Shalev Hulio, az NSO Group alapítója magyarázkodni szeretne

Posted by

Az MIT Technology Review cikkének magyar változata az ÚjNépszabadságban

Patrick Howell O’Neillarchive
MIT Technology Review

Shalev Hulio magyarázkodni szeretne. Normális esetben a kémkedés velejárója a hallgatás és a titoktartás. Kilenc teljes éven át Hulio soha nem beszélt nyilvánosan milliárdos hackercégéről – még akkor sem, amikor eszközei botrányokhoz kapcsolódtak, vagy amikor azzal vádolták, hogy bűnrészes az emberi jogok megsértésében világszerte. Mostanában azonban elkezdett beszélni. “Az emberek nem értik, hogyan működik a hírszerzés” – mondta Hulio egy Tel Avivból indított videóhívás során. “Ez nem könnyű. Nem kellemes. A hírszerzés egy szaros üzlet, tele etikai dilemmákkal.”

Cyber spy NSO to abide by UN guidelines on human rights violations
Shalev Hulio

Az általa vezetett vállalkozás, az NSO Group a világ leghírhedtebb kémprogramgyártó cége. Egy olyan virágzó nemzetközi iparág középpontjában áll, amelyben a csúcstechnológiai cégek szoftveres sebezhetőségeket találnak,  és rosszindulatú szoftvereket adnak el kormányoknak. Az izraeli központú vállalatot már évekkel ezelőtt olyan nagy horderejű incidensekkel hozták összefüggésbe, mint Jamal Khashoggi meggyilkolása és a spanyolországi politikusok elleni kémkedés. 

A világ leghírhedtebb megfigyelőcége azt mondja, hogy rendbe akarja tenni a dolgait. Folytassa, hallgatjuk. Tíz évvel a cég megalapítása után meghozta azt a ritka döntést, hogy beszél az NSO Groupról, a hírszerzési iparágról és arról, hogy milyen lehetne az átláthatóság a kémprogramokat gyártó cégek számára. Szerinte ez a legfontosabb dolog, amit az iparág most megtehet: “Joggal vádolnak minket azzal, hogy nem vagyunk eléggé átláthatóak”.

Hulio, aki korábban az izraeli hadsereg kutató-rédszlegének parancsnoka volt, majd az okostelefonok távoli elérését lehetővé tevő technológiára összpontosító vállalkozó, elmondása szerint 2010-ben az európai hírszerző ügynökségek sürgetésére alapította meg az NSO Groupot. Akkoriban az NSO úgy reklámozta magát, mint korszerű kiberhadviseléssel foglalkozó cég. 2016-ban került a globális reflektorfénybe, amikor Ahmed Mansoor, egy emberi jogi aktivista az Egyesült Arab Emírségekben megkapta az akkoriban “minden idők leghíresebbnek” nevezett szöveges üzenetét. A kutatók szerint ez egy kifinomult adathalász csali volt, amelyet egy kormány küldött; olyan linket tartalmazott, amelyre kattintva Mansoor telefonját kémszoftverrel vették volna át. A Citizen Lab, a Torontói Egyetem kutatócsoportjának szakértői, elemezték a linket, és rámutattak a Pegasusra, az NSO zászlóshajó termékére. A leleplezés hatására a vállalatot sokan vizsgálták, de az NSO továbbra is hallgatott. (Mansoor jelenleg egy évtizedes börtönbüntetését tölti a monarchia megsértéséért – vagyis az emberi jogok előmozdításáért végzett munkájáért.)

A hallgatás kötelessége a vállalat akkori tulajdonosi hátterének volt köszönhető. Az NSO-t 2014-ben mintegy 100 millió dollárért vásárolta meg a Francisco Partners amerikai magántőke-befektetési cég, amely szigorú sajtótilalmi politikát folytatott, ami Hulio szerint a hallgatás káros kultúrájához vezetett. “Nincs interjú – nem beszélhettünk újságírókkal, csak annyit mondhattunk, hogy no comment, no comment, no comment” – mondja. “Ez rengeteg rossz dolgot okozott számunkra, mert minden alkalommal, amikor visszaéléssel vádoltak meg minket, nem kommentáltuk a dolgot.” Szerinte ez olyan hiba volt, amelyet a jövőben el kell kerülniük az olyan cégeknek, mint az NSO – amelyet tavaly 1 milliárd dollárért adtak el a Novalpina európai magántőke-befektetési társaságnak és az eredeti alapítóknak, köztük magának Huliónak.

“Az iparágnak átláthatóbbnak kellene lennie” – mondja Hulio. “Az egyes vállalatoknak sokkal inkább elszámoltathatónak kellene lenniük arról, hogy kinek adnak el, kik a vevők, és mi a végfelhasználásuk az egyes vevők számára.” A Mansoornak küldött szöveg valójában áldásosnak bizonyult a nyomozók számára. Mansoor, aki már évek óta megfigyelés célpontja volt, gyanakvó volt, és nem kattintott a mérgezett linkre. Ehelyett megosztotta azt a szakértőkkel. Manapság azonban a hackeripar egyre inkább olyan fejlettebb technikákat alkalmaz, amelyek a lehető legkevésbé feltűnésmentesek – beleértve az úgynevezett “zéró kattintásos” technikákat, amelyek anélkül fertőzik meg a célpontokat, hogy azok bármit is tennének. A WhatsApp beperelte az NSO Groupot amiatt, hogy csendben megfertőzi a telefonokat. A marokkói célpontok esetén olyan “hálózati injekciós” hackelések ről volt szó, amelyek nem keltenek riadalmat, nem igényelnek együttműködést az áldozattól, és alig hagynak nyomot.

“Minden egyes [kémprogramokkal foglalkozó] vállalatnak sokkal jobban felelnie kellene azért, hogy kinek ad el, kik az ügyfelek, mi lesz a végfelhasználás az egyes ügyfelek számára”.  “A hacker cégek azt hangoztatják, hogy a bűnözők és terroristák a titkosítás miatt lépnek be a sötétbe, és az államoknak szükségük van arra, hogy képesek legyenek levadászni őket a sötét lyukban” – mondja John Scott-Railton, a Citizen Lab vezető kutatója. “Egyre inkább az ilyen technikákat értékesítő cégek közül azok a legsikeresebbek, amelyek  magas színvonalon tapogatóznak sötétben.(Akármilyen furcsán hangzik ez). Nem csak a WhatsAppról van szó. Ott az iMessage elleni sebezhetőséget  áruló telefonos szoftver, az SS7, a nulla kattintás. A sok hálózati injekciót. Emiatt szinte lehetetlen számunkra, hogy rálátást nyerjünk a probléma nagyságrendjére. Csak találgatni tudunk a nagyságrendről. Csak néhány szereplőt ismerünk. A piac növekszik, de sok információnk nincs a visszaélésekről”.

Soha nem volt könnyű feladat megérteni a hacker-bérbeadás iparág teljes skáláját. Mostanra azok technikák, nyomok és jelek, amelyekre a nyomozók sokáig támaszkodtak,  egyre ritkábbak, csendesebbek és nehezebben észrevehetők. A lopakodó új arzenál rendkívül megnehezíti a hackercégek és a hírszerző ügynökségek felelősségre vonását, ha emberi jogi visszaélések történnek.

Talán meglepő, de Hulio határozottan egyetért azzal, hogy a hackeripar elsötétül. Amikor megkérdezem tőle, hogy az iparág tesz-e elég lépést az átláthatóság és az elszámoltathatóság irányába, megrázza a fejét, és ujjal mutat a versenytársaira: “Valójában szerintem ez pont fordítva van. Az iparág távolodik a szabályozástól. Azt látom, hogy a vállalatok megpróbálják elrejteni a tevékenységüket és elrejteni, hogy mit csinálnak. Ez árt az iparágnak.”

Ezzel szemben Hulio azt állítja, hogy az NSO az új tulajdonosi körrel megpróbál fordítani az irányon. Bár szembe kell néznie a nagy visszhangot kiváltó WhatsApp-perrel és a Pegasus visszaélésekkel kapcsolatos tucatnyi váddal, Hulio ragaszkodik ahhoz, hogy a vállalat fejlődik. Szerinte az, hogy egyáltalán beszélget újságírókkal, az egyik nyilvánvaló változás, akárcsak az új önkormányzati irányelvek és az ENSZ emberi jogi irányelveinek betartására vonatkozó nyilvános kötelezettségvállalás. Hogy a beszéd mennyire tükrözi a valóságot, az még nyitott kérdés: az Amnesty International kutatói szerint három nappal azután, hogy a vállalat 2019-ben új emberi jogi politikát jelentett be, a Pegasus segítségével feltörték Omar Radi marokkói újságírót.

Hulio azonban azt sugallja, hogy riválisai az átláthatóság és az elszámoltathatóság alól úgy bújnak ki, hogy áthelyezik vállalkozásaikat, vagy menedéket keresnek a működésükhöz. “Olyan országokban nyitnak vállalatokat, ahol nincsenek szabályozási mechanizmusok, Latin-Amerikában, Európában, az ázsiai és csendes-óceáni térségben – ahol a szabályozás nagyon gyenge, így olyan országokba exportálhatnak, ahová Izraelből vagy más európai helyekről nem tudnak exportálni” – magyarázza. “Azt látom, hogy a vállalatok úgy próbálják elrejteni a tevékenységet, hogy újra és újra megváltoztatják a cég nevét. Vagy olyan mechanizmusokon keresztül, mint például a kutatás-fejlesztés kiépítése egy telephelyen, az értékesítési ciklust egy másik cég végzi, a telepítés pedog egy harmadik cégen keresztül történik, így nem lehet nyomon követni, hogy ki mit csinál”.” “Ahogyan vannak országok, amelyek adómenedékként működnek, úgy vannak országok, amelyek exportszabályozási menedékként működnek. Ezeknek az országoknak globális szabályozási mechanizmusokra van szükségük.”

Ez igaz lehet, de maga az NSO Group is egy sor más név alatt fut, többek között az izraeli Q Cyber Technologies és a luxemburgi OSY Technologies. Van egy Westbridge nevű észak-amerikai szárnya is. Alkalmazottai a világban szétszóródtak. Az izraeli média beszámolt a vállalat fedőcégekkel és bonyolult ügyletekkel való kapcsolatáról. Az évek során világszerte több cég zavaros hálózatát működtette, és ez a vállalati útvesztő szinte lehetetlenné tette ügyleteinek és tevékenységeinek megértését – ami kulcsfontosságú feladat volna, amikor a hacker-eszközökkel a tekintélyelvű kormányok pusztító következményekkel élhetnek vissza.

Hogyan nézne ki tehát az elszámoltathatóság? Amikor az NSO Group először jelent meg, a Wassenaari Megállapodásnak, a 42 ország közötti, kulcsfontosságú fegyverkivitel-ellenőrzési megállapodásnak nem volt kiberdimenziója. Izraelnek nem volt kiberexporttörvénye. Ma már az izraeli védelmi minisztériumot az ország védelmi exportellenőrzési törvénye szabályozza – az NSO Grouptól állítólag még soha nem tagadták meg a kiviteli engedélyt -, de globális szinten a hackeripar –  növekvő hatalma és képességei ellenére – továbbra is nagyrészt rejtett, átláthatatlan és elszámoltathatatlan.

“Vannak kiskapuk” – mondja Hulio. “Nem minden ország vesz részt a Wassenaari Egyezményben. Valóban úgy gondolom, hogy nagyon nehéz nemzetközi szinten tenni valamit. Nyilvánvalóan a nemzetközi egy nagyszerű ötlet, de ahogyan vannak országok, amelyek adómenedékként működnek, úgy vannak országok, amelyek exportszabályozási menedékként működnek. Ezeknek az országoknak globális szabályozási mechanizmusokra van szükségük.”

Ki van a célkeresztben?

Az NSO technológiáját használók több tucatnyi visszaélést követtek el azóta, hogy a Mansoor-ügy először irányította a figyelmet a vállalatra. Ha ilyen vádak merülnek fel, az NSO vizsgálatot indít. Ha a beszámolók ellentmondanak egymásnak, az NSO követelheti a célpontokat feltáró naplófájlokat. Hulio szerint az ügyfelek legtöbbször azt mondják, hogy az ellenük felhozott vádak igazak, a célpontok valósak, de a helyi törvények és az aláírt szerződés értelmében a cselekedeteik jogszerűek voltak. Így az NSO-ra és az ügyfélre marad annak eldöntése, hogy a felhasználás valóban jogszerű volt-e.

Az NSO Groupot sok kritika éri, amikor a kutatók szerint a Pegasust ügyvédek, emberi jogi aktivisták, újságírók és politikusok ellen használják. Hulio szerint azonban a kontextus igazolhatja az ilyen akciókat – ezek az emberek legitim megfigyelési célpontok lehetnek, amíg betartják a törvényt. A mexikói drogbáró, Joaquín “El Chapo” Guzmán 2014-es elfogása körüli eseményekre utal. Bár nyilvánosan soha nem erősítette meg, az NSO Group éveken át titokban hirdette a műveletben játszott szerepét.

“Chapo megszökött a börtönből” – mondja Hulio. “Az olyan emberek, mint Chapo vagy [az ISIS-vezér Omar Bakr] al-Baghdadi nem hordanak maguknál okostelefont. Amikor Chapo megszökött, úgy gondolták, hogy valószínűleg előbb-utóbb felhívja az ügyvédjét, úgyhogy próbáljuk meg elfogni az ügyvédet. Az ügyvéd nem rossz ember – és nem azt mondom, hogy mi is benne voltunk. Az ügyvéd önmagában nem gyanúsítható bűncselekmény elkövetésével, de El Chapo, aki bűnöző, fel fogja hívni az ügyvédjét, és az egyetlen módja annak, hogy elkapjuk, az ügyvédjének elfogása.” Ez az a fajta ügy, amit könnyű felhozni. Gyilkos drogbáró, extrém rendőri akció, címlapfotók. De a legtöbb visszaéléssel kapcsolatos vád nem hasonlít az El Chapo-ügyre. Az Öböl-menti országokat többször vádolták azzal, hogy a Pegasust politikai ellenzék célpontjaira használják, ami később koholt vádakat eredményezett a királyi családok megsértése vagy hasonló esetek miatt.

“Nagyon kemény kérdéseket teszünk fel, amikor eladunk egy rendszert, de nem vagyok biztos benne, hogy mindenki ezt teszi” – mondja. “Nekem nem okoz gondot, hogy leüljek egy ország védelmi minisztere, a rendőrség vagy a titkosszolgálat vezetője elé, és megkérdezzem: Mi értelme van ennek? Mi a cél? Mi a küldetés? Mik a nyomozások? Milyen eljárást alkalmaznak? Hogyan elemzi az adatokat? Kinek kell jóváhagynia az egyes célokat? Mi a törvény az adott országban – hogyan működik? Olyan kérdések, amelyek sok vállalatot nem igazán érdekelnek. Van egy üzletük – el akarják adni. Eladják, mert ez jó pénz számukra.”

Megérkeztünk ismét a titkolózás sűrű szövevényébe. A pénz áramlik, a visszaélések folyamatosan történnek, és a hacker-eszközök egyre szaporodnak: ezt senki sem vitatja. De ki a felelős azért, ha brutális önkényuralmi erők kezébe kerülnek a legmodernebb kémprogramok, amelyeket az ellenfelek ellen használnak? Egy amúgy is árnyékos világ egyre sötétebbé válik, és egyre nehezebb válaszokat találni.