha anche chiesto alla società se vi siano clausole contrattuali, le quali i clienti governativi siano tenuti ad accettare, che affrontino gli obblighi dei governi nel contesto del diritto internazionale dei diritti umani a proteggere il diritto alla privacy, la libertà d’espressione, e altri diritti umani. In una risposta a parte del 7 marzo dal rappresentante dell’azienda, Hacking Team ha detto a Human Rights Watch che l’uso della sua tecnologia “è governato dalle leggi dei Paesi dei clienti” e che le vendite della sua tecnologia sono regolate dal ministero italiano dell’economia secondo l’accordo di Wassenaar, un programma di controllo multilaterale sulle esportazioni di tecnologie a doppio uso. La società ha affermato di contare “sulla comunità internazionale per far rispettare gli standard di protezione dei diritti umani”.
L’azienda non ha riferito di indagini, ammesso che le abbia avviate, in risposta al rapporto di Human Rights Watch di marzo 2014 nel quale si discuteva di come lo spyware, che sembrava essere l’Rcs di Hacking Team, sia stato usato per prendere di mira gli impiegati di Esat nel 2013. Nella sua risposta del 7 marzo, la società ha detto a Human Rights Watch che “intraprenderà azioni appropriate in base a ciò che si può determinare” ma che non riferirà “dei risultati delle indagini alla stampa o alri gruppi, poiché viene considerata come una questione interna”.
In mancanza di ulteriori rivelazioni su come Hacking Team abbia affrontato potenziali abusi collegati ai suoi prodotti, la forza della sua politica sui diritti umani rimane dubbia, ha dichiarato Human Rights Watch. I rivenditori di sistemi di sorveglianza hanno le responsabilità di rispettare i diritti umani, il che comprende impedire, mitigare e affrontare abusi collegati ai propri affari, a prescindere dal fatto che i clienti governativi proteggano adeguatamente i diritti.
“Hacking Team dovrebbe rivelare pubblicamente quali passi abbia compiuto per evitare abusi del suo prodotto come quelli che si presume abbia perpetrato il governo etiope” ha detto Wong. “La società protegge il riserbo dei suoi clienti, tuttavia il governo etiope ne sembra utilizzare lo spyware per compromettere la privacy e la sicurezza di giornalisti e delle loro fonti”.
