ויקיליקס חושפת מדינות שמשתמשות בטכנולוגיית מעקב שנויה במחלוקת 'FinFisher'

ויקיליקספרסם אצווה שלמסמכים וקבציםהנוגע לחברת טכנולוגיית המעקב השנויה במחלוקת FinFisher ביום שני, כולל רשימת לקוחותיה והעתקים בפועל של תוכנות הריגול שלה.

המהדורה, הרביעית בסדרת ויקיליקס מדובבתקבצי ריגול, מורכב בעיקר מקבצים שהיודלףעל ידי האקר לא מזוהה שפרץ לרשת הארגונית של FinFisher באוגוסט.

ראה גם:

FinFisherהיא חברה גרמנית שמייצרת תוכנת מעקב המשווקת לרשויות אכיפת החוק. התוכנה נועדה לשאוב וליירט כל מיני נתונים מהמחשב או הסלולרי של היעד, כולל שיחות סקייפ, מיילים ושיחות צ'אט.

זה עלה לכותרות לראשונה בשנת 2011, כאשר מפגינים במצריםחָשׂוּףמסמכים המעידים על שירותי האבטחה של הנשיא דאז חוסני מובארק רכשו את מוצריה. מחקרים שנעשו לאחר מכן חשפו שכמה משטרי דיכוי ברחבי העולם השתמשו בתוכנת FinFisher כדי לרגל אחר מתנגדים או פעילי זכויות אדם. פרקים אלה הציבו מאז חברות מערביות שמוכרות כלי פריצה לממשלות כאלה לאור הזרקורים ועוררו ויכוח על חוקיות המכירות.

בנוסף ללקוחות החברה, ויקיליקס פרסמה עותקים ממשיים של התוכנה ש-FinFisher מוכרת לממשלות ברחבי העולם, בתקווה שחוקרי אבטחה יוכלו לחקור עוד ולבנות הגנות טובות יותר מפני טכנולוגיות אלו. "שחרור הנתונים המלא הזה יעזור לקהילה הטכנית לבנות כלים כדי להגן על אנשים מפני FinFisher כולל על ידי מעקב אחר מרכזי הפיקוד והבקרה שלה", אמר אסאנג' בהצהרה שנלווה לפרסום.

החברה טוענת זמן רב שהיא מוכרת את מוצריה רק ​​לסוכנויות ממשלתיות שמשתמשות בה למטרות אכיפת חוק לגיטימיות. חוקרים מאוניברסיטת טורונטומעבדת אזרח, לעומת זאת, חשפו בעבר דוגמאות של משטרים דיכויים כמו אלה שבבחרייןואתאיחוד האמירויות הערביותבאמצעות FinFisher כדי לרגל אחר מתנגדים ופעילי זכויות אדם.

עובד FinFisher, שהגיע אליו בטלפון במטה שלה, סירב להגיב לסיפור הזה. "אנחנו לא נותנים שום ראיונות", אמר ל-Mashable.

הלקוחות של FinFisher

באפריל 2013, Citizen Labמְזוּהֶה36 מדינות בהן מצאו עקבות לתשתית הדיגיטלית והטכנולוגיה של FinFisher. החוקרים, לעומת זאת, הזהירו שהמפה שלהם לא בהכרח חושפת רשימה של לקוחות FinFisher.

אבל כעת, ויקיליקס טוענת שיש לה רשימה אמיתית של 17 לקוחות לכאורה, כמו מחלקות משטרה או סוכנויות ביון מאוסטרליה, בחריין, בנגלדש, בלגיה, בוסניה-הרצגובינה, אסטוניה, הונגריה, איטליה, מונגוליה, ניגריה, הולנד, פקיסטן, סינגפור , סלובקיה, קטאר, דרום אפריקה ווייטנאם.

משמח לראות את הרשימה#SpyFilesרשימה של מדינות המשתמשות ב-FinFisher מאשרת את מחקר המיפוי שעשינו בנושא זה@citizenlab.— Morgan Mayhem (@headhntr)15 בספטמבר 2014

רוב המדינות הללו היו גם חלק מהרשימה שפרסמה Citizen Lab בשנה שעברה, אך ארבע (בלגיה, בוסניה-הרצגובינה, איטליה וסלובקיה) לא היו ידועות בעבר. ויקיליקס אומר שהם זיהו את המדינות הנוספות על ידי ניתוח בקשות התמיכה ומסמכים אחרים שהושלך על ידי ההאקר באוגוסט.

ההאקר האלמוני, שגם השיק חשבון טוויטר פארודי בשםפיניאס פישר, השיג סדרה של חילופי דוא"ל בין לקוחות FinFisher לבין צוות התמיכה של החברה. רוב הלקוחות זוהו רק עם מזהה ייחודי, אבל ויקיליקס, ואחרים, הצליחו לזהות חלק מהם הודות לשבילים שנותרו בקבצים, כמו כתובות מייל או שמות של סוכנים.

ההכנסות של FinFisher

ויקיליקס העריכה כי ההכנסות של FinFisher מלקוחות אלו מסתכמות בלפחות 50 מיליון יורו (64 מיליון דולר) בהתבסס על מחירון שנכלל גם בקבצים שנפרצו.

כמה שילמה כל מדינה#FinFisherתוכנות ריגול. לחץ על המדינה ומזהה הלקוח כדי לראות נתוני חיוב מלאיםhttps://t.co/o1yWCx081n— ויקיליקס (@wikileaks)15 בספטמבר 2014

ביל מרצ'ק, אחד החוקרים ב-Citizen Lab שחקר את FinFisher במשך שנים, אמר ל-Mashable שהוא לא לגמרי משוכנע שההערכה של ויקיליקס מדויקת, מכיוון שהיא לא לוקחת בחשבון את עלויות התמיכה, והיא מוסיפה את המחיר המלא של הרישיון בכל פעם שלקוח מחדש את זה.

אבל מיקו היפונן, קצין המחקר הראשי ב-F-Secure ואחד ממומחי התוכנה המוערכים בעולם, עדיין הופתע מהמספרים. "זה מדהים כמה כסף הם מרוויחים ממכירת תוכנות ריגול", אמר ל-Mashable.

קצה הקרחון

חוקר אבטחה שמכיר את FinFisher, שביקש לא להזכיר את שמו כדי להגן על האנשים איתם הוא עובד, אמר ל-Mashable שדבר חשוב מהאירוע הזה הוא ש-FinFisher הוא רק קצה הקרחון בשוק גדול יותר. (ההערכה היא ששוק טכנולוגיית מעקב המחשב העולמי שווה 5 מיליארד דולר בשנה.)

"יש הרבה יותר מ-FinFisher שקורה בעולם", אמר החוקר, וציין שכמה מדינות הרשומות כלקוחות קנו רק מספר קטן של רישיונות מ-FinFisher. "אם למדינות בעלות משאבים אלה יש רק קומץ רישיונות, באילו [טכנולוגיות אחרות] הן עשויות להשתמש?"

גם החוקר האלמוני וגם היפונן דגלו בשקיפות רבה יותר כדי לעזור לעורר דיון ציבורי על השימוש בטכנולוגיות אלו.

"הרשויות צריכות להפיק דוחות ציבוריים על התדירות שבה נעשה שימוש בטכנולוגיות כמו אלה ועד כמה הן היו יעילות", אמר Hypponen באימייל ל-Mashable. "אם כלים כאלה משמשים בסתר, אנחנו האזרחים לא יכולים להחליט אם הם שווים את הפשרה על הפרטיות או לא".