211service.com
De man die een spyware-imperium heeft gebouwd, zegt dat het tijd is om uit de schaduw te komen
mevrouw Tech | Bron: AP Photo/Daniella Cheslow, Bestand
Shalev Hulio wil zichzelf uitleggen.
Normaal gesproken zijn stilte en geheimhouding inherent aan de spionagebusiness. Negen volle jaren lang sprak Hulio nooit publiekelijk over zijn hackbedrijf dat een miljard dollar kostte, zelfs niet toen zijn hacktools in verband werden gebracht met schandaal of hij ervan werd beschuldigd medeplichtig te zijn aan mensenrechtenschendingen over de hele wereld. De laatste tijd spreekt hij zich echter uit.
Mensen begrijpen niet hoe intelligentie werkt, vertelt Hulio me via een videogesprek vanuit Tel Aviv. Het is niet makkelijk. Het is niet prettig. Intelligentie is een waardeloze zaak vol ethische dilemma's.
Het bedrijf dat hij leidt, NSO Group, is 's werelds meest beruchte spywarebedrijf . Het bevindt zich in het centrum van een bloeiende internationale industrie waarin hightechbedrijven kwetsbaarheden in software vinden, exploits ontwikkelen en malware verkopen aan overheden. Het in Israël gevestigde bedrijf is in verband gebracht met spraakmakende incidenten, waaronder de moord van Jamal Khashoggi en spionage tegen politici in Spanje.
Verwant verhaal
Binnen NSO, de miljarden-dollar spyware-gigant van Israël 'S Werelds meest beruchte surveillancebedrijf zegt dat het zijn daad wil opschonen. Ga door, we luisteren.Tien jaar na de oprichting van het bedrijf nam hij de zeldzame beslissing om te spreken over NSO Group, de inlichtingenindustrie en hoe transparantie eruit zou kunnen zien voor spywarebedrijven. Dit, zegt hij, is het belangrijkste wat de industrie nu kan doen: we zijn er terecht van beschuldigd niet transparant genoeg te zijn.
Cultuur van stilte
Hulio was voorheen een zoek- en reddingscommandant in het Israëlische leger en vervolgens een ondernemer die zich richtte op technologie die op afstand toegang had tot smartphones. Hulio heeft gezegd dat hij de NSO Group in 2010 heeft opgericht op aandringen van Europese inlichtingendiensten. Destijds zette NSO zichzelf op de markt als een state-of-the-art cyberwarfare-bedrijf.
Het kwam wereldwijd in de schijnwerpers te staan in 2016 toen Ahmed Mansoor, een mensenrechtenactivist in de Verenigde Arabische Emiraten, de zogenaamde meest bekende sms-bericht aller tijden . Onderzoekers zeggen dat het een geraffineerd phishing-lokmiddel was dat door een overheid werd gestuurd; het bevatte een link die, als erop werd geklikt, de telefoon van Mansoor met spyware zou hebben overgenomen. Experts van Citizen Lab, een onderzoeksgroep aan de Universiteit van Toronto, analyseerden de link en wezen op Pegasus, het vlaggenschipproduct van NSO. De onthulling leidde tot veel kritische blikken van het bedrijf, maar NSO bleef stil. (Mansoor zit momenteel een gevangenisstraf van tien jaar uit voor het beledigen van de monarchie - de beschrijving van een dictator van zijn werk om de mensenrechten te bevorderen.)
Die reactie was deels een functie van het eigendom van het bedrijf op dat moment. In 2014 was NSO voor ongeveer $ 100 miljoen gekocht door de Amerikaanse private equity-onderneming Francisco Partners, die een strikt no-press-beleid voerde dat volgens Hulio leidde tot een schadelijke cultuur van stilte.
Geen interviews - we konden niet met journalisten praten, behalve om geen commentaar, geen commentaar, geen commentaar te zeggen, zegt hij. Het zorgde voor veel slechte dingen voor ons, want elke keer dat we werden beschuldigd van misbruik, hadden we geen commentaar.
Dit, zegt hij, was een fout die in de toekomst vermeden moest worden door bedrijven als NSO - dat vorig jaar voor $ 1 miljard werd verkocht aan de Europese private equity-onderneming Novalpina en de oorspronkelijke oprichters, waaronder Hulio zelf.
De sector zou transparanter moeten zijn, vindt Hulio. Elk bedrijf zou veel meer verantwoordelijk moeten zijn voor aan wie ze verkopen, wie de klanten zijn, wat het eindgebruik van elke klant is.
In feite bleek de tekst die naar Mansoor werd gestuurd een vermomde zegen voor onderzoekers te zijn. Mansoor, die al vele jaren het doelwit was van surveillance, was achterdochtig en klikte niet op de vergiftigde link. In plaats daarvan deelde hij het met experts. Maar tegenwoordig gebruikt de hackindustrie steeds meer geavanceerde technieken die hun activiteiten zo onopvallend mogelijk houden, inclusief zogenaamde zero-click-technieken die doelen infecteren zonder dat ze enige actie ondernemen. WhatsApp klaagt NSO Group aan voor het hacken van de app om telefoons stilletjes te infecteren. Doelwitten in Marokko hebben naar verluidt netwerkinjectie-hacks meegemaakt die geen alarm veroorzaken, geen medewerking van het slachtoffer vereisen en weinig sporen achterlaten.
Elk [spyware]-bedrijf zou veel meer verantwoordelijk moeten zijn voor aan wie ze verkopen, wie de klanten zijn en wat het eindgebruik van elke klant is.
Het verhaal van hackende bedrijven is dat criminelen en terroristen op het verkeerde been worden gezet vanwege encryptie en dat staten de mogelijkheid nodig hebben om ze in hun duistere gat te achtervolgen, zegt John Scott-Railton, senior onderzoeker bij Citizen Lab. In het hogere segment zijn het steeds meer bedrijven die deze technieken verkopen. Het is niet juist WhatsApp . We hebben de verkoop gezien van kwetsbaarheden tegen iMessage , [telefoonsoftware] SS7 als een levering voor zero-click kwetsbaarheden , en heel veel netwerk injectie . Hierdoor is het voor ons bijna onmogelijk om inzicht te krijgen in de omvang van het probleem. We kunnen alleen op schaal gissen. We kennen maar een paar spelers. De markt groeit, maar we missen veel informatie over misstanden.
Het was nooit een gemakkelijke taak om de volledige reikwijdte van de hacker-for-hire-industrie te begrijpen. Nu hebben de technieken en indicatoren waarop onderzoekers lang vertrouwden, aanwijzingen steeds zeldzamer, stiller en moeilijker te herkennen. Het sluipende nieuwe arsenaal maakt het buitengewoon moeilijk om hackbedrijven en inlichtingendiensten ter verantwoording te roepen bij schendingen van de mensenrechten.
Misschien verrassend, Hulio is het er nadrukkelijk mee eens dat de hacking-industrie op het verkeerde been wordt gezet. Als ik hem vraag of de industrie genoeg stappen zet in de richting van transparantie en verantwoording, schudt hij zijn hoofd en wijst hij met de vinger naar zijn concurrenten:
Eigenlijk denk ik dat het andersom is. De industrie stapt uit de regelgeving. Ik zie bedrijven die activiteiten proberen te verbergen en verbergen wat ze doen. Het schaadt de industrie.
Transparantie ontwijken
Daarentegen, stelt Hulio, probeert NSO onder de nieuwe eigenaar van koers te veranderen. Hoewel het wordt geconfronteerd met de spraakmakende WhatsApp-rechtszaak en tientallen beschuldigingen van misbruik van Pegasus, houdt Hulio vol dat het bedrijf evolueert. Het feit dat hij überhaupt met journalisten praat, is een voor de hand liggende verandering, zegt hij, en dat geldt ook voor het nieuwe zelfbestuurbeleid en een publieke toezegging om zich te houden aan de mensenrechtenrichtlijnen van de Verenigde Naties. In hoeverre het gesprek zich vertaalt naar de realiteit is nog een open vraag: drie dagen nadat het bedrijf in 2019 een nieuw mensenrechtenbeleid aankondigde, onderzoekers van Amnesty International zegt dat Pegasus werd gebruikt om de Marokkaanse journalist Omar Radi te hacken.
Maar Hulio suggereert dat zijn rivalen transparantie en verantwoordelijkheid ontwijken door hun bedrijven te verplaatsen of toevluchtsoorden te zoeken om vanuit te opereren.
Ze openen bedrijven in landen waar je geen reguleringsmechanismen hebt, in Latijns-Amerika, Europa, de regio Azië-Pacific - waar de regelgeving erg zwak is, dus je kunt exporteren naar landen waarnaar je niet kunt exporteren vanuit Israël of andere plaatsen in Europa, legt hij uit. Ik zie dat bedrijven activiteiten proberen te verbergen door de naam van het bedrijf steeds opnieuw te veranderen. Of via mechanismen zoals het opzetten van onderzoek en ontwikkeling op één site, verkoopcyclus naar een ander bedrijf, implementatie via een derde bedrijf, zodat u niet kunt traceren wie wat doet.
'Net zoals er landen zijn die fungeren als tax shelters, zijn er landen die fungeren als exportregulation shelters. Die landen hebben mondiale reguleringsmechanismen nodig.'
Dat kan waar zijn, maar NSO Group zelf heeft een reeks andere namen, waaronder Q Cyber Technologies in Israël en OSY Technologies in Luxemburg. Het heeft een Noord-Amerikaanse vleugel genaamd Westbridge. Haar medewerkers zijn internationaal verspreid. Israëlische media hebben gerapporteerd over de banden van bedrijven met lege vennootschappen en: byzantijns aanbiedingen. In de loop der jaren heeft het een verwarrend netwerk van andere bedrijven over de hele wereld beheerd, en dit zakelijke doolhof heeft het bijna onmogelijk gemaakt om zijn transacties en acties te begrijpen - een cruciale taak wanneer hacktools door autoritaire regeringen kunnen worden misbruikt met verwoestende gevolgen.
Dus hoe zou aansprakelijkheid eruit zien? Toen NSO Group voor het eerst verscheen, had het Wassenaar Arrangement, een cruciale wapenexportcontroleovereenkomst tussen 42 landen, geen cyberdimensie. Israël had geen cyberexportwet. Nu wordt het Israëlische Ministerie van Defensie geregeerd door de wet op de exportcontrole van het land - NSO Group heeft: naar verluidt nooit een exportvergunning geweigerd, maar op wereldwijde schaal blijft de hackindustrie grotendeels verborgen, ondoorzichtig en onverklaarbaar ondanks zijn groeiende macht en mogelijkheden.
Er zijn mazen in de wet, zegt Hulio. Niet alle landen maken deel uit van het Wassenaar akkoord. Ik denk echt dat het heel moeilijk is om iets internationaals te doen. Internationaal is natuurlijk een geweldig idee, maar net zoals er landen zijn die fungeren als tax shelters, zijn er landen die fungeren als exportregulerings shelters. Die landen hebben mondiale reguleringsmechanismen nodig.
Wie zit er in het vizier?
Sinds het Mansoor-incident het bedrijf voor het eerst in de schijnwerpers zette, zijn er tientallen misbruiken door gebruikers van de technologie van NSO. Wanneer dergelijke beschuldigingen worden geuit, start de NSO een onderzoek. Als accounts conflicteren, kan NSO logboeken eisen die doelen onthullen. Vaker wel dan niet, zegt Hulio, zal de klant zeggen dat de beschuldigingen tegen hem waar zijn, dat de targeting echt is, maar dat hun acties legaal waren volgens de lokale wetgeving en het contract dat ze ondertekenden. Dat laat het aan NSO en de klant over om te bepalen of de targeting inderdaad legitiem is.
Verwant verhaal
Hoe een autoritair regime al het internetverkeer in zijn land zal onderscheppen Veel van de kritiek op NSO Group komt wanneer onderzoekers zeggen dat Pegasus wordt gebruikt tegen advocaten, mensenrechtenactivisten, journalisten en politici. Maar Hulio zegt dat de context dergelijke acties kan rechtvaardigen - dat deze mensen legitieme surveillancedoelen kunnen zijn zolang de wet wordt gevolgd. Hij wijst op gebeurtenissen rond de arrestatie in 2014 van de Mexicaanse drugsbaron Joaquín El Chapo Guzmán. Hoewel het dit nooit publiekelijk heeft bevestigd, heeft NSO Group: privé aangeprezen zijn rol al jaren actief.
Chapo is weggelopen uit de gevangenis, zegt Hulio. Mensen zoals Chapo of [ISIS-leider Omar Bakr] al-Baghdadi hebben geen smartphones bij zich. Toen Chapo ontsnapte, dachten ze dat hij waarschijnlijk uiteindelijk zijn advocaat zou bellen, dus laten we proberen de advocaat te onderscheppen. De advocaat is geen slecht persoon - en ik zeg niet dat we erbij betrokken waren. De advocaat zelf is geen verdachte van criminele activiteiten, maar El Chapo, die een crimineel is, gaat zijn advocaat bellen en de enige manier om hem te pakken te krijgen is door zijn advocaat te onderscheppen.
Het is het soort hoesje dat gemakkelijk te maken is. Moordende drugsbaron, extreem politieoptreden, mugshots op de voorpagina. Maar de meeste beschuldigingen van misbruik lijken niet op de El Chapo-zaak. Golfstaten zijn er herhaaldelijk van beschuldigd Pegasus te gebruiken om politieke oppositie aan te vallen, wat later resulteerde in verzonnen aanklachten voor het beledigen van koninklijke families of iets dergelijks.
Hulio zegt dat NSO vaak wordt beschuldigd van werk waar andere spywarebedrijven verantwoordelijk voor zijn.
We stellen hele lastige vragen als we een systeem verkopen, maar ik weet niet zeker of iedereen dat doet, zegt hij. Ik heb er geen probleem mee om voor de minister van defensie van een land, of het hoofd van de politie, of van de geheime dienst te zitten en te vragen: wat heeft het voor zin? Wat is het doel? Wat is de missie? Wat zijn de onderzoeken? Wat is het proces dat je gebruikt? Hoe analyseer je de gegevens? Wie moet elk doel goedkeuren? Wat is de wet in uw specifieke land - hoe werkt het? Vragen waar veel bedrijven echt niets om geven. Ze hebben een deal: ze willen verkopen. Ze zullen het verkopen omdat het goed geld voor hen is.
We zijn de cirkel rond en komen terug in een dikke kluwen van geheimhouding. Het geld stroomt binnen, er worden steeds meer misbruiken gemaakt en de hacktools nemen snel toe: niemand betwist dat.
Maar wie is verantwoordelijk als brutale autoritairen de allernieuwste spyware in handen krijgen om tegen tegenstanders te gebruiken? Een toch al schimmige wereld wordt donkerder en het wordt steeds moeilijker om aan antwoorden te komen.