最近一年,有一件横跨国际法律界、科技界、网络安全界的热门头条——那就是Facebook与NSO集团长达210天的诉讼案。

一边是全球互联网科技巨头,凭借Facebook、WhatsApp等全球主流社交应用,揽获数十亿用户。而它以账户入侵监听之名起诉,代表着WhatsApp数亿拥趸的安全权;

另一边是大名鼎鼎的网络军火商,以色列数十家数字间谍工具开发公司的领头羊NSO Group,以删除账号、豁免权、国际法持续反诉。

一场三界热议的跨年大戏,7个月不见结果的诉讼,到底牵扯着什么样的暗涌?我们不妨先简单回顾Facebook与NSO互捶的关键节点,想看分析可直接跳过此部分。

 

持续210天的诉讼“车轮战”

争端的导火索相信大家也有耳闻。去年10月,Facebook发现NSO利用 Whatsapp中的一个严重漏洞(CVE-2019-3568),可以在用户没有接听的情况下,非法入侵手机,并在Android和IOS上远程安装Pegasus(飞马软件)。

这一发现无疑是把曼妥思扔进可乐池,科技界瞬间一片沸腾。

众所周知,Pegasus是由NSO Group公司开发的间谍软件。最大功能是从受害者的手机访问大量隐私数据,更直白地说,是专门窃取记者、外交官、人权活动家、政府高级官员等敏感人群的重要信息。

https://ss0.bdstatic.com/70cFuHSh_Q1YnxGkpoWK1HF6hhy/it/u=949450999,1166265585&fm=15&gp=0.jpg

Facebook怒将NSO告上法庭,诉讼战已经打响,此后便是漫长的“车轮式”互捶,各种猛料依次爆开:

2019年11月,Facebook采取应急行动,关闭删除NSO大批员工的个人账户,以防止他们发起更多攻击;而NSO在以色列当地法院起诉Facebook的封号举措;

2020年3月,NSO开始第一轮反制操作,指控Facebook没有遵守《海牙公约》,未向法院提交必要文件,呼吁法院对Facebook处以约1.7万美元的罚款;

2020年4月初,NSO发起第二轮耐人寻味的反击,曝Facebook曾经也向NSO购买间谍软件,以图监视用户,直指Facebook买卖不成反咬报复;

2020年4月23日,Facebook重新提交35页诉讼材料,补充了IP服务器地址等大量举证材料,并直接公布恶意代码,实锤NSO的恶意行径。

(Facebook最新递交35页诉讼材料)

鹬蚌相争,吃瓜看戏。只不过零日看来,NSO与Facebook背后并不简单,它更代表着现存网络环境下,数据泄露、软件安全、网络武器、法律法规等多个版块的隐雷。今天,零日给大家分析下这桩诉讼巨案背后的一些端倪,若有不同见解,欢迎探讨。

 

NSO与Facebook之间,不再是普通的隐私泄露

首先,Whatsapp事件是典型的隐私泄露事件,只不过隐私泄露这个话题,随着技术更迭、环境变迁,在各个维度和指标上都发生了变化。

(一)隐私泄露的对象:从随机目标到精准人群

以往,多数见诸报端的隐私泄露事件,都是随机群体大规模问题。此前美国Elasticsearch 服务器被黑客公开在暗网上,致使12亿人敏感信息泄露,就是典型的泛人群的群体性信息泄露事件。

(12亿人敏感信息泄露)

而随着全球隐私数据的严重泛滥,个人信息交易成为黑产廉价商品,精准人群信息背后的高收益,驱使着黑客开始转向精准攻击。此次,NSO间谍软件从WhatsApp全球15亿用户群体中,精确地瞄准1400人,进行定向监听监控,就说明了这一点。

(二)隐私泄露的价值:从低价值到高价值蔓延

接着再说,常规情况下,绝大多数的网络攻击多为机会主义。黑客伺机寻找网络薄弱环节进行攻击,并采取撒网战术,通过大量钓鱼邮件、诱惑性内容潜水网络摸鱼,大浪淘金回报不定。

相比之下,NSO间谍软件的运作要精细得多——专门锁定外交官、政治异议人士、记者等高价值敏感人群,并进行持续长达一年之久的监控活动。

这说明黑客群体已经意识到一个事实:高价值目标背后是更加暴利的收益,甚至是非金钱可衡量的巨大价值。换言之,高阶利益,已成为精锐黑客攻击的新动机和新方向。

(三)隐私泄露的目的:从非法牟利到政治诉求

至于,NSO等黑客组织为什么重点针对政要、官员、记者等特殊人士,我们可以从更多案例总结答案。打上一个与WhatsApp的1400名身份敏感人士,同样遭受NSO间谍软件定向监控的,是沙特阿拉伯的异见记者卡舒吉。因为行踪泄露,卡舒吉迎来了被沙特政府肢解谋杀的悲惨下场。

而更多NSO制造的政治命案,可以阅读《NSO间谍软件:你们要人权,我们要人命》

https://inews.gtimg.com/newsapp_match/0/7273928925/0

(NSO曾售沙特间谍软件用于监控卡舒吉手机)

政治相关敏感人群遭遇间谍软件监控,意味着信息泄露已不再是常规的安全问题,而是成为部分国家组织机构,情报窃取、控制言论、排除异己,外交谈判等实现政治目的的工具手段。

看似个人化的信息泄露,在政治目的的驱动与黑客技术的加持上,已成为超过常规威胁的存在。

 

NSO与Facebook之间,不再是寻常的网络攻击

必须承认,NSO入侵WhatsApp是无需洗白的网络攻击行动,但暴露的却是,网络攻击工具在研发端和使用端的新趋势。

(一)研发者角度,从“民间开发”演变为“国家精研”

曾经,谈及令闻风丧胆的病毒木马,不论是席卷全球150万用户的Gandcrab勒索病毒,还是挖矿、盗号、远控等各类木马家族,总的来说,多数都只是民间黑客组织开发,且只为炫技或谋财。但NSO的出现,则代表着国家级精研力量的入局。

高精尖武器化的网络工具,与暗网黑客论坛泛滥的恶意工具有着质的差异。就像NSO王牌产品Pegasus作为一款间谍监听软件,被各界称为“杀人软件”,能实现无感知、难溯源、长期持续、精准定向的网络入侵、监听、攻击等活动。相比民间开发软件引发的网络攻击,威胁高下立现。

再来,前后两者不仅在技术能力、攻击质量、服务体验上有着悬殊的差距,还在背景上存在质的区别。大家知道,NSO脱胎于以色列最强网军8200部队,强悍的军方背景身份,一来有力推动Pegasus的全球化市场占有,二来难保不会成为NSO“霸道横行但难以追责”的保命底牌。

(二)使用者角度,从黑产组织演变为军政用户

公开言论中,NSO声称它是专为政府提供打击恐怖和犯罪的网络技术服务商;而在大家心照不宣的实情中,2011年NSO从墨西哥政府手中拿到了8000万美元合同订单,此后还将监视技术卖给巴拿马政府。

截至现在,有指墨西哥、巴拿马、沙特、阿联酋、巴林 、摩洛哥、哈萨克斯坦等国家已成为NSO网络攻击服务的采卖者和使用者。

(墨西哥政府关联的NSO间谍软件目标,记者,律师,科学家,公共卫生运动家,参议员,政治家和国际调查都被确定为NSO间谍软件的目标)

这恰恰说明了一个迹象,以往的网络攻击工具或服务的使用者,多为诈骗团伙、黑产组织、网络罪犯等民间非法组织;

而如今网络攻击武器,成为了国家背景政府组织群体的新宠。尽管敢公开承认的还只是少数,但当使用者跃升至军政领域,传统网络攻击的属性与破坏力,以数倍递增,甚至不排除直抵国家安全生命线的可能。

更有意思的是,如果NSO对Facebook的第二轮指控不完全是谎言,那么Facebook作为世界科技巨头,是不是真的试图与魔鬼做交易呢?

https://i2.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2018/09/Pegasus-spyware.jpg?ssl=1

(NSO间谍软件帮助客户监控全球45个国家/地区)

 

NSO与Facebook之间,不再是孤立的软件安全

抛开数据泄露危机,再回归Whatsapp软件遭入侵本身,会发现软件安全不再是孤立的问题。软件与硬件、软件与用户、软件甚至直接与国家安全,连接成了摆在我们面前的一张大网。

(一)万物互联趋势:触发“软硬件连体”安全威胁

首先,物联网时代,软件硬件的无缝连接,筑起了万物互联的网络生态,而万物互联也带来了安全威胁的横向辐射。简单来说,就是软件隐患,可能触发手机、电脑、平板、智能设备等硬件危机,反之同样成立。

(NSO间谍软件利用苹果0day漏洞袭击阿联酋人权捍卫者)

NSO通过WhatsApp Service(CVE- 2019-3568)漏洞,搭设遥控器蜂窝,入侵用户手机设备,进监听获取定位等多重信息的背后,其实就是软硬件间隐患的串联问题。

(二)软件巨头垄断天量用户:爆发动辄“亿级”个人安全隐患

接着,“技术垄断”往往伴随相应的虹吸效应,例如“用户垄断”。互联网巨头Facebook就是典型。单凭WhastApp一款软件收割全球 15亿月活用户,再加上Facebook、Instagram等多款全球最火应用,天文数字量级的独立个体,连成一线。

https://timgsa.baidu.com/timg?image&quality=80&size=b9999_10000&sec=1588094692530&di=c49c2e0135a73ca2f0615d54093620f6&imgtype=0&src=http%3A%2F%2Fi1.sinaimg.cn%2FIT%2F2013%2F0411%2FU2550P2DT20130411225335.jpg

但是,风光的“用户池”之下,掩盖着如潮暗涌的安全深海区。 单论WhastApp软件,NSO精准锁定1400名目标,致使15亿用户同步安全更新;再横向挖掘,除了WhastApp,NSO从苹果、谷歌、亚马逊和微软产品的服务器中,都有非法获取数据的先例。

所以,一种简单粗暴的计量,软件安全,尤其是国民级/世界级软件安全问题一旦出现,几乎可等量为全球“亿级体量”安全海啸的爆发。

(三)软件生态涉及方方面面:最终落点国家安全

聊到这里,软件安全到底“牵连能有多广”的问题,就算我们抛开设备因素,避开用户规模,还可以从人类活动的方方面面去求证。

基于网络社交的角度,现如今从普通个人、公司职员到政府官员,人人身处其中,几乎所有人都离不开社交软件。由此产生的海量资料数据,也夹杂着隐于暗处的身份敏感人群和机密情报,而NSO只是一个在社交网络抽丝剥茧寻找目标的细心者。

基于社会运作角度,小到办公软件、生产软件,大到涉及国家军事安全的国防、工控系统,都离不开科研、监测、远程办公等各种软件应用。而此时软件生态的威胁,同样是摆在面前的安全问题。可以说,涉及方方面面的软件生态,最终是能危及国家安全的存在。

就如,疫情期间意大利社保局网站因多次黑客攻击崩溃关闭,33万+份新冠肺炎社保福利申请搁置。如若同类事件发生在政府、民生、工控乃至军事领域,国家安全恐难逃软件安全暴雷后的牵连。

(据称NSO 间谍软件工作站屏幕截图,追踪个人定位)

网络时代,安全问题往往牵一发而动全身,或者说没有小隐患,只有没触发的惊雷。

 

NSO与Facebook之间,不再是传统的法律纠纷

抛开网络攻击的层层安全隐忧,从法律角度切入会发现这场持续了7个月的诉讼,向我们揭开了网络攻击事件背后,远超传统法律纠纷的复杂性。

(一)网络攻击的定罪:难溯源与举证难的死循环

法律讲究证据,但网络攻击却因难溯源面临举证难的困境。NSO用以监听whatsapp账户间谍软件Pegasus,不仅是网安圈公认的终极武器,更是销往全球的网络军火。卡巴斯基曾在一次Pegasus溯源中,强调其是端点上最为复杂的攻击,而Facebook如何在网络攻击中找到铁证成为了难题。

难溯源与举证难是一个死循环。从目前Facebook诉讼中列举IP服务器地址、恶意代码等相关内容来看,尚缺关键性的实质证据。由于攻击行为者网上网下一致性确认的艰难,依然无法让法院以此快速裁决,因此诉讼耗时7个月至今,仍无法出具判决结果,一大症结就在于此。

(新递交材料中的部分证据强调IP服务器)

(二)网络攻击的管辖:跨境追责情况复杂

法律多以域内管辖为基础原则。而NSO与Facebook之间,一个是美国互联网巨头,一个是以色列网络军火巨鳄,国别的差异让难溯源难举证的诉讼,成为了法律层面更复杂跨境追责。

通常情况下,跨国跨境面临着协助调查取证、证据转换及采信、缉捕遣返犯罪嫌疑人、涉案赃款赃物移交等多重问题。为了避免落入跨境追责的深坑,Facebook以NSO部分服务器位于美国境内为由,申辩洛杉矶法院拥有NSO管辖权。但在法院尚未明确判定上述申诉成立前,法律维度上NSO与Facebook之间的诉讼,仍是复杂的跨境追责。

(2019年10月23日,Facebook首席执行官马克·扎克伯格出席听证会)

而我们可以继续预见,国家级网络安全事件的频发,势必会带来更多的同类事件,法律的完善也势在必行。

 

零日反思

目前来看,Facebook和NSO的诉讼“车轮战”还将继续上演,争的是Facebook与NSO的孰是孰非,论的却是数据泄露、软件生态、法律法规多维度下,网络攻击的趋势进程与防治,这才是值得我们深思且注意的内核。

最后,借用网友的一句话,谁会赢?Facebook还是NSO ?

我不知道,但是可以确定的是,失败者是什么都不知道的用户。

零日情报局作品

微信公众号:lingriqingbaoju

参考资料:

[1] ZDnet《Facebook诉NSO集团诉讼案:1400多名用户成为Pegasus间谍软件的目标》

文章原文链接:https://www.anquanke.com/post/id/204258