1 comentarios

 
GN⁺ 2024-12-22
Opiniones de Hacker News
  • Al ver los episodios de Darknet Diaries que tratan directamente sobre NSO Group o desde la perspectiva de personas que fueron blanco, uno se da cuenta de lo terribles que son
    Es especialmente problemático que operen bajo la protección de EE. UU. y que, en la práctica, se les permita vigilar a ciudadanos estadounidenses sin rendir casi ninguna cuenta
    El caso de las escuchas ilegales a Ben Suda después de que iniciara una investigación sobre crímenes de guerra de Israel fue particularmente repugnante, y creo que se usó para intimidar a fiscales o para ocultar pruebas bajo investigación
    También es grave que hayan llevado el caso a los tribunales y luego lo retiraran para decirle a la CPI que “intentaron procesarlo”, aprovechando así una laguna para impedir que la CPI asumiera el caso
    Seguramente varios países hacen cosas parecidas y operan botnets o amenazan a periodistas, pero lo particular aquí es que las organizaciones de inteligencia israelíes, junto con el gobierno estadounidense, reciben protección total de EE. UU. sin ninguna vigilancia ni supervisión
    Ya vivimos en la distopía sobre la que nos venían advirtiendo desde hace décadas

    • EE. UU. aloja y protege a empresas que hacen esto incluso mejor que NSO
      No solo porque esas empresas sean lo bastante astutas como para no salir en las noticias
    • El principio de complementariedad de la CPI no se activa tan fácilmente si la investigación nacional no es claramente de buena fe
      La CPI puede ignorar una investigación nacional si determina que no fue un intento serio de investigar
      Sería un tribunal bastante ridículo si se pudiera evitar toda responsabilidad con solo montar investigaciones falsas entre ellos
    • En lo posible, intento no usar tecnología israelí en mi stack
      No sé si se puede usar software como Snyk sin ponerse en riesgo. Sus fundadores son exmiembros de la Unit 8200 de las FDI
      Especialmente en el área de seguridad, usar tecnología israelí parece como meter al lobo en el gallinero. Paso
  • Sería más apropiado tratar a los dueños o responsables de tomar decisiones de NSO de la misma manera que a Gary McKinnon
    Aunque parece que ellos son del lado más “igual”

  • No soy abogado, así que puede que haya entendido algo mal, pero el demandante no son los periodistas, sino WhatsApp
    Este caso parece centrarse no tanto en responsabilizar a NSO Group por hackear periodistas, sino en si cometió un “exceso de autorización” contra WhatsApp al enviar el vector de instalación de Pegasus a las víctimas a través de WhatsApp
    El hecho de que los periodistas hayan sido comprometidos es incidental, y el fallo trata más sobre si se excedieron los permisos en los sistemas de WhatsApp que sobre si el acceso a las víctimas fue no autorizado
    El fallo también considera que, como todos los usuarios de WhatsApp tienen permiso para enviar mensajes, no hubo “acceso no autorizado” aunque el mensaje incluyera spyware, y que solo se sostiene la teoría de “exceso de autorización”
    La defensa sostuvo que el vector de instalación de Pegasus simplemente pasó por los servidores de WhatsApp como cualquier otro mensaje, y que la información obtenida no salió de los servidores sino del dispositivo del usuario objetivo
    La parte demandante se apoyó en la expresión “cualquier computadora protegida (any protected computer)” de la disposición, y en la audiencia quedó establecido que WIS no solo obtiene información directamente del dispositivo del usuario, sino también información del dispositivo objetivo a través de los servidores de WhatsApp
    Viendo también los registros previos, NSO Group creó mediante scripts un cliente falso de WhatsApp que enviaba mensajes que la app original no podía enviar, y con eso obtenía información de los dispositivos objetivo
    La estructura del argumento es que el cliente falso hizo cosas que el cliente real no podía hacer y que están prohibidas por los términos de servicio, por lo que excedió la autorización
    Vale la pena pensar un momento en lo que esto implica. Seguro no soy el único que alguna vez creó un cliente alternativo para algo
    WhatsApp no parece estar sosteniendo que el cliente falso explotó una vulnerabilidad para obtener información, sino que el simple hecho de ser un cliente falso basta. Aunque hay partes selladas que podrían ser relevantes para este punto
    La CFAA es bastante ambigua y en el pasado se ha aplicado de forma muy amplia, así que no sorprende, pero después del caso Van Buren de hace unos años esperaba que retrocediera un poco la interpretación amplia que convierte una violación de términos de servicio en una violación de la CFAA
    Fallo para quien le interese: https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
    Si quieren ver otros registros con los argumentos de ambas partes, CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v...

    • He creado clientes no oficiales, y también he tenido que combatir clientes no oficiales maliciosos en servicios que opero
      Darle un cheque en blanco total a cualquiera de los dos lados no es sostenible
      El 99.99% de los clientes que funcionan bien se ignoran tácitamente, pero no me opongo a que terminen en tribunales quienes distribuyen malware o evaden límites de velocidad
    • Por la naturaleza de los actores involucrados, la forma más limpia de lograr el objetivo es apuntar al problema de autorización
      El foco pasa a estar en cómo se hizo, más que en quién hizo qué
      Así se reduce el daño reputacional para las partes interesadas, se protegen las fuentes y los métodos, y también se envía un mensaje
      La ley está redactada de la forma más amplia posible. Si hubiera sido un estadounidense y no NSO Group, habrían usado un cálculo absurdo de daños para conseguir un acuerdo de culpabilidad en lugar de miles de meses de prisión
    • Sin duda ya es hora de reformar la CFAA
      No es difícil argumentar que es amplia y ambigua, y su alcance general puede abarcar fácilmente conductas en línea que no causan daño
    • Parece difícil que un usuario de WhatsApp tenga legitimación para demandar a quienes hackearon WhatsApp para llevarse sus datos
      El sistema es propiedad de WhatsApp, así que WhatsApp es quien debe demandar
    • Si la parte es “obtuvo información de dispositivos de usuarios objetivo con un cliente falso que enviaba mensajes que la app original no podía enviar”, la distinción de exceso de autorización parece bastante clara
      No leo este fallo como algo desfavorable para quienes quieren crear su propio cliente
      Ellos crearon deliberadamente un cliente de terceros con fines maliciosos
      Si alguien creara un cliente de Discord para enviar spam o dañar a usuarios, sería completamente razonable que eso fuera un problema
  • Pensaba que WhatsApp y Signal compartían el mismo cifrado

    • No es una afirmación de que el cifrado haya sido roto
      Como la app en sí procesa muchas entradas no confiables, hay una superficie de ataque significativa fuera del protocolo, por ejemplo en partes como la generación de miniaturas de archivos de video recibidos
    • Fue un desbordamiento de búfer en la pila de VOIP
      https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
      Curiosamente, Signal y otras también tuvieron vulnerabilidades similares en Android debido a la pila de WebRTC
      https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
      En ambos casos, el gran problema fue que el exploit se ejecutaba antes de que el usuario contestara la llamada
      Un mensajero seguro no debería ejecutar código inherentemente inseguro, es decir, código complejo, en nombre de una entidad en la que el usuario realmente no confía
      Creo que el valor predeterminado siempre debería ser texto sin formato
    • Este grupo aprovechó un bug de WhatsApp para entregar spyware
      No fue un problema de cifrado de extremo a extremo
      Un juez de EE. UU. falló a favor de WhatsApp, de Meta Platforms, en una demanda que alegaba que la israelí NSO Group aprovechó un bug de la app de mensajería para instalar software espía que permitía vigilancia no autorizada
    • El ataque no apuntaba a la parte de cifrado de WhatsApp
      El cifrado es importante, pero rara vez es el eslabón más débil de la cadena de seguridad
    • Hay que empezar a asumir que cualquier medio de comunicación ya está comprometido
      No hay forma de que organizaciones como la NSA se rindan y renuncien ante apps como Signal. Si es una de las apps de mensajería más descargadas, vale muchísimo la pena invertir en comprometerla
      Es mejor considerar inherentemente inseguro todo lo que involucre un teléfono o una computadora
      En cambio, con métodos analógicos como libretas de un solo uso o taparse la boca con la mano y susurrar al oído, el equilibrio de poder entre el Estado y la persona no es tan unilateral como en las comunicaciones digitales, que probablemente ya estén comprometidas de alguna forma
  • La frase “las empresas de vigilancia deben saber que la vigilancia ilegal no será tolerada” da un poco de risa y tristeza a la vez
    Si se le da la vuelta, parece que Meta sí permite que los usuarios de WhatsApp sean “vigilados solo legalmente”

    • Todas las empresas de redes sociales permiten la vigilancia legal
      En Estados Unidos se emiten órdenes judiciales y órdenes de interceptación todos los días
    • Me parece obvio
      Meta quiere el monopolio de la vigilancia de usuarios
      No está permitido vigilar usuarios usando productos de Meta
      Si quieres vigilar usuarios, puedes crear tu propia app lo bastante popular como para que miles de millones de personas se registren voluntariamente y acepten ser vigiladas
  • Es irónico si se considera que el FBI y CISA anunciaron justo hoy que no se use SMS para la autenticación de dos factores, sino WhatsApp
    Claro, el mayor problema que señalaron es que los usuarios móviles hacen clic en enlaces de SMS
    Vivimos en su mayoría en un entorno capturado y anticonsumidor, así que ni sé si existe un buen consejo
    https://www.newsnationnow.com/business/tech/fbi-warns-agains...

    • Por supuesto que hay buenos consejos
      Siempre hay que preferir una app de autenticación antes que SMS
      También se espera que las passkeys sean una gran mejora en este aspecto
    • Según se sabe, WhatsApp ya no es vulnerable a ese hackeo, y las apps de SMS también han tenido vulnerabilidades similares en el pasado
  • No debería hacerse distinción entre este tipo de empresas y los operadores comunes de botnets u organizaciones de ransomware
    Sus directivos deberían recibir 20 a 30 años de prisión y ser extraditados a nivel mundial
    El daño social que causan al hackear a periodistas y políticos, poniendo en riesgo no solo sus billeteras sino literalmente sus vidas, puede ser incluso mayor que el de las organizaciones de ransomware
    Salvo la extracción de datos de alguien que ya fue condenado, con derecho a defensa garantizado en un tribunal público, no debería existir el hackeo “legal” del dispositivo de alguien

    • Esto no es tan distinto de las “armas” tradicionales
      No me gusta la analogía de las “ciberarmas”, pero este es un caso en el que encaja
      Si vendes armas a gobiernos, incluso a gobiernos de mala reputación, salvo en casos muy extremos casi nunca pasa nada
      Si vendes armas a pandillas callejeras, es una historia completamente distinta
      No veo que esta situación sea diferente solo porque se trate de “hackeo”
    • Quienes hackearon a periodistas definitivamente deberían ir a prisión
    • Estoy de acuerdo con la primera parte, al menos en espíritu
      Pero la segunda parte no tiene sentido
      Si el presidente de EE. UU. puede ordenar matar a terroristas con drones sin llevarlos a juicio, también podría ordenar hackear sus teléfonos
      Si piensas que lo segundo nunca puede estar bien, me parece que primero habría que luchar contra lo primero
    • Los israelíes no serán extraditados a EE. UU. por nada
      Es gracioso que sea así aunque EE. UU. en la práctica sostiene financieramente a todo ese país
      Se ha convertido en un lugar al que se permite quitarse los guantes y amenazar militarmente a sus enemigos para que EE. UU. pueda fingir que mantiene un “orden mundial basado en derechos” sin cargar con la culpa directa de sus propias acciones
    • Imagínense que persiguieran a NSO con la misma tenacidad con la que persiguieron a Wikileaks