אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
כמה קל לרכוש את פגסוס ולהשתמש בה לרעה? מתברר שהרבה יותר מדי NSO פגסוס סייבר | צילום: שאטרסטוק

דוח טכנולוגי

כמה קל לרכוש את פגסוס ולהשתמש בה לרעה? מתברר שהרבה יותר מדי

ב-NSO טוענים שכל לקוחות החברה, כולל ממשלות של מדינות לא מאוד דמוקרטיות, עוברים דרך מנגנונים והליכי חקירה רבים שנועדו למנוע שימוש לרעה בתוכנה, לפני שהם הופכים ללקוחות. שתי פרשיות חדשות של ריגול ממשלתי אחר אזרחים מעלות ספק בנוגע לטיב המנגנונים הללו

19.07.2022, 14:03 | עומר כביר

אחת התשובות של NSO לטענות שמעלים נגדה מבקריה היא ההליכים הפנימיים הרחבים שיצרה החברה כדי למנוע שימוש לרעה בתוכנת הריגול שלה, פגסוס. החברה הצהירה, בהזדמנויות רבות, שיצרה מנגנונים רבים שנועדו למנוע מכירה של פגסוס למדינות או לקוחות שעשויים לעשות בה שימוש לרעה, ושאם יש חשד לשימוש שכזה יש לה הליכי חקירה מגובשים שיכולים לבדוק את הטענות ובמקרה הצורך גם לנתק לקוחות מהמערכת. אבל שני פרסומים מהימים האחרונים שבים ומעוררים ספקות מהותיים לגבי אמינות וחסינות הליכים אלו, הן לפני המכירה והן בתגובה לתלונות על שימוש לרעה.

הפרסום הראשון הוא דו"ח בהובלת מכון המחקר סיטיזן לאב של אוניברסיטת טורנטו, שפורסם אתמול. לפי הדו"ח, פגסוס שימשה למעקב אחרי לפחות 30 פעילי פרו-דמוקרטיה בולטים בתאילנד, במקרים מסוימים כאלה שהקשר שלהם לתנועת המחאה יכול היה להתברר רק באמצעות גישה למידע שנמצא בידי הממשלה. מחברי הדו"ח לא מזהים בוודאות מי עומד מאחורי תקיפות אלה, אך כל הראיות הנסיבתיות מצביעות באופן די ברור לכיוון ממשלת תאילנד. זה אולי לא משהו שאפשר לקחת לבית משפט, אבל כל אדם עם מעט שכל בקודקודו יבין שהסיכוי שמדינה אחרת עומדת מאחורי מבצע ריגול זה שואף לאפס.

אז אם נצא מנקודת הנחה הסבירה בסך הכל שתאילנד היא לקוחה של NSO, עולה השאלה האם מדובר בחברה שראוי היה למכור לה את פגסוס או לאפשר לה להמשיך להשתמש בתוכנה אם זו כבר נמכרה. לפי דו"ח השקיפות שפרסמה NSO בשנה שעברה, יש לה הליך פנימי קפדני שנועד לענות על שאלה זו, שכולל הערכת סיכונים המבוססת על מצב זכויות אדם וחופש ביטוי, חסינות מנגנוני אכיפת החוק ומצב השחיתות במדינה. כחלק מהליך זה מוענק למדינה סיכון שמדרג אותה באחת מארבע קטגוריות: ירוק לסיכון נמוך, צהוב לסיכון בינוני, אדום לסיכון מוגבר ושחור לאיסור ביצוע עסקים. בהמשך, יש עוד הליכי איסוף ואימות מידע ובקרה, שאין צורך להיכנס אליהם כאן. מספיק לומר שהחברה, מבחינה רשמית, מציגה מנגנון מורכב ומשוכלל על מנת להעריך את הסיכון של כל מדינה ולהחליט האם למכור לה מוצרים ואילו מוצרים (ייתכן מצב שבו NSO תמכור למדינה מוצרים, אך לא את פגסוס).

אין לנו דרך לדעת איך דורגה תאילנד. NSO לא מפיצה מידע זה. אבל ההתרחשויות במדינה בעשור האחרון מצביעות על כך שהיא לא אמורה להנות מדירוג חיובי במיוחד. ב-2006 התרחשה בתאילנד הפיכה צבאית כשברקע טענות לשחיתות נגד הממשל. ב-2014 (השנה שבה דווח לראשונה על ראיות לכך שתאילנד משתמש בפגסוס) בוצעה הפיכה צבאית נוספת. ב-90 השנים האחרונות, אגב, היו במדינה לפחות 12 הפיכות מוצלחות ולפחות 7 כושלות. לא בדיוק מודל ליציבות והמשכיות שאמורות להיות שיקול חיוני בהחלטה האם לספק למדינה כלי ריגול עצמתי.

הפגנה בתאילנד ב-2014, צילום: אי פי איי הפגנה בתאילנד ב-2014 | צילום: אי פי איי הפגנה בתאילנד ב-2014, צילום: אי פי איי

בחירות שנערכו שם ב-2019 לא כיננו מחדש את הדמוקרטיה הפרלמנטרית אלא הציבו בעמדות כוח את מתכנני ההפיכה הצבאית. השנים שמאז אופיינו במחאות ציבוריות סוערות. אלו דוכאו לא פעם באלימות על ידי הממשל, שמבצע מעצרים המוניים על בסיס האשמות כמו העלבת משפחת המלוכה. במקרה אחד, פעיל פרו-דמוקרטי נידון ל-150 שנות מאסר על בסיס האשמות אלה ומאז 2014 לפחות תשעה אקטיבסטים גולים נעלמו בעת ששהו במדינות סמוכות.

בכל הנוגע לפעילות מקוונת, מאז 2006 נחקקו שם חוקים המתירים למשטרה להחרים מחשבים וקבצים מקוונים של חשודים בהפצת מידע פורנוגרפי. בפועל, משמש החוק לרדיפת אקטיבסטים. למשל, עובד ממשל לשעבר שבינואר 2021 הורשע ב-29 סעיפים של פגיעה בכבוד משפחת המלוכה בעקבות קליפים מעליבים לכאורה שהעלה לרשת. הוא נידון ל-87 שנות מאסר, שהומתקו מאוחר יותר ל-43 שנה. החונטה הצבאית גם ביצעה מהלכים שנועדו להגביר את השליטה שלה על תעבורת הרשת או למסד את המעורבות שלה בהליכים פוליטיים במדינה.

ב-2019, בהוראת החונטה, חוקק הפרלמנט התאילנדי חוקים שמעניקים למדינה כוח כמעט בלתי מוגבל לנטר ולאסוף מידע משתמשים. רשויות המדינה גם נוהגות לבקש בקביעות מחברות מדיה חברתית להסיר פוסטים פוגעניים כלפי החונטה. דוח של אמנסטי מ-2020 מצא שהמדינה נוהגת לתבוע משתמשים במדיה חברתית שמבקרים את הממשלה ואת בית המלוכה, כחלק מקמפיין שיטתי לדיכוי התנגדות.

לתאילנד יש גם מערך מעקב המוני משוכלל. קיים תיעוד שלפיו ספקיות סלולר ביקשו ממשתמשים למסור מידע ביומטרי ובאזור שבו חי מיעוט אתני מוסלמי גדול תוכננה הקמת מערכת של 8,000 מצלמות מעקב מבוססות בינה מלאכותית, במקביל לאיסוף דגימות דנ"א מהאוכלוסייה המקומית. נכון להיום, אין במדינה חוק שמגביל בצורה ראויה את יכולות המעקב הרחבות של הממשל.

לפי הדו"ח של סיטיזן לאב מאתמול, התקיפות נגד האקטיבסטים בתאילנד בוצעו בין אוקטובר 2020 לנובמבר 2021. רוב המידע שלעיל היה ידוע זמן רב קודם לכן, אינו סודי או קשה לגילוי בשום צורה. תאילנד היא מדינה לא יציבה מבחינה פוליטית, שנשלטת על ידי חונטה, מפעילה דרך קבע אמצעי דיכוי מקוונים ולא מקוונים נגד פעילים פוליטיים ומקימה מערכות מעקב המוניות שנועדו לדכא אוכלוסיות מוחלשות. כל אדם בר-דעת שיראה זאת יעלה ספקות לגבי החכמה שבמכירת כלי ריגול עצמתי דוגמת פגסוס למדינה שכזו ויחשוש מהשימושים השליליים שעלולים להתבצע בו.

ובכל זאת NSO בחרה, לכאורה, בתאילנד כלקוחה שלה, וכנראה כם המשיכה לשמר אותה כלקוחה. למרות מגנוני הבדיקה והאימות המשוכללים שעליהם היא מדווחת, למרות הליכי איסוף המידע והדירוג הקפדניים, היא המשיכה למכור לה את פגסוס. כל זה מעלה את השאלה: מה שווים מנגנונים אלה? עד כמה הם אמינים ורציניים? אי אפשר שלא לתהות האם לא מדובר באחיזת עיניים, במצג שווא שנועד להדוף ביקורת אך אין שום תוכן בבסיסו?.

הפרסום השני מערער את מנגנון החקירה שעליו מצהירה NSO. לפי החברה, במקרה שמתקבלת תלונה על שימוש לרעה היא מפעילה צוות ייעודי של חוקרים שפועל לפי הליך מוגדר היטב. הליך זה כולל הליכי הערכה ושיחה עם הלקוח הרלוונטי, איסוף וניתוח מידע (בין השאר, באמצעות בקשת וקבלת גישה לבסיס נתונים פנימי במערכות הלקוח שלפי NSO רק לה יש גישה אליו), בדיקה האם הלקוח פגע בעבר בזכויות אדם ועוד. בסיומו היא יכולה להתקבל החלטה על ניתוק הלקוח. ב-2020, דיווחה החברה בדוח השקיפות שלה משנה שעברה שהיא ביצעה 12 חקירות לבחינת שימוש לרעה במוצריה.

ארגוני זכויות אדם מתחו בעבר ביקורת על אמינות תהליך זה, כאשר תגובה מקובלת של NSO היא שהיא מתקשה לחקור ללא שיתוף פעולה של הקרבנות לכאורה. בארגון Human Rights Watch (HRW), למשל, החליטו ללכת עם החברה עד הסוף ולשתף פעולה באופן מלא בחקירה האם מנהלת אזור המזרח-התיכון וצפון-אפריקה בארגון, לאמה פאקיח, היתה קרבן של פגסוס ומצד מי.

הפגנה בתאילנד ב-2014, צילום: רויטרס הפגנה בתאילנד ב-2014 | צילום: רויטרס הפגנה בתאילנד ב-2014, צילום: רויטרס

בינואר השנה נחשף שפאקיח הותקפה על ידי פגסוס חמש פעמים בין אפריל לאוגוסט 2021. החשד לתקיפה עלה כשאפל הודיעה לפאקיח שמכשיריה היו ככל הנראה קרבן למתקפה בחסות מדינה (חלק משורת הודעות ששלחה החברה למשתמשים בסתיו שעבר, אחרי שנחשפה פרצה שניצלה NSO כדי להחדיר את פגסוס לאייפונים), ואומת על ידי בדיקה שערכה אמנסטי-טק למכשיריה.

בעקבות החשיפה פנה HRW ל-NSO וצירף ראיות שתומכות בכך שפאקיח הותקפה על ידי פגסוס. לטענת הארגון, החברה התחייבה לבצע "הערכה ראשונית" כדי לקבוע האם יש צורך בביצוע חקירה. תשובה התקבלה רק ב-27 ביוני, כחמישה חודשים אחרי הפנייה לחברה. חמישה חודשים לביצוע הערכה ראשונית בלבד, אפילו לא חקירה מלאה. תקופה שבמהלכה יכולים התוקפים להמשיך במעקב באין מפריע או להעלים ראיות שיאפשרו לקשור אותם לתקיפות. לא ברור מה בדיוק כללה ההערכה הראשונית של החברה או למה נדרש זמן רב כל כך כדי להשלים אותה, אך קשה להצדיק תקופת זמן ארוכה כל כך רק כדי לקבוע האם בכלל יש צורך לפתוח בחקירה.

גם התשובה שקיבל הארגון מ-NSO היתה רחוקה מלהיות מספקת. "הנושא נחקר כמיטב יכולתנו על סמך המידע שסיפקתם", ענה היועץ המשפטי וסגן נשיא NSO לציות, חיים גלפנד, לפי דיווח של HRW. "לא ראינו ראיות לכך שהמספר של מיז פאקיח, שסופק, טורגט על ידי מערכת פגסוס באמצעות הלקוחות הקיימים שלנו". כתב, ולא יוסיף.

גלפנד הוא פרקליט - ולפי כל הסימנים מוכשר ביותר. כשהוא כותב משהו, הוא בוחר את מילותיו בקפידה רבה. לכן ראוי לשים לב לכמה דברים בתגובתו, לכאורה קטנים אך בעלי משמעות. ראשית, הוא אומר "לא ראינו ראיות". ראינו זו בחירה מעניינת, פועל פסיבי במיוחד. מדוע לא כתב גלפנד ש-NSO לא מצאה ראיות? או שמאמצי החקירה שלה לא חשפו ראיות? זה מאוד קל לא לראות ראיות. כל אחד יכול לעשות את זה.

זאת ועוד: גלפנד מציין שלא נראו ראיות שפאקיח הותקפה על ידי לקוחות קיימים. לא סתם הוא אומר קיימים. רק בחודש שעבר הצהיר גלפנד עצמו של-NSO "אין גישה ללוגים במערכת של לקוחות שנותקו". כלומר, היא לא יכולה לחקור אפקטיבית חשדות לשימוש לרעה מצד לקוחות עבר. אם בשנה שחלפה בין תקיפת פאקיח לבדיקת NSO הסתיים חוזה עם הלקוח שתקף אותה, אין לחברה שום דרך לבדוק את החשדות. אותו הדבר נכון אם הלקוח סירב להעניק לחברה גישה ללוג השמור במערכת.

כמו כן, יש לשים לב להתייחסות גלפנד לכך שבדיקת NSO בוצעה על סמך המידע שסיפק HRW. הוא לא מלין על כך, לא מציין שהארגון סירב להעביר מידע, לא מבקש מידע נוסף ולא אומר שהיה נחוץ מידע חדש לצורך הבדיקה. במקרה זה, NSO תתקשה להתחבא מאחורי טענה זה.

עו"ד חיים גלפנד, היועץ המשפטי של NSO,  צילום מסך: multimedia.europarl.europa.eu עו"ד חיים גלפנד, היועץ המשפטי של NSO | צילום מסך: multimedia.europarl.europa.eu עו"ד חיים גלפנד, היועץ המשפטי של NSO,  צילום מסך: multimedia.europarl.europa.eu

"התשובה הלא מועילה של גלפנד רק מדגישה את חולשת התהליך הפנימי של NSO", אמרו ב-HRW. "פירוש אחד של תגובת NSO יכול להיות שלקוח לשעבר תקף את פאקיח, אבל החברה לא מפרסמת רשימת לקוחות שהחוזים אתם בוטלו. הסבר אפשרי אחר הוא ש-NSO התבססה על מידע לא מלא, כי החקירה תלויה בשיתוף פעולה של הלקוח. התשובה הריקה של NSO לאור שיתוף הפעולה המלא של Human Rights Watch מדגישה שאי אפשר לסמוך על החברה, ושאולי אפילו אין לה את היכולת לחקור את עצמה".

שני המקרים מדגימים בצורה מובהקת את חולשת התהליכים והמנגנונים הפנימיים של NSO. היא לא יכולה לזהות מראש מדינות שקיימת ודאות גדולה שיעשו שימוש לרעה במוצרים שלה ואין לה דרך אפקטיבית לחקור שימוש לרעה משעולה חשד לכזה. כל זה מביא למסקנה כמעט מתבקשת: המנגנונים האלה הם אחיזת עיניים שנועדה להוריד את הלחץ מהחברה ולא יותר.

מ-NSO נמסר בתגובה: "הבחירה המגמתית של גופים בעלי אג׳נדה פוליטית מובהקת לייצר שוב ושוב כותרות סנסציוניות באותם כלי התקשורת אך ורק על בסיס שמועות ומעשיות שקריות וחסרות כל בסיס פורנזי, ועל בסיס פרשנויות מעוותות לאמת ולמציאות, בעוד החברה ממשיכה לפתח טכנולוגיות מצילות חיים, אינה מצדיקה כל התחייסות רצינית".


תגיות