1 pontos por GN⁺ 2024-03-02 | 1 comentários | Compartilhar no WhatsApp
  • O WhatsApp vem exigindo desde 2019 acesso ao código do spyware Pegasus da NSO Group, e um tribunal dos EUA decidiu que a empresa deve revelar informações sobre todas as funções do spyware relacionado, e não apenas sobre a camada de instalação
  • O centro do processo é a alegação do WhatsApp de que o Pegasus espionou 1.400 usuários do WhatsApp durante duas semanas e acessou sem autorização dados sensíveis, incluindo mensagens criptografadas
  • A juíza distrital dos EUA Phyllis Hamilton entendeu que apenas a camada de instalação não basta para identificar como os dados eram acessados e extraídos, e incluiu no escopo de divulgação também spywares relacionados da NSO que visaram servidores do WhatsApp ou usaram o WhatsApp
  • No entanto, o tribunal excluiu detalhes da arquitetura de servidores da NSO e a exigência de identificar clientes, além de rejeitar um pedido da NSO para obter comunicações posteriores ao processo entre o WhatsApp e o Citizen Lab
  • A divulgação de especialistas pelas duas partes está marcada para 30 de agosto de 2024, e o início do julgamento está previsto para 3 de março de 2025, o que deve tornar o alcance real das funções do Pegasus uma peça central do mérito da ação

Decisão do tribunal sobre a divulgação das funções do Pegasus

  • O WhatsApp processou a NSO Group alegando que o Pegasus foi usado em 2019, durante duas semanas, para espionar 1.400 usuários do WhatsApp
  • O WhatsApp afirma que o Pegasus acessou sem autorização dados sensíveis, incluindo mensagens criptografadas
  • Na época, o processo foi considerado uma medida legal sem precedentes contra uma indústria sem regulação que vende serviços avançados de malware a governos do mundo todo
  • A NSO tentou bloquear toda a fase de produção de provas, citando várias restrições nos EUA e em Israel, mas o pedido de bloqueio amplo foi rejeitado

Entendimento de que a camada de instalação não é suficiente

  • A juíza distrital dos EUA Phyllis Hamilton rejeitou o argumento da NSO de que bastaria entregar informações sobre a camada de instalação do Pegasus
  • O tribunal acolheu o pedido do WhatsApp e ordenou o fornecimento de informações sobre “todas as funções do spyware relacionado”
  • O entendimento foi de que, apenas com informações da camada de instalação, seria difícil para a autora compreender como o spyware executava funções de acesso e extração de dados
  • O escopo de divulgação inclui spywares relacionados da NSO que tenham mirado servidores do WhatsApp ou usado o WhatsApp de qualquer forma para acessar o dispositivo-alvo
    • O período abrange de 1 ano antes a 1 ano depois do suposto ataque

Funções do Pegasus alegadas pelo WhatsApp

  • O WhatsApp afirma que o Pegasus pode interceptar comunicações que entram e saem do dispositivo
    • Entre os serviços visados estão iMessage, Skype, Telegram, WeChat, Facebook Messenger e WhatsApp
  • A ação também afirma que o Pegasus pode ser customizado conforme o objetivo
    • interceptação de comunicações
    • captura de screenshots
    • extração do histórico do navegador

Informações excluídas da divulgação

  • A juíza Hamilton não autorizou todos os pedidos de produção de provas do WhatsApp
  • Certas informações sobre a arquitetura de servidores da NSO ficaram fora do escopo de divulgação
    • O motivo é que o WhatsApp poderia obter essas mesmas informações a partir dos dados sobre as funções completas do spyware relacionado
  • A NSO não será obrigada a identificar seus clientes
  • A NSO não divulga publicamente quais governos compraram o spyware
  • Segundo reportagem do The Guardian, há relatos de que Poland, Saudi Arabia, Rwanda, India, Hungary e United Arab Emirates usaram o Pegasus para mirar dissidentes
  • Em 2021, os EUA colocaram a NSO em uma blacklist, sob a acusação de disseminar “ferramentas digitais usadas para repressão”

Pedido relacionado ao Citizen Lab é rejeitado

  • Na mesma decisão, a juíza Hamilton também rejeitou o pedido da NSO para que o WhatsApp divulgasse comunicações posteriores ao processo com o Citizen Lab
  • O Citizen Lab participou do caso como testemunha de terceiros e sustentou o argumento do WhatsApp de que clientes da NSO usaram indevidamente o Pegasus contra a sociedade civil
  • Em documento apresentado ao tribunal, a NSO escreveu que a necessidade dessa produção de provas cairia significativamente se o WhatsApp retirasse dos autos a afirmação do Citizen Lab de que o Pegasus foi usado contra membros da sociedade civil, e não para investigações de terrorismo e crimes graves
  • A juíza Hamilton entendeu que era difícil ver a relevância da prova solicitada e rejeitou o pedido da NSO

Próximos passos e reações

  • A NSO ainda não comentou a decisão
  • Um porta-voz do WhatsApp disse ao The Guardian que a decisão é um marco importante no objetivo de longo prazo da empresa de proteger usuários do WhatsApp contra ataques ilegais
  • O porta-voz afirmou que empresas de spyware e agentes maliciosos precisam entender que podem ser responsabilizados e que não podem ignorar a lei
  • O tribunal deve receber a divulgação de especialistas das duas partes em 30 de agosto de 2024
  • O julgamento deve começar em 3 de março de 2025

1 comentários

 
GN⁺ 2024-03-02
Opiniões no Hacker News
  • É interessante a abordagem da NSO, que tentou bloquear todo o processo de discovery alegando “diversas restrições dos EUA e de Israel”, mas teve o pedido negado
    É bem provável que um tribunal americano não dê muita importância às regras israelenses, por serem restrições de outro país
    O governo dos EUA colocou oficialmente o Pegasus na lista negra, mas https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma..., eu não ficaria surpreso se algumas agências de inteligência americanas ainda o usassem
    Nesse caso, a Pegasus poderia pedir a agências de inteligência dos EUA que bloqueassem o processo com base em divulgação de informações sigilosas ou prejuízo ao interesse nacional
    Vai ser interessante ver se, de repente, “alguma coisa” acontece e o caso é misteriosamente arquivado

    • Parece pouco provável que agências de inteligência dos EUA ainda o usem oficialmente
      É muito mais fácil simplesmente pedir e receber os resultados de agências de inteligência aliadas que usam Pegasus
      Um modelo de coleta mantendo distância de um braço é juridicamente menos arriscado
      Mas isso é desfavorável para alegar segurança nacional em um tribunal americano. Porque viraria: “Vocês usam este software?” “Oficialmente, não.” “Então com que fundamento alegam segurança nacional?”
    • O interessante é que a NSO reivindica proteções concedidas a governos, como se representasse o governo e agisse em seu nome
    • Deixando teorias da conspiração de lado, na prática o que se veria não seria “alguma coisa”, mas sim petições judiciais sob sigilo
    • Eu ficaria muito surpreso se agências de inteligência dos EUA usassem Pegasus. Sanções não são brincadeira, e há uma boa quantidade de empresas ligadas aos Five Eyes com capacidades semelhantes
  • Já faz bastante tempo desde as revelações de Snowden, e só o que vimos naquela época já era difícil de acreditar
    Nem consigo imaginar o que as agências de inteligência usam hoje
    Diante do que essas agências têm e podem usar, fico pensando o que há de tão especial no Pegasus

  • Não entendo bem este caso
    Não sei por que um tribunal dos EUA teria jurisdição sobre uma empresa estrangeira israelense de spyware que o próprio governo americano já colocou na lista negra
    E também me pergunto por que Israel enviaria o código-fonte do spyware ao WhatsApp mesmo que perdesse o caso

    • Porque a NSO Group lida com dólares
      Se não responder, perde por revelia, e o tribunal pode ordenar a apreensão de ativos que os EUA consigam alcançar
      Mesmo que receba pagamentos em shekels em países fora de Israel, no processo de câmbio o dólar entra como moeda intermediária, e aí está a brecha dos EUA
    • Isso é chamado de aplicação extraterritorial
      Na França também houve um caso absurdo
      Os EUA praticamente levaram a gigante francesa Alstom à falência e a compraram a preço de banana; depois, também tentaram derrubar a Airbus
      Em ambos os casos, os EUA usaram o direito de aplicação extraterritorial que atribuíram a si mesmos
      Essa história está documentada neste documentário: https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
      Antes também dava para assistir no YouTube em https://youtu.be/Sa22eu1FWyo, mas agora parece estar privado. Talvez fosse uma revelação inconveniente
    • É possível porque são os EUA
      O FATCA também é possível pelo mesmo motivo
    • Não há muito o que explicar. Os EUA têm tratados recíprocos com países aliados
      É o que o governo vive chamando de “ordem internacional liberal”
      Israel assinou um tratado comprometendo-se a respeitar e executar decisões de tribunais dos EUA, e os EUA também assinaram um tratado comprometendo-se a respeitar e executar decisões de tribunais de Israel
      Então, se um juiz americano assina uma ordem e a envia a um juiz israelense, o juiz israelense a executa, e vice-versa
    • Porque estão sendo processados nos EUA por atos praticados nos EUA. Não é algo muito difícil nem especial
      Claro que eles podem ignorar o processo, mas nesse caso é melhor que os envolvidos nunca mais entrem nos EUA
      Para começo de conversa, o modo de operação deles parece ter forte caráter criminoso, a ponto de eu querer recomendar a todos os ex-funcionários que evitem entrar nos EUA
  • Fico curioso se uma das outras plataformas mencionadas é o Signal

    • Se o dispositivo for rooteado, dá para extrair dados de qualquer app, então parece que mencionam todas as plataformas por marketing
      Isso não significa que a vulnerabilidade estivesse naquele app, nem que fosse culpa do app
      No fim, entendo isso como um problema da plataforma, especialmente iOS e Apple, e dos desenvolvedores e corretores de exploits
      É por isso que a Apple não gosta deles
      Para o bem ou para o mal, pressionar a Apple pode, em geral, ser bom também para o restante dos usuários
      Por outro lado, também dá para dizer que a Apple deveria cuidar melhor desse tipo de problema e pagar recompensas maiores a pesquisadores de segurança
      Está melhor do que há 20 anos, mas vender exploits para esses atores suspeitos ainda provavelmente rende mais do que esperar que uma gigante pague trocados por uma descoberta
  • Para referência, https://grapheneos.org/ e https://signal.org/ existem

    • Acho que isso é fugir do ponto
      Se um spyware conseguiu obter no dispositivo privilégios de acesso em nível ring0, as propriedades de segurança de um app como o Signal deixam de ter muita importância
      Porque o spyware consegue acessá-lo com extrema facilidade
  • Israel jamais permitiria a exportação do código-fonte

    • Aquele país é, na prática, um Estado pária, mas estranhamente sempre é tratado com cautela
  • Não entendo por que a Pegasus teria de enviar o código-fonte real ao WhatsApp mesmo que perdesse o caso
    Não bastaria enviar qualquer coisa falsa? Estou deixando passar algo?

    • Você está deixando passar o tribunal e sua autoridade legal
  • Não entendo por que o NSO Group — e, além disso, Israel — não foram sancionados por causa desse spyware
    Essa empresa é uma empresa perigosa que vende ferramentas fáceis de abusar aos piores inimigos antidemocráticos do Ocidente

    • A NSO já foi sancionada: https://www.state.gov/the-united-states-adds-foreign-compani...
    • É pelo mesmo motivo que a ajuda militar de US$ 10 bilhões não diminuiu, apesar de inúmeras ações contrárias aos interesses e valores dos EUA
      É política
    • O NSO Group já foi sancionado: https://www.washingtonpost.com/technology/2021/11/03/pegasus...
    • Há muito tempo Israel atua como canal alternativo para entregar armas a países que são terríveis pelos padrões dos “valores ocidentais”, mas dóceis aos interesses das empresas americanas
      A Guiné Equatorial foi um exemplo disso, envolvendo contratos entre o ditador Obiang e a ExxonMobil
      Steve Coll escreveu assim em "Private Empire: ExxonMobil and American Power" (2012)

      "Fortunately for Obiang, coup-prone African governments rolling in oil but lacking in arms and intelligence to defend their bounty had a discrete alternative to the Pentagon and C.I.A. for defense support: Israel. Quietly, the Bush Administration encouraged Obiang to enter into security and commercial ties with Tel Aviv."
      O Azerbaijão é parecido. Isso porque a venda de armas americanas estava proibida por questões de repressão aos direitos humanos
      Um telegrama de 2009 do Departamento de Estado dos EUA divulgado pelo Wikileaks dizia que, “por meio de seus laços estreitos com Israel, o Azerbaijão obtém acesso a sistemas de armamento de alta qualidade em um nível que não conseguiria obter dos EUA e da Europa por causa de várias restrições legais”
      Quando governos ditatoriais fazem o dinheiro do petróleo fluir para o sistema financeiro ocidental, os EUA fecham os olhos para coisas assim — por exemplo, Arábia Saudita e Emirados Árabes Unidos usando o Pegasus para reprimir ativistas pró-democracia
      Caso contrário, chega a hora das sanções e da mudança de regime

    • Colocando o chapéu de teoria da conspiração, parece haver um interesse profundo em um parceiro forte, e não um concorrente, vender esse tipo de coisa
      Não é nada bom para os países-alvo, mas é vantajoso para as agências de inteligência de Israel e dos EUA
  • Por isso não quero trabalhar na área de cibersegurança
    Porque é preciso lidar com pessoas perigosas

    • O trabalho policial também é assim, e nas Forças Armadas é ainda pior
      E cibersegurança é uma área muito ampla
      Muitas funções se parecem mais com ensinar princípios e procedimentos de segurança aos funcionários e implementar classificação de dados
      Nem todo mundo lida diretamente com ataques; a maior parte é trabalho preventivo
      Na nossa empresa, entre as pessoas que tecnicamente trabalham com cibersegurança, provavelmente menos de 20% lidam diretamente com ataques. Embora isso também tenha a ver com o fato de termos terceirizado o nosso SOC