1 bình luận

 
GN⁺ 2024-12-22
Các ý kiến trên Hacker News
  • Nếu nghe các tập của Darknet Diaries nói về NSO Group từ góc nhìn của những người từng trực tiếp đối đầu với họ hoặc trở thành mục tiêu, sẽ thấy rõ họ kinh khủng đến mức nào
    Điều đặc biệt đáng lo là họ hoạt động dưới sự bảo hộ của Mỹ, và trên thực tế được phép giám sát công dân Mỹ mà gần như không phải chịu trách nhiệm gì
    Trường hợp nghe lén trái phép Ben Suda sau khi ông bắt đầu điều tra tội ác chiến tranh của Israel đặc biệt ghê tởm; tôi cho rằng việc đó đã được dùng để đe dọa công tố viên hoặc che giấu chứng cứ liên quan đến đối tượng bị điều tra
    Việc họ đưa vụ việc ra tòa rồi rút lại để nói với ICC rằng “đã cố truy tố”, qua đó lợi dụng kẽ hở khiến ICC không thể thụ lý vụ đó, cũng rất nghiêm trọng
    Nhiều nước có lẽ cũng làm những việc tương tự, vận hành botnet hoặc đe dọa nhà báo, nhưng điểm khác thường ở đây là các tổ chức tình báo Israel được sự bảo hộ hoàn toàn của Mỹ mà không có bất kỳ giám sát hay kiểm soát nào, ngang hàng với chính phủ Mỹ
    Chúng ta đã sống trong thứ dystopia mà người ta cảnh báo từ nhiều thập kỷ trước

    • Mỹ cũng lưu trữ và bảo vệ cả những công ty làm việc này giỏi hơn NSO
      Không chỉ vì các công ty đó đủ khôn để không xuất hiện trên mặt báo
    • Nguyên tắc bổ trợ của ICC không dễ được kích hoạt như vậy nếu cuộc điều tra trong nước rõ ràng không có thiện chí
      ICC có thể bỏ qua các cuộc điều tra trong nước mà họ đánh giá là không phải nỗ lực điều tra nghiêm túc
      Nếu chỉ cần tự dựng lên cuộc điều tra giả là có thể né mọi trách nhiệm thì đó sẽ là một tòa án khá nực cười
    • Nếu có thể, tôi cố không dùng công nghệ Israel trong stack của mình
      Không rõ có thể dùng phần mềm như Snyk mà không tự đặt mình vào rủi ro hay không. Các nhà sáng lập của họ từng thuộc IDF Unit 8200
      Đặc biệt trong lĩnh vực bảo mật, dùng công nghệ Israel trông như đưa sói vào chuồng gà. Xin kiếu
  • Sẽ phù hợp hơn nếu chủ sở hữu hoặc người ra quyết định của NSO cũng bị xử lý theo cách như Gary McKinnon
    Chỉ là có vẻ họ thuộc nhóm “bình đẳng hơn” mà thôi

  • Tôi không phải luật sư nên có thể đã hiểu nhầm điều gì đó, nhưng nguyên đơn không phải là các nhà báo mà là WhatsApp
    Vụ này có vẻ không hẳn là một vụ kiện yêu cầu NSO Group chịu trách nhiệm vì hack nhà báo, mà trọng tâm là liệu họ có “vượt quá quyền hạn” đối với WhatsApp khi gửi vector cài đặt Pegasus tới nạn nhân qua WhatsApp hay không
    Việc các nhà báo bị xâm phạm chỉ là yếu tố phụ, còn phán quyết xử lý câu hỏi liệu quyền hạn trên hệ thống WhatsApp có bị vượt quá hay không, hơn là việc truy cập nạn nhân có trái phép hay không
    Phán quyết cũng cho rằng mọi người dùng WhatsApp đều có quyền gửi tin nhắn, nên dù trong đó có spyware thì cũng không phải là “truy cập trái phép”, mà chỉ có lý thuyết “vượt quá quyền hạn” là được củng cố
    Phía bị đơn lập luận rằng vector cài đặt Pegasus chỉ đi qua máy chủ WhatsApp như các tin nhắn khác, và thông tin thu được đến từ thiết bị người dùng mục tiêu chứ không phải từ máy chủ
    Phía nguyên đơn dựa vào cụm từ “bất kỳ máy tính được bảo vệ nào (any protected computer)” trong điều khoản, và tại phiên điều trần đã làm rõ rằng WIS không chỉ lấy thông tin trực tiếp từ thiết bị người dùng mà còn lấy thông tin về thiết bị mục tiêu thông qua máy chủ WhatsApp
    Nếu xem cả các hồ sơ trước đó, NSO Group đã viết script tạo client WhatsApp giả để gửi những tin nhắn mà ứng dụng gốc không thể gửi, và thông qua đó lấy thông tin về thiết bị mục tiêu
    Cấu trúc lập luận là client giả đã làm những việc client thật không thể làm và bị điều khoản dịch vụ cấm, nên đã vượt quá quyền hạn
    Cần suy nghĩ một chút về hàm ý của việc này. Chắc không chỉ mình tôi từng tạo client thay thế cho một thứ gì đó
    Có vẻ WhatsApp không cho rằng client giả đã khai thác lỗ hổng để lấy thông tin, mà chỉ riêng việc nó là client giả đã là đủ. Tuy nhiên có một số phần bị niêm phong có thể liên quan đến điểm này
    CFAA khá mơ hồ và trước đây cũng từng được áp dụng rất rộng, nên điều này không gây ngạc nhiên, nhưng sau vụ Van Buren vài năm trước, tôi đã kỳ vọng cách diễn giải rộng biến vi phạm điều khoản dịch vụ thành vi phạm CFAA sẽ phần nào lùi lại
    Phán quyết dành cho ai quan tâm: https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
    Nếu muốn xem các hồ sơ khác có lập luận của hai bên thì CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v...

    • Tôi từng tạo client không chính thức, và cũng từng chống lại các client không chính thức độc hại trên dịch vụ do tôi vận hành
      Trao toàn quyền tuyệt đối cho bất kỳ bên nào cũng không bền vững
      99,99% client hoạt động tốt thì mặc nhiên bị làm ngơ, nhưng tôi không phản đối việc những bên phát tán mã độc hoặc né giới hạn tốc độ phải ra tòa
    • Xét tính chất của các bên liên quan, cách gọn nhất để đạt mục tiêu là nhắm vào vấn đề quyền hạn
      Trọng tâm sẽ chuyển sang cách họ làm, thay vì ai đã làm gì
      Làm vậy có thể giảm tổn hại thể diện cho các bên liên quan, bảo vệ nguồn tin và phương thức, đồng thời vẫn gửi được thông điệp
      Luật được thiết kế rộng nhất có thể. Nếu đó là người Mỹ chứ không phải NSO Group, có lẽ họ đã dùng cách tính thiệt hại phi lý để ép một thỏa thuận nhận tội thay vì hàng nghìn tháng tù
    • CFAA rõ ràng đã đến lúc cần cải cách
      Không khó để lập luận rằng nó quá rộng và mơ hồ, và phạm vi tổng thể của nó dễ bao trùm cả những hành vi trực tuyến vô hại
    • Có lẽ người dùng WhatsApp khó có tư cách nguyên đơn để kiện những người đã hack WhatsApp nhằm lấy dữ liệu của chính họ
      Hệ thống thuộc sở hữu của WhatsApp, nên WhatsApp phải là bên khởi kiện
    • Nếu là phần “lấy thông tin thiết bị của người dùng mục tiêu bằng client giả gửi những tin nhắn mà ứng dụng gốc không thể gửi”, thì ranh giới của vượt quá quyền hạn trông khá rõ ràng
      Tôi không đọc phán quyết này theo hướng bất lợi cho những người muốn tự viết client của mình
      Họ đã cố ý tạo một client bên thứ ba với mục đích độc hại
      Nếu bạn tạo client Discord để gửi spam hoặc gây hại cho người dùng, thì việc nó trở thành vấn đề là hoàn toàn hợp lý
  • Tôi từng nghĩ WhatsApp và Signal dùng chung kiểu mã hóa

    • Đây không phải là tuyên bố rằng mã hóa đã bị phá vỡ
      Bản thân ứng dụng phải xử lý rất nhiều đầu vào không đáng tin cậy, nên chẳng hạn ở những phần như tạo thumbnail cho tệp video nhận được, vẫn có bề mặt tấn công đáng kể nằm ngoài giao thức
    • Đó là lỗi tràn bộ đệm trong stack VOIP
      https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
      Điều thú vị là Signal và các ứng dụng khác trên Android cũng từng có lỗ hổng tương tự do stack WebRTC
      https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
      Trong cả hai trường hợp, vấn đề lớn là exploit được thực thi trước khi người dùng nhấc máy
      Một ứng dụng nhắn tin an toàn không nên chạy mã vốn dĩ không an toàn, tức mã phức tạp, thay mặt cho một bên mà người dùng thực sự không tin tưởng
      Tôi cho rằng mặc định luôn phải là văn bản thuần túy
    • Nhóm này đã lợi dụng lỗi của WhatsApp để chuyển spyware vào máy
      Đây không phải là vấn đề của mã hóa đầu cuối
      Một thẩm phán Mỹ đã xử thắng cho WhatsApp của Meta Platforms trong vụ kiện cáo buộc NSO Group của Israel lợi dụng lỗi trong ứng dụng nhắn tin để cài phần mềm gián điệp cho phép giám sát trái phép
    • Cuộc tấn công không nhắm vào phần mã hóa của WhatsApp
      Mã hóa quan trọng, nhưng hiếm khi là mắt xích yếu nhất trong chuỗi bảo mật
    • Chúng ta nên bắt đầu giả định rằng bất kỳ phương tiện liên lạc nào cũng đã bị xâm nhập
      Các tổ chức như NSA không đời nào giơ tay bỏ cuộc trước các ứng dụng như Signal. Nếu đó là một trong những ứng dụng nhắn tin được tải xuống nhiều nhất, thì rất đáng để đầu tư bẻ khóa
      Tốt hơn nên xem mọi thứ có liên quan đến điện thoại hoặc máy tính về bản chất là không an toàn
      Ngược lại, các phương thức analog như bảng mật mã dùng một lần, hay che miệng rồi thì thầm vào tai, không tạo ra thế mất cân bằng quyền lực giữa nhà nước và cá nhân một chiều như truyền thông số vốn rất có thể đã bị xâm phạm theo cách nào đó
  • Câu “các công ty giám sát cần biết rằng giám sát bất hợp pháp là không thể chấp nhận” vừa hơi buồn cười vừa đáng buồn
    Nói ngược lại thì có vẻ Meta chấp nhận việc người dùng WhatsApp bị “giám sát miễn là hợp pháp”

    • Tất cả các công ty mạng xã hội đều cho phép giám sát hợp pháp
      Ở Mỹ, lệnh khám xét và lệnh nghe lén được ban hành hằng ngày
    • Tôi nghĩ đó chẳng phải là điều hiển nhiên sao
      Meta muốn độc quyền giám sát người dùng
      Không được phép giám sát người dùng thông qua sản phẩm của Meta
      Nếu muốn giám sát người dùng, hãy tự tạo một ứng dụng đủ phổ biến để hàng tỷ người tự nguyện đăng ký và đồng ý bị giám sát
  • Thật mỉa mai khi FBI và CISA vừa hôm nay tuyên bố đừng dùng SMS cho xác thực hai bước, hãy dùng WhatsApp
    Tất nhiên, vấn đề lớn nhất họ chỉ ra là người dùng di động bấm vào các liên kết trong SMS
    Chúng ta phần lớn đang sống trong một môi trường bị khóa chặt và phản người tiêu dùng, nên tôi cũng không chắc có lời khuyên nào thật sự tốt hay không
    https://www.newsnationnow.com/business/tech/fbi-warns-agains...

    • Tất nhiên là có lời khuyên tốt
      Luôn nên ưu tiên ứng dụng xác thực hơn SMS
      Passkeys cũng được kỳ vọng sẽ là một nâng cấp lớn ở khía cạnh này
    • Được biết WhatsApp hiện không còn dễ bị tấn công kiểu đó nữa, và các ứng dụng SMS trước đây cũng từng có những lỗ hổng tương tự
  • Không nên phân biệt giữa những công ty như thế này với các nhà vận hành botnet hay các tổ chức ransomware thông thường
    Ban lãnh đạo nên nhận án 20–30 năm tù và bị dẫn độ trên toàn cầu
    Tác hại mà những kẻ hack nhà báo và chính trị gia gây ra cho xã hội, đặt không chỉ ví tiền mà đúng nghĩa cả mạng sống vào nguy hiểm, có thể còn lớn hơn các tổ chức ransomware
    Ngoại trừ việc trích xuất dữ liệu của người đã được bảo đảm quyền bào chữa tại phiên tòa công khai và đã bị kết án, không nên tồn tại chuyện “hợp pháp” hack thiết bị của ai đó

    • Điều này không khác “vũ khí” truyền thống là mấy
      Tôi không thích phép ví von “vũ khí mạng”, nhưng đây là trường hợp nó khớp
      Bán súng cho chính phủ, kể cả chính phủ có tiếng xấu, thì gần như chẳng có chuyện gì xảy ra trừ những trường hợp cực đoan
      Bán súng cho băng đảng đường phố lại là câu chuyện hoàn toàn khác
      Tôi không thấy tình huống này khác đi chỉ vì nó là “hacking”
    • Những kẻ hack nhà báo chắc chắn nên vào tù
    • Tôi đồng ý với phần đầu, ít nhất là về mặt tinh thần
      Nhưng phần thứ hai thì vô lý
      Nếu tổng thống Mỹ có thể ra lệnh giết một kẻ khủng bố bằng drone mà không đưa ra tòa, thì hẳn cũng có thể ra lệnh hack điện thoại của họ
      Nếu cho rằng điều sau tuyệt đối không thể chấp nhận, thì có lẽ trước hết nên đấu tranh chống lại điều trước
    • Người Israel sẽ không bị dẫn độ sang Mỹ vì bất cứ việc gì
      Điều buồn cười là như vậy dù Mỹ về thực chất đang chống lưng tài chính cho cả quốc gia đó
      Nơi này như được phép để Israel tháo găng và đe dọa quân sự các kẻ thù, nhằm giúp Mỹ giả vờ duy trì “trật tự thế giới dựa trên quyền” mà không bị chỉ trích vì những việc tự tay mình làm
    • Hãy tưởng tượng họ truy đuổi NSO dai dẳng như đã làm với Wikileaks