התחקיר העיתונאי שפורסם שלשום, שעליו חתומים עשרות עיתונאים מכל העולם, חשף פעם נוספת את השימוש הבעייתי שעושות ממשלות בתוכנת הריגול פגסוס של NSO, חברת הסייבר ההתקפי הישראלית. במקביל הוא שב והעלה את השאלות האתיות והחוקיות של השימוש בתוכנה של NSO.
במרכז התחקיר, שהובילו קונסורציום העיתונאים Forbidden Stories ואמנסטי, נמצאת רשימה מודלפת של 50 אלף מספרי טלפון שהיו נתונים לכאורה תחת מעקב של ממשלות וארגונים ברחבי העולם באמצעות פגסוס. הרשימה כוללת בין היתר מספרי טלפון של עיתונאים, פוליטיקאים בכירים ואנשי עסקים.
עורכי התחקיר גם ביצעו ניתוח מעבדתי מעמיק ל-67 טלפונים שנכללו ברשימה זו. הבדיקה העלתה כי ביותר ממחציתם, 37 טלפונים, נמצאו עדויות לפעילות של תוכנת הריגול הישראלית. ניתוח המעבדה הזה מצא גם ראיות לכך שזמן קצר בלבד חלף מרגע שמספרי הטלפון הללו הוזנו ברשימה ועד שנפרצו בידי פגסוס - לעתים שניות אחדות. בין היתר, נמצא כי נפרצו הטלפונים של סאבולץ' פאני, כתב באתר החדשות ההונגרי Direkt36, פרנג'וי גוהא טהקורטה, עיתונאי עצמאי מהודי, וחדיג'ה איסמאילובה, עיתונאית חוקרת מאזרבייג'ן.
פגסוס היא רוגלה מתוחכמת במיוחד, שמאפשרת למפעיליה לגשת מרחוק לכל המידע ששמור על מכשיר הסלולר שבו הושתלה - תמונות, תכתובות, מסרים מידיים, מידע מיקום ועוד - ובנוסף להאזין בזמן אמת לשיחות ולהפעיל את המצלמה והמיקרופון.
זה אינו הפרסום הראשון שעוסק בבעייתיות של השימוש בתוכנה רבת העוצמה שפיתחה NSO. התחקיר הראשון היה של מכון סיטיזן לאב באוניברסיטת טורנטו, וגם ב"כלכליסט", שבו נחשפה לראשונה פעילות החברה, עסקנו פעמים רבות בשימוש הלא ראוי בפגסוס. אבל התחקיר שלשום, בעיקר בשל היקפו העצום ופרסומו בכלי התקשורת הגדולים בעולם, עורר תגובות חריפות במיוחד מצד גורמים פוליטיים וארגוני עיתונאים, ויצר שיח ער ברשתות החברתיות. אדוארד סנודן, שהתפרסם בהדלפת מידע סודי מסוכנות ה-NSA האמריקנית, הגיב בראיון וידאו לגארדיאן ואמר ש"ממשלות חייבות לאכוף מורטוריום גלובלי על סחר בתוכנות ריגול". נשיאת הנציבות האירופית אורסולה פון דר ליין אמרה ש"אם הדיווחים נכונים, זה לגמרי לא מקובל".
אחת התגובות המפתיעות לפרשה הגיע מ-AWS שירות הענן של אמזון שהוציא הודעה מהירה על הפסקת השירות ל"חשבונות שמקושרים" לחברה הישראלית. "כשלמדנו על הפעילות פעלנו מהר על מנת לסגור את התשתיות והחשבונות הרלוונטים", כתב דובר של החברה לאתר Motherboard. מ-NSO עצמה נמסר כי הטענה על סגירת החשבונות אינה נכונה.
"בכל ההיסטוריה של NSO עד היום אין 50 אלף מטרות לפגסוס"
ואולם, הרשימה שבמרכז התחקיר מעלה תהיות בקרב כל מי שמכיר מקרוב את פעילות NSO. ראשית, מקור הרשימה לא הוברר באף אחד מהכתבות השונות שעסקו בנושא. בגרדיאן, למשל, נטען שמדובר ב"דליפה שמכילה יותר מ-50 אלף מספרי טלפון שזוהו, כך מאמינים, כאלו של אנשים בעלי עניין ללקוחות NSO מאז 2016". בשום מקום לא מוסבר מה מקור הרשימה או איך היא נקשרה דווקא ל-NSO - פרט בסיסי שאמור להיות חשוף לקוראים ולו ברמה מינימלית (למשל, התקבלה ממקור אמין שלא יכול להזדהות). למעשה, בוושינגטון פוסט נכתב ש"לא ניתן היה לקבוע באופן ודאי את מטרת הרשימה".
אולי בגלל ההד התקשורתי יוצא הדופן, בכירי NSO בחרו אתמול לחרוג מהחשאיות שאופפת את החברה בדרך כלל ולענות באופן ישיר על שאלות. בראיון ל"כלכליסט" מבקש שלו חוליו, מנכ"ל ומייסד NSO, להכחיש פעילות זדונית שנעשית באמצעות התוכנה שלו. בלב טענות ההגנה נמצאת רשימת 50 אלף מספרי הטלפון שעליה מבוסס התחקיר, שלטענתו היו יעדים אפשריים של לקוחות NSO. מקור הרשימה לא נחשף, ולטענת חוליו היא הגיעה לידיו חודש לפני פרסום התחקיר, ממקור אחר לגמרי.
"בערך לפני חודש קיבלנו פנייה ראשונה מברוקר של מידע", טען חוליו. "הוא אמר שמסתובבת בשוק רשימה, שמי שמחזיק בה טוען שנפרצו השרתים של NSO בקפריסין, ושיש שם רשימת מטרות ושאנחנו צריכים להיזהר. בדקנו. אין לנו שרתים בקפריסין, אין אצלנו רשימות כאלו, והמספר לא הגיוני בשום צורה כך שזה לא קשור אלינו. הוא התעקש שזה כן קשור. בהמשך פנו אלינו שני לקוחות שונים שאמרו שמגיעים אליהם ברוקרים שטוענים שיש רשימה שקשורה ל-NSO.
"בסוף קיבלנו קצת 'סקרינשוטים' מהרשימה שהברוקרים הצליחו להשיג, ועל בסיסם הבנו שזה לא נראה ככה במערכת של פגסוס, בטח שלא נראה ככה בשרת, ושזו רשימה מהונדסת שלא קשורה. עברנו עם הלקוחות, ולאט לאט התברר לנו שזה שרת HLR Lookup שלא קשור ל-NSO. הבנו שזו בדיחה".
HLR היא מעין רשת המקשרת בין כל מכשירי הסלולר בעולם ומאפשרת לספקים לקבל מידע בסיסי על מכשירים, כמו האם הם מחוברים לרשת ושל איזה ספק ומה המדינה שבה הוא נמצא. לטענת מומחה אבטחת מידע, שעבד בעבר בחטיבת ההנדסה של אחת מספקיות הסלולר הישראליות, "אם תחפש בגוגל תמצא הרבה גורמים שמוכרים גישה לרשת הזו בכמעט כלום".
"יש פה ניסיון לבנות משהו על בסיס חוסר מטורף של מידע", אומר חוליו. "אומרים שדלפה הרשימה, מאיפה היא דלפה? אל תגידו מי הדליף, אבל מאיפה היא דלפה? למי היא שייכת? מי החזיק אותה? למה אין את הנתונים האלו? זה האבסורד פה".
לדבריו, "הממוצע שלנו ללקוח הוא 100 מטרות בשנה. קח את כל ההיסטוריה של NSO עד היום ולא תגיע ל-50 אלף מטרות לפגסוס מאז שהחברה הוקמה. יש 45 לקוחות לפגסוס, עם 100 מספרים בשנה ללקוח. וברשימה יש מדינות שהן לא לקוחות שלנו, ול-NSO בכלל אין שום רשימה שמרכזת את כל המטרות של פגסוס - פשוט כי החברה עצמה לא יודעת בזמן אמת איך הלקוחות שלה משתמשים במערכת".
"אין שאריות של פגסוס בטלפון של אשתו של חשקוג'י"
אבל גם אם אין ראיות לכך שהרשימה קשורה ישירות או בבלעדיות ל-NSO ולפגסוס, עדיין לא מדובר ברשימה רנדומלית לחלוטין של מספרים. עורכי התחקיר קיבלו לבדיקה 67 מבין הטלפונים שברשימה, ולפי ניתוח פורנזי של אמנסטי ב-37 מהם אותרו סימנים של פגסוס או ניסיון להתקין את התוכנה. בנוסף, בכמה מקרים זוהתה קורלציה בין המועד שבו הוזן מספר טלפון למערכת ה-HLR Lookup, לבין התחלת הפעילות של פגסוס על המכשיר. הרשימה מצביעה, אולי, על חיפושים שעשו גופי מודיעין ואכיפת חוק שונים במערכת HLR, וייתכן שלעתים גם הקדימו חיפושים אלו חדירה לטלפון של הקורבן של פגסוס.
"לא העבירו לנו רשימה של כל ה-37 מספרים שלכאורה הותקפו בפגסוס, העבירו רק חלק, ומתוכה אין אף מספר של פגסוס", טוען חוליו.
- מצאו ראיות להימצאות התוכנה.
"זה שמצאו משהו פורנזי, זה לא נכון. יותר מזה, נתנו הצהרות ספציפיות לגבי העורכת של ה-FT שנטען שגם היא הייתה מטרה למעקב, שאמרו שהיא הייתה מטרה. בדקנו והיא מעולם לא הייתה מטרה של שום לקוח. גם לגבי אשתו של העיתונאי הסעודי ג'מאל חשקוג'י דיווחו שמצאו דברים פורנזיים בטלפון שלה. אנחנו בדקנו והיא לא הייתה מטרה".
- אתה אומר שהיא לא הייתה מטרה, אבל אין לנו דרך לאמת את זה. כל מה שיש זו המילה שלך.
"מה זה יש את המילה שלי? הם טוענים 'יש רשימה של מטרות. בדקנו כמה טלפונים, מצאנו שאריות של פגסוס'. איפה הם אומרים שהם מצאו שאריות של פגסוס? אצל אשתו של ג'מאל חשקוג'י. מעולה. אני אומר לכם, זה לא נכון. אין שאריות של פגסוס בטלפון שלה, כי היא לא הייתה מטרה".
- יש לכם 45 לקוחות פגסוס בכל העולם. זה לא שאתה יכול להריץ שאילתה במערכת מרכזית ולקבל תשובה תוך דקות. בדקתם בכל ה-45 לקוחות, לקוח לקוח, האם היא הייתה מטרה?
"עשינו בדיקה. הסיפור הזה מתגלגל כבר שבוע. בשבוע הזה הספקנו לעשות הרבה מאוד בדיקות כי מסרו לנו כמה מספרים. זה האבסורד. וכן, את המספרים שהעבירו לנו כן בדקנו לקוח לקוח, כולל לקוחות עבר שביקשנו רשות לעשות חיפושים אצלם במערכת".
- אז הראיות שאמנסטי חתומה עליהן מפוברקות?
"יש משהו שהוא שגוי ביסודו בתחקיר הזה. יכול להיות שהיא הייתה מטרה של משהו אחר, שהיא מופיעה בחיפוש ב-HLR. אבל איך זה קשור ל-NSO".
- אמנסטי מסבירים את המתודולוגיה שלהם לעומק, והם אימתו אותה עם חוקרים עצמאיים מסיטיזן לאב. מהצד של NSO יש רק את המילה שלך. אתה לא מציג מסמך, למשל דו"ח בדיקה שעשיתם.
"זו תמיד תהיה המילה שלי מול הראיות והדברים שלהם. איך אתה יכול להוכיח משהו שלא קרה? אתה רוצה שניקח אותך ללקוחות לעשות חיפוש, כדי שתחפש בעצמך את המספר ותראה שלא היו דברים מעולם".
- לא, אבל אני מניח שיש דו"ח פנימי שמסכם את ממצאי הבדיקה שלכם.
"יש טבלה של מה בדקנו ומה לא. זו בדיקה טכנולוגית. הלקוח צריך לשתף פעולה ולתת לנו אפשרות לעשות חיפוש. אבל בחיפוש הזה הלקוח לא יכול לשקר, כי זו בדיקה שאנחנו עושים במערכות שלו. את כל המספרים שהעבירו בדקנו, וכל מספר שיגיע בהמשך נחקור. עד עכשיו כל המספרים שהעבירו לא היו קשורים לפגסוס בשום צורה".
התחקיר הזה מתבסס על רשימה שלא קשורה ל-NSO"
- אתה יכול להבטיח שעיתונאים לא תחת מעקב של משטרים באמצעות פגסוס?
"אתן לכם הצהרה פשוטה: עיתונאים, פעילי זכויות אדם, ארגוני חברה אזרחית, כל אלה הם מחוץ לתחום. לקוח שיאזין לעיתונאי או פעיל זכויות אדם, מבחינתי באותו הרגע הוא יפסיק להיות לקוח. למה? כי זו לא המטרה של המערכת. ניתקנו מערכות בעבר, ואתם יודעים ומכירים את זה. נעשה כל דבר כדי למנוע שימוש לרעה במערכות. מאשימים אותנו בכל כך הרבה דברים, ובטח עוד ימשיכו להאשים אותנו במהלך השבוע. אבל היסוד שעלי מבוסס התחקיר הוא רשימה שאף אחד לא יודע שהיא נכונה. התחקיר הזה מתבסס על רשימה שלא קשורה ל-NSO".
- נניח לרשימה. הצליחו למצוא טלפונים עם פגסוס, אז כנראה שאתם בכל מקום.
"מתוך 50 אלף מספרים הצליחו נניח לאמת 37 איש שהיו מטרות. נזרום עם הנתון הזה, שהוא חמור בפני עצמו לו היה נכון. אבל אם בסוף מתוך 50 אלף מספרים, ש-80 עיתונאים מכל העולם ב-17 כלי תקשורת עבדו עליהם, מוצאים 37 שהם באמת פגסוס, משהו לא בסדר ברשימה. אני מוכן לתת לכם רשימה רנדומלית של 50 אלף איש, וכנראה גם בהם יהיו מטרות של פגסוס".
- זה לא מדויק. מתוך ה-50 אלף בדקו פיסית רק 67 טלפונים. וב-37 מתוכם מצאו פגסוס. זה לא 37 מתוך 50 אלף. וגם אם היו שם רק 12 עיתונאים, זה 12 יותר מדי.
"חד-משמעית. אם באמת היו 12 עיתונאים שעקבו אחריהם, מי שעשה את זה לא יהיה לקוח - בהנחה שהוא עדיין לקוח".
- יכול להיות שאלה לקוחות עבר?
"חד-משמעית. שינינו את כל מדינית זכויות האדם שלנו ב-2020 ונכנסנו לתקן של האו"ם. אלו נתונים מ-2017 ו-2018, ומאז ניתקנו חמש מערכות. נבדוק הכל, ואם זה לקוח קיים שהאזין לעיתונאי הוא לא יהיה לקוח יותר".
- ביום חמישי פרסמנו ב"כלכליסט" תחקיר נרחב על חברת קנדירו, ונראה שיש שם פרקטיקות דומות לשלכם. זו המורשת שהשארתם לתעשייה הסייבר הישראלית?
"המורשת הפוכה. אני מאמין שאנחנו לומדים ומשתפרים כל הזמן. כשהקמנו את החברה ב-2010 אף אחד לא חשב על הכיוונים האלו. אני כל הזמן לומד ומשתפר, לומד איך לשים מנגנוני בטיחות, איך למנוע שימוש לרעה, איך לחקור ואיך לבחור לקוחות שהסיכוי שיעשו שימוש לרעה במערכת מצומצם. בגלל זה רוב מבין 45 המדינות שאנחנו עובדים איתן הן באירופה. ויש 90 מדינות שבחרנו לא לעבוד איתן. יש חברות שכל המודל העסקי שלהן מבוסס על זה שהן הולכות למקומות ש-NSO ניתקה או לא מוכרת להם, כי הם יודעים ששם יהיה להם יותר קל למכור. הם בכלל לא מתחרים איתנו במדינות שבהן אנחנו עובדים, כי אנחנו מובילים את הסטנדרט".
- סטנדרט? הרי זו לא פעם ראשונה שנחשף שימוש בעייתי במערכות שלכם.
"יכול להיות שבעבר היו מקרים פחות טובים, ואנחנו מתקנים אותם. אנחנו לוקחים ברצינות את הנושא של זכויות אדם ועיתונאים. אנחנו מוכרים מערכות למניעת פשע וטרור, ובסוף איזו חלופה יש לגופי אכיפה, מודיעין ומשטרה כדי לפעול נגד פדופילים? אומרים שזה לא טוב, שצריך לעצור שימוש בכלים כאלו. אז בוא נעצור, אבל השאלה היא מה החלופה? האם יש חלופה בלי יכולת לתפוס מודיעין בזמן אמת מסלולר בעולם של הצפנה-קצה-אל-קצה?".