1 poin oleh GN⁺ 2024-03-02 | 1 komentar | Bagikan ke WhatsApp
  • Sejak 2019, WhatsApp telah menuntut akses ke kode spyware Pegasus milik NSO Group, dan pengadilan AS memutuskan bahwa NSO harus mengungkap informasi tentang seluruh fungsi spyware terkait, bukan hanya lapisan instalasinya
  • Inti gugatan ini adalah klaim WhatsApp bahwa Pegasus memantau 1.400 pengguna WhatsApp selama dua minggu dan mengakses data sensitif, termasuk pesan terenkripsi, tanpa izin
  • Hakim Pengadilan Distrik AS Phyllis Hamilton menyatakan bahwa hanya dengan lapisan instalasi, sulit memahami cara akses dan ekstraksi data, sehingga cakupan pengungkapan mencakup spyware NSO terkait yang menargetkan server WhatsApp atau menggunakan WhatsApp
  • Namun, pengadilan mengecualikan detail arsitektur server NSO dan permintaan identifikasi pelanggan, serta menolak permohonan NSO yang meminta komunikasi pascagugatan antara WhatsApp dan Citizen Lab
  • Pengungkapan ahli dari kedua pihak dijadwalkan pada 30 Agustus 2024, dan persidangan dimulai pada 3 Maret 2025, sehingga cakupan fungsi Pegasus yang sebenarnya diperkirakan akan menjadi materi utama dalam putusan pokok perkara

Putusan pengadilan terkait pengungkapan fungsi Pegasus

  • WhatsApp mengajukan gugatan dengan klaim bahwa Pegasus milik NSO Group digunakan untuk memantau 1.400 pengguna WhatsApp selama dua minggu pada 2019
  • WhatsApp mengklaim Pegasus mengakses data sensitif, termasuk pesan terenkripsi, tanpa izin
  • Saat itu, gugatan tersebut dinilai sebagai langkah hukum yang belum pernah terjadi sebelumnya terhadap industri tak teregulasi yang menjual layanan malware canggih kepada pemerintah di seluruh dunia
  • NSO berupaya memblokir seluruh discovery dengan alasan berbagai pembatasan di AS dan Israel, tetapi permintaan pemblokiran menyeluruh itu ditolak

Putusan bahwa lapisan instalasi saja tidak cukup

  • Hakim Pengadilan Distrik AS Phyllis Hamilton tidak menerima argumen NSO bahwa mereka hanya perlu menyerahkan informasi lapisan instalasi Pegasus
  • Pengadilan mengabulkan permintaan WhatsApp dan memerintahkan NSO memberikan informasi tentang “seluruh fungsi spyware terkait”
  • Putusan tersebut didasarkan pada pertimbangan bahwa, hanya dengan informasi lapisan instalasi, penggugat sulit memahami bagaimana spyware menjalankan fungsi untuk mengakses dan mengekstraksi data
  • Objek pengungkapan adalah spyware NSO terkait yang menargetkan server WhatsApp atau menggunakan WhatsApp dengan cara apa pun untuk mengakses perangkat target
    • Periodenya adalah dari satu tahun sebelum hingga satu tahun setelah alleged attack

Fungsi Pegasus yang diklaim WhatsApp

  • WhatsApp mengklaim Pegasus dapat menyadap komunikasi yang keluar masuk perangkat
    • Layanan yang menjadi target mencakup iMessage, Skype, Telegram, WeChat, Facebook Messenger, WhatsApp, dan lainnya
  • Klaim tersebut juga mencakup bahwa Pegasus dapat dikustomisasi sesuai tujuan
    • Penyadapan komunikasi
    • Penangkapan screenshot
    • Pembocoran riwayat browser

Informasi yang dikecualikan dari pengungkapan

  • Hakim Hamilton tidak mengabulkan semua permintaan discovery dari WhatsApp
  • Informasi tertentu tentang arsitektur server NSO dikecualikan dari objek pengungkapan
    • Alasannya, WhatsApp dapat mengetahui informasi yang sama dari informasi tentang seluruh fungsi spyware terkait
  • NSO tidak dipaksa untuk mengidentifikasi pelanggannya
  • NSO tidak secara terbuka mengungkap pemerintah yang membeli spyware-nya
  • Menurut laporan The Guardian, ada laporan bahwa Poland, Saudi Arabia, Rwanda, India, Hungary, dan United Arab Emirates menggunakan Pegasus untuk menargetkan para pembangkang
  • Pada 2021, AS memasukkan NSO ke daftar hitam dengan alasan dugaan penyebaran “alat digital yang digunakan untuk represi”

Permintaan terkait Citizen Lab ditolak

  • Dalam perintah yang sama, Hakim Hamilton juga menolak permohonan NSO yang meminta WhatsApp mengungkap komunikasi pascagugatan dengan Citizen Lab
  • Citizen Lab berpartisipasi dalam kasus ini sebagai saksi pihak ketiga dan mendukung argumen WhatsApp bahwa pelanggan NSO menyalahgunakan Pegasus terhadap masyarakat sipil
  • Dalam dokumen yang diajukan ke pengadilan, NSO menulis bahwa kebutuhan atas discovery tersebut akan jauh berkurang jika WhatsApp menarik dari catatan perkara pernyataan Citizen Lab yang pada intinya menyebut “Pegasus digunakan terhadap anggota masyarakat sipil, bukan untuk penyelidikan terorisme dan kejahatan berat”
  • Hakim Hamilton tidak mengabulkan permintaan NSO karena sulit melihat relevansi discovery yang diminta

Prosedur tersisa dan tanggapan

  • NSO belum memberikan komentar atas perintah ini
  • Juru bicara WhatsApp mengatakan kepada The Guardian bahwa putusan ini merupakan tonggak penting dalam tujuan jangka panjang untuk melindungi pengguna WhatsApp dari serangan ilegal
  • Juru bicara tersebut mengatakan perusahaan spyware dan pelaku jahat harus memahami bahwa mereka bisa ditangkap dan tidak bisa mengabaikan hukum
  • Pengadilan dijadwalkan menerima pengungkapan ahli dari kedua pihak pada 30 Agustus 2024
  • Persidangan diperkirakan akan dimulai pada 3 Maret 2025

1 komentar

 
GN⁺ 2024-03-02
Opini Hacker News
  • Menarik bahwa NSO mencoba memblokir seluruh proses discovery dengan alasan “berbagai pembatasan dari Amerika Serikat dan Israel”, tetapi pendekatan itu ditolak
    Pengadilan AS kemungkinan besar tidak terlalu peduli pada aturan Israel, yaitu pembatasan dari negara lain
    Pemerintah AS secara resmi telah memasukkan Pegasus ke daftar hitam, tetapi https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma..., tidak akan mengejutkan jika sebagian badan intelijen AS masih menggunakannya
    Jika demikian, Pegasus bisa saja meminta badan intelijen AS untuk memblokir gugatan tersebut dengan alasan pengungkapan informasi rahasia atau merugikan kepentingan nasional
    Akan menarik melihat apakah suatu hari tiba-tiba “sesuatu” terjadi dan perkara ini secara misterius dibatalkan

    • Rasanya kecil kemungkinan badan intelijen AS masih menggunakannya secara resmi
      Jauh lebih mudah meminta dan menerima hasilnya dari badan intelijen sekutu yang menggunakan Pegasus
      Metode pengumpulan dengan menjaga jarak sejauh lengan secara hukum lebih tidak berisiko
      Namun, itu membuat klaim keamanan nasional di pengadilan AS menjadi lemah. Karena jadinya: “Apakah Anda menggunakan perangkat lunak ini?” “Secara resmi tidak.” “Lalu atas dasar apa Anda mengklaim keamanan nasional?”
    • Hal yang menarik adalah NSO mengklaim perlindungan yang diberikan kepada pemerintah, seolah-olah mewakili pemerintah dan bertindak atas nama pemerintah
    • Terlepas dari teori konspirasi, yang sebenarnya akan terlihat bukanlah “sesuatu”, melainkan dokumen pengajuan pengadilan yang tertutup untuk publik
    • Saya akan sangat terkejut jika badan intelijen AS menggunakan Pegasus. Sanksi bukan perkara main-main, dan ada banyak perusahaan dari lingkup Five Eyes dengan kemampuan serupa
  • Sudah lama sejak pengungkapan Snowden, dan apa yang terlihat saat itu saja sudah sulit dipercaya
    Sekarang, saya bahkan tidak bisa membayangkan apa yang digunakan badan-badan intelijen
    Dibandingkan dengan apa yang bisa dimiliki dan digunakan lembaga-lembaga itu, apa hebatnya Pegasus sebenarnya

  • Saya kurang paham perkara ini
    Saya tidak mengerti mengapa yurisdiksi pengadilan AS bisa berlaku terhadap perusahaan spyware Israel asing yang sudah dimasukkan daftar hitam oleh pemerintah AS
    Saya juga bertanya-tanya mengapa Israel, sekalipun kalah, akan mengirimkan kode sumber spyware kepada WhatsApp

    • Karena NSO Group berurusan dengan dolar
      Jika mereka tidak menanggapi, mereka akan kalah secara default, dan pengadilan dapat memerintahkan penyitaan aset yang bisa dijangkau AS
      Bahkan jika mereka menerima pembayaran dalam shekel di negara-negara di luar Israel, dolar masuk sebagai mata uang perantara dalam proses penukaran, dan di situlah celah bagi AS
    • Ini disebut penerapan ekstrateritorial
      Di Prancis pun pernah terjadi hal yang tidak masuk akal
      AS pada dasarnya mendorong perusahaan raksasa Prancis, Alstom, ke ambang kebangkrutan lalu membelinya dengan harga murah, dan setelah itu juga mencoba meruntuhkan Airbus
      Dalam kedua kasus, AS menggunakan hak yang mereka berikan sendiri, yaitu penerapan ekstrateritorial
      Kisah ini didokumentasikan dalam dokumenter ini: https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
      Dulu juga bisa ditonton di YouTube di https://youtu.be/Sa22eu1FWyo, tetapi sekarang tampaknya sudah dijadikan privat. Mungkin pengungkapan yang tidak nyaman
    • Karena ini AS, maka bisa
      FATCA juga bisa karena alasan yang sama
    • Tidak banyak yang perlu dijelaskan. AS memiliki perjanjian timbal balik dengan negara-negara sekutunya
      Itulah yang selalu disebut pemerintah sebagai “tatanan liberal internasional”
      Israel menandatangani perjanjian untuk menghormati dan menegakkan putusan pengadilan AS, dan AS juga menandatangani perjanjian untuk menghormati dan menegakkan putusan pengadilan Israel
      Jadi jika hakim AS menandatangani perintah dan mengirimkannya kepada hakim Israel, hakim Israel akan menegakkannya, dan sebaliknya juga begitu
    • Karena mereka digugat di AS atas tindakan yang terjadi di AS. Ini bukan hal yang terlalu sulit atau istimewa
      Tentu saja mereka bisa mengabaikan gugatan, tetapi kalau begitu pihak-pihak terkait sebaiknya tidak pernah masuk AS lagi
      Sejak awal, cara operasi mereka tampak sangat bernuansa kriminal, sampai-sampai saya ingin menyarankan semua mantan karyawan mereka untuk menghindari masuk AS
  • Saya penasaran apakah salah satu platform lain yang disebutkan itu adalah Signal

    • Jika perangkat sudah di-root, data bisa dikeluarkan dari aplikasi apa pun, jadi sepertinya semua platform disebut untuk keperluan pemasaran
      Namun, itu tidak berarti kerentanannya ada pada aplikasi tersebut, atau bahwa itu kesalahan aplikasinya
      Pada akhirnya, saya memahami ini sebagai masalah platform, khususnya iOS dan Apple, serta para pengembang dan broker eksploit
      Karena itulah Apple membenci mereka
      Baik atau buruk, menekan Apple bisa jadi pada umumnya juga baik bagi pengguna lainnya
      Sebaliknya, bisa juga dilihat bahwa Apple harus menangani masalah seperti ini dengan lebih baik dan menaikkan imbalan bagi peneliti keamanan
      Memang sudah lebih baik daripada 20 tahun lalu, tetapi menjual eksploit kepada pihak-pihak mencurigakan seperti ini kemungkinan masih lebih menguntungkan daripada berharap perusahaan raksasa memberi recehan atas temuan mereka
  • Sebagai referensi, https://grapheneos.org/ dan https://signal.org/ ada

    • Bukankah ini melenceng dari pokok bahasan
      Jika suatu spyware memperoleh akses setingkat ring0 pada perangkat, atribut keamanan aplikasi seperti Signal tidak terlalu berarti
      Karena spyware dapat mengaksesnya dengan sangat mudah
  • Israel tidak mungkin mengizinkan ekspor kode sumber

    • Negara itu pada dasarnya negara nakal, tetapi entah mengapa selalu diperlakukan dengan hati-hati
  • Saya tidak mengerti mengapa, sekalipun Pegasus kalah, mereka harus mengirimkan kode sumber yang asli kepada WhatsApp
    Bukankah mereka bisa saja mengirimkan isi yang asal-asalan? Apakah ada sesuatu yang saya lewatkan

    • Yang Anda lewatkan adalah pengadilan dan kewenangan hukumnya
  • Saya tidak paham mengapa NSO Group, apalagi Israel, tidak dikenai sanksi karena spyware ini.
    Perusahaan ini adalah perusahaan berbahaya yang menjual alat yang mudah disalahgunakan kepada musuh-musuh Barat yang paling buruk dan antidemokratis.

    • NSO sudah dikenai sanksi: https://www.state.gov/the-united-states-adds-foreign-compani...
    • Alasannya sama seperti mengapa bantuan militer 10 miliar dolar AS tidak berkurang, meski mereka melakukan banyak tindakan yang bertentangan dengan kepentingan dan nilai-nilai Amerika Serikat.
      Ini soal politik.
    • NSO Group sudah dikenai sanksi: https://www.washingtonpost.com/technology/2021/11/03/pegasus...
    • Sejak lama Israel berperan sebagai jalur perantara untuk menyalurkan senjata kepada negara-negara yang, menurut standar “nilai-nilai Barat”, mengerikan, tetapi patuh pada kepentingan perusahaan AS.
      Guinea Khatulistiwa adalah salah satu contohnya, terkait dengan diktator Obiang dan kontrak ExxonMobil.
      Steve Coll menulis dalam "Private Empire: ExxonMobil and American Power" (2012):

      "Fortunately for Obiang, coup-prone African governments rolling in oil but lacking in arms and intelligence to defend their bounty had a discrete alternative to the Pentagon and C.I.A. for defense support: Israel. Quietly, the Bush Administration encouraged Obiang to enter into security and commercial ties with Tel Aviv."
      Azerbaijan juga serupa. Sebab penjualan senjata AS dilarang karena masalah pelanggaran HAM.
      Dalam telegram Departemen Luar Negeri AS tahun 2009 yang dipublikasikan di Wikileaks, tertulis bahwa “melalui hubungan erat dengan Israel, Azerbaijan memperoleh akses ke sistem persenjataan berkualitas tinggi pada tingkat yang tidak bisa didapatkannya dari Amerika Serikat dan Eropa karena berbagai pembatasan hukum.”
      Jika rezim diktator mengalirkan uang minyak ke sistem keuangan Barat, AS akan menutup mata terhadap hal-hal semacam ini, misalnya Saudi dan UEA yang memakai Pegasus untuk menindas aktivis prodemokrasi.
      Kalau tidak, saatnya sanksi dan pergantian rezim.

    • Jika memakai topi teori konspirasi, sepertinya ada kepentingan besar ketika mitra kuat, bukan pesaing, menjual barang seperti ini.
      Sama sekali tidak baik bagi negara-negara target, tetapi menguntungkan bagi badan intelijen Israel dan AS.
  • Karena itu saya tidak ingin bekerja di bidang keamanan siber.
    Karena harus berurusan dengan orang-orang berbahaya.

    • Pekerjaan polisi juga begitu, dan militer bahkan lebih parah.
      Selain itu, cakupan keamanan siber sangat luas.
      Banyak peran lebih dekat dengan pekerjaan melatih karyawan tentang prinsip dan prosedur keamanan, serta menerapkan klasifikasi data.
      Tidak semua orang menangani serangan secara langsung; sebagian besar adalah pekerjaan pencegahan.
      Di perusahaan kami, dari orang-orang yang secara teknis bekerja di keamanan siber, mungkin kurang dari 20% yang menangani serangan secara langsung. Namun itu juga dipengaruhi oleh fakta bahwa SOC kami dialihdayakan.