Darknet Diaries के वे एपिसोड देखने पर, जिनमें NSO Group को सीधे झेलने वाले या उसके निशाने पर आए लोगों के नज़रिए से बात की गई है, समझ आता है कि ये लोग कितने भयावह हैं
खास तौर पर समस्या यह है कि वे अमेरिका की सुरक्षा-छत्रछाया में काम करते हैं और उन्हें लगभग बिना किसी जवाबदेही के अमेरिकी नागरिकों की निगरानी करने की अनुमति मिल जाती है
इज़राइली युद्ध अपराधों की जांच शुरू करने के बाद Ben Suda की गैरकानूनी वायरटैपिंग वाला मामला खास तौर पर घिनौना था, और लगता है कि इसका इस्तेमाल अभियोजक को धमकाने या जांच के दायरे में आने वाले सबूत छिपाने के लिए किया गया
यह भी गंभीर है कि उन्होंने मामला अदालत में ले जाकर फिर वापस ले लिया और ICC से कहा कि “मुकदमा चलाने की कोशिश की गई,” ताकि उस खामी का फायदा उठाया जा सके जिसके कारण ICC वह मामला अपने हाथ में न ले पाए
कई देश शायद इसी तरह के काम करते हैं, botnet चलाते हैं या पत्रकारों को धमकाते हैं, लेकिन यहां अजीब बात यह है कि इज़राइली खुफिया संगठन अमेरिकी सरकार के साथ कंधे से कंधा मिलाकर बिना किसी निगरानी या oversight के अमेरिका की पूरी सुरक्षा पाते हैं
हम उस dystopia में पहले से जी रहे हैं जिसकी चेतावनी दशकों पहले से दी जा रही थी
अमेरिका NSO से भी बेहतर यह काम करने वाली कंपनियों को host और protect करता है
सिर्फ इसलिए नहीं कि वे कंपनियां खबरों में न आने जितनी चालाक हैं
ICC का complementarity principle इतना आसानी से लागू नहीं होता, अगर घरेलू जांच साफ तौर पर सद्भावना में न हो
ICC उन घरेलू जांचों को नजरअंदाज कर सकता है जिन्हें वह गंभीर जांच की कोशिश नहीं मानता
अगर आपस में सिर्फ फर्जी जांच चलाकर सारी जिम्मेदारी से बचा जा सके, तो वह काफी हास्यास्पद अदालत होगी
जहां तक संभव हो, मैं अपने stack में इज़राइली technology इस्तेमाल न करने की कोशिश करता हूं
Snyk जैसे software का इस्तेमाल करते हुए खुद को जोखिम में डाले बिना रह सकते हैं या नहीं, मुझे नहीं पता। इसके founders पूर्व IDF Unit 8200 से हैं
खासकर security क्षेत्र में इज़राइली technology इस्तेमाल करना मुर्गीखाने में भेड़िया छोड़ने जैसा लगता है। मैं नहीं करूंगा
NSO के मालिकों या decision-makers के साथ भी Gary McKinnon जैसे तरीके से पेश आना ज्यादा उचित होगा
बस लगता है कि ये लोग ज्यादा “बराबर” वाली तरफ हैं
मैं वकील नहीं हूं, इसलिए शायद कुछ गलत समझा हो, लेकिन वादी पत्रकार नहीं बल्कि WhatsApp है
यह मामला NSO Group को पत्रकारों को हैक करने के लिए जिम्मेदार ठहराने वाले मुकदमे से ज्यादा, इस बात पर केंद्रित लगता है कि Pegasus install vector को WhatsApp के जरिए पीड़ितों तक भेजते समय WhatsApp के खिलाफ “authorized access से आगे” गया गया या नहीं
पत्रकारों के compromise होने की बात incidental है, और फैसला इस पर नहीं बल्कि WhatsApp systems में authorization से आगे जाने पर है कि पीड़ितों तक पहुंच unauthorized थी या नहीं
फैसले में भी माना गया कि सभी WhatsApp users के पास message भेजने का अधिकार होता है, इसलिए message में spyware होने पर भी वह “unauthorized access” नहीं है; हालांकि केवल “exceeded authorization” वाली theory को समर्थन मिलता है
प्रतिवादी पक्ष ने दलील दी कि Pegasus install vector बाकी messages की तरह बस WhatsApp servers से होकर गुजरा, और मिली जानकारी server से नहीं बल्कि target user device से आई
वादी पक्ष ने प्रावधान के “any protected computer” वाले शब्दों का आधार लिया, और hearing में यह स्पष्ट हुआ कि WIS सिर्फ user device से सीधे जानकारी नहीं लेता, बल्कि WhatsApp servers के जरिए भी target device की जानकारी हासिल करता है
पुराने records तक देखें तो NSO Group ने script के जरिए एक फर्जी WhatsApp client बनाया था जो ऐसे messages भेजता था जिन्हें original app से नहीं भेजा जा सकता, और इसी से target device की जानकारी हासिल की गई
ढांचा यह है कि fake client ने वह काम किया जो actual client नहीं कर सकता था और terms के तहत निषिद्ध था, इसलिए उसने authorization से आगे जाकर काम किया
इसका मतलब क्या है, इस पर थोड़ा सोचना चाहिए। किसी चीज का alternate client बनाने वाला शायद मैं अकेला नहीं हूं
WhatsApp यह दावा नहीं कर रहा कि fake client ने जानकारी पाने के लिए vulnerability exploit की; लगता है कि सिर्फ fake client होना ही काफी माना जा रहा है। हालांकि इस हिस्से से संबंधित कुछ sealed हिस्से हो सकते हैं CFAA काफी अस्पष्ट है और अतीत में भी इसे बहुत व्यापक रूप से लागू किया गया है, इसलिए यह चौंकाने वाला नहीं है, लेकिन कुछ साल पहले Van Buren मामले के बाद उम्मीद थी कि terms violation को CFAA violation बनाने वाली व्यापक व्याख्या कुछ पीछे हटेगी
इच्छुक लोगों के लिए फैसला: https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
अगर दोनों पक्षों की दलीलों वाले अन्य records देखना चाहें तो CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v...
मैंने unofficial clients बनाए भी हैं, और अपनी सेवा पर malicious unofficial clients से लड़ा भी हूं
किसी भी एक पक्ष को पूरी blank cheque देना sustainable नहीं है
ठीक से काम करने वाले 99.99% clients को tacitly ignore किया जाता है, लेकिन जो malware distribution या rate limit bypass करते हैं, उनके court में खड़े होने का मैं विरोध नहीं करता
stakeholders की प्रकृति देखते हुए, लक्ष्य हासिल करने का सबसे साफ तरीका authorization issue को target करना है
focus इस पर चला जाता है कि किसने क्या किया नहीं, बल्कि कैसे किया
इससे stakeholders की face loss कम होती है, sources और methods सुरक्षित रहते हैं, और message भी भेजा जा सकता है
कानून को जितना संभव हो व्यापक रखा गया है। अगर यह NSO Group नहीं बल्कि कोई अमेरिकी होता, तो बेहूदा damages calculation के जरिए हजारों महीनों की कैद के बजाय plea agreement करा लिया गया होता
CFAA में सुधार का समय निश्चित रूप से आ गया है
यह कहना मुश्किल नहीं कि यह broad और vague है, और इसका overall scope ऐसा है जिसमें harmless online behavior भी आसानी से फंस सकता है
WhatsApp user के लिए उन लोगों के खिलाफ standing पाना मुश्किल लगता है जिन्होंने WhatsApp को hack करके उसका data ले लिया
system WhatsApp का है, इसलिए मुकदमा WhatsApp को ही करना होगा
अगर बात “ऐसे fake client से target user device information हासिल करने” की है जो original app से नहीं भेजे जा सकने वाले messages भेजता है, तो authorization से आगे जाने का distinction काफी स्पष्ट लगता है
मुझे नहीं लगता कि इस फैसले को अपने client बनाना चाहने वालों के खिलाफ पढ़ा जाना चाहिए
इन लोगों ने जानबूझकर malicious purpose के लिए third-party client बनाया
अगर आप Discord client बनाकर spam भेजने या users को नुकसान पहुंचाने की कोशिश करें, तो उसका समस्या बनना पूरी तरह reasonable है
मुझे लगा था कि WhatsApp और Signal एक ही encryption इस्तेमाल करते हैं
यह दावा नहीं है कि encryption टूट गया था
ऐप खुद बहुत सारे अविश्वसनीय input को process करता है, इसलिए उदाहरण के लिए मिले हुए video file के thumbnail बनाने जैसी चीज़ों में protocol के बाहर भी attack surface काफ़ी मायने रखता है
यह VOIP stack में buffer overflow था https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
दिलचस्प बात है कि Signal वगैरह में भी Android पर WebRTC stack की वजह से ऐसी ही vulnerability थी https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
दोनों मामलों में बड़ी समस्या यह थी कि exploit यूज़र के call उठाने से पहले ही run हो गया था
किसी सुरक्षित messenger को ऐसे entity की ओर से, जिस पर user सच में भरोसा नहीं करता, मूल रूप से असुरक्षित code—यानी complex code—चलाना ही नहीं चाहिए
मेरा मानना है कि default हमेशा plain text होना चाहिए
इस group ने spyware deliver करने के लिए WhatsApp के bug का दुरुपयोग किया था
यह end-to-end encryption की समस्या नहीं थी
अमेरिकी judge ने उस मुकदमे में Meta Platforms के WhatsApp के पक्ष में फैसला दिया, जिसमें आरोप था कि Israel के NSO Group ने messaging app के bug का दुरुपयोग कर unauthorized surveillance संभव बनाने वाला spy software install किया
हमला WhatsApp के encryption वाले हिस्से को निशाना बनाकर नहीं किया गया था
encryption महत्वपूर्ण है, लेकिन security chain की सबसे कमजोर कड़ी अक्सर वही हो, ऐसा कम ही होता है
हमें यह मानकर चलना शुरू करना होगा कि कोई भी communication medium पहले से compromise हो चुका है
NSA जैसे संगठन Signal जैसे apps के सामने हाथ खड़े करके हार नहीं मानेंगे। अगर यह सबसे ज़्यादा download होने वाले messaging apps में से एक है, तो इसे तोड़ने में निवेश करना बहुत worthwhile है
mobile phone या computer से जुड़ी हर चीज़ को मूल रूप से असुरक्षित मानना बेहतर है
इसके उलट, one-time pad या हाथ से मुंह ढककर कान में फुसफुसाने जैसे analog तरीके, digital communication जितने एकतरफा power balance वाले नहीं होते, जो शायद किसी न किसी तरह पहले ही compromise हो चुका हो
“surveillance companies को पता होना चाहिए कि अवैध निगरानी बर्दाश्त नहीं की जाएगी” वाला वाक्य थोड़ा मज़ेदार और दुखद दोनों है
उल्टा देखें तो ऐसा लगता है कि Meta को WhatsApp users का “सिर्फ कानूनी रूप से निगरानी” किया जाना मंज़ूर है
सभी social media companies legal surveillance की अनुमति देती हैं
अमेरिका में warrant और wiretap orders रोज़ जारी होते हैं
यह तो obvious ही लगता है
Meta users की surveillance पर monopoly चाहता है
Meta products के ज़रिए users की surveillance करना allowed नहीं है
अगर users की surveillance करनी है, तो खुद ऐसा app बनाइए जो इतना popular हो कि अरबों लोग अपनी मर्ज़ी से signup करके surveillance के लिए consent दे दें
यह irony है कि FBI और CISA ने आज ही घोषणा की कि 2-factor authentication के लिए SMS का इस्तेमाल न करें, WhatsApp का इस्तेमाल करें
हालांकि उन्होंने जिस सबसे बड़ी समस्या की ओर इशारा किया, वह यह है कि mobile users SMS में links पर click करते हैं
हममें से ज़्यादातर लोग captured और anti-consumer environment में रहते हैं, इसलिए पता नहीं कोई शानदार सलाह जैसी चीज़ बची भी है या नहीं https://www.newsnationnow.com/business/tech/fbi-warns-agains...
ज़ाहिर है, अच्छी सलाह है
SMS के बजाय हमेशा authenticator app को प्राथमिकता देनी चाहिए
उम्मीद है कि Passkeys भी इस मामले में बड़ा upgrade साबित होंगी
WhatsApp अब उस hack के लिए vulnerable नहीं माना जाता, और SMS apps में भी पहले ऐसी ही vulnerabilities रही हैं
इन कंपनियों और आम botnet operators या ransomware संगठनों के बीच कोई फर्क नहीं किया जाना चाहिए
executives को 20–30 साल की सज़ा मिलनी चाहिए और उन्हें दुनिया भर में extradite किया जाना चाहिए
journalists और politicians को hack करके सिर्फ wallet ही नहीं, बल्कि सचमुच उनकी जान तक जोखिम में डालने वाले लोग समाज को ransomware संगठनों से भी अधिक नुकसान पहुंचा सकते हैं
खुली अदालत में defense rights सुनिश्चित होने और पहले से convicted व्यक्ति के data extraction को छोड़कर, किसी के device को “कानूनी रूप से” hack करने जैसी कोई चीज़ नहीं होनी चाहिए
यह पारंपरिक “weapons” से इतना अलग नहीं है
“cyberweapon” analogy मुझे पसंद नहीं, लेकिन यहां यह fit बैठती है
governments, यहां तक कि bad reputation वाली governments को guns बेचने पर भी, बहुत extreme cases छोड़ दें तो, लगभग कुछ नहीं होता
street gangs को guns बेचना बिल्कुल अलग बात है
मुझे नहीं लगता कि यह situation सिर्फ इसलिए अलग है क्योंकि यह “hacking” है
journalists को hack करने वालों को निश्चित रूप से जेल जाना चाहिए
पहले हिस्से से कम-से-कम भावना के स्तर पर सहमत हूं
लेकिन दूसरा हिस्सा समझ में नहीं आता
अगर अमेरिकी president किसी terrorist को court में पेश किए बिना drone से मारने का आदेश दे सकता है, तो उनके phones hack करने का आदेश भी दे सकता होगा
अगर आपको लगता है कि बाद वाला कभी भी ठीक नहीं हो सकता, तो शायद पहले वाले के खिलाफ लड़ाई से शुरुआत करनी चाहिए
Israelis को किसी भी वजह से America extradite नहीं किया जाएगा
यह बात हास्यास्पद है, जबकि America प्रभावी रूप से उस पूरे देश को financially सहारा देता है
ऐसा लगता है कि Israel वह जगह बन गया है जिसे gloves उतारकर अपने enemies को militarily धमकाने की छूट है, ताकि America अपनी हरकतों के लिए blame लिए बिना “rights-based world order” बनाए रखने का दिखावा कर सके
कल्पना कीजिए कि NSO का पीछा Wikileaks जितनी ही जिद से किया जाए
1 टिप्पणियां
Hacker News की राय
Darknet Diaries के वे एपिसोड देखने पर, जिनमें NSO Group को सीधे झेलने वाले या उसके निशाने पर आए लोगों के नज़रिए से बात की गई है, समझ आता है कि ये लोग कितने भयावह हैं
खास तौर पर समस्या यह है कि वे अमेरिका की सुरक्षा-छत्रछाया में काम करते हैं और उन्हें लगभग बिना किसी जवाबदेही के अमेरिकी नागरिकों की निगरानी करने की अनुमति मिल जाती है
इज़राइली युद्ध अपराधों की जांच शुरू करने के बाद Ben Suda की गैरकानूनी वायरटैपिंग वाला मामला खास तौर पर घिनौना था, और लगता है कि इसका इस्तेमाल अभियोजक को धमकाने या जांच के दायरे में आने वाले सबूत छिपाने के लिए किया गया
यह भी गंभीर है कि उन्होंने मामला अदालत में ले जाकर फिर वापस ले लिया और ICC से कहा कि “मुकदमा चलाने की कोशिश की गई,” ताकि उस खामी का फायदा उठाया जा सके जिसके कारण ICC वह मामला अपने हाथ में न ले पाए
कई देश शायद इसी तरह के काम करते हैं, botnet चलाते हैं या पत्रकारों को धमकाते हैं, लेकिन यहां अजीब बात यह है कि इज़राइली खुफिया संगठन अमेरिकी सरकार के साथ कंधे से कंधा मिलाकर बिना किसी निगरानी या oversight के अमेरिका की पूरी सुरक्षा पाते हैं
हम उस dystopia में पहले से जी रहे हैं जिसकी चेतावनी दशकों पहले से दी जा रही थी
सिर्फ इसलिए नहीं कि वे कंपनियां खबरों में न आने जितनी चालाक हैं
ICC उन घरेलू जांचों को नजरअंदाज कर सकता है जिन्हें वह गंभीर जांच की कोशिश नहीं मानता
अगर आपस में सिर्फ फर्जी जांच चलाकर सारी जिम्मेदारी से बचा जा सके, तो वह काफी हास्यास्पद अदालत होगी
Snyk जैसे software का इस्तेमाल करते हुए खुद को जोखिम में डाले बिना रह सकते हैं या नहीं, मुझे नहीं पता। इसके founders पूर्व IDF Unit 8200 से हैं
खासकर security क्षेत्र में इज़राइली technology इस्तेमाल करना मुर्गीखाने में भेड़िया छोड़ने जैसा लगता है। मैं नहीं करूंगा
NSO के मालिकों या decision-makers के साथ भी Gary McKinnon जैसे तरीके से पेश आना ज्यादा उचित होगा
बस लगता है कि ये लोग ज्यादा “बराबर” वाली तरफ हैं
मैं वकील नहीं हूं, इसलिए शायद कुछ गलत समझा हो, लेकिन वादी पत्रकार नहीं बल्कि WhatsApp है
यह मामला NSO Group को पत्रकारों को हैक करने के लिए जिम्मेदार ठहराने वाले मुकदमे से ज्यादा, इस बात पर केंद्रित लगता है कि Pegasus install vector को WhatsApp के जरिए पीड़ितों तक भेजते समय WhatsApp के खिलाफ “authorized access से आगे” गया गया या नहीं
पत्रकारों के compromise होने की बात incidental है, और फैसला इस पर नहीं बल्कि WhatsApp systems में authorization से आगे जाने पर है कि पीड़ितों तक पहुंच unauthorized थी या नहीं
फैसले में भी माना गया कि सभी WhatsApp users के पास message भेजने का अधिकार होता है, इसलिए message में spyware होने पर भी वह “unauthorized access” नहीं है; हालांकि केवल “exceeded authorization” वाली theory को समर्थन मिलता है
प्रतिवादी पक्ष ने दलील दी कि Pegasus install vector बाकी messages की तरह बस WhatsApp servers से होकर गुजरा, और मिली जानकारी server से नहीं बल्कि target user device से आई
वादी पक्ष ने प्रावधान के “any protected computer” वाले शब्दों का आधार लिया, और hearing में यह स्पष्ट हुआ कि WIS सिर्फ user device से सीधे जानकारी नहीं लेता, बल्कि WhatsApp servers के जरिए भी target device की जानकारी हासिल करता है
पुराने records तक देखें तो NSO Group ने script के जरिए एक फर्जी WhatsApp client बनाया था जो ऐसे messages भेजता था जिन्हें original app से नहीं भेजा जा सकता, और इसी से target device की जानकारी हासिल की गई
ढांचा यह है कि fake client ने वह काम किया जो actual client नहीं कर सकता था और terms के तहत निषिद्ध था, इसलिए उसने authorization से आगे जाकर काम किया
इसका मतलब क्या है, इस पर थोड़ा सोचना चाहिए। किसी चीज का alternate client बनाने वाला शायद मैं अकेला नहीं हूं
WhatsApp यह दावा नहीं कर रहा कि fake client ने जानकारी पाने के लिए vulnerability exploit की; लगता है कि सिर्फ fake client होना ही काफी माना जा रहा है। हालांकि इस हिस्से से संबंधित कुछ sealed हिस्से हो सकते हैं
CFAA काफी अस्पष्ट है और अतीत में भी इसे बहुत व्यापक रूप से लागू किया गया है, इसलिए यह चौंकाने वाला नहीं है, लेकिन कुछ साल पहले Van Buren मामले के बाद उम्मीद थी कि terms violation को CFAA violation बनाने वाली व्यापक व्याख्या कुछ पीछे हटेगी
इच्छुक लोगों के लिए फैसला: https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
अगर दोनों पक्षों की दलीलों वाले अन्य records देखना चाहें तो CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v...
किसी भी एक पक्ष को पूरी blank cheque देना sustainable नहीं है
ठीक से काम करने वाले 99.99% clients को tacitly ignore किया जाता है, लेकिन जो malware distribution या rate limit bypass करते हैं, उनके court में खड़े होने का मैं विरोध नहीं करता
focus इस पर चला जाता है कि किसने क्या किया नहीं, बल्कि कैसे किया
इससे stakeholders की face loss कम होती है, sources और methods सुरक्षित रहते हैं, और message भी भेजा जा सकता है
कानून को जितना संभव हो व्यापक रखा गया है। अगर यह NSO Group नहीं बल्कि कोई अमेरिकी होता, तो बेहूदा damages calculation के जरिए हजारों महीनों की कैद के बजाय plea agreement करा लिया गया होता
यह कहना मुश्किल नहीं कि यह broad और vague है, और इसका overall scope ऐसा है जिसमें harmless online behavior भी आसानी से फंस सकता है
system WhatsApp का है, इसलिए मुकदमा WhatsApp को ही करना होगा
मुझे नहीं लगता कि इस फैसले को अपने client बनाना चाहने वालों के खिलाफ पढ़ा जाना चाहिए
इन लोगों ने जानबूझकर malicious purpose के लिए third-party client बनाया
अगर आप Discord client बनाकर spam भेजने या users को नुकसान पहुंचाने की कोशिश करें, तो उसका समस्या बनना पूरी तरह reasonable है
मुझे लगा था कि WhatsApp और Signal एक ही encryption इस्तेमाल करते हैं
ऐप खुद बहुत सारे अविश्वसनीय input को process करता है, इसलिए उदाहरण के लिए मिले हुए video file के thumbnail बनाने जैसी चीज़ों में protocol के बाहर भी attack surface काफ़ी मायने रखता है
https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
दिलचस्प बात है कि Signal वगैरह में भी Android पर WebRTC stack की वजह से ऐसी ही vulnerability थी
https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
दोनों मामलों में बड़ी समस्या यह थी कि exploit यूज़र के call उठाने से पहले ही run हो गया था
किसी सुरक्षित messenger को ऐसे entity की ओर से, जिस पर user सच में भरोसा नहीं करता, मूल रूप से असुरक्षित code—यानी complex code—चलाना ही नहीं चाहिए
मेरा मानना है कि default हमेशा plain text होना चाहिए
यह end-to-end encryption की समस्या नहीं थी
अमेरिकी judge ने उस मुकदमे में Meta Platforms के WhatsApp के पक्ष में फैसला दिया, जिसमें आरोप था कि Israel के NSO Group ने messaging app के bug का दुरुपयोग कर unauthorized surveillance संभव बनाने वाला spy software install किया
encryption महत्वपूर्ण है, लेकिन security chain की सबसे कमजोर कड़ी अक्सर वही हो, ऐसा कम ही होता है
NSA जैसे संगठन Signal जैसे apps के सामने हाथ खड़े करके हार नहीं मानेंगे। अगर यह सबसे ज़्यादा download होने वाले messaging apps में से एक है, तो इसे तोड़ने में निवेश करना बहुत worthwhile है
mobile phone या computer से जुड़ी हर चीज़ को मूल रूप से असुरक्षित मानना बेहतर है
इसके उलट, one-time pad या हाथ से मुंह ढककर कान में फुसफुसाने जैसे analog तरीके, digital communication जितने एकतरफा power balance वाले नहीं होते, जो शायद किसी न किसी तरह पहले ही compromise हो चुका हो
“surveillance companies को पता होना चाहिए कि अवैध निगरानी बर्दाश्त नहीं की जाएगी” वाला वाक्य थोड़ा मज़ेदार और दुखद दोनों है
उल्टा देखें तो ऐसा लगता है कि Meta को WhatsApp users का “सिर्फ कानूनी रूप से निगरानी” किया जाना मंज़ूर है
अमेरिका में warrant और wiretap orders रोज़ जारी होते हैं
Meta users की surveillance पर monopoly चाहता है
Meta products के ज़रिए users की surveillance करना allowed नहीं है
अगर users की surveillance करनी है, तो खुद ऐसा app बनाइए जो इतना popular हो कि अरबों लोग अपनी मर्ज़ी से signup करके surveillance के लिए consent दे दें
यह irony है कि FBI और CISA ने आज ही घोषणा की कि 2-factor authentication के लिए SMS का इस्तेमाल न करें, WhatsApp का इस्तेमाल करें
हालांकि उन्होंने जिस सबसे बड़ी समस्या की ओर इशारा किया, वह यह है कि mobile users SMS में links पर click करते हैं
हममें से ज़्यादातर लोग captured और anti-consumer environment में रहते हैं, इसलिए पता नहीं कोई शानदार सलाह जैसी चीज़ बची भी है या नहीं
https://www.newsnationnow.com/business/tech/fbi-warns-agains...
SMS के बजाय हमेशा authenticator app को प्राथमिकता देनी चाहिए
उम्मीद है कि Passkeys भी इस मामले में बड़ा upgrade साबित होंगी
इन कंपनियों और आम botnet operators या ransomware संगठनों के बीच कोई फर्क नहीं किया जाना चाहिए
executives को 20–30 साल की सज़ा मिलनी चाहिए और उन्हें दुनिया भर में extradite किया जाना चाहिए
journalists और politicians को hack करके सिर्फ wallet ही नहीं, बल्कि सचमुच उनकी जान तक जोखिम में डालने वाले लोग समाज को ransomware संगठनों से भी अधिक नुकसान पहुंचा सकते हैं
खुली अदालत में defense rights सुनिश्चित होने और पहले से convicted व्यक्ति के data extraction को छोड़कर, किसी के device को “कानूनी रूप से” hack करने जैसी कोई चीज़ नहीं होनी चाहिए
“cyberweapon” analogy मुझे पसंद नहीं, लेकिन यहां यह fit बैठती है
governments, यहां तक कि bad reputation वाली governments को guns बेचने पर भी, बहुत extreme cases छोड़ दें तो, लगभग कुछ नहीं होता
street gangs को guns बेचना बिल्कुल अलग बात है
मुझे नहीं लगता कि यह situation सिर्फ इसलिए अलग है क्योंकि यह “hacking” है
लेकिन दूसरा हिस्सा समझ में नहीं आता
अगर अमेरिकी president किसी terrorist को court में पेश किए बिना drone से मारने का आदेश दे सकता है, तो उनके phones hack करने का आदेश भी दे सकता होगा
अगर आपको लगता है कि बाद वाला कभी भी ठीक नहीं हो सकता, तो शायद पहले वाले के खिलाफ लड़ाई से शुरुआत करनी चाहिए
यह बात हास्यास्पद है, जबकि America प्रभावी रूप से उस पूरे देश को financially सहारा देता है
ऐसा लगता है कि Israel वह जगह बन गया है जिसे gloves उतारकर अपने enemies को militarily धमकाने की छूट है, ताकि America अपनी हरकतों के लिए blame लिए बिना “rights-based world order” बनाए रखने का दिखावा कर सके