Με αφορμή ένα βίντεο του «Forbes» όπου ένας Ισραηλινός ειδικός της κυβερνοασφάλειας και των πληροφοριών παρουσίαζε τις δυνατότητες ενός κατασκοπευτικού βαν που διέθετε η εταιρεία του, γίναμε μάρτυρες μιας υπόθεσης που έλαβε πρωτοφανείς πολιτικές διαστάσεις και που, ταυτόχρονα, υπενθύμισε στους Κύπριους τον συναρπαστικό, αλλά και σκοτεινό, κόσμο των παρακολουθήσεων.

Στο βίντεο, ο Tal Dilian παρουσιάζει αυτό που στις intelligence communities αποκαλεί ως «παιδί του», ένα πλήρως εξοπλισμένο βαν, το SpearHead 360, που είναι ικανό να παγιδεύσει κινητά τηλέφωνα (με λειτουργικό Android ή iOS) σε αποστάσεις μέχρι 500μ. Το SpearHead –που στην κυπριακή δημόσια σφαίρα πρωτοείδαμε στο βίντεο του «Forbes»- παρουσιάστηκε για πρώτη φορά το 2018 στα πλαίσια της διεθνούς έκθεσης  ISS World –που αφορά το κομμάτι των λεγόμενων «lawful intercepts», δηλ. των συστημάτων ηλεκτρονικής παρακολούθησης για σκοπούς πάταξης του οργανωμένου εγκλήματος. Στην Κύπρο η ιστορία πήρε, σαφώς, εσωτερικές πολιτικές διαστάσεις.

Ωστόσο, σε σχέση με τη διεθνή της πτυχή, η συζήτηση κινήθηκε γύρω από το κλασικό δίπολο, ασφάλεια vs Δημοκρατία, με αφορμή φυσικά και το χακάρισμα της δημοφιλούς πλατφόρμας επικοινωνίας του WhatsApp, αλλά και των στοιχείων που παρέθεσαν, αρχικά το 2016 και στη συνέχεια πέρυσι, η Google και η Citizen Lab για τη χρήση του spyware Pegasus από την ισραηλινή NSO –ενός κακόβουλου λογισμικού που συνδέθηκε από τον διεθνή Τύπο με την υπόθεση της δολοφονίας του Σαουδάραβα δημοσιογράφου Κασόγκι, αλλά και με παρακολουθήσεις κινητών δημοσιογράφων και ακτιβιστών σε Ισραήλ, Μεξικό, Τουρκία και Γεωργία. Μαζί με τη NSO, μία άλλη ισραηλινή εταιρεία, η Verint Systems, κατηγορήθηκε διεθνώς για παρακολουθήσεις κινητών ατόμων της ΛΟΑΤ κοινότητας στο Αζερμπαϊτζάν. Σε αυτό το σημείο στις intelligence communities τέθηκε, εκ νέου, το ζήτημα κατά πόσον όλα αυτά τα συστήματα χρησιμοποιούνται για να μπουν στο στόχαστρο απλοί πολίτες. Ιδίως στα χέρια ολοκληρωτικών καθεστώτων ή διεφθαρμένων δρώντων –κρατικών και μη.

Η συμμαχία των «καλών»

Δεδομένου ότι τα τελευταία χρόνια το κράτος του Ισραήλ προχώρησε, σε ηγετικό σημείο παγκοσμίως, στη δημιουργία ενός πολύ ισχυρού οικοσυστήματος επιχειρήσεων που συνδέονται με την κυβερνοασφάλεια και τις παρακολουθήσεις, η επίδραση των όσων έγιναν γνωστά διεθνώς για την πιθανή ανάμειξη της NSO και της Verint σε αμφιλεγόμενες υποθέσεις οδήγησε στην ίδρυση της Intellexa. Μιας κοινοπραξίας ουσιαστικά ισραηλινών start-ups με εμπειρία στις παρακολουθήσεις και στη δημιουργία spyware λογισμικών. Η Intellexa, με έδρα το Παρίσι και γραφεία σε ΗΑΕ και Τσεχία, αποτελείται από τη συνένωση των Nexa Technologies (πρώην Amesys), της Cytrox, και της WiSpear, με μια σουίτα προϊόντων που εδράζεται στην παρακολούθηση συνομιλιών και δεδομένων σε δίκτυα 2G, 3G και 4G. Τα ονόματα της Intellexa και της WiSpear απασχόλησαν φυσικά την κυπριακή δημόσια σφαίρα λόγω του Τal Dilian –του ιδρυτή της WiSpear που διαφήμιζε το βαν του στο περιβόητο βίντεο.

Ποιος είναι ο Tal Dilian

Ο Tal Dilian δεν είναι άγνωστος στις intelligence communities. Πρώην στρατιωτικός που έφτασε μέχρι τον βαθμό του συνταγματάρχη στις ισραηλινές ένοπλες δυνάμεις (IDF) υπηρετώντας για 25 χρόνια στις, γνωστές, cyber μονάδες του ισραηλινού στρατού. Ο Dilian ξεκίνησε την καριέρα του το 1979 υπηρετώντας, ως μάχιμος, σε μια ελίτ μονάδα ειδικών επιχειρήσεων του Intelligence Corps του IDF. Έφτασε μάλιστα μέχρι τον βαθμό του υποδιοικητή αυτής. Από το 1994, και ιδίως στην περίοδο 1998-2002, ο Dillian τέθηκε επικεφαλής του τμήματος τεχνολογίας αυτής της μονάδας, διοικώντας ουσιαστικά ένα προσωπικό 1.500 στρατιωτών και 700 πολιτών με ετήσιο προϋπολογισμό 150 εκατ. δολαρίων. Ο Dilian παρασημοφορήθηκε με την ανώτερη τιμητική διάκριση για την υπεράσπιση του κράτους του Ισραήλ, το Israel Defense Prize –που απονέμει ο ίδιος ο Πρόεδρος της χώρας πριν αποστρατευθεί με τον βαθμό του συνταγματάρχη από τις IDF. Και όπως συμβαίνει στη χώρα με τους υπηρετήσαντες σε cyber μονάδες, δραστηριοποιήθηκε στον χώρο των start-ups εμπλεκόμενος σε πολλά projects υψηλής τεχνολογίας στο Ισραήλ.

Στο «παζάρι» των παρακολουθήσεων, ο Dilian έχει τη φήμη ειδικού στο ζήτημα των παρακολουθήσεων, αφού το 2009 ίδρυσε την Circles Technologies LTD –με έδρα την Κύπρο και τη Βουλγαρία- εταιρεία cyberweapons η οποία είχε συγχωνευθεί με τη διαβόητη NSO όταν η τελευταία βρίσκονταν υπό το ιδιοκτησιακό καθεστώς της Francisco Partners. O Dilian στο παρελθόν δήλωσε σε διεθνή Μέσα πως στην τρέχουσα πλέον κοινοπραξία της Intellexa, εκτός των γνωστών εταιρειών, υπάρχουν και άλλοι πέντε, μη γνωστοί στο ευρύ κοινό, συνέταιροι. Σε δελτίο Τύπου του περασμένου Φεβρουαρίου, ο Dilian της Intellexa δήλωνε πως το μέλλον των παρακολουθήσεων πρέπει να είναι «στον αέρα μέσω drones ή αεροσκαφών», φωτογραφίζοντας ουσιαστικά μία τεχνική διάσταση με τεράστιες δυνατότητες σε σχέση με τα παραδοσιακά επίγεια μέσα παρακολούθησης. Πρόκειται ουσιαστικά για το line-of-sight, δηλ. την ευθεία γραμμή μεταξύ αυτού που επιτίθεται και του στόχου του. Μία ευθεία με «μεγαλύτερο ορίζοντα» συνεπώς σε σχέση με… οποιοδήποτε κατασκοπευτικό βαν.

Ο «άνθρωπος στη μέση»

Είναι ξεκάθαρο πως όλες αυτές οι εταιρείες πραγματοποιούν τις λεγόμενες επιθέσεις ΜΙΤΜ (Μan In The Middle). O «άνθρωπος στη μέση» ουσιαστικά παρεμβάλλονταν μεταξύ δύο χρηστών που νόμιζαν πως επικοινωνούν απευθείας για να παρακολουθήσει, σε πραγματικό χρόνο, τα δεδομένα τους. Η μελέτη του spyware Pegasus από ειδικούς της κυβερνοασφάλειας κατέδειξε επίσης πως η NSO χρησιμοποιούσε εκτενώς και την τεχνολογία phising, εκμεταλλευόμενη ουσιαστικά αδυναμίες που προέκυψαν στις τεχνολογίες κρυπτογράφησης (π.χ. του WhatsApp) εφαρμογών επικοινωνίας στέλνοντας απλά ένα μήνυμα –η ανταπόκριση στο οποίο (π.χ. το άνοιγμα ενός αρχείου φωτογραφίας) παγίδευε τον χρήστη ενός smartphone. Στην περίπτωση του βαν που εμφανίζεται στο βίντεο στους δρόμους της Λάρνακας, η χρήση κεραιών (το βαν διαθέτει 24) σε μία απόσταση 500μ. μπορούσε να εξαναγκάσει τον στόχο να συνδεθεί με το δικό του Wi-Fi σε μία επίθεση ΜΙΤΜ, όπου στη συνέχεια διαφορετικά spywares μόλυναν το smartphone που στοχευόταν.

Οι τεχνολογικές δυνατότητες αυτών των εταιρειών παραμένουν ανεξάντλητες, μιας και η τεχνογνωσιακής φύσεως σύγκρουση –από αρχαιοτάτων χρόνων- μεταξύ κρυπτογράφησης και κρυπτοανάλυσης παραμένει μία βαθιά εξελικτική διαδικασία –η οποία αναλόγως και των επιμέρους περιστάσεων παραμένει, σε γενικές γραμμές, εξισορροπημένη. Βοηθά, πέραν από την εξέλιξη της τεχνολογίας, και στο να υπάρχει μία συζήτηση γύρω από αυτή, η διάσταση της οποίας διαμορφώνει και το πολιτικό, νομικό και ελεγκτικό πλαίσιο γύρω από αυτή. Τι συμβαίνει, όμως, όταν σε μία ανερχόμενη βιομηχανία –όπως αυτή των παρακολουθήσεων- ο καθένας ανεξέλεγκτα κατασκευάζει το δικό του spyware και το διανείμει;

H μεγάλη εικόνα

Για να απαντηθεί το προηγούμενο ερώτημα πρέπει να ιδωθεί πιο προσεκτικά το κομμάτι της διασφάλισης των ανθρωπίνων δικαιωμάτων. Κι ο έλεγχος της εμπορίας αυτών των συστημάτων σύμφωνα με τη νομοθεσία των κρατών που τα αγοράζουν ή σε σχέση με τη δημιουργία (ή μη) μονοπωλίων. Στην περίπτωση του βαν της Λάρνακας, το ερώτημα εδράζεται στο αν όντως οι εταιρείες που εμπλέκονται στην υπόθεση πωλούσαν τα συστήματά τους από την Κύπρο –μία χώρα κράτος μέλος της ΕΕ. Δηλαδή αν η βάση τους ήταν απλά λογιστική ή πέραν αυτού. Η υπόθεση της φερόμενης εμπλοκής της NSO και της χρήσης του Pegasus σε υποθέσεις όπως αυτές του Κασόγκι προκάλεσε την αντίδραση της διεθνούς κοινότητας –σε κρατικό επίπεδο αλλά και σε επίπεδο διεθνών οργανισμών και ΜΚΟ.

Επιπλέον, μια ματιά στους σχετικούς αριθμούς είναι ενδεικτική: Κάποιοι ανεβάζουν την αξία της αγοράς της «νόμιμης παρακολούθησης» σε 12 δις περίπου ετησίως, ενώ στους κόλπους των intelligence communities υπάρχει και σχετική συζήτηση για το πώς ορίζεται το λεγόμενο πεδίο των «lawful intercept spywares» –μιας και οι κυβερνήσεις κρατών χρησιμοποιούν αυτές τις τεχνολογίες για ευαίσθητα ζητήματα παρακολούθησης τρομοκρατών ή εγκληματιών και, γενικά, για ζητήματα που άπτονται της πτυχής της εθνικής ασφάλειας. Αναπόφευκτα η επέκταση της βιομηχανίας κατασκευής κακόβουλου λογισμικού και παρακολουθήσεων εμπεριέχει μεγαλύτερο ρίσκο αν αυτές οι δυνατότητες βρεθούν στα χέρια μη κρατικών δρώντων, όπως τρομοκρατικά δίκτυα ή το οργανωμένο έγκλημα ή, ακόμη χειρότερα, καταστούν εργαλεία καταπάτησης των ανθρωπίνων δικαιωμάτων.

Η Κύπρος αδυνατεί, συχνά, να ασκήσει αποτελεσματικό έλεγχο

Η όλη υπόθεση του κατασκοπευτικού βαν, πέραν του πεδίου της πολιτικής αντιπαράθεσης στο εσωτερικό, κατέδειξε πως η Κύπρος αδυνατεί, συχνά, να ασκήσει αποτελεσματικό έλεγχο στη δραστηριότητα μιας ομάδας επαγγελματιών που εισάγουν στην Κύπρο εργαλεία παρακολούθησης ως… όργανα μετεωρολογίας. Στην Κύπρο όμως επικρατεί και παντελής έλλειψη θεσμοθετημένης κουλτούρας ασφάλειας ή εκπαίδευσης πάνω στις διαστάσεις ασφάλειας –από το πώς κλειδώνει κανείς το σπίτι του όταν φεύγει για διακοπές μέχρι το πώς φυλάττει το όπλο του ή τι password χρησιμοποιεί στο e-mail του. Ακόμη και το αν πετάει κάποιος το αποτσίγαρό του από το παράθυρο του αυτοκινήτου ή το πώς… κρούζει ξερόχορτα στο υποστατικό του –πέραν της περιβαλλοντολογικής διάστασης- αποτελεί ένα πεδίο ζύμωσης στην κουλτούρα της ασφάλειας.

Η πρόσφατη υπόθεση όμως με το βαν έρχεται να αναδείξει και μία άλλη πτυχή: Το πώς το περιφερειακό υποσύστημα της Κύπρου, οι προκλήσεις ασφάλειας στην περιοχή και οι de facto συνθήκες (κατοχή, παρουσία τουρκικού στρατού, τουρισμός με ροή εκατοντάδων ξένων πολιτών, πρόκληση του προσφυγικού, κ.ο.κ.) καθιστούν την Κύπρο στο επίκεντρο μιας νευραλγικής θέσης ως προς τη συλλογή πληροφοριών –από διαφορετικούς δρώντες. Συνθήκη που επικρατούσε άλλωστε και επί Ψυχρού Πολέμου. Μαζί με την κουλτούρα ασφάλειας καλλιεργείται, πάντα, και ο σεβασμός στο κράτος δικαίου, τα ανθρώπινα δικαιώματα και τη δημοκρατική εμπέδωση. Συνεπώς, σε μια μικρή νησιωτική χώρα το δίπολο ελευθερία vs ασφάλεια πρέπει να παραμένει αντικείμενο εξισορρόπησης όπου οι δύο έννοιες θα λειτουργούν αρμονικά και, παράλληλα, χωρίς να δημιουργούνται «γκρίζες ζώνες». Κι αυτό επιτυγχάνεται με την προσήλωση στους θεσμούς, τον δημοκρατικό έλεγχο και την αποτελεσματική νομοθεσία.

Κράτα το smartphone σου ασφαλές (σχετικά)

Οι τεχνολογίες παγίδευσης/παρακολούθησης ενός smartphone είναι, εκεί έξω, αρκετά προηγμένες, κι αν κάποιος σε στοχοποιήσει πολύ πιθανόν να παραβιάσει τα προσωπικά σου δεδομένα. Αυτό είναι μια γενική αρχή. Ωστόσο, κάποιες παράμετροι ασφάλειας καλό είναι να υπάρχουν:

• Μην αφήνεις το smartphone σου εκτός επίβλεψης. Η φυσική επαφή παίζει μεγάλο ρόλο στην παραβίασή του. Κλείδωνε την οθόνη σου (βιομετρικά, με κωδικό ή με pattern)
• Χρησιμοποίησε κωδικούς (e-mail, social media, κ.λπ.) με πολλούς χαρακτήρες, αριθμούς και σύμβολα ή two-factor authentication με ξεχωριστό key.
• Χρησιμοποίησε 2-step verification. Ακόμη μία παράμετρος ασφάλειας.
• Μην κάνεις κλικ σε ό,τι βλέπεις –ιδίως αν δεν ξέρεις την πηγή.
• Μην φορτίζεις το smartphone σου σε αεροδρόμια ή δημόσιους φορτιστές.
• Κράτα το smartphone σου updated ανεξαρτήτως λογισμικού (Android ή Ios).
• Χρησιμοποίησε, γενικώς, ένα καλό antivirus πρόγραμμα.

Του Γιάννη Ιωάννου

Το άρθρο δημοσιεύτηκε αρχικά στην εφημερίδα “Πολίτης”.