«Пегас» - читать бесплатно онлайн полную версию книги автора Лоран Ришар (Введение) #2

Введение

Рэйчел Мэддоу

Звонок был срочным, поскольку раздался ближе к полуночи по тель-авивскому времени 5 августа 2020 года от кого-то из высшего руководства NSO Group. Шери Блэр, бывшая первая леди Соединенного Королевства, адвокат с большим стажем, известный защитник женщин-предпринимателей в Африке, Южной Азии и на Ближнем Востоке, видный борец за права человека во всем мире, была вынуждена взять трубку. Миссис Блэр недавно стала платным консультантом израильской компании NSO, чтобы помочь "включить соображения прав человека в деятельность NSO, включая взаимодействие с клиентами и развертывание продуктов NSO".

С этической точки зрения это было очень тонкой работой, поскольку фирменный продукт NSO — программное обеспечение для киберслежки под названием Pegasus — был замечательным и удивительно нерегулируемым инструментом, чрезвычайно прибыльным для компании (в том году NSO заработала около 250 миллионов долларов) и опасно соблазнительным для ее клиентов. Успешно развернутый Pegasus, по сути, владеет мобильным телефоном; он может взломать встроенные в него средства защиты, включая шифрование, и получить почти полную свободу действий на устройстве, никогда не предупреждая владельца о своем присутствии. Сюда входят все текстовые и голосовые сообщения на телефон и с него, данные о местоположении, фото и видео, заметки, история посещений, даже включение камеры и микрофона устройства, при этом пользователь не имеет ни малейшего представления том, что это происходит. Полное удаленное наблюдение за личностью одним нажатием кнопки.

NSO настаивает на том, что ее программное обеспечение и вспомогательные услуги лицензированы только для суверенных государств, чтобы использоваться в правоохранительных и разведывательных целях. Они настаивают на том, что это правда, потому что, боже мой, представьте себе, если бы это было не так.

Система киберслежения, которую компания создала и постоянно обновляет и модернизирует для своих шестидесяти с лишним клиентов в более чем сорока разных странах, сделала мир намного безопаснее, утверждают в NSO. Десятки тысяч жизней были спасены, говорят они, потому что за террористами, преступниками и педофилами (педофилы — главный тезис компании в последние несколько лет) можно следить и останавливать их до того, как они начнут действовать. Цифры проверить невозможно, но, как утверждает NSO, преимущества Pegasus, используемого в рамках закона и этических норм, практически неоспоримы. Кто не хочет остановить педофилов? Или террористов? Кто может быть против этого?

"Управление полетами, у нас проблема", — такое сообщение получила Шери Блэр по телефону теплым летним вечером в августе 2020 года.

"До NSO дошло, что их программное обеспечение могло быть использовано не по назначению для слежки за мобильным телефоном баронессы Шеклтон и ее клиентки, Ее Королевского Высочества принцессы Хайи", — объяснил Блэр в ходе судебного разбирательства в Лондоне несколько месяцев спустя. "Старший менеджер NSO сказал мне, что NSO очень обеспокоена этим".

Согласно показаниям, полученным в лондонском суде, беспокойство НСО было двояким. Первое — это вопрос профиля. Pegasus был направлен против женщины, которая являлась членом двух влиятельных ближневосточных королевских семей, а также против ее очень хорошо связанного британского адвоката, баронессы Фионы Шеклтон. Шеклтон была не только известным адвокатом по бракоразводным процессам богатых и знаменитых людей, включая Пола Маккартни, Мадонну, принца Эндрю и принца Чарльза, но и сама являлась членом Палаты лордов. Еще более проблематичным для NSO было то, что атаки на баронессу и принцессу были обнаружены сторонним исследователем кибербезопасности. Если он выяснил только одну деталь того, как используется "Пегас", то что еще он выяснил? И как много из этого должно было стать достоянием общественности?

Звонивший из NSO попросил Шери Блэр "срочно связаться с баронессой Шак Летон, чтобы она могла уведомить принцессу Хайю", — пояснила она в своих показаниях. "Старший менеджер NSO сказал мне, что они предприняли шаги, чтобы исключить возможность повторного доступа к телефонам".

Подробности ночного звонка Блэру и слежки за принцессой и ее адвокатом стали достоянием общественности лишь спустя год с лишним, и то лишь потому, что это было частью процесса по опеке над ребенком принцессы Хайи и ее мужа, шейха Мохаммеда бен Рашида Аль Мактума, премьер-министра Объединенных Арабских Эмиратов и эмира Дубая. В заключении председателя Высокого суда по семейным делам, обнародованном в октябре 2021 года, говорится, что мобильные телефоны принцессы, ее адвоката, баронессы и еще четырех человек из их близкого окружения были атакованы программой киберслежения, причем "использовалась программа Pegasus компании NSO". Судья определил, что более чем вероятно, что слежка "осуществлялась слугами или агентами [мужа принцессы, шейха Мохаммеда бен Рашида Аль Мактума], эмирата Дубай или ОАЭ". По мнению судьи, слежка "велась с явных или подразумеваемых полномочий шейха".

История о принцессе, баронессе и Пегасе могла бы попасть в колонки сплетен и через несколько недель кануть в Лету. Богатый и влиятельный человек использовал дорогую программу, чтобы шпионить за своей женой и ее адвокатом по бракоразводным процессам? Ну, если вы выходите замуж за шейха, а потом переходите ему дорогу, то вполне можете ожидать странных событий. NSO также провела довольно хорошую работу по очистке Aisle Spyware. Судебное решение в основном приняло слова NSO о том, что она полностью прекратила возможность ОАЭ использовать свою систему Pegasus, что обошлось компании, как отметил судья, "в десятки миллионов долларов". Возможно, так оно и было, но кто может сказать.

Однако на пути к этой статье в колонке сплетен о суде по бракоразводному процессу произошла забавная вещь. Как раз в то время, когда Шери Блэр получила звонок из Израиля, один очень смелый источник предложил двум журналистам из Парижа и двум исследователям кибербезопасности из Берлина получить доступ к удивительной части утечки данных. В списке были номера телефонов не одного или двух, не десяти эмиратских будущих разведенцев, и даже не двадцати или пятидесяти подозреваемых в педофилии или наркоторговле. Это было пятьдесят тысяч номеров мобильных телефонов, отобранных для возможного таргетинга Pegasus клиентами израильской фирмы NSO. Пятьдесят тысяч?

Что именно делать с этим первоначальным списком, ставшим известным благодаря утечке информации, этим решающим первым взглядом в бездну, — вопрос, на который потребовался почти год, чтобы получить ответ, с большим риском и серьезной работой. Ответ на этот вопрос имеет значение. Потому что либо это скандал, который мы поймем, поймем и найдем решения, либо это будущее, для всех нас, без всяких ограничений.

Эта книга — закулисная история проекта "Пегас", расследования смысла утечки данных, рассказанная Лораном Ришаром и Сандрин Риго из Forbidden Stories, двумя журналистами, получившими доступ к списку из пятидесяти тысяч телефонов. С этим списком они собрали и скоординировали международное сотрудничество более восьмидесяти журналистов-расследователей из семнадцати медиаорганизаций на четырех континентах, в одиннадцати часовых поясах и примерно на восьми языках. "Они держались вместе просто чудесным образом", — говорит редактор газеты Guardian, одного из партнеров проекта "Пегас". "У нас, наверное, шестьсот журналистов. Washington Post, возможно, вдвое больше. И то, что небольшая некоммерческая организация в Париже, на которую работает всего несколько человек, смогла собрать глобальный альянс медиа-организаций и противостоять не только одной из самых мощных компаний по киберслежке в мире, но и некоторым из самых репрессивных и авторитарных правительств в мире, — это впечатляет".

В ежедневной череде американских новостей и политики — моей рубрике — нечасто можно встретить новости, которые одновременно являются триллером и имеют реальное катастрофическое значение. Обычные гражданские лица, на которых нацелено военное оружие наблюдения — против их воли, против их ведома и без каких-либо средств защиты — это антиутопическое будущее, к которому мы действительно движемся, если не поймем эту угрозу и не предпримем меры, чтобы остановить ее. Сага "Проект Пегас" не только показывает нам, как ее остановить; это захватывающая история о героях, которые нашли этого дракона, а затем отправились его убивать. Я никогда не занимался подобными историями, но Лоран и Сандрин точно занимались, и это чертовски захватывающий материал.

Двигателем повествования, которое вы сейчас прочтете, является само рискованное расследование, начиная с момента, когда эти парни впервые получили доступ к утечке списка в последней половине 2020 года, и заканчивая публикацией в июле 2021 года. Но здесь также рассказывается история компании NSO, ее израильских правительственных благодетелей и государств-клиентов, которая ведет читателя из Тель-Авива в Мехико, Милан, Стамбул, Баку, Эр-Рияд, Рабат и далее. Десятилетний взлет компании — от ее маловероятного создания, первых схваток с конкурентами до золотой эры размаха и прибыльности — раскрывает всю историю разработки, вооружения и бездумного распространения опасной и коварной технологии. "Если вы продаете оружие, лучше убедиться, что вы продаете его тому, кто отвечает за свои действия", — говорит один молодой израильский эксперт по кибербезопасности. "Если вы даете полицейскому пистолет, а тот начинает стрелять в невинных людей, вас никто не обвинит. Но если вы даете шимпанзе пистолет, и шимпанзе стреляет в кого-то, вы не можете винить шимпанзе. Верно? Виноваты будете вы". Оказалось, что в этой истории вооруженных шимпанзе полным-полно. А также множество невинных людей, в которых стреляла пресловутая полиция.

Здесь также рассказывается о других людях, помимо Лорана и Сандрин, которым был доверен полный доступ к утечке данных, — Клаудио Гуарньери и Доннче О Сирбхайле (произносится О'Кэрролл), двух молодых, неисправимых и неуемных специалистах по кибербезопасности из Лаборатории безопасности Amnesty International. Эти люди — одному едва за тридцать, другому еще нет и двадцати — несли невероятную нагрузку на протяжении всего проекта "Пегас". Противостоя самым агрессивным и опытным специалистам по кибервзломам в мире, Клаудио и Доннча должны были разработать и обеспечить соблюдение протоколов безопасности, благодаря которым расследование оставалось в тайне почти целый год, а источник, предоставивший список, навсегда остался вне опасности.

Более того, Клаудио и Доннча должны были найти доказательства наличия шпионской программы NSO на телефонах, которые были в списке, переданном им этим отважным источником. Коварная сила инфекции Pegasus заключалась в том, что была совершенно незаметна для жертвы — вы никак не могли узнать, что злодеи читают ваши тексты и электронные письма, прослушивают ваши звонки и даже личные встречи, пока они не использовали свою способность отслеживать ваше точное местоположение, чтобы послать людей с оружием на встречу с вами. Для того чтобы проект Pegasus успешно раскрыл масштаб скандала, журналисты знали, что им нужно уметь диагностировать заражение или попытку заражения на отдельном телефоне. Клаудио и Донча придумали, как это сделать. Работая в буквальном смысле в одиночку, эти двое выступили против многомиллиардной корпорации, в которой работало 550 высокооплачиваемых киберспециалистов, многие из которых имели высшее военное образование в области кибервойн. Чтобы одолеть Голиафа, этим двум Давидам пришлось изготовить собственную рогатку, изобрести методы и инструменты криминалистики на ходу. То, что им это удалось, столь же невероятно, сколь и важно для всех нас.

Здесь также рассказывается о жертвах Пегаса. Среди них есть те, кто обладает достаточной властью, чтобы можно было ожидать, что они будут защищены от подобного тоталистического вторжения — главы государств, высокопоставленные короли, высокопоставленные политики, представители правоохранительных органов. А еще есть люди, которых правительства во всем мире всегда любили брать под прицел: оппозиционеры, диссиденты, правозащитники, ученые. Лоран и Сандрин Рейк сосредоточились на группе, наиболее представленной в утечке данных, — журналистах.

Для меня самыми незабываемыми героями этой истории стали Хадиджа Исмаилова из Азербайджана и Омар Ради из Марокко. Их необыкновенное мужество достойно восхищения и дорогого стоит. Их истории обнажают ужасные личные последствия противостояния правительствам в эпоху нерегулируемого киберслежения, и таких людей, как они, должно быть больше.

По мере того как антидемократические и авторитарные ветры набирают силу по всему миру, становится все более очевидным, что верховенство закона способно противостоять лишь силам, чертовски нацеленным на его уничтожение. Если мы чему-то и научились за последние пять лет, так это тому, что не будет ни прокурора на белом коне, ни безупречного судопроизводства, где святой Петр в черной мантии открывает или закрывает жемчужные ворота на основании истинного и совершенного знания о грехах тех, кто находится на скамье подсудимых. Иногда, конечно, закон способен помочь. Но чаще угроза ускользает, обходит или просто опережает закон таким образом, что нам требуется другой вид защиты. Снова и снова журналистам приходится обнародовать факты коррупции, продажности, кумовства, беззакония и жестокости, практикуемых власть имущими.

Опасности, связанные с такой работой, реальны, и их становится все больше. При всех премьер-министрах, бывших женах королевских особ и других высокопоставленных целях, которые поражают клиенты NSO, неудивительно, что "Пегас" был включен на полную мощность на репортеров и редакторов, чтобы преследовать, запугивать и заставлять молчать. Если об этом антидемократическом, авторитарном кошмаре нельзя будет спокойно рассказать, его не поймут. А если его не поймут, нет никаких шансов, что его удастся остановить.

Где сейчас находится ваш телефон? Это маленькое устройство в вашем кармане, скорее всего, работает как ваш личный календарь, карта и атлас, почтовое отделение, телефон, блокнот, фотоаппарат — в общем, как ваш надежный помощник. Мэтью Ной Смит, профессор моральной и политической философии, в 2016 году написал, что мобильный телефон "является продолжением разума…. Просто не существует принципиального различия между процессами, происходящими в мясистом шаре в вашем черепе, и процессами, происходящими в маленьком блоке из кремния, металла и стекла, которым является ваш iPhone. Твердотельный накопитель, хранящий фотографии в телефоне, — это ваши воспоминания, точно так же как определенные группы нейронов, хранящие изображения в вашем мозге, — это воспоминания. Наше сознание выходит за пределы головы и распространяется на наши телефоны".

В то время профессор Смит доказывал необходимость создания зоны неприкосновенности частной жизни, которая распространялась бы и на наш мобильный телефон. Если государство не имеет права доступа к мыслям в нашей голове, то почему оно должно иметь право доступа к тем фрагментам наших мыслей, которые мы храним в своем мобильном телефоне? В наши дни мы говорим своему мобильному телефону практически все, даже то, что не осознаем, и используем его как канал для передачи самых сокровенных сведений о себе. (Если вы считаете, что ваша конфиденциальность защищена шифрованием, прочтите эту книгу и подумайте о пятидесяти тысячах людей из этого списка ужасов, которые, сами того не подозревая, стали объектом, не желая делиться каждой вещью, проходящей через их телефоны, с людьми, которые только заплатили за эту привилегию.

Тот список из пятидесяти тысяч был всего лишь нашим первым взглядом на место преступления через замочную скважину. Если они смогли сделать это за пятьдесят тысяч, не значит ли это, что они смогут сделать это за пятьсот тысяч? Пять миллионов? Пятьдесят миллионов? Где предел, и кто проведет эту черту? Кто избавит нас от этого всемирного оруэлловского кошмара? Потому что, оказывается, не обязательно быть замужем за эмиром чего-либо, чтобы каждая ваша мысль, каждый шаг, каждое слово записывались и отслеживались издалека. Оказывается, достаточно иметь телефон и могущественного врага. Кто из нас свободен от этих условий?

Где, по вашим словам, сейчас находится ваш телефон?