דעה | השמצה ממבט ראשון: מי עושה סיכול ממוקד לחברת NSO? 

בימים האחרונים עומדת חברת הסייבר הישראלית NSO בפני מתקפה תקשורתית ממקודת. בדיקה של כלל הטענות מראה שאף אחת לא נסמכת על הוכחה כלשהי. השאלה מי רוצה לפגוע בחברת הסייבר הישראלית

CEO of Israel's NSO Group Shalev Hulio listens during an interview with Reuters about the company's product, Eclipse, a system that commandeers and force-lands intruding drones, at Bloomfield Stadium, in Tel Aviv, Israel June 8, 2020. REUTERS/Ammar Awad

בימים האחרונים עומדת חברת הסייבר הישראלית NSO בפני מתקפה תקשורתית ממקודת. המתקפה עוסקת בשני טיעונים עיקריים. 

טיעון ראשון 

שרת חיפוש ואימות מספרי טלפון מקפריסין תחת שם שירות HLR Lookup דלף. כ-50,000 מספרי טלפון דלפו ממנו, כאשר בעיתונות הבינלאומית קישרו את השרת לחברה וטענו כי מדובר ברשימת מטרות של כלי האיסוף של החברה תחת המותג הציבורי ״פגסוס״. הטענה היא שלקוחות פגסוס מחפשים בHLR Lookup את המטרות שלהם לפני הדבקה של מכשירי הסלולר שלהם. 

ובכן, החברה הצהירה רשמית ששרת הHLR Lookup שדלף אינו בבעלותה, אינו משמש לצורך פעילות של פגסוס, ואין לה בכל מקרה כזו כמות של מטרות בו זמנית. מודל המכירה של פגסוס הוא לפי רשיונות, כאשר כל רישיון מגדיר כמה מטרות אפשר ליישם בו זמנית. מכאן, שהחברה יודעת לפי החוזים שלה, כמה מטרות בו זמנית ניתן ליישם בכל העולם. 

יתרה מכך, ייתכן ולקוחות פגסוס משתמשים בשירות HLR Lookup. היות ואלו שני שירותים שונים, ייתכן ולקוח מבצע בדיקות מספרי טלפון בHLR Lookup. האם זה אומר שכל מספר שהוא חיפש הפך בהכרח למטרה בפגסוס? לא. הקישור שעשו העיתונאים המסויימים נובע מבורות טכנית איך עובדים עם פגסוס או ממניע מכוון אחר. 

טיעון שני

ארגון אמנסטי, יריב ותיק של NSO, פרסם מאמר טכני ובו טענה כי כ-80 עיתונאים הודבקו על ידי פגסוס שהיה בשימוש לקוחות החברה. במאמר, מנתחים את קוד תוכנה שמצאו במספר מכשירי טלפון של עיתונאים ועו״ד, כאשר הטענה היא שאלו שאריות קוד תוכנה של פגסוס. עוד טוענים בדו״ח כי החברה מפעילה תשתיות בחברת אמזון וחברות אחרות בארה״ב. 

ראשית, לאף אחד באמנסטי אין, ככל שאמנסטי מצהירים, את קוד המקור של פגסוס. מכאן, שגם אם נמצא קוד מסוים במכשיר טלפון מסוים, ללא השוואה לקוד המקור של פגסוס, אין אפשרות להוכיח שמדובר בקוד של פגסוס. לכן, כל הניתוח הטכני שעושים בדו״ח מבוסס על השערות. ואם, נניח, מצאו באמנסטי קוד של כלי תקיפה אחר? איך ידעו החוקרים להבדיל בין כלי תקיפה אחד למשנהו, אם אין להם את קוד המקור של הכלים? מכאן, הטענה כי מדובר בכלי של NSO, אינה נסמכת על הליך פורנזיקה מקצועי. 

בהקשר תשתיות בארה״ב, ובכן, אם פלוני עוקב אחרי המשפט של פייסבוק מול NSO, כי אז הוא יראה שהחברה הצהירה רשמית בפני בית משפט אמריקאי שאין לה תשתיות בארה״ב. שקר, יעלה לחברה הון. מעבר להליך פלילי נגד הנהלת החברה בארה״ב על עדות שקר. מכאן, שגם טענה זו של אמנסטי לא נכונה.  בניתוח לא הוצגה אף הוכחה שאלו תשתיות של  NSO. גם לא בתגובה של אמזון לטענות של אמנסטי. 

טענות על כשל לוגי בתגובת NSO

לצד הטענות שפורטו לעיל שעלו בעקבות הפרסומים, טענה נוספת עלתה כנגד הלוגיקה של דוברות NSO. הטענה כזו: אם אתם אומרים שאתם לא יודעים מה המטרות של הלקוחות שלכם, איך אתם יודעים מי לא מטרה? ובכן, התשובה לכך טמונה בהסכם של החברה עם הלקוח. 

כאשר הלקוח רוכש רשיונות לפגסוס, הוא חותם מול NSO ומול מדינת ישראל. היות והמוצר מפוקח, גורמים כמו משרד הביטחון, משרד החוץ, המוסד ועוד מספר גורמים צריכים לאשר כל מכירה. כמו שקורה בכל מכירת מוצר מפוקח. על הפיקוח אחראי אגף אפ״י במשרד הביטחון. 

במסגרת ההסכם, הלקוח חותם, בין היתר, על סעיף שאומר, שאם ישנה תלונה מפלוני בהקשר השימוש במוצר, הלקוח מחויב להתיר לNSO גישה למערכת המסוימת שלו. כולל גישה ללוגים. היות וNSO היא היצרן, היא מקבלת גישה מלאה למערכת הלקוח, ויכולה אפילו לדעת אם הלקוח ניסה לשבש הליכים - כלומר, למחוק לוגים. לוג במשמעותו אחרי איזה מספר טלפון נעשה מעקב ומתי. 

היות ולקוחות החברה ממשלתיים בלבד, מדובר בגופים מקבילים למוסד, שב״כ, משטרה, צה״ל בישראל. אלו גופים הפועלים בחשאיות, ולכן ההסכם קובע, שאם לא תנתן לNSO גישה מלאה לצורך חקירה בעת תלונה, לחברה שמורה הזכות לכבות ללקוח את המערכת. המשמעות בעיני הלקוח היא שכל המבצעים המתנהלים באותה עת, המבוססים על המערכת של NSO - נידונים לכשלון. ומדובר במבצעים נגד טרור, פשע מסוגים שונים, שחיתות ועוד. 

התביעה של פייסבוק

הפרסומים של הימים האחרונים נגד NSO אינם מפתיעים. הם חלק מאוסף פרסומים שראו אור בחודשים האחרונים, לרוב, המקורות לפרסומים נשארים קבועים. אמנסטי, סיטיזן לאבס, עיתונאים מסוימים בעולם. בפרסומים עכשיו נכנס גוף חדש בשם Forbidden Stories. מי מממן את הארגונים האלו? מי קובע את האג׳נדה שלהם? לא ברור. NSO אינה חברת התקיפה בסייבר היחידה בעולם, ועם זאת, היא מקבלת נתח כמעט אבסולוטי של הפרסומים בשוק זה מצד מקורות אלו. 

חלק מהפרסומים נגד החברה החלו לצבור תאוצה גם אחרי הגשת התביעה של פייסבוק נגד NSO בארה״ב. פייסבוק, הבעלים של וואטסאפ, הגישה תביעה נגד החברה בגין, לכאורה, ניצול תוכנת וואטסאפ כדי להדביק כ-1400 טלפונים של משתמשים. כרגע הדיון בארה״ב ממוקד בשאלה האם ניתן לתבוע את NSO בארה״ב. מחכים להחלטת המעגל התשיעי, בית המשפט לערעורים בארה״ב בנושא. 

NSO מצידה מנהלת את הלובי בארה״ב באמצעות חברת Pillsbury Winthrop Shaw Pittman LLP בעלות חודשית של 75,000 אלפי דולרים. למה צריך לובי? שאתה נלחם משפטית בפייסבוק, צריך לובי, ובארה״ב צריך להצהיר רשמית את מי אתה שוכר, מה הוא עושה עבורך וכמה זה עולה לך. 

כמובן, שאם פייסבוק הייתה רוצה להוציא את NSO מהמשוואה, היא הייתה קונה אותה וסוגרת אותה לצמיתות. אבל זו אינה המטרה של פייסבוק. ענקית התוכנה רוצה להשתמש במשפט של NSO כתצוגת תכלית לכלל חברות התקיפה והאיסוף בסייבר. אם יהיה ניתן לתבוע חברות כאלו בארה״ב, הסיכון הפיננסי לנהל חברות כאלו יעלה פלאים. אולי פייסבוק רוצה לכפר על פרשת קיימברידג׳ אנאליטיקס באמצעות המשפט נגד NSO. ימים יגידו. 

סיכול ממוקד

עוד כיוון שעלה היום (ד) בוושינגטון פוסט הוא האשמה של ״גורמים אמריקאים״ כי NSO משתפת פעולה עם המודיעין הישראלי. "זה מטורף לחשוב ש- NSO לא תשתף מידע על ביטחון לאומי רגיש עם ממשלת ישראל", אמר בכיר לשעבר בביטחון לאומי אמריקני, שעבד בשיתוף פעולה הדוק עם שירותי הביטחון הישראליים, בתנאי אנונימיות. "זה לא אומר שהם חזית של סוכנויות הביטחון הישראליות, אבל ממשלות ברחבי העולם מניחות ש- NSO עובדת עם ישראל."

עוד מוסיף העיתון כי ״אף על פי ש- NSO היא חברה פרטית, גורמים רשמיים בארה"ב חשדו זה מכבר שמידע שהיא אוספת נצפה גם על ידי ממשלת ישראל, אמר גורם אמריקני בהווה המכיר את הנושא״, נכתב בכתבה. כמובן אף אחד מהגורמים האלו לא נחשף בשמו, אז לא ניתן לדעת עד כמה אמין הדיווח. 

נניח שהוא אמין, האם לא ניתן לטעון אותן טענות כלפי חברות אמריקאיות? חברות כמו סיסקו, ג׳וניפר, מיקרוסופט, VMware, HP, אמזון, גוגל, אורקל, מותקנות במרכזי המידע של העולם. ככל הנראה, מידע מכל המדינות בעולם עובר דרך מוצרים שלהן. מישהו חושב בכלל להאשים אותן בריגול לטובת ארה״ב? 

מסתבר שהעיתונאים בוושינגטון פוסט ביקורתיים ומטילים ספק, אבל לא כאשר זה מגיע לחברות אמריקאיות. אולי זו הוכחה לקיומה של פרה קדושה בעיתונות האמריקאית? אפשר להאשים כל חברת תוכנה או חומרה בריגול. קל לשרוף מוניטין, קשה יותר להוכיח את הטענות. ולוושינגטון פוסט אין הוכחות בהקשר זה. 

לסיכום, אמנסטי, סיטיזן לאבס, Forbidden Stories, וושינגטון פוסט או כל עיתון או אתר אחר שפרסם בימים האחרונים אודות ״גילויים״ על NSO  - לא הציג הוכחות לטענות שלו. הכל, נכון לכתיבת שורות אלו, פייק ניוז. 

באופן מפתיע, אולי ההודעה של ממשלת צרפת על חקירה בנושא תביא ישועה ליחסי הציבור של NSO. חקירה ממשלתית של שירותי הביון הצרפתיים את הטענות יכולה לחשוף, אם ממצאיה יפורסמו, כי אף אחת מהטענות אינה נכונה. בסופו של דבר, כפי שטוענת החברה, מערכת פגסוס משמשת ממשלות לחקור פרשיות טרור, פשע, שחיתות ועוד. ואם מישהו הודבק על ידי פגסוס - כנראה יש לכך סיבה טובה. חומר מודיעיני לא תמיד אפשר לפרסם, מאידך, לתבוע את NSO כל אחד יכול. אם יש לו הוכחות.

עד כתיבת שורות אלו, אף בית משפט, באף מדינה בעולם, טרם קבע שNSO עשתה עוול למישהו.