大家好,我是零日情報局。
最近一年,有一件橫跨國際法律界、科技界、網絡安全界的熱門頭條——那就是Facebook與NSO集團長達210天的訴訟案。
一邊是全球互聯網科技巨頭,憑藉Facebook、WhatsApp等全球主流社交應用,攬獲數十億用戶。而它以賬戶入侵監聽之名起訴,代表著WhatsApp數億擁躉的安全權;
另一邊是大名鼎鼎的網絡軍火商,以色列數十家數字間諜工具開發公司的領頭羊NSOGroup,以刪除賬號、豁免權、國際法持續反訴。
一場三界熱議的跨年大戲,7個月不見結果的訴訟,到底牽扯著什麼樣的暗湧?我們不妨先簡單回顧Facebook與NSO互捶的關鍵節點,想看分析可直接跳過此部分。
持續210天的訴訟“車輪戰”
爭端的導火索相信大家也有耳聞。去年10月,Facebook發現NSO利用 WhatsApp中的一個嚴重漏洞(CVE-2019-3568),可以在用戶沒有接聽的情況下,非法入侵手機,並在Android和IOS上遠程安裝Pegasus(飛馬軟件)。
這一發現無疑是把曼妥思扔進可樂池,科技界瞬間一片沸騰。
眾所周知,Pegasus是由NSOGroup公司開發的間諜軟件。最大功能是從受害者的手機訪問大量隱私數據,更直白地說,
是專門竊取記者、外交官、人權活動家、政府高級官員等敏感人群的重要信息。
Facebook怒將NSO告上法庭,訴訟戰已經打響,此後便是漫長的“車輪式”互捶,各種猛料依次爆開:
2019年11月,Facebook採取應急行動,關閉刪除NSO大批員工的個人賬戶,以防止他們發起更多攻擊;而NSO在以色列當地法院起訴Facebook的封號舉措;
2020年3月,NSO開始第一輪反制操作,指控Facebook沒有遵守《海牙公約》,未向法院提交必要文件,呼籲法院對Facebook處以約1.7萬美元的罰款;
2020年4月初,NSO發起第二輪耐人尋味的反擊,曝Facebook曾經也向NSO購買間諜軟件,以圖監視用戶,直指Facebook買賣不成反咬報復;
2020年4月23日,Facebook重新提交35頁訴訟材料,補充了IP服務器地址等大量舉證材料,並直接公佈惡意代碼,實錘NSO的惡意行徑。
(Facebook最新遞交35頁訴訟材料)
鷸蚌相爭,吃瓜看戲。只不過零日看來,NSO與Facebook背後並不簡單,它更代表著現存網絡環境下,數據洩露、軟件安全、網絡武器、法律法規等多個版塊的隱雷。今天,零日給大家分析下這樁訴訟巨案背後的一些端倪,若有不同見解,歡迎探討。
NSO與Facebook之間
不再是普通的隱私洩露
首先,WhatsApp事件是典型的隱私洩露事件,只不過隱私洩露這個話題,隨著技術更迭、環境變遷,在各個維度和指標上都發生了變化。
(一)隱私洩露的對象:從隨機目標到精準人群
以往,多數見諸報端的隱私洩露事件,都是隨機群體大規模問題。此前美國Elasticsearch 服務器被黑客公開在暗網上,致使12億人敏感信息洩露,就是典型的泛人群的群體性信息洩露事件。
(12億人敏感信息洩露)
而隨著全球隱私數據的嚴重氾濫,個人信息交易成為黑產廉價商品,精準人群信息背後的高收益,驅使著黑客開始轉向精準攻擊。此次,NSO間諜軟件從WhatsApp全球15億用戶群體中,精確地瞄準1400人,進行定向監聽監控,就說明了這一點。
(二)隱私洩露的價值:從低價值到高價值蔓延
接著再說,常規情況下,絕大多數的網絡攻擊多為機會主義。黑客伺機尋找網絡薄弱環節進行攻擊,並採取撒網戰術,通過大量釣魚郵件、誘惑性內容潛水網絡摸魚,大浪淘金回報不定。
相比之下,NSO間諜軟件的運作要精細得多——專門鎖定外交官、政治異議人士、記者等高價值敏感人群,並進行持續長達一年之久的監控活動。
這說明黑客群體已經意識到一個事實:高價值目標背後是更加暴利的收益,甚至是非金錢可衡量的巨大價值。換言之,高階利益,已成為精銳黑客攻擊的新動機和新方向。
(三)隱私洩露的目的:從非法牟利到政治訴求
至於,NSO等黑客組織為什麼重點針對政要、官員、記者等特殊人士,我們可以從更多案例總結答案。打上一個與WhatsApp的1400名身份敏感人士,同樣遭受NSO間諜軟件定向監控的,是沙特阿拉伯的異見記者卡舒吉。因為行蹤洩露,卡舒吉迎來了被沙特政府肢解謀殺的悲慘下場。
而更多NSO製造的政治命案,可以閱讀《NSO間諜軟件:你們要人權,我們要人命》
(NSO曾售沙特間諜軟件用於監控卡舒吉手機)
政治相關敏感人群遭遇間諜軟件監控,意味著信息洩露已不再是常規的安全問題,而是成為部分國家組織機構,情報竊取、控制言論、排除異己,外交談判等實現政治目的的工具手段。
看似個人化的信息洩露,在政治目的的驅動與黑客技術的加持上,已成為超過常規威脅的存在。
NSO與Facebook之間
不再是尋常的網絡攻擊
必須承認,NSO入侵WhatsApp是無需洗白的網絡攻擊行動,但暴露的卻是,網絡攻擊工具在研發端和使用端的新趨勢。
(一)研發者角度,從“民間開發”演變“國家精研”
曾經,談及令聞風喪膽的病毒木馬,不論是席捲全球150萬用戶的Gandcrab勒索病毒,還是挖礦、盜號、遠控等各類木馬家族,總的來說,多數都只是民間黑客組織開發,且只為炫技或謀財。
但NSO的出現,則代表著國家級精研力量的入局。
高精尖武器化的網絡工具,與暗網黑客論壇氾濫的惡意工具有著質的差異。就像NSO王牌產品Pegasus作為一款間諜監聽軟件,被各界稱為“殺人軟件”,能實現無感知、難溯源、長期持續、精準定向的網絡入侵、監聽、攻擊等活動。相比民間開發軟件引發的網絡攻擊,威脅高下立現。
再來,前後兩者不僅在技術能力、攻擊質量、服務體驗上有著懸殊的差距,還在背景上存在質的區別。大家知道,NSO脫胎於以色列最強網軍8200部隊,強悍的軍方背景身份,一來有力推動Pegasus的全球化市場佔有,二來難保不會成為NSO“霸道橫行但難以追責”的保命底牌。
(二)使用者角度,從黑產組織演變為軍政用戶
公開言論中,NSO聲稱它是專為政府提供打擊恐怖和犯罪的網絡技術服務商;而在大家心照不宣的實情中,2011年NSO從墨西哥政府手中拿到了8000萬美元合同訂單,此後還將監視技術賣給巴拿馬政府。
截至現在,有指墨西哥、巴拿馬、沙特、阿聯酋、巴林 、摩洛哥、哈薩克斯坦等國家已成為NSO網絡攻擊服務的採賣者和使用者。
(墨西哥政府關聯的NSO間諜軟件目標,記者,律師,科學家,公共衛生運動家,參議員,政治家和國際調查都被確定為NSO間諜軟件的目標)
這恰恰說明了一個跡象,以往的網絡攻擊工具或服務的使用者,多為詐騙團伙、黑產組織、網絡罪犯等民間非法組織;
而如今網絡攻擊武器,成為了國家背景政府組織群體的新寵。儘管敢公開承認的還只是少數,但當使用者躍升至軍政領域,傳統網絡攻擊的屬性與破壞力,以數倍遞增,甚至不排除直抵國家安全生命線的可能。
更有意思的是,如果NSO對Facebook的第二輪指控不完全是謊言,那麼Facebook作為世界科技巨頭,是不是真的試圖與魔鬼做交易呢?
(NSO間諜軟件幫助客戶監控全球45個國家/地區)
NSO與Facebook之間
不再是孤立的軟件安全
拋開數據洩露危機,再回歸WhatsApp軟件遭入侵本身,會發現軟件安全不再是孤立的問題。軟件與硬件、軟件與用戶、軟件甚至直接與國家安全,連接成了擺在我們面前的一張大網。
(一)萬物互聯趨勢:觸發“軟硬件連體”安全威脅
首先,物聯網時代,軟件硬件的無縫連接,築起了萬物互聯的網絡生態,而萬物互聯也帶來了安全威脅的橫向輻射。簡單來說,就是軟件隱患,可能觸發手機、電腦、平板、智能設備等硬件危機,反之同樣成立。
(NSO間諜軟件利用蘋果0day漏洞襲擊阿聯酋人權捍衛者)
NSO通過WhatsApp Service(CVE- 2019-3568)漏洞,搭設遙控器蜂窩,入侵用戶手機設備,進監聽獲取定位等多重信息的背後,其實就是軟硬件間隱患的串聯問題。
(二)軟件巨頭壟斷天量用戶:爆發動輒“億級”個人安全隱患
接著,“技術壟斷”往往伴隨相應的虹吸效應,例如“用戶壟斷”。互聯網巨頭Facebook就是典型。單憑WhastApp一款軟件收割全球 15億月活用戶,再加上Facebook、Instagram等多款全球最火應用,天文數字量級的獨立個體,連成一線。
但是,風光的“用戶池”之下,掩蓋著如潮暗湧的安全深海區。 單論WhastApp軟件,NSO精準鎖定1400名目標,致使15億用戶同步安全更新;再橫向挖掘,除了WhastApp,NSO從蘋果、谷歌、亞馬遜和微軟產品的服務器中,都有非法獲取數據的先例。
所以,一種簡單粗暴的計量,軟件安全,尤其是國民級/世界級軟件安全問題一旦出現,幾乎可等量為全球“億級體量”安全海嘯的爆發。
(三)軟件生態涉及方方面面:最終落點國家安全
聊到這裡,軟件安全到底“牽連能有多廣”的問題,就算我們拋開設備因素,避開用戶規模,還可以從人類活動的方方面面去求證。
基於網絡社交的角度,現如今從普通個人、公司職員到政府官員,人人身處其中,幾乎所有人都離不開社交軟件。由此產生的海量資料數據,也夾雜著隱於暗處的身份敏感人群和機密情報,而NSO只是一個在社交網絡抽絲剝繭尋找目標的細心者。
基於社會運作角度,小到辦公軟件、生產軟件,大到涉及國家軍事安全的國防、工控系統,都離不開科研、監測、遠程辦公等各種軟件應用。而此時軟件生態的威脅,同樣是擺在面前的安全問題。可以說,涉及方方面面的軟件生態,最終是能危及國家安全的存在。
就如,疫情期間意大利社保局網站因多次黑客攻擊崩潰關閉,33萬+份新冠肺炎社保福利申請擱置。如若同類事件發生在政府、民生、工控乃至軍事領域,國家安全恐難逃軟件安全暴雷後的牽連。
(據稱NSO 間諜軟件工作站屏幕截圖,追蹤個人定位)
網絡時代,安全問題往往牽一髮而動全身,或者說沒有小隱患,只有沒觸發的驚雷。
NSO與Facebook之間
不再是傳統的法律糾紛
拋開網絡攻擊的層層安全隱憂,從法律角度切入會發現這場持續了7個月的訴訟,向我們揭開了網絡攻擊事件背後,遠超傳統法律糾紛的複雜性。
(一)網絡攻擊的定罪:難溯源與舉證難的死循環
法律講究證據,但網絡攻擊卻因難溯源面臨舉證難的困境。NSO用以監聽WhatsApp賬戶間諜軟件Pegasus,不僅是網安圈公認的終極武器,更是銷往全球的網絡軍火。卡巴斯基曾在一次Pegasus溯源中,強調其是端點上最為複雜的攻擊,而Facebook如何在網絡攻擊中找到鐵證成為了難題。
難溯源與舉證難是一個死循環。從目前Facebook訴訟中列舉IP服務器地址、惡意代碼等相關內容來看,尚缺關鍵性的實質證據。由於攻擊行為者網上網下一致性確認的艱難,依然無法讓法院以此快速裁決,因此訴訟耗時7個月至今,仍無法出具判決結果,一大症結就在於此。
(新遞交材料中的部分證據強調IP服務器)
(二)網絡攻擊的管轄:跨境追責情況複雜
法律多以域內管轄為基礎原則。而NSO與Facebook之間,一個是美國互聯網巨頭,一個是以色列網絡軍火巨鱷,國別的差異讓難溯源難舉證的訴訟,成為了法律層面更復雜跨境追責。
通常情況下,跨國跨境面臨著協助調查取證、證據轉換及採信、緝捕遣返犯罪嫌疑人、涉案贓款贓物移交等多重問題。為了避免落入跨境追責的深坑,Facebook以NSO部分服務器位於美國境內為由,申辯洛杉磯法院擁有NSO管轄權。但在法院尚未明確判定上述申訴成立前,法律維度上NSO與Facebook之間的訴訟,仍是複雜的跨境追責。
(2019年10月23日,Facebook首席執行官馬克·扎克伯格出席聽證會)
而我們可以繼續預見,國家級網絡安全事件的頻發,勢必會帶來更多的同類事件,法律的完善也勢在必行。
零日反思
目前來看,Facebook和NSO的訴訟“車輪戰”還將繼續上演,爭的是Facebook與NSO的孰是孰非,論的卻是數據洩露、軟件生態、法律法規多維度下,網絡攻擊的趨勢進程與防治,這才是值得我們深思且注意的內核。
最後,借用網友的一句話,誰會贏?Facebook還是NSO ?
我不知道,但是可以確定的是,失敗者是什麼都不知道的用戶。
