הנה שלושה אירועים שקרו לאחרונה, מבלי שלכאורה יש ביניהם קשר. אבל רק לכאורה:
לפני כשבועיים, ביום רביעי ה־26 בדצמבר, במסעדה ריקה למחצה בפרבר של בירה אירופית קפואה, נישא קולו של "קרלוס", גורם בכיר מאוד באחד ממערכי המודיעין והסיכולים המיוחדים של תת־היבשת. בחוץ אירופה עדיין חגגה בשלווה את הכריסמס, אבל במסעדה החשוכה, בסודיות כבדה ומול קהל שנברר בקפידה, "קרלוס" סיפר על שורה של אירועים אפלים ועל אנשים שמבקשים להפר אותה שלווה. הוא סיפר שם, למשל, על מחבל מתאבד שיצא עם חגורת נפץ ונתפס בכניסה לתחנת רכבת תחתית בידי לוחמי כוח מיוחד, שאחזו בעוצמה בידיו כדי שלא ילחץ על מתג ההפעלה; הוא סיפר על פדופילים שפיתו ילדים לפגישה עימם, פגישה שהייתה אמורה להסתיים באובדן ילדותם, אבל הם נעצרו ברגע האחרון; והוא סיפר אפילו על חברים מכנופיית "מלאכי הגיהינום" שלכדו חבר כנופייה יריבה והחלו לגדוע אצבע אחר אצבע שלו, אבל הופתעו כשלפתע הימ"מ המקומי פרץ פנימה וגדע את מסיבת העינויים הזו.
באותה שעה, בבריסל, שקדו שלטונות התביעה הבלגית על הכנת כתבי אישום נגד אסדאללה אסדי, דיפלומט איראני שהיה מוצב בשגרירות האיראנית בווינה. על פי החומר שנאסף נגדו, אסדי הוא בעצם סוכן מיניסטריון המודיעין האיראני, שפעל תחת שם הקוד "דניאל" והפעיל רשת טרור שאחת ממטרותיה הייתה לפוצץ מטען חבלה גדול בכינוס של ארגון אופוזיציה איראני ליד פריז. הפיצוץ תוכנן להתרחש בעת נאומו של רודולף ג'וליאני, לשעבר ראש עיריית ניו־יורק וכיום עורך דינו של הנשיא טראמפ. במקביל עצרו השלטונות בבלגיה, בצרפת ובדנמרק עוד חברים באותה רשת.
יום למחרת הפגישה במסעדה באירופה, בשעה שמונה וחצי בערב, התרחש האירוע השלישי, הפעם באולם סמולרש באוניברסיטת תל־אביב. תחת שמירה כבדה וסינון קפדני, בעיקר מפני עיתונאים, צפה הקהל במצגת שתיארה מקרים שונים מהצד האפל של עולם הביון. תואר שם, למשל, איך קטאר נתפסה כשניסתה להעביר מאות מיליוני דולרים לאיראן ולחיזבאללה; איך אותרו ילדים חטופים והושבו הביתה אל הוריהם הנרגשים; איך נמנע פיגוע תופת בעת הופעה של להקה ידועה; וגולת הכותרת: איך נתפס ברון הסמים אל צ'אפו, הנחשב לגדול ולמסוכן בעולם, במהלך פגישה שערך עם השחקן האמריקאי שון פן.
"והדברים האלה", אמר האדם שליווה את המצגת, "קורים בזכות האנשים שיושבים כאן. בסופו של יום, אתם גיבורי־העל שלנו". מחיאות כפיים רועמות מילאו את ההיכל לכבוד 400 מעובדי חברת NSO (יש עוד כ־200 בחו"ל) שישבו שם. על הבמה היה שלֵו חוליו, אחד ממייסדי החברה והמנכ"ל שלה. בשלושת המקומות האלו - במסעדה האירופית, במסדרונות הפרקליטות בבריסל ובאוניברסיטת תל־אביב - חגגו הצלחות של מוצרים שפיתחה חברת NSO, ובמיוחד את היכולת של החברה לחדור למכשירי טלפון סלולריים ומחשבים - ולהביא משם גם מידע שפעם היה חסוי ומוצפן לגמרי.
למרות שנולדה כאן והיא פועלת מהארץ, למרבית הציבור הישראלי השם NSO אינו מוכר. אבל בעולם המודיעין והסייבר מדובר בשם שפותח דלתות היישר אל הלשכות של ראשי מדינות, ולא מעטים מהם עושים שימוש נרחב בכלים וביכולות ש־NSO הישראלית מספקת להם. זו גם הסיבה ש־NSO סופגת בשנים האחרונות גם הרבה מאוד ביקורות, השמצות ופרסום שלילי. מאוד שלילי.
כמה מהפרסומים על אודות NSO קשרו את החברה ומוצריה עם שורה של משטרים רודניים, כולל ערב הסעודית, תימן, מוזמביק, קניה, קונגו, איחוד האמירויות הערביות וגם טורקיה. במוצרים ש־NSOיכולה לתת להם - עוד נגיע ליכולות הנרחבות שהחברה הישראלית הצליחה לפתח - אפשר להשתמש גם נגד טרור ופשיעה, אבל גם נגד גורמי אופוזיציה, עיתונאים ביקורתיים מדי, ועוד.
NSO, כך פורסם למשל, מכרה מוצרים למקסיקו כדי לסייע לה במאבקה בקרטלי הסמים, אך הממשל שם השתמש בהם גם כדי לעקוב אחרי עיתונאים ואחרים שהעזו לבקר את השלטון; אחרי שסוסים טרויאניים של NSO, כך לפי הפרסומים, התגלו באייפון של מתנגד לשלטון באבו דאבי, נאלצה חברת אפל להוציא גרסה חדשה למערכת ההפעלה כדי לחסום את הפירצה; עוד פורסם כי עובד ממורמר שפוטר מהחברה הציע למכירה את אחד ממוצריה בדארקנט, ורק ברגע האחרון נמנעה המכירה לגורמי פשע פרטיים. וזו רק רשימה חלקית.
אבל האירוע הקשה ביותר מבחינת NSO היו הפרסומים שחיברו אותה עם מעשה הרצח המפורסם ביותר של 2018: חיסולו האכזרי של העיתונאי מערב הסעודית, ג'מאל חאשוקג'י. הטענות הללו הפכו לסערה תקשורתית של ממש, כאשר לא פחות מאדוארד סנודן, המדליף המפורסם של סודות המודיעין האמריקאי, האשים במפורש את NSO כי מוצריה שימשו לאיתור ולמעקב אחר גורמי אופוזיציה, פעילות שלדבריו סייעה לרצח. תביעה בטענה דומה הוגשה נגד החברה בתל־אביב.
במשך מרבית התקופה הזו המשיכו ב־NSO במדיניות האופיינית לגופי מודיעין שחרתו על דגלם את החשאיות, והגיבו בדרך אחת: שתיקה.
אבל לאחרונה משהו בכל זאת השתנה, וכנראה שרצף הפרסומים השליליים, בעיקר לגבי רצח העיתונאי, היו הקש ששבר את גב הגמל: ב־NSO הסכימו כי חוליו, מנכ"ל החברה ואחד משלושת מייסדיה, יתייצב לראיון נדיר ויענה על השאלות, כולל הקשות שבהן.
ייתכן כי שלו שובר שתיקה גם על רקע קריסת המגעים שניהלה NSO לרכישתה בשווי מוערך של מיליארד דולר (פי שמונה ממה שרכשה אותה קרן פרנסיסקו פרטנרס ב־2013). אבל חוליו, מבחינתו, מכחיש בשיחה בלעדית עם "ידיעות אחרונות" כי זו הסיבה לכך שלפתע NSO החליטה להסיר מעט ממעטה החשאיות שאופף אותה. "אין שום קשר", הוא אומר נחרצות, "אני עושה את זה למען העובדים. אנחנו החלטנו מזמן שאנחנו לא מגיבים על כלום, לא משנה מה קורה - לא מגיבים, וזה עבד בסדר, אבל עכשיו (אחרי הפרסומים בעניין חאשוקג'י – ר"ב) זו פעם ראשונה שבאו אליי עובדים לחדר ואמרו לי: תקשיב, אנחנו מבואסים, כי אנחנו יודעים את האמת וכי אתם לא יכולים לא להגיב על דבר כזה. אנחנו יודעים שהתפרסמו בעבר כל מיני שטויות אחרות שאינן אמת. המקרה הזה הוא בעינינו מזעזע. אז אנחנו מבקשים שאחת תבדקו; שתיים - שתגידו לנו בתור עובדים מה היה; ושלוש שתצאו עם זה לתקשורת. וגם אני בפעם הראשונה נפגעתי. לקחתי את זה ללב".
אז מה האמת? הייתם מעורבים ברצח חאשוקג'י?
"קודם כל, ואני אומר לך את זה כאדם וכישראלי, מה שקרה עם חאשוקג'י הוא בעיניי רצח מזעזע, שגם בוצע בצורה מטומטמת. לרצוח עיתונאי בגלל דעות זה נורא. אסור לפגוע באף אדם בעולם בגלל מה שהוא אומר או מה שהוא כותב.
"ערכנו בדיקה יסודית מול כל הלקוחות שלנו, לא רק לקוח אחד שהוא אולי החשוד הפוטנציאלי למעורבות בעניין, אלא גם לקוחות אחרים שאולי, מאיזושהי סיבה, יש להם אינטרס לעקוב אחריו. גם בדקנו האם אולי מישהו פנה למדינה אחרת, שגם היא לקוחה שלנו, וביקש משירותי המודיעין שלה 'לעשות לו טובה'. את כל הלקוחות שלנו בדקנו, גם באמצעות שיחות איתם וגם בדיקה טכנולוגית שאי־אפשר לרמות אותה. למערכות יש רקורד (תיעוד - ר"ב) ואי־אפשר לפעול על יעד כזה או אחר בלי שנוכל לבדוק זאת.
“אחרי כל הבדיקות הללו אני יכול לומר לך לציטוט ולייחוס - לא היה על חאשוקג'י שום שימוש, לרבות להאזין, לנטר, למצוא מיקום, לאסוף מודיעין, באיזשהו מוצר או טכנולוגיה של NSO. סימן קריאה. הסיפור פשוט לא נכון".
אבל היכולות הללו קיימות, ולכן אני רוצה לשאול היפותטית: כמה אדם יכול להרגיש בטוח לשוחח, להסתמס, לעלות פוסטים לפייס וצילומים לאינסטגרם בלי לחשוש שמישהו מאזין או עוקב אחריו?
"הממשלות שמצוידות בטכנולוגיות הללו מוגבלות מאוד במספר המטרות שבהן הן יכולות לטפל. אין בעולם כולו יותר מ־150 מטרות פעילות כיום (NSO אומרים כי המוצרים שלהם מטפלים בפחות מ־100 מטרות בכל זמן נתון בכל רחבי העולם - ר"ב). נתון זה, לצד מערכות ההפעלה של הטלפונים הסלולריים והאפליקציות שמאובטחות היטב ובאופן מתקדם, מצמצם באופן דרמטי את האפשרות של מעקב אחרי אזרחים שאינם מעורבים במעשי טרור או פשיעה. אנו גאים בכך שטכנולוגיית החברה מאפשרת מניעת פיגועי טרור, מביאה למעצר טרוריסטים ונוטלת חלק בטיפול בפשיעה חמורה".
אבל מה מוגדר אצלכם "טרור"? האם לא יהיו ממשלות שמחר־מחרתיים יחליטו להגדיר את ארגון "גרינפיס" כטרור? או את "רופאים ללא גבולות"? או את עיתונאי איי־פי, למשל?
"כשאנחנו מדברים על מניעת טרור, אנחנו מדברים אך ורק על מניעת פיגועים והצלת חיי אדם. רק בחצי השנה האחרונה מוצרי החברה היו חלק ממבצעי סיכול של מספר פיגועי טרור מאוד גדולים באירופה, הן באמצעות מכוניות תופת והן על ידי מחבלים מתאבדים. אני אגיד בצניעות שאלפי אנשים באירופה חייבים את חייהם למאות עובדי החברה מהרצליה. אני חוזר ומדגיש: כל שימוש שחורג מהקריטריונים של הצלת חיי אדם בשל פשע או טרור - מוביל לנקיטת אמצעים מיידיים על ידי החברה ללא פשרות ובאופן נחרץ".
לשבור את הקירות
נראה כאילו הטענות לגבי המעורבות לכאורה בפרשת חאשוקג'י באמת מצליחות להוציא משלוותו את חוליו, שבדרך כלל חיוך כובש על שפתיו. חוליו (38, נשוי + 2) הוא סיפור שונה וחריג בעולם הסטארטאפים הישראלי, בעיקר בגלל מה שהוא לא: הוא לא יוצא יחידה 8200, הוא לא בעל השכלה טכנולוגית, מעולם לא שירת בקהילת המודיעין ונראה כמו אדם שמעריך את החיים הטובים, ורחוק מאוד מהגיקים שיעדיפו תמיד לכתוב עוד קוד בחדר אפלולי מאשר לאכול דג קוד במסעדה טובה.
הוא נולד בחיפה. אמו היא בת למשפחת ניצולי שואה מרומניה; אביו בן למשפחת מגורשי ספרד שהגיעה לארץ אחרי דורות של נדודים בטורקיה, סוריה ולבנון. חוליו זוכר היטב את הילדות בחיפה, הרבה לפני משחקי הריגול והסייבר, "כשכולם היו עניים באותה מידה ויוצאים לשחק ביחד ברחוב". הוא שובץ בתחילה לכיתת מחוננים אבל גילה שזה לא מתאים לו ועבר למגמת אמנות ותיאטרון בבית הספר "חוגים". שם גם הכיר את עומרי לביא, חבר הנפש שלו ומי שיחד איתו יחולל שנים מאוחר יותר מהפכה עולמית בתחום הסייבר ההתקפי.
"הצבא איפס אותי", אומר חוליו, שעבר בתפקידים שונים וסיים כמפקד צוות לחילוץ והצלה בפיקוד העורף. הוא היה סגן המפקד הראשון של פלוגת החי"ר של הפיקוד, והיה מעורב בשורת פעולות ביהודה ושומרון, בראשן ב"חומת מגן", אז השתתף במבצע המורכב שתיכנן הרמטכ"ל לימים, אביב כוכבי, כיצד לצמצם את האבידות לצה"ל כמה שיותר, זאת דרך מעבר דרך קירות הקסבה במקום בתוך הסמטאות. "אנחנו היינו הצוות הראשון בעצם שעשה את זה", הוא אומר. "אנחנו פרצנו את הדרך בעצם ללוחמים בחומת מגן". הוא ממשיך לשרת במילואים ביחידה, ובין השאר יצא לסיוע לנפגעי הרעש בהאיטי.
חוליו השתחרר בדרגת סרן וטס לנסות את מזלו בעבודה בעגלות המכירה של ישראלים בארה"ב. "לא הייתי מאוד מוצלח בזה, אבל זה כן נתן לי ניסיון איך להגיע, איך להקים מגע, מול כל בן אדם, לדבר בגובה העיניים. חוויה של צניעות. הייתי מ"פ, היו לי מאתיים חיילים, מאצ'ו, ופתאום אני צריך למכור קרם של ים המלח לקשישות. לקח לי זמן להתרגל. לא קל".
ואז חוליו קיבל טלפון מהצבא לחזור למלחמת לבנון השנייה. אמא שלו דחקה בו שאם כבר הגיע, אז שיישאר בארץ וילך ללמוד. הוא נרשם לבינתחומי בהרצליה ולמד משפטים וממשל.
במהלך ערב יום עצמאות אחד, כשהוא הלום יין בפאב במרכז חורב בחיפה, החליטו הוא ועומרי לביא להקים את "מדיה אנד", סטארט־אפ שפיתח טכנולוגיה לרכישת מוצרים שרואים בסרטים וסדרות. ההדגמה הייתה על הסדרה "סקס והעיר הגדולה": הצופים הצביעו על פריט ביגוד או אופנה שאחת מהגיבורות לבשה, חבשה או נעלה, והטכנולוגיה זיהתה את הפריט והפנתה את הרוכשים לחנות המתאימה.
על אף הפוטנציאל הגדול של הרעיון הוא הצליח חלקית. חוליו מספר שהיו להם כבר משקיעים ראשונים וגם מו"מ עם פוקס ו־CBS, אבל אז הגיע המשבר הגדול של 2008, והמשקיעים קנו את השניים (חוליו: "בעצם, סילקו אותנו") בכסף קטן יחסית.
די מבאס.
"כן, אבל אנחנו אנשים אופטימיים מאוד. אי־אפשר להיות יזם בלי להיות מאוד־מאוד אופטימי. אמרנו: בסדר. קרה, קרה - בוא נתקדם הלאה בחיים".
האיש במשבצות
כמה שבועות מאוחר יותר הקימו חוליו ולביא את "קומיוניטק", חברה שקיימת עד היום ביקנעם ומעסיקה כמה עשרות עובדים. את הטכנולוגיה לחברה הביאו שני חברים נוספים שלהם מבית הספר "חוגים", אחד ששירת ב־8200 והשני בטכניון. הימים הם ימי תחילת הסמארטפון, ולקוחות רבים מתקשים בהפעלת הפלא החדש. המפעילים הסלולריים ביזבזו שעות עבודה אינסופיות רק כדי להסביר ללקוחות איך מחליפים צלצול ואיך מגדירים מייל. אז קומיוניטק נתנה להם מוצא. "בפתרון שאנחנו הצענו המפעיל שולח להם לינק, והם מאשרים כמובן בכמה קליקים שהם מסכימים שישתלטו להם על הטלפון", מסביר חוליו. "מוקד תמיכה טכנית מקבל אישור לבצע מרחוק פעולות רבות, כולל שדרוגי גרסה, הדרכות וכו'. הטכנולוגיה שלנו מאוד־מאוד עזרה וחסכה משאבים".
ואז הגיעה אליהם שיחת הטלפון שתשנה את חייהם. חוליו: "שירות מודיעין אירופאי שמע מה אנחנו עושים ופנה אלינו. 'ראינו את הטכנולוגיה שלכם עובדת', הם אמרו לנו, 'למה אתם לא עושים כזה לטובת איסוף מודיעין?'.
"האמת היא שלא כל כך הבנו מה הם רוצים. אמרנו, אבל מה הבעיה שלכם לאסוף מודיעין - אתם כאילו יושבים בתוך המפעיל הסלולרי. הם אמרו שאנחנו באמת לא ממש מבינים, שהמצב חמור מאוד. We are going dark, we are getting blind, היו המילים בהן הם השתמשו. 'תעזרו לנו'".
באותה תקופה כבר היו הרשתות הסלולריות האמצעי העיקרי של בני אדם לתקשר זה עם זה, כולל אנשים כמו טרוריסטים ופושעים. גורמי האכיפה בעולם ניצבו למול בעיה הולכת וגדלה. אם רצו לאתר טרוריסט או פושע שמשתמש בסלולרי שלו, עמדו לרשותם שתי אפשרויות:
הראשונה: צו של שופט או הוראה ממלכתית חוקית אחרת (בישראל ראש הממשלה יכול להורות על כך במקרים מסוימים), עימו ניגשו למפעיל הסלולרי והורו לו לאפשר להם להתחבר לשיחות הטלפון והודעות הסמס של היעד. השנייה: איסוף רחב מאוד על כל הרשתות, בתקווה שמישהו מהיעדים יגיד מילים חשודות והמערכת תסמן אותו כחשוד.
שתי השיטות הללו המשיכו לפעול ביעילות מסוימת, אבל השוק השתנה דרמטית. הסלולרים החלו לכלול שירותי הצפנה לסמסים, אחר כך באו שיחות הסקייפ, ובין־לבין גם פרצו פייסבוק, ווטסאפ, טלגרם ועוד, כולם מציעים היום כתנאי בסיסי הצפנה ברמה מתקדמת. אבל זו לא כל הבעיה: ההצפנה הזו מתחוללת על גבי מכשיר הקצה, כלומר אצל המשתמש. לכן גם מי שקיבל גישה לתעבורת הנתונים של המפעיל הסלולרי לא יכול לעשות עם זה הרבה. הדרך היחידה היא "להתיישב" בתוך מכשיר הסלולר ו"לתפוס" את המידע טרם הצפנתו. אבל מכיוון שרוב האפליקציות הן אמריקאיות, הסיכוי לקבל צו שופט לחדירה כזו הוא נמוך, בוודאי אם אתה גורם חוץ ממדינה אחרת.
"לא הבנו אז כלום בעולם הזה", ממשיך חוליו. "והם, המשטרות והשב"כים של אירופה שדיברו איתנו, אומרים לנו: אתם, עם הטכנולוגיה שפיתחתם, יכולים לסייע לנו לפתור את הבעיה. אז אנחנו ישראלים, ושמענו שיש לנו טכנולוגיה שיכולה להציל חיים, אמרנו מייד: תגידו מה שצריך, אנחנו עושים".
אבל זה ממש לא היה כל כך פשוט. ראשית, היו בחברת קומיוניטק כאלו שהתנגדו לכיוון החדש. חוליו: "עומרי ואני באנו להנהלה ואמרנו: יש לנו פה רעיון פגז, בואו איתנו לביזנס־ליין חדש. הם הסתכלו עלינו ואמרו: חבר'ה, מה לנו ולזה? הביזנס שלנו, שהוא כולו בעולם האזרחי, מצליח ועובד. מה עכשיו אתם באים לנו עם רעיונות כאלה?"
אתה במקומם היית מחליט אחרת?
"אם הייתי בנעליהם יכול להיות שהייתי מקבל אותה החלטה. משקיעים תמיד רוצים לגדר את הסיכון ולפזר אותו, זה התפקיד שלהם, אבל יזם צריך ללכת עם האמונה שלו ולקפוץ 17 צעדים קדימה. היום אני מודה להם מאוד על ההחלטה הזאת, כי אני לא חושב שהייתי איפה שהיינו אלמלא ההחלטה הזאת".
לימים יצא לך לדבר עם מישהו מהם, אחרי שהם הבינו שהם פיספסו את NSO?
"אני מדבר איתם כל הזמן. הם מבינים שהם עשו טעות".
אדי שלו, מייסד קרן ג'נסיס וממשקיעי ההיי־טק הוותיקים בישראל, הסכים להיות המשקיע הראשון, אבל בתנאי שחוליו ולביא יביאו איש טכנולוגיה שיידע לפצח את האתגר, ומישהו ממערכת הביטחון. "ככה פגשנו את ניב כרמי, שעבד במשרד רה"מ במשרת סטודנט וצירפנו אותו". כך נוצר שם החברה: האות הראשונה של כל אחד מהמייסדים ניב, שלו ועומרי - NSO.
השלושה שכרו לול תרנגולות עזוב במושב בני ציון והחלו לעבוד. התברר שהאתגר הטכנולוגי קשה הרבה יותר לפיצוח ממה שחשבו. "חשבנו שהפתרון בעצם כבר אצלנו, אבל הפעם היינו צריכים להתקין את התוכנה בכניסה חרישית פנימה. הגישה בסך הכל הייתה נכונה אבל גם מאוד נאיבית, כי מדובר באתגר מורכב מאוד: הבנו שאם אתה, המשתמש, מחזיק ביד את מכשיר הקצה ומצליח לקרוא את ההודעה, כלומר כלפיך היא לא מוצפנת, ואנחנו יושבים על אותו מכשיר, אז גם אנחנו נוכל לקרוא את ההודעה".
בשלב הזה החליט ניב כרמי לפרוש, אך שם החברה נותר (רשמית, הוא שונה רק לאחרונה ל־Q Cyber, אבל רק מעטים משתמשים בשם זה). ואז, באפריל 2010, כמעט בלי כסף ועדיין ללא פתרון טכנולוגי, וכשהייאוש מתפשט במשרדי NSO, חוליו קבע פגישה עם המשקיע אדי שלו בבית קפה ברמת אביב ג', כדי לבקש עוד זמן חיים לסטארט־אפ שלו. ופתאום, כמו בסרט קולנוע, הוא שמע בתור לקפה שניים שמספרים אחד לשני שהם מכירים מישהו עם טכנולוגיה לפריצה לטלפונים סלולריים. חוליו: "אז הסתובבתי ואמרתי להם: אהלן, מה העניינים. סליחה שאני מתפרץ ככה, אני לא 'סטוקר' ולא שום דבר. פשוט הקשבתי לשיחה. בואו, אני אקנה לכם קפה, כי אני חייב לדבר אתכם. הם נתנו בי מבט די מוזר אבל הסכימו. רק כמה דקות שיחה, וכשהם שמעו שיש לנו כמה חברים משותפים, הם הבינו שאני לא איזה משוגע. ואז סיפרתי להם מה הרעיון של NSO, וזו הפעם הראשונה שמישהו אמר לי: 'זה אפשרי'. אז אמרתי, מעולה, אתם יודעים לעשות את זה? אמרו לי, אפשרי, כן - אבל לא אנחנו, חבר שלנו עושה. הוא עובד ברעננה, בטקסס אינסטרומנטס. נעשה לכם אימייל אינטרודקשן. אמרתי: לא מייל, טלפון. עכשיו תתקשרו אליו".
שעה מאוחר יותר, כך לפי הסיפור של חוליו, הוא הגיע לקפה "כיופים" בפתח־תקווה כדי לפגוש גיק טכנולוגיה, "בנאדם כזה קצת כחוש, חולצה משובצת, משקפיים, מלא עטים". חוליו הסביר למתכנת מה הוא מחפש, "וההוא אומר לי שזה מה שהוא עושה, זה התחביב שלו".
וואחד תחביב.
"בהחלט. אמרתי לו, מה צריך כדי שתבוא? והוא עונה: אין סיכוי בעולם שאני אבוא. אני עובד בחברה טובה, בתפקיד מצוין, אני אעזוב את זה בשביל זה? הקיצר, אחרי שעה של שיחה וחזון, ואחרי שנתתי לו את המשכורת שהוא רצה וגם איפשרתי לו להביא כמה חברים לעבוד איתו - הוא הפך לעובד הראשון של החברה החדשה".
בתעשיית הביטחון והמודיעין בישראל יש כאלו שהרימו גבה לנוכח הסיפור הפנטסטי על התור בקפה. "NSO", אומר איש מודיעין בכיר הבקיא במערך הסייבר ההתקפי של מדינת ישראל, "הוא לכאורה עוד דוגמה ליכולות אסטרטגיות של מדינת ישראל שפותחו כדי להגן על שלום אזרחיה והביטחון הלאומי שלה, ועברו הפרטה בידי אנשי הקהילה לשעבר שלקחו את הידע איתם לשוק הפרטי".
חוליו מכחיש את הסיפור הזה מכל וכל. הבחור בחולצת המשבצות אמנם שירת ב־8200, הוא מאשר, אבל לדבריו הטכנולוגיה ממש לא באה משם. למעשה, הוא אומר, אם כבר, הכיוון הוא אחר.
המטרה: אל צ'אפו
החברה התחילה להתפתח. אדי שלו הסכים להמשיך להשקיע, וליו"ר החברה מונה האלוף במיל' אביגדור בן־גל. לבן־גל לא הייתה הבנה טכנולוגית, אבל הוא זה שהביא את הקשרים הראשונים לעסקות הגדולות במקסיקו ובאבו דאבי.
במשרדם החדש, בבית רעוע ליד הרכבת בהרצליה, החלו באוגוסט 2010 האיש בחולצת המשבצות וחבריו לפתח את כלי התקיפה הראשון. חוליו: "ידענו מה אנחנו רוצים: להשיג שליטה מרחוק על טלפון. אבל איך זה נראה, מה הוא יעשה, איזה פונקציות יהיו לו - כל אלה היו נעלם גדול. עד שאתה לא מתחיל אין לך באמת מושג".
שנה מאוחר יותר הושלם מוצר ניסיוני ראשון, "עדיין חצי אפוי אבל כבר אפשר להדגים ללקוח". ב־NSO קראו לו "פגסוס" (סוס מכונף מהמיתולוגיה היוונית, בנו של אל הים פוסידון). למה? "כי מה שבנינו הוא בעצם סוס טרויאני ששלחנו דרך האוויר אל תוך מכשירי הקצה", מסביר חוליו.
הסוס המעופף של NSO ידע לחדור למכשיר הטלפון הסלולרי ולאסוף מתוכו גם מידע שנמצא בו ואינו מוצפן - אבל גם את כל מה שעבר הצפנה, ופגסוס ליקט שנייה לפני כן. כבר בגרסתו הראשונה פגסוס השתלט באופן מלא על הטלפון ואיפשר האזנה לנאמר בו, קבלה במקביל של כל מה שנכתב בו, פתיחת המיקרופון שלו לקליטה של מה שנאמר בחדר ושימוש במצלמה להפקת תמונות (אם כי לא וידיאו). הוא גם מאפשר שאיבה של כל מה שמכונה "credentials" (אמצעי הזיהוי הנדרשים לכניסה לחשבון בנק, Gmail, וכו') באופן שייתר את הצורך לפרוץ אליהם ולהתמודד עם חומות הגנה גבוהות מאוד.
חמושים בפגסוס הראשון ובטלפון סלולרי להדגמת הדבקה, יצאו בן־גל, לביא וחוליו לחו"ל, לפגוש את הלקוח הראשון. חוליו מסרב לדבר בראיון על לקוחות ספציפיים, ועל הלקוח הראשון הוא מוכן לומר רק שזו מדינה מערבית שחברה ב־OECD. מקורות הבקיאים בהיסטוריה של החברה מאשרים כי מדובר במקסיקו, שסובלת מאוד מפשיעה מאורגנת וקרטלי סמים.
"במדינה הזאת", חוליו נזהר שלא לפלוט את שמה, "אומרים לנו: יש לנו בעיה קשה מאוד של פשיעה והחלטנו להיכנס בהם, בקרטלים". אבל ההתקנה של המערכת הראשונה של פגסוס התעכבה, כך לפי חוליו. אנשי NSO חשדו שהמשטרה שטיפלה בסוחרי הסמים היא "גוף בעייתי" וסירבו למכור לה את פגסוס. חוליו: "אבל כשהחליטו באותה מדינה להקים גוף נפרד, חדש, זרוע של הצבא, שיטפל בנושא הסמים, אליו ייבחרו אנשים מעולים ללא רבב, ללא עבר של שחיתות, שיעברו בדיקות פוליגרף - נפגשנו עם הגנרל, ראש הזרוע הזאת. הוא אמר: אתם מתיישבים בול כמו כפפה. אנחנו נבנה את כל מרכז הלחימה בסמים שאנחנו רוצים להקים על בסיס הטכנולוגיה החדשה שלכם. כך הוקם החמ"ל הכי גדול - לא רק באותו אזור אלא אחד הגדולים בעולם - למלחמה בפשע המאורגן ובסמים. להם הסכמנו למכור".
העסקה, כך נטען, התבררה כמוצלחת מאוד לשני הצדדים. מכשירי הסלולר של סוחרי הסמים הפכו למעשה ל"שקופים" עבור המודיעין המקסיקני. בליל חג המולד של 2011, זמן קצר אחרי התקנת המערכת, צילצל הטלפון בישראל והעיר את חוליו משנתו. "מהצד השני אומרים לי באנגלית שהנשיא רוצה לדבר איתי, ואני בטוח שעומרי עובד עליי. אני אומר 'תעשה לי טובה ותן להמשיך לישון' ומנתק את השיחה.
"אחרי שראו שהם לא משיגים אותי, הם התקשרו למנהל הפרויקט, שהיה ערני יותר והסכים לקבל את השיחה. הנשיא של אותה מדינה אמר לו שהוא רוצה להודות לנו בשמו ובשם אזרחי ארצו, וש'לא יכולתי לבקש מתנה טובה מזו לכריסמס. עם מה שאתם נתתם נצליח סוף־סוף למגר את הקרטלים'".
יעברו כמה שנים ו־NSO יהיו מעורבים באחד ההישגים הגדולים ביותר של המאבק בקרטלים: לכידת ברון הסמים מספר אחת בעולם, חואקין ארצ’יבלדו גוסמן לוארה - הידוע יותר בכינויו "אל צ'אפו", ראש קרטל הסמים האלים סינלואה. בעזרת שימוש מתקדם במערכת של NSO ומערכות נוספות הצליחו המקסיקנים לאתר בפברואר 2014 את אל צ’אפו בדירתו במסטלאן שלחופי האוקיינוס השקט, שם הוא נלכד ללא קרב ונאסר.
בכלא, בעזרת שימוש בטלפונים נסתרים שהיו ברשותו (חלקם תחת המעקב של מערכות NSO), הוא יזם הפקה של סרט או סדרה הוליוודית על חייו. בשיחות הללו הוא ביקש מעורכי דינו שימצאו לו מישהו מעולם הקולנוע או הטלוויזיה שייקח על עצמו את המשימה. הם מצידם פנו לכוכבת טלנובלות מקסיקנית יפהפייה בשם קייט דל קסטיו, שגילמה בעבר דמות של ברונית סמים באופרת סבון מקסיקנית.
ביולי 2015 אל צ'אפו הדהים את העולם ונמלט דרך מנהרה שנחפרה מתחת למקלחת שבתאו, ונמתחה כמעט שני קילומטרים לבית קטן שהיה בסמוך לכלא. כל הניסיונות ללכוד אותו עלו בתוהו. יוקרתה של מקסיקו עמדה על הכף.
אבל גם כשהוא בחוץ אל צ'אפו לא הפסיק לחלום לעשות סדרה כדוגמת "נרקוס" על חייו הסוערים. כוכבת הטלנובלה דל קסטיו קיבלה מאנשי אל צ'אפו מכשיר טלפון מסוג נדיר, שאמור להיות בלתי חדיר לפריצות, לצורך שיחות עם אל צ'אפו. המודיעין הצבאי המקסיקני השיג מכשיר דומה, והוא הוטס למעבדה של NSO בהרצליה, שם זכה ל"חליפת חדירה מיוחדת". כשהצליחו, פגסוס ניטרה את השיחות בין השניים; וגם קלט בטלפון אחר שלה את דל קסטיו מספרת בהתרגשות לנציגיו של ברון הסמים שפגשה את השחקן שון פן וגייסה אותו לטובת הפרויקט. לא ברור האם גם הטלפון של שון פן עצמו היה תחת האזנה, אבל כנראה לא היה צורך בכך.
בשלב מסוים הוחלט שפן ודל קסטיו יפגשו את ברון הסמים. הם עלו על מטוס פרטי שהטיס אותם למקום בלתי ידוע, ומשם הוסעו עוד כברת דרך ארוכה עד שפגשו את אל צ'אפו. ללא ידיעתם, המסע הזה היה תחת מעקב המודיעין המקסיקני, שהעדיפו מטעמי ביטחון שלא לעצור את אל צ'אפו באותו רגע (אבל המשיכו לנטר את השיחות). ב־8 בינואר 2016 פשטו כוחות מיוחדים על אחד מבתי המבטחים של אל צ'אפו בעיירה לוס מוצ’יס שבסינלואה. במהלך הקרב יריות נהרגו חמישה מאנשי ברון הסמים, והוא עצמו נלכד במלון סמוך לאחר שניסה להימלט. בימים אלו הוא עומד למשפט בארה"ב, תחת אבטחה כבדה.
"נשק רב עוצמה"
ההצלחה במקסיקו פתחה את כל העולם עבור NSO. העסקה הגדולה הבאה הייתה עם איחוד האמירויות הערביות, מהלך שנחשף לראשונה ב"ניו יורק טיימס". האגף לפיקוח על יצוא ביטחוני של משרד הביטחון (אפ"י) העניק מאז ועד היום רישיונות לשלוש עסקות שם, ובסך הכל, כך על פי מקור בקיא בנושא, בהיקף של כ־80 מיליון דולר הכנסות ל־NSO. התיווך לעסקה עם אחת ממדינות ערב בוצע באמצעות בכירים לשעבר במערכת הביטחון, להם היה קשר עמוק עם אחד מהבכירים האחראי על הרכש. אישור אפ"י ניתן רק למטרות מלחמה בטרור ובפשיעה.
גם כאן ההצלחה הגיעה מהר מאוד. איחוד האמירויות נמצא ביריבות עמוקה עם קטאר. על פי "הניו יורק טיימס" שימשו כלי הסייבר של NSO כדי ליירט שיחות טלפון של שר החוץ הקטארי ואחריו גם שליט המדינה, שעסקו בתשלומים של מאות מיליוני דולרים לאיראן ולחיזבאללה תמורת שחרור כמה מאנשיהם. חלק מהכסף הועבר גם לקאסם סולימאני, מפקד כוח קודס של משמרות המהפכה. המידע הזה דלף לתקשורת העולמית, הביך מאוד את הקטארים ותידלק קמפיין רב עוצמה נגדם. במפגש העובדים של NSO באוניברסיטת תל־אביב הוצג האירוע כאחד מהמקרים שבהם הטכנולוגיה של NSO ניצחה את הרעים - וסייעה לביטחונה של ישראל. "עורכי הדין חייבו אותי לשים שקף בתחילת הדוגמאות", מוסיף חוליו בחיוך, "בו אומר כי המקרים הבאים הם דוגמאות למה שחברות כמו NSO יודעות לעשות".
נישאים על גלי ההישגים הללו, מכרו חוליו ולביא את גרעין השליטה של NSO לפרנסיסקו פרטנרס ב־130 מיליון דולר (כשהם מותירים לכל אחד מהם 10%), ומצאו עצמם בקטגוריה של “מסודרים”.
NSO הצליחה למצוא פתרון לסוגיה שהטרידה אינספור גורמי מודיעין ואכיפה בעולם; והתקציבים החלו להגיע ("ובגדול", מאשר "קרלוס", איש המודיעין האירופאי), כשאנשי הג'יהאד העולמי, אל־קאעידה ובעיקר דאעש החלו לתקוף בתוך אירופה. ב־NSO מסרבים לדבר על מחירים, אבל על פי הפרסומים, מערכת עולה בבסיסה בין 15 ל־30 מיליון דולר. כל אחד מהלקוחות צריך לשלם עוד הרבה מאוד על כל "אסימון", כלומר על תוספת לפי תקיפה, לא כולל עדכונים והתאמות, שהכרחיים בשוק כל כך דינמי. חוליו מספר שהשנה שעברה, 2018, הייתה הטובה ביותר בתולדות החברה, ובמהלכה נמכרו מערכות לעשרות מדינות בכל רחבי העולם, "לכל היבשות זולת אנטארקטיקה".
בשיחה עימו ניכר כי "קרלוס", איש הביון הבכיר, מוקיר תודה למערכת ולמאבק במה שהוא מגדיר כ"עניינים קריטיים לביטחון המדינה ולמלחמה בפשיעה".
הטענה היא שזה במחיר של פגיעה בפרטיות של לא־מעורבים.
קרלוס: "רוב האוכלוסייה הם לא פושעים וזכותם לתקשורת מוצפנת. מצד שני, במצבים מסוימים אין ברירה ויש לתת לנו, לרשויות, את הכלים להתמודד עם טרור ופשיעה. הסיבה בגללה אני לא רוצה להיות מזוהה ולחשוף כמה שפחות מקרים היא כדי לא לתת להם, לפושעים ולמחבלים, את ההבנה באיזה כלים מדובר ולאפשר לנו להמשיך להשתמש בהם באופן יעיל נגדם".
קרלוס טוען כי המערכות של NSO סייעו, למשל, במיפוי טוב של מערכת הגיוס והעברת המתנדבים של דאעש מאירופה לסוריה ולעיראק, ואחר כך באיתור אלה שחזרו למערב, לרבות לארצו שלו, יעד מועדף לתאי התקיפה של הממלכה האיסלאמית. אחד מאלה שחזרו והיה תחת מעקב שיגר יום אחד הודעת ווטסאפ למשפחה שלו על כך שהוא עומד להפוך לשאהיד ולפוצץ את הרכבת התחתית. הוא נעצר בידי לוחמי היחידה ללוחמה בטרור כשהניח את הרגל על המדרגה הראשונה בדרך למטה, אל תוך התחנה. אסון גדול נמנע.
במקרה אחר, דרך המעקב על טלפונים הצליחו קרלוס ואנשיו לגלות מזימה להבריח לסוריה, הפעם כנראה לטובת השלטון של הנשיא אסד, 20 טון של חומרי מוצא לייצור גז חרדל ולסכל את הניסיון הזה בעודו באיבו. "הטכנולוגיה של NSO היא הכי טובה שיש, כלי חשוב בארגז הכלים שלנו", אומר קרלוס. "זה נשק רב עוצמה שבלעדיו אני לא אוכל לעשות את העבודה שלי כמו שצריך, כלומר להילחם בפשע ולהגן על האזרחים".
לנוכח הביקורת התקשורתית שנמתחת נגד החברה, חשוב לחוליו לארגן את המפגש הזה עבורי עם קרלוס, ולכן חשוב לו לסכם את העניין כך: "את הטוב שהחברה הזאת עשתה קשה מאוד, כמעט בלתי אפשרי, לכמת. אין לי דרך לומר את זה מבלי להישמע יהיר או שחצן, או שיגידו שאני סוטה מהנושא, אבל בסוף־בסוף־בסוף, בתמצות הכי פשוט של הדברים - בשמונה השנים האחרונות שהחברה קיימת ניצלו עשרות אלפי אנשים בזכות מניעת פיגועים וטרור ופשע, הוחזרו עשרות רבות של ילדים חטופים, אותרו ניצולים בהריסות בניינים, ונמנעו פשעים חמורים למכביר".
"זה פייק ניוז"
אבל על פי חלק מהפרסומים בעולם, לא רק "אנשים רעים" חשו על בשרם את עוצמת המערכות של NSO. בשנים האחרונות, כאמור, החלו להתפרסם יותר ויותר טענות לפיהן גורמי משטר עושים שימוש בכלים של NSO גם כדי לנטר עיתונאים או להיאבק בגורמי אופוזיציה לגיטימיים. השימוש שעשו אנשיו של נשיא פנמה ריקארדו מרטינלי ב"פגסוס", לדוגמה, נמצא בליבו של ויכוח ציבורי ושורה של תחקירים עיתונאיים במדינה. הטענה היא כי אנשי הנשיא השתמשו בפגסוס כדי לרדוף מתנגדים פוליטיים. על פי הטענות, המערכת נרכשה במחיר של 13.4 מיליון דולר. בעת מכירת המערכת עשה הנשיא מרטינלי מאמצים גדולים מאוד, חריגים ומפתיעים, לצאת לעזרתה של ישראל בזירה הבינלאומית ולצד ארה"ב.
גם במקסיקו עלו טענות כי התוכנה לא שימשה רק למטרות איסוף מודיעין נגד קרטלים, אלא גם נגד יריבים פוליטיים, ולפחות נגד עיתונאי חוקר אחד בשם רפאל קבררה, שעסק בבדיקת קשרי הון־שלטון במדינה. עוד נטען בתקשורת העולמית כי המערכת, בתצורה כזו או אחרת שלה, נמכרה או נבחנה למכירה גם במדינות בעייתיות אחרות כמו טורקיה, מוזמביק, קניה, תימן וניגריה.
חוליו מכחיש: "רשימת המדינות הזו שגויה כמעט לחלוטין. מקורה בפרסומים מגמתיים ושקריים. מעבר למדיניות היצוא המצוינת של ישראל ומערכת הביטחון, החברה מפעילה מנגנוני פיקוח פנימיים עם שיקולים נוספים ומגוונים, ולכן לרוב המדינות שציינת לא מכרנו ולא נמכור".
אחד הפרסומים הידועים בנושא NSO עסק באחמד מנסור, פעיל אופוזיציה באיחוד האמירויות. יום אחד מצא מנסור על מכשיר האייפון שלו הודעה שנראתה לו חשודה והכילה לינק. הוא לא הקליק עליה, ורק מסר אותה לבדיקה של שתי חברות אבטחה. לטענת החברות, הלינק הוביל לגילוי סוס טרויאני של NSO. הפרסום הביא את אפל להוציא עדכון כלל־עולמי למערכת ההפעלה שלה כדי לתקן את הפרצה.
אחת מחברות האבטחה תיארה את המצב כך: "מדובר בתוכנת המעקב המתוחכמת ביותר שנתקלנו בה, כשלחיצה אחת בלבד על לינק פורצת לחלוטין את המכשיר, על כל התכנים שבו, החל בג'ימייל, פייסבוק, סקייפ, ווטסאפ, וייבר, וויצ'ט, טלגרם, פייסטיים - כל מה שתעלו על דעתכם". אתה יכול להבין למה המוצרים שלכם מפחידים כל כך הרבה אנשים?
חוליו: "מי שצריך לפחד זה טרוריסטים, ארכי־מחבלים, פושעים וראשי ארגוני פשיעה. הציבור יכול וצריך לישון טוב בלילה".
ב־NSO מדגישים כי המכירות שלהם - שכאמור מבוצעות באישור אפ"י - הן למדינות ולארגוני משטרה ואכיפה שלהם, לא לגורמים פרטיים, ותמיד תוך התחייבות כי השימוש במערכת יהיה לצורך לחימה בטרור ובפשיעה. גורמים ישראליים שעושים בעצמם שימוש במוצרים של NSO אומרים כי מדובר בחברה מעולה שמפתחת מוצרים מעולים המסייעים לביטחון המדינה.
עם זאת, פרשת הפריצה לאייפון של מנסור, על פי הנטען, מדגישה אולי את הסכנות בידע שראשיתו במומחיות הנרכשת בקהילת המודיעין וסופו בידיים שאינן ישראליות. ראשית, הסכנה שהידע הזה יגיע גם לגורמים עוינים לישראל; שנית, שמערכת שתירכש בידי מדינות שבאמת נלחמות בטרור תוסב למלחמה גם נגד פעילי זכויות אדם. זו בעיה מוסרית, ולא פחות חשוב - עלולה לסבך את ישראל בפרשיות בינלאומיות לא פשוטות. שלישית, שחשיפת היכולות הללו, כמו ההתרעה שגרמה לאפל להוציא עדכון, תגרום נזק כבד למבצעים מודיעיניים שמדינה כלשהי מנהלת, ואשר נשענים בסופו של דבר על יכולות דומות.
חוליו טוען שאם החששות הללו יתקיימו, יש ל־NSO איך להגיב: "אל צ'אפו, סוחר הסמים הגדול בעולם ורוצח המונים, נתפס על פי הפרסומים באמצעות מערכת טכנולוגית שהאזינה לסביבתו הקרובה - עיתונאי, שחקנית ועורך דין - מה שהוביל להפללתו ולתפיסתו. במקרה שמדינה או ארגון יאזינו לעיתונאים או לפעילי זכויות אדם רק מעצם תפקידם - הדבר ייחשב לשימוש לא ראוי במערכת, וככל שנדע על כך המערכת הטכנולוגית שמכרנו להם תנותק לאלתר, דבר שיש ביכולתנו לעשות הן מבחינת הטכנולוגיה והן מבחינת החוזה המסחרי".
זה קרה פעם?
"בעבר סגרנו שלוש מערכות לצמיתות, ושלא ייקל הדבר בעיניך - אלה לקוחות ששילמו כסף, הרבה כסף, שהיו איתם יחסים עסקיים הדוקים".
באיזה מדינות הותקנו המערכות הללו?
"לא יכולים להגיד".
ב־NSO פועלת ועדת אתיקה שבראשה עומד עו”ד אל”מ (מיל’) דניאל רייזנר, לשעבר ראש ענף דין בינלאומי בפרקליטות הצבאית וכיום שותף בכיר במשרד הרצוג־פוקס־נאמן. לדברי עו”ד רייזנר, “פסלנו עסקאות חתומות בכמעט 150 מיליון דולר בשלוש השנים האחרונות, עסקות שלכולן היו כבר את כל הרשיונות הנדרשים מישראל ומאירופה”.
מה בעיקר היו הסיבות לפסילה?
רייזנר: “בדרך כלל הסיבה הייתה שהייתה לנו תחושה שיש סכנה של שימוש לרעה במערכת שלנו למטרות שהן לא מובהקות לחימה בטרור או אכיפת חוק”.
חוליו, האם אתה יכול לומר בבטחה שמחר או מחרתיים "פגסוס" לא תתגלגל דרך גורם שלישי לחיזבאללה או למשמרות המהפכה? פורסם, למשל, כי עובד ממורמר שלכם שפוטר הציע למכירה את פגסוס בדארקנט.
חוליו: "המערכת מורכבת מתוכנה ומחומרה. הטכנולוגיה מותקנת אך ורק באתר הלקוח המאושר ולה מנגנוני הגנה מתקדמים, מגוונים והמתוחכמים ביותר בעולם. הסיכוי שטכנולוגיה תופעל על ידי מפעיל לא מאושר הוא אפסי - וגם אז, כאמור, יש ביכולתנו לנתק מיידית את המערכת ברגע שנדע על כך".
על פי הפרסומים, תוכנה שלכם בשם Chrysaor (שאגב, במיתולוגיה היוונית הוא סוס האח של פגסוס) נמצאה גם במכשירים סלולריים של ישראלים. אתה יכול לאשר או להכחיש שמכרתם לגורמי ממשל בארץ תוכנות?
"לא מדובר בתוכנה שלנו, הפרסומים משוללי כל יסוד ואין להם כל אחיזה במציאות. זו דוגמה מובהקת לפייק ניוז".
הגל האחרון של הפרסומים, שכאמור כולל גם תביעה בבית המשפט, נגע לטענות לפיהן נעשה לכאורה שימוש במערכות החברה כדי לאתר את העיתונאי חאשוקג'י טרם רציחתו. חוליו, כאמור, מכחיש באופן קטגורי כל קשר של מוצרי החברה לרצח.
דיוויד איגנשיוס טען ב"וושינגטון פוסט" שמכרתם את המערכת שלכם לסעוד אל־קטאני, היועץ הקרוב של נסיך סעודיה מוחמד בן־סלמן. זה היועץ שפוטר מאוחר יותר בחשד כי הורה על הרצח.
"אנחנו מכחישים באופן קטגורי שמכרנו את המערכת לקטאני. אנחנו לא מוכרים את המערכת לגורמים פרטיים".
ברור שלא מכרתם לקטאני כאיש פרטי. השאלה היא האם מכרתם את המערכת לקטאני או לגורם סעודי רשמי אחר?
"אנחנו מכחישים כי מכרנו את המערכת לקטאני".
זה ניסוח קצת מעורפל. הרי הוא אדם בתפקיד רשמי. הוא לא קונה מכם את המערכת כאיש פרטי.
"התפקיד של קטאני היה יועץ. כיועץ לא מכרנו לו. אם אנחנו מוכרים ואם נמכור, זה רק לארגוני מודיעין".
האם מכרתם את המערכת לערב הסעודית?
"אנחנו לא מתייחסים לשום שאלה על לקוחות ספציפיים. לא מכחישים ולא מאשרים".
אדוארד סנודן בשיחה נדירה: NSO" משחקים משחק מסוכן"
עד לאחרונה הוויכוח על כלי הסייבר ההתקפיים של NSO נותר פחות או יותר נחלתם של מביני עניין, ופה ושם עלה לכותרות גם בעיתונות הכללית, בעיקר האמריקאית. אבל הטענות ששלטונות סעודיה עשו לכאורה שימוש בכלים הללו כדי להגיע אל העיתונאי ג'מאל חאשוקג'י ולאחר מכן לחסלו, כבר הידהדו בכל העולם. אחת הסיבות לכך הייתה התבטאות חריפה של אדוארד סנודן בנושא. סנודן, עובד לשעבר בסוכנות האמריקאית לביטחון לאומי (NSA), הדליף ב־2013 כמויות אדירות של חומר מודיעיני, בעיקר על יכולות הסייבר הנרחבות של ארה"ב - והצית דיון כלל־עולמי בסוגיית החדירה לפרטיות. בעוד שבעיני רבים הוא בוגד שהסגיר את סודות מדינתו, רבים אחרים רואים בו סוג של לוחם חופש מודרני, וכמי שהסיר את הלוט מעל עומק החדירה של שלטונות לפרטיותם של אזרחיהם בעידן הדיגיטלי. סנודן טען לפני כמה שבועות (בהרצאת סקייפ עבור משרד האיסטרטגיה אורנשטיין חושן) כי NSO מעורבת ברצח חשוגי. ממקום המקלט שלו ברוסיה, בשיחה נדירה עם עיתונאי ישראלי, הוא הסביר מדוע הוא רואה בעייתיות ביכולות של חברת הסייבר הישראלית. "אני לא טוען ש־NSO היו מעורבים בפריצה לטלפון של חאשוקג'י, ולכן ההכחשה שלהם לא מביאה אותנו רחוק", אומר סנודן ל"ידיעות אחרונות". "מה שהראיות מראות הוא שמוצרים של החברה היו מעורבים בפריצה של טלפונים של חבריו, עומר עבדולעזיז, יחיא עסירי וג'אנם אלמסריר. על זה אנחנו לא שומעים.
"עכשיו, בוא נניח שאתה בוטח ב־NSO ושהם חסרי פניות וישרי דרך הראויים לכל אמון ציבורי. הנה הבעיה: כשאתה מפיל פצצה על מישהו, המטרה לא יכולה לתפוס אותה ולזרוק אותה בחזרה עליך. עם נשק סייבר כזה - אתה יכול. ברגע ש־NSO אומרים ללקוח 'בסדר, אתה יכול להשתמש בכלי התקיפה שלנו כדי לפרוץ לטלפון של טרוריסטים', הם איבדו שליטה, כי הבחור הזה - אם הוא חכם - יכול להעתיק את החולשות ש־NSO מנצלת, וכעבור כמה ימים להשתמש בהן אלף פעמים, מיליון פעמים, ולא רק נגד טרוריסטים. הוא יכול להשתמש בו נגד ישראל, הוא יכול להשתמש בו נגד NSO. לדעתי הם משחקים משחק מסוכן.
"הייתי רוצה להאמין ש־NSO לא פרצו את הטלפון הנייד האישי של חאשוקג'י. בעבודה המודיעינית פריצה ישירה של המטרה העיקרית - או הקורבן - היא לא תמיד הדבר הסביר לעשות, כי היא יכולה להשאיר ראיות משפטיות בטלפון, וזה לא בדיוק ההתנקשות המושלמת. זכרו, תמיד יש לפחות שני מקומות לרגל אחרי שיחה: אצל הקורבן, ואצל האדם עימו הקורבן מדבר.
"בזכות 'סיטיזן לאב' (ארגון זכויות האדם שפירסם את הדוחות נגד NSO) יש בידינו עדויות לכך שזה מה שקרה במקרה של חאשוקג'י. שלושה אנשים שונים, שכולם היו במגע עימו, סבלו מניסיונות חדירה מצד מה שנראה כמו המודיעין של ערב הסעודית, תוך שימוש בכלים של NSO. בסוכנות לביטחון לאומי היינו אומרים: 'פעם אחת - צירוף מקרים; פעמיים - סיכוי סטטיסטי; שלוש פעמים - פעולה עוינת'. מה שקרה במקרה של חאשוקג’י נראה כמו תבנית שראיתי פעמים רבות: ממשלה שיצאה משליטה דורשת מהמרגלים שלה לגלות את 'התוכניות והכוונות' של אלו אשר קוראים לרפורמה במשטר, תוך שימוש ביכולות שכולם מעמידים פנים שמשמשות רק נגד טרוריסטים ופושעים.
"הסעודים ידעו שחאשוקג'י צריך לבוא לפגישה בקונסוליה שלהם. הם לא היו צריכים לחשוף את המיקום שלו. מה שהם כן היו צריכים, זה לבדוק האם תנועת הרפורמה מהווה סכנה גדולה מספיק למשטר, עד שהוא יסתכן בהריגת מנהיגיה. אני מאמין כי בדיוק בנקודה הזו נכנסה NSO לתמונה. מהראיות עולה כי נעשה בפגסוס שימוש כדי לחדור לטלפונים של רשת המכרים של חאשוקג'י, ועל סמך מה שלמדו לחצו הסעודים על ההדק.
"אני חושב שיש אפשרות אמיתית שאם NSO הייתה מסרבת למכור את הטכנולוגיה המסוכנת הזו לסעודיה, מדינה עם היסטוריה ארוכה של הפרות זכויות אדם, חאשוקג'י אולי היה עדיין בחיים. אבל בין אם אתם מסכימים איתי או לא, ברור שזה עסק מסוכן. אני חושב שזו האירוניה האפלה ביותר של הסיפור הזה: הם אומרים שהם מצילים חיים, אבל הראיות מלמדות שהם גורמים בדיוק לתוצאה ההפוכה".
תגובת NSO: "סנודן הוא זה שהטיף להאזנה המונית, כזו שמנטרת בכל רגע נתון את כל תעבורת השיחות והמידע של כל האזרחים, ושם מוצאים פרופילים חשודים. NSO מספקת טכנולוגיה שעושה בדיוק ההפך, ומאפשרת האזנה נקודתית בלבד לאנשים ספציפיים, במטרה לחקור ולמנוע פשע וטרור. יתרה מזאת, כל לקוח מקבל מספר מאוד מוגבל של מעקבים אחר מכשירי קצה.
"סנודן לא מכיר את NSO בכלל, וכל המידע שיש לו מבוסס על דוחות שגויים של סיטיזן לב, שחוקריה בעצמם משתמשים במילים כמו 'כנראה היה שימוש' או 'יש חשד' או 'אנו מאמינים' - ללא שום ודאות, רק ניחושים. ואכן, הדוחות האלה רחוקים מאוד מהמציאות ואנחנו נשמח מאוד לדבר עם סנודן ולהראות לו מדוע הם שגויים לחלוטין.
"ובנימה אישית: זה קצת מביך שאחד הבוגדים הכי גדולים בהיסטוריה של ארה״ב מקבל מקלט ומתחבא ברוסיה ‑ מדינה שמפירה זכויות אדם, פוגעת בקהילה הגאה ומפעילה אמצעי ריגול מתקדמים כלפי רבים מאזרחיה ‑ הוא האיש שמטיף משם על פשעים והפרה של זכויות אדם שהתבצעו באמצעות הטכנולוגיות שלנו. זו צביעות לשמה".
מ”סיטיזן לאב” נמסר בתגובה: “הדיווחים שלנו על תוכנות ריגול של פגסוס של NSO, מעלים ספקות כבדים ביחס למציאות הליכי בקרת נאותות ושמירה על זכויות האדם המתקיימים בקבוצת NSO. הטענות לגבי ’אי דיוקים’ הן תמוהות ובלתי מבוססות. במקום זאת, סיטיזן לאב ממשיכה להאיץ בקבוצת NSO לאמץ מדיניות שקופה לציבור של מנגנוני פיקוח מפורטים, התואמים את עקרונות ההנחיות של האו”ם בנושא שמירה על זכויות האדם”.
