תחקיר NSO והמשטרהבשם ההכחשה: כך מסתירה פגסוס את עקבותיה
תחקיר NSO והמשטרה
בשם ההכחשה: כך מסתירה פגסוס את עקבותיה
כל ועדת חקירה שתקום, אם תקום, תתקשה לעקוב אחר שיטת ההפעלה של פגסוס, שמרחיקה ככל האפשר את התוקף מהקורבן ומאפשרת להכחיש את הפריצה. המערכת לא מותקנת במחשבי התוקף אלא בענן של NSO, היא משתמשת בשרתים זרים במדינות שלישיות ולא פחות חשוב: היא יכולה להעלים את פעילותה
עדכון 31.7.2024: כלכליסט ו־NSO מסרו לבית המשפט הודעה מוסכמת על סיום ההליך המשפטי
במסגרת תביעת לשון הרע שהגישה NSO נגד כלכליסט, הגיעו הצדדים באמצעות הליך גישור שהתנהל לפני המגשר עו"ד אלי לוינזון־סלע להודעה מוסכמת כדלקמן:
במהלך מספר שבועות בראשית 2022 פרסם כלכליסט סדרת פרסומים תחת הכותרת "NSO בשירות משטרת ישראל" במסגרתם נחשף לראשונה השימוש שעשתה משטרת ישראל בכלים טכנולוגיים לחדירה אל מכשירי טלפון והעתקת תוכנם.
במסגרת סדרת פרסומים זו פורסמה בין היתר ביום 10.2.2022 כתבה של עומר כביר שבה הוצגו טענות לגבי מאפיינים טכנולוגיים של מוצרי חברת NSO, ובהן טענות בהקשר ליכולות שיבוש לכאורה של מנגנון תיעוד הפעולות (Audit Log).
במהלך הליך הגישור כלכליסט קיבל את הבהרות החברה לפיהן טענות שפורסמו ביחס למאפיינים טכנולוגיים של מוצרי חברת NSO היו מוטעות. בעקבות זאת הסכימה חברת NSO לסיים את ההליך המשפטי.
* * *
האם חקירה פנימית או חיצונית של המערכת המשטרתית שבאמצעותה הופעלה תוכנת הריגול פגסוס של NSO הישראלית יכולה לחשוף את היקף השימוש המלא במערכת ואת כל המטרות שהותקפו באמצעותה? במשטרת ישראל טוענים שכן, וצוות הבדיקה של משרד המשפטים אף הציג לראש הממשלה נפתלי בנט דו"ח ראשוני, שמבוסס על התיעוד שיצרה מערכת זו, ממנו עולה שרק בין שלוש לחמש מטרות מתוך רשימה של 26 יעדים אכן הותקפו באמצעות פגסוס. הבדיקה כללה שמות שהופיעו ב"כלכליסט" ושמות נוספים שלגביהם נעשתה בדיקה יזומה, כמו למשל חיים כץ. ואולם, מקור שמכיר את מערכת פגסוס ואת הארכיטקטורה שלה מקרוב מאוד אומר ל"כלכליסט": המערכת של NSO בנויה על עקרון ה־Deniability (התכחשות), ובין השאר מאפשרת למפעיליה למנוע תיעוד מקומי של הפעולות שהיא מבצעת. המשמעות היא שלאחר מעשה אין כל אפשרות לדעת נגד מי הופעלה המערכת ומתי.
במרכז הדיונים סביב הקמת ועדת חקירה לבחינת השימוש שעושה המשטרה בפגסוס עומדת ההבנה שבאמצעות בחינת המחשבים המשטרתיים והתיעודים שנשמרו עליהם, ניתן יהיה לחשוף את היקף השימוש בתוכנת הריגול ואת היעדים שלה בפועל. הבנה זו נסמכת גם על הצהרות עבר של NSO, שלפיהן המערכת שומרת תיעודים מלאים של פעילותה (לוגים) שהלקוח לא יכול למחוק, לשנות או למנוע את תיעודם. הצהרה זו, אומר לנו המקור, כנראה אינה נכונה. “הסיפור האמיתי הוא לא פשוט. המערכת של פגסוס נבנתה כדי לא לתעד”, הוא אמר.
לשמור מרחק מהקורבן
פעולה דרך שרתים במדינות זרות
על מנת להבין את הקושי שבחקירת השימוש בפגסוס צריך קודם להבין את טענות NSO לגבי אופי המערכת ואת אי־הדיוק המובנה בהן. ראשית, NSO טוענת שהמערכת מותקנת ומופעלת באופן מקומי באתר הלקוח, וכי לה אין גישה ישירה לפעילותה, למידע שהיא מייצרת ואוספת, לזהות המטרות או לתיעוד שלה. שנית, NSO טוענת שהמערכת שומרת תיעוד מלא ומפורט של הפעולות שביצעה. לטענתה, תיעוד זה מאפשר לחברה, בשעת הצורך, לבדוק האם נעשה במערכת שימוש אסור.
ואולם, לפי המקור, טענות אלו זרות לאופן הפעילות של המערכת בפועל, וחלקן אף אינן אפשריות מבחינה טכנולוגית. "בעולם של פגסוס, NSO משווקת ללקוחות את היתרון שקורבן המתקפה לא יכול אף פעם למצוא ראיות שישייכו את הדבקת המכשיר שלו לגורם המפעיל", הוא אמר.
אפשרות ההתכחשות הזו, ה־Deniability, מתחילה כבר משלב החדירה למכשיר הקורבן. "NSO יצרה שיטת הדבקה שבה אין תקשורת בין הלקוח התוקפן לטלפון הקורבן, וההדבקה מתבצעת דרך שרת צד ג'. איך זה קורה? ההדבקה הקלאסית מנצלת חולשה ברשת הטלפוניה הבינלאומית. כל המפעילים הם חלק מרשת אחת, כדי שטלפונים ממדינה אחת יוכלו לתקשר עם טלפונים ממדינה אחרת. כל מפעיל יכול לתשאל מפעיל אחר לגבי המנויים שלו. NSO רכבו על הפרוטוקל הזה, והשתמשו ברישיון של מפעיל זר כדי להיכנס לרשת ולבצע את ההדבקה משרת שתוחזק על ידי אותו מפעיל. אין תקשורת בין יחידת הסיגינט של משטרת ישראל לטלפון היעד. נשלחת הוראה לבצע הדבקה משרת חיצוני זר, שממנו מתבצעת ההדבקה. אין יכולת לשייך בין אקט ההדבקה הראשוני לבין מי שביקש אותה, כי האקט הראשוני קרה מתוך שרת זר שלא שייך למדינה המפעילה שממנה בוצעה ההדבקה".
לטשטש את העקבות
לקוחות יכולים לבחור אם לשמור תיעוד
היבט אחר הוא תיעוד הפעולות שעושה פגסוס. המשטרה תוכל לטעון בוודאי שבצד המפעיל של פגסוס, ביחידת הסיגינט, נשמר כל המידע הרלבנטי: מי היעדים, מה הפעולות שבוצעו עליהם, איזה מידע נאסף, אילו עיבודים נעשו עליו ועוד. "משטרת ישראל תגיד שהיא מעמידה לרשות כל ועדת חקירה את מסוף המפעיל כדי לחקור את כל הלוגים. NSO עשויה להגיד שהיא מוכנה לחלץ את כל הלוגים ולהראות את כל מה שבוצע במערכת, כי המערכת שלה נבנתה כך שכל פעולה שבוצעה זוכה לתיעוד מלא בלוגים - והתיעוד הזה לא ניתן לשינוי או לשיבוש, מאחר שהמטרה של הכלי היא לעמוד בצווים משפטיים.
לפי המקור שמכיר היטב את המערכת, זו טענה בעייתית. "מה כן קורה במערכת של NSO? היו כמה מקרים בעבר שבהם גורמים מדינתיים באו לחברה ואמרו: עלול להיות מצב שבו מישהו יעלה טיעון בהליך משפטי, ‘מאיפה קיבלתם מידע מסוים?’, וזה ישרוף לנו מודיעין. מדינות חששו שיבקשו מהן לוגים, מה שיוביל לחשיפת יעדים משטרתיים. זה יכול להרוס חקירות או תיקים סבוכים של גופי מודיעין. גופי המודיעין של אותן מדינות אמרו שהם ממש לא מעוניינים לשמור לוגים, כדי למנוע סכנה של חשיפת מידע במקרה שהמערכת נופלת לידיים זרות או שמישהו מבפנים מדליף מתוכה. היו שליטים שחששו שחילופי שלטון ינוצלו לחשיפת התיעוד ורשימת הנעקבים.
"לכן, NSO אפשרה ללקוחות לבחור בין מערכת שיש בה לוגים לבין מערכת שאין בה לוגים ואינה מותירה עקבות. יש גרסאות של פגסוס שאין בהן בכלל לוגים. גרסאות שבהן לאורך כל הפעלת המערכת אין תיעוד של מי הפעיל ומה עשה.
בשלב מסוים נולד צורך במערכת היברידית, שיש בה לוגים אך בתרחישים מסוימים ניתן לכבות אותם. זאת כי במקרים מסוימים מדינות רצו תיעוד של חקירה לצורך הצגת ראיות בבית משפט, אך במקרים שבהם תיעוד יכול להוות סיכון הן רצו אפשרות שלא תשאיר לוגים. NSO עשתה את זה, ובנתה את פגסוס כדי שתהיה לה מערכת לוגים חלשה.
"היכולת הזו מגיע היום כברירת מחדל כשנרכשת מערכת פגסוס. המערכת מאפשרת למפעיל לכבות לוגים, וכך נוצרת מערכת שיש בה לוגים חלקיים. אי אפשר למחוק לוגים בדיעבד, אבל אפשר לבחור אם לתעד או לא, וגם מה יתועד. ואם לא תועד דבר, אין גם תיעוד במערכת שיראה שהיה לוג שלא נשמר (כמו, למשל, כשמוחקים הודעה בווטסאפ, ואז נכתב שנמחקה הודעה; ע"כ). נוצר למעשה לוג פיקטיבי לחלוטין. מי שבוחן אותו לא יכול לדעת אם השתמשו במערכת אלף פעמים או רק בחמש הפעמים שמופיעות בלוג. ו־NSO מבטיחה ללקוחות שמה שלא נשמר בלוג, לא ניתן לשחזר מתוך ניתוח של השרת שממנו מופעלת המערכת".
המידע נמצא בענן של NSO
בדיקה של מחשבי המשטרה לא תספיק
מה שמוביל להיבט השלישי בארכיטקטורה של פגסוס: המערכת לא פועלת מהמחשב המשטרתי שיושב ביחידת הסיגינט, אלא משרת ענן מרוחק שנמצא בשליטת NSO. "המסך של המפעיל הוא ‘חארטה’, כי זו ארכיטקטורת ענן", אמר המקור. "התוכנה לא מותקנת אצלו, והוא מתחבר לשרת שקיבל אליו הרשאת גישה ושעליו רצה התוכנה. NSO לא מתקינים את המערכת באתר הלקוח כי מתים מפחד שמישהו ייקח אותה ויעשה הנדסה לאחור. החיבור לענן נועד גם למנוע מצב זיהוי של המפעיל על בסיס ניתוח תעבורה. המפעילים מתחברים לקונסולת ניהול שיושבת בענן, וכל העבודה מתבצעת בה.
"הציבור מצפה שאם המשטרה שיקרה לגבי השימוש בפגסוס, שיימצאו אצלה שרתים ענקיים עם מאות אלפי רשומות על אנשים. בפועל, כדי למנוע מצב כזה, כל המידע שנשאב מהמטרות מועבר לשרת ביניים, שבו יושבים כל קבצי המטרה, ושם נשמר מאגר המידע. כששוטר מריץ שאילתה היא לא רצה אצלו, כי הדאטה לא אצלו. השאילתה נשלחת לענן. יש ניתוק בין מי שמפעיל את השאילתה למקום שבו המידע נאסף. אצל המפעיל יש רק קונסולת ניהול רזה, שיכולה לתעד או לא לתעד דברים כהגדרת המפעיל, אבל גם אם כן, היא מתעדת אירועים שקרו במחשב אחר. היא לא בודקת בתוך המחשב עצמו את הפעולות. כך שגם אם נופל מחשב ההפעלה, הוא מחשב טיפש. הדאטה של החקירה לא יושב במשטרה".
לדברי מומחה פורנזי, אופן פעולה זה גם מגביל את היקף התיעוד שנשמר במחשב המשטרה, במידה שנשמר. "היכולת של המפעיל ליצור לוגים מוגבלת למה שהטרמינל (מחשב הקצה שאיתו הוא מתחבר לענן) רואה", הסביר. "בטרמינל אפשר לתעד רק פעולות שבאות מהטרמינל. אבל יש שורה של פעולות שקורות בענן, פירורי לחם של הדבקה והעברת מידע. הלוגים החשובים בכלל לא נמצאים בטרמינל".
כלומר, הטרמינל המשטרתי אולי יתעד בקשה לתקוף מספר טלפון מסוים, אבל כל הפעולות שנעשות בשרת לאחר בקשה זו — המידע שנשלח למכשיר היעד, התגובה שלו, המידע הראשוני שהתקבל ממנו ועוד — אלו יהיו בכלל רק בלוג שנשמר על שרת הענן של NSO, במידה שאכן נשמר לוג כזה. "גם אם יש לך לוגים במערכת, יכול להיות שהלוג הוא מאוד רזה ביחס למה שהמערכת יכולה לייצר בשרת", אמר המומחה.
גיא ברנהרט־מגן, סמנכ"ל טכנולוגיות ב־Profero, שמתמחה בניתוח אירועי סייבר, הסביר ל"כלכליסט": "אם חוקר מבקש לתקוף 100 מספרי טלפון, והמערכת תנסה את 100 מספרי הטלפון אך תמצא רק שלושה, ייתכן שיהיה בטרמינל של המשטרה תיעוד רק של השלושה. אבל בצד של NSO יש את התיעוד של כל המספרים והפעולות שנעשו. מה שמעניין זה לאן נשלחה הודעת הדבקה, האם היא הצליחה, האם נמשך משהו מהמכשיר".
את מי לבדוק?
אין ברירה - לכלול את NSO
מה זה אומר על חקירת השימוש של המשטרה בפגסוס? ראשית, שאי אפשר להסתפק בחקירת הטרמינל המשטרתי והתיעודים שבידי המשטרה בלבד. "כדי לדעת מה יש, צריך גישה למערכת NSO. צריך לתחקר את המערכת שלה", אמר המקור. חקירה כזו צריכה לכלול ניתוח פורנזי של המערכת על ידי מומחים עצמאיים, על מנת שיאתרו עדויות להיקף השימוש.
גם חקירה כזו עלולה להיתקל בקשיים, שכן לדברי המקור, NSO מבטיחה ללקוחותיה שגם בשרת לא נשמר לאורך זמן תיעוד של פעולותיהם. כלומר, ייתכן שגם בשרתי הענן של NSO לא נשמר תיעוד מלא של פעולות הלקוחות. ואולם, בכל מקרה, אי אפשר יהיה לרדת לשורש האמת בלי ניתוח ובדיקה של שרתים אלו.