Az Index interjúja – a Tech-Tudomány rovatban – a legilletékesebbel. Bevezetője: Az államnak kellenek a megfelelő szabályok mentén felhasználható eszközök, a mobiltelefonos megfigyelés pedig egy olyan hasznos eszköz, aminek a bedöntésében egy ország titkosszolgálata sem érdekelt. A Pegasus-botrány hátteréről Nemes Dániel informatikai biztonsági szakértőt kérdeztük.
Tovább gyűrűzik a kémbotrány, amely azután robbant ki, hogy kiderült: az NSO nevű izraeli cég Pegasus kémprogramja segítségével magyar újságírók és közéleti szereplők telefonjait is megfigyelhették. A módszer olyan hatásos, hogy az izraeli kormány fegyvernek minősítette a a Pegazust, amelynek használatát és eladását szigorú feltételekhez kötötte. De akkor mégis mi mehetett félre? Nemes Dániel informatikai biztonsági szakértővel beszélgettünk.
Egyetért-e azzal, hogy a Pegasus egy fegyver, és aki fegyvert használ fegyvertelen polgárok ellen, az terrorista?
A Pegasus egy fegyver, de a hatóságoknak joguk van fegyvert használni fegyvertelen polgárok ellen is, amennyiben azt jogszerűen, arányosan és erkölcsösen teszik.
Leáldozott-e a mobiltelefon-hackelés kora? Tud-olyan technikai fejleményről, ami – jelen botránytól eltekintve – az NSO tevékenységét rövid távon ellehetetlenítette vagy irrelevánssá tehette volna?
Épp ellenkezőleg: ahogy egyre jobban kötődik az életünk az okostelefonokhoz, úgy lesz egyre fontosabb kérdés a mobiltelefonok biztonsága. Ez egy folyamatos versenyfutás: az NSO és a hasonló cégek sérülékenységeket keresnek gyakori alkalmazásokban, operációs rendszerekben, illetve a kommunikáció módját leíró protokollokban, ezeknek a fejlesztői pedig igyekeznek a sérülékenységeket felfedezni és bezárni. Ha egy korábban működő behatolási módszer felfedezésekor, ellehetetlenülésekor az NSO nem talál (fejleszt vagy a feketepiacon vásárol) új módszert az eszközök feltörésére, akkor be kell fejeznie a tevékenységét. A tapasztalat mégis azt mutatja, hogy sérülékenységek kellő számban adódnak ahhoz, hogy ez a tevékenység továbbra is releváns maradjon.
Mennyire tartja elrugaszkodottnak azt a feltételezést, hogy az NSO a folyamatosan eszkalálódó kiberháborús környezetben, a SolarWinds és Microsoft elleni támadások és kiberzsarolások közepette privát cégként az évek során vállalhatatlan kockázattá vált?
Bár nagyon erősek a nemzetállami titkosszolgálatok kiberháborús tevékenységei, az összes szaktudást soha nem lehet állami keretek közé terelni – márpedig gyakran speciális tudásra van szükség. Ezért a világon mindenhol nagyon sok magáncég lazábban vagy szorosabban, de együtt dolgozik a titkosszolgálatokkal, és ez a helyzet nem is várható, hogy változni fog. A konkrét esetben szerintem az NSO egy nagyon hasznos eszközt adott a titkosszolgálatok kezébe, ezért én igen valószínűtlennek tartom, hogy így akarták volna megbuktatni.
Az NSO tagadja, hogy a Forbidden Stories birtokába jutott 50 ezer telefonszám adatait tartalmazó adatbázis tőlük származik, Ön szerint lehetséges-e, hogy más forrásból juthattak ilyen információkhoz a kiszivárogtatók?
Ezek a telefonszámok sok különböző, NSO-ügyfél országból származnak. A bizonyítékok alapján kizárhatjuk, hogy teljesen véletlen telefonszámlista volna: a vizsgált számokhoz tartozó telefonok jelentős részén – az összes érintett országban – megtalálták a Pegasus nyomait. Ez a lista vagy országonkénti elemekből tevődik össze, és akkor a Forbidden Storiesnak minden érintett országban a titkosszolgálatoktól szivárogtató informátorokkal kellett rendelkeznie (vagy ezen titkosszolgálatok rendszereit fel kellett törjék, ami még meredekebb feltételezés), vagy mégis megvolt az NSO-nál a lista. Ez utóbbit az is valószínűsíti, hogy a Hasogdzsi-gyilkosságban való érintettséget tagadja az NSO, márpedig ha nincs információja, akkor mi alapján tagadja? A mai közleményükben már azt is megemlítik, hogy vannak módszereik arra, hogy a nem jogszerű felhasználást tiltsák. Ha nincs információjuk, akkor mi alapján tudják eldönteni, mi jogszerű, ráadásul hogy tudnak tiltani? Itt vélhetően az NSO nem mond igazat. De ez nem is meglepő: az lenne meglepő, ha igazat mondanának. Ebben az iparágban gyakran minden körülmények között tagadni kell.
Ahogy közeledünk a választásokhoz, folyamatosan erősödik az idegen befolyással kapcsolatos gyanakvás. Elképzelhetőnek tartja-e, hogy külföldi titkosszolgálat aktív szerepet játszik egy ilyen nemzetközi botrány kirobbantásában, vagy inkább a Wikileaksnél szokásos egyéni akcióról lehet szó?
Az NSO vélhetően minden olyan titkosszolgálatnak fontos beszállítója, a Pegasus pedig aktívan használt eszköze, amelyik képes lenne egy ilyen műveletre. Éppen ezért mindenki ellenérdekelt az NSO (és a Pegasus) lebuktatásában. Én a zsetonjaimat az egyéni akcióra teszem.
Ha már titkosszolgálatokról van szó, izraeli cég lévén az NSO-nál a Moszad van legközelebb a tűzhöz. Lehetségesnek tartja, hogy a Moszad vagy bármelyik szolgálat belülről bedönt egy ilyen eszközt?
A Moszad nyilvánvalóan érintett az NSO üzletében, ahogy a világon mindenhol a hasonló cégek – ha nem egyenesen az adott titkosszolgálat fedőcégei – szoros együttműködésben vannak az adott ország titkosszolgálataival és külügyével. A fegyverek mindig is diplomáciai eszközök is voltak. Meggyőződésem, hogy a mostani helyzet a Moszadnak felettébb kellemetlen, szerintem az érdekei sokkal inkább a korábban jól prosperáló üzlet folytatása, fejlesztése irányába mutattak.
Mennyire kell felizgatnia magát egy átlagos állampolgárnak a telefonja miatt? Észrevehető és elkerülhető-e, hogy ilyen módon megfigyeljenek valakit?
Megfelelő felkészültséggel és ráfordítással bármely eszköz feltörhető, és elérhető, hogy mindez észrevétlen maradhasson. Ezt nehezíteni lehet, elkerülni nem – értelemszerűen azt leszámítva, ha valaki nem használ telefont. Átlagos tudással még a nehezítés se könnyű. Az állampolgárt a jogszabályi környezet és annak a betartatása kell hogy megvédje. Az államnak kell hogy legyen kalapácsa, de azzal csak megfelelően szabályozott és ellenőrzött körülmények között szabad ütnie.
- Forrás: Index