1 Kommentare

 
GN⁺ 2024-12-22
Hacker-News-Kommentare
  • Wenn man die Folgen von Darknet Diaries hört, in denen es direkt um die NSO Group oder um Menschen geht, die von ihr ins Visier genommen wurden, bekommt man ein Gefühl dafür, wie furchtbar diese Leute sind.
    Besonders problematisch ist, dass sie unter dem Schutz der USA agieren und faktisch ohne jede Verantwortung US-Bürger überwachen dürfen.
    Besonders widerwärtig war der Fall, in dem Ben Suda illegal abgehört wurde, nachdem er Ermittlungen zu israelischen Kriegsverbrechen begonnen hatte; meiner Ansicht nach wurde das genutzt, um Staatsanwälte einzuschüchtern oder Beweise gegen die Untersuchungsgegenstände zu verbergen.
    Ebenfalls gravierend ist, dass sie den Fall vor Gericht brachten und dann zurückzogen, um dem ICC zu sagen, man habe „eine Strafverfolgung versucht“, und so eine Lücke auszunutzen, die verhindert, dass der ICC den Fall übernimmt.
    Viele Länder tun Ähnliches, betreiben Botnets oder schüchtern Journalisten ein, aber das Besondere hier ist, dass israelische Geheimdienstorganisationen Seite an Seite mit der US-Regierung unter vollständigem Schutz der USA und ohne jede Kontrolle oder Aufsicht stehen.
    Wir leben bereits in der Dystopie, vor der seit Jahrzehnten gewarnt wurde.

    • Die USA hosten und schützen auch Unternehmen, die das besser können als NSO.
      Nicht nur, weil diese Unternehmen clever genug sind, nicht in den Nachrichten aufzutauchen.
    • Das Komplementaritätsprinzip des ICC greift nicht so leicht, wenn nationale Ermittlungen offenkundig nicht in gutem Glauben geführt werden.
      Der ICC kann nationale Ermittlungen ignorieren, die er nicht als ernsthaften Ermittlungsversuch ansieht.
      Es wäre ein ziemlich lächerliches Gericht, wenn man jeder Verantwortung entgehen könnte, indem man untereinander nur Scheinermittlungen laufen lässt.
    • Wenn möglich, versuche ich, in meinem Stack keine israelische Technologie einzusetzen.
      Ich weiß nicht, ob man Software wie Snyk nutzen kann, ohne sich selbst einem Risiko auszusetzen. Die Gründer waren früher bei der IDF Unit 8200.
      Besonders im Security-Bereich wirkt der Einsatz israelischer Technologie darauf, als würde man den Wolf in den Hühnerstall lassen. Nein danke.
  • Es wäre angemessener, NSO-Eigentümer oder Entscheidungsträger genauso zu behandeln wie Gary McKinnon.
    Allerdings scheinen sie wohl die „Gleicheren“ zu sein.

  • Ich bin kein Anwalt, also habe ich vielleicht etwas missverstanden, aber die Kläger sind nicht die Journalisten, sondern WhatsApp.
    In diesem Fall geht es offenbar weniger darum, die NSO Group für das Hacken von Journalisten haftbar zu machen, sondern darum, ob sie gegenüber WhatsApp ihre „Befugnisse überschritten“ hat, indem sie den Pegasus-Installationsvektor über WhatsApp an die Opfer schickte.
    Dass Journalisten kompromittiert wurden, ist eher nebensächlich; das Urteil behandelt eher die Frage, ob in den WhatsApp-Systemen Befugnisse überschritten wurden, als ob der Zugriff auf die Opfer unbefugt war.
    Auch das Urteil geht davon aus, dass alle WhatsApp-Nutzer berechtigt sind, Nachrichten zu senden, sodass selbst mit Spyware darin kein „unbefugter Zugriff“ vorliegt; gestützt wird nur die Theorie der „Befugnisüberschreitung“.
    Die Beklagtenseite argumentiert, der Pegasus-Installationsvektor sei nur wie jede andere Nachricht durch WhatsApp-Server gelaufen, und die gewonnenen Informationen stammten nicht vom Server, sondern vom Gerät des Zielnutzers.
    Die Klägerseite verwies auf die Formulierung „jeder geschützte Computer (any protected computer)“ in der Vorschrift, und in der Anhörung wurde herausgearbeitet, dass WIS Informationen über das Zielgerät nicht nur direkt vom Nutzergerät, sondern auch über WhatsApp-Server erlangt.
    Betrachtet man auch frühere Unterlagen, hat die NSO Group per Skript einen gefälschten WhatsApp-Client erstellt, der Nachrichten senden konnte, die mit der normalen App nicht versendet werden können, und darüber Informationen über Zielgeräte erlangt.
    Die Struktur ist also: Der gefälschte Client tat Dinge, die der echte Client nicht tun kann, und da dies laut Nutzungsbedingungen verboten ist, wurden Befugnisse überschritten.
    Man sollte kurz darüber nachdenken, was das bedeutet. Ich werde wohl nicht der Einzige sein, der schon einmal einen alternativen Client für irgendetwas gebaut hat.
    WhatsApp scheint nicht zu behaupten, der gefälschte Client habe eine Schwachstelle ausgenutzt, um Informationen zu erlangen, sondern allein die Tatsache, dass es ein gefälschter Client war, reiche aus. Allerdings gibt es geschwärzte Teile, die dafür relevant sein könnten.
    Der CFAA ist ziemlich vage und wurde in der Vergangenheit sehr weit ausgelegt, daher ist das nicht überraschend; trotzdem hatte ich gehofft, dass sich die breite Auslegung, nach der ein Verstoß gegen Nutzungsbedingungen auch ein CFAA-Verstoß ist, nach dem Van-Buren-Fall vor einigen Jahren etwas zurückziehen würde.
    Das Urteil für Interessierte: https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
    Wer weitere Unterlagen mit den Argumenten beider Seiten sehen möchte, findet sie bei CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v...

    • Ich habe schon einmal inoffizielle Clients gebaut und auch schon auf einem von mir betriebenen Dienst gegen bösartige inoffizielle Clients gekämpft.
      Einer Seite einen vollständigen Blankoscheck auszustellen, ist nicht nachhaltig.
      Die 99,99 % der Clients, die gut funktionieren, werden implizit toleriert; aber ich habe nichts dagegen, wenn diejenigen vor Gericht landen, die Malware verbreiten oder Rate Limits umgehen.
    • Angesichts der Art der Beteiligten ist der sauberste Weg, das Ziel zu erreichen, auf die Befugnisfrage abzuzielen.
      Der Fokus verschiebt sich darauf, wie etwas getan wurde, statt wer was getan hat.
      So lässt sich der Gesichtsverlust der Beteiligten verringern, Quellen und Methoden schützen und trotzdem eine Botschaft senden.
      Das Gesetz ist so weit wie möglich gefasst. Wäre es ein Amerikaner statt der NSO Group gewesen, hätte man mit einer absurden Schadensberechnung vermutlich ein Schuldbekenntnis ausgehandelt statt Tausende Monate Haft zu verhängen.
    • Der CFAA ist definitiv reif für eine Reform.
      Es ist nicht schwer zu argumentieren, dass er weitreichend und vage ist, und sein allgemeiner Anwendungsbereich kann leicht auch harmlose Online-Aktivitäten erfassen.
    • Es dürfte für WhatsApp-Nutzer schwierig sein, Klagebefugnis gegen Personen zu haben, die WhatsApp gehackt und ihre Daten abgegriffen haben.
      Das System gehört WhatsApp, also muss WhatsApp klagen.
    • Wenn es um die Stelle geht, dass „mit einem gefälschten Client, der Nachrichten senden kann, die mit der normalen App nicht gesendet werden können, Informationen über Zielgeräte erlangt wurden“, dann wirkt die Abgrenzung der Befugnisüberschreitung ziemlich klar.
      Ich lese dieses Urteil nicht als nachteilig für Leute, die eigene Clients bauen wollen.
      Sie haben vorsätzlich einen bösartigen Third-Party-Client gebaut.
      Wenn man einen Discord-Client baut, um Spam zu verschicken oder Nutzern zu schaden, ist es völlig vernünftig, dass das problematisch ist.
  • Ich dachte, WhatsApp und Signal nutzen dieselbe Verschlüsselung

    • Es wird nicht behauptet, dass die Verschlüsselung gebrochen wurde
      Die App selbst verarbeitet viele nicht vertrauenswürdige Eingaben; daher gibt es auch außerhalb des Protokolls relevante Angriffsflächen, etwa bei der Erstellung von Thumbnails für empfangene Videodateien
    • Es war ein Buffer Overflow im VoIP-Stack
      https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
      Interessanterweise hatten auch Signal und andere Apps auf Android wegen des WebRTC-Stacks ähnliche Schwachstellen
      https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
      In beiden Fällen bestand das große Problem darin, dass der Exploit ausgeführt wurde, bevor der Nutzer den Anruf annahm
      Ein sicherer Messenger sollte im Namen einer Partei, der der Nutzer nicht wirklich vertraut, keinen inhärent unsicheren Code ausführen – also komplexen Code
      Meiner Ansicht nach sollte der Standard immer Plaintext sein
    • Diese Gruppe nutzte einen Bug in WhatsApp aus, um Spyware auszuliefern
      Es war kein Problem der Ende-zu-Ende-Verschlüsselung
      Ein US-Richter gab WhatsApp von Meta Platforms in einer Klage recht, wonach die israelische NSO Group einen Bug in der Messaging-App ausnutzte, um Spionagesoftware zu installieren, die unbefugte Überwachung ermöglichte
    • Der Angriff zielte nicht auf den Verschlüsselungsteil von WhatsApp ab
      Verschlüsselung ist wichtig, aber sie ist selten das schwächste Glied in der Sicherheitskette
    • Wir müssen anfangen, bei jedem Kommunikationsmittel davon auszugehen, dass es bereits kompromittiert ist
      Organisationen wie die NSA werden bei Apps wie Signal nicht einfach die Hände heben und aufgeben. Wenn es eine der meist heruntergeladenen Messaging-Apps ist, lohnt es sich sehr, in ihre Kompromittierung zu investieren
      Alles, woran ein Smartphone oder Computer beteiligt ist, sollte man besser als grundsätzlich unsicher betrachten
      Analoge Methoden wie Einmalpasswörter oder jemandem mit vorgehaltener Hand ins Ohr zu flüstern verschieben das Machtverhältnis zwischen Staat und Individuum dagegen nicht so einseitig wie digitale Kommunikation, die mit hoher Wahrscheinlichkeit bereits auf irgendeine Weise kompromittiert ist
  • Die Formulierung „Überwachungsfirmen müssen wissen, dass illegale Überwachung nicht akzeptabel ist“ ist ein bisschen lustig und zugleich traurig
    Umgedreht klingt es so, als würde Meta es akzeptieren, wenn WhatsApp-Nutzer „nur legal überwacht“ werden

    • Alle Social-Media-Unternehmen erlauben legale Überwachung
      In den USA werden täglich Durchsuchungsbeschlüsse und Abhöranordnungen erlassen
    • Das ist doch selbstverständlich, oder?
      Meta will das Monopol auf die Überwachung der Nutzer
      Es ist nicht erlaubt, Nutzer über Meta-Produkte zu überwachen
      Wenn man Nutzer überwachen möchte, muss man eben selbst eine App bauen, die so beliebt ist, dass sich Milliarden Menschen freiwillig anmelden und der Überwachung zustimmen
  • Ironisch ist, dass FBI und CISA ausgerechnet heute bekannt gegeben haben, man solle für Zwei-Faktor-Authentifizierung nicht SMS, sondern WhatsApp verwenden
    Das größte Problem, auf das sie hingewiesen haben, ist natürlich, dass Mobilnutzer auf Links in SMS tippen
    Wir leben größtenteils in eingefangenen und verbraucherfeindlichen Umgebungen, daher weiß ich nicht, ob es überhaupt guten Rat gibt
    https://www.newsnationnow.com/business/tech/fbi-warns-agains...

    • Natürlich gibt es guten Rat
      Man sollte Authenticator-Apps SMS immer vorziehen
      Passkeys dürften in dieser Hinsicht ebenfalls ein großes Upgrade sein
    • WhatsApp ist Berichten zufolge für diesen Hack nicht mehr anfällig, und auch SMS-Apps hatten in der Vergangenheit ähnliche Schwachstellen
  • Zwischen solchen Unternehmen und gewöhnlichen Botnet-Betreibern oder Ransomware-Gruppen sollte man keinen Unterschied machen
    Die Führungskräfte sollten 20 bis 30 Jahre Haft bekommen und weltweit ausgeliefert werden
    Der Schaden, den Menschen anrichten, die Journalisten und Politiker hacken und damit nicht nur deren Geldbeutel, sondern buchstäblich ihr Leben gefährden, könnte sogar größer sein als der von Ransomware-Gruppen
    Abgesehen von der Extraktion von Daten einer Person, die vor einem öffentlichen Gericht ein Recht auf Verteidigung hatte und bereits verurteilt wurde, sollte es kein „legales“ Hacken der Geräte anderer geben

    • Das unterscheidet sich nicht so sehr von traditionellen „Waffen“
      Ich mag die Analogie zu „Cyberwaffen“ nicht, aber hier passt sie
      Wenn man Regierungen, sogar schlecht beleumundeten Regierungen, Waffen verkauft, passiert außer in extremen Fällen kaum etwas
      Wenn man Straßengangs Waffen verkauft, ist das eine völlig andere Geschichte
      Ich sehe nicht, warum diese Situation anders sein sollte, nur weil es um „Hacking“ geht
    • Diejenigen, die Journalisten gehackt haben, sollten definitiv ins Gefängnis
    • Dem ersten Teil stimme ich zumindest der Stoßrichtung nach zu
      Der zweite Teil ergibt aber keinen Sinn
      Wenn der US-Präsident anordnen kann, Terroristen per Drohne zu töten, ohne sie vor Gericht zu stellen, kann er wohl auch anordnen, ihre Telefone zu hacken
      Wenn man meint, Letzteres könne absolut niemals in Ordnung sein, sollte man vielleicht zuerst gegen Ersteres kämpfen
    • Israelis werden wegen nichts an die USA ausgeliefert werden
      Es ist lächerlich, obwohl die USA dieses Land faktisch komplett finanziell stützen
      Es ist zu einem Ort geworden, an dem Israel die Samthandschuhe ausziehen und seine Feinde militärisch bedrohen darf, damit die USA nicht für das kritisiert werden, was sie selbst tun, und weiter so tun können, als hielten sie eine „rechtebasierte Weltordnung“ aufrecht
    • Stell dir vor, man würde NSO so hartnäckig verfolgen wie Wikileaks