חוקר קנדי דורש להגביל יצוא תוכנות מעקב ישראליות

"תוכנות כמו פגסוס של NSO הישראלית מיוצאות למשטרים דכאניים שמשתמשים בהן כדי לפגוע בדמוקרטיה, וזה אירוני שמדינות דמוקרטיות כמו ישראל מאפשרות יצוא של מוצרים שנועדו לעצור את התפשטות הדמוקרטיה בחו"ל. צריך להטיל יותר רגולציה על החברות האלו" – כך אמר לכלכליסט ד"ר ביל מרזק, עמית מחקר בכיר במכון סיטיזן לאב של אוניברסיטת טורנטו וחוקר באוניברסיטת קליפורניה בברקלי.

מרזק, שעומד מאחורי לחלק ניכר מהמחקרים שחשפו את פעילותה של NSO, הוביל את המחקר העדכני של סיטיזן לאב שחשף בשבוע שעבר ניסיון מצד גורמים בערב הסעודית להדביק בפגסוס את הסמארטפון של כתב הניו יורק טיימס בביירות, בן האברד. מחקר זה יוצא דופן בזכות שני גורמים. 

מימין: שלו חוליו ועמרי לביא מייסדי NSO | צילום: בר כהן

ראשית, מדובר בפעם הראשונה שבא נמצאו עדויות לניסיון לתקוף בתוכנה של NSO עיתונאי אמריקאי. ושנית, התגובה החריפה של NSO שחרגה מנוסח התגובות הקבועה של החברה והגיעה עד כדי מתקפה ישירה על האברד ועל חוקרי סיטיזן לאב.

לפי הדו"ח של סיטיזן לאב, ב-21 ביוני 2018 קיבל האברד הודעת טקסט בערבית שנוסחה "בן האברד והסיפור של משפחת המלוכה הסעודית", עם קישור לאתר בשם arabnews365.com. האברד העביר את ההודעה לסיטיזן לאב, והבדיקה של מרזק העלתה שאכן העיתונאי היה על הכוונת של פגסוס, ושאם היה מקליק על הקישור היו התוקפים מקבלים גישה כמעט בלתי מוגבלת למידע שעל המכשיר וליכולת לשלוט בו מרחוק ולשאוב מידע בזמן אמת.

ואולם, ב-NSO הכחישו את הדיווח בתוקף. "לא כל שיחה שלא נענתה, הודעת SMS או שיחת וידאו היא פגסוס", נמסר מהחברה לכלכליסט. "נראה כי בן האברד שכח, או הסתיר במכוון, את העובדה כי בשנה שעברה עבדנו באופן צמוד אתו, ניתחנו את טענותיו ושיתפנו את המסקנות המקיפות והחד משמעיות שלנו אתו. העיתוי של הפרסום דווקא עכשיו מעניין מאוד. כעת, שלהאברד יש ספר לקדם ולמכור, הוא וסיטיזן לאב מעלים מחדש את הטענות הלא מבוססות.

האברד מודע לעובדות, אולם יחד עם סיטיזן לאב הוא בוחר להתעלם מהן. מתקפות צבועות אלו מצד סיטיזן לאב ותומכי המחנה שלה מעידות כי סיטיזן לאב, האברד ואחרים אינם מעוניינים בחקר האמת, ושאיפותיהם המסחריות שהתגלו במערומיהן ברורות לכולם. זהו ללא ספק תרגיל להגדלת המכירות והרווחים של הספר".

בראיון לכלכליסט דחה מרזק את טענות ורמיזות החברה. "זה נכון שלא כל הודעה או קישור חשוד זה פגסוס", הוא אמר. "אבל אנחנו לא חושדים בפגסוס כי זה SMS משונה, אלא כי הקישור בהודעה מוביל לאתר שזיהינו ככזה שמשמש מפעילים של פגסוס (כלומר, לקוחות NSO שקנו ממנה את התוכנה ועושים בה שימוש, ע"כ). ב-2016 קיבלנו מאדם שמכשיר שלו הודבק בפגסוס חלק מקוד המקור של התוכנה, ומצאתי שם רשימה של שרתים שמשמשים להפצתה והפעלתה (מכונים בלשון המקצועית שרתי שליטה ובקרה, ע"כ). פיתחתי מעין טביעת אצבע על סמך אופן ההתנהגות של השרתים. סרקתי את הרשת וחיפשתי שרתים שמתאימים לטביעת האצבע הזו, וגיבשתי רשימה של 250 שרתים.

"כשפרסמנו דו"ח בנושא ב-2016 כל השרתים ברשימה הוסרו, כי הזכרנו שמצאנו אותם. NSO הורידה אותם. אבל המשכתי לנטר את הכתובות של השרתים כדי לראות אם הם יחזרו לפעילות, ואכן אחרי שבועות ספורים חלק מהם חזרו לרשת. אבל עכשיו היתה להם התנהגות שונה, אז פתיחתי טביעת אצבע חדשה ובאמצעותה גיבשתי רשימה של אלף שרתי פגסוס חדשים, כולל זה שאליו מוביל הקישור שנשלח להאברד. השרת הזה גם קשור ל-20 שרתים אחרים שמופעלים על ידי אותו גורם, שתקף או ניסה לתקוף בעבר פעילים או עיתונאים שביקורתיים נגד ערב הסעודית (בהם גם חברו הקרוב של העיתונאי ג'מאל חאשוקג'י, שנרצח בקונסוליה הסעודית באיסטנבול, ע"כ)".

בתגובה שלא לייחוס שהעבירה לכתב הניו יורק טיימס הכחישה NSO את הממצאים שלכם.

"קשה להגיב לכך, כי היא לא הצגיו פרטים מהחקרים שלה או את הבסיס להחלטה. התגובה מעניינת, כי היא לא אומרת למה הם חושבים שהמחקר שלנו שגוי או הממצאים שלנו שגויים. הם מגיבים ומנסים לתקוף את אותנו בלי לבקר דברים מרכזיים במחקר".

מרזק גם דחה את הטענות שלפיהן סיטיזן לאב מוטה נגד NSO, והביא כראיה את תגובת המכון לדיווחים שלפיהם יורש העצר הסעודי עומד מאחורי פריצה לסמארטפון של מייסד אמזון, ג'ף בזוס, ולדיווחי המשך שלפיהם נעשה שימוש בפגסוס לצורך פרצה זו. "כדי לבחון אם מישהו מוטה או לא צריך לראות האם הוא מנסה לקדם דיווחים מפוקפקים על ה'פריצה של בזוס' (מרזק מסמן מרכאות באוויר סביב ביטוי זה, ע"כ), או האם הוא נמצא לצד עובדות. אנחנו מעוניינים בחקר האמת. לא קפצנו הדיווחים בנושא וניסינו לקדם אותם כמו גורמים אחרים. ניסינו להבין את העובדות ולהתייחס להן באופן ביקורתי. אנחנו עושים מחקר ומנסים לתקשר את הממצאים לציבור".

נשמע שאתה מקבל בהסתייגות את הדיווחים על הפריצה הזו.

"הדיווח התקשורתי הראשוני היה מאוד חד-משמעי: בזוס בטוח נפרץ וככה זה קרה. הדו"ח של החברה שבדקה את המכשיר שוחרר ואנשים יכלו לבחון אותו. ואחד הדברים שהתבררו לנו כשבדקנו את הדו"ח הוא שנראה שהחקירה לא הושלמה. בזוס קיבל סרטון (לפי הטענות, המכשיר של בזוס הודבק בתוכנת ריגול דרך סרטון שנשלח לו בווטסאפ מחשבון שקושר ליורש העצר הסעודי, ע"כ), אבל הם לא מצאו שם שום דבר זדוני. היתה עוד גרסה מוצפנת לסרטון שהם לא הצליחו לפענח, ועל זה מתבססו הטענות שלהם. הממצאים נטולים ביסוס בראיות. זה מנוגד למחקרים שלנו, שתמיד עוברים ביקורת עמיתים. במקרה של בזוס עדיין יש שאלות שלא נענו לגבי מה נמצא בטלפון שלו, כי טרם נמצא משהו זדוני. הם עשו קפיצה די גדולה. כיוונים אפשריים לחקירה זה לבדוק האם הסרטון שקיבל בזוס הוא שפיר או זדוני. צריך לפענח ולבדוק את הגרסה המוצפנת של הקובץ. זה משהו פשוט לעשות את זה אבל הם לא עשו את זה ורק העלו השערות שייתכן שיש בגרסה המוצפנת קוד זדוני. אלו ספקולציות שלא אומתו".

אחת מהטענות שמשתמעות מהתגובה של NSO היא שהחברה מבודדת באופן לא הוגן, ושהיא סופגת הרבה אש וביקורת אף שיש עוד חברות רבות עם פעילות דומה. על פניו נראה שזה נכון. כמעט כל המחקרים בנושא של סיטיזן לאב עוסקים ב-NSO.

"אנחנו עובדים על סמך פניות שמגיעות אלינו, ככה המחקרים שלנו עובדים. אנחנו מקבלים מידע מאנשים שגילו דברים חשודים, הודעה, קישור או קובץ, והעבירו אלינו לניתוח. אנחנו ננסה לקשר את זה לחברות, ממשלות או שחקן חזק אחר, ואם הצלחנו לעשות את זה נכתוב דו"ח. נכון שהרבה מהמחקרים שלנו עוסקים ב-NSO, אבל זה מה שאנשים מקבלים, מעבירים לנו ואנחנו מצליחים לקשר. המחקר מונע על ידי מה שאנשים מקבלים ומבחינים בו. הסיבה שהרבה אנשים מבחינים בהודעות שקשורת ל-NSO היא שהיה הרבה פרסום בנושא, ומכיוון ש-NSO היא השחקנית הגדולה בתחום הם גם זוכים ליותר תשמות לב מחברות אחרות. אנחנו תמיד מחפשים דוגמאות לפעילות של חברות אחרת, אבל זה לא מה שאנחנו מקבלים מהאנשים שבקשר אתנו".

מדינות כמו ישראל צריכות לנקוט ברגולציה תקיפה יותר כלפי חברות סייבר התקפי ולפעול להגבלת הגורמים שלהם הן משווקות את המוצרים שלהן?

"אני חושב שצריכה להיות יותר רגולציה, כי מה שקורה עכשיו לא עובד. חברות כמו NSO ומתחרותיה ממשיכות למכור לממשלות שאין להן רקורד טוב של זכויות אדם. ב-NSO אומרים שהמוצר שלהם משמש למלחמה בטרור ובפשע, וזה נכון. וממשלות צריכות גישה ליכולות שיאפשרו להן לנהל חקירות כאלו, תחת פיקוח משפטי ראוי. הבעיה מתחילה כשההחברות מתחילות למכורת למשטרים דכאניים כמו ערב הסעודית. אולי הם משתמשים בתוכנה לחקור פשע וטרור, אבל המוצרים גם מופעלים גם נגד עיתונאים או פעילים שמבקרים את הממשל ומסייעיםלהם לחמוק מביקורת".

בשיחה עם כלכליסט גורמים בסביבת NSO מתחו ביקורת על חלק מטענות מרזק. בנוגע לממצאי על ניסיון הפרצה למכשיר של האברד טענו הגורמים: ״מי שמכיר את הטכנולוגיה ואת האופן בה היא פועלת היה מבין שזה פשוט לא נכון. ממציאים המצאות שאין בינם לבין המציאות כל קשר, לא מבססים אותן על עובדות, לא מצרפים ראיות. כל פעם שיש אירוע שקשור לחשד של חדירה לטלפונים קופצים על החברה למרות שאינה קשורה בשום צורה".

בנוגע לדרישה להחיל על NSO רגולציה נוקשה יותר, ציינו הגורמים שמקורבים לחברה ש-NSO החילה על עצמה כללי אתיקה נוקשים, קיבלה את הנורמות שקבע האו"ם בנושא זכויות אדם, ושהחברה פועלת תחת פיקוח רגולטורי של משרד הביטחון. לדבריהם, "מוזר, שדווקא אל NSO באים בטענות על נושא הרגולציה בזמן שמרבית החברות בענף פועלות ממדינות בחו"ל ללא כל פיקוח, וחולשות וכלי תקיפה נמכרים היום בקלות ברשת ללא שום בקרה".

בנוסף, טענו הגורמים שב-2019 שימשה הטכנולוגיה של NSO לסיכול יותר מ-30 פיגועי טרור, ללכידת עשרות פדופילים ולעצירת מאות פושעים. עם זאת, לכלכליסט לא הוצגו אסמכתאות לנתונים אלו ועל סמך מיעוט המידע שנמסר אין ביכולת העיתון לאמת אותם עצמאית.