1 comentários

 
GN⁺ 2024-12-22
Comentários do Hacker News
  • Ao ouvir os episódios do Darknet Diaries sobre pessoas que enfrentaram diretamente o NSO Group ou foram alvos dele, dá para ter uma noção de como eles são terríveis
    O mais problemático é que atuam sob a proteção dos EUA e, na prática, têm permissão para espionar cidadãos americanos sem quase nenhuma responsabilização
    O caso de espionagem ilegal contra Ben Suda depois que ela iniciou a investigação de crimes de guerra de Israel foi particularmente repugnante, e parece que isso foi usado para intimidar a promotora ou ocultar provas do alvo da investigação
    Também é grave o fato de terem explorado uma brecha ao levar um caso ao tribunal e depois retirá-lo, para então dizer ao ICC que “tentaram processar”, impedindo assim que o ICC assumisse o caso
    Vários países devem fazer coisas parecidas, operar botnets ou intimidar jornalistas, mas o que é peculiar aqui é que organizações de inteligência israelenses recebem proteção total dos EUA, sem qualquer fiscalização ou supervisão, lado a lado com o governo americano
    Já estamos vivendo na distopia sobre a qual alertavam há décadas

    • Os EUA hospedam e protegem empresas que fazem isso ainda melhor do que a NSO
      Não é só porque essas empresas são espertas o bastante para não aparecer nas notícias
    • O princípio da complementaridade do ICC não é acionado tão facilmente, a menos que a investigação doméstica claramente não seja de boa-fé
      O ICC pode ignorar investigações nacionais que considerar não serem tentativas sérias de investigação
      Se bastasse tocar uma investigação falsa internamente para escapar de toda responsabilidade, seria um tribunal bem ridículo
    • Tento evitar ao máximo usar tecnologia israelense na minha stack
      Não sei se dá para usar um software como o Snyk sem se colocar em risco. Os fundadores vieram da antiga Unit 8200 das IDF
      Especialmente na área de segurança, usar tecnologia israelense parece como colocar o lobo dentro do galinheiro. Passo
  • Seria mais apropriado tratar os donos ou tomadores de decisão da NSO do mesmo jeito que Gary McKinnon
    Só que eles parecem ser mais “iguais”

  • Não sou advogado, então posso ter entendido algo errado, mas a autora da ação não são os jornalistas, e sim o WhatsApp
    Este caso parece menos uma ação para responsabilizar o NSO Group por hackear jornalistas e mais uma discussão sobre se houve “excesso de autorização” contra o WhatsApp ao enviar às vítimas, via WhatsApp, o vetor de instalação do Pegasus
    O fato de jornalistas terem sido comprometidos é incidental, e a decisão trata menos de saber se o acesso às vítimas foi não autorizado e mais de saber se houve excesso de autorização nos sistemas do WhatsApp
    A própria decisão entende que todo usuário do WhatsApp tem permissão para enviar mensagens, então, mesmo que elas contenham spyware, isso não seria “acesso não autorizado”; só sustentaria a teoria de “excesso de autorização”
    A defesa argumenta que o vetor de instalação do Pegasus apenas passou pelos servidores do WhatsApp como qualquer outra mensagem, e que as informações obtidas vieram do dispositivo do usuário-alvo, não dos servidores
    A autora se apoia na expressão “qualquer computador protegido (any protected computer)” da norma, e na audiência ficou estabelecido que o WIS não apenas obtém informações diretamente dos dispositivos dos usuários, mas também consegue informações dos dispositivos-alvo por meio dos servidores do WhatsApp
    Pelos registros anteriores, o NSO Group criou por script um cliente falso do WhatsApp para enviar mensagens que o app normal não conseguiria enviar, e com isso obteve informações dos dispositivos-alvo
    A lógica é que o cliente falso fez coisas que o cliente real não pode fazer e que são proibidas pelos termos de uso, portanto houve excesso de autorização
    Vale parar um momento para pensar no que isso significa. Eu certamente não sou a única pessoa que já fez um cliente alternativo de alguma coisa
    O WhatsApp não parece estar alegando que o cliente falso explorou uma vulnerabilidade para obter informações; ao que tudo indica, o simples fato de ser um cliente falso já bastaria. Dito isso, há trechos sob sigilo que podem ser relevantes para esse ponto
    O CFAA é bem ambíguo e historicamente tem sido aplicado de forma muito ampla, então não é surpresa, mas eu esperava que, após o caso Van Buren de alguns anos atrás, essa interpretação ampla que transforma violação de termos de uso em violação do CFAA tivesse recuado um pouco
    Para quem tiver interesse, a decisão: https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
    Se quiser ver outros registros com os argumentos das duas partes, CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v...

    • Já fiz clientes não oficiais e também já tive de lutar contra clientes não oficiais maliciosos em um serviço que eu opero
      Dar carta branca total para qualquer um dos lados não é sustentável
      Os 99,99% dos clientes que funcionam bem são implicitamente ignorados, mas não me oponho a ver em tribunal quem distribui malware ou contorna limites de taxa
    • Pelo perfil das partes envolvidas, a forma mais limpa de atingir o objetivo é mirar na questão da autorização
      Isso desloca o foco do que foi feito para como foi feito
      Assim dá para reduzir o constrangimento das partes, proteger fontes e métodos, e ainda passar uma mensagem
      A lei é deliberadamente ampla. Se não fosse o NSO Group, mas sim um americano, isso provavelmente teria terminado em acordo com confissão de culpa, puxado por um cálculo absurdo de danos em vez de milhares de meses de prisão
    • O CFAA já passou da hora de ser reformado
      Não é difícil argumentar que ele é excessivamente amplo e vago, e que seu alcance geral pode facilmente abarcar até comportamentos online inofensivos
    • Parece difícil que usuários do WhatsApp tenham legitimidade ativa para processar quem hackeou o WhatsApp e pegou seus dados
      O sistema é propriedade do WhatsApp, então a ação teria de ser movida pelo WhatsApp
    • Se a questão é “obteve informações dos dispositivos dos usuários-alvo com um cliente falso que enviava mensagens que o app normal não podia enviar”, então a distinção de excesso de autorização parece bem clara
      Não leio essa decisão como algo desfavorável para quem quer criar seu próprio cliente
      Eles criaram deliberadamente um cliente de terceiros com finalidade maliciosa
      Se você criasse um cliente de Discord para enviar spam ou prejudicar usuários, é totalmente razoável que isso se tornasse um problema
  • Eu achava que WhatsApp e Signal compartilhavam a mesma criptografia

    • Isso não quer dizer que a criptografia foi quebrada
      O app em si processa muitas entradas não confiáveis, então existem superfícies de ataque relevantes fora do protocolo também, por exemplo em partes como a geração de miniaturas de arquivos de vídeo recebidos
    • Foi um buffer overflow na pilha de VOIP
      https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
      Curiosamente, Signal e outros também tiveram uma vulnerabilidade parecida no Android por causa da pilha WebRTC
      https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
      Nos dois casos, o grande problema foi que o exploit era executado antes de o usuário atender a chamada
      Um mensageiro seguro não deveria executar código essencialmente inseguro, isto é, código complexo, em nome de entidades nas quais o usuário realmente não confia
      Na minha opinião, o padrão deveria ser sempre texto simples
    • Esse grupo explorou um bug do WhatsApp para entregar spyware
      Não foi um problema de criptografia de ponta a ponta
      Um juiz dos EUA deu ganho de causa ao WhatsApp, da Meta Platforms, em um processo que acusava o NSO Group, de Israel, de explorar bugs no app de mensagens para instalar software espião que possibilitava vigilância não autorizada
    • O ataque não teve como alvo a parte de criptografia do WhatsApp
      Criptografia é importante, mas raramente é o elo mais fraco da cadeia de segurança
    • Precisamos começar partindo do princípio de que qualquer meio de comunicação já foi comprometido
      Não faz sentido imaginar que uma organização como a NSA levantaria as mãos e desistiria de um app como o Signal. Se é um dos apps de mensagem mais baixados, vale muito a pena investir para invadi-lo
      É melhor considerar que tudo o que envolve celular ou computador é inerentemente inseguro
      Já métodos analógicos, como tabelas de cifra descartáveis ou cobrir a boca com a mão e sussurrar no ouvido de alguém, não criam um desequilíbrio de poder entre Estado e indivíduo tão unilateral quanto as comunicações digitais, que provavelmente já foram comprometidas de alguma forma
  • A frase “empresas de vigilância precisam saber que vigilância ilegal não será tolerada” é meio engraçada e triste
    Invertendo isso, parece que a Meta estaria dizendo que aceita que usuários do WhatsApp sejam “vigiados legalmente”

    • Todas as empresas de mídia social permitem vigilância legal
      Nos EUA, mandados e ordens de escuta são emitidos todos os dias
    • Parece algo óbvio
      A Meta quer o monopólio sobre a vigilância dos usuários
      Não é permitido vigiar usuários por meio de produtos da Meta
      Se você quiser vigiar usuários, basta criar seu próprio app popular o bastante para que bilhões de pessoas se cadastrem voluntariamente e consintam com a vigilância
  • É irônico pensar que o FBI e a CISA anunciaram justamente hoje que não se deve usar SMS para autenticação em duas etapas, e sim WhatsApp
    Claro, o maior problema que eles apontaram é que usuários móveis clicam em links de SMS
    Vivemos em um ambiente em grande parte capturado e anti-consumidor, então nem sei se existe algo como um ótimo conselho
    https://www.newsnationnow.com/business/tech/fbi-warns-agains...

    • Claro que existe conselho bom
      Sempre prefira apps autenticadores em vez de SMS
      Também espero que passkeys sejam um grande avanço nesse aspecto
    • Até onde se sabe, o WhatsApp não é mais vulnerável àquele ataque, e apps de SMS também já tiveram vulnerabilidades parecidas no passado
  • Não deveria haver distinção entre essas empresas e operadores comuns de botnet ou grupos de ransomware
    Seus executivos deveriam pegar 20 a 30 anos de prisão e ser extraditados no mundo inteiro
    O dano que causam à sociedade ao hackear jornalistas e políticos, colocando em risco não apenas carteiras, mas literalmente vidas, pode ser ainda maior do que o de grupos de ransomware
    Fora a extração de dados de alguém que já foi condenado, com direito de defesa garantido em tribunal público, não deveria existir hackeamento “legal” de dispositivos de ninguém

    • Isso não é tão diferente assim de “armas” tradicionais
      Eu não gosto da analogia de “arma cibernética”, mas aqui ela se encaixa
      Se você vende armas para governos, até mesmo governos malvistos, quase nada acontece, a menos que seja um caso extremo
      Se vende armas para gangues de rua, é uma história completamente diferente
      Não vejo por que essa situação seria diferente só porque se trata de “hacking”
    • Quem hackeou jornalistas definitivamente deveria ir para a prisão
    • Pelo menos na intenção, concordo com a primeira parte
      Mas a segunda parte não faz sentido
      Se o presidente dos EUA pode ordenar que terroristas sejam mortos por drone sem serem levados a julgamento, então também pode ordenar que seus celulares sejam hackeados
      Se você acha que a segunda hipótese nunca pode ser aceitável, então talvez primeiro devesse lutar contra a primeira
    • Israelenses não serão extraditados aos EUA por motivo nenhum
      É engraçado pensar nisso, considerando que os EUA basicamente sustentam financeiramente o país inteiro
      Parece um lugar onde se permite que Israel tire as luvas e ameace militarmente seus inimigos, para manter a aparência de uma “ordem mundial baseada em direitos” sem que os EUA sejam diretamente culpados pelo que foi feito
    • Imagine perseguirem a NSO com a mesma obstinação com que perseguiram o Wikileaks