1 komentar

 
GN⁺ 2024-12-22
Opini Hacker News
  • Kalau melihat episode-episode Darknet Diaries yang membahas NSO Group langsung atau dari sudut pandang orang-orang yang menjadi targetnya, terasa sekali betapa mengerikannya mereka
    Yang terutama bermasalah adalah mereka bergerak di bawah perlindungan AS, dan pada dasarnya diizinkan memata-matai warga AS tanpa memikul tanggung jawab apa pun
    Kasus penyadapan ilegal terhadap Ben Suda setelah ia mulai menyelidiki kejahatan perang Israel terasa sangat menjijikkan, dan menurut saya itu dipakai untuk mengintimidasi jaksa atau menyembunyikan bukti yang menjadi objek penyelidikan
    Yang juga serius adalah mereka memanfaatkan celah dengan membawa kasus itu ke pengadilan lalu mencabutnya, sehingga bisa mengatakan kepada ICC bahwa mereka “telah mencoba melakukan penuntutan” dan membuat ICC tidak dapat menangani kasus tersebut
    Banyak negara mungkin melakukan hal serupa, mengoperasikan botnet, atau mengintimidasi jurnalis, tetapi yang khas di sini adalah organisasi intelijen Israel mendapat perlindungan penuh dari AS tanpa pengawasan atau supervisi apa pun, berdampingan dengan pemerintah AS
    Kita sudah hidup di dalam distopia yang telah diperingatkan sejak puluhan tahun lalu

    • AS juga menjadi host dan melindungi perusahaan-perusahaan yang melakukan hal ini lebih baik daripada NSO
      Bukan hanya karena perusahaan-perusahaan itu cukup pintar untuk tidak muncul di berita
    • Prinsip komplementaritas ICC tidak terpicu semudah itu jika penyelidikan domestik jelas tidak dilakukan dengan itikad baik
      ICC dapat mengabaikan penyelidikan domestik yang dinilainya bukan upaya penyelidikan yang serius
      Kalau semua tanggung jawab bisa dihindari hanya dengan menjalankan penyelidikan palsu di antara mereka sendiri, pengadilan itu akan cukup konyol
    • Jika memungkinkan, saya berusaha tidak memakai teknologi Israel dalam stack saya
      Saya tidak tahu apakah seseorang bisa memakai perangkat lunak seperti Snyk tanpa menempatkan dirinya dalam risiko. Para pendirinya adalah mantan anggota IDF Unit 8200
      Terutama di ranah keamanan, memakai teknologi Israel terlihat seperti memasukkan serigala ke kandang ayam. Saya menolak
  • Akan lebih tepat jika pemilik atau pengambil keputusan di NSO juga diperlakukan dengan cara yang sama seperti Gary McKinnon
    Hanya saja mereka tampaknya berada di pihak yang lebih “setara”

  • Saya bukan pengacara, jadi mungkin saya salah paham, tetapi penggugatnya bukan para jurnalis, melainkan WhatsApp
    Kasus ini tampaknya bukan gugatan untuk meminta pertanggungjawaban NSO Group atas peretasan jurnalis, melainkan berfokus pada apakah mereka melakukan “pelampauan wewenang” terhadap WhatsApp saat mengirim vektor instalasi Pegasus kepada korban melalui WhatsApp
    Fakta bahwa jurnalis diretas bersifat insidental, dan putusannya membahas apakah ada pelampauan wewenang pada sistem WhatsApp, bukan apakah akses ke korban tidak sah
    Putusan itu juga menilai bahwa karena semua pengguna WhatsApp berwenang mengirim pesan, maka meskipun pesan itu berisi spyware, itu bukan “akses tanpa izin”; hanya teori “pelampauan wewenang” yang didukung
    Pihak tergugat berargumen bahwa vektor instalasi Pegasus hanya melewati server WhatsApp seperti pesan lainnya, dan informasi yang diperoleh berasal dari perangkat pengguna target, bukan dari server
    Pihak penggugat mengandalkan frasa “komputer terlindungi mana pun (any protected computer)” dalam ketentuan tersebut, dan dalam sidang dijelaskan bahwa WIS tidak hanya memperoleh informasi langsung dari perangkat pengguna, tetapi juga memperoleh informasi perangkat target melalui server WhatsApp
    Jika melihat catatan sebelumnya juga, NSO Group membuat skrip klien WhatsApp palsu yang mengirim pesan yang tidak bisa dikirim oleh aplikasi asli, dan melalui itu memperoleh informasi perangkat target
    Strukturnya adalah klien palsu itu melakukan hal yang tidak bisa dilakukan klien asli dan dilarang oleh ketentuan layanan, sehingga dianggap melampaui wewenang
    Perlu sebentar memikirkan apa implikasinya. Saya pasti bukan satu-satunya orang yang pernah membuat klien alternatif untuk sesuatu
    WhatsApp tampaknya tidak berargumen bahwa klien palsu itu mengeksploitasi kerentanan untuk memperoleh informasi, melainkan menganggap fakta bahwa itu adalah klien palsu saja sudah cukup. Namun ada bagian yang disunting dan tidak dipublikasikan yang mungkin relevan dengan poin ini
    CFAA memang cukup kabur dan sebelumnya juga diterapkan sangat luas, jadi ini tidak mengejutkan, tetapi setelah kasus Van Buren beberapa tahun lalu, saya berharap interpretasi luas yang menjadikan pelanggaran ketentuan layanan sebagai pelanggaran CFAA sedikit mundur
    Putusan untuk yang berminat: https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
    Jika ingin melihat catatan lain yang memuat argumen kedua belah pihak, CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v...

    • Saya pernah membuat klien tidak resmi, dan juga pernah melawan klien tidak resmi yang berbahaya pada layanan yang saya operasikan
      Memberikan cek kosong sepenuhnya kepada salah satu pihak tidaklah berkelanjutan
      99,99% klien yang berfungsi dengan baik diabaikan secara implisit, tetapi saya tidak keberatan jika pihak yang menyebarkan malware atau mengakali rate limit diseret ke pengadilan
    • Melihat karakter para pemangku kepentingan, cara paling rapi untuk mencapai tujuan adalah menargetkan persoalan wewenang
      Fokusnya menjadi bagaimana hal itu dilakukan, bukan siapa melakukan apa
      Dengan begitu, kerusakan reputasi para pemangku kepentingan bisa dikurangi, sumber dan metode bisa dilindungi, dan pesan juga bisa dikirim
      Hukum dibuat seluas mungkin. Kalau yang melakukan ini orang Amerika, bukan NSO Group, mereka mungkin akan dipaksa menerima kesepakatan mengaku bersalah alih-alih hukuman ribuan bulan penjara, dengan perhitungan kerugian yang tidak masuk akal
    • CFAA jelas sudah waktunya direformasi
      Tidak sulit berargumen bahwa undang-undang itu terlalu luas dan kabur, dan cakupan umumnya dapat dengan mudah menjangkau perilaku online yang tidak berbahaya
    • Pengguna WhatsApp sepertinya akan sulit memiliki kedudukan hukum sebagai penggugat terhadap orang-orang yang meretas WhatsApp untuk mengambil data mereka
      Sistemnya milik WhatsApp, jadi gugatan harus diajukan oleh WhatsApp
    • Jika yang dimaksud adalah bagian “memperoleh informasi perangkat pengguna target dengan klien palsu yang mengirim pesan yang tidak bisa dikirim oleh aplikasi asli”, maka pembeda untuk pelampauan wewenang tampak cukup jelas
      Saya tidak membaca putusan ini sebagai sesuatu yang merugikan orang-orang yang ingin membuat klien sendiri
      Mereka sengaja membuat klien pihak ketiga untuk tujuan jahat
      Jika seseorang membuat klien Discord untuk mengirim spam atau merugikan pengguna, masuk akal sepenuhnya kalau itu menjadi masalah
  • Saya mengira WhatsApp dan Signal memakai enkripsi yang sama

    • Ini bukan klaim bahwa enkripsi-nya telah dibobol
      Karena aplikasi itu sendiri memproses banyak input yang tidak tepercaya, misalnya pada bagian seperti pembuatan thumbnail untuk file video yang diterima, ada permukaan serangan yang signifikan juga di luar protokol
    • Itu adalah buffer overflow pada stack VOIP
      https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
      Menariknya, Signal dan lainnya juga pernah memiliki kerentanan serupa di Android karena stack WebRTC
      https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
      Dalam kedua kasus, masalah besarnya adalah exploit berjalan sebelum pengguna menjawab panggilan
      Messenger yang aman seharusnya tidak menjalankan kode yang pada dasarnya tidak aman, yaitu kode yang kompleks, atas nama pihak yang benar-benar tidak dipercaya pengguna
      Menurut saya default-nya harus selalu teks biasa
    • Grup ini mengeksploitasi bug WhatsApp untuk mengirimkan spyware
      Ini bukan masalah enkripsi ujung-ke-ujung
      Seorang hakim AS memenangkan WhatsApp milik Meta Platforms dalam gugatan yang menyatakan bahwa NSO Group dari Israel mengeksploitasi bug pada aplikasi perpesanan untuk memasang perangkat lunak mata-mata yang memungkinkan pengawasan tanpa izin
    • Serangan itu tidak menargetkan bagian enkripsi WhatsApp
      Enkripsi memang penting, tetapi jarang menjadi mata rantai terlemah dalam rantai keamanan
    • Kita harus mulai berasumsi bahwa sarana komunikasi apa pun sudah ditembus
      Organisasi seperti NSA tidak mungkin menyerah begitu saja menghadapi aplikasi seperti Signal. Jika itu salah satu aplikasi perpesanan yang paling banyak diunduh, nilainya sangat besar untuk diinvestasikan agar bisa ditembus
      Lebih baik menganggap apa pun yang melibatkan ponsel atau komputer pada dasarnya tidak aman
      Sebaliknya, metode analog seperti one-time pad atau menutup mulut dengan tangan lalu berbisik ke telinga, tidak membuat keseimbangan kekuatan antara negara dan individu menjadi sepihak seperti komunikasi digital yang kemungkinan besar sudah disusupi dengan satu atau lain cara
  • Kalimat “perusahaan pengawasan harus tahu bahwa pengawasan ilegal tidak dapat ditoleransi” agak lucu sekaligus menyedihkan
    Jika dibalik, seolah Meta membolehkan pengguna WhatsApp “diawasi hanya secara legal”

    • Semua perusahaan media sosial mengizinkan pengawasan legal
      Di AS, surat perintah dan perintah penyadapan diterbitkan setiap hari
    • Rasanya itu sudah jelas
      Meta menginginkan monopoli atas pengawasan pengguna
      Tidak boleh mengawasi pengguna melalui produk Meta
      Kalau ingin mengawasi pengguna, buat sendiri aplikasi yang cukup populer sampai miliaran orang mendaftar secara sukarela dan menyetujui pengawasan
  • Ironis kalau mengingat FBI dan CISA baru hari ini mengumumkan agar tidak memakai SMS untuk autentikasi dua faktor, melainkan memakai WhatsApp
    Tentu saja masalah terbesar yang mereka tunjuk adalah pengguna seluler mengeklik tautan di SMS
    Kita kebanyakan hidup dalam lingkungan yang tertawan dan anti-konsumen, jadi saya bahkan tidak yakin apakah ada nasihat yang benar-benar bagus
    https://www.newsnationnow.com/business/tech/fbi-warns-agains...

    • Tentu saja ada saran yang bagus
      Selalu lebih pilih aplikasi autentikator daripada SMS
      Passkeys juga diharapkan menjadi peningkatan besar dalam hal ini
    • WhatsApp kabarnya tidak lagi rentan terhadap peretasan itu, dan aplikasi SMS juga pernah memiliki kerentanan serupa di masa lalu
  • Seharusnya tidak ada pembedaan antara perusahaan seperti ini dan operator botnet atau kelompok ransomware pada umumnya
    Para eksekutifnya harus dihukum 20–30 tahun dan diekstradisi ke seluruh dunia
    Kerugian yang mereka timbulkan bagi masyarakat dengan meretas jurnalis dan politisi, sehingga bukan hanya dompet tetapi secara harfiah nyawa ikut terancam, mungkin bahkan lebih besar daripada kelompok ransomware
    Selain ekstraksi data dari orang yang sudah divonis bersalah dengan hak pembelaan dijamin di pengadilan terbuka, seharusnya tidak ada yang namanya meretas perangkat seseorang secara “legal”

    • Ini tidak terlalu berbeda dari “senjata” tradisional
      Saya tidak suka analogi “senjata siber”, tetapi ini adalah kasus yang cocok
      Menjual senjata kepada pemerintah, bahkan pemerintah yang bereputasi buruk, hampir tidak akan menimbulkan apa-apa kecuali dalam kasus yang sangat ekstrem
      Menjual senjata kepada geng jalanan adalah cerita yang sama sekali berbeda
      Saya tidak melihat situasi ini berbeda hanya karena ini adalah “peretasan”
    • Orang-orang yang meretas jurnalis jelas harus masuk penjara
    • Saya setuju dengan bagian pertama, setidaknya secara prinsip
      Namun bagian kedua tidak masuk akal
      Jika presiden AS bisa memerintahkan teroris dibunuh dengan drone tanpa membawanya ke pengadilan, ia juga tentu bisa memerintahkan peretasan ponsel mereka
      Jika menurut Anda yang terakhir sama sekali tidak boleh, rasanya Anda harus melawan yang pertama terlebih dahulu
    • Orang Israel tidak akan diekstradisi ke AS untuk hal apa pun
      Lucunya, itu tetap terjadi meskipun AS pada dasarnya menopang seluruh negara itu secara finansial
      Tempat itu seperti dibiarkan Israel untuk melepas sarung tangan dan mengancam musuh-musuhnya secara militer, supaya AS bisa berpura-pura mempertahankan “tatanan dunia berbasis hak” tanpa disalahkan atas hal-hal yang dilakukannya sendiri
    • Bayangkan jika NSO dikejar segigih Wikileaks