L’inchiesta in due puntate di Globalist sul Progetto Pegasus merita una terza parte. Perché tanti e di tale portata sono le rivelazioni contenute in un documentato report, un vero pezzo di giornalismo d’inchiesta, pubblicato da Haaretz a firma di Omri Zerachovitz
Alla fonte di Pegasus
“Alla fine del 2018, la società di cyber-spionaggio offensivo NSO – scrive Zerachovitz – ha tenuto un evento speciale per i suoi dipendenti all’Università di Tel Aviv. L’evento, uno dei più grandi mai organizzati dall’azienda, comprendeva esibizioni musicali, conferenze degli ospiti e di dirigenti di NSO. Tuttavia, aveva anche un aspetto sociale unico: l’azienda aveva invitato anche i genitori, i partner e i figli dei dipendenti. La decisione di ospitare un evento per un pubblico così ampio non era apparentemente una coincidenza: tre mesi prima che l’editorialista del Washington Post Jamal Khashoggi fosse assassinato, e si stavano diffondendo notizie che la tecnologia dell’azienda potesse aver avuto un ruolo nell’aiutare i sauditi a localizzarlo.
NSO ha voluto presentare la sua posizione – ad oggi nega qualsiasi collegamento con il caso Khashoggi – alle famiglie dei dipendenti. Fino ad allora, l’omicidio Khashoggi è stata una delle più grandi crisi dell’azienda, a causa dell’identità del cliente (l’Arabia Saudita), del bersaglio (un giornalista), e della tempesta internazionale generata a causa del presunto coinvolgimento diretto del principe ereditario saudita Mohammed bin Salman nell’uccisione.
Ma anche rispetto a quella crisi, quello che è successo la scorsa settimana è stato di un altro livello, qualcosa che l’azienda non dimenticherà in fretta.
Il Progetto Pegasus è un’indagine organizzata dall’organizzazione no-profit Forbidden Stories insieme a un gruppo di 17 organizzazioni internazionali di media e Amnesty International su una fuga di notizie di 50.000 numeri di telefono che erano potenziali obiettivi di sorveglianza per i paesi che hanno comprato lo spyware di NSO.
L’indagine pubblicata dalle organizzazioni dei media domenica ha detto che lo spyware realizzato e concesso in licenza dalla società israeliana NSO è stato utilizzato in tentativi e successi di hacking di 37 smartphone appartenenti a giornalisti, funzionari governativi e attivisti dei diritti umani. leggi tutto. Ulteriori rapporti hanno anche detto che i numeri di telefono dei capi di stato sono stati selezionati come obiettivi. NSO ha detto che il suo prodotto era inteso solo per l’uso da parte dell’intelligence governativa controllata e delle forze dell’ordine per combattere il terrorismo e il crimine. Negano che la lista di numeri trapelata abbia qualcosa a che fare con loro o con il loro software Pegasus. Se dopo l’omicidio di Khashoggi, NSO ha dovuto organizzare una grande festa per risollevare il morale, come se la caverà NSO dopo una delle settimane più drammatiche della sua storia? La persistente pubblicità negativa nel corso degli anni ha minato i suoi sforzi per reclutare dipendenti e ha influenzato i suoi attuali dipendenti in qualche modo?
‘NSO ha un problema di reclutamento? No, è solo che paga molto di più’, ha detto questa settimana una fonte che ha familiarità con l’azienda informatica offensiva. Un’altra fonte del settore ha detto che i reclutatori di NSO offrono stipendi enormi, anche per gli standard odierni dell’high-tech, da 100.000 a 120.000 shekel (da 30.600 a 36.700 dollari) al mese.
‘Vengono da persone che hanno appena finito il servizio militare e questa sarà la loro prima offerta di lavoro, e danno loro tutti i messaggi che hanno trasmesso nelle loro risposte ai media; che l’azienda fa cose buone, ha imparato dai suoi errori, ecc. Un ex caposquadra offre loro uno stipendio altissimo e loro si dicono: ‘Lavorerò lì un anno o due e guadagnerò un milione di shekel all’anno’, è allettante”, hanno detto le fonti del settore. NSO è anche considerato un luogo di lavoro che coccola, che fa volare i suoi dipendenti all’estero ogni anno, organizza grandi feste e cerca di fornire un’atmosfera familiare.
Tuttavia, c’è chi nell’industria della cybersicurezza dice che negli ultimi anni alcuni hanno rifiutato le generose offerte di NSO, o addirittura lasciato l’azienda. La domanda è se lo fanno per ragioni morali o per il carattere attuale dell’azienda. Perché mentre ci sono fonti del settore che insistono sul fatto che la reputazione di NSO come datore di lavoro è stata intaccata, molti dipendenti attuali ed ex dicono che non c’è un fenomeno di “rinunciatari di coscienza”, almeno non pubblicamente.
‘Ci possono sempre essere persone che lasciano per questi motivi, ma non ho mai sentito nessuno dirlo ad alta voce’, dice Tomer (uno pseudonimo), che ha lasciato l’azienda nell’ultimo anno.
‘Tuttavia, a causa delle notizie riportate dai giornali, non si può vivere nella negazione mentre si è alla NSO, bisogna avere una discussione seria con se stessi, esigere ostinatamente delle risposte dalla direzione, e scegliere ogni volta di nuovo se far parte dell’azienda, dirsi che si sta facendo del bene nel mondo o no. Questa è una campagna di delegittimazione che non ha eguali in Israele’, hanno detto, suggerendo che NSO è stata benignamente bersagliata in modo sproporzionato dalla copertura negativa dei media. Un altro impiegato che ha lasciato dice: ‘La considerazione morale non è la ragione principale per lasciare, ma può giocare un ruolo ed essere una considerazione tra le tante’.
Ancora un altro ex dipendente dice: ‘Oggi è un imbarazzo dire che hai lavorato alla NSO’. Ci sono ex dipendenti che stanno deliberando se lasciare il fatto che hanno lavorato lì sui loro profili LinkedIn, eppure nello stesso respiro dicono di credere nella missione dell’azienda.
Alcuni ex dipendenti e persone che conoscono il campo del cyber offensivo credono che il motivo per cui NSO è diventato un datore di lavoro meno attraente negli ultimi anni non ha nulla a che fare con l’etica, ma con le sue dimensioni: ora con 800 dipendenti, ha sviluppato il DNA di una grande società, mentre ci sono altre opzioni più attraenti nel settore, giovani startup come Candiru e altri.
Non è affatto certo che l’industria high-tech israeliana consideri l’aver lavorato alla NSO come una macchia sul proprio curriculum. ‘Ho ricevuto più di 10 offerte in due mesi’, dice Tomer. ‘I dipendenti della NSO sono corteggiati e penso che tutti capiscano che la realtà è più complessa’.
Shirley K. un ingegnere della NSO, dice che questa settimana ha ricevuto più proposte di lavoro via LinkedIn del solito, apparentemente parte di uno sforzo dei reclutatori del personale per approfittare della crisi dell’azienda. Allo stesso tempo, ci sono stati diversi post che hanno portato a dibattiti sul grado di responsabilità dei dipendenti per l’uso problematico della tecnologia sviluppata dall’azienda per cui lavorano.
Lo stigma NSO?
Conversazioni con dirigenti, reclutatori e investitori mostrano che l’industria ha posto uno stigma sugli ex dipendenti NSO, sia che stiano cercando altre posizioni o che stiano cercando di raccogliere fondi per una propria startup. Eppure, le aziende tengono conto del loro background in una certa misura – e non è sempre negativo. Tutti gli intervistati per questa storia hanno insistito sull’anonimato, anche se non erano critici.
Diversi investitori, anche quelli che investono in una fase iniziale, quando c’è solo un’idea e l’investimento è più negli imprenditori stessi, puntano su ex dipendenti NSO. ‘Non sono un regolatore e penso che il boicottaggio personale sia un affare pericoloso che funziona in entrambi i sensi. Lascio la decisione se quello che fanno è legittimo alle agenzie ufficiali’, ha detto un investitore, che ha notato che non ha avuto problemi a investire in persone che lavoravano per NSO.
Un altro investitore ha detto: ‘Naturalmente c’è un certo grado di ambivalenza su tutta questa storia, ma alla fine se sono professionisti e adatti al compito, non vedo un vero problema. Non abbiamo mai rifiutato qualcuno perché ha lavorato nel mondo del cyber offensivo”’
Un altro investitore, tuttavia, ha sostenuto che ci sono clienti e dirigenti della sicurezza delle informazioni che non amano questi imprenditori ex-NSO perché pensano che l’azienda da cui provengono non sia affidabile. Questo investitore ammette che i lavoratori non sono davvero da biasimare, ma ha aggiunto che non andrebbe mai a lavorare per NSO e che ci sono molti nel settore che sono scoraggiati da questo.
I cacciatori di teste tecnologiche hanno una visione leggermente diversa della questione, affermando che vogliono capire cosa ha motivato un dipendente nella sua posizione precedente prima di decidere dove può o non può essere reclutato.
‘Non escludiamo categoricamente intere classi di aziende – ma piuttosto esaminiamo numerosi parametri come parte del processo di reclutamento, tra cui il motivo per cui una persona ha scelto di lavorare in un posto specifico. A volte si tratta di un pubblico giovane che non sempre capisce appieno in cosa si sta cacciando’, ha detto un CEO di una startup israeliana focalizzata sul reclutamento.
‘Non penso che [NSO] macchi una persona’, ha detto un reclutatore di un’altra startup. “Vorrei sentire da loro come hanno visto l’azienda e cosa li ha portati a rimanere lì. Mi aspetterei che ne parlassero in modo maturo. Devo assicurarmi che ci sia una base etica comune”.
Il direttore delle risorse umane di una terza startup ha detto: ‘Oggi il mercato dei talenti è molto competitivo e può essere che le aziende scendano a compromessi. I reclutatori non sempre conoscono tutte le aziende o sanno se i prodotti di queste aziende fanno bene o no, ed è per questo che i titoli non fanno bene a queste aziende. Ci sono lavoratori che non sapevano a cosa andavano incontro e se ne sono andati dopo un anno o due, ma se un dipendente ci ha lavorato abbastanza anni, non c’è dubbio che può fargli male in termini di carriera’.
L’uomo ragno e i diritti umani
Molti guardano legittimamente a NSO e ad altre compagnie informatiche offensive come a produttori di armi. Almeno uno degli ex dipendenti di NSO con cui abbiamo parlato per questo rapporto sembra aver informato NSO di questo. Di conseguenza, l’azienda ci ha chiesto di parlare anche con i dipendenti attuali. Mentre queste interviste, condotte via Zoom, sono state fatte in presenza del portavoce dell’azienda, ciò che è emerso da esse non era sostanzialmente diverso da ciò che la maggior parte degli ex dipendenti ci ha detto: c’è chiaramente un divario sostanziale tra l’immagine pubblica di NSO e come i dipendenti dell’azienda, sia attuali che ex, la percepiscono.
‘Siamo come Spiderman inseguito dal giornalista Jameson, ma che non può spiegare cosa sta facendo perché ha giurato di non togliersi la maschera. Anche noi non possiamo spiegare cosa stiamo facendo e quanti attacchi abbiamo evitato’ ha detto Michael Barda, che si occupa delle vendite.
‘Anche se sono in azienda da cinque anni, quello che è successo la settimana scorsa è stato davvero forte. Non è piacevole e non è normale, perché vediamo l’azienda sotto una luce totalmente diversa da quella che stanno dicendo di noi. È molto frustrante e ingiustificato. Sai quanto è difficile spiegarlo a mia madre? Il novanta per cento delle cose che appaiono sui giornali non sono vere, ma vai a dimostrare che non hai una sorella’.
L’intelligenza non è binaria
Ognuna delle persone con cui abbiamo parlato ha affermato che la parte del leone dell’attività dell’NSO è prevenire gli attacchi terroristici, catturare gli spacciatori di droga, prevenire la pedofilia, ecc.
‘Quando sei esposto a episodi di terrore che hanno aiutato a prevenire, alla cattura di ‘El Chapo’ (il soprannome del signore della droga messicano) o alla cattura dei membri di Boko Haram che hanno compiuto il massacro di centinaia di giovani ragazze – non puoi non credere nella compagnia’, ha detto uno degli ex dipendenti. E in effetti, tutti coloro che hanno lavorato alla NSO sembrano essere in grado di recitare i messaggi principali dell’azienda, che si ripetono nelle varie conversazioni, e che si concentrano sul comitato etico della società, che secondo l’azienda ha rifiutato importanti accordi, nonostante il fatto che fossero approvati dal Ministero della Difesa.
Una delle grandi questioni dell’azienda è l’identità dei paesi a cui viene venduta la tecnologia, che include anche paesi non occidentali. Nel rapporto sulla trasparenza pubblicato di recente, l’azienda ha affermato che nel corso degli anni ha perso 300 milioni di dollari di entrate abbandonando gli affari a causa di possibili violazioni dei diritti umani da parte dei potenziali clienti.
Il rapporto spiega che c’è una classifica per ogni paese, e in base ad essa si decide se NSO venderà tecnologia a quel paese e a quale livello, ma è impossibile conoscere la classifica di ogni paese da essa, e perché l’azienda vende comunque a paesi come l’Arabia Saudita. Apparentemente questa questione – delle linee rosse di NSO – è tale che gli impiegati raramente hanno dubbi in proposito.
Shirley Kontanta, un ingegnere del controllo qualità, dice: ‘Tutti i tipi di aziende creano prodotti tecnologici. Si può pensare ai prodotti più semplici del mondo, anche ai coltelli e alle forchette – cose basilari che vengono prodotte per un bisogno specifico, ma ci sono persone che le useranno per un altro scopo. Sento che l’azienda sta facendo tutto ciò che è in suo potere affinché non usino il nostro fantastico prodotto per cose che non sono per salvare vite. Lo so senza esitazione e sono anche esposto a casi in cui hanno detto ‘No, assolutamente no’.
Il viaggio all’interno di NSO si conclude qui. Un viaggio tra i meandri più reconditi e inquietanti della cybersicurezza. A confronto, il mondo imprigionato raccontato da George Orwell in 1984 era il regno della libertà.
Argomenti: israele
