בימים האחרונים סערה המדינה בעקבות תחקיר ''כלכליסט'' שחשף כיצד במשך תקופה ארוכה פרצו חוקרים מטעם המשטרה ללא צו בית משפט אל מכשיריהם של מגוון חשודים ונחקרים.
בין השמות שהוזכרו כמי ש''זכו'' שמכשירם נפרץ נמצאים אנשי תקשורת, מנהלי חברות ענק, ראשי ערים, עוזרים, יועצים ואח"מים שונים. החשיפה עוררה סערה רבה, שיטות חקירה ופעולה מעין אלו מזכירים לרבים משטרים אפלים ולא דמוקרטיים.
NSO - רקע
מי שאחראית על הפריצות היא חברת NSO, שכבר קיבלה בעבר סיקור תקשורתי נרחב ברחבי העולם, ולא מהסיבות הטובות. NSO היא חברה שעוסקת בפיתוח תוכנות ללוחמת סייבר ולריגול דיגיטלי, היא הוקמה ב-2010 על ידי שלושה ישראלים ועל פי ההערכות, שווי השוק שלה עומד על כמיליארד דולר.
מוצר הדגל של החברה, הוא תוכנת הריגול והפריצה 'פגסוס', אותה תוכנה באמצעותה עבדו כנראה גם החוקרים במשטרה. השם לא נבחר באקראי, פגסוס הוא שמה של דמות מהמיתולוגיה היוונית הנראית כסוס עם כנפיים. על פי האגדה, הפגסוס הינו דמות חלשה, באופן יחסי, וכמעט כל שאר היצורים מהמיתולוגיה היוונית מביסים אותו, יתרונו היחיד הוא ביכולותיו להתחמק בסתר ולהימנע ממתקפות - בדיוק כמו התוכנה הזדונית.
עוד לפני חשיפת הפרשה האחרונה, NSO עוררה בעיות רבות. פעילות החברה נחשבת כפעילות מהמישור הביטחוני, ייצוא התוכנה לקונים בחו"ל מוגדר תחת קטגוריית 'נשק' ודורש את אישור משרד הביטחון ומשרד החוץ.
'פגסוס' נמכרה למדינות רבות, ביניהן לא כאלה שידועות כבעלות אופי דמוקרטי, העסקאות עברו את אישור ישראל ועל פי דיווחים שונים, אושרו בהתאם להסכמים נוספים חיצוניים. NSO קיבלה תביעות רבות ברחבי העולם, אמזון כיבתה שרתים שלה והיא אף הוכרזה על ידי משרד המסחר של ארה"ב כ"מנוגדת לאינטרס הלאומי".
פוגעת בדמוקרטיה וחיסלה עיתונאי
על פי תחקיר מקיף נמצא כי התוכנה הייתה בשימוש כנגד מעל ל-180 עיתונאים בעשר מדינות לפחות, בהן אזרבייג’ן, בחריין, הונגריה, הודו, קזחסטן, מקסיקו, מרוקו, רואנדה, סעודיה ואיחוד האמירויות.
כך לדוגמה, עיתונאי הודי בשם פרנוי גואה טקורתה, מייסד אתר חדשות ההודי The Wire, שערך בשנת 2018 תחקיר על האופן בו ממשלתו של נרנדרה מודי השתמשה בפייסבוק בכדי להפיץ מידע מוטעה. על פי ההערכות מכשירו נפרץ. עיתונאית אחרת שעמדה במוקד היא רולה חלאף, מי שהייתה העורכת הראשונה של העיתון הכלכלי הבריטי "פייננשל טיימס", ומכשירה נפרץ ככל הנראה בידי איחוד האמירויות.
בשנת 2021 מספרי טלפון של שרים הודים, בהם מנהיגי האופוזיציה ומפקחי בחירות נמצאו על פי החשד במאגר של יעדים לפריצה.
בשיחה שערך בעבר אחד מהמייסדים הוא טען כי לחברה יש ועדת אתיקה שאף מנעה מכירה במקרים מסוימים, אך מהרגע שהתוכנה נמכרת לחברה או מדינה, אין באפשרות NSO לאכוף את הפעילות ולדאוג שלא תפגע בערכי הדמוקרטיה. מה שככל הנראה הוביל למקרים המתוארים.
המקרה שעורר את הזעם הרב ביותר, היה חיסולו של העיתונאי ופעיל זכויות האדם הסעודי, ג'מאל ח'אשוקג'י, שנרצח בקונסוליה הסעודית באיסטנבול. זמן קצר לאחר מכן, NSO נתבעה בטענה כי היא סיפקה לערב הסעודית את התוכנה שאפשרה את המעקב אחרי ח'אשוקג'י ואת חיסולו. על פי טענות נוספות, גם בני משפחתו וקרוביו היוו יעד למעקב.
איך זה עובד?
על פי תחקיר שנעשה על ידי 80 עיתונאים מ-17 מדינות ברחבי העולם בתמיכת Forbidden Stories ואמנסטי אינטרנשיונל, התגלו פרטים מעמיקים יותר על דרך הפעולה של התוכנה.
עד שנת 2016 בכדי להשתיל את תוכנת פגסוס, נאלצו בחברה לגרום לאדם המחזיק במכשיר להיכנס לקישור זדוני שיתקין את התוכנה בסמארטפון, החברה עשתה זאת כמובן באמצעים מתוחכמים ותוך זיהוי מדויק של תחומי העניין של בעל המכשיר.
החל מ-2018 אין צורך לעשות דבר, התוכנה עובדת בצורה של zero-click - אפס לחיצות, כך מי שמכשירו מיועד לפריצה ייפרץ גם אם לא יבצע פעולות כלשהן במכשיר, לצורך כך פגסוס משתמשת במגוון פרצות במערכות ההפעלה, פרצות שיצרניות התוכנה טרם זיהו.
הוכח כי NSO הצליחה לפרוץ גם לסמארטפונים חדשים כמו האייפון 12 פרו. בנוסף, גם במקרה בו פריצה באמצעות החורים במערכות ההפעלה כושלת, ל-NSO יש פתרונות. היא משתמשת בתוכנת המסרים - iMessage של אפל שקוראת הודעות אוטומטית ובעבר היא השתמשה בפרצה בתוכנת המסרים הפופלארית 'וואטסאפ'. בכדי להשתיל את התוכנה, נדרשה שיחת טלפון אחת, אפילו אין צורך במענה - והתוכנה כבר הושתלה.
ב-2019, פייסבוק - כיום 'מטא', תבעה את NSO בטענה כי ניצלה את חולשת האבטחה ביישומון וואטסאפ שבבעלותה לצורך פריצה לכ-1,400 פלאפונים.
אין זה מקרי, ב-NSO בחרו בחוכמה בשתי אפליקציות שנמצאות בשימוש של מיליארדים, iMessage של אפל נמצאת בשימוש בכל מכשיריה ו'וואטסאפ' מותקנת במעל לשני מיליארד מכשירים, טווח רחב מאוד שמאפשר לחברה לפרוץ לכמעט כל מכשיר בעולם.
במקרים אחרים, ישנם אפשרויות נוספות. ניתן כמובן להדביק את הסמארטפון בשיטות המסורתיות, כמו להתקין את התוכנה בצורה פיזית, להפעילה באמצעות שליחת לינק זדוני, משדר אלחוטי שנמצא בסמוך למכשיר או אף רשת סלולרית מזויפת.
למרות זאת, פגסוס לא עובדת תמיד. בבדיקה שנערכה ב-67 סמארטפונים שנחשדו כ'מועמדים להיפרץ', נמצא כי רק בעשרים ושלושה מהם הותקנה התוכנה, כמו כן, הוכח כי לפחות ל-14 מהם נעשה ניסיון פריצה שלא צלח.
ניתוח של מכשירים שכבר נפרצו העלה כי גם אחרי שהתוכנה הותקנה היא מנסה וממשיכה לחפש ללא הרף פרצות נוספות וחולשות באפליקציות אחרות במכשיר, זאת בכדי לסגל אפשרויות פריצה חדשים.
קשה מאוד לאתר את התוכנה לאחר שהותקנה. ב-NSO השקיעו רבות בכדי להסתיר את ההתקנה בתוך המכשיר, ישנו חשד של מספר מומחי אבטחה כי בגרסאות חדשות יותר של התוכנה היא מותקנת על הזיכרון הזמני של המכשיר - זיכרון ה-RAM, כך שמרגע שהמכשיר נכבה לא ניתן לאתר את התוכנה כלל.
מה היא עושה?
התוכנה מסוגלת לעשות כמעט הכול, היא משיגה גישת אדמין מלאה וכך יכולה לעקוב ולשנות כמעט כל פרט במכשיר. כן, הפלאפון לגמרי בידיים של הפורצים.
פגסוס יכולה לשקף לפורצים את כל הנעשה בפלאפון - צילום מסך אונליין מלא של כל מה שאתם עושים. דרכה אפשר להפעיל מרחוק ובלי ידיעת הבעלים את המצלמה, המיקרופון, שבב המיקום ועוד, בנוסף, פגסוס יכולה לאתר ולנטר שינויים באופן השימוש ובכך להפנות את תשומת ליבם של הפורצים לזיהוי שיחות ופרטים חשובים.
הפורצים יקבלו תיקייה בה מופיע כל המידע במכשיר, במקביל, באפשרותם להפעיל את כל שלל האפשרויות שקיימות במכשיר להנאתכם, אך הפעם - נגדכם.
במכשיר שנפרץ ישנם כמה סימני התראה, ולא תמיד פגסוס מצליחה לחפות על הפריצה. מקרים של התרוקנות מהירה של הסוללה, עליות פתאומיות בשימוש באינטרנט, פרסומות שמופיעות לפתע, כיבוי והדלקה של רכיב המיקום בלי התערבותכם וכל שינוי מצורת הפעילות הסדירה של המכשיר - יכולים להעיד על פריצה.
לתוכנה יש גם מנגנוני הגנה מפני זיהוי והיא מוחקת את עצמה באופן אוטומטי לאחר 60 יום, אם לא נוצר קשר עד אז עם מפעיליה.
כך תזהרו!
קשה מאוד לשמור על הנחיות באופן קבוע. בכדי להימנע מהתקנת וירוסים, הסיכוי שהמשתמש הממוצע יוריד ''בטעות'' וירוס - גבוה, אבל יש מספר כללי אצבע להתנהלות נבונה שיכולים לעזור בהתגוננות אל מול תוכנות זדוניות.
• אל תיכנסו לקישורים לא מזוהים: אחד הגורמים להכי הרבה הורדות של וירוסים היא הכניסה בקלות דעת לכל קישור מפתה ברשת. כניסה לאתרים מפוקפקים יכולה לאפשר הורדה של תוכנת וירוס למכשירכם, היו זהירים וגם אם מבטיחים לכם אייפון בתמורה - דעו להתרחק. זכרו! אין מתנות חינם.
• עדכונים: עדכוני תוכנה הם אחת האפשרויות החשובות בהגנה מפני וירוסים, לעיתים קרובות חברות מזהות פירצה באחת התוכנות ומשחררות עדכון על מנת לכסותה. אם לא תעדכנו - הפרצה תישאר. יתרה מזו, ישנם האקרים שמבצעים הינדוס לאחור של עדכוני תוכנות ובכך מזהים פרצות ישנות, לאחר מכן הם מייצרים וירוס שיכול לנצל את הפירצה בצורה זדונית ומשחררים אותו לרשת בתקווה כי מי שעדיין לא עדכן - ייפול בפח.
• השתמשו בדפדפן אחר: לעיתים קרובות שימוש בדפדפן אחר ומאובטח יכול יותר להועיל, ניסיונות תקיפה מסוימים יחסמו בדפדפנים דוגמת Firefox Focus, והימנעו משימוש בדפדפנים הפופולאריים והנפוצים דוגמת Safari או Google Chrome.
• הפעלה מחדש: על פי מחקר של חברות אבטחה שונות, אתחול תכוף של המכשיר יכול למחוק תוכנת דוגמת 'פגסוס', כך ולמרות שיש להם אפשרות לחדור ללא לחיצות, הן אינן עמידות לחלוטין ואתחול פשוט יכול למחוק אותן.
• בטלו קריאה אוטומטית: אחת מאפשרויות ההדבקה הנפוצות של פגסוס היה באמצעות תוכנות קריאת ההודעות האוטומטית באפליקציית המסרים iMessage, אפשרות זו היא שגרמה לכך שניתן היה לפרוץ ללא אף לחיצה של המשתמש. לבטל את iMessage יבטל לכם כמה מהתכונות החשובות, אך אם אתם רוצים להיות ממש זהירים - עשו זאת.
• איפוס: אפשרות נוספת שפועלת כמעט תמיד היא איפוס מלא של המכשיר ואז התקנת כל התוכנות חזרה באמצעות הגיבוי בענן, זו אפשרות מעט קיצונית ולא נוחה בשימוש תדיר אך אם אתם חוששים שמכשירכם נפרץ עשו זאת.
• החלפת מכשירים: אם אתם ממש חוששים כי מכשירכם נפרץ, מעבר בין מערכות הפעלה שונות כמו IOS ו'אנדרואיד' ולהיפך יבלבל את התוקפים וימנע מהם, לפחות בטווח הזמן הקצר, את התקיפה.
זכרו, להתגונן ברשת בצורה מוחלטת זה כמעט בלתי אפשרי, האפשרות היחידה היא לנתק את הפלאפון ולהתרחק מכל מה שקשור לאינטרנט. המלחמה בין מומחי ההצפנה לפורצים היא מלחמה עתיקה ומרובת שנים, שקדמה בהרבה למחשבים.
מצד אחד עומדים מפתחי התוכנות ומייצרי האנטי-וירוס ומן העבר השני חברות כמו NSO ורבים אחרים ומחתרתיים שמנסים ללא הרף, ולעיתים בהצלחה, לנצח, פעם צד אחד ידו על העליונה ופעם הצד השני, כשהמשתמשים נותרים בתווך, תלויים בחסדיהם של אחרים.