WhatsApp ने Pegasus स्पाइवेयर बनाने वाली कंपनी को गुप्त कोड उजागर करने पर मजबूर किया
(arstechnica.com)- WhatsApp 2019 से NSO Group के Pegasus स्पाइवेयर कोड तक पहुंच की मांग कर रहा था, और अमेरिकी अदालत ने माना कि सिर्फ installation layer से आगे बढ़कर संबंधित स्पाइवेयर की पूरी functionality की जानकारी भी उजागर की जानी चाहिए
- मुकदमे का केंद्र WhatsApp का यह दावा है कि Pegasus ने 2 हफ्तों तक WhatsApp के 1,400 उपयोगकर्ताओं की निगरानी की और encrypted messages सहित संवेदनशील डेटा तक बिना अनुमति पहुंच बनाई
- अमेरिकी जिला न्यायाधीश Phyllis Hamilton ने कहा कि केवल installation layer से यह समझना मुश्किल है कि डेटा तक पहुंच और extraction कैसे हुआ, इसलिए WhatsApp सर्वरों को निशाना बनाने वाले या WhatsApp का उपयोग करने वाले संबंधित NSO स्पाइवेयर भी disclosure के दायरे में आएंगे
- हालांकि अदालत ने NSO की server architecture से जुड़ी विस्तृत जानकारी और ग्राहकों की पहचान की मांग को बाहर रखा, और WhatsApp तथा Citizen Lab के बीच मुकदमे के बाद की communications मांगने वाली NSO की याचिका भी खारिज कर दी
- दोनों पक्षों की expert disclosures 30 अगस्त 2024 को निर्धारित हैं, और ट्रायल 3 मार्च 2025 से शुरू होने की उम्मीद है, इसलिए Pegasus की वास्तविक functionality का दायरा मामले के मूल निर्णय में अहम साक्ष्य बन सकता है
Pegasus की functionality के खुलासे पर अदालत का फैसला
- WhatsApp ने मुकदमा दायर करते हुए दावा किया कि NSO Group का Pegasus 2019 में 2 हफ्तों के दौरान 1,400 WhatsApp उपयोगकर्ताओं की निगरानी के लिए इस्तेमाल किया गया
- WhatsApp का दावा है कि Pegasus ने encrypted messages सहित संवेदनशील डेटा तक बिना अनुमति पहुंच बनाई
- उस समय इस मुकदमे को दुनिया भर की सरकारों को उन्नत malware सेवाएं बेचने वाले अनियमित उद्योग के खिलाफ अभूतपूर्व कानूनी कार्रवाई माना गया था
- NSO ने अमेरिका और इज़राइल की कई पाबंदियों का हवाला देकर पूरे discovery process को रोकने की कोशिश की, लेकिन व्यापक रोक की मांग खारिज कर दी गई
सिर्फ installation layer काफी नहीं: अदालत
- अमेरिकी जिला न्यायाधीश Phyllis Hamilton ने NSO का यह तर्क नहीं माना कि उसे Pegasus की केवल installation layer की जानकारी ही देनी चाहिए
- अदालत ने WhatsApp की मांग स्वीकार करते हुए “संबंधित स्पाइवेयर की पूरी functionality” से जुड़ी जानकारी देने का आदेश दिया
- अदालत का मानना था कि केवल installation layer की जानकारी से वादी के लिए यह समझना कठिन है कि स्पाइवेयर डेटा access और extract करने की functionality कैसे निभाता है
- disclosure का दायरा उन संबंधित NSO स्पाइवेयर तक है जिन्होंने WhatsApp सर्वरों को निशाना बनाया या किसी भी तरह WhatsApp का उपयोग करके target device तक पहुंच बनाई
- अवधि कथित हमले की तारीख से 1 साल पहले से 1 साल बाद तक की है
WhatsApp के अनुसार Pegasus की capabilities
- WhatsApp का दावा है कि Pegasus डिवाइस से आने-जाने वाली communications को intercept कर सकता है
- target services में iMessage, Skype, Telegram, WeChat, Facebook Messenger और WhatsApp शामिल हैं
- यह दावा भी है कि Pegasus को जरूरत के मुताबिक customize किया जा सकता है
- communications intercept करना
- screenshot capture करना
- browser history बाहर निकालना
कौन-सी जानकारी disclosure से बाहर रही
- न्यायाधीश Hamilton ने WhatsApp की सभी discovery requests को मंजूरी नहीं दी
- NSO की server architecture से जुड़ी कुछ विशेष जानकारी disclosure के दायरे से बाहर रही
- कारण यह था कि WhatsApp संबंधित स्पाइवेयर की पूरी functionality की जानकारी से वही जानकारी प्राप्त कर सकता है
- NSO को अपने ग्राहकों की पहचान बताने के लिए मजबूर नहीं किया जाएगा
- NSO सार्वजनिक रूप से यह नहीं बताता कि किन सरकारों ने उसका स्पाइवेयर खरीदा
- The Guardian की रिपोर्ट के मुताबिक Poland, Saudi Arabia, Rwanda, India, Hungary और United Arab Emirates द्वारा Pegasus का इस्तेमाल असंतुष्टों को निशाना बनाने में किए जाने की खबरें हैं
- 2021 में अमेरिका ने NSO को blacklist में डाला था, यह आरोप लगाते हुए कि उसने “दमन के लिए इस्तेमाल होने वाले digital tools” फैलाए
Citizen Lab से जुड़ी मांग भी खारिज
- इसी आदेश में न्यायाधीश Hamilton ने NSO की वह याचिका भी खारिज कर दी जिसमें WhatsApp और Citizen Lab के बीच मुकदमे के बाद की communications उजागर करने की मांग की गई थी
- Citizen Lab इस मामले में third-party witness के रूप में शामिल हुआ और WhatsApp के इस तर्क का समर्थन किया कि NSO के ग्राहकों ने Pegasus का नागरिक समाज के खिलाफ दुरुपयोग किया
- NSO ने अदालत में दायर दस्तावेज़ में कहा कि अगर WhatsApp, Citizen Lab के उस आशय को रिकॉर्ड से हटा दे कि “Pegasus का इस्तेमाल आतंकवाद और गंभीर अपराधों की जांच के बजाय नागरिक समाज के सदस्यों पर किया गया”, तो ऐसी discovery की जरूरत काफी कम हो जाएगी
- न्यायाधीश Hamilton ने कहा कि मांगी गई discovery की relevance स्पष्ट नहीं है, इसलिए NSO की मांग स्वीकार नहीं की गई
आगे की प्रक्रिया और प्रतिक्रियाएं
- NSO ने अभी तक इस आदेश पर कोई टिप्पणी नहीं की है
- WhatsApp के प्रवक्ता ने The Guardian से कहा कि यह फैसला अवैध हमलों से WhatsApp उपयोगकर्ताओं की रक्षा करने के दीर्घकालिक लक्ष्य में एक महत्वपूर्ण मील का पत्थर है
- प्रवक्ता ने कहा कि स्पाइवेयर कंपनियों और दुर्भावनापूर्ण actors को समझना चाहिए कि उन्हें पकड़ा जा सकता है और वे कानून की अनदेखी नहीं कर सकते
- अदालत दोनों पक्षों की expert disclosures 30 अगस्त 2024 को प्राप्त करेगी
- ट्रायल 3 मार्च 2025 से शुरू होने की उम्मीद है
1 टिप्पणियां
Hacker News टिप्पणियाँ
यह दिलचस्प है कि NSO ने “अमेरिका और इज़राइल की विभिन्न पाबंदियों” का हवाला देकर पूरी discovery process को रोकने की कोशिश की, लेकिन वह दलील खारिज हो गई
अमेरिकी अदालत संभवतः किसी दूसरे देश की पाबंदियों, यानी इज़राइली नियमों, की बहुत परवाह नहीं करेगी
अमेरिकी सरकार ने आधिकारिक रूप से Pegasus को blacklist किया है, लेकिन https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma..., फिर भी अगर अमेरिकी intelligence agencies के कुछ हिस्से अब भी इसका इस्तेमाल कर रहे हों तो हैरानी नहीं होगी
अगर ऐसा है, तो Pegasus यह कहकर अमेरिकी intelligence agencies से मुकदमा रुकवाने की मांग कर सकता है कि इससे गोपनीय जानकारी उजागर होगी या राष्ट्रीय हित को नुकसान पहुँचेगा
किसी दिन अचानक “कुछ हो जाता है” और मामला रहस्यमय तरीके से खारिज हो जाता है या नहीं, यह देखना दिलचस्प होगा
Pegasus इस्तेमाल करने वाली मित्र देशों की intelligence agencies से नतीजे माँगकर लेना कहीं आसान है
arm's-length collection का तरीका कानूनी रूप से कम जोखिम वाला होता है
लेकिन अमेरिकी अदालत में national security का तर्क देना तब मुश्किल हो जाएगा। “क्या आप यह software इस्तेमाल कर रहे हैं?” “आधिकारिक रूप से नहीं।” “तो फिर national security का दावा किस आधार पर?”
Snowden के खुलासों को भी काफ़ी समय हो गया, और तब जो देखा था, वही यक़ीन करना मुश्किल था
अब intelligence agencies क्या इस्तेमाल करती हैं, इसकी कल्पना भी नहीं की जा सकती
एजेंसियों के पास जो चीज़ें हैं और जिन्हें वे इस्तेमाल कर सकती हैं, उनके सामने Pegasus आखिर इतनी बड़ी बात भी क्या है
यह मामला ठीक से समझ नहीं आ रहा
अमेरिकी सरकार पहले ही blacklist कर चुकी एक विदेशी इज़राइली spyware कंपनी पर अमेरिकी अदालत का अधिकार-क्षेत्र कैसे लागू होता है, यह समझ नहीं आता
और अगर इज़राइल हार भी जाए, तो वह WhatsApp को spyware का source code क्यों भेजेगा, यह भी सवाल है
जवाब न देने पर default judgment हो सकता है, और अदालत उन assets की ज़ब्ती का आदेश दे सकती है जिन तक अमेरिका पहुँच सकता है
भले ही इज़राइल के बाहर के देशों में भुगतान shekel में लिया जाए, currency exchange के दौरान डॉलर intermediary currency बन जाता है, और वहीं अमेरिका को घुसने की जगह मिलती है
फ्रांस में भी ऐसा बेतुका मामला हुआ था
अमेरिका ने विशाल फ्रांसीसी कंपनी Alstom को लगभग दिवालिया होने पर मजबूर किया और उसे सस्ते में खरीद लिया, और बाद में Airbus को भी गिराने की कोशिश की
दोनों मामलों में अमेरिका ने उसी extraterritoriality के अधिकार का इस्तेमाल किया जिसे उसने खुद ही अपने लिए मान लिया था
यह कहानी इस documentary में दर्ज है: https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
पहले इसे YouTube पर https://youtu.be/Sa22eu1FWyo पर भी देखा जा सकता था, लेकिन अब शायद private कर दिया गया है। क्या यह असहज खुलासा था?
FATCA भी इसी वजह से संभव है
सरकार जिस “international liberal order” की रट लगाती रहती है, वही चीज़ है
इज़राइल ने उस treaty पर हस्ताक्षर किए हैं कि वह अमेरिकी अदालत के फ़ैसलों का सम्मान करेगा और उन्हें लागू करेगा, और अमेरिका ने भी इज़राइली अदालत के फ़ैसलों के लिए यही वादा किया है
इसलिए अमेरिकी जज आदेश पर हस्ताक्षर करके उसे इज़राइली जज को भेजता है, इज़राइली जज उसे लागू करता है, और उल्टा भी ऐसा ही होता है
बेशक वे मुकदमे को नज़रअंदाज़ कर सकते हैं, लेकिन फिर संबंधित लोगों के लिए बेहतर होगा कि वे दोबारा कभी अमेरिका में प्रवेश न करें
वैसे भी उनका operating model ऊपर-ऊपर से ही काफ़ी आपराधिक लगता है, इसलिए मन होता है कि उनके सभी कर्मचारियों को अमेरिका जाने से बचने की सलाह दी जाए
सोच रहा हूँ कि जिन दूसरे platforms का ज़िक्र हुआ है, उनमें Signal भी है क्या
इसका मतलब यह नहीं कि vulnerability उसी app में थी या app की गलती थी
आखिरकार इसे platform, खासकर iOS और Apple, और exploit developers व brokers के बीच का मामला समझना चाहिए
इसी वजह से Apple इन्हें नापसंद करता है
अच्छा हो या बुरा, Apple पर दबाव बढ़ना बाकी users के लिए भी आम तौर पर अच्छा हो सकता है
दूसरी तरफ यह भी कहा जा सकता है कि Apple को ऐसे मुद्दों पर ज़्यादा गंभीर होना चाहिए और security researchers के rewards बढ़ाने चाहिए
20 साल पहले की तुलना में हालात बेहतर हैं, लेकिन फिर भी इस बात की उम्मीद करने के बजाय कि कोई बड़ी कंपनी खोज के बदले मामूली रकम देगी, इन संदिग्ध पक्षों को exploits बेचना अब भी ज़्यादा फ़ायदेमंद हो सकता है
संदर्भ के लिए https://grapheneos.org/ और https://signal.org/ मौजूद हैं
अगर किसी spyware ने device पर ring0 स्तर की access ले ली है, तो Signal जैसे app की security properties का बहुत मतलब नहीं रह जाता
क्योंकि spyware उसके पास बहुत आसानी से पहुँच सकता है
इज़राइल source code export की अनुमति देगा, ऐसा नहीं लगता
समझ नहीं आता कि Pegasus हार भी जाए, तो उसे WhatsApp को असली source code क्यों भेजना होगा
वह बस कोई बेकार या नकली चीज़ क्यों नहीं भेज सकता, क्या मैं कुछ मिस कर रहा हूँ
समझ नहीं आता कि NSO Group, और आगे बढ़कर Israel, को इस spyware की वजह से सज़ा क्यों नहीं मिली
यह कंपनी खतरनाक कंपनी है जो ऐसे tools बेचती है जिनका दुरुपयोग करना आसान है, और वह भी पश्चिम के सबसे बुरे anti-democratic दुश्मनों को
वजह राजनीति है
Equatorial Guinea इसका एक उदाहरण था, और इसमें तानाशाह Obiang तथा ExxonMobil का contract जुड़ा हुआ था
Steve Coll ने "Private Empire: ExxonMobil and American Power" (2012) में यह लिखा था
target देशों के लिए यह बिल्कुल अच्छा नहीं है, लेकिन Israel और अमेरिकी intelligence agencies के लिए फ़ायदेमंद है
इसी वजह से मैं cyber security field में काम नहीं करना चाहता
क्योंकि वहाँ खतरनाक लोगों से निपटना पड़ता है
और cyber security का दायरा बहुत बड़ा है
बहुत-सी roles कर्मचारियों को security principles और procedures की training देने, और data classification लागू करने जैसी होती हैं
हर कोई सीधे attacks handle नहीं करता, और ज़्यादातर काम prevention work होता है
हमारी company में technical तौर पर cyber security का काम करने वालों में से सीधे attacks handle करने वालों का अनुपात शायद 20% से कम है। हालाँकि इसमें यह भी असर है कि हमारा SOC outsourced है