1 Punkte von GN⁺ 2024-03-02 | 1 Kommentare | Auf WhatsApp teilen
  • WhatsApp fordert seit 2019 Zugriff auf den Pegasus-Spyware-Code der NSO Group, und ein US-Gericht entschied, dass über die Installationsschicht hinaus Informationen zum gesamten Funktionsumfang der betreffenden Spyware offengelegt werden müssen
  • Kern der Klage ist WhatsApps Vorwurf, Pegasus habe zwei Wochen lang 1.400 WhatsApp-Nutzer überwacht und unbefugt auf sensible Daten einschließlich verschlüsselter Nachrichten zugegriffen
  • US-Bezirksrichterin Phyllis Hamilton befand, dass sich allein anhand der Installationsschicht nur schwer nachvollziehen lasse, wie Datenzugriff und -extraktion erfolgen; daher fallen auch entsprechende NSO-Spyware, die auf WhatsApp-Server zielte oder WhatsApp nutzte, in den Offenlegungsumfang
  • Das Gericht nahm jedoch Details zur Serverarchitektur von NSO sowie die Forderung nach Identifizierung von Kunden aus; außerdem wies es einen Antrag von NSO zurück, Kommunikation zwischen WhatsApp und Citizen Lab nach Klageeinreichung herauszugeben
  • Die Offenlegung der Experten beider Seiten ist für den 30. August 2024 vorgesehen, der Prozessbeginn für den 3. März 2025; damit dürfte der tatsächliche Funktionsumfang von Pegasus zu einem zentralen Beweismittel in der Hauptsache werden

Gerichtsurteil zur Offenlegung der Pegasus-Funktionen

  • WhatsApp reichte Klage ein und behauptete, Pegasus der NSO Group sei 2019 über zwei Wochen hinweg zur Überwachung von 1.400 WhatsApp-Nutzern eingesetzt worden
  • WhatsApp behauptet, Pegasus habe unbefugt auf sensible Daten einschließlich verschlüsselter Nachrichten zugegriffen
  • Die damalige Klage wurde als beispielloser rechtlicher Schritt gegen eine unregulierte Branche bewertet, die weltweit Regierungen hochentwickelte Malware-Dienste verkauft
  • NSO versuchte, die gesamte Discovery unter Verweis auf verschiedene Beschränkungen in den USA und Israel zu verhindern, doch der Antrag auf umfassende Blockade wurde abgewiesen

Entscheidung: Die Installationsschicht allein reicht nicht aus

  • US-Bezirksrichterin Phyllis Hamilton folgte nicht der Argumentation von NSO, wonach das Unternehmen nur Informationen zur Installationsschicht von Pegasus übergeben müsse
  • Das Gericht gab WhatsApps Antrag statt und ordnete an, Informationen zum „gesamten Funktionsumfang der betreffenden Spyware“ bereitzustellen
  • Nach Auffassung des Gerichts wäre es für die Kläger schwer, allein mit Informationen zur Installationsschicht zu verstehen, wie die Spyware ihre Funktionen zum Zugriff auf Daten und deren Extraktion ausführt
  • Offenlegungspflichtig ist einschlägige NSO-Spyware, die auf WhatsApp-Server abzielte oder WhatsApp in irgendeiner Weise nutzte, um auf Zielgeräte zuzugreifen
    • Der Zeitraum reicht von einem Jahr vor bis zu einem Jahr nach dem alleged attack

Von WhatsApp behauptete Pegasus-Funktionen

  • WhatsApp behauptet, Pegasus könne Kommunikation abfangen, die auf Geräten ein- und ausgeht
    • Zu den betroffenen Diensten gehören iMessage, Skype, Telegram, WeChat, Facebook Messenger, WhatsApp und weitere
  • Ebenfalls behauptet wird, Pegasus könne je nach Ziel angepasst werden
    • Abfangen von Kommunikation
    • Aufnehmen von Screenshots
    • Ausleiten des Browserverlaufs

Von der Offenlegung ausgenommene Informationen

  • Richterin Hamilton ließ nicht alle Discovery-Anträge von WhatsApp zu
  • Bestimmte Informationen zur Serverarchitektur von NSO wurden vom Offenlegungsumfang ausgenommen
    • Begründung: WhatsApp könne dieselben Informationen aus den Angaben zum gesamten Funktionsumfang der betreffenden Spyware erschließen
  • NSO wird nicht gezwungen, Kunden zu identifizieren
  • NSO nennt die Regierungen, die die Spyware gekauft haben, nicht öffentlich
  • Laut Berichten von The Guardian gibt es Hinweise darauf, dass Poland, Saudi Arabia, Rwanda, India, Hungary und United Arab Emirates Pegasus zur Zielerfassung von Dissidenten eingesetzt haben
  • 2021 setzten die USA NSO auf eine schwarze Liste; Begründung waren Vorwürfe, „digitale Werkzeuge, die zur Unterdrückung eingesetzt werden“, verbreitet zu haben

Antrag im Zusammenhang mit Citizen Lab abgewiesen

  • In derselben Anordnung wies Richterin Hamilton auch den Antrag von NSO zurück, WhatsApp müsse Kommunikation mit Citizen Lab nach Klageeinreichung offenlegen
  • Citizen Lab trat in diesem Fall als Zeuge eines Dritten auf und stützte WhatsApps Argumentation, dass NSO-Kunden Pegasus gegen die Zivilgesellschaft missbraucht hätten
  • NSO schrieb in einer Gerichtsunterlage, der Bedarf an dieser Discovery würde deutlich sinken, wenn WhatsApp aus der Verfahrensakte Citizen Labs Darstellung zurückziehe, wonach „Pegasus nicht für Ermittlungen zu Terrorismus und schweren Straftaten, sondern gegen Mitglieder der Zivilgesellschaft eingesetzt wurde“
  • Richterin Hamilton sah die Relevanz der beantragten Discovery als schwer erkennbar an und folgte dem Antrag von NSO nicht

Weitere Schritte und Reaktionen

  • NSO hat sich zu dieser Anordnung bislang nicht geäußert
  • Ein WhatsApp-Sprecher sagte The Guardian, die Entscheidung sei ein wichtiger Meilenstein auf dem Weg zum langfristigen Ziel, WhatsApp-Nutzer vor illegalen Angriffen zu schützen
  • Der Sprecher sagte, Spyware-Unternehmen und böswillige Akteure müssten verstehen, dass sie zur Verantwortung gezogen werden können und das Gesetz nicht ignorieren dürfen
  • Das Gericht erwartet die Expertenoffenlegungen beider Seiten am 30. August 2024
  • Der Prozess soll voraussichtlich am 3. März 2025 beginnen

1 Kommentare

 
GN⁺ 2024-03-02
Hacker-News-Kommentare
  • Interessant ist, dass NSO versucht hat, das gesamte Beweisermittlungsverfahren mit Verweis auf „verschiedene Beschränkungen der USA und Israels“ zu blockieren, dieser Ansatz aber abgewiesen wurde
    US-Gerichte werden sich vermutlich nicht besonders um die Beschränkungen eines anderen Landes, also um israelische Vorschriften, kümmern
    Die US-Regierung hat Pegasus zwar offiziell auf die Blacklist gesetzt (https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma...), aber es würde nicht überraschen, wenn einige US-Geheimdienste es weiterhin nutzen würden
    In diesem Fall könnte Pegasus darum bitten, dass US-Geheimdienste die Klage stoppen lassen, mit Verweis auf die Offenlegung geheimer Informationen oder eine Beeinträchtigung nationaler Interessen
    Es wäre interessant zu sehen, ob eines Tages plötzlich „irgendetwas“ passiert und der Fall auf mysteriöse Weise abgewiesen wird

    • Dass US-Geheimdienste es offiziell noch nutzen, erscheint eher unwahrscheinlich
      Es ist viel einfacher, einfach die Ergebnisse von befreundeten Geheimdiensten anzufordern, die Pegasus verwenden
      Eine auf Armeslänge distanzierte Form der Beschaffung ist rechtlich weniger riskant
      Allerdings wäre es vor US-Gerichten nachteilig, sich auf nationale Sicherheit zu berufen. Dann hieße es: „Nutzen Sie diese Software?“ „Offiziell nein.“ „Auf welcher Grundlage berufen Sie sich dann auf nationale Sicherheit?“
    • Interessant ist, dass NSO Schutzmaßnahmen für Regierungen beansprucht, als würde das Unternehmen die Regierung vertreten und in ihrem Namen handeln
    • Auch ohne Verschwörungstheorien wird man in der Praxis wahrscheinlich nicht „irgendetwas“ sehen, sondern nichtöffentliche Schriftsätze an das Gericht
    • Ich wäre sehr überrascht, wenn US-Geheimdienste Pegasus nutzen würden. Die Sanktionen sind kein Scherz, und es gibt auch genügend Unternehmen aus dem Five-Eyes-Umfeld mit ähnlichen Fähigkeiten
  • Snowdens Enthüllungen liegen schon lange zurück, und selbst das, was man damals gesehen hat, war kaum zu glauben
    Was Geheimdienste heute verwenden, kann man sich gar nicht vorstellen
    Gemessen daran, was diese Behörden besitzen und einsetzen können, fragt man sich, was an Pegasus eigentlich so besonders sein soll

  • Ich verstehe diesen Fall nicht so recht
    Ich verstehe nicht, warum für ein ausländisches israelisches Spyware-Unternehmen, das von der US-Regierung bereits auf die Blacklist gesetzt wurde, die Zuständigkeit von US-Gerichten bestehen soll
    Und selbst wenn Israel verliert, frage ich mich, warum es den Quellcode der Spyware an WhatsApp schicken sollte

    • Weil die NSO Group mit US-Dollar arbeitet
      Wenn sie nicht reagiert, ergeht ein Versäumnisurteil, und das Gericht kann die Beschlagnahmung von Vermögenswerten anordnen, auf die die USA zugreifen können
      Selbst wenn Zahlungen außerhalb Israels in Schekel eingehen, taucht bei der Währungsumrechnung der Dollar als Vermittlungswährung auf, und genau dort haben die USA einen Hebel
    • Das nennt man extraterritoriale Anwendung
      In Frankreich gab es ebenfalls einen absurden Fall
      Die USA haben den großen französischen Konzern Alstom faktisch in die Insolvenz getrieben und ihn billig aufgekauft, und später versuchten sie auch Airbus zu Fall zu bringen
      In beiden Fällen nutzten die USA das von ihnen selbst beanspruchte Recht auf extraterritoriale Anwendung
      Dokumentiert ist das in dieser Dokumentation: https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
      Früher war sie auch auf YouTube unter https://youtu.be/Sa22eu1FWyo zu sehen, scheint jetzt aber privat zu sein. War die Enthüllung wohl zu unbequem
    • Weil es die USA sind
      FATCA funktioniert aus demselben Grund
    • Viel zu erklären gibt es da nicht. Die USA haben mit verbündeten Staaten Gegenseitigkeitsabkommen geschlossen
      Das ist die „internationale liberale Ordnung“, von der Regierungen ständig reden
      Israel hat ein Abkommen unterzeichnet, nach dem Urteile von US-Gerichten respektiert und vollstreckt werden, und die USA haben ebenso ein Abkommen unterzeichnet, nach dem Urteile israelischer Gerichte respektiert und vollstreckt werden
      Wenn also ein US-Richter eine Anordnung unterschreibt und sie an einen israelischen Richter schickt, vollstreckt dieser sie, und umgekehrt genauso
    • Weil sie wegen Handlungen in den USA in den USA verklagt werden. Das ist weder besonders schwierig noch besonders außergewöhnlich
      Natürlich kann man die Klage ignorieren, aber dann sollten die Beteiligten besser nie wieder in die USA einreisen
      Schon ihre Arbeitsweise wirkt auf den ersten Blick stark kriminell, sodass man fast allen ehemaligen Mitarbeitern raten würde, die Einreise in die USA zu vermeiden
  • Ich frage mich, ob eine der anderen erwähnten Plattformen Signal ist

    • Wenn ein Gerät gerootet ist, lassen sich Daten aus jeder App ziehen, daher klingt das eher nach der Erwähnung aller Plattformen zu Marketingzwecken
      Das bedeutet nicht, dass die Schwachstelle in der jeweiligen App lag oder dass die App schuld war
      Letztlich ist das eher ein Problem der Plattform, insbesondere von iOS und Apple, sowie der Entwickler und Händler von Exploits
      Deshalb hasst Apple diese Leute
      Ob gut oder schlecht: Druck auf Apple auszuüben, kann für die übrigen Nutzer insgesamt sogar etwas Gutes sein
      Man kann aber auch argumentieren, dass Apple solche Probleme besser angehen und Belohnungen für Sicherheitsforscher stärker erhöhen sollte
      Es ist besser als vor 20 Jahren, aber es dürfte sich weiterhin eher lohnen, Exploits an solche dubiosen Akteure zu verkaufen, als zu erwarten, dass ein Großkonzern für einen Fund mehr als ein Taschengeld zahlt
  • Zur Einordnung: Es gibt https://grapheneos.org/ und https://signal.org/

    • Das scheint mir am Thema vorbeizugehen
      Wenn eine Spyware auf einem Gerät Zugriff auf Ring-0-Ebene erlangt hat, sind die Sicherheitseigenschaften von Apps wie Signal kaum noch relevant
      Die Spyware kann dann sehr leicht darauf zugreifen
  • Israel wird die Ausfuhr des Quellcodes niemals erlauben

    • Das Land ist faktisch ein Schurkenstaat und wird seltsamerweise trotzdem immer vorsichtig behandelt
  • Ich verstehe nicht, warum Pegasus, selbst wenn es verliert, den echten Quellcode an WhatsApp schicken müsste
    Könnte man nicht einfach irgendeinen Unsinn schicken, oder übersehe ich etwas

    • Du übersiehst das Gericht und dessen rechtliche Autorität
  • Ich verstehe nicht, warum die NSO Group, und weitergehend Israel, wegen dieser Spyware nicht sanktioniert wurden
    Dieses Unternehmen ist ein gefährliches Unternehmen, das leicht missbrauchbare Werkzeuge an die schlimmsten antidemokratischen Feinde des Westens verkauft

    • NSO wurde bereits sanktioniert: https://www.state.gov/the-united-states-adds-foreign-compani...
    • Aus demselben Grund, aus dem sich die 10 Milliarden Dollar Militärhilfe trotz zahlloser Handlungen gegen amerikanische Interessen und Werte nicht verringert haben
      Wegen Politik
    • Die NSO Group wurde bereits sanktioniert: https://www.washingtonpost.com/technology/2021/11/03/pegasus...
    • Israel dient seit Langem als Umgehungskanal für Waffenlieferungen an Staaten, die nach Maßstäben „westlicher Werte“ schrecklich sind, sich aber den Interessen amerikanischer Unternehmen gegenüber kooperativ verhalten
      Äquatorialguinea war ein solches Beispiel, verbunden mit dem Diktator Obiang und einem ExxonMobil-Vertrag
      Steve Coll schrieb in "Private Empire: ExxonMobil and American Power" (2012) dazu

      "Fortunately for Obiang, coup-prone African governments rolling in oil but lacking in arms and intelligence to defend their bounty had a discrete alternative to the Pentagon and C.I.A. for defense support: Israel. Quietly, the Bush Administration encouraged Obiang to enter into security and commercial ties with Tel Aviv."
      Ähnlich war es bei Aserbaidschan. Dort waren amerikanische Waffenverkäufe wegen Menschenrechtsverletzungen verboten
      In einem 2009 von Wikileaks veröffentlichten Telegramm des US-Außenministeriums hieß es, dass „Aserbaidschan durch seine engen Beziehungen zu Israel Zugang zu hochwertigen Waffensystemen auf einem Niveau erhält, das es wegen verschiedener rechtlicher Beschränkungen weder aus den USA noch aus Europa bekommen kann“
      Wenn autoritäre Regierungen ihre Ölgelder in westliche Finanzsysteme leiten, sieht die USA über so etwas hinweg, etwa darüber, dass Saudi-Arabien und die VAE Pegasus zur Unterdrückung prodemokratischer Aktivisten einsetzen
      Andernfalls ist es Zeit für Sanktionen und Regimewechsel

    • Wenn man den Aluhut aufsetzt, scheint es ein tiefes Interesse daran zu geben, dass so etwas von einem starken Partner und nicht von einem Konkurrenten verkauft wird
      Für die Zielländer ist das überhaupt nicht gut, aber für die israelischen und amerikanischen Geheimdienste vorteilhaft
  • Deshalb möchte ich nicht im Bereich Cybersicherheit arbeiten
    Weil man es mit gefährlichen Menschen zu tun hat

    • Das gilt auch für die Polizeiarbeit, und beim Militär noch mehr
      Und Cybersicherheit ist ein sehr weites Feld
      Viele Aufgaben bestehen eher darin, Mitarbeitende in Sicherheitsprinzipien und -verfahren zu schulen und Datenklassifizierung umzusetzen
      Nicht alle befassen sich direkt mit Angriffen, die meisten machen Präventionsarbeit
      In unserem Unternehmen liegt der Anteil derjenigen, die technisch im Bereich Cybersicherheit arbeiten und direkt mit Angriffen zu tun haben, wahrscheinlich unter 20 %. Allerdings spielt dabei auch eine Rolle, dass wir unser SOC ausgelagert haben