诉讼车轮战：Facebook重锤NSO

最近一年，有一件横跨国际法律界、科技界、网络安全界的热门头条——那就是Facebook与NSO集团长达210天的诉讼案。

一边是全球互联网科技巨头，凭借Facebook、WhatsApp等全球主流社交应用，揽获数十亿用户。而它以账户入侵监听之名起诉，代表着WhatsApp数亿拥趸的安全权；

另一边是大名鼎鼎的网络军火商，以色列数十家数字间谍工具开发公司的领头羊NSO Group，以删除账号、豁免权、国际法持续反诉。

一场三界热议的跨年大戏，7个月不见结果的诉讼，到底牵扯着什么样的暗涌？我们不妨先简单回顾Facebook与NSO互捶的关键节点，想看分析可直接跳过此部分。

持续210天的诉讼“车轮战”

争端的导火索相信大家也有耳闻。去年10月，Facebook发现NSO利用 Whatsapp中的一个严重漏洞（CVE-2019-3568），可以在用户没有接听的情况下，非法入侵手机，并在Android和IOS上远程安装Pegasus（飞马软件）。

这一发现无疑是把曼妥思扔进可乐池，科技界瞬间一片沸腾。

众所周知，Pegasus是由NSO Group公司开发的间谍软件。最大功能是从受害者的手机访问大量隐私数据，更直白地说，是专门窃取记者、外交官、人权活动家、政府高级官员等敏感人群的重要信息。

Facebook怒将NSO告上法庭，诉讼战已经打响，此后便是漫长的“车轮式”互捶，各种猛料依次爆开：

2019年11月，Facebook采取应急行动，关闭删除NSO大批员工的个人账户，以防止他们发起更多攻击；而NSO在以色列当地法院起诉Facebook的封号举措；

2020年3月，NSO开始第一轮反制操作，指控Facebook没有遵守《海牙公约》，未向法院提交必要文件，呼吁法院对Facebook处以约1.7万美元的罚款；

2020年4月初，NSO发起第二轮耐人寻味的反击，曝Facebook曾经也向NSO购买间谍软件，以图监视用户，直指Facebook买卖不成反咬报复；

2020年4月23日，Facebook重新提交35页诉讼材料，补充了IP服务器地址等大量举证材料，并直接公布恶意代码，实锤NSO的恶意行径。

（Facebook最新递交35页诉讼材料）

鹬蚌相争，吃瓜看戏。只不过零日看来，NSO与Facebook背后并不简单，它更代表着现存网络环境下，数据泄露、软件安全、网络武器、法律法规等多个版块的隐雷。今天，零日给大家分析下这桩诉讼巨案背后的一些端倪，若有不同见解，欢迎探讨。

NSO与Facebook之间，不再是普通的隐私泄露

首先，Whatsapp事件是典型的隐私泄露事件，只不过隐私泄露这个话题，随着技术更迭、环境变迁，在各个维度和指标上都发生了变化。

（一）隐私泄露的对象：从随机目标到精准人群

以往，多数见诸报端的隐私泄露事件，都是随机群体大规模问题。此前美国Elasticsearch 服务器被黑客公开在暗网上，致使12亿人敏感信息泄露，就是典型的泛人群的群体性信息泄露事件。

（12亿人敏感信息泄露）

而随着全球隐私数据的严重泛滥，个人信息交易成为黑产廉价商品，精准人群信息背后的高收益，驱使着黑客开始转向精准攻击。此次，NSO间谍软件从WhatsApp全球15亿用户群体中，精确地瞄准1400人，进行定向监听监控，就说明了这一点。

（二）隐私泄露的价值：从低价值到高价值蔓延

接着再说，常规情况下，绝大多数的网络攻击多为机会主义。黑客伺机寻找网络薄弱环节进行攻击，并采取撒网战术，通过大量钓鱼邮件、诱惑性内容潜水网络摸鱼，大浪淘金回报不定。

相比之下，NSO间谍软件的运作要精细得多——专门锁定外交官、政治异议人士、记者等高价值敏感人群，并进行持续长达一年之久的监控活动。

这说明黑客群体已经意识到一个事实：高价值目标背后是更加暴利的收益，甚至是非金钱可衡量的巨大价值。换言之，高阶利益，已成为精锐黑客攻击的新动机和新方向。

（三）隐私泄露的目的：从非法牟利到政治诉求

至于，NSO等黑客组织为什么重点针对政要、官员、记者等特殊人士，我们可以从更多案例总结答案。打上一个与WhatsApp的1400名身份敏感人士，同样遭受NSO间谍软件定向监控的，是沙特阿拉伯的异见记者卡舒吉。因为行踪泄露，卡舒吉迎来了被沙特政府肢解谋杀的悲惨下场。

而更多NSO制造的政治命案，可以阅读《NSO间谍软件：你们要人权，我们要人命》

（NSO曾售沙特间谍软件用于监控卡舒吉手机）

政治相关敏感人群遭遇间谍软件监控，意味着信息泄露已不再是常规的安全问题，而是成为部分国家组织机构，情报窃取、控制言论、排除异己，外交谈判等实现政治目的的工具手段。

看似个人化的信息泄露，在政治目的的驱动与黑客技术的加持上，已成为超过常规威胁的存在。

NSO与Facebook之间，不再是寻常的网络攻击

必须承认，NSO入侵WhatsApp是无需洗白的网络攻击行动，但暴露的却是，网络攻击工具在研发端和使用端的新趋势。

（一）研发者角度，从“民间开发”演变为“国家精研”

曾经，谈及令闻风丧胆的病毒木马，不论是席卷全球150万用户的Gandcrab勒索病毒，还是挖矿、盗号、远控等各类木马家族，总的来说，多数都只是民间黑客组织开发，且只为炫技或谋财。但NSO的出现，则代表着国家级精研力量的入局。

高精尖武器化的网络工具，与暗网黑客论坛泛滥的恶意工具有着质的差异。就像NSO王牌产品Pegasus作为一款间谍监听软件，被各界称为“杀人软件”，能实现无感知、难溯源、长期持续、精准定向的网络入侵、监听、攻击等活动。相比民间开发软件引发的网络攻击，威胁高下立现。

再来，前后两者不仅在技术能力、攻击质量、服务体验上有着悬殊的差距，还在背景上存在质的区别。大家知道，NSO脱胎于以色列最强网军8200部队，强悍的军方背景身份，一来有力推动Pegasus的全球化市场占有，二来难保不会成为NSO“霸道横行但难以追责”的保命底牌。

（二）使用者角度，从黑产组织演变为军政用户

公开言论中，NSO声称它是专为政府提供打击恐怖和犯罪的网络技术服务商；而在大家心照不宣的实情中，2011年NSO从墨西哥政府手中拿到了8000万美元合同订单，此后还将监视技术卖给巴拿马政府。

截至现在，有指墨西哥、巴拿马、沙特、阿联酋、巴林 、摩洛哥、哈萨克斯坦等国家已成为NSO网络攻击服务的采卖者和使用者。

（墨西哥政府关联的NSO间谍软件目标，记者，律师，科学家，公共卫生运动家，参议员，政治家和国际调查都被确定为NSO间谍软件的目标）

这恰恰说明了一个迹象，以往的网络攻击工具或服务的使用者，多为诈骗团伙、黑产组织、网络罪犯等民间非法组织；

而如今网络攻击武器，成为了国家背景政府组织群体的新宠。尽管敢公开承认的还只是少数，但当使用者跃升至军政领域，传统网络攻击的属性与破坏力，以数倍递增，甚至不排除直抵国家安全生命线的可能。

更有意思的是，如果NSO对Facebook的第二轮指控不完全是谎言，那么Facebook作为世界科技巨头，是不是真的试图与魔鬼做交易呢？

（NSO间谍软件帮助客户监控全球45个国家/地区）

NSO与Facebook之间，不再是孤立的软件安全

抛开数据泄露危机，再回归Whatsapp软件遭入侵本身，会发现软件安全不再是孤立的问题。软件与硬件、软件与用户、软件甚至直接与国家安全，连接成了摆在我们面前的一张大网。

（一）万物互联趋势：触发“软硬件连体”安全威胁

首先，物联网时代，软件硬件的无缝连接，筑起了万物互联的网络生态，而万物互联也带来了安全威胁的横向辐射。简单来说，就是软件隐患，可能触发手机、电脑、平板、智能设备等硬件危机，反之同样成立。

（NSO间谍软件利用苹果0day漏洞袭击阿联酋人权捍卫者）

NSO通过WhatsApp Service（CVE- 2019-3568）漏洞，搭设遥控器蜂窝，入侵用户手机设备，进监听获取定位等多重信息的背后，其实就是软硬件间隐患的串联问题。

（二）软件巨头垄断天量用户：爆发动辄“亿级”个人安全隐患

接着，“技术垄断”往往伴随相应的虹吸效应，例如“用户垄断”。互联网巨头Facebook就是典型。单凭WhastApp一款软件收割全球 15亿月活用户，再加上Facebook、Instagram等多款全球最火应用，天文数字量级的独立个体，连成一线。

但是，风光的“用户池”之下，掩盖着如潮暗涌的安全深海区。 单论WhastApp软件，NSO精准锁定1400名目标，致使15亿用户同步安全更新；再横向挖掘，除了WhastApp，NSO从苹果、谷歌、亚马逊和微软产品的服务器中，都有非法获取数据的先例。

所以，一种简单粗暴的计量，软件安全，尤其是国民级/世界级软件安全问题一旦出现，几乎可等量为全球“亿级体量”安全海啸的爆发。

（三）软件生态涉及方方面面：最终落点国家安全

聊到这里，软件安全到底“牵连能有多广”的问题，就算我们抛开设备因素，避开用户规模，还可以从人类活动的方方面面去求证。

基于网络社交的角度，现如今从普通个人、公司职员到政府官员，人人身处其中，几乎所有人都离不开社交软件。由此产生的海量资料数据，也夹杂着隐于暗处的身份敏感人群和机密情报，而NSO只是一个在社交网络抽丝剥茧寻找目标的细心者。

基于社会运作角度，小到办公软件、生产软件，大到涉及国家军事安全的国防、工控系统，都离不开科研、监测、远程办公等各种软件应用。而此时软件生态的威胁，同样是摆在面前的安全问题。可以说，涉及方方面面的软件生态，最终是能危及国家安全的存在。

就如，疫情期间意大利社保局网站因多次黑客攻击崩溃关闭，33万+份新冠肺炎社保福利申请搁置。如若同类事件发生在政府、民生、工控乃至军事领域，国家安全恐难逃软件安全暴雷后的牵连。

（据称NSO 间谍软件工作站屏幕截图，追踪个人定位）

网络时代，安全问题往往牵一发而动全身，或者说没有小隐患，只有没触发的惊雷。

NSO与Facebook之间，不再是传统的法律纠纷

抛开网络攻击的层层安全隐忧，从法律角度切入会发现这场持续了7个月的诉讼，向我们揭开了网络攻击事件背后，远超传统法律纠纷的复杂性。

（一）网络攻击的定罪：难溯源与举证难的死循环

法律讲究证据，但网络攻击却因难溯源面临举证难的困境。NSO用以监听whatsapp账户间谍软件Pegasus，不仅是网安圈公认的终极武器，更是销往全球的网络军火。卡巴斯基曾在一次Pegasus溯源中，强调其是端点上最为复杂的攻击，而Facebook如何在网络攻击中找到铁证成为了难题。

难溯源与举证难是一个死循环。从目前Facebook诉讼中列举IP服务器地址、恶意代码等相关内容来看，尚缺关键性的实质证据。由于攻击行为者网上网下一致性确认的艰难，依然无法让法院以此快速裁决，因此诉讼耗时7个月至今，仍无法出具判决结果，一大症结就在于此。

（新递交材料中的部分证据强调IP服务器）

（二）网络攻击的管辖：跨境追责情况复杂

法律多以域内管辖为基础原则。而NSO与Facebook之间，一个是美国互联网巨头，一个是以色列网络军火巨鳄，国别的差异让难溯源难举证的诉讼，成为了法律层面更复杂跨境追责。

通常情况下，跨国跨境面临着协助调查取证、证据转换及采信、缉捕遣返犯罪嫌疑人、涉案赃款赃物移交等多重问题。为了避免落入跨境追责的深坑，Facebook以NSO部分服务器位于美国境内为由，申辩洛杉矶法院拥有NSO管辖权。但在法院尚未明确判定上述申诉成立前，法律维度上NSO与Facebook之间的诉讼，仍是复杂的跨境追责。

（2019年10月23日，Facebook首席执行官马克·扎克伯格出席听证会）

而我们可以继续预见，国家级网络安全事件的频发，势必会带来更多的同类事件，法律的完善也势在必行。

零日反思

目前来看，Facebook和NSO的诉讼“车轮战”还将继续上演，争的是Facebook与NSO的孰是孰非，论的却是数据泄露、软件生态、法律法规多维度下，网络攻击的趋势进程与防治，这才是值得我们深思且注意的内核。

最后，借用网友的一句话，谁会赢？Facebook还是NSO ？

我不知道，但是可以确定的是，失败者是什么都不知道的用户。

零日情报局作品

微信公众号：lingriqingbaoju

参考资料：

[1] ZDnet《Facebook诉NSO集团诉讼案:1400多名用户成为Pegasus间谍软件的目标》