1件のコメント

 
GN⁺ 2024-12-22
Hacker Newsの意見
  • Darknet Diariesで NSO Group を直接相手にした、あるいは標的にされた人たちの視点を扱ったエピソードを見ると、こいつらがどれほどひどいかを実感する
    米国の保護の下で動き、事実上まったく責任を負わずに米国市民を監視できるよう許されている点が特に問題だ
    イスラエルの戦争犯罪捜査を始めた後に Ben Suda を違法盗聴した事例は特に不快で、これを検察官への脅迫や捜査対象の証拠隠しに使ったと見ている
    また、事件を裁判所に持ち込んでから取り下げ、「起訴を試みた」と ICC に言うことで、ICC がその事件を扱えなくなる抜け穴を利用した点も深刻だ
    いろいろな国が似たことをし、ボットネットを運用したり記者を脅したりしているのだろうが、ここで特異なのは、イスラエルの情報組織が米国政府と並んで いかなる監視や監督もなく米国の完全な保護 を受けていることだ
    何十年も前から警告されていたディストピアの中に、私たちはすでに生きている

    • 米国は NSO よりこの手のことがうまい企業もホスティングし、保護している
      それは単に、その企業がニュースにならない程度に賢いからというだけではない
    • ICC の補完性原則は、国内捜査が明らかに善意でないのであれば、そんなに簡単には発動しない
      ICC は本気の捜査の試みではなかったと判断した国内捜査は無視できる
      身内で 見せかけの捜査 だけ回していればすべての責任を免れられるなら、かなりお笑いな裁判所になってしまう
    • できる限り自分のスタックでは イスラエル製技術 を使わないようにしている
      Snyk のようなソフトウェアを使って自分を危険にさらさずにいられるのか分からない。創業者たちは元 IDF Unit 8200 の出身だ
      特にセキュリティ分野では、イスラエル製技術を使うのはオオカミを鶏小屋に入れるようなものに見える。遠慮する
  • NSO の所有者や意思決定者も Gary McKinnon と同じやり方で扱うほうが適切だろう
    ただし、彼らのほうがより「平等」な側のようだ

  • 弁護士ではないので何か誤解しているかもしれないが、原告は記者たちではなく WhatsApp
    この事件は NSO Group が記者をハッキングした責任を問う訴訟というより、Pegasus のインストールベクターを WhatsApp 経由で被害者に送り、WhatsApp に対して「権限を超えたアクセス」をしたかが核心に見える
    記者が侵害されたという事実は副次的で、判決は被害者へのアクセスが無断だったかよりも、WhatsApp のシステム上で権限を超えていたかを扱っている
    判決文でも、すべての WhatsApp ユーザーにはメッセージ送信権限があるため、スパイウェアが入っていても「無断アクセス」ではなく、ただ「権限超過」理論だけが裏づけられるとしている
    被告側は、Pegasus のインストールベクターは他のメッセージと同じように WhatsApp サーバーを通過しただけで、得られた情報はサーバーではなく標的ユーザーの端末から出たものだと主張している
    原告側は条文の「どの保護されたコンピュータ(any protected computer)」という表現を根拠に挙げ、審理では WIS がユーザー端末から直接情報を得るだけでなく、WhatsApp サーバー経由でも標的端末の情報を得ていた点が整理された
    以前の記録まで見ると、NSO Group は本来のアプリでは送れないメッセージを送る 偽の WhatsApp クライアント をスクリプトで作り、これを通じて標的端末の情報を得ていた
    偽クライアントが本物のクライアントにできないことを行い、利用規約上も禁じられているため、権限を超えていたという構図だ
    この意味するところは少し考える必要がある。何かの代替クライアントを作ったことがあるのは自分だけではないはずだ
    WhatsApp は、偽クライアントが脆弱性を悪用して情報を得たと主張しているのではなく、単に偽クライアントだったという事実だけで十分だと見ているようだ。ただ、この点に関係しそうな非公開部分はある
    CFAA はかなり曖昧で、過去にも非常に広く適用されてきたので驚きはないが、数年前の Van Buren 事件以降、利用規約違反を CFAA 違反にするような広すぎる解釈が少しは後退してほしいと思っていた
    興味のある人向けの判決文: https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
    両当事者の主張が入った別の記録を見たければ CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v...

    • 非公式クライアントを作ったこともあるし、自分が運営するサービスで悪質な非公式クライアントと戦ったこともある
      どちらか一方に白紙委任を与えるのは持続可能ではない
      ちゃんと動く 99.99% のクライアントは暗黙に見逃されているが、マルウェア配布 やレート制限回避をする側が法廷に立つことには反対しない
    • 利害関係者の性格を考えると、目標を達成する最もきれいな方法は 権限の問題 を狙うことだ
      誰が何をしたかより、どうやったかに焦点を当てられる
      こうすれば利害関係者の面子を傷つけにくく、出所や手法を守りつつ、メッセージも送れる
      法律は可能な限り広く作られている。NSO Group ではなく米国人だったら、ばかげた損害額計算で懲役何千か月の代わりに有罪答弁の合意を引き出されていただろう
    • CFAA は間違いなく改革の時期だ
      広範で曖昧だと主張するのは難しくなく、害のないオンライン行動まで簡単に包摂しうる全体的な射程がある
    • WhatsApp ユーザーが、WhatsApp をハッキングして自分のデータを持ち去った人たちに対して原告適格を持つのは難しそうだ
      システムは WhatsApp の所有物なのだから、訴訟は WhatsApp が起こすべきだ
    • 「本来のアプリでは送れないメッセージを送る偽クライアントで標的ユーザー端末の情報を得た」という点であれば、権限超過 の線引きはかなり明確に見える
      この判決が自前クライアントを作りたい人たちに不利だとは読めない
      彼らは故意に悪意ある目的のサードパーティクライアントを作った
      Discord クライアントを作ってスパムを送ったり、ユーザーに害を与えようとしたりしたなら、問題視されるのはまったく妥当だ
  • WhatsAppとSignalは同じ暗号化を共有しているのだと思っていた

    • 暗号化が破られたという話ではない
      アプリ自体が信頼できない入力を大量に処理するため、たとえば受信した動画ファイルのサムネイル生成のような部分では、プロトコルの外側にも意味のある攻撃面がある
    • VOIPスタックのバッファオーバーフローだった
      https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
      興味深いことに、SignalなどもAndroidではWebRTCスタックが原因で似た脆弱性があった
      https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
      どちらのケースでも大きな問題は、ユーザーが電話に出る前にエクスプロイトが実行された点だ
      安全なメッセンジャーであれば、ユーザーが本当に信頼していない主体の代わりに、本質的に安全でないコード、つまり複雑なコードを実行すべきではない
      デフォルトは常にプレーンテキストであるべきだと思う
    • このグループはWhatsAppのバグを悪用してスパイウェアを配布した
      エンドツーエンド暗号化の問題ではなかった
      米国の判事は、イスラエルのNSO Groupがメッセージングアプリのバグを悪用して無断監視を可能にするスパイソフトウェアをインストールしたとして争われた訴訟で、Meta Platforms傘下のWhatsApp側の主張を認めた
    • 攻撃はWhatsAppの暗号化部分を狙ったものではなかった
      暗号化は重要だが、セキュリティチェーンの最も弱い輪であることはそう多くない
    • どんな通信手段でも、すでに破られている前提で考え始めるべきだ
      NSAのような組織がSignalのようなアプリを前にして両手を上げて諦めるはずがない。最も多くダウンロードされるメッセージングアプリの1つなら、突破のために投資する価値は非常に大きい
      携帯電話やコンピューターが関与するものはすべて、本質的に安全ではないと考えるほうがよい
      一方で、ワンタイム暗号表や手で口を隠して耳元でささやくようなアナログな手段は、すでに何らかの形で侵害されている可能性が高いデジタル通信ほど、国家と個人の力のバランスが一方的ではない
  • 「監視企業は違法な監視が容認されないことを知るべきだ」という文言は、少し滑稽でもあり悲しくもある
    裏を返せば、MetaはWhatsAppユーザーが「合法的にだけ監視」されることは許容しているようにも見える

    • すべてのソーシャルメディア企業は合法的監視を許容している
      米国では令状や盗聴命令が毎日発行されている
    • 当然のことではないかと思う
      Metaはユーザー監視に対する独占権を欲しがっている
      Meta製品を使ってユーザーを監視することは許されない
      ユーザーを監視したいなら、何十億人もの人が自発的に参加し、監視に同意するほど人気のあるアプリを自分で作ればいい
  • FBIとCISAがまさに今日、2段階認証にSMSを使わずWhatsAppを使うようにと発表したことを考えると皮肉だ
    もちろん、彼らが指摘した最大の問題は、モバイルユーザーがSMS内のリンクをクリックしてしまうことだ
    私たちはたいてい、囲い込まれた反消費者的な環境に生きているので、そもそも優れた助言というものが存在するのかも分からない
    https://www.newsnationnow.com/business/tech/fbi-warns-agains...

    • もちろん良い助言はある
      SMSより常に認証アプリを優先すべきだ
      Passkeysもこの点では大きなアップグレードになると期待される
    • WhatsAppはもはやそのハッキングには脆弱ではないとされており、SMSアプリにも過去に似た脆弱性があった
  • こうした企業と、一般的なボットネット運営者やランサムウェア組織との間に区別を設けるべきではない
    経営陣は20〜30年の刑を受け、世界中で身柄を引き渡されるべきだ
    記者や政治家をハッキングし、財布だけでなく文字通り命まで危険にさらす者たちが社会に与える害は、ランサムウェア組織より大きいかもしれない
    公開法廷で防御権を保障され、すでに有罪判決を受けた人物のデータ抽出を除けば、誰かのデバイスを「合法的に」ハッキングすることがあってはならない

    • これは従来の「武器」とそれほど変わらない
      「サイバー兵器」という比喩は好きではないが、当てはまるケースだ
      政府、たとえ評判の悪い政府に銃を売っても、よほど極端な場合でなければほとんど何も起きない
      街のギャングに銃を売れば、話はまったく別だ
      この状況が単に「ハッキング」だからといって違うとは思わない
    • 記者をハッキングした者たちは確実に刑務所に入るべきだ
    • 最初の部分には少なくとも趣旨として同意する
      だが2つ目の部分は筋が通らない
      米国大統領がテロリストを法廷に立たせずドローンで殺害せよと命じられるなら、その携帯電話をハッキングせよと命じることもできるはずだ
      後者が絶対に許されないと考えるなら、まず前者と戦うべきではないかと思う
    • イスラエル人がどんな件でも米国に身柄を引き渡されることはないだろう
      米国が事実上その国全体を財政的に支えているのにそうだというのが滑稽だ
      米国自身が行ったことへの非難を避けつつ「権利に基づく世界秩序」を維持しているふりをするために、イスラエルが手袋を外して敵を軍事的に威嚇することを許す場所のようになっている
    • NSOをWikileaks並みに執拗に追い回す姿を想像してみろ