Al ver los episodios de Darknet Diaries que tratan directamente sobre NSO Group o desde la perspectiva de personas que fueron blanco, uno se da cuenta de lo terribles que son
Es especialmente problemático que operen bajo la protección de EE. UU. y que, en la práctica, se les permita vigilar a ciudadanos estadounidenses sin rendir casi ninguna cuenta
El caso de las escuchas ilegales a Ben Suda después de que iniciara una investigación sobre crímenes de guerra de Israel fue particularmente repugnante, y creo que se usó para intimidar a fiscales o para ocultar pruebas bajo investigación
También es grave que hayan llevado el caso a los tribunales y luego lo retiraran para decirle a la CPI que “intentaron procesarlo”, aprovechando así una laguna para impedir que la CPI asumiera el caso
Seguramente varios países hacen cosas parecidas y operan botnets o amenazan a periodistas, pero lo particular aquí es que las organizaciones de inteligencia israelíes, junto con el gobierno estadounidense, reciben protección total de EE. UU. sin ninguna vigilancia ni supervisión
Ya vivimos en la distopía sobre la que nos venían advirtiendo desde hace décadas
EE. UU. aloja y protege a empresas que hacen esto incluso mejor que NSO
No solo porque esas empresas sean lo bastante astutas como para no salir en las noticias
El principio de complementariedad de la CPI no se activa tan fácilmente si la investigación nacional no es claramente de buena fe
La CPI puede ignorar una investigación nacional si determina que no fue un intento serio de investigar
Sería un tribunal bastante ridículo si se pudiera evitar toda responsabilidad con solo montar investigaciones falsas entre ellos
En lo posible, intento no usar tecnología israelí en mi stack
No sé si se puede usar software como Snyk sin ponerse en riesgo. Sus fundadores son exmiembros de la Unit 8200 de las FDI
Especialmente en el área de seguridad, usar tecnología israelí parece como meter al lobo en el gallinero. Paso
Sería más apropiado tratar a los dueños o responsables de tomar decisiones de NSO de la misma manera que a Gary McKinnon
Aunque parece que ellos son del lado más “igual”
No soy abogado, así que puede que haya entendido algo mal, pero el demandante no son los periodistas, sino WhatsApp
Este caso parece centrarse no tanto en responsabilizar a NSO Group por hackear periodistas, sino en si cometió un “exceso de autorización” contra WhatsApp al enviar el vector de instalación de Pegasus a las víctimas a través de WhatsApp
El hecho de que los periodistas hayan sido comprometidos es incidental, y el fallo trata más sobre si se excedieron los permisos en los sistemas de WhatsApp que sobre si el acceso a las víctimas fue no autorizado
El fallo también considera que, como todos los usuarios de WhatsApp tienen permiso para enviar mensajes, no hubo “acceso no autorizado” aunque el mensaje incluyera spyware, y que solo se sostiene la teoría de “exceso de autorización”
La defensa sostuvo que el vector de instalación de Pegasus simplemente pasó por los servidores de WhatsApp como cualquier otro mensaje, y que la información obtenida no salió de los servidores sino del dispositivo del usuario objetivo
La parte demandante se apoyó en la expresión “cualquier computadora protegida (any protected computer)” de la disposición, y en la audiencia quedó establecido que WIS no solo obtiene información directamente del dispositivo del usuario, sino también información del dispositivo objetivo a través de los servidores de WhatsApp
Viendo también los registros previos, NSO Group creó mediante scripts un cliente falso de WhatsApp que enviaba mensajes que la app original no podía enviar, y con eso obtenía información de los dispositivos objetivo
La estructura del argumento es que el cliente falso hizo cosas que el cliente real no podía hacer y que están prohibidas por los términos de servicio, por lo que excedió la autorización
Vale la pena pensar un momento en lo que esto implica. Seguro no soy el único que alguna vez creó un cliente alternativo para algo
WhatsApp no parece estar sosteniendo que el cliente falso explotó una vulnerabilidad para obtener información, sino que el simple hecho de ser un cliente falso basta. Aunque hay partes selladas que podrían ser relevantes para este punto
La CFAA es bastante ambigua y en el pasado se ha aplicado de forma muy amplia, así que no sorprende, pero después del caso Van Buren de hace unos años esperaba que retrocediera un poco la interpretación amplia que convierte una violación de términos de servicio en una violación de la CFAA
Fallo para quien le interese: https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
Si quieren ver otros registros con los argumentos de ambas partes, CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v...
He creado clientes no oficiales, y también he tenido que combatir clientes no oficiales maliciosos en servicios que opero
Darle un cheque en blanco total a cualquiera de los dos lados no es sostenible
El 99.99% de los clientes que funcionan bien se ignoran tácitamente, pero no me opongo a que terminen en tribunales quienes distribuyen malware o evaden límites de velocidad
Por la naturaleza de los actores involucrados, la forma más limpia de lograr el objetivo es apuntar al problema de autorización
El foco pasa a estar en cómo se hizo, más que en quién hizo qué
Así se reduce el daño reputacional para las partes interesadas, se protegen las fuentes y los métodos, y también se envía un mensaje
La ley está redactada de la forma más amplia posible. Si hubiera sido un estadounidense y no NSO Group, habrían usado un cálculo absurdo de daños para conseguir un acuerdo de culpabilidad en lugar de miles de meses de prisión
Sin duda ya es hora de reformar la CFAA
No es difícil argumentar que es amplia y ambigua, y su alcance general puede abarcar fácilmente conductas en línea que no causan daño
Parece difícil que un usuario de WhatsApp tenga legitimación para demandar a quienes hackearon WhatsApp para llevarse sus datos
El sistema es propiedad de WhatsApp, así que WhatsApp es quien debe demandar
Si la parte es “obtuvo información de dispositivos de usuarios objetivo con un cliente falso que enviaba mensajes que la app original no podía enviar”, la distinción de exceso de autorización parece bastante clara
No leo este fallo como algo desfavorable para quienes quieren crear su propio cliente
Ellos crearon deliberadamente un cliente de terceros con fines maliciosos
Si alguien creara un cliente de Discord para enviar spam o dañar a usuarios, sería completamente razonable que eso fuera un problema
Pensaba que WhatsApp y Signal compartían el mismo cifrado
No es una afirmación de que el cifrado haya sido roto
Como la app en sí procesa muchas entradas no confiables, hay una superficie de ataque significativa fuera del protocolo, por ejemplo en partes como la generación de miniaturas de archivos de video recibidos
Fue un desbordamiento de búfer en la pila de VOIP https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
Curiosamente, Signal y otras también tuvieron vulnerabilidades similares en Android debido a la pila de WebRTC https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
En ambos casos, el gran problema fue que el exploit se ejecutaba antes de que el usuario contestara la llamada
Un mensajero seguro no debería ejecutar código inherentemente inseguro, es decir, código complejo, en nombre de una entidad en la que el usuario realmente no confía
Creo que el valor predeterminado siempre debería ser texto sin formato
Este grupo aprovechó un bug de WhatsApp para entregar spyware
No fue un problema de cifrado de extremo a extremo
Un juez de EE. UU. falló a favor de WhatsApp, de Meta Platforms, en una demanda que alegaba que la israelí NSO Group aprovechó un bug de la app de mensajería para instalar software espía que permitía vigilancia no autorizada
El ataque no apuntaba a la parte de cifrado de WhatsApp
El cifrado es importante, pero rara vez es el eslabón más débil de la cadena de seguridad
Hay que empezar a asumir que cualquier medio de comunicación ya está comprometido
No hay forma de que organizaciones como la NSA se rindan y renuncien ante apps como Signal. Si es una de las apps de mensajería más descargadas, vale muchísimo la pena invertir en comprometerla
Es mejor considerar inherentemente inseguro todo lo que involucre un teléfono o una computadora
En cambio, con métodos analógicos como libretas de un solo uso o taparse la boca con la mano y susurrar al oído, el equilibrio de poder entre el Estado y la persona no es tan unilateral como en las comunicaciones digitales, que probablemente ya estén comprometidas de alguna forma
La frase “las empresas de vigilancia deben saber que la vigilancia ilegal no será tolerada” da un poco de risa y tristeza a la vez
Si se le da la vuelta, parece que Meta sí permite que los usuarios de WhatsApp sean “vigilados solo legalmente”
Todas las empresas de redes sociales permiten la vigilancia legal
En Estados Unidos se emiten órdenes judiciales y órdenes de interceptación todos los días
Me parece obvio
Meta quiere el monopolio de la vigilancia de usuarios
No está permitido vigilar usuarios usando productos de Meta
Si quieres vigilar usuarios, puedes crear tu propia app lo bastante popular como para que miles de millones de personas se registren voluntariamente y acepten ser vigiladas
Es irónico si se considera que el FBI y CISA anunciaron justo hoy que no se use SMS para la autenticación de dos factores, sino WhatsApp
Claro, el mayor problema que señalaron es que los usuarios móviles hacen clic en enlaces de SMS
Vivimos en su mayoría en un entorno capturado y anticonsumidor, así que ni sé si existe un buen consejo https://www.newsnationnow.com/business/tech/fbi-warns-agains...
Por supuesto que hay buenos consejos
Siempre hay que preferir una app de autenticación antes que SMS
También se espera que las passkeys sean una gran mejora en este aspecto
Según se sabe, WhatsApp ya no es vulnerable a ese hackeo, y las apps de SMS también han tenido vulnerabilidades similares en el pasado
No debería hacerse distinción entre este tipo de empresas y los operadores comunes de botnets u organizaciones de ransomware
Sus directivos deberían recibir 20 a 30 años de prisión y ser extraditados a nivel mundial
El daño social que causan al hackear a periodistas y políticos, poniendo en riesgo no solo sus billeteras sino literalmente sus vidas, puede ser incluso mayor que el de las organizaciones de ransomware
Salvo la extracción de datos de alguien que ya fue condenado, con derecho a defensa garantizado en un tribunal público, no debería existir el hackeo “legal” del dispositivo de alguien
Esto no es tan distinto de las “armas” tradicionales
No me gusta la analogía de las “ciberarmas”, pero este es un caso en el que encaja
Si vendes armas a gobiernos, incluso a gobiernos de mala reputación, salvo en casos muy extremos casi nunca pasa nada
Si vendes armas a pandillas callejeras, es una historia completamente distinta
No veo que esta situación sea diferente solo porque se trate de “hackeo”
Quienes hackearon a periodistas definitivamente deberían ir a prisión
Estoy de acuerdo con la primera parte, al menos en espíritu
Pero la segunda parte no tiene sentido
Si el presidente de EE. UU. puede ordenar matar a terroristas con drones sin llevarlos a juicio, también podría ordenar hackear sus teléfonos
Si piensas que lo segundo nunca puede estar bien, me parece que primero habría que luchar contra lo primero
Los israelíes no serán extraditados a EE. UU. por nada
Es gracioso que sea así aunque EE. UU. en la práctica sostiene financieramente a todo ese país
Se ha convertido en un lugar al que se permite quitarse los guantes y amenazar militarmente a sus enemigos para que EE. UU. pueda fingir que mantiene un “orden mundial basado en derechos” sin cargar con la culpa directa de sus propias acciones
Imagínense que persiguieran a NSO con la misma tenacidad con la que persiguieron a Wikileaks
1 comentarios
Opiniones de Hacker News
Al ver los episodios de Darknet Diaries que tratan directamente sobre NSO Group o desde la perspectiva de personas que fueron blanco, uno se da cuenta de lo terribles que son
Es especialmente problemático que operen bajo la protección de EE. UU. y que, en la práctica, se les permita vigilar a ciudadanos estadounidenses sin rendir casi ninguna cuenta
El caso de las escuchas ilegales a Ben Suda después de que iniciara una investigación sobre crímenes de guerra de Israel fue particularmente repugnante, y creo que se usó para intimidar a fiscales o para ocultar pruebas bajo investigación
También es grave que hayan llevado el caso a los tribunales y luego lo retiraran para decirle a la CPI que “intentaron procesarlo”, aprovechando así una laguna para impedir que la CPI asumiera el caso
Seguramente varios países hacen cosas parecidas y operan botnets o amenazan a periodistas, pero lo particular aquí es que las organizaciones de inteligencia israelíes, junto con el gobierno estadounidense, reciben protección total de EE. UU. sin ninguna vigilancia ni supervisión
Ya vivimos en la distopía sobre la que nos venían advirtiendo desde hace décadas
No solo porque esas empresas sean lo bastante astutas como para no salir en las noticias
La CPI puede ignorar una investigación nacional si determina que no fue un intento serio de investigar
Sería un tribunal bastante ridículo si se pudiera evitar toda responsabilidad con solo montar investigaciones falsas entre ellos
No sé si se puede usar software como Snyk sin ponerse en riesgo. Sus fundadores son exmiembros de la Unit 8200 de las FDI
Especialmente en el área de seguridad, usar tecnología israelí parece como meter al lobo en el gallinero. Paso
Sería más apropiado tratar a los dueños o responsables de tomar decisiones de NSO de la misma manera que a Gary McKinnon
Aunque parece que ellos son del lado más “igual”
No soy abogado, así que puede que haya entendido algo mal, pero el demandante no son los periodistas, sino WhatsApp
Este caso parece centrarse no tanto en responsabilizar a NSO Group por hackear periodistas, sino en si cometió un “exceso de autorización” contra WhatsApp al enviar el vector de instalación de Pegasus a las víctimas a través de WhatsApp
El hecho de que los periodistas hayan sido comprometidos es incidental, y el fallo trata más sobre si se excedieron los permisos en los sistemas de WhatsApp que sobre si el acceso a las víctimas fue no autorizado
El fallo también considera que, como todos los usuarios de WhatsApp tienen permiso para enviar mensajes, no hubo “acceso no autorizado” aunque el mensaje incluyera spyware, y que solo se sostiene la teoría de “exceso de autorización”
La defensa sostuvo que el vector de instalación de Pegasus simplemente pasó por los servidores de WhatsApp como cualquier otro mensaje, y que la información obtenida no salió de los servidores sino del dispositivo del usuario objetivo
La parte demandante se apoyó en la expresión “cualquier computadora protegida (any protected computer)” de la disposición, y en la audiencia quedó establecido que WIS no solo obtiene información directamente del dispositivo del usuario, sino también información del dispositivo objetivo a través de los servidores de WhatsApp
Viendo también los registros previos, NSO Group creó mediante scripts un cliente falso de WhatsApp que enviaba mensajes que la app original no podía enviar, y con eso obtenía información de los dispositivos objetivo
La estructura del argumento es que el cliente falso hizo cosas que el cliente real no podía hacer y que están prohibidas por los términos de servicio, por lo que excedió la autorización
Vale la pena pensar un momento en lo que esto implica. Seguro no soy el único que alguna vez creó un cliente alternativo para algo
WhatsApp no parece estar sosteniendo que el cliente falso explotó una vulnerabilidad para obtener información, sino que el simple hecho de ser un cliente falso basta. Aunque hay partes selladas que podrían ser relevantes para este punto
La CFAA es bastante ambigua y en el pasado se ha aplicado de forma muy amplia, así que no sorprende, pero después del caso Van Buren de hace unos años esperaba que retrocediera un poco la interpretación amplia que convierte una violación de términos de servicio en una violación de la CFAA
Fallo para quien le interese: https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
Si quieren ver otros registros con los argumentos de ambas partes, CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v...
Darle un cheque en blanco total a cualquiera de los dos lados no es sostenible
El 99.99% de los clientes que funcionan bien se ignoran tácitamente, pero no me opongo a que terminen en tribunales quienes distribuyen malware o evaden límites de velocidad
El foco pasa a estar en cómo se hizo, más que en quién hizo qué
Así se reduce el daño reputacional para las partes interesadas, se protegen las fuentes y los métodos, y también se envía un mensaje
La ley está redactada de la forma más amplia posible. Si hubiera sido un estadounidense y no NSO Group, habrían usado un cálculo absurdo de daños para conseguir un acuerdo de culpabilidad en lugar de miles de meses de prisión
No es difícil argumentar que es amplia y ambigua, y su alcance general puede abarcar fácilmente conductas en línea que no causan daño
El sistema es propiedad de WhatsApp, así que WhatsApp es quien debe demandar
No leo este fallo como algo desfavorable para quienes quieren crear su propio cliente
Ellos crearon deliberadamente un cliente de terceros con fines maliciosos
Si alguien creara un cliente de Discord para enviar spam o dañar a usuarios, sería completamente razonable que eso fuera un problema
Pensaba que WhatsApp y Signal compartían el mismo cifrado
Como la app en sí procesa muchas entradas no confiables, hay una superficie de ataque significativa fuera del protocolo, por ejemplo en partes como la generación de miniaturas de archivos de video recibidos
https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
Curiosamente, Signal y otras también tuvieron vulnerabilidades similares en Android debido a la pila de WebRTC
https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
En ambos casos, el gran problema fue que el exploit se ejecutaba antes de que el usuario contestara la llamada
Un mensajero seguro no debería ejecutar código inherentemente inseguro, es decir, código complejo, en nombre de una entidad en la que el usuario realmente no confía
Creo que el valor predeterminado siempre debería ser texto sin formato
No fue un problema de cifrado de extremo a extremo
Un juez de EE. UU. falló a favor de WhatsApp, de Meta Platforms, en una demanda que alegaba que la israelí NSO Group aprovechó un bug de la app de mensajería para instalar software espía que permitía vigilancia no autorizada
El cifrado es importante, pero rara vez es el eslabón más débil de la cadena de seguridad
No hay forma de que organizaciones como la NSA se rindan y renuncien ante apps como Signal. Si es una de las apps de mensajería más descargadas, vale muchísimo la pena invertir en comprometerla
Es mejor considerar inherentemente inseguro todo lo que involucre un teléfono o una computadora
En cambio, con métodos analógicos como libretas de un solo uso o taparse la boca con la mano y susurrar al oído, el equilibrio de poder entre el Estado y la persona no es tan unilateral como en las comunicaciones digitales, que probablemente ya estén comprometidas de alguna forma
La frase “las empresas de vigilancia deben saber que la vigilancia ilegal no será tolerada” da un poco de risa y tristeza a la vez
Si se le da la vuelta, parece que Meta sí permite que los usuarios de WhatsApp sean “vigilados solo legalmente”
En Estados Unidos se emiten órdenes judiciales y órdenes de interceptación todos los días
Meta quiere el monopolio de la vigilancia de usuarios
No está permitido vigilar usuarios usando productos de Meta
Si quieres vigilar usuarios, puedes crear tu propia app lo bastante popular como para que miles de millones de personas se registren voluntariamente y acepten ser vigiladas
Es irónico si se considera que el FBI y CISA anunciaron justo hoy que no se use SMS para la autenticación de dos factores, sino WhatsApp
Claro, el mayor problema que señalaron es que los usuarios móviles hacen clic en enlaces de SMS
Vivimos en su mayoría en un entorno capturado y anticonsumidor, así que ni sé si existe un buen consejo
https://www.newsnationnow.com/business/tech/fbi-warns-agains...
Siempre hay que preferir una app de autenticación antes que SMS
También se espera que las passkeys sean una gran mejora en este aspecto
No debería hacerse distinción entre este tipo de empresas y los operadores comunes de botnets u organizaciones de ransomware
Sus directivos deberían recibir 20 a 30 años de prisión y ser extraditados a nivel mundial
El daño social que causan al hackear a periodistas y políticos, poniendo en riesgo no solo sus billeteras sino literalmente sus vidas, puede ser incluso mayor que el de las organizaciones de ransomware
Salvo la extracción de datos de alguien que ya fue condenado, con derecho a defensa garantizado en un tribunal público, no debería existir el hackeo “legal” del dispositivo de alguien
No me gusta la analogía de las “ciberarmas”, pero este es un caso en el que encaja
Si vendes armas a gobiernos, incluso a gobiernos de mala reputación, salvo en casos muy extremos casi nunca pasa nada
Si vendes armas a pandillas callejeras, es una historia completamente distinta
No veo que esta situación sea diferente solo porque se trate de “hackeo”
Pero la segunda parte no tiene sentido
Si el presidente de EE. UU. puede ordenar matar a terroristas con drones sin llevarlos a juicio, también podría ordenar hackear sus teléfonos
Si piensas que lo segundo nunca puede estar bien, me parece que primero habría que luchar contra lo primero
Es gracioso que sea así aunque EE. UU. en la práctica sostiene financieramente a todo ese país
Se ha convertido en un lugar al que se permite quitarse los guantes y amenazar militarmente a sus enemigos para que EE. UU. pueda fingir que mantiene un “orden mundial basado en derechos” sin cargar con la culpa directa de sus propias acciones