1 पॉइंट द्वारा GN⁺ 2024-03-02 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • WhatsApp 2019 से NSO Group के Pegasus स्पाइवेयर कोड तक पहुंच की मांग कर रहा था, और अमेरिकी अदालत ने माना कि सिर्फ installation layer से आगे बढ़कर संबंधित स्पाइवेयर की पूरी functionality की जानकारी भी उजागर की जानी चाहिए
  • मुकदमे का केंद्र WhatsApp का यह दावा है कि Pegasus ने 2 हफ्तों तक WhatsApp के 1,400 उपयोगकर्ताओं की निगरानी की और encrypted messages सहित संवेदनशील डेटा तक बिना अनुमति पहुंच बनाई
  • अमेरिकी जिला न्यायाधीश Phyllis Hamilton ने कहा कि केवल installation layer से यह समझना मुश्किल है कि डेटा तक पहुंच और extraction कैसे हुआ, इसलिए WhatsApp सर्वरों को निशाना बनाने वाले या WhatsApp का उपयोग करने वाले संबंधित NSO स्पाइवेयर भी disclosure के दायरे में आएंगे
  • हालांकि अदालत ने NSO की server architecture से जुड़ी विस्तृत जानकारी और ग्राहकों की पहचान की मांग को बाहर रखा, और WhatsApp तथा Citizen Lab के बीच मुकदमे के बाद की communications मांगने वाली NSO की याचिका भी खारिज कर दी
  • दोनों पक्षों की expert disclosures 30 अगस्त 2024 को निर्धारित हैं, और ट्रायल 3 मार्च 2025 से शुरू होने की उम्मीद है, इसलिए Pegasus की वास्तविक functionality का दायरा मामले के मूल निर्णय में अहम साक्ष्य बन सकता है

Pegasus की functionality के खुलासे पर अदालत का फैसला

  • WhatsApp ने मुकदमा दायर करते हुए दावा किया कि NSO Group का Pegasus 2019 में 2 हफ्तों के दौरान 1,400 WhatsApp उपयोगकर्ताओं की निगरानी के लिए इस्तेमाल किया गया
  • WhatsApp का दावा है कि Pegasus ने encrypted messages सहित संवेदनशील डेटा तक बिना अनुमति पहुंच बनाई
  • उस समय इस मुकदमे को दुनिया भर की सरकारों को उन्नत malware सेवाएं बेचने वाले अनियमित उद्योग के खिलाफ अभूतपूर्व कानूनी कार्रवाई माना गया था
  • NSO ने अमेरिका और इज़राइल की कई पाबंदियों का हवाला देकर पूरे discovery process को रोकने की कोशिश की, लेकिन व्यापक रोक की मांग खारिज कर दी गई

सिर्फ installation layer काफी नहीं: अदालत

  • अमेरिकी जिला न्यायाधीश Phyllis Hamilton ने NSO का यह तर्क नहीं माना कि उसे Pegasus की केवल installation layer की जानकारी ही देनी चाहिए
  • अदालत ने WhatsApp की मांग स्वीकार करते हुए “संबंधित स्पाइवेयर की पूरी functionality” से जुड़ी जानकारी देने का आदेश दिया
  • अदालत का मानना था कि केवल installation layer की जानकारी से वादी के लिए यह समझना कठिन है कि स्पाइवेयर डेटा access और extract करने की functionality कैसे निभाता है
  • disclosure का दायरा उन संबंधित NSO स्पाइवेयर तक है जिन्होंने WhatsApp सर्वरों को निशाना बनाया या किसी भी तरह WhatsApp का उपयोग करके target device तक पहुंच बनाई
    • अवधि कथित हमले की तारीख से 1 साल पहले से 1 साल बाद तक की है

WhatsApp के अनुसार Pegasus की capabilities

  • WhatsApp का दावा है कि Pegasus डिवाइस से आने-जाने वाली communications को intercept कर सकता है
    • target services में iMessage, Skype, Telegram, WeChat, Facebook Messenger और WhatsApp शामिल हैं
  • यह दावा भी है कि Pegasus को जरूरत के मुताबिक customize किया जा सकता है
    • communications intercept करना
    • screenshot capture करना
    • browser history बाहर निकालना

कौन-सी जानकारी disclosure से बाहर रही

  • न्यायाधीश Hamilton ने WhatsApp की सभी discovery requests को मंजूरी नहीं दी
  • NSO की server architecture से जुड़ी कुछ विशेष जानकारी disclosure के दायरे से बाहर रही
    • कारण यह था कि WhatsApp संबंधित स्पाइवेयर की पूरी functionality की जानकारी से वही जानकारी प्राप्त कर सकता है
  • NSO को अपने ग्राहकों की पहचान बताने के लिए मजबूर नहीं किया जाएगा
  • NSO सार्वजनिक रूप से यह नहीं बताता कि किन सरकारों ने उसका स्पाइवेयर खरीदा
  • The Guardian की रिपोर्ट के मुताबिक Poland, Saudi Arabia, Rwanda, India, Hungary और United Arab Emirates द्वारा Pegasus का इस्तेमाल असंतुष्टों को निशाना बनाने में किए जाने की खबरें हैं
  • 2021 में अमेरिका ने NSO को blacklist में डाला था, यह आरोप लगाते हुए कि उसने “दमन के लिए इस्तेमाल होने वाले digital tools” फैलाए

Citizen Lab से जुड़ी मांग भी खारिज

  • इसी आदेश में न्यायाधीश Hamilton ने NSO की वह याचिका भी खारिज कर दी जिसमें WhatsApp और Citizen Lab के बीच मुकदमे के बाद की communications उजागर करने की मांग की गई थी
  • Citizen Lab इस मामले में third-party witness के रूप में शामिल हुआ और WhatsApp के इस तर्क का समर्थन किया कि NSO के ग्राहकों ने Pegasus का नागरिक समाज के खिलाफ दुरुपयोग किया
  • NSO ने अदालत में दायर दस्तावेज़ में कहा कि अगर WhatsApp, Citizen Lab के उस आशय को रिकॉर्ड से हटा दे कि “Pegasus का इस्तेमाल आतंकवाद और गंभीर अपराधों की जांच के बजाय नागरिक समाज के सदस्यों पर किया गया”, तो ऐसी discovery की जरूरत काफी कम हो जाएगी
  • न्यायाधीश Hamilton ने कहा कि मांगी गई discovery की relevance स्पष्ट नहीं है, इसलिए NSO की मांग स्वीकार नहीं की गई

आगे की प्रक्रिया और प्रतिक्रियाएं

  • NSO ने अभी तक इस आदेश पर कोई टिप्पणी नहीं की है
  • WhatsApp के प्रवक्ता ने The Guardian से कहा कि यह फैसला अवैध हमलों से WhatsApp उपयोगकर्ताओं की रक्षा करने के दीर्घकालिक लक्ष्य में एक महत्वपूर्ण मील का पत्थर है
  • प्रवक्ता ने कहा कि स्पाइवेयर कंपनियों और दुर्भावनापूर्ण actors को समझना चाहिए कि उन्हें पकड़ा जा सकता है और वे कानून की अनदेखी नहीं कर सकते
  • अदालत दोनों पक्षों की expert disclosures 30 अगस्त 2024 को प्राप्त करेगी
  • ट्रायल 3 मार्च 2025 से शुरू होने की उम्मीद है

1 टिप्पणियां

 
GN⁺ 2024-03-02
Hacker News टिप्पणियाँ
  • यह दिलचस्प है कि NSO ने “अमेरिका और इज़राइल की विभिन्न पाबंदियों” का हवाला देकर पूरी discovery process को रोकने की कोशिश की, लेकिन वह दलील खारिज हो गई
    अमेरिकी अदालत संभवतः किसी दूसरे देश की पाबंदियों, यानी इज़राइली नियमों, की बहुत परवाह नहीं करेगी
    अमेरिकी सरकार ने आधिकारिक रूप से Pegasus को blacklist किया है, लेकिन https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma..., फिर भी अगर अमेरिकी intelligence agencies के कुछ हिस्से अब भी इसका इस्तेमाल कर रहे हों तो हैरानी नहीं होगी
    अगर ऐसा है, तो Pegasus यह कहकर अमेरिकी intelligence agencies से मुकदमा रुकवाने की मांग कर सकता है कि इससे गोपनीय जानकारी उजागर होगी या राष्ट्रीय हित को नुकसान पहुँचेगा
    किसी दिन अचानक “कुछ हो जाता है” और मामला रहस्यमय तरीके से खारिज हो जाता है या नहीं, यह देखना दिलचस्प होगा

    • यह संभावना कम लगती है कि अमेरिकी intelligence agencies आधिकारिक तौर पर अब भी इसका इस्तेमाल कर रही हों
      Pegasus इस्तेमाल करने वाली मित्र देशों की intelligence agencies से नतीजे माँगकर लेना कहीं आसान है
      arm's-length collection का तरीका कानूनी रूप से कम जोखिम वाला होता है
      लेकिन अमेरिकी अदालत में national security का तर्क देना तब मुश्किल हो जाएगा। “क्या आप यह software इस्तेमाल कर रहे हैं?” “आधिकारिक रूप से नहीं।” “तो फिर national security का दावा किस आधार पर?”
    • दिलचस्प बात यह है कि NSO ऐसे सरकारी संरक्षण का दावा कर रहा है, मानो वह सरकार का प्रतिनिधित्व कर रहा हो और उसकी ओर से काम कर रहा हो
    • साज़िशी थ्योरी अलग रख दें, तो असल में अचानक “कुछ” नहीं होगा, बल्कि sealed court filings दिखाई देंगी
    • अगर अमेरिकी intelligence agencies Pegasus इस्तेमाल कर रही हों तो मुझे बहुत हैरानी होगी। sanctions कोई मज़ाक नहीं हैं, और समान क्षमता वाली Five Eyes से जुड़ी कंपनियाँ भी काफी हैं
  • Snowden के खुलासों को भी काफ़ी समय हो गया, और तब जो देखा था, वही यक़ीन करना मुश्किल था
    अब intelligence agencies क्या इस्तेमाल करती हैं, इसकी कल्पना भी नहीं की जा सकती
    एजेंसियों के पास जो चीज़ें हैं और जिन्हें वे इस्तेमाल कर सकती हैं, उनके सामने Pegasus आखिर इतनी बड़ी बात भी क्या है

  • यह मामला ठीक से समझ नहीं आ रहा
    अमेरिकी सरकार पहले ही blacklist कर चुकी एक विदेशी इज़राइली spyware कंपनी पर अमेरिकी अदालत का अधिकार-क्षेत्र कैसे लागू होता है, यह समझ नहीं आता
    और अगर इज़राइल हार भी जाए, तो वह WhatsApp को spyware का source code क्यों भेजेगा, यह भी सवाल है

    • क्योंकि NSO Group डॉलर से लेन-देन करता है
      जवाब न देने पर default judgment हो सकता है, और अदालत उन assets की ज़ब्ती का आदेश दे सकती है जिन तक अमेरिका पहुँच सकता है
      भले ही इज़राइल के बाहर के देशों में भुगतान shekel में लिया जाए, currency exchange के दौरान डॉलर intermediary currency बन जाता है, और वहीं अमेरिका को घुसने की जगह मिलती है
    • इसे extraterritoriality कहा जाता है
      फ्रांस में भी ऐसा बेतुका मामला हुआ था
      अमेरिका ने विशाल फ्रांसीसी कंपनी Alstom को लगभग दिवालिया होने पर मजबूर किया और उसे सस्ते में खरीद लिया, और बाद में Airbus को भी गिराने की कोशिश की
      दोनों मामलों में अमेरिका ने उसी extraterritoriality के अधिकार का इस्तेमाल किया जिसे उसने खुद ही अपने लिए मान लिया था
      यह कहानी इस documentary में दर्ज है: https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
      पहले इसे YouTube पर https://youtu.be/Sa22eu1FWyo पर भी देखा जा सकता था, लेकिन अब शायद private कर दिया गया है। क्या यह असहज खुलासा था?
    • क्योंकि यह अमेरिका है
      FATCA भी इसी वजह से संभव है
    • समझाने को बहुत कुछ नहीं है। अमेरिका के अपने allies के साथ reciprocal treaties हैं
      सरकार जिस “international liberal order” की रट लगाती रहती है, वही चीज़ है
      इज़राइल ने उस treaty पर हस्ताक्षर किए हैं कि वह अमेरिकी अदालत के फ़ैसलों का सम्मान करेगा और उन्हें लागू करेगा, और अमेरिका ने भी इज़राइली अदालत के फ़ैसलों के लिए यही वादा किया है
      इसलिए अमेरिकी जज आदेश पर हस्ताक्षर करके उसे इज़राइली जज को भेजता है, इज़राइली जज उसे लागू करता है, और उल्टा भी ऐसा ही होता है
    • यह अमेरिका में हुए काम के लिए अमेरिका में चल रहा मुकदमा है। इसमें कुछ खास या असामान्य नहीं है
      बेशक वे मुकदमे को नज़रअंदाज़ कर सकते हैं, लेकिन फिर संबंधित लोगों के लिए बेहतर होगा कि वे दोबारा कभी अमेरिका में प्रवेश न करें
      वैसे भी उनका operating model ऊपर-ऊपर से ही काफ़ी आपराधिक लगता है, इसलिए मन होता है कि उनके सभी कर्मचारियों को अमेरिका जाने से बचने की सलाह दी जाए
  • सोच रहा हूँ कि जिन दूसरे platforms का ज़िक्र हुआ है, उनमें Signal भी है क्या

    • अगर device root हो जाए, तो किसी भी app से data निकाला जा सकता है, इसलिए लगता है कि marketing के लिए सभी platforms का नाम लिया जा रहा है
      इसका मतलब यह नहीं कि vulnerability उसी app में थी या app की गलती थी
      आखिरकार इसे platform, खासकर iOS और Apple, और exploit developers व brokers के बीच का मामला समझना चाहिए
      इसी वजह से Apple इन्हें नापसंद करता है
      अच्छा हो या बुरा, Apple पर दबाव बढ़ना बाकी users के लिए भी आम तौर पर अच्छा हो सकता है
      दूसरी तरफ यह भी कहा जा सकता है कि Apple को ऐसे मुद्दों पर ज़्यादा गंभीर होना चाहिए और security researchers के rewards बढ़ाने चाहिए
      20 साल पहले की तुलना में हालात बेहतर हैं, लेकिन फिर भी इस बात की उम्मीद करने के बजाय कि कोई बड़ी कंपनी खोज के बदले मामूली रकम देगी, इन संदिग्ध पक्षों को exploits बेचना अब भी ज़्यादा फ़ायदेमंद हो सकता है
  • संदर्भ के लिए https://grapheneos.org/ और https://signal.org/ मौजूद हैं

    • क्या यह मुद्दे से भटकना नहीं है?
      अगर किसी spyware ने device पर ring0 स्तर की access ले ली है, तो Signal जैसे app की security properties का बहुत मतलब नहीं रह जाता
      क्योंकि spyware उसके पास बहुत आसानी से पहुँच सकता है
  • इज़राइल source code export की अनुमति देगा, ऐसा नहीं लगता

    • वह देश व्यावहारिक रूप से एक rogue state है, फिर भी अजीब तरह से हमेशा सावधानी से ट्रीट किया जाता है
  • समझ नहीं आता कि Pegasus हार भी जाए, तो उसे WhatsApp को असली source code क्यों भेजना होगा
    वह बस कोई बेकार या नकली चीज़ क्यों नहीं भेज सकता, क्या मैं कुछ मिस कर रहा हूँ

    • आप अदालत और उसकी कानूनी शक्ति को नज़रअंदाज़ कर रहे हैं
  • समझ नहीं आता कि NSO Group, और आगे बढ़कर Israel, को इस spyware की वजह से सज़ा क्यों नहीं मिली
    यह कंपनी खतरनाक कंपनी है जो ऐसे tools बेचती है जिनका दुरुपयोग करना आसान है, और वह भी पश्चिम के सबसे बुरे anti-democratic दुश्मनों को

    • NSO पर पहले ही प्रतिबंध लग चुका है: https://www.state.gov/the-united-states-adds-foreign-compani...
    • यही वही वजह है जिसकी वजह से अमेरिका के हितों और मूल्यों के ख़िलाफ़ अनगिनत काम करने के बाद भी 10 अरब डॉलर की military aid कम नहीं हुई
      वजह राजनीति है
    • NSO Group पर पहले ही प्रतिबंध लग चुका है: https://www.washingtonpost.com/technology/2021/11/03/pegasus...
    • Israel लंबे समय से उन देशों तक हथियार पहुँचाने के लिए बाईपास चैनल की भूमिका निभाता रहा है जो “पश्चिमी मूल्यों” के पैमाने पर भयानक हैं, लेकिन अमेरिकी corporate हितों के प्रति सहयोगी हैं
      Equatorial Guinea इसका एक उदाहरण था, और इसमें तानाशाह Obiang तथा ExxonMobil का contract जुड़ा हुआ था
      Steve Coll ने "Private Empire: ExxonMobil and American Power" (2012) में यह लिखा था

      "Fortunately for Obiang, coup-prone African governments rolling in oil but lacking in arms and intelligence to defend their bounty had a discrete alternative to the Pentagon and C.I.A. for defense support: Israel. Quietly, the Bush Administration encouraged Obiang to enter into security and commercial ties with Tel Aviv."
      Azerbaijan का मामला भी ऐसा ही है। वहाँ human rights दमन के मुद्दे के कारण अमेरिकी हथियार बिक्री पर रोक थी
      Wikileaks में सार्वजनिक किए गए 2009 के अमेरिकी विदेश मंत्रालय के cable में कहा गया था कि “Israel के साथ अपने घनिष्ठ संबंधों के ज़रिए Azerbaijan को उच्च-गुणवत्ता वाले weapons systems तक ऐसी पहुँच मिलती है जो कई कानूनी प्रतिबंधों के कारण उसे अमेरिका और Europe से नहीं मिल सकती”
      जब तानाशाही सरकारें तेल का पैसा पश्चिमी financial system में बहाती हैं, तो अमेरिका ऐसी चीज़ों पर आँख मूँद लेता है, जैसे Saudi और UAE द्वारा pro-democracy activists को दबाने के लिए Pegasus का इस्तेमाल
      वरना फिर प्रतिबंध और regime change का समय आ जाता है

    • अगर conspiracy theory वाली टोपी पहनकर देखें, तो लगता है कि मज़बूत partner द्वारा ऐसी चीज़ें बेचे जाने में गहरा फ़ायदा है, न कि किसी competitor द्वारा
      target देशों के लिए यह बिल्कुल अच्छा नहीं है, लेकिन Israel और अमेरिकी intelligence agencies के लिए फ़ायदेमंद है
  • इसी वजह से मैं cyber security field में काम नहीं करना चाहता
    क्योंकि वहाँ खतरनाक लोगों से निपटना पड़ता है

    • police का काम भी ऐसा ही है, और military तो उससे भी ज़्यादा
      और cyber security का दायरा बहुत बड़ा है
      बहुत-सी roles कर्मचारियों को security principles और procedures की training देने, और data classification लागू करने जैसी होती हैं
      हर कोई सीधे attacks handle नहीं करता, और ज़्यादातर काम prevention work होता है
      हमारी company में technical तौर पर cyber security का काम करने वालों में से सीधे attacks handle करने वालों का अनुपात शायद 20% से कम है। हालाँकि इसमें यह भी असर है कि हमारा SOC outsourced है