Világszerte óriási üzlet a kiberkémkedés, és a hagyományos fegyverekkel ellentétben a kémszoftverek kereskedelmét semmi nem korlátozza. A Pegasust árusító izraeli NSO saját hatáskörben, a megfigyeléssel vádolt ügyféllel közösen vizsgálja ki, visszaéltek-e a termékével, vagy sem. A jó hír, hogy Oroszország, Kína és Törökország elvileg nem kaphat a Pegasusból. A Qubit.hu cikke.

Több tízezer telefonszámot vettek célba a  izraeli szoftvercég, az NSO Group Pegasus nevű kémszoftverével, számos országban sikeresen meg is hekkelték üzletemberek, újságírók, aktivisták és ellenzéki politikusok telefonjait – adta hírül a világsajtó a hét végén. A kiszivárgott és a megvizsgált telefonokból szerzett adatok alapján valószínűsíthető, hogy a magyar állam is élt a korunk legfejlettebb lehallgató technológiája által kínált előnyökkel.

A kiszivárgott adatok igazolják, amit eddig a nagyobb nyilvánosság szakértők és szakújságírók információi alapján csak sejthetett: hiába állítja az izraeli cég, hogy kémtechnológiái csak a terroristák és bűnözők üldözésére szolgálnak, valójában ennél sokkal szélesebb körben használják ezeket a cég kizárólag kormányzati megrendelői. Az NSO Group mint korábban, ezúttal is a bevált érveléssel védekezett, egyfelől tagadva az összes állítást, másfelől viszont ehatárolódva mindattól, amire ügyfelei, a kormányok használják a technológiát.

Elit eszköz a legkiválóbb hackereknek

A CitizenLab civil kiberbiztonsági vállalat behatóan tanulmányozta a Pegasust, amelynek egyik legfőbb ismérve, hogy szinte lehetetlen lefülelni, ha telepítették valahová. Mint a cég szakértője, Bill Marczak márciusban elmondta, az Apple-nél éppen a feszes biztonsági rendszer teszi lehetővé, hogy az NSO technológiája átvegye a készülék felett az uralmat, viszont az utána vizsgálódók szeme elől elrejtőzhessen. Marczak szerint az iPhone fokozott biztonsága ebből a szempontból kétélű fegyver, „mert a hackercsőcselék elhárítására jó, a legrafináltabb 1 százalék azonban így is bejut a telefonba, majd sikeresen elrejtőzik az iPhone áthatolhatatlan erődjében”.

Az NSO Group korábban is bőven keveredett már gyanús ügyekbe: a Facebookkal például jelenleg is perben áll, miután az izraeli cég a Facebook állítása szerint a WhatsApp rendszerét manipulálva fertőzött meg több mint 1400 mobiltelefont. A periratok szerint a techóriás belső vizsgálata megállapította, hogy a Pegasus több mint száz jogvédőt, újságírót és közszereplőt célzott meg ezen az úton.

Bár az NSO nem igazán szeret reflektorfényben állni, Shalev Hulio vezérigazgató tavaly nyáron a Technology Review-nak elismerte: cégét „jogosan vádolják azzal, hogy nem elég transzparens a működése”, illetve hogy az iparági szereplőknek nagyobb felelősséget kellene vállalniuk a titkos műveletekért – főként mivel az egyre szofisztikáltabb módszerek miatt a külső felügyelő szervezetek és szakértők egyre nehezebben azonosítják a hasonló akciókat. 

Titoktartásra hivatkozva az NSO Group nem közöl információkat az ügyfeleiről, de a cég történetében először néhány hete kiadott „elszámoltathatósági és transzparencia jelentésben” annyit elárult, hogy hatvan ügyfele van negyven országban. A legtöbb ügyfele hírszerző ügynökségek és bűnüldöző szervek közül kerül ki a következő megoszlásban: 51 százalék hírszerzés, 38 százalék bűnüldöző szervek, 11 százalék hadsereg. A cég a szoftvereivel megvalósított akciók közül azonban nem az újságírók és civilek lehallgatását emelte ki – erre ugyanis elvileg nem is használható a termék –, hanem például pedofil- és drogcsempészakciók lefülelését, a COVID-19-világjárvány terjedésének nyomon követését és a hatékony légtérvédelmet.

Hasogdzsi és a rendszer többi ellensége

Pedig az NSO Group technológiáit már jóval a mostani lehallgatási botrány előtt olyan súlyos nemzetközi ügyekkel hozták összefüggésbe, mint Dzsamál Hasogdzsi szaúd-arábiai újságíró meggyilkolása, a politikai reformokat szorgalmazó tudósok és aktivisták üldözése Mexikóban, illetve a katalán szeparatista politikusok kormányzati megfigyelése. Mexikó és Spanyolország tagadta, hogy a Pegasust vetette be ellenzéke ellen, a gyanút azonban jelentős technikai bizonyíték igazolja.

Patrick Howell O’Neill, az MIT Technology Review munkatársa tavaly nyáron írta meg az izraeli technológiai cég portréját. A Pegasus szoftver már akkor világszerte bevetett, hatékony eszköznek tűnt a kormányok ellenfeleinek megfélemlítésére, a demokrácia aláásására.

Maati Monjib marokkói történészprofesszorral, az V. Mohammed Egyetem munkatársával például 2017-ben történt meg – amint éppen az állambiztonság veszélyeztetésének vádjával ült a bíróságon –, hogy az iPhone-jára ismeretlen telefonszámokról egy sor szöveges üzenet érkezett pikáns hírekre, izgalmas petíciókra, sőt Black Friday-ajánlatokra mutató linkekkel. Egy hónappal később Monjibot hazaárulással vádolta egy népszerű online lap, amiben semmi újdonság nem volt a rendszer nyílt kritikusának számító professzor számára, ám ezúttal a lapok minden apró részletet pontosan tudtak róla. Az egyik cikkben egy olyan gyűlésről volt szó, amiről szinte senkinek nem mondta, hogy részt vesz rajta, egy másik cikk pedig nyíltan el is büszkélkedett azzal, hogy a professzornak „nincs előttünk titka”. 

Hamar kiderült, hogy a telefonját meghekkelték: az oda küldött linkek olyan csali webszájtokra vezettek, ahol a készülék a Pegasusszal, a világ leghírhedtebb kémszoftverével fertőződött meg.

A fegyverkereskedők etikája

A Pegasus messze a legsikeresebb termék a Hertzl Tivadarról elnevezett Tel Aviv-i startup-elővárosban, Herzlijában működő NSO Group történetében. Nem csoda, hiszen a szoftver képes észrevétlenül átvenni az uralmat a kiszemelt célpont telefonja fölött, azaz ha a Pegasus a telefonodon van, az többé már nem a te telefonod.

Az NSO központja Fotó: Google Street View

A cég a fegyverkereskedőkhöz hasonlóan pozícionálja termékeit, a terroristák és bűnözők elleni harc nélkülözhetetlen eszközeinek beállítva azokat. Tény, hogy az úgynevezett törvényes hekkelés a bűnüldözés hatásos eszköze, amikor a szerveknek adatokhoz kell hozzáférniük – az NSO pedig állítja, hogy ügyfeleinek legnagyobb részét európai demokráciák teszik ki. Igaz, ezt bizonyítani lehetetlen, mert a cég nem hozza nyilvánosságra, hogy mely országokról van szó, és maguk a kormányok sem jelentkeznek.

Ám a Monjibéhoz hasonló ügyek már a 2021-es botrány előtt is megmutatták, hogy a Pegasust gyakran vetik be nem demokratikus célokra, az elnyomás eszközeként. Az NSO azonban azzal az érvelésével hárítja el a felelősséget, hogy ő maga nem hekkelt meg senkit, csupán létrehozott egy eszközt, amit kormányok használhatnak fel.

Az NSO megtisztulna?

Az NSO évek óta arról híres, hogy csak nagyokat hallgat, amikor a törvénytelen lehallgatásokban betöltött szerepét firtatják, és ezt gyakran arra hivatkozva teszi, hogy működése nagyrészt izraeli államtitoknak minősül. 

A céget 2019-ig egy magántőke-társaság birtokolta, azonban abban az évben jelentős haszonnal, a 2014-es vételár több mint hétszereséért, 1 milliárd dollárért adták vissza az alapítóknak és egy másik magántőke-társaságnak, a Novalpinának. A régi-új tulajdonosok elvileg azt tűzték ki, hogy kilépnek az árnyékból, és egy kissé átláthatóbbá teszik a titokzatos cég működését: elit PR-cégeket bíztak meg, emberi jogi szabályozást dolgoztak ki, önszabályozó intézkedéseket hoztak. A jó PR jegyében a nyilvánosság előtt is felvonultatták ártalmatlanabb termékeiket, például a COVID-19 terjedését követő Fleminget és a biztonsági fenyegetésnek minősített drónok meghekkelésére képes Eclipse-et.

A cég működését kutató Technology Review szerint az NSO Group ettől még pontosan úgy működik, mint egy fegyverkereskedő, alkalmazottai is pontosan tudták, hogy Pegasus valójában fegyver. A vállalat abban a robbanásszerűen fejlődő kiberkémkedési iparágban tevékenykedik, amelyre ráférne egy alapos szabályozás, és ha minden jól megy, ez hamarosan meg is születik: mert miközben a termékek fegyverek a kiberháborúban, a valódi fegyverekkel ellentétben szinte korlátozás nélkül adhatók-vehetők.

Törökország és Oroszország nem veheti meg (Magyarország igen)

Shmuel Sunray, az NSO jogtanácsosa előzőleg egy fegyvergyártó cég alelnöke volt. Rögtön azután, hogy átigazolt, ömleni kezdtek rá a különféle nemzetközi visszaélések aktái, ráadásul a WhatsApp-per is éppen akkor kezdődött. Az összes problémás ügy középpontjában az a gyanú állt, hogy az NSO technológiáira gazdag, elnyomó rezsimek is szert tesznek, és vissza is élnek vele.

Sunrayt állítása szerint azért vették fel a céghez, hogy megváltoztassa a vállalati kultúrát, átláthatóbbá tegye a működését, és igyekezzen megelőzni az emberi jogokat sértő visszaéléseket. A cég tevékenységét azonban körüllengi a titkolózás szelleme, ami a tanácsadó szerint megakadályozza, hogy megfelelő választ adhasson az NSO-t érő kritikákra. Mint mondta, ők is tudatában vannak, mire képes az általuk készített eszköz, és azt is tudják, milyen hatása lehet, ha rossz célokra használják fel. De szerinte a cég nem szegi meg az emberi jogi normákat a klasszikus értelemben, hiszen nem vesz részt a Pegasusszal végrehajtott műveletekben.

Eközben a cég próbálja különböző biztonsági óvintézkedéssel visszafogni a Pegasusszal elkövetett visszaélések számát. Az izraeli exportszabályok eleve előírják, hogy a fegyvergyártóknak speciális engedélyekkel kell rendelkezniük, és kormányzati felügyelet alatt kell működniük, ezt azonban az NSO igyekszik túlteljesíteni:

  • ha egy-egy ország jelentkezik a szoftverért, a cég megvizsgálja az adott ország emberi jogi helyzetét és az Izraellel ápolt viszonyát.
  • Felmérik a Pegasust megvenni óhajtó szervezet korrupciós, biztonsági és pénzügyi viszonyait, visszaéléseit, és megvizsgálják, mennyire van szüksége az eszközre.
  • 21 állam – köztük Kína, Oroszország, Irán, Kuba, Észak-Korea, Katar és Törökország – állítólag eleve nem lehet a NSO Group ügyfele.
  • A NSO-ban egy menedzserekből és részvényesekből álló bizottság hagy jóvá minden egyes üzletet, amely megtagadhatja az eladást, vagy további feltételeket támaszthat.
  • Technikai biztonsági korlátok is léteznek, például amerikai telefonszámokat nem fertőzhet meg a Pegasus az NSO szerint, és ha az Egyesült Államok területén belül találja magát, a szoftvernek elvileg meg kell semmisítenie önmagát. (A megfigyelt magyar újságírók esetében a kémtevékenység a telefonjukon legalábbis szünetelt, amikor az USA-ban jártak.)
  • Az izraeli telefonszámok ugyancsak védettséget élveznek.

És hogy Marokkó miért kapott a Pegasusból? Mert a pro és kontra érveket számba véve az NSO így döntött. Az emberi jogi helyzet nem túl rózsás, ám az ország együttműködő partnere Izraelnek és a nyugati országoknak, ráadásul a terrorizmus valós problémájával kell megküzdenie – mehet a Pegasus!

Ha visszaélésről érkezik jelentés, az NSO-n belül tíztagú bizottság vizsgálja meg az állításokat. Ilyenkor az áldozatokat ugyan nem hallgatják meg, de a Pegasusszal állítólag visszaélő ügyfelet igen. A szoftver adatlogjait is megvizsgálják, amelyek a cég közlése szerint tartalmakat (például üzenetek vagy emailek szövegét) nem rögzítenek, csak a metaadatokat, például a kémszoftverrel célba vett telefonszámok listáját.

A Technology Review belenézett egy NSO-féle szerződésbe, amely kikötötte, hogy csak bűnügyek megelőzésére, illetve nyomozásukra szabad a kémprogramot használni, emberi jogok megsértésére pedig semmiképp. A lehetséges visszaéléről értesíteni kell az eladót. Az NSO állítása szerint háromszor bontott szerződést a Pegasusszal való visszaélés miatt, de nem árulja el, mely országok vagy ügynökségek voltak ebben érintettek.

A cég, amely magát vizsgálja

A fentiekből is világos, hogy a cég önszabályozása nem a megfelelő módja a demokratikus rendszert aláásó kormányzati kémkedés megfékezésének. Elvileg az izraeli kormány visszavonhatja az NSO engedélyét, ha megszegi az exportszabályokat, de a szabályozók nem bajlódnak azzal, hogy a lehetséges vevők által elkövetett visszaéléseket kutassák, és nem is vonják be őket az NSO-hoz érkezett panaszok kivizsgálásába.

Ezek a belső vizsgálatok is csak akkor indulnak el, ha az Amnesty Internationalhez vagy a Citizen Labhez hasonló szervezetek szorgalmazzák őket. Mint korábban említettük, az áldozatot, aki ellen a kémszoftvert illegálisan bevetették, ilyenkor sem hallgatják meg, a beterjesztett technikai bizonyítékokat a cég gyakran vitatja, viszont ő maga nem ad ki információkat üzleti vagy államtitokra hivatkozva.  

A Pegasus logjai, amelyek olyan fontos szerepet töltenek be ezekben a belső vizsgálatokban, szintén kérdéseket vetnek fel: például a terméket top hackerek használják, számukra pedig igazán nem lehet nagy kihívás kicsit manipulálni ezeket a logokat – ez utóbbi az NSO közlése szerint lehetetlen, de hogy miért, azt a cég nem részletezi.

Ha a logok igazolni látszanak a lehallgatás tényét, az NSO az ügyfelekkel együtt dönti el, mennyire számítanak legitim célpontnak a megfigyeltek, történtek-e valóban bűncselekmények, és törvényes volt-e a megfigyelés – vagy neadjisten autoriter rezsimek kémkedtek a kritikusaik után.

Sunray, a főtanácsadó közben azt hajtogatja, hogy a kezei meg vannak kötve, pedig a cég is tisztában van vele, hogy történnek visszaélések, és „egyik kormány sem tökéletes”. Eközben újra és újra elmondja az NSO-nak azt az érvét, amire a cég a WhatsApp-perben is hagyatkozik: mi fejlesztettük az eszközt, de ők hekkelnek vele. Ők pedig szuverén államok.

Az NSO működésébe illesztett biztonsági mechanizmusok nem nyugtatják meg sem a független felügyelő szervezeteket, sem a megfigyelt civileket és politikusokat. Marietje Schaake holland liberális politikus, korábbi EP-képviselő szerint nem túl meggyőző egyik olyan cég sem, „amely azt gondolja, hogy a saját termékeinek lehet független ellenőre. Mindennél jobban mutatja a cég felelőtlenségét az az elgondolás, hogy a saját mechanizmusaik majd megteszik a magukét, miközben nyugodt szívvel eladják bárkinek a kémszoftvereiket, tudván tudva, hogy azt emberijog-védők és újságírók ellen vetik be.”

Virágzó, de teljesen szabályozatlan üzlet a kiberkémkedés

Egyelőre nemcsak az NSO-nak megy jól, a globális instabilitás növekedéséből és a kommunikációs technológiák gyors terjedéséből az egész iparág jelentősen profitál. Ám az NSO látszólag megingathatatlan pozícióját növekvő mértékben fenyegetik a mostanihoz hasonló botrányok, a WhatsApp-per és a globális igény az iparág szabályozására. Ha saját maga törekszik a tisztulásra, azzal talán jobb pozíciót vívhat ki magának a piac szabályozását övező vitákban.

Danna Ingleton, az Amnesty International (AI) igazgatóhelyettese szerint nem is kérdés, hogy az államoknak jogukban áll megvásárolni ezeket a fejlett kémtechnológiákat, de most már égetően fontos lenne ehhez egy szabályozó rendszert is bevezetni, amely megelőzi a visszaéléseket, és ha mégis megtörténnek, lehetővé teszi a felelősségre vonást. Az AI 2020 elején megpróbálta bíróságon elérni, hogy az izraeli védelmi minisztérium vonja vissza az NSO engedélyét a Pegasusszal való visszaélések miatt, de az ügyben előbb zárt tárgyalást rendeltek el, majd júliusban egyszerűen lesöpörték az asztalról.

Az ENSZ speciális előadója, Agnes Callamard szerint az NSO-nak legalább részben vállalnia kell a felelősséget a terméke felhasználásáért a nemzetközi törvényeknek megfelelően. Callamard szerint a szabályozás nem hozna semmi újat és átütőt, egyszerűen arról van szó, hogy a jelenlegi szabályok láthatóan nem elégségesek, tehát a kormányoknak és a szabályozó szerveknek mielőbb lépniük kell. A piac gyorsan bővül, és ennek a bővülésnek már a megfelelő keretek között kellene történnie, a visszaélések lehetőségét kizárva, ami Callmard szerint a „globális béke érdekében” szükséges. De vajon hajlandók-e a kormányok megrendszabályozni éppen azt a területet, amelynek a rendezetlenségéből politikai tőkét kovácsolhatnak?

Míg a hagyományos fegyverek kereskedelmét többféle nemzetközi törvény korlátozza, a kiberfegyvereknél nem létezik hasonló egyezmény. Van, aki azt szorgalmazza, hogy amíg nincs szabályozás, addig ideiglenesen hirdessenek moratóriumot az információs hadviselés eszközeire, mások a nemzetközi fegyverkorlátozó szerződésekhez hasonló keretszabályokat akarnak. Valójában azonban nem sokat tudni arról, hogyan működnének ezek a gyakorlatban, hogyan ellenőriznék a betartásukat, és egyáltalán, hogyan tartanának lépést a szabályok a gyors technológiai fejlődéssel. 

Ki lehet-e tiltani az NSO-t a legnagyobb rendszerekből?

A WhatsApp-per sem tét nélküli az NSO számára. A Facebook azzal érvel, hogy a kaliforniai székhelyű WhatsApp és a Facebook megtámadása esetén illetékes San Franciscó-i bíróság egyszerűen megtilthatja az izraeli vállalatnak, hogy a jövőben visszaéljen a cég hálózataival. Ha ezt helyben hagyják, az számos további cégnek teszi lehetővé, hogy hasonló pereket indítson: hogy mást ne mondjunk, az Apple és a Google is bíróságon szerezhetne érvényt egy hasonló igénynek, és máris nagyobb biztonságban lenne a világ okostelefonjainak nagy része – elvileg. Ha hasonló perek indulnak, az ráadásul azzal járhat, hogy az NSO és ügyfeleinek viselt dolgai nagyobb nyilvánosságot látnak, akárcsak a mostani kiszivárogtatás hatására. Tavaly júliusban az amerikai bíróság az ügyben a Facebooknak adott igazat, az NSO pedig fellebbviteli bíróságon támadta meg az ítéletet, de az utóbbi ügyben még nincs döntés. 

Alan Rozenshtein jogász, a Minnesotai Egyetem jogi karának munkatársa szerint ha az NSO végképp elveszíti a pert, az megkérdőjelezi az összes olyan cég működését, amely abból él, hogy megtalálja az üzenetküldő szoftverek gyenge pontjait, és a hibákat kihasználó szolgáltatásokat ad el. Szerinte ez olyan bizonytalanságot visz a jogi környezetbe, hogy a potenciális ügyfelek kétszer is meggondolják, leszerződjenek-e egy olyan céggel, amely ki tudja, meddig működhet még, mikor citálják bíróságra, vagy mikor kényszerül felfedni ügyfelei titkait. 

Az NSO eddigi működése azonban azt mutatja, hogy ettől az elbizonytalanodástól még nagyon messze vannak a cég demokratikus európai ügyfelei is – nemhogy az ellenfeleiket lehallgatni nem habozó rezsimek.