A Pegasus csak egy a sok közül, hamis bizonyítékok elhelyezésére alkalmas kémprogramok is vannak

A „tiszta” kiberbiztonsági cégek ne alkalmazzanak olyan szakembereket, akik korábban kémszoftvert is gyártó cégnél dolgoztak. Ezt a kezdeményezést egy, a Pegazus-botrány kitörésekor zárult, Tel Avivban tartott konferencián javasolta egy nemzetközileg elismert szakember. Iftach Ian Amit azért szólította meg a szakmát, mert az egyhetes – tudományos kutatók, szakmabeliek és több izraeli kormánytag részvételével rendezett – eseményen senki nem foglalkozott az addigra épp kibontakozó Pegasus-botránnyal. Interjú. 

Nem volt szó az addigra az egész világot érdeklő megfigyelési botrányról a Tel-Avivi Egyetem és a biztonsági szakma által szervezett konferencián júliusban, pedig az izraeli kormány több tagja is  felszólalt a rendezvényen. Ezt nem akarta annyiban hagyni a rendezvény záró előadását tartó, Mr. Cyber-ként a színpadra hívott ismert biztonsági szakértő, aki előadásában azt javasolta a megjelent cégeknek:

78%

Év végéig még

22 503 995 forint

hiányzik a

költségvetésünkből.

Támogasd az Átlátszó

tényfeltáró munkáját!

atlatszo.hu/tamogatom

a jövőben ne alkalmazzanak olyan szakembert, aki korábban illegális gyakorlatot folytató kémszoftver-gyártó cégnél is megfordult.

Iftach Ian Amit korábban hivatásos hackerként kereste a biztonsági réseket cégek védelmi rendszerében. Jelenleg a Cimpress nevű cég biztonsági főigazgatója, korábban több nagy nemzetközi cégnél  is dolgozott biztonságért felelős vezetőként (Amazon AWS , ZeroFOX , IOActive, Aladdin, stb.).

A kémszoftver-ipart belülről ismerő szakember a területet akkor hagyta ott, amikor egy a Pegasushoz hasonló terméket rendelt az akkori munkahelyétől egy dél-amerikai diktatúra. Bár ez a szoftver végül nem készült el, Amit kifogásolta, hogy az egyértelműen kétes legitimitású termék gyártására, forgalmazására gyorsan és akadály nélkül engedélyt adott az izraeli hatóság.

Iftach Ian Amit

• Miért döntött úgy, hogy a konferenciát záró beszédében arra hívja fel a szakmát, hogy ne alkalmazzanak olyan szakembert, aki illegális  ügyletekbe bonyolódó kiberbiztonsági cégeknél dolgozott?

Ezt az elvet én már régóta gyakorlom magam is, és a konferencia során nem igazán foglalkoztak ezzel a témával. Pedig a konferencia hetén rengeteg hír jelent meg az NSO-ról és a Pegasusról, de a nagyon magas rangú kormánytisztviselők által tartott beszédek közül egyik sem foglalkozott a kémprogramokat gyártó cégekkel kapcsolatos problémákkal, ezért gondoltam, hogy fontos beszélnem erről.

• Ön is dolgozott már az NSO-hoz hasonló profilú, kémszoftvert gyártó vállalatnál?

Nem volt közvetlen tapasztalatom ezekkel a termékekkel kapcsolatban, soha nem készítettem vagy adtam el olyan programot, mint a Pegasus, de dolgoztam egy tanácsadó cégnél, és az ott töltött időm vége felé a cég új üzleteket keresett, és olyan típusú ügyfelekkel kezdett el foglalkozni (dél-amerikai szervezetekkel), mint amilyeneknek az NSO, a Finfisher és a Hacking Team dolgozik. Röviddel azután, hogy elkezdtük fejleszteni ezt a terméket, én kiléptem.

Amint láttam, hogy kik az ügyfelek és a közvetítők ebben a szektorban, és hogy mi a feladat, azt gondoltam, hogy ez nem nekem való, kiszállok.

• Kik a közvetítők? Cégek vagy magánszemélyek?

Kis cégek és magánszemélyek, akik nemzetbiztonsági szolgálatoknál, a rendőrségnél, a katonaságnál vagy kormányzati szerveknél szereztek tapasztalatot.  Ez egy eléggé kétes hírű társaság.

• Sok olyan eszköz áll rendelkezésre, mint a Pegasus és a Candiru? Mit gondol, miért kapott a Pegasus sokkal nagyobb figyelmet, mint a Candiru?

Nem tudom, miért „hanyagolták” el a Candiru-t, tulajdonosi szerkezetük révén amúgy is testvérvállalatok. Természetesen vannak más hasonló cégek is, csak történetesen az NSO a leghangosabb, és valószínűleg a legagresszívebb. A merészségük, a kétes ügyfelekkel való együttműködésük és az értékesítési stratégiájuk miatt, s mert bárkivel és bármivel hajlandóak együttműködni. Biztos vagyok benne, hogy a Candiru, a Hacking Team, a Black Cube és még sokan mások is foglalkoznak különböző, megkérdőjelezhető hitelességű ügyfelekkel, de az NSO valószínűleg a legnagyobb köztük.

Ez a cég alapvetően arra az elvre épült, hogy hajlandóak együttműködni bármilyen kormánnyal, amelyik ilyen eszközöket akar beszerezni.

• Változik valami a Pegasus-ügy leleplezése miatt? Esetleg kevesebb kísérlet lesz a törvénytelen kémprogramok használatára?

Nem hiszem, hogy nyugodtan hátradőlhetünk. Nem akarom kiemelni az NSO-t vagy a Pegasus-t, ők csak egy példa, amelynek nagy hatása van erre az iparágra. Úgy gondolom, hogy nekünk az ilyen tevékenységekben részt nem vevő civileknek nemcsak e cégek miatt, hanem az egész iparág miatt aggódnunk kellene. Persze, ezek között a cégek között is van sok, amelyik törvényesen működik, és nem hajlandó akármilyen ügyfelet bevállalni, de összességében az iparág elmozdult a megkérdőjelezhető gyakorlatok felé –

olyan cégek vezetésével, mint az NSO, Hacking Team, FinFisher, amelyek jól ismertek arról, hogy feszegetik a határokat.

Ugyanis nem sok olyan modern demokratikus kormány van, amelytől megrendelésre számíthatnak, ezért újra kellett definiálniuk a piacot, és bővíteniük a potenciális ügyfelek körét, más rezsimek felé kellett fordulniuk. És ez üt most vissza: azokat az eszközöket, amelyeket megkérdőjelezhető kormányoknak adtak el, most ellenünk vetik be.

• Mit gondol, miért éppen most derült fény az NSO/Pegasus-ügyre?

Az ezzel kapcsolatos kutatások már régóta folynak, az időzítés nem tudatos választás eredménye. Mivel ez egy nagyrészt szabályozatlan iparág, nagyon szabadon működhetett, így egyre több és több olyan ügyfelet gyűjtött össze, akik hajlandóak voltak felülírni az emberi és polgári jogokat, s az „áldozatok” száma folyamatosan emelkedett ezeknek a rendszereknek köszönhetően. Sok incidens volt már korábban is, és biztos vagyok benne, hogy a jövőben is  lesz.

A Nemzetbiztonsági Szakszolgálat is használja a FinFisher kormányzati kémprogramot | atlatszo.hu

A Nemzetbiztonsági Szakszolgálat is használja a FinFisher kormányzati kémprogramot

• Hogyan reagált az izraeli NSO kémszotfver-ügyére a helyi közvélemény?

Több tudósítás is foglalkozik ezzel az üggyel itt is, de hivatalos reakció nem nagyon volt. Csak néhány esetben hallottam hivatalos véleményt, amikor külföldi kormányok kértek felvilágosítást vagy vizsgálatot a Pegasus vagy a Candiru-ügy kapcsán. A legutóbbi esetben Franciaország kereste meg az izraeli hatóságokat,  s a válasz  csak annyi volt, hogy „vizsgáljuk az ügyet”, ami lényegében azt jelenti, hogy „NEM vizsgáljuk az ügyet, csak hagyjanak minket békén”.

Amennyire én tudom, egyesek egyáltalán nem lepődtek meg a botrányon, mondván, hogy „ha valaki fát vág, szálkás lesz a keze”. Mások azt mondják, hogy nem elfogadható, ha egy kormány félrenéz amikor ilyen történik, mert ez az iparág tele van volt katonákkal, volt kormányzati emberekkel, akiket ellenőrzés nélkül hagynak működni, és persze, a végén a legmagasabb ajánlattevőnek gyanús dolgokat is megcsinálnak.

Más megkérdőjelezhető iparágakhoz (spam, adware, online szerencsejáték, binary trading, crypto) hasonlóan, amelyek a múltban elterjedtek itt, ezzel is foglalkozni kellene. Nem jó érzés, amikor Izraelt a kémprogramok gyártói és olyan cégek kapcsán emlegetik, amelyek bármit megtesznek azért, hogy versenyképes szolgáltatók lehessenek a hírszerzésben.

Így védekezünk a Pegasus ellen: senki nem tudja kideríteni, hogy kitől kaptuk a tippet | atlatszo.hu

Ebben a konkrét esetben a MagyarLeaks szupertitkossága inkább kihívást jelentett az újságírói munkában. Az ismeretlen szülő ugyanis nem nevezte meg az intézményt, ahova a gyereke jár. Csak annyit írt: esztergomi egyházi iskoláról van szó. Szívesen megkértük volna, hogy pontosítsa, melyik intézményről ír, de miután elérhetőséget nem hagyott, egyszerűen nem volt semmilyen módunk arra, hogy meg tudjuk keresni.

• Ön szerint várható változás a mostani botrány után? A cikk, amiben először olvastam az Ön beszédéről, azt állította, hogy kevés vállalat tűnt lelkesnek a kezdeményezése iránt, miszerint megtagadnák azoknak az embereknek a foglalkoztatását, akik megkérdőjelezhető gyakorlatot folytató kém-programgyártó vállalatnál dolgoztak.

Nem hiszem, hogy lesz. A kémprogram-ipar többek között azért tart ott, ahol tart, mert ragaszkodik a látszólagos szabályozottsághoz. Minden alkalommal, amikor egy ilyen cégnek válaszolnia kell egy megkeresésre, az első válasz az, hogy „minden, amit teszünk, a kormány ellenőrzése és jóváhagyásával történik”. Azt mondják ilyenkor, hogy „nem a mi hibánk, a védelmi minisztériumtól stb. kaptunk jóváhagyást arra, hogy ezt a terméket eladhassuk az ügyfeleinknek”.

Amikor az egyik ilyen, kémprogramokat is gyártó cégnél dolgoztam, én voltam felelős az engedélyek megszerzéséért. Pontosan tudom, hogy ez csak egy pecsét. Én is könnyen megkaptam egy olyan termékre, amely még nem is létezett. Pedig kifejezetten megmondtam a hatóságnak, hogy milyen képességekkel rendelkezik, és ki volt a tervezett ügyfél (egy dél-amerikai szervezet), mégis néhány napon belül megkaptam a jóváhagyást.

Most azért indítottam el ezt a kezdeményezést, mert nem hiszem, hogy a szabályozás változni fog, ha változást akarunk, annak az iparágon belülről kell jönnie, kikényszerítve azt a munkavállalói kínálat korlátozásán keresztül. Egy fiatal biztonsági szakember, akinek lehetősége van egy ilyen céghez csatlakozni, talán akkor jobban meggondolja, hogy elfogadjon-e egy ilyen állásajánlatot, ha tudja, hogy utána többé nem tud elhelyezkedni az iparág törvényesen működő részében.

Mexikóban több újságírót megöltek, akik szerepeltek a Pegasus célpontjai között

Mexikó volt az első állam a világon, ahol bevetették az izraeli NSO cég Pegasus nevű kémszoftverét. A július közepén megismert adatok alapján tudható, hogy majdnem minden harmadik megfigyelt ember mexikói állampolgár. Hogyan tudta a korrupt hatalom ügyeibe belefáradt mexikói társadalom leváltani a saját állampolgárait lehallgató jobboldali elnököt?

• A Pegasus-ügy után hogyan lenne érdemes megváltoztatnunk a mindennapi gyakorlatunkat adatvédelmi ügyekben?

Legyen bennünk egészséges mennyiségű gyanakvás azzal kapcsolatban, hogy a kormány hogyan kezeli a személyes adatainkat.  A jelenlegi információs környezetben, a különböző alkalmazással, mobiltelefonokkal stb. másképp kell gondolkodnunk a magánéletünkről, hiszen az egész életünk rajta van egy ilyen eszközön, a számítógépünkön, a Gmail-fiókjainkban stb.  Azt ajánlom, hogy mindenki gondolja meg kétszer, mielőtt az „Elfogadom” gombra kattint, vagy telepít egy alkalmazást.

• Azt lehet tudni, hogy a biztonsági iparban tevékeny cégek mekkora hányada működik törvényes módon, és hányan alkalmazhatnak kétes gyakorlatokat?

A kémprogram-iparban szerintem csak egy kis rész működik legálisan. A modern demokratikus rezsimek, kormányok száma, amelyek ilyen eszközöket vásárolnak, elenyésző. A nagyobbak pedig saját maguknak fejlesztenek ilyet, nem bíznának egy harmadik félben.

Az USA, Oroszország, Kína saját eszközökkel végzi a megfigyeléseket, nekik nincs szükségük arra, hogy megkérdőjelezhető forrásokból vásároljanak ilyen eszközöket.

Vannak olyan kormányok, amelyek azt mondják, hogy nincs kapacitásuk erre, és inkább a rövidebb utat választják, más cégtől vesznek olyan eszközöket, amikkel a GCHQ-hoz, NSA-hoz vagy a GRU-hoz hasonlóan végezhetnek  megfigyeléseket. A legális cégek száma azonban ebben az iparágban korlátozott. A védelmi iparból érkező vállalatok (Northrop Grumman, Lockheed Martin stb.) persze törvényesen működnek, ők nem szolgálnak ki kétes rezsimeket. De az ipar nagy része náluk sokkal megkérdőjelezhetőbb módon jár el.

A török maffia is előkerült a Pegasus-ügyben, magáncégeknél is lehet kémszoftver

Törökországban már a nemzetközi botrány kirobbanása előtt beszélt arról egy, korábban a hatalomhoz közel álló maffiafőnök, Sedat Peker, hogy a török kormány emberei Izraelből vásárolt eszközt használtak mások megfigyelésére. Később a Pegasus kémszoftver által megfigyelt személyek között török politikusok is felbukkantak. Peker elmondása alapján a megfigyelésre alkalmas eszköz nemcsak kormányzati szereplőkhöz, hanem magáncégekhez is eljuthatott.

• A nagyhatalmak által kifejlesztett kémprogramok hasonlóak a Pegasushoz és a többi ilyen alkalmazáshoz?

Nagyjából ugyanazok: hozzáférnek a videóhoz, hanghoz, helymeghatározási információkhoz stb., mindenhez, amit teszel, mindenhez, amit kommunikálsz. Minden, amihez valaha is „hozzáértél”, rögzítésre kerül az okostelefon SIM-kártyáján. Nem igazán számít, hogy titkosítod-e a kommunikációdat, ott minden tárolva van. A nagy országok által kifejlesztett egyedi eszközök talán a technikai részletekben különböznek egy kicsit. A kormányok mindenütt szorosan együttműködhetnek az adott ország távközlési vállalataival és infrastruktúra-szolgáltatóival.

De nem kell bajlódniuk a telefonvonalak lehallgatásával, mert egyenesen a telefonokat célozzák meg. És akár bizonyítékokat is elhelyezhetnek ott.

• Ilyen gyakran előfordul?

Igen, abszolút. Abban az időben, amikor ezen a területen dolgoztam, ez volt az ügyfelek egyik igénye: nem csak az információk kinyerése, hanem azok elhelyezése is. Ez része e programok funkciókészletének. Könnyebb megindokolni, hogy valaki megfigyelési célpont legyen, miután valamilyen bizonyítékot helyeztek el a készülékén. Nem könnyű egy ilyen esetben a célszemélynek tisztáznia magát, ha rendőrség feloldja a telefonját, és gyermekpornót, hamis dokumentumokat stb. talál, amiről csak a meggyanúsított személy tudja, hogy az öt perccel korábban még nem volt ott.

Amikor ez a kép készült, éppen Pegasus kémprogrammal figyeltek minket

Munkatársunk véleménycikkben reagál arra, hogy több volt és jelenlegi munkatársunkat is megfigyelték a Pegasus kémszoftverrel, az egyik feltört telefonon keresztül…

Horn Gabriella

A Carnegie Endowment of International Peace alapítvány szerint Magyarországon a közelmúltban a Hacking Team, a Black Cube és az NSO Group (Pegasus) termékeit használták, a Citizen Lab kutatócsoport szerint az NSO-közeli Saito Tech programja, a Candiru is megjelent az országban.

Ha már egyszer itt vagy…
Az Átlátszó nonprofit szervezet: cikkeink ingyen is olvashatóak, nincsenek állami hirdetések, és nem politikusok fizetik a számláinkat. Ez teszi lehetővé, hogy szabadon írhassunk a valóságról. Ha fontosnak tartod a független, tényfeltáró újságírás fennmaradását, támogasd a szerkesztőség munkáját egyszeri adománnyal, vagy havi előfizetéssel. Kattints ide a támogatási lehetőségekért!