הפריצה לנייד של בזוס היא קריאת השכמה לרגולציה על סייבר התקפי

כמו הרבה סיפורים מרתקים, זה נשמע יותר מדי טוב כדי להיות אמיתי. בשבוע שעבר התפרסמו דיווחים שלפיהם הטלפון הנייד של מייסד אמזון, ג'ף בזוס, נפרץ באמצעות הודעת ווטסאפ שקיבל ישירות מיורש העצר הסעודי (והאיש החזק בממלכה), מוחמד בן סלמאן.

היתה זו ההתפחות האחרונה באחת הפרשות המסועפות והצהובות בעולם הטכנולוגיה אי-פעם, שפרצה לאוויר לפני קצת פחות משנה באדיבות בזוס עצמו, שחשף ניסיון סחיטה מצד הצהובון נשיונל אינקוויירר, ששם את ידו על תמונות עירום שלו ומידע על רומן שניהל.

הפרסומים ענו על השאלה שהטרידה רבים - איך הגיעו חומרים אישיים אינטימיים לידי הצהובון. והחיבור של סעודיה לפרשה גם השתלב היטב בפאזל המורכב של הפרשה: בזוס הוא הבעלים של הוושינגטון פוסט (ניסיון הסחיטה של האינקוויירר גם היה קשור לבעלות של בזוס על העיתון, ובמרכזו עמדה דרישה להפסיק לסקר את פעילות הצהובון, שהפרקטיקות המלוכלכות שלו גם נקשרו לקמפיינים לטובת דמויות חיוביות כמו הארווי ויינשטיין או דונלד טראמפ, אבל זה כבר סיפור אחר לגמרי), העיתון שהעסיק את העיתונאי הסעודי ומבקר השלטון שם ג'מאל חאשקוג'י, שנרצח בקונסוליה הסעודית באיסטנבול, ואחראי לכמה מהחשיפות המרכזיות בפרשה.

צרפו לכך את העובדה שסעודיה הואשמה שריגלה אחרי חאשקוג'י ומקורביו באמצעות תוכנת הריגול של NSO הישראלית, וחוקרים באו"ם העריכו ש"קרוב לוודאי שהפריצה נעשתה באמצעות שימוש בתוכנות ריגול שנקשרו בעבר למקרים אחרים בהם היתה מעורבת סעודיה, בהן פגסוס 3 של NSO הישראלית" (החברה, אגב, מכחישה מעורבות), ויש כאן את המתכון המושלם לסיפור מנצח: מנהיג מדינה שנפגע מדיווחים של עיתון משמעותי קושר קשר עם ספקית של תוכנות ריגול ידועה לשמצה כדי להשיג חומרים מביכים על בעל העיתון שפרסם חשיפות מפלילות על שניהם במטרה להשתיק אותו, ומשתמש בעיתון יריב כדי להסוות את מעורבותו. אפשר להיות בטוחים שנטפליקס כבר קנתה את הזכויות. שמעתי שגידי רף מפיק.

וכמו הרבה סיפורים מרתקים שנשמעים טוב מדי מכדי להיות אמיתיים, יש סיכוי לא רע בכלל שגם הפעם הסיפור, או לפחות חלקים ממנו, אינו אמיתי. לפי דיווח של הוול סטריט ג'ורנל, מומחי סייבר שבחנו את הדו"ח שטען שסעודיה עומדת מאחורי הפרצה לטלפון של בזוס, סבורים שהוא מעלה יותר שאלות מתשובות, ובעיקר לא מאפשר לקבוע בוודאות האם המכשיר נפרץ בכלל.

בן סלמאן ובזוס | צילום: גטי

לדברי המומחים, הדו"ח מתבסס בעיקר על ראיות נסיבתיות על מנת לקשור לפרצה חשבון ווטסאפ שמקושר ליורש העצר הסעודי, ושכמה שאלות טכניות מרכזיות נותרו ללא מענה. "זה לא דו"ח חד-משמעי", אמר לוול סטריט ג'ורנל ד"ר ביל מרזק, עמית במחקר במכון סיטיזן לאב של אוניברסיטת טורנטו. "הוא מעלה שאלות מעניינות, אבל אני חושב שחלקן מחייבות הסבר נוסף".

עכשיו, אם יש במשרדים של NSO לוח קליעה למטרה, יש סיכוי סביר שבמרכזו נמצאת תמונה של מרזק. כחוקר בסיטיזן לאב, מרזק אחראי לכמה מהחשיפות הבולטות על פעילות NSO, ודו"ח שפרסם לפני 3.5 שנים היה זה שהפך את NSO מחברה אלמונית שידועה למתי מעט לאחת החברות המושמצות בעולם. העבודה של סיטיזן לאב גם קשרה בין NSO לרצח חאשקוג'י. על פניו, יש לו את כל הסיבות לנצל הזדמנות על מנת לתקוף את החברה ואת העבודה שהיא עושה בשירות סעודיה. אם אפילו הוא אומר שמשהו בדו"ח לא מריח טוב, כדאי להקשיב לו ברצינות.

בין השאר ציין מרזק את היעדרו מהדו"ח של קוד התוכנה הזדונית ששימשה בפרצה, שלדבריו החברה שביצעה את החקירה, FTI Consulting, היתה אמורה לאתר. אלכס סטיימוס, מנהל מכון Internet Observatory באוניברסיטת סטנפורד ולשעבר סמנכ"ל האבטחה של פייסבוק, הסכים. לדבריו, לחוקרי FTI היתה גישה למידע שנחוץ על מנת לפענח את הקובץ שעומד במרכז החקירה (קובץ וידיאו שלדבריהם הכיל את הקוד הזדוני ששימש להדבקה) ולבחון אותו. ואולם, "נראה שהם לא מבינים איך לפענח קבצים שנשלחו בווטסאפ", אמר. כן ציין סטיימוס שהעובדה שהחוקרים לא ביצעו jailbreak למכשיר - פעולה שנועדה לעקוף מגבלות של היצרנית על מנת לקבל גישה עמוקה יותר למכשיר - פגעה בחקירה, שכן לא ניתן לזהות פעילות של תוכנת ריגול דוגמת זו של NSO ללא ביצוע הפעולה.

חוקר הסייבר ביל מרזק

ובינתיים, גם ראיות חדשות מצביעות על דרך פרוזאית הרבה יותר שבה קיבל הנשיונל אינקוויירר את המידע המפליל על בזוס. לפי דיווח של הוול סטריט ג'ורנל, האישה שאיתה ניהל בזוס את הרומן שלחה לאחיה הודעות מהתכתבויות בינה לבין בזוס, והוא זה שמכר אותן לנשיונל אינקוויירר תמורת 200 אלף דולר.

בגרסה זו של הסיפור, אין ראש מדינה שמפעיל את המשאבים שברשותו על מנת לטוות רשת מסובכת של קשרים כדי לחסל סיקור ביקורתי נגדו, אין גם חברה ישראלית שמוכרת נשק סייבר למרבה במחיר ומסתבכת בפרשת ריגול נגד האיש העשיר בעולם. יש רק אח שבגד באמון של אחותו תמורת מזומנים.

ואם גרסה זו נכונה, אפשר להפנות אצבע מאשימה כלפי החקירה הרשלנית של FTI, וכלפי כלי התקשורת שמיהרו לאמץ את הממצאים שלה ורצו לפרסם אותם עם מעט מאוד ביקורת על טיב הדו"ח, אם בכלל. אבל, זו תהיה טעות. כי אם יש אשמה בכל הסיפור הזה, אם אנחנו עכשיו תלויים באי-ידיעה לגבי השאלה המאוד קריטית של האם שליט מדינה ריגל אחרי מו"ל של עיתון ביקורתי באמצעות תוכנת סייבר ישראלית, האשמה מונחת בראש ובראשונה על כתפי המדינות שמאפשרות לחברות אלו לפעול במחשכים, ללא שום פיקוח ציבורי או תקשורתי אמיתי. וכן, הכוונה כאן היא גם לישראל.

בימים אלו, מדינות כמו ארה"ב, סין והאיחוד האירופי עוסקות בשאלות חשובות כמו רגולציה של ענקיות טכנולוגיה בסוגיות כמו פרטיות ובינה מלאכותית. אבל אף שחברות שמפתחות תוכנות ריגול נתונות לרגולציה, זו מאוד מצומצמת ומתנהלת ללא שקיפות, כאשר לא ברור עד כמה היא מגבילה את פעילות חברות אלו.

כל ניסיון לחשוף אפילו במעט את המתנהל בעולם מסתורי זה נתקל מיד במאמצי השתקה כבירים. דיוני התביעה שהגישה אמנסטי נגד משרד הביטחון בדרישה לשלול את רישיון הייצוא של NSO, ושהדיונים בה היו יכולים לחשוף את האופן שבו עובד מנגנון הפיקוח על החברה, מתנהלים כולם בדלתיים סגורות ותחת צו איסור פרסום.

העובדה שיש חשש אמיתי שיורש העצר הסעודי השתמש בתוכנה ישראלית על מנת לרגל אחרי בזוס, ושלנו אין שום דרך לדעת בוודאות האם הסיפור נכון או לא, היא כשל חמור של הרגולציה בתחום. רגולציה שלא יכולה להבטיח לציבור ששימוש לרעה מסוג זה לא מתבצע, שאין הפרה שרירותית של זכויות אדם של אנשים חפים מפשע, או של בזוס, היא רגולציה שלא שווה כלום, ושאם היא מגינה על אינטרסים כלשהם אלו בוודאי לא האינטרסים של האזרחים.

אני לא מצפה שהמערכת הישראלית תתעורר ותתחיל להפעיל את השרירים נגד חברות מקומיות דוגמת NSO, הקשרים האישיים והאינטרסים ההדדיים חזקים מדי, ואם המערכת לא רק שלא התנערה ממכירות של נשק כבד ישראלי לגורמים מפוקפקפים ברחבי העולם אלא גם התגייסה כדי לסתיר מעשים אלו מהציבור בישראל, אני לא חושב שהיא תשנה את נוהגה במקרה הזה. אבל למדינות אחרות, ובראשן האיחוד האירופי וארה"ב, יש יכולת להפעיל לחץ עצום על ישראל אם רק ירצו בכך. הפרשה הנוכחית שבה ומראה עד לאילו תהומות יכול להגיע שימוש לא מבוקר בתוכנות ריגול פרטיות, וצריכה לעורר חשש אמיתי לא רק מפגיעה נוספת באזרחים מן השורה אלא גם בהפניית כלי נשק אלו לדמויות בכירות בממשל.

חברות סייבר התקפי פעלו במחשכים יותר מדי זמן, הגיעה העת לשים קץ למחול השדים הזה ולהוציא אותן אל האור. בכל הנוגע לחברות הישראליות, לבעלות הברית של ישראל יש יכולת להפעיל לחצים משמעותיים שיובילו לשינוי במדיניות המקומית ולהגברת השקיפות. זו השעה להפעיל אותם.

קצרצרים

- אוקיי, זה אחד המעצבנים: חברות הימורים מקוונים קיבלו גישה למידע ממאגר ממשלתי בבריטניה, שכלל פרטים מזהים של 28 מיליון קטינים, כולל שם, גיל וכתובת מגורים. המאגר ששייך למשרד החינוך הבריטי, כלל פרטים של תלמידים בני 14 ומעלה ויועד לשימוש על ידי בתי ספר למטרות חינוכיות. המידע לא דלף כתוצאה מפרצה אלא נמסר לחברות על ידי אחד מהגורמים בעלי גישה למאגר. גיל 14 זה גיל מושלם לנבלות שמפעילות אתרי הימורים: כבר די עצמאים בהתנהלות מקוונת, אולי אפילו עם גישה לכרטיס אשראי, אבל עדיין נוחים להשפעה ולתמרון.

- גוגל החלה לגבות מרשויות אכיפת חוק תשלום בעבור העברת מידע משתמשים כמו תכתובת אימייל או מיקום, בין 45 ל-245 דולר בהתאם לסוג המידע. המידע, בכל מקרה, מועבר רק בהתאם לצו בית משפט רלוונטי, אך מספרם של אלו גדל משמעותית באחרונה ולדברי גוגל התשלום נועד לקזז את העלויות שנוצרות לה. אחלה רעיון. למדינה יש לפעמים יד קלה מדי על ההדק בכל הנוגע לבקשות מידע על אזרחים, ובתי משפט מתבררים פעמים רבות כמחסום לא משמעותי. אולי אם תהיה עלות כספית מספר הבקשות יקטן והרשויות ינסו למצות דרכי חקירה אחרות לפני שהן מבקשות לחטט במידע פרטי.

- שוק הסמארטפונים של הודו עבר ב-2019 את זה של ארה"ב, והפך לשוק השני בגודלו בעולם עם 158 מיליון מכשירים שנמכרו. לפי נתונים של חברת המחקר קאונטרפוינט, החברה הגדולה בשוק ההודי היא שיאומי, עם נתח שוק של 28%. אחריה Vivo עם 21%, סמסונג עם 19%, oppo עם 12% ו-Realme עם 8%. איזה שם חסר? נכון, אפל, שיכולה לפחות להתנחם בכך שברבעון האחרון של 2019 היתה אחד המותגים בעלי קצב הצמיחה המהיר ביותר הודות להשקה של האייפון XR המוזל שגם מיוצר במדינה.