דו"ח טכנולוגיפועלות בסתר: מה משותף לאפל, גוגל ו-NSO?
דו"ח טכנולוגי
פועלות בסתר: מה משותף לאפל, גוגל ו-NSO?
החברה הישראלית - אולי חברת הטכנולוגיה המדוברת ביותר בעולם בשבוע שעבר - זכתה לביקורת בנושאים רבים, כולל על היעדר השקיפות המוטמע בפעילותה. אבל יש עוד שני גופים שזכאים לביקורת בנושא: חברות הענק, השחקניות הפחות מדוברות בפרשה האחרונה ומפתחות המכשירים ש-NSO מנסה ומצליחה לפרוץ - אפל וגוגל
ייתכן ש-NSO היתה, שלא בטובתה, חברת הטכנולוגיה המדוברת ביותר בעולם בשבוע האחרון. היא בוודאי היתה חברת הטכנולוגיה הישראלית שזכתה לסיקור הרחב ביותר. פרויקט פגסוס של אמנסטי וקונסורציום העיתונאים פורבידן סטוריז, למרות הקשיים ואי-הבהירות סביב רשימת 50 אלף מספרי הטלפון שבמרכזו, התפוצץ כמו שאף אחד מעשרות החשיפות והתחקירים שפורסמו על NSO בחמש השנים האחרונות התפוצץ.
בכירים בכל העולם גינו את החברה ואת השימוש שהיא מאפשרת במוצריה, מדינות שונות ובראשן צרפת הכריזו על פתיחה בחקירה. בהודו, התקשורת הארצית עסקה בחשיפה באובססיביות, כשערוצי החדשות מדווחים על הפרשה במשך שעות ארוכות – הזווית של האם מדובר בחשיפה מסוכנת או ברשימה מפוברקת היתה תלויה בעיקר בהטיה הפוליטית של כלי התקשורת. אפילו הדיונים בפרלמנט, אמרו לי עיתונאים מקומיים, שובשו בעקבות החשיפה.
עיקר הביקורת עסקה, כמובן, ב-NSO. במעשים שמאפשרת החברה, ובמידה מסוימת גם בהעדר הפיקוח הרגולטורי עליה בישראל, תוצאה של התכנסות אינטרסים בין הרגולטור, משרד הביטחון, ל-NSO. הבט נוסף של הביקורת עסק בהיעדר השקיפות שמוטמע בפעילותה של NSO, ושכתוצאה ממנו אין אפשרות אמיתית לפקח על החברה באופן עצמאי או לאמת את הטענות השונות שהיא מספקת בתגובה לביקורת. יכול להיות, אם כי לא סביר, שכל הפרסומים על NSO הם שקרים מנוולים. בלי שקיפות אמיתית, קשה מאוד לרדת לעומקן של טענות החברה.
אבל בכל הנוגע לשקיפות, יש מקום לביקורת לא רק כלפי NSO. גם אמנסטי ופורבידן סטוריז לא עשו די כדי להבהיר את מקור הרשימה שבמרכז החשיפות שלהם והאופן שבו היא נקשרה לחברה (ובמקור הרשימה, הכוונה היא למאיפה היא דלפה, לא מי הדליף אותה). הסברים כמו זה ששמעתי מדובר אמנסטי ישראל, גיל נוה, לפיהם פרטים אלו לא נחשפים "משיקולי אבטחת מידע והגנה על מקורות" אינם מספקים כשמדובר בתחקיר עיתונאי. בטח כאשר הגוף שמנגד נוקט בטקטיקה דומה.
ויש עוד גופים שזכאים לביקורת בכל הנוגע להיעדר שקיפות מספקת בפעילותם, הצד הנוסף והפחות מדובר בפרשה הזו: אפל וגוגל, מפתחות המכשירים ש-NSO מנסה ומצליחה לפרוץ. התחקיר, כך דיווחו כמה כלי תקשורת, יצר לחץ חדש על החברות להתמודד עם בעיות אבטחת המידע בפלטפורמה שלהן, אחרי שמשתמשים רבים, במיוחד באייפון, הופתעו לגלות שהם לא בטוחים כפי שסברו. לא ברור למה זו היתה הפתעה כזו גדולה. פרצה לסמארטפונים, ובמיוחד לאייפון, היא סיבת קיומה של NSO, זה מה שהחברה עושה. לא צריך להיות מופתעים מכך שהיא עושה את זה בהצלחה, במיוחד מכיוון שכל זה היה ידוע כבר בחשיפה הראשונה של סיטיזן לאב על פעילות NSO.
אבל התחקיר כן חידד ביקורת על הבט בעייתי באופן הפעילות של אפל וגוגל, שמקל על NSO לפרוץ למערכות ההפעלה שלהן ומקשה על מומחי אבטחה לזהות ולבלום מתקפות כאלו. והוא זהה לחלק מהביקורת שמוטחת ב-NSO: העדר שקיפות. לפי דיווח של מגזין וויירד, מזה זמן רב מבעבעים מתחים בין אפל לקהילת אבטחת המידע, סביב המגבלות על יכולתם של חוקרים לבצע חקירות פורנזיות במכשירי iOS ולשלב בהם כלי ניטור. לדברי מומחים, יותר גישה למערכת ההפעלה יכולה לסייע לתפוס יותר מתקפות בזמן אמת, ולהבין טוב יותר איך הן עובדות.
במצב הנוכחי, מומחים נאלצים להסתפק במספר מוגבל של אינדיקטורים, ובג'יילברייק האקראי – פרצה שמפורסמת בפומבי ומאפשרת למשתמשים לעקוף את המגבלות שמטילה אפל על התקנת אפליקציות באייפון. אנדרואיד אמנם פתוחה יותר, אבל גם היא מטילה מגבלות על היכולות של חוקרים לצפות בתהליכים פנימיים. התמודדות יעילה עם רוגלות דוגמת פגסוס, אמרו חוקרים למגזין, דורשת הרשאות למערכת הקבצים של המכשיר, יכולת לבחון אילו יישומים רצים עליו, גישה לקבצי מערכת ולנתונים נוספים.
אפל ספגה את מרבית הביקורת בשבוע האחרון, גם כי אנשים מצפים ליותר מהחברה שהפכה את הפרטיות ואבטחת המידע לנקודת שיווק מרכזית שלה, וגם מכיוון שמבין 37 המכשירים שעליהם זוהו סימנים לפגסוס, חלק גדול יותר היה מתוצרת החברה, אף שלאנדרואיד נתח שוק גדול הרבה יותר מלאייפון. ואולם, לדברי אמנסטי, לא מדובר בהכרח בתוצאה של אבטחה פחותה באייפון, אלא דווקא בקלות הגדולה יותר שבה ניתן לזהות אינדיקטורים למתקפות על הסמארטפון של אפל. "יש הרבה יותר סימנים פורנזיים שנגישים לחוקרים על מכשירי iOS של אפל מאשר על מכשירי אנדרואיד, ולכן המתודולוגיה שלנו התמקדה בראשונים. כתוצאה, רוב מקרי ההדבקה האחרונים של פגסוס היו באייפון", כתב הארגון בדו"ח הטכני המקיף שלו.
מדובר בראיה משמעותית לחשיבות של פתיחת גישה רחבה יותר לחוקרי אבטחה, כזו שתאפשר לקהילה מסורה לזהות בקלות מתקפות אפשריות ולפתח כלים שיסייעו לבלום אותן. בחברות, עם זאת, מהססים לספק גישה כזו מסיבות מובנות. "בשעה שאנו מבינים שלוגים עקביים יסייעו לשימושים פורנזיים כמו אלו של חוקרי אמנסטי, הם גם יסייעו לתוקפים", נמסר מגוגל לוויירד. (אפל מסרה תגובה שלא מתייחסת ישירות לביקורת על החברה שמעלה המגזין, ולכן אין טעם להביא אותה כאן).
ואולם, חוקרים סבורים שניתן לאזן בין גישה ליותר אינדיקטורים מערכתיים, להקלה על עבודתם של תוקפים. "יש הרבה שאפל יכולה לעשות, בדרך בטוחה, כדי לאפשר בחינה והדמייה של מכשירי iOS כדי לתפוס התנהגות רעה מסוג זה, אבל לא נראה שמדובר במשהו שנמצא בעדיפות גבוהה מבחינתם", אמר לוויירד חוקר האבטחה וויל סטארפאך. "אני בטוח שיש להם סיבות הגיוניות לזה, אבל זה משהו שאני לא מסכים אתו ואשמח שישתנה".
לא כולם מסכימים בהכרח לגישה זו. תומאס ריד, מנהל פלטפורמות מובייל ומק במפתחת האנטי-וירוס Malwarebytes, אמר שהוא מסכים שיותר תובנות לאופן הפעולה של iOS ישפרו את ההגנה על משתמשים, אך הוסיף שמתן גישה מיוחדת לתוכנות ניטור מגיעה עם סיכונים משלה. לדבריו, במק יש כיום תוכנות חשודות ולא רצויות שאנטי-וירוסים לא יכולים להסיר לחלוטין, מכיוון שהמערכת נותנת להם גישה מיוחדת, ייתכן שבטעות. "אותה בעיה עלולה להתעורר ב-iOS", הזהיר ריד בשיחה עם וויירד. "אנחנו כל הזמן רואים שרוגלות שמפתחות מדינות מתגלות על מערכות דסקטופ אחרי שנים שבהן פעלו ללא הפרעה. ואלו מערכות שכבר יש להן הרבה פתרונות אבטחה זמינים. הרבה עיניים שמחפשות רושעה עדיפות על מעט, אבל אני חושש ממה שנוותר עליו בתמורה לנראות".
החששות הללו מוצדקים, אבל יכול להיות שאין ברירה אלא להתמודד איתם. בכל הנוגע למה שקורה בטלפון שלנו, מדובר במידה רבה בקופסה שחורה ומסתורית. קשה לחדור אליה, עוד יותר קשה לפענח מה קורה שם. אמנם קשיים אלו רלוונטיים גם למפתחי הרוגלות דוגמת NSO, אבל הם מצויידים בתקציבים של עשרות מיליוני דולרים ובמפתחים המיומנים והטובים בתחומם בעולם, יוצאי יחידות דוגמת 8200. הם יכולים לעשות מה שמפתחים מהשורה או ארגונים כמו אמנסטי יתקשו.
במצב הנוכחי, שני הצדדים – מפתחות הרוגלות ומפתחות מערכות ההפעלה – פועלים בחשאיות מרבית. זה מקשה על שאר העולם – משתמשים, חוקרי אבטחה, מדינות, רגולטורים – לדעת מה באמת קורה שם. עד כמה הרוגלות דוגמת פגסוס נפוצות ואיך הן פועלות. הרמת המסך לא נטולת סיכונים לחלוטין, אך ההטבות שיכולות להיות לה בחשיפת הפעילות של תעשייה זו, ואולי גם הגבלת פעילותה באופן משמעותי, מגמדות את הסיכונים האפשריים. או לכל הפחות, מצדיקות דיון מעמיק בנושא, ולא תגובות מתחמקות מצד אפל וגוגל.