大家好，我是 零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju。

最近一年，有一件橫跨國際法律界、科技界、網路安全界的熱門頭條——那就是Facebook與NSO集團長達210天的訴訟案。

一邊是全球網際網路科技巨頭，憑藉Facebook、WhatsApp等全球主流社交應用，攬獲數十億使用者。而它以賬戶入侵監聽之名起訴，代表著WhatsApp數億擁躉的安全權；

另一邊是大名鼎鼎的網路軍火商，以色列數十家數字間諜工具開發公司的領頭羊NSO Group，以刪除賬號、豁免權、國際法持續反訴。

一場三界熱議的跨年大戲，7個月不見結果的訴訟，到底牽扯著什麼樣的暗湧？我們不妨先簡單回顧Facebook與NSO互捶的關鍵節點，想看分析可直接跳過此部分。

持續210天的訴訟“車輪戰”

爭端的導火索相信大家也有耳聞。去年10月，Facebook發現NSO利用 Whatsapp中的一個嚴重漏洞（CVE-2019-3568），可以在用戶沒有接聽的情況下，非法入侵手機，並在Android和IOS上遠端安裝Pegasus（飛馬軟體）。

這一發現無疑是把曼妥思扔進可樂池，科技界瞬間一片沸騰。

眾所周知，Pegasus是由NSO Group公司開發的間諜軟體。最大功能是從受害者的手機訪問大量隱私資料，更直白地說，是專門竊取記者、外交官、人權活動家、政府高階官員等敏感人群的重要資訊。

Facebook怒將NSO告上法庭，訴訟戰已經打響，此後便是漫長的“車輪式”互捶，各種猛料依次爆開：

2019年11月，Facebook採取應急行動，關閉刪除NSO大批員工的個人賬戶，以防止他們發起更多攻擊；而NSO在以色列當地法院起訴Facebook的封號舉措；

2020年3月，NSO開始第一輪反制操作，指控Facebook沒有遵守《海牙公約》，未向法院提交必要檔案，呼籲法院對Facebook處以約1.7萬美元的罰款；

2020年4月初，NSO發起第二輪耐人尋味的反擊，曝Facebook曾經也向NSO購買間諜軟體，以圖監視使用者，直指Facebook買賣不成反咬報復；

2020年4月23日，Facebook重新提交35頁訴訟材料，補充了IP伺服器地址等大量舉證材料，並直接公佈惡意程式碼，實錘NSO的惡意行徑。

（Facebook最新遞交35頁訴訟材料）

鷸蚌相爭，吃瓜看戲。只不過零日看來，NSO與Facebook背後並不簡單，它更代表著現存網路環境下，資料洩露、軟體安全、網路武器、法律法規等多個版塊的隱雷。今天，零日給大家分析下這樁訴訟巨案背後的一些端倪，若有不同見解，歡迎探討。

NSO與Facebook之間，不再是普通的隱私洩露

首先，Whatsapp事件是典型的隱私洩露事件，只不過隱私洩露這個話題，隨著技術更迭、環境變遷，在各個維度和指標上都發生了變化。

（一）隱私洩露的物件：從隨機目標到精準人群

以往，多數見諸報端的隱私洩露事件，都是隨機群體大規模問題。此前美國Elasticsearch 伺服器被駭客公開在暗網上，致使12億人敏感資訊洩露，就是典型的泛人群的群體性資訊洩露事件。

（12億人敏感資訊洩露）

而隨著全球隱私資料的嚴重氾濫，個人資訊交易成為黑產廉價商品，精準人群資訊背後的高收益，驅使著駭客開始轉向精準攻擊。此次，NSO間諜軟體從WhatsApp全球15億使用者群體中，精確地瞄準1400人，進行定向監聽監控，就說明了這一點。

（二）隱私洩露的價值：從低價值到高價值蔓延

接著再說，常規情況下，絕大多數的網路攻擊多為機會主義。駭客伺機尋找網路薄弱環節進行攻擊，並採取撒網戰術，透過大量釣魚郵件、誘惑性內容潛水網路摸魚，大浪淘金回報不定。

相比之下，NSO間諜軟體的運作要精細得多——專門鎖定外交官、政治異議人士、記者等高價值敏感人群，並進行持續長達一年之久的監控活動。

這說明駭客群體已經意識到一個事實：高價值目標背後是更加暴利的收益，甚至是非金錢可衡量的巨大價值。換言之，高階利益，已成為精銳駭客攻擊的新動機和新方向。

（三）隱私洩露的目的：從非法牟利到政治訴求

至於，NSO等駭客組織為什麼重點針對政要、官員、記者等特殊人士，我們可以從更多案例總結答案。打上一個與WhatsApp的1400名身份敏感人士，同樣遭受NSO間諜軟體定向監控的，是沙烏地阿拉伯的異見記者卡舒吉。因為行蹤洩露，卡舒吉迎來了被沙特政府肢解謀殺的悲慘下場。

而更多NSO製造的政治命案，可以閱讀《NSO間諜軟體：你們要人權，我們要人命》

（NSO曾售沙特間諜軟體用於監控卡舒吉手機）

政治相關敏感人群遭遇間諜軟體監控，意味著資訊洩露已不再是常規的安全問題，而是成為部分國家組織機構，情報竊取、控制言論、排除異己，外交談判等實現政治目的的工具手段。

看似個人化的資訊洩露，在政治目的的驅動與駭客技術的加持上，已成為超過常規威脅的存在。

NSO與Facebook之間，不再是尋常的網路攻擊

必須承認，NSO入侵WhatsApp是無需洗白的網路攻擊行動，但暴露的卻是，網路攻擊工具在研發端和使用端的新趨勢。

（一）研發者角度，從“民間開發”演變為“國家精研”

曾經，談及令聞風喪膽的病毒木馬，不論是席捲全球150萬使用者的Gandcrab勒索病毒，還是挖礦、盜號、遠控等各類木馬家族，總的來說，多數都只是民間駭客組織開發，且只為炫技或謀財。但NSO的出現，則代表著國家級精研力量的入局。

高精尖武器化的網路工具，與暗網駭客論壇氾濫的惡意工具有著質的差異。就像NSO王牌產品Pegasus作為一款間諜監聽軟體，被各界稱為“殺人軟體”，能實現無感知、難溯源、長期持續、精準定向的網路入侵、監聽、攻擊等活動。相比民間開發軟體引發的網路攻擊，威脅高下立現。

再來，前後兩者不僅在技術能力、攻擊質量、服務體驗上有著懸殊的差距，還在背景上存在質的區別。大家知道，NSO脫胎於以色列最強網軍8200部隊，強悍的軍方背景身份，一來有力推動Pegasus的全球化市場佔有，二來難保不會成為NSO“霸道橫行但難以追責”的保命底牌。

（二）使用者角度，從黑產組織演變為軍政使用者

公開言論中，NSO聲稱它是專為政府提供打擊恐怖和犯罪的網路技術服務商；而在大家心照不宣的實情中，2011年NSO從墨西哥政府手中拿到了8000萬美元合同訂單，此後還將監視技術賣給巴拿馬政府。

截至現在，有指墨西哥、巴拿馬、沙特、阿聯酋、巴林 、摩洛哥、哈薩克等國家已成為NSO網路攻擊服務的採賣者和使用者。

（墨西哥政府關聯的NSO間諜軟體目標，記者，律師，科學家，公共衛生運動家，參議員，政治家和國際調查都被確定為NSO間諜軟體的目標）

這恰恰說明了一個跡象，以往的網路攻擊工具或服務的使用者，多為詐騙團伙、黑產組織、網路罪犯等民間非法組織；

而如今網路攻擊武器，成為了國家背景政府組織群體的新寵。儘管敢公開承認的還只是少數，但當使用者躍升至軍政領域，傳統網路攻擊的屬性與破壞力，以數倍遞增，甚至不排除直抵國家安全生命線的可能。

更有意思的是，如果NSO對Facebook的第二輪指控不完全是謊言，那麼Facebook作為世界科技巨頭，是不是真的試圖與魔鬼做交易呢？

（NSO間諜軟體幫助客戶監控全球45個國家/地區）

NSO與Facebook之間，不再是孤立的軟體安全

拋開資料洩露危機，再回歸Whatsapp軟體遭入侵本身，會發現軟體安全不再是孤立的問題。軟體與硬體、軟體與使用者、軟體甚至直接與國家安全，連線成了擺在我們面前的一張大網。

（一）萬物互聯趨勢：觸發“軟硬體連體”安全威脅

首先，物聯網時代，軟體硬體的無縫連線，築起了萬物互聯的網路生態，而萬物互聯也帶來了安全威脅的橫向輻射。簡單來說，就是軟體隱患，可能觸發手機、電腦、平板、智慧裝置等硬體危機，反之同樣成立。

（NSO間諜軟體利用蘋果0day漏洞襲擊阿聯酋人權捍衛者）

NSO透過WhatsApp Service（CVE- 2019-3568）漏洞，搭設遙控器蜂窩，入侵使用者手機裝置，進監聽獲取定位等多重資訊的背後，其實就是軟硬體間隱患的串聯問題。

（二）軟體巨頭壟斷天量使用者：爆發動輒“億級”個人安全隱患

接著，“技術壟斷”往往伴隨相應的虹吸效應，例如“使用者壟斷”。網際網路巨頭Facebook就是典型。單憑WhastApp一款軟體收割全球 15億月活使用者，再加上Facebook、Instagram等多款全球最火應用，天文數字量級的獨立個體，連成一線。

但是，風光的“使用者池”之下，掩蓋著如潮暗湧的安全深海區。 單論WhastApp軟體，NSO精準鎖定1400名目標，致使15億使用者同步安全更新；再橫向挖掘，除了WhastApp，NSO從蘋果、谷歌、亞馬遜和微軟產品的伺服器中，都有非法獲取資料的先例。

所以，一種簡單粗暴的計量，軟體安全，尤其是國民級/世界級軟體安全問題一旦出現，幾乎可等量為全球“億級體量”安全海嘯的爆發。

（三）軟體生態涉及方方面面：最終落點國家安全

聊到這裡，軟體安全到底“牽連能有多廣”的問題，就算我們拋開裝置因素，避開使用者規模，還可以從人類活動的方方面面去求證。

基於網路社交的角度，現如今從普通個人、公司職員到政府官員，人人身處其中，幾乎所有人都離不開社交軟體。由此產生的海量資料資料，也夾雜著隱於暗處的身份敏感人群和機密情報，而NSO只是一個在社交網路抽絲剝繭尋找目標的細心者。

基於社會運作角度，小到辦公軟體、生產軟體，大到涉及國家軍事安全的國防、工控系統，都離不開科研、監測、遠端辦公等各種軟體應用。而此時軟體生態的威脅，同樣是擺在面前的安全問題。可以說，涉及方方面面的軟體生態，最終是能危及國家安全的存在。

就如，疫情期間義大利社保局網站因多次駭客攻擊崩潰關閉，33萬+份新冠肺炎社保福利申請擱置。如若同類事件發生在政府、民生、工控乃至軍事領域，國家安全恐難逃軟體安全暴雷後的牽連。

（據稱NSO 間諜軟體工作站螢幕截圖，追蹤個人定位）

網路時代，安全問題往往牽一髮而動全身，或者說沒有小隱患，只有沒觸發的驚雷。

NSO與Facebook之間，不再是傳統的法律糾紛

拋開網路攻擊的層層安全隱憂，從法律角度切入會發現這場持續了7個月的訴訟，向我們揭開了網路攻擊事件背後，遠超傳統法律糾紛的複雜性。

（一）網路攻擊的定罪：難溯源與舉證難的死迴圈

法律講究證據，但網路攻擊卻因難溯源面臨舉證難的困境。NSO用以監聽whatsapp賬戶間諜軟體Pegasus，不僅是網安圈公認的終極武器，更是銷往全球的網路軍火。卡巴斯基曾在一次Pegasus溯源中，強調其是端點上最為複雜的攻擊，而Facebook如何在網路攻擊中找到鐵證成為了難題。

難溯源與舉證難是一個死迴圈。從目前Facebook訴訟中列舉IP伺服器地址、惡意程式碼等相關內容來看，尚缺關鍵性的實質證據。由於攻擊行為者網上網下一致性確認的艱難，依然無法讓法院以此快速裁決，因此訴訟耗時7個月至今，仍無法出具判決結果，一大症結就在於此。

（新遞交材料中的部分證據強調IP伺服器）

（二）網路攻擊的管轄：跨境追責情況複雜

法律多以域內管轄為基礎原則。而NSO與Facebook之間，一個是美國網際網路巨頭，一個是以色列網路軍火巨鱷，國別的差異讓難溯源難舉證的訴訟，成為了法律層面更復雜跨境追責。

通常情況下，跨國跨境面臨著協助調查取證、證據轉換及採信、緝捕遣返犯罪嫌疑人、涉案贓款贓物移交等多重問題。為了避免落入跨境追責的深坑，Facebook以NSO部分伺服器位於美國境內為由，申辯洛杉磯法院擁有NSO管轄權。但在法院尚未明確判定上述申訴成立前，法律維度上NSO與Facebook之間的訴訟，仍是複雜的跨境追責。

（2019年10月23日，Facebook執行長馬克·祖克伯出席聽證會）

而我們可以繼續預見，國家級網路安全事件的頻發，勢必會帶來更多的同類事件，法律的完善也勢在必行。

零日反思

目前來看，Facebook和NSO的訴訟“車輪戰”還將繼續上演，爭的是Facebook與NSO的孰是孰非，論的卻是資料洩露、軟體生態、法律法規多維度下，網路攻擊的趨勢程式與防治，這才是值得我們深思且注意的核心。

最後，借用網友的一句話，誰會贏？Facebook還是NSO ？

我不知道，但是可以確定的是，失敗者是什麼都不知道的使用者。

零日情報局作品

微信公眾號：lingriqingbaoju

如需轉載，請後臺留言

歡迎分享朋友圈

參考資料：

[1] ZDnet《Facebook訴NSO集團訴訟案:1400多名使用者成為Pegasus間諜軟體的目標》