Att fånga Pegasus: Vinningslysten spionprogram och NSO-gruppens ansvar

Dr Binoy Kampmark – Middle East Monitor

 

NSO Group, Israels älskling när det gäller smittning och övervakning av skadlig programvara för den globala säkerhetsmarknaden, var skapandet av tre ingenjörer från den mest upptagna cyberenhet i den israeliska försvarsstyrkan som kallas Unit 8200. Niv Carmi, Shalev Hulio och Omri Lavie, har verkligen gjort intryck sedan de grundade sitt teknikföretag 2010.

Det omisskännliga intrycket från gruppen är dess bländande amoralitet. Det finns bokstavligen ingen regering som den inte kommer att lägga till sina listor för leverans, ingen plånbok kommer den inte att tömma med tillfredsställelse. Juvelen i leveranskedjan har till största delen varit dess Pegasus-spionprogram, som NSO hävdar används uteslutande för att ”utreda terrorism och brottslighet”.

Trots ett så högt påstående har detta läckra smittsamma nummer hittat sin väg in i övervakningsarsenalen hos olika stater och klienter som ser människorättsförsvarare, journalister och dissidenter som värda att övervakas med. Mest ökänt är fallet med kungariket Saudiarabien, som använde det för att avlyssna samtal mellan den bortgångne dissidenten saudisk journalist Jamal Khashoggi och Omar Abdulaziz, en annan figur som hade förtjänat kungarikets vrede. I oktober 2018 gick Khashoggi glatt in på det saudiska konsulatet i Istanbul, bara för att bli uthuggna av en dödspatrull på order av Saudiarabiens kronprins Mohammed bin Salman. Abdulaziz samlade därefter ett juridiskt team som hävdade att hackningen av hans telefon ”på ett betydande sätt bidrog till beslutet att mörda Khashoggi.”

I juli 2021 visade Pegasus-projektet, ett samarbete som involverade över 80 journalister från 17 mediaorganisationer och civilsamhällesgrupper styrda av Forbidden Stories med teknisk assistans från Amnesty Internationals säkerhetslaboratorium, mycket av NSO:s smutsiga tvätt. Ungefär 50 000 telefonnummer som ansågs intressanta för olika regeringar hade dykt upp på en lista över hackbara mål. Pegasus hade varit nyckeln till att öppna låset.

Den 20 december fattades det viktigaste juridiska beslutet hittills angående NSO:s beteende av seniordistriktsdomare Phyllis J. Hamilton vid US District Court för Northern District of California. Hennes dom gällde WhatsApps rättsprocess som lämnades in 2019 mot NSO-gruppen, och hävdade att Pegasus hade installerats på cirka 1 400 mobiltelefoner och enheter som ägdes av journalister, aktivister och diplomater för att utföra övervakning av dem. Därmed hävdade WhatsApp att NSO hade brutit mot både den federala Computer Fraud and Abuse Act och Kaliforniens Comprehensive Computer Data Access and Fraud Act. Efter fem år tog ärendet en intressant vändning med ett drag från WhatsApp för att söka en partiell summarisk dom.

Under hela fallet var distriktsdomaren uppenbarligen inte imponerad av NSO:s hala beteende. ”Sammantaget drar domstolen slutsatsen att de tilltalade upprepade gånger har misslyckats med att ta fram relevant upptäckt och underlåtit att lyda domstolsbeslut angående sådan upptäckt.” Hela tiden vägrade det israeliska företaget att producera Pegasus-koden, deras guld gås. Sedan kom ett motvilligt avslöjande av kodens installationsnivå. Domaren var missnöjd med denna ofullständiga bild och bad om fullständigt avslöjande.

NSO gjorde det, men bara i Israel. Detta hindrade saken: Israelisk lag förhindrade produktionen av källkoden, vilket gjorde den otillgänglig för kärandens advokater eller någon amerikansk domstol. Med fräckhet, för att inte tala om särpräglad extravagans, insisterade företaget på att WhatsApp och domstolen kunde anlita israeliska advokater för att se koden, eller söka en israelisk regerings exportlicens för att använda koden i USA. Domare Hamilton irriterade sig över det stora opraktiska i det hela, medan NSOs juridiska representant Aaron Craigh från King & Spalding hävdade att hans klienter hade varit ”tillmötesgående” med domstolsbeslutet.

Domaren gjorde kort anspråk på att NSO-gruppen inte var föremål för domstolens räckvidd, eftersom ”bevisdokumentationen stöder slutsatsen att [de] tilltalade är föremål för personlig jurisdiktion i detta distrikt.” Hon noterade också NSO:s fullständiga erkännande av att WIS (’Whatsapp Installation Server’ – en modifierad variant av WhatsApp) skickade meddelanden via Whatsapp-servrar som gjorde att Pegasus installerades på målanvändarnas enheter, och att WIS sedan var kapabel att erhålla skyddad information genom att få den skickad från målanvändarna, via Whatsapp-servrarna och tillbaka till WIS.” NSO hade ”låtit digitala sändningar komma in i Kalifornien, vilket utgjorde ett brott mot lagen inom den jurisdiktionen.”

Fallet fällde NSO:s tidigare påståenden att kunden, inte skaparen av spionprogrammet, var i huvudsak ansvarig eller ”suverän”. Med hänvisning till en ledande befattningshavares deposition, noterar en anmälan från WhatsApp att ”kunden helt enkelt lägger en beställning på en målenhets data, och NSO kontrollerar varje aspekt av datahämtning och leveransprocess genom sin design av Pegasus.” Enligt företagets eget medgivande var installation av spionprogram via WhatsApp ”en fråga för NSO och systemet att ta hand om, inte en fråga för kunderna att driva.”

Spionprograms installationen befanns följaktligen ha brutit mot både den federala Computer Fraud and Abuse Act och statens Comprehensive Computer Data Access and Fraud Act. Men amerikansk lag är också angelägen om att betona den bibliska heligheten hos avtalsförpliktelser. NSO hade misslyckats med att bryta mot WhatsApps användarvillkor genom att omvända utvecklingen och dekompilera programvaran för att utveckla WIS. Med råttliknande list hävdade de tilltalade att alla sådana ändringar skulle ha skett ”innan de gick med på användarvillkoren.” Domaren förblev inte övertygad av det hela, eftersom de tilltalade ”har undanhållit bevis angående deras samtycke till tjänstevillkoren.” NSO kunde inte heller ”meningsfullt bestrida att det var nödvändigt att acceptera användarvillkoren för att skapa ett Whatsapp-konto och använda Whatsapp.” Om ett avtalsbrott konstateras kommer frågan om beslut om skadestånd att avgöras vid rättegången.

I ett uttalande uttryckte WhatsApp viss tillfredsställelse. ”Efter fem år av rättstvister är vi tacksamma för dagens beslut.” NSO-gruppen kunde ”inte längre undvika ansvarsskyldighet för sina olagliga attacker mot WhatsApp, journalister, människorättsaktivister och civilsamhället.” Senior teknisk juridisk rådgivare på Access Know, Natalia Krapiva, jublade också över ”det första framgångsrika fallet mot NSO Group där NSO befanns ansvarigt för att äventyra den digitala säkerhetsinfrastrukturen som miljontals människor litar på med Pegasus spionprogram.”

Med tanke på NSO-gruppens fräcka uppförande, vad domare Hamilton betraktade som ”ren spelmanship”, kan vi förvänta oss en kamp för att minska eventuella skadeståndskrav. Men i denna bedrövligt oreglerade industri kommer Israels affischbarn av spionprogram med största sannolikhet att hosta upp och fortsätta att tjäna pengar på patologierna med statlig osäkerhet. De måste bara vara uppmärksamma på den amerikanska marknaden från och med nu.

 

 

Originaltext: Catching Pegasus: Mercenary Spyware and the Liability of the NSO Group

 

Pegasus

Artiklar med samma tema

Islamisk Forums syfte är att sprida korrekt och aktuell information om Islam i det svenska samhället. Informationen är till för både muslimer och icke muslimer.

Navigation
Adress

Box 7149
103 87 Stockholm

E-post

info@islamisktforum.se
För dig som har frågor eller synpunkter

nytt@islamisktforum.se
För dig som vill att din förening, organisation eller moskés planerade aktiviteter ska finnas med i vår kalender.

© Islamiskt Forum | Webbutveckling Galax