从匈牙利到萨尔瓦多,从墨西哥到阿塞拜疆,从巴林到香港 …… 无数的记者和活动家纷纷被以色列间谍软件 Pegasus “飞马”入侵,这是再再再一次的粗暴提醒 — — 这场噩梦是国际性的,无人能幸免。
此前美国将销售 Pegasus 的以色列公司NSO集团列入黑名单;匈牙利和印度等国家受到该间谍软件伤害的记者们正在起诉他们的政府;苹果公司也正在起诉NSO集团,称其违反了用户条款和服务协议;Meta,即以前的 Facebook,将NSO集团和其他几个黑客雇佣公司列入了黑名单 ……
Pegasus 是个非常典型的案例,足够说明解决间谍软件的全球扩散的必要性和紧迫性。在一个高度缺乏监管的黑暗市场里(零日漏洞黑市),这肯定不会像在明面上惩罚某个公司那么简单。
更重要的是,惩罚一家NSO并没有用,即便NSO倒闭(肯定不会)还有无数其他同类公司同样乐于填补专制者对间谍软件的需求,统治阶级的权力就取决于无时无刻地监控和跟踪人民(我们不久后将更详细讲述这点)。
正如大赦国际的技术专家 Etienne Maynier 所说的:“问题在于这个行业本身,加上对这个行业缺乏控制监管”。
只要找不到一个框架来确保其他公司不能步NSO集团的后尘,把他们的工具卖给独裁者,正如 Maynier 所说:“我们就只能眼睁睁看着这种恶行不断继续下去”。
以另一家以色列公司 QuaDream 为例,该公司销售一些最复杂的间谍软件,并利用了苹果设备的相同漏洞。与 Pegasus 一样,QuaDream 公司依靠零点击漏洞,使攻击者能够破解手机,而不需要设备的所有者配合任何点击动作。QuaDream 也在争取与NSO集团类似的客户,如沙特阿拉伯、墨西哥、新加坡这些人权状况堪忧的国家政权。
与 Pegasus 一样,QuaDream 公司的 REIGN 间谍软件允许完全访问目标人手机的信息、照片、联系人和摄像头。该间谍软件还直接可以激活设备的摄像头和麦克风,并实时记录通话。
但唯独与NSO集团不同的是,QuaDream 目前为止都没有面临同样程度的国际审查,它没有被制裁、没有被列入黑名单、更没有被起诉。打地鼠式的监管将不可避免地错过一大把邪恶公司。
在这样一个不透明的行业中打击公司是很棘手的。正如 Maynier 所说:间谍软件市场是非常隐蔽的,我们往往只能在他们已经祸害了一大堆人之后才发现出了事。
即使你知道该公司的名字,你接下来该怎么办?间谍软件行业是多样化的。工具包括从类似 Pegasus 的开发软件到出售黑客雇佣服务的公司。同一类型的监管不可能对每种情况都有效。
例如,总部位于新德里的黑客雇佣公司 BellTroX 对目标个人进行分析,并针对他们进行定制的网络钓鱼活动。Maynier 解释说,出口管制对于控制 Pegasus 或 QuaDream 很重要,但对于像 BellTroX 这样出售服务而不是产品的公司来说,出口管制就不那么有效了。
一种选择可能是让 BellTroX 公司承担责任,对该公司采取法律行动。但是再一次,那依然只是事后的补救而已。
零敲碎打的规定永远不会阻止间谍软件在专制国家的使用。仅仅在美国将NSO集团列入黑名单、或者禁止其攻击法国电话号码,并不能阻止间谍软件在沙特阿拉伯和中国等地继续被使用。
我们必须为所有人解决这个问题,否则任何方案都不会起作用。
不过也有光明的一面。由于 Pegasus 项目,人们对间谍软件行业的整体关注度更高了。下一步就是要弄清楚该怎么做。
附 ——
NSO集团,这个陷入困境、极富争议的以色列手机间谍软件开发商,现在似乎找到了一个救命稻草: 一个有点不那么知名的美国风险投资公司,愿意帮助它支付账单,甚至可能恢复其形象。
根据 Integrity Partners 的网站,这家美国公司从事移动和数字基础设施领域的投资,由合伙人 Chris Gaertner、Elad Yoran、Pat Wilkinson 和 Thomas Morgan 管理。
根据意向文件,他们将成立一家名为 Integrity Labs 的公司,收购NSO的控制权。它还将向NSO提供3亿美元的资金,以 “重建” 该公司。
甚至,这家美国风险投资公司已经承诺代表NSO游说美国政府,以使最近的黑名单可以取消,这意味着NSO将再次能够购买美国的技术,其目的只是为了开发针对该技术的漏洞。如果 Integrity Partners 对自己的名声还有任何兴趣的话,它应该搁置这一努力。
关于NSO被用来攻击记者、政治对手、人权律师、统治者的前妻、持不同政见者和宗教领袖的报道从未间断过。
请注意,现在的状况是,美国在首选客户名单上,把NSO从黑名单上拿下来应该是相当容易的。
并且,请记得,在这次收购发生后,NSO的大部分情况仍将被掩盖在秘密之中。可能会有一个被声称的重点是“防御性技术”,但进攻性漏洞一直是NSO的主要赢利点,如果没有这个收入来源,要保持盈利将更加困难。
然后,NSO有可能与另一家类似目标的公司建立合作关系,这意味着恶意软件开发商将能够继续作为不负责任的销售和营销的典型代表。而强大的恶意软件市场将继续存在。它只是最终由那些在世界新闻雷达之外的公司处理。
此外,还有一个事实就是,关于这家美国公司 Integrity Partners 到底是谁的信息非常少。虽然该公司的网站列出了其合伙人 — — 并且,所有这些人都提到了他们的军事经验 — — 但没有证据表明有投资组合,也没有任何关于以前投资的证据。虽然该公司在 Crunchbase(追踪风险投资公司和初创公司的主要数据库)中列出,但它没有显示任何投资,只提到该公司筹集了一笔资金……35万美元。似乎不太可能,这足以直接买下NSO集团了。
继续观察此事动态。
不论如何,这都不是什么好消息。这类公司原本就不应该存在。即便死掉一个没有能根本性解决问题,也至少是一件幸事。⚪️