סגור
גג עמוד לכלכליסט טק דסקטופ

ראיון
"דרושה רגולציה הדוקה יותר על חברות כמו NSO"

"תוכנות הריגול הן סכנה ליציבות הגלובלית ולדמוקרטיות בכל העולם", אומר ד"ר ביל מרזק ממכון המחקר סיטיזן לאב, שחשף כי תוכנת פגסוס של החברה הישראלית שימשה לריגול אחרי פעילי זכויות אדם מבחריין. NSO: "מדובר במידע ממוחזר נטול היגיון טכנולוגי"

ביולי 2020, הבחינו החוקרים במכון סיטיזן לאב של אוניברסיטת טורנטו במשהו חשוד: גידול משמעותי בהיקף הפעילות של שרתים שמשמשים מפעילים שונים של תוכנת הריגול פגסוס של NSO הישראלית.


סיטיזן לאב גילתה באותה עת חולשת זירו־קליק (Zero Click) במערכת ההפעלה של האייפון, שמאפשרת להדביק מכשירים בפגסוס מבלי שנדרשת פעולה מצד המשתמש. חלק ניכר מהפעילות התרכז בשרתים שקשורים למפעיל בחרייני.
"בחריין נראתה כמו מקרה טוב לחקור, כי הם כבר עשו שימוש לרעה ברוגלות בעבר", סיפר ל"כלכליסט" ד"ר ביל מרזק, עמית מחקר בכיר בסיטיזן לאב וחוקר באוניברסיטת קליפורניה בברקלי. "אז חשבנו שזה סביר שהם שוב פורצים למתנגדי משטר והחלטנו לפנות לפעילים".

2 צפייה בגלריה
שלו חוליו מנכ"ל חברת  ה סייבר ה ישראלית NSO
שלו חוליו מנכ"ל חברת  ה סייבר ה ישראלית NSO
מנכ"ל NSO שלו חוליו. "בלתי אפשרי להגיב על שמועות"
(צילום: יונתן בלום)

ממצאי החקירה התפרסמו אתמול בדו"ח נרחב של סיטיזן לאב (Citizen Lab), ולפיו פגסוס שימשה לריגול אחרי תשעה פעילי זכויות אדם ומתנגדי משטר בחריינים, שבעה מהם מתגוררים בבחריין ושניים בלונדון. התקיפות התרחשו בין ספטמבר 2019 לפברואר 2021, אחרי ש־NSO הפעילה מנגנונים נרחבים שלדבריה אמורים למנוע פגיעה בזכויות אדם, מה שמעמיד בספק את יעילותם של מנגנונים אלה או את מחויבות החברה אליהם.
חמישה ממספרי הטלפון שזוהו הופיעו גם ברשימת 50 אלף המספרים שנחשפה ב"פרויקט פגסוס" - ממצא נוסף שמחזק את אמינות הרשימה ואת הקורוליציה שלה לקרבנות פגסוס. חוקרי סיטיזן לאב הצליחו גם לזהות את התוקף של חלק מהקורבנות, והם מעריכים בוודאות גבוה שהוא פועל מבחריין. מרזק הוביל את המחקר הנוכחי לצד נורה אל־ג'יזאווי, סיינה אנסטיס, קריסטין ברדן, ג'ון סקוט־ריילטן ורון דיברט מסיטיזן לאב ועלי עבדול אימם מארגון Red Line for Gulf.
"מה שבולט לגבי בחריין הוא שלא רק ידוע שזו מדינה מדכאת, הם מדורגים נמוך מאוד בזכויות אדם וחופש עיתונות, בחריין היא גם המקרה הראשון אי פעם שנחשף ניצול לרעה ברוגלה", אמר מרזק. "עוד לפני שיצא הדו"ח הראשון שלנו על NSO ב־2016, היה ידוע שזו מדינה שמשתמשת ברוגלות כדי לרגל אחרי לריגול אחרי גורמי אופוזיציה, פעילי זכויות אדם ועורכי דין. מזעזע שהם ממשיכים לעבוד איתה אחרי שמדיניות זכויות אדם שלהם הושקה. זו המדינה הראשונה שצריך להתנתק ממנה".

"פגסוס היא רק חלק מתעשייה עולמית"

כל הסמארטפונים שנפרצו בדו"ח הנוכחי היו אייפונים. אפל עושה מספיק על מנת להגן על משתמשי האייפון?
מרזק: "ל־NSO יש אנשים מוכשרים וחכמים שעובדים קשה למצוא דרכים לפרוץ לטלפונים, אבל אפל וחברות אחרות שמייצרות טלפונים צריכות לעשות יותר כדי להגן משתמשים, במיוחד ממתקפות זירו קליק. הם יכולים להתמקד בתכנון של אפליקציות המסרים המיידיים. למה iMessage נותנת אוטומטית תצוגה מקדימה של תמונות או סרטון שכל אחד שולח לטלפון? למה זה לא מוגבל לאנשי קשר? שינוי כזה ב־iMessage לא יימנע 100% מהתקיפות, אבל יהפוך את הפרצה הזו לפחות מושכת. בנוסף, חברות כמו אפל וגוגל צריכות לחפש מתקפות כאלו באופן פעיל. אם אפל תיכנס למשחק הזה, ותצוד מתקפות באופן אקטיבי תהיה לזה השפעה משמעותית שתאפשר לחשוף יותר מקרים של ריגול".
מה צריך לקרות כדי שמדינת ישראל תתחיל להתייחס ברצינותלפעילות של חברות כמו NSO?
"בתגובה לדו"ח הקודם ממשלת צרפת פתחה בחקירה משלה. אם ממשלות מדברות בצורה פומבית על הנושא הזה ויעלו אותו באפיקים דיפלומטיים מול ממשלת ישראל, הדברים אולי יוכלו להתקדם מעט. ככל שיותר ממשלות מדברות על הבעיה הזו, זה יכול להעלות את חשיבות הנושא בעיני ממשלת ישראל. ואז היא יכולה לשקול לעשות שינויים בכללי הייצוא".
ממשלות כאלו הן הרבה פעמים לקוחות של NSO או חברות דומות. למה שייצאו נגד התעשייה?
"לא כל ממשלה תרצה לעשות את זה, אבל יש דוגמאות כמו ממשלת צרפת שפתחה בחקירה. זה לא שהיא דאגה מפגיעה בזכויות אדם במדינות אחרות, אלא מפגיעה בגורמים רשמיים ובעיתונאים צרפתים. אנחנו מצפים שהחשש הזה עשוי לדרבן מדינות לפעול. בדו"ח הנוכחי דיווחנו על שימוש בפגסוס נגד מטרות בבריטניה כך שייתכן שהממשל שם ירצה לפעול בגלל פגיעה באזרחים או תושבים מצד מדינה זרה. אפילו אם הם לקוח של NSO הם יכולים להיות מודאגים מכך שאנשיהם יהיו מטרה. הם יכולים להציב תנאים שהחברה לא תמכור למדינות כמו בחריין".
מה השתנה בסיטיזן לאב מאז החשיפה של פרויקט פגסוס?
"ראינו עלייה ענקית בעניין בפגסוס. קיבלתי הרבה יותר פניות מאנשים שחוששים שנפרצו. פגסוס זוחתיכה אחת מפאזל גדול יותר. הרבה אנשים בכל העולם מפתחים ומוכרים רוגלות כאלו. הפרויקט שינה את המשחק, לפחות בטווח הקצר, והשאלה הגדולה היא מה תהיה ההשפעה בטווח הארוך. האם ארגוני חברה אזרחית יוכלו למנף את זה לשינוי, או שזה ידעך בשקט. אני מקווה שתהיה התקדמות מוחשית בכל הנוגע ל־NSO ורוגלות סייבר התקפי בכלל".

2 צפייה בגלריה
ביל מרזק
ביל מרזק
ד"ר ביל מרזק: "אולי יש כוונה להשתמש בתוכנת הריגול באופן מקומי"
(צילום: אוראל כהן)

ההתמקדות ב־NSO עלולה ליצור את הרושם שזו בעיה של חברה אחת ולא של תעשייה שלמה.
"זה בהחלט משהו שצריך לחשוש ממנו. יש מיקוד בחברה אחת ולא בתעשייה הרחבה. טוב שאנשים מדברים על הנושא של פריצות לטלפונים וניצול לרעה של הטכנולוגיות האלו, אבל חשוב שאנשים יבינו שזה מעבר לחברה אחת. זו תעשייה עולמית, וחברות רבות פועלות בתחום. חשוב לוודא שהפתרון גדול יותר ממיקוד ברגולציה של חברה אחת. הוא צריך להיות עולמי במובן של מדינות רבות שפועלות במשותף מתוך הכרה שהתעשייה היא בעיה ליציבות הגלובלית ולדמוקרטיות בכל העולם, ושצריך רגולציה ברמה בינלאומית".
היו דיווחים על חקירה של משרד הביטחון נגד NSO בעקבות פרויקט פגסוס, שכללה ביקור במשרדים שלהם. החקירה היתה מספקת לדעתך?
"אנחנו לא יודעים את הפרטים המלאים, אבל העובדה שלא היה פולו־אפ ציבורי משמעותי מצביעה על כך שהחקירה לא היתה מספקת. רצוי שממשלת ישראל וחברי כנסת ישקלו רגולציה הדוקה יותר על התעשייה, אבלעל סמך מה שקרה בעבר אפשר להעריך שאם שום דבר לא ישתנה – לקוחות NSO ימשיכו לנצל לרעה את הרוגלה".
מה יקרה בעתיד אם לא תהיה פעולה מספקת?
"NSO תמשיך לפעול כבעבר, ואם לא תהיה חקירה רצינית גם תשמר את מרבית הלקוחות שלה ואולי תגייס לקוחות חדשים. השפעה אפשרית של פרויקט פגסוס היא שחלק מהממשלות יחפשו או ספקיות רוגלה אחרות. כי אם אתה משתמש ברוגלה ורוצה להישאר חשאי, זה לא רעיון טוב להשתמש בחברה שמקבלת כל כך הרבה תשומת לב בינלאומית. יהיה מקום לחברות אחרות לצמוח בתחום הזה, ולכן זו בעיה של כל התעשייה".
חלק ניכר מהדו"חות שלכם עוסק בחברות ישראליות. מה הסיבה לכך? התעשייה בישראל פשוט מאוד משמעותית?
"זו אחת הסיבות. זה קרה בגלל היא מבול הכישרונות של אנשים שמגיעים מצה"ל עם כישורי סייבר מאוד גבוהים וגם כי ממשלת ישראל מעודדת את כל התעשייה הזו. אבל דיווחנו גם על חברות באיטליה ובגרמניה, ועל ממשלות כמו סין שעושות שימשו ברוגלות משלהן. העבודה שלנו גם מבוססת על פנייה למטרות אפשריות בבקשה לספק לנו מידע".
לפני כשבועיים נחשף ב"כלכליסט" ש־NSO מינתה את מנכ"ל פטנר לשעבר, איציק בנבנישתי, לנשיא משותף. מה המשמעות של המינוי?
"יש מספר מקרים שבהם יש חפיפה בין ארגוני מעקב לחברות טלקום. אני סקרן לגלות מה יהיו ההשלכות מבחינה מקומית לישראל. לפני שנה ראינו ניסיון להשתמש בפתרון הקורונה של NSO בתוך ישראל, לאיתור מגעים של חולים. אני תוהה אם החפיפה עם חברת טלקום כאן יכולה להצביע על כך שהם רוצים להשתמש בתוכנת הריגול באופן מקומי".

"טענה לא מבוססת"

מ־NSO נמסר בתגובה לדו"ח: "העובדה שסיטיזן לאב שוב בוחרים לתדרך את התקשורת במקום לפעול באופן בונה מול NSO בנוגע לשימוש לרעה לכאורה, מדגים שהם יותר מעוניינים ביחסי ציבור מאשר בניסיון אמיתי לשפר את בטיחות הציבור. לא קיבלנו מידע מסיטיזן לאב, למרות מאמצי עבר לעבוד מולם. לפיכך, זה כמעט בלתי אפשרי להגיב על סמך שמועות מצד ג'. מפיסות המידע שקיבלנו באמצעות פניות מהתקשורת, נראה שסיטיזן לאב שוב מיחזרו מידע נטול היגיון טכנולוגי, ושלא יכול להיות קשור ל־NSO או ללקוחות שלנו שמפעילים טכנולוגיה מצילת חיים. טווח התאריכים שנמסר הוא 2021–2020. טווח התאריכים לרשימה של פורבידן סטוריז, שמעולם לא נופקה או אומתה, הוא 2018–2017, סימן ברור שמדובר בלא יותר מטענה לא מבוססת. אם NSO מקבלת מידע אמין שקשור לשימוש לרעה במערכת, החברה תחקור במרץ את הטענה ותפעל בהתאם על בסיס הממצאים".