WhatsApp buộc nhà sản xuất spyware Pegasus phải công khai mã bí mật
(arstechnica.com)- WhatsApp đã yêu cầu quyền truy cập vào mã spyware Pegasus của NSO Group từ năm 2019, và tòa án Mỹ phán quyết rằng công ty này phải công bố thông tin về toàn bộ chức năng của spyware liên quan, vượt ra ngoài chỉ lớp cài đặt
- Trọng tâm vụ kiện là cáo buộc của WhatsApp rằng Pegasus đã theo dõi 1.400 người dùng WhatsApp trong vòng 2 tuần và truy cập trái phép vào dữ liệu nhạy cảm, bao gồm cả tin nhắn được mã hóa
- Thẩm phán liên bang Mỹ Phyllis Hamilton cho rằng chỉ riêng lớp cài đặt thì khó xác định cách dữ liệu bị truy cập và trích xuất, nên phạm vi công bố còn bao gồm cả spyware liên quan của NSO nhắm vào máy chủ WhatsApp hoặc sử dụng WhatsApp
- Tuy nhiên, tòa án loại trừ yêu cầu về chi tiết kiến trúc máy chủ của NSO và việc xác định danh tính khách hàng, đồng thời cũng bác đơn của NSO đòi công bố các liên lạc sau vụ kiện giữa WhatsApp và Citizen Lab
- Việc công bố chuyên gia của hai bên được ấn định vào 30/8/2024, và phiên tòa dự kiến bắt đầu vào 3/3/2025, nên phạm vi chức năng thực tế của Pegasus được dự đoán sẽ là tài liệu then chốt trong phán quyết về nội dung vụ án
Phán quyết của tòa quanh việc công khai chức năng Pegasus
- WhatsApp đã khởi kiện, cho rằng Pegasus của NSO Group đã được dùng để theo dõi 1.400 người dùng WhatsApp trong 2 tuần vào năm 2019
- WhatsApp cho rằng Pegasus đã truy cập trái phép vào dữ liệu nhạy cảm, bao gồm cả tin nhắn được mã hóa
- Khi đó, vụ kiện được đánh giá là một hành động pháp lý chưa từng có tiền lệ nhằm vào ngành công nghiệp không bị quản lý chuyên bán dịch vụ malware cao cấp cho các chính phủ trên toàn thế giới
- NSO đã tìm cách chặn toàn bộ quá trình khám phá chứng cứ với lý do nhiều hạn chế tại Mỹ và Israel, nhưng yêu cầu chặn toàn diện đã bị bác bỏ
Nhận định rằng chỉ lớp cài đặt là chưa đủ
- Thẩm phán liên bang Mỹ Phyllis Hamilton không chấp nhận lập luận của NSO rằng chỉ cần cung cấp thông tin về lớp cài đặt của Pegasus
- Tòa án chấp nhận yêu cầu của WhatsApp và ra lệnh cung cấp thông tin về “toàn bộ chức năng của spyware liên quan”
- Tòa cho rằng chỉ thông tin về lớp cài đặt sẽ khiến nguyên đơn khó hiểu được spyware thực hiện các chức năng truy cập và trích xuất dữ liệu như thế nào
- Đối tượng phải công bố là spyware liên quan của NSO đã nhắm vào máy chủ WhatsApp hoặc sử dụng WhatsApp theo bất kỳ cách nào để tiếp cận thiết bị mục tiêu
- Thời gian áp dụng là từ 1 năm trước đến 1 năm sau thời điểm của alleged attack
Những chức năng Pegasus mà WhatsApp nêu ra
- WhatsApp cho rằng Pegasus có thể chặn các liên lạc ra vào thiết bị
- Các dịch vụ mục tiêu bao gồm iMessage, Skype, Telegram, WeChat, Facebook Messenger, WhatsApp, v.v.
- Cũng có cáo buộc rằng Pegasus có thể được tùy biến theo mục đích
- chặn liên lạc
- chụp ảnh màn hình
- rò rỉ lịch sử duyệt web
Thông tin bị loại khỏi phạm vi công bố
- Thẩm phán Hamilton không chấp nhận tất cả các yêu cầu khám phá chứng cứ của WhatsApp
- Một số thông tin cụ thể về kiến trúc máy chủ của NSO bị loại khỏi phạm vi công bố
- Lý do là WhatsApp có thể xác định cùng loại thông tin đó từ dữ liệu về toàn bộ chức năng của spyware liên quan
- NSO không bị buộc phải xác định khách hàng
- NSO không công khai các chính phủ đã mua spyware của mình
- Theo The Guardian, có báo cáo cho rằng Poland, Saudi Arabia, Rwanda, India, Hungary, United Arab Emirates đã dùng Pegasus để nhắm vào những người bất đồng chính kiến
- Năm 2021, Mỹ đã đưa NSO vào danh sách đen với lý do bị cáo buộc phát tán “các công cụ kỹ thuật số được sử dụng để đàn áp”
Bác yêu cầu liên quan tới Citizen Lab
- Trong cùng lệnh này, thẩm phán Hamilton cũng bác đơn của NSO yêu cầu công bố các liên lạc sau vụ kiện giữa WhatsApp và Citizen Lab
- Citizen Lab tham gia vụ việc với tư cách nhân chứng bên thứ ba và ủng hộ lập luận của WhatsApp rằng khách hàng của NSO đã lạm dụng Pegasus nhằm vào xã hội dân sự
- Trong tài liệu nộp cho tòa, NSO viết rằng nếu WhatsApp rút khỏi hồ sơ vụ án lập luận của Citizen Lab rằng “Pegasus đã được dùng với các thành viên xã hội dân sự chứ không phải cho điều tra khủng bố và trọng tội”, thì nhu cầu đối với hoạt động khám phá chứng cứ đó sẽ giảm đáng kể
- Thẩm phán Hamilton không chấp nhận yêu cầu của NSO vì cho rằng khó thấy được tính liên quan của phần chứng cứ được yêu cầu
Các thủ tục còn lại và phản ứng
- NSO hiện vẫn chưa bình luận về lệnh này
- Người phát ngôn của WhatsApp nói với The Guardian rằng phán quyết lần này là một cột mốc quan trọng trong mục tiêu dài hạn bảo vệ người dùng WhatsApp khỏi các cuộc tấn công trái phép
- Người phát ngôn này nói rằng các công ty spyware và tác nhân độc hại phải hiểu rằng họ có thể bị bắt và không thể phớt lờ pháp luật
- Tòa án dự kiến nhận công bố chuyên gia của hai bên vào ngày 30/8/2024
- Phiên tòa được dự kiến bắt đầu vào ngày 3/3/2025
1 bình luận
Ý kiến trên Hacker News
Điều thú vị là NSO đã cố chặn toàn bộ quy trình khám xét chứng cứ với lý do “các hạn chế khác nhau của Mỹ và Israel”, nhưng cách tiếp cận đó đã bị bác bỏ
Tòa án Mỹ nhiều khả năng sẽ không quá bận tâm đến các hạn chế của nước khác như quy định của Israel
Chính phủ Mỹ đã chính thức đưa Pegasus vào danh sách đen https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma..., nhưng cũng sẽ không quá ngạc nhiên nếu một số cơ quan tình báo Mỹ vẫn còn sử dụng nó
Nếu vậy, Pegasus cũng có thể yêu cầu các cơ quan tình báo Mỹ giúp chặn vụ kiện với lý do tiết lộ thông tin mật hoặc gây tổn hại lợi ích quốc gia
Sẽ khá thú vị nếu một ngày nào đó đột nhiên có “chuyện gì đó” xảy ra và vụ án bị bác bỏ một cách đầy bí ẩn
Đơn giản là dễ hơn nhiều nếu chỉ yêu cầu và nhận kết quả từ các cơ quan tình báo đồng minh đang dùng Pegasus
Kiểu thu thập cách một cánh tay như vậy ít rủi ro pháp lý hơn
Tuy nhiên như vậy lại bất lợi nếu muốn viện dẫn an ninh quốc gia trước tòa án Mỹ. Vì sẽ thành ra: “Có dùng phần mềm này không?” “Chính thức thì không.” “Vậy dựa vào đâu để nói là an ninh quốc gia?”
Đã khá lâu kể từ các tiết lộ của Snowden, và ngay cả những gì thấy khi đó cũng đã khó tin rồi
Không thể tưởng tượng nổi bây giờ các cơ quan tình báo đang dùng gì
So với những gì các cơ quan đó sở hữu và có thể sử dụng, tôi tự hỏi Pegasus thì có gì ghê gớm đến vậy
Tôi không hiểu rõ vụ này
Tôi không hiểu vì sao một công ty spyware Israel ở nước ngoài, đã bị chính phủ Mỹ đưa vào danh sách đen, lại chịu thẩm quyền tài phán của tòa án Mỹ
Cũng thắc mắc vì sao, dù Israel có thua kiện đi nữa, họ lại phải gửi mã nguồn spyware cho WhatsApp
Nếu không đáp ứng thì sẽ bị xử thua mặc định, và tòa có thể ra lệnh tịch thu tài sản mà Mỹ có thể với tới
Dù họ nhận thanh toán bằng shekel tại các nước ngoài Israel, trong quá trình quy đổi thì đô la vẫn đi vào như đồng tiền trung gian, và đó chính là kẽ hở để Mỹ can thiệp
Ở Pháp cũng từng có chuyện vô lý như vậy
Mỹ thực tế đã đẩy tập đoàn khổng lồ Alstom của Pháp đến bờ vực phá sản rồi mua lại với giá rẻ, sau đó còn tìm cách đánh sập Airbus
Trong cả hai trường hợp, Mỹ đã sử dụng cái quyền áp dụng ngoài lãnh thổ do chính họ tự trao cho mình
Câu chuyện này được ghi lại trong phim tài liệu này: https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
Trước đây còn xem được trên YouTube tại https://youtu.be/Sa22eu1FWyo, nhưng giờ có vẻ đã chuyển sang chế độ riêng tư. Có lẽ vì đó là một tiết lộ khó chịu chăng
FATCA cũng khả thi vì cùng lý do như vậy
Đó chính là cái mà chính phủ luôn nói đến là “trật tự tự do quốc tế”
Israel đã ký hiệp ước nói rằng họ sẽ tôn trọng và thi hành phán quyết của tòa án Mỹ, và Mỹ cũng ký hiệp ước nói rằng họ sẽ tôn trọng và thi hành phán quyết của tòa án Israel
Vì vậy nếu thẩm phán Mỹ ký lệnh gửi cho thẩm phán Israel thì thẩm phán Israel sẽ thi hành, và ngược lại cũng vậy
Dĩ nhiên họ có thể phớt lờ vụ kiện, nhưng nếu vậy thì những người liên quan tốt nhất đừng bao giờ quay lại Mỹ nữa
Ngay từ đầu cách họ vận hành đã mang dáng dấp phạm tội khá rõ, đến mức tôi còn muốn khuyên toàn bộ nhân viên của họ tránh nhập cảnh Mỹ
Tôi tự hỏi liệu một trong các nền tảng khác được nhắc đến có phải là Signal không
Điều đó không có nghĩa lỗ hổng nằm trong chính ứng dụng đó, hay là lỗi của ứng dụng
Rốt cuộc tôi hiểu đây là vấn đề giữa nền tảng, đặc biệt là iOS và Apple, với các nhà phát triển và môi giới exploit
Đó là lý do Apple ghét họ
Dù tốt hay xấu, gây áp lực lên Apple theo hướng này nhìn chung cũng có thể tốt cho những người dùng còn lại
Mặt khác cũng có thể nói Apple nên xử lý những vấn đề kiểu này tốt hơn và tăng tiền thưởng cho các nhà nghiên cứu bảo mật
So với 20 năm trước thì đã khá hơn, nhưng thay vì kỳ vọng tập đoàn khổng lồ trả một khoản lẻ tẻ cho phát hiện của mình, bán exploit cho những chủ thể mờ ám này có lẽ vẫn kiếm được nhiều tiền hơn
Xin lưu ý là có https://grapheneos.org/ và https://signal.org/
Nếu một spyware nào đó đã giành được quyền truy cập cấp ring0 trên thiết bị, thì các thuộc tính bảo mật của ứng dụng như Signal không còn nhiều ý nghĩa
Vì spyware khi đó có thể truy cập cực kỳ dễ dàng
Israel sẽ không đời nào cho phép xuất mã nguồn
Tôi không hiểu vì sao nếu Pegasus thua kiện thì họ phải gửi mã nguồn thật cho WhatsApp
Chẳng phải cứ gửi nội dung bịa bừa là được sao, hay tôi đang bỏ sót gì đó
Tôi không hiểu vì sao NSO Group, và xa hơn là Israel, lại không bị trừng phạt vì phần mềm gián điệp này
Công ty này là một công ty nguy hiểm, bán những công cụ dễ bị lạm dụng cho những kẻ thù phản dân chủ tệ hại nhất của phương Tây
Là vì chính trị
Equatorial Guinea là một ví dụ, có liên quan đến nhà độc tài Obiang và hợp đồng với ExxonMobil
Steve Coll đã viết trong "Private Empire: ExxonMobil and American Power" (2012):
Điều đó hoàn toàn không tốt cho các quốc gia bị nhắm mục tiêu, nhưng lại có lợi cho tình báo Israel và Mỹ
Vì thế tôi không muốn làm việc trong lĩnh vực an ninh mạng
Vì phải đối phó với những kẻ nguy hiểm
Và an ninh mạng là một lĩnh vực rất rộng
Nhiều vai trò gần với việc đào tạo nhân viên về các nguyên tắc và quy trình bảo mật, cũng như triển khai phân loại dữ liệu
Không phải ai cũng trực tiếp xử lý tấn công, và phần lớn là công việc phòng ngừa
Ở công ty chúng tôi, trong số những người làm an ninh mạng theo nghĩa kỹ thuật, có lẽ chưa đến 20% là trực tiếp xử lý tấn công. Dù vậy, điều này cũng bị ảnh hưởng bởi việc chúng tôi thuê ngoài SOC