Ao ouvir os episódios do Darknet Diaries sobre pessoas que enfrentaram diretamente o NSO Group ou foram alvos dele, dá para ter uma noção de como eles são terríveis
O mais problemático é que atuam sob a proteção dos EUA e, na prática, têm permissão para espionar cidadãos americanos sem quase nenhuma responsabilização
O caso de espionagem ilegal contra Ben Suda depois que ela iniciou a investigação de crimes de guerra de Israel foi particularmente repugnante, e parece que isso foi usado para intimidar a promotora ou ocultar provas do alvo da investigação
Também é grave o fato de terem explorado uma brecha ao levar um caso ao tribunal e depois retirá-lo, para então dizer ao ICC que “tentaram processar”, impedindo assim que o ICC assumisse o caso
Vários países devem fazer coisas parecidas, operar botnets ou intimidar jornalistas, mas o que é peculiar aqui é que organizações de inteligência israelenses recebem proteção total dos EUA, sem qualquer fiscalização ou supervisão, lado a lado com o governo americano
Já estamos vivendo na distopia sobre a qual alertavam há décadas
Os EUA hospedam e protegem empresas que fazem isso ainda melhor do que a NSO
Não é só porque essas empresas são espertas o bastante para não aparecer nas notícias
O princípio da complementaridade do ICC não é acionado tão facilmente, a menos que a investigação doméstica claramente não seja de boa-fé
O ICC pode ignorar investigações nacionais que considerar não serem tentativas sérias de investigação
Se bastasse tocar uma investigação falsa internamente para escapar de toda responsabilidade, seria um tribunal bem ridículo
Tento evitar ao máximo usar tecnologia israelense na minha stack
Não sei se dá para usar um software como o Snyk sem se colocar em risco. Os fundadores vieram da antiga Unit 8200 das IDF
Especialmente na área de segurança, usar tecnologia israelense parece como colocar o lobo dentro do galinheiro. Passo
Seria mais apropriado tratar os donos ou tomadores de decisão da NSO do mesmo jeito que Gary McKinnon
Só que eles parecem ser mais “iguais”
Não sou advogado, então posso ter entendido algo errado, mas a autora da ação não são os jornalistas, e sim o WhatsApp
Este caso parece menos uma ação para responsabilizar o NSO Group por hackear jornalistas e mais uma discussão sobre se houve “excesso de autorização” contra o WhatsApp ao enviar às vítimas, via WhatsApp, o vetor de instalação do Pegasus
O fato de jornalistas terem sido comprometidos é incidental, e a decisão trata menos de saber se o acesso às vítimas foi não autorizado e mais de saber se houve excesso de autorização nos sistemas do WhatsApp
A própria decisão entende que todo usuário do WhatsApp tem permissão para enviar mensagens, então, mesmo que elas contenham spyware, isso não seria “acesso não autorizado”; só sustentaria a teoria de “excesso de autorização”
A defesa argumenta que o vetor de instalação do Pegasus apenas passou pelos servidores do WhatsApp como qualquer outra mensagem, e que as informações obtidas vieram do dispositivo do usuário-alvo, não dos servidores
A autora se apoia na expressão “qualquer computador protegido (any protected computer)” da norma, e na audiência ficou estabelecido que o WIS não apenas obtém informações diretamente dos dispositivos dos usuários, mas também consegue informações dos dispositivos-alvo por meio dos servidores do WhatsApp
Pelos registros anteriores, o NSO Group criou por script um cliente falso do WhatsApp para enviar mensagens que o app normal não conseguiria enviar, e com isso obteve informações dos dispositivos-alvo
A lógica é que o cliente falso fez coisas que o cliente real não pode fazer e que são proibidas pelos termos de uso, portanto houve excesso de autorização
Vale parar um momento para pensar no que isso significa. Eu certamente não sou a única pessoa que já fez um cliente alternativo de alguma coisa
O WhatsApp não parece estar alegando que o cliente falso explorou uma vulnerabilidade para obter informações; ao que tudo indica, o simples fato de ser um cliente falso já bastaria. Dito isso, há trechos sob sigilo que podem ser relevantes para esse ponto
O CFAA é bem ambíguo e historicamente tem sido aplicado de forma muito ampla, então não é surpresa, mas eu esperava que, após o caso Van Buren de alguns anos atrás, essa interpretação ampla que transforma violação de termos de uso em violação do CFAA tivesse recuado um pouco
Para quem tiver interesse, a decisão: https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
Se quiser ver outros registros com os argumentos das duas partes, CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v...
Já fiz clientes não oficiais e também já tive de lutar contra clientes não oficiais maliciosos em um serviço que eu opero
Dar carta branca total para qualquer um dos lados não é sustentável
Os 99,99% dos clientes que funcionam bem são implicitamente ignorados, mas não me oponho a ver em tribunal quem distribui malware ou contorna limites de taxa
Pelo perfil das partes envolvidas, a forma mais limpa de atingir o objetivo é mirar na questão da autorização
Isso desloca o foco do que foi feito para como foi feito
Assim dá para reduzir o constrangimento das partes, proteger fontes e métodos, e ainda passar uma mensagem
A lei é deliberadamente ampla. Se não fosse o NSO Group, mas sim um americano, isso provavelmente teria terminado em acordo com confissão de culpa, puxado por um cálculo absurdo de danos em vez de milhares de meses de prisão
O CFAA já passou da hora de ser reformado
Não é difícil argumentar que ele é excessivamente amplo e vago, e que seu alcance geral pode facilmente abarcar até comportamentos online inofensivos
Parece difícil que usuários do WhatsApp tenham legitimidade ativa para processar quem hackeou o WhatsApp e pegou seus dados
O sistema é propriedade do WhatsApp, então a ação teria de ser movida pelo WhatsApp
Se a questão é “obteve informações dos dispositivos dos usuários-alvo com um cliente falso que enviava mensagens que o app normal não podia enviar”, então a distinção de excesso de autorização parece bem clara
Não leio essa decisão como algo desfavorável para quem quer criar seu próprio cliente
Eles criaram deliberadamente um cliente de terceiros com finalidade maliciosa
Se você criasse um cliente de Discord para enviar spam ou prejudicar usuários, é totalmente razoável que isso se tornasse um problema
Eu achava que WhatsApp e Signal compartilhavam a mesma criptografia
Isso não quer dizer que a criptografia foi quebrada
O app em si processa muitas entradas não confiáveis, então existem superfícies de ataque relevantes fora do protocolo também, por exemplo em partes como a geração de miniaturas de arquivos de vídeo recebidos
Foi um buffer overflow na pilha de VOIP https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
Curiosamente, Signal e outros também tiveram uma vulnerabilidade parecida no Android por causa da pilha WebRTC https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
Nos dois casos, o grande problema foi que o exploit era executado antes de o usuário atender a chamada
Um mensageiro seguro não deveria executar código essencialmente inseguro, isto é, código complexo, em nome de entidades nas quais o usuário realmente não confia
Na minha opinião, o padrão deveria ser sempre texto simples
Esse grupo explorou um bug do WhatsApp para entregar spyware
Não foi um problema de criptografia de ponta a ponta
Um juiz dos EUA deu ganho de causa ao WhatsApp, da Meta Platforms, em um processo que acusava o NSO Group, de Israel, de explorar bugs no app de mensagens para instalar software espião que possibilitava vigilância não autorizada
O ataque não teve como alvo a parte de criptografia do WhatsApp
Criptografia é importante, mas raramente é o elo mais fraco da cadeia de segurança
Precisamos começar partindo do princípio de que qualquer meio de comunicação já foi comprometido
Não faz sentido imaginar que uma organização como a NSA levantaria as mãos e desistiria de um app como o Signal. Se é um dos apps de mensagem mais baixados, vale muito a pena investir para invadi-lo
É melhor considerar que tudo o que envolve celular ou computador é inerentemente inseguro
Já métodos analógicos, como tabelas de cifra descartáveis ou cobrir a boca com a mão e sussurrar no ouvido de alguém, não criam um desequilíbrio de poder entre Estado e indivíduo tão unilateral quanto as comunicações digitais, que provavelmente já foram comprometidas de alguma forma
A frase “empresas de vigilância precisam saber que vigilância ilegal não será tolerada” é meio engraçada e triste
Invertendo isso, parece que a Meta estaria dizendo que aceita que usuários do WhatsApp sejam “vigiados legalmente”
Todas as empresas de mídia social permitem vigilância legal
Nos EUA, mandados e ordens de escuta são emitidos todos os dias
Parece algo óbvio
A Meta quer o monopólio sobre a vigilância dos usuários
Não é permitido vigiar usuários por meio de produtos da Meta
Se você quiser vigiar usuários, basta criar seu próprio app popular o bastante para que bilhões de pessoas se cadastrem voluntariamente e consintam com a vigilância
É irônico pensar que o FBI e a CISA anunciaram justamente hoje que não se deve usar SMS para autenticação em duas etapas, e sim WhatsApp
Claro, o maior problema que eles apontaram é que usuários móveis clicam em links de SMS
Vivemos em um ambiente em grande parte capturado e anti-consumidor, então nem sei se existe algo como um ótimo conselho https://www.newsnationnow.com/business/tech/fbi-warns-agains...
Claro que existe conselho bom
Sempre prefira apps autenticadores em vez de SMS
Também espero que passkeys sejam um grande avanço nesse aspecto
Até onde se sabe, o WhatsApp não é mais vulnerável àquele ataque, e apps de SMS também já tiveram vulnerabilidades parecidas no passado
Não deveria haver distinção entre essas empresas e operadores comuns de botnet ou grupos de ransomware
Seus executivos deveriam pegar 20 a 30 anos de prisão e ser extraditados no mundo inteiro
O dano que causam à sociedade ao hackear jornalistas e políticos, colocando em risco não apenas carteiras, mas literalmente vidas, pode ser ainda maior do que o de grupos de ransomware
Fora a extração de dados de alguém que já foi condenado, com direito de defesa garantido em tribunal público, não deveria existir hackeamento “legal” de dispositivos de ninguém
Isso não é tão diferente assim de “armas” tradicionais
Eu não gosto da analogia de “arma cibernética”, mas aqui ela se encaixa
Se você vende armas para governos, até mesmo governos malvistos, quase nada acontece, a menos que seja um caso extremo
Se vende armas para gangues de rua, é uma história completamente diferente
Não vejo por que essa situação seria diferente só porque se trata de “hacking”
Quem hackeou jornalistas definitivamente deveria ir para a prisão
Pelo menos na intenção, concordo com a primeira parte
Mas a segunda parte não faz sentido
Se o presidente dos EUA pode ordenar que terroristas sejam mortos por drone sem serem levados a julgamento, então também pode ordenar que seus celulares sejam hackeados
Se você acha que a segunda hipótese nunca pode ser aceitável, então talvez primeiro devesse lutar contra a primeira
Israelenses não serão extraditados aos EUA por motivo nenhum
É engraçado pensar nisso, considerando que os EUA basicamente sustentam financeiramente o país inteiro
Parece um lugar onde se permite que Israel tire as luvas e ameace militarmente seus inimigos, para manter a aparência de uma “ordem mundial baseada em direitos” sem que os EUA sejam diretamente culpados pelo que foi feito
Imagine perseguirem a NSO com a mesma obstinação com que perseguiram o Wikileaks
1 comentários
Comentários do Hacker News
Ao ouvir os episódios do Darknet Diaries sobre pessoas que enfrentaram diretamente o NSO Group ou foram alvos dele, dá para ter uma noção de como eles são terríveis
O mais problemático é que atuam sob a proteção dos EUA e, na prática, têm permissão para espionar cidadãos americanos sem quase nenhuma responsabilização
O caso de espionagem ilegal contra Ben Suda depois que ela iniciou a investigação de crimes de guerra de Israel foi particularmente repugnante, e parece que isso foi usado para intimidar a promotora ou ocultar provas do alvo da investigação
Também é grave o fato de terem explorado uma brecha ao levar um caso ao tribunal e depois retirá-lo, para então dizer ao ICC que “tentaram processar”, impedindo assim que o ICC assumisse o caso
Vários países devem fazer coisas parecidas, operar botnets ou intimidar jornalistas, mas o que é peculiar aqui é que organizações de inteligência israelenses recebem proteção total dos EUA, sem qualquer fiscalização ou supervisão, lado a lado com o governo americano
Já estamos vivendo na distopia sobre a qual alertavam há décadas
Não é só porque essas empresas são espertas o bastante para não aparecer nas notícias
O ICC pode ignorar investigações nacionais que considerar não serem tentativas sérias de investigação
Se bastasse tocar uma investigação falsa internamente para escapar de toda responsabilidade, seria um tribunal bem ridículo
Não sei se dá para usar um software como o Snyk sem se colocar em risco. Os fundadores vieram da antiga Unit 8200 das IDF
Especialmente na área de segurança, usar tecnologia israelense parece como colocar o lobo dentro do galinheiro. Passo
Seria mais apropriado tratar os donos ou tomadores de decisão da NSO do mesmo jeito que Gary McKinnon
Só que eles parecem ser mais “iguais”
Não sou advogado, então posso ter entendido algo errado, mas a autora da ação não são os jornalistas, e sim o WhatsApp
Este caso parece menos uma ação para responsabilizar o NSO Group por hackear jornalistas e mais uma discussão sobre se houve “excesso de autorização” contra o WhatsApp ao enviar às vítimas, via WhatsApp, o vetor de instalação do Pegasus
O fato de jornalistas terem sido comprometidos é incidental, e a decisão trata menos de saber se o acesso às vítimas foi não autorizado e mais de saber se houve excesso de autorização nos sistemas do WhatsApp
A própria decisão entende que todo usuário do WhatsApp tem permissão para enviar mensagens, então, mesmo que elas contenham spyware, isso não seria “acesso não autorizado”; só sustentaria a teoria de “excesso de autorização”
A defesa argumenta que o vetor de instalação do Pegasus apenas passou pelos servidores do WhatsApp como qualquer outra mensagem, e que as informações obtidas vieram do dispositivo do usuário-alvo, não dos servidores
A autora se apoia na expressão “qualquer computador protegido (any protected computer)” da norma, e na audiência ficou estabelecido que o WIS não apenas obtém informações diretamente dos dispositivos dos usuários, mas também consegue informações dos dispositivos-alvo por meio dos servidores do WhatsApp
Pelos registros anteriores, o NSO Group criou por script um cliente falso do WhatsApp para enviar mensagens que o app normal não conseguiria enviar, e com isso obteve informações dos dispositivos-alvo
A lógica é que o cliente falso fez coisas que o cliente real não pode fazer e que são proibidas pelos termos de uso, portanto houve excesso de autorização
Vale parar um momento para pensar no que isso significa. Eu certamente não sou a única pessoa que já fez um cliente alternativo de alguma coisa
O WhatsApp não parece estar alegando que o cliente falso explorou uma vulnerabilidade para obter informações; ao que tudo indica, o simples fato de ser um cliente falso já bastaria. Dito isso, há trechos sob sigilo que podem ser relevantes para esse ponto
O CFAA é bem ambíguo e historicamente tem sido aplicado de forma muito ampla, então não é surpresa, mas eu esperava que, após o caso Van Buren de alguns anos atrás, essa interpretação ampla que transforma violação de termos de uso em violação do CFAA tivesse recuado um pouco
Para quem tiver interesse, a decisão: https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
Se quiser ver outros registros com os argumentos das duas partes, CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v...
Dar carta branca total para qualquer um dos lados não é sustentável
Os 99,99% dos clientes que funcionam bem são implicitamente ignorados, mas não me oponho a ver em tribunal quem distribui malware ou contorna limites de taxa
Isso desloca o foco do que foi feito para como foi feito
Assim dá para reduzir o constrangimento das partes, proteger fontes e métodos, e ainda passar uma mensagem
A lei é deliberadamente ampla. Se não fosse o NSO Group, mas sim um americano, isso provavelmente teria terminado em acordo com confissão de culpa, puxado por um cálculo absurdo de danos em vez de milhares de meses de prisão
Não é difícil argumentar que ele é excessivamente amplo e vago, e que seu alcance geral pode facilmente abarcar até comportamentos online inofensivos
O sistema é propriedade do WhatsApp, então a ação teria de ser movida pelo WhatsApp
Não leio essa decisão como algo desfavorável para quem quer criar seu próprio cliente
Eles criaram deliberadamente um cliente de terceiros com finalidade maliciosa
Se você criasse um cliente de Discord para enviar spam ou prejudicar usuários, é totalmente razoável que isso se tornasse um problema
Eu achava que WhatsApp e Signal compartilhavam a mesma criptografia
O app em si processa muitas entradas não confiáveis, então existem superfícies de ataque relevantes fora do protocolo também, por exemplo em partes como a geração de miniaturas de arquivos de vídeo recebidos
https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
Curiosamente, Signal e outros também tiveram uma vulnerabilidade parecida no Android por causa da pilha WebRTC
https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
Nos dois casos, o grande problema foi que o exploit era executado antes de o usuário atender a chamada
Um mensageiro seguro não deveria executar código essencialmente inseguro, isto é, código complexo, em nome de entidades nas quais o usuário realmente não confia
Na minha opinião, o padrão deveria ser sempre texto simples
Não foi um problema de criptografia de ponta a ponta
Um juiz dos EUA deu ganho de causa ao WhatsApp, da Meta Platforms, em um processo que acusava o NSO Group, de Israel, de explorar bugs no app de mensagens para instalar software espião que possibilitava vigilância não autorizada
Criptografia é importante, mas raramente é o elo mais fraco da cadeia de segurança
Não faz sentido imaginar que uma organização como a NSA levantaria as mãos e desistiria de um app como o Signal. Se é um dos apps de mensagem mais baixados, vale muito a pena investir para invadi-lo
É melhor considerar que tudo o que envolve celular ou computador é inerentemente inseguro
Já métodos analógicos, como tabelas de cifra descartáveis ou cobrir a boca com a mão e sussurrar no ouvido de alguém, não criam um desequilíbrio de poder entre Estado e indivíduo tão unilateral quanto as comunicações digitais, que provavelmente já foram comprometidas de alguma forma
A frase “empresas de vigilância precisam saber que vigilância ilegal não será tolerada” é meio engraçada e triste
Invertendo isso, parece que a Meta estaria dizendo que aceita que usuários do WhatsApp sejam “vigiados legalmente”
Nos EUA, mandados e ordens de escuta são emitidos todos os dias
A Meta quer o monopólio sobre a vigilância dos usuários
Não é permitido vigiar usuários por meio de produtos da Meta
Se você quiser vigiar usuários, basta criar seu próprio app popular o bastante para que bilhões de pessoas se cadastrem voluntariamente e consintam com a vigilância
É irônico pensar que o FBI e a CISA anunciaram justamente hoje que não se deve usar SMS para autenticação em duas etapas, e sim WhatsApp
Claro, o maior problema que eles apontaram é que usuários móveis clicam em links de SMS
Vivemos em um ambiente em grande parte capturado e anti-consumidor, então nem sei se existe algo como um ótimo conselho
https://www.newsnationnow.com/business/tech/fbi-warns-agains...
Sempre prefira apps autenticadores em vez de SMS
Também espero que passkeys sejam um grande avanço nesse aspecto
Não deveria haver distinção entre essas empresas e operadores comuns de botnet ou grupos de ransomware
Seus executivos deveriam pegar 20 a 30 anos de prisão e ser extraditados no mundo inteiro
O dano que causam à sociedade ao hackear jornalistas e políticos, colocando em risco não apenas carteiras, mas literalmente vidas, pode ser ainda maior do que o de grupos de ransomware
Fora a extração de dados de alguém que já foi condenado, com direito de defesa garantido em tribunal público, não deveria existir hackeamento “legal” de dispositivos de ninguém
Eu não gosto da analogia de “arma cibernética”, mas aqui ela se encaixa
Se você vende armas para governos, até mesmo governos malvistos, quase nada acontece, a menos que seja um caso extremo
Se vende armas para gangues de rua, é uma história completamente diferente
Não vejo por que essa situação seria diferente só porque se trata de “hacking”
Mas a segunda parte não faz sentido
Se o presidente dos EUA pode ordenar que terroristas sejam mortos por drone sem serem levados a julgamento, então também pode ordenar que seus celulares sejam hackeados
Se você acha que a segunda hipótese nunca pode ser aceitável, então talvez primeiro devesse lutar contra a primeira
É engraçado pensar nisso, considerando que os EUA basicamente sustentam financeiramente o país inteiro
Parece um lugar onde se permite que Israel tire as luvas e ameace militarmente seus inimigos, para manter a aparência de uma “ordem mundial baseada em direitos” sem que os EUA sejam diretamente culpados pelo que foi feito