1 คะแนน โดย GN⁺ 2023-09-14 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • iPhone ของ Galina Timchenko ผู้ร่วมก่อตั้งและผู้จัดพิมพ์ของ Meduza ติด Pegasus เมื่อวันที่ 10 กุมภาพันธ์ 2023 และเป็นกรณีแรกที่ยืนยันได้ว่าเกิดกับนักข่าวรัสเซีย
  • จากการวิเคราะห์ของ Access Now และ Citizen Lab ผู้โจมตีสามารถเข้าถึงไมโครโฟน กล้อง หน่วยความจำ รูปภาพ ปฏิทิน สมุดที่อยู่ และแม้แต่บทสนทนาในแอปส่งข้อความที่เข้ารหัส โดยเชื่อว่าการติดเชื้อเกี่ยวข้องกับช่องโหว่ PWNYOURHOME ผ่าน HomeKit·iMessage
  • วันถัดจากการติดเชื้อ Timchenko เข้าร่วมสัมมนาแบบปิดในเบอร์ลินกับบุคลากรของสื่ออิสระรัสเซียในต่างแดน และในเวลานั้นโทรศัพท์อาจถูกใช้ราวกับเป็น อุปกรณ์ดักฟัง
  • NSO Group ระบุว่า Pegasus จำหน่ายให้ลูกค้าภาครัฐเท่านั้นเพื่อใช้รับมืออาชญากรรมและการก่อการร้าย แต่ Access Now และ Citizen Lab มองว่าข้อสงสัยเรื่องการใช้งานในยุโรป เช่น ลัตเวีย เอสโตเนีย และเยอรมนี รวมถึงความเป็นไปได้ของการสอดแนมข้ามพรมแดน เป็นประเด็นสำคัญ
  • ยังไม่สามารถระบุตัวผู้โจมตีและวัตถุประสงค์ได้ และกรณีของ Timchenko สะท้อนทั้งแนวโน้มในยุโรปที่ปฏิบัติต่อนักข่าวเสมือนเป็นภัยต่อความมั่นคงของรัฐ และช่องว่างด้านกฎระเบียบของสปายแวร์เชิงพาณิชย์

จากการแจ้งเตือนภัยคุกคามของ Apple สู่การยืนยันการติดเชื้อ

  • วันที่ 22 มิถุนายน 2023 Galina Timchenko ได้รับการแจ้งเตือนภัยคุกคามจาก Apple เกี่ยวกับ state-sponsored attackers และส่งต่อให้ทีมเทคนิคของ Meduza
  • threat notifications ของ Apple คือการแจ้งเตือนที่ส่งเมื่อผู้ใช้ตกเป็นเป้าหมายเฉพาะบุคคลเพราะ “เป็นใคร” หรือ “ทำอะไร”
    • Apple อธิบายว่าการโจมตีที่ได้รับการสนับสนุนจากรัฐมีความซับซ้อนมาก ต้องใช้เงินพัฒนาหลายล้านดอลลาร์ และมักมีอายุการใช้งานสั้น
    • การแจ้งเตือนที่ Timchenko ได้รับไม่ได้ระบุว่ามาจากรัฐใด
  • หัวหน้าฝ่ายเทคนิคของ Meduza จึงขอความช่วยเหลือจากภายนอก
    • Access Now เป็นองค์กรไม่แสวงหากำไรที่สนับสนุนสิทธิพลเมืองดิจิทัลและแนวปฏิบัติด้านความปลอดภัยของผู้ใช้ทั่วโลก
    • Citizen Lab เป็นสถาบันวิจัยของมหาวิทยาลัยโตรอนโตที่สืบสวนปฏิบัติการสอดแนมดิจิทัลต่อภาคประชาสังคม
  • Access Now และ Citizen Lab รวบรวมข้อมูลอุปกรณ์ของ Timchenko และตรวจสอบอย่างรวดเร็ว ก่อนยืนยันว่า iPhone ติด Pegasus เมื่อวันที่ 10 กุมภาพันธ์ 2023

สิทธิ์การเข้าถึงที่ Pegasus ได้รับ

  • การติด Pegasus ทำให้ผู้โจมตีได้ สิทธิ์เข้าถึงทั้งหมด บน iPhone ของ Timchenko
    • เข้าถึงไมโครโฟน กล้อง และหน่วยความจำได้
    • ดูที่อยู่บ้าน ปฏิทิน รูปภาพ และบทสนทนาในแอปส่งข้อความที่เข้ารหัสได้
    • ดูหน้าจอโดยตรงและอ่านข้อความได้ในขณะที่กำลังพิมพ์
    • ดาวน์โหลดอีเมล ข้อความ รูปภาพ และไฟล์ได้
  • ผู้ใช้แทบไม่สามารถป้องกันหรือสังเกตเห็นการติดเชื้อได้
    • Pegasus สามารถแฮ็กอุปกรณ์ได้หากมีแอปที่มีช่องโหว่เพียงตัวเดียว แม้จะเป็นแอปที่ Apple ติดตั้งมาให้โดยค่าเริ่มต้นก็ตาม
    • ผู้ใช้ก็สังเกตเห็นว่าอุปกรณ์ติดเชื้อได้ยากเช่นกัน
    • Timchenko เคยรู้สึกว่า iPhone อุ่นกว่าปกติ แต่คิดว่าเป็นเพราะที่ชาร์จอันใหม่
  • Citizen Lab มองว่าผู้โจมตีอาจเจาะผ่าน HomeKit และ iMessage
    • นักวิจัยพบร่องรอยดิจิทัลเฉพาะตัวของ Pegasus
    • ช่องโหว่ที่ใช้ดูเหมือนจะเป็น PWNYOURHOME ซึ่งมุ่งโจมตีฟังก์ชัน HomeKit ที่มากับ iPhone และใช้ประโยชน์จาก iMessage เพื่อติดตั้งสปายแวร์
    • John Scott-Railton ระบุว่าการโจมตีนี้ทำได้แม้บนอุปกรณ์ที่ไม่ได้เปิดใช้ HomeKit

การประชุมลับที่เบอร์ลินและช่วงเวลาที่ติดเชื้อ

  • วันที่ติดเชื้อคือ 10 กุมภาพันธ์ 2023 หนึ่งวันก่อนที่ Timchenko จะเข้าร่วมการประชุมแบบปิดในเบอร์ลิน
  • วันที่ 11 กุมภาพันธ์ Timchenko และ Ivan Kolpakov บรรณาธิการบริหารของ Meduza เข้าร่วมสัมมนาแบบปิดที่เบอร์ลินร่วมกับผู้เกี่ยวข้องจากสื่ออิสระรัสเซียในต่างแดน
    • สัมมนาจัดโดยคณะกรรมการรางวัลสื่อ Redkollegia
    • ผู้บริหารสื่อและทนายหารือประเด็นทางกฎหมายของการดำเนินงานที่เกี่ยวข้องกับรัสเซีย ท่ามกลางการเซ็นเซอร์อย่างครอบคลุมและการปราบปรามนักข่าวกับนักกิจกรรม
    • สองสัปดาห์ก่อนหน้านั้น อัยการสูงสุดรัสเซียได้ขึ้นบัญชี Meduza เป็น “undesirable organization” ทำให้การรายงานของสื่อแห่งนี้กลายเป็นสิ่งผิดกฎหมาย
  • Pegasus ทำงานอยู่แล้วในขณะที่ Timchenko เข้าร่วมประชุม
    • ผู้โจมตีสามารถเปิดไมโครโฟนของโทรศัพท์จากระยะไกลเพื่อบันทึกบทสนทนารอบตัวได้
    • กล้องก็สามารถถูกเปิดได้ในลักษณะเดียวกัน
    • Natalia Krapiva จาก Access Now มองว่าโทรศัพท์ของ Timchenko อาจถูกใช้เป็น อุปกรณ์ดักฟัง เพื่อแอบฟังแผนงานของนักข่าวรัสเซีย

กรณียืนยันครั้งแรกที่เกิดกับนักข่าวรัสเซีย

  • กรณีของ Timchenko เป็นกรณีแรกที่ยืนยันได้ว่า Pegasus ถูกใช้กับนักข่าวรัสเซีย
  • Access Now ตรวจสอบโทรศัพท์ของนักข่าวและนักกิจกรรมเชื้อสายรัสเซียราว 20 คน และพบมัลแวร์หลายชนิด แต่ก่อนหน้านี้ยังไม่พบ Pegasus
  • John Scott-Railton จาก Citizen Lab อธิบายว่าสปายแวร์ประเภทนี้สามารถซ่อน log file และลบร่องรอยของตัวเองได้ ทำให้ระบุการติดเชื้อได้ยาก
  • Citizen Lab และ Lookout Security เป็นผู้เปิดเผยร่องรอยการมีอยู่ของ Pegasus ครั้งแรกในปี 2016
    • รายงานในเวลานั้นระบุว่า “remote monitoring solution” ของ NSO Group ถูกใช้สอดแนม Ahmed Mansoor นักเคลื่อนไหวสิทธิมนุษยชนในสหรัฐอาหรับเอมิเรตส์
  • Citizen Lab ติดตามทั้งเซิร์ฟเวอร์ที่จำเป็นต่อการปฏิบัติการของ Pegasus และเซิร์ฟเวอร์ที่รับข้อมูลจากอุปกรณ์ที่ติดเชื้อ
    • Access Now อธิบายว่า Pegasus ใกล้เคียงกับ บริการ มากกว่าจะเป็นแค่ผลิตภัณฑ์ และ NSO Group ให้การฝึกปฏิบัติงานแก่ประเทศลูกค้าด้วย

NSO Group กับโครงสร้างต้นทุนและการขายของ Pegasus

  • NSO Group อ้างว่า Pegasus ถูกออกแบบมาเพื่อใช้เฝ้าระวัง “ผู้ก่อการร้าย อาชญากร และผู้กระทำผิดทางเพศต่อเด็ก” เท่านั้น
  • บริษัทขาย Pegasus ให้เฉพาะลูกค้าภาครัฐ
    • ผู้ร่วมก่อตั้งรวมถึงอดีตบุคลากรจากหน่วยข่าวกรองทหารอิสราเอลและ Mossad
    • แม้ NSO Group จะชูเรื่องนโยบายสิทธิมนุษยชนที่เข้มงวด แต่รัฐบาลหลายแห่งก็ใช้ Pegasus เพื่อเล่นงานผู้วิจารณ์และฝ่ายตรงข้ามทางการเมืองมาแล้ว
  • John Scott-Railton จาก Citizen Lab กล่าวว่า ค่าเข้าถึง Pegasus อยู่ที่ “หลายสิบล้านดอลลาร์ หรือมากกว่านั้น”
    • รัฐบาลเม็กซิโกใช้จ่ายกับเทคโนโลยี Pegasus ไปอย่างน้อย 61 ล้านดอลลาร์
    • เม็กซิโกใช้มันสอดแนมทั้งอาชญากรและบุคคลในภาคประชาสังคม
  • ตามข้อมูลของ Natalia Krapiva จาก Access Now สัญญากับ NSO Group ใช้รูปแบบอนุญาตจำนวน การติดเชื้อพร้อมกัน
    • ตัวอย่างเช่น แพ็กเกจ 20 ราย หมายถึงสามารถเฝ้าระวังคนได้พร้อมกัน 20 คน
  • รัฐบาล Biden นำ NSO Group ขึ้นบัญชีดำของรัฐบาลกลางในเดือนพฤศจิกายน 2021 ทำให้ไม่สามารถรับเทคโนโลยีจากสหรัฐฯ ได้
    • มาตรการนี้เกิดขึ้นไม่กี่เดือนหลังจาก Pegasus Project consortium เปิดโปงการใช้งานสปายแวร์อย่างแพร่หลายและในทางที่ผิด

ความเป็นไปได้ของรัสเซีย คาซัคสถาน และอาเซอร์ไบจาน

  • เป็นที่ทราบกันว่า NSO Group ทำให้ Pegasus ใช้งานกับหมายเลขโทรศัพท์สหรัฐฯ หรือรัสเซียไม่ได้
    • ในปี 2020 ผู้ออกแบบ Pegasus ระบุว่าโทรศัพท์ที่ติดเชื้อไม่สามารถอยู่ภายในสหรัฐฯ ได้ทางกายภาพ และหากเข้ามาในเขตแดนสหรัฐฯ ซอฟต์แวร์จะทำลายตัวเอง
    • เมื่อเอสโตเนียซื้อสิทธิ์เข้าถึง Pegasus ในปี 2019 มีรายงานว่า NSO Group ห้ามใช้กับเป้าหมายรัสเซีย
  • NSO Group อ้างมาตลอดว่ารัสเซียและจีนเป็นประเทศที่ “ไม่มีวันเป็นลูกค้าได้”
    • บริษัทระบุว่าตรวจสอบประวัติด้านสิทธิมนุษยชน การคอร์รัปชัน ความปลอดภัย การเงิน และประวัติการใช้งานในทางที่ผิดของลูกค้าเป้าหมาย
    • เดือนมกราคม 2023 CEO Yaron Shohat กล่าวว่า บริษัทมุ่งเน้นธุรกิจหลักที่จัดหาให้รัฐบาลพันธมิตรของสหรัฐฯ และอิสราเอล
  • Andrey Soldatov มองว่าหน่วยข่าวกรองรัสเซียเป็นผู้ขาย ไม่ใช่ผู้ซื้อ ในตลาดเทคโนโลยีสปายระดับโลก และมีความหวาดระแวงอย่างมากต่อสปายแวร์จากต่างชาติ
    • การที่ข้อมูลที่ขโมยมาผ่าน Pegasus ถูกส่งไปยังเซิร์ฟเวอร์ในระบบนิเวศของ NSO Group อาจเป็นภาระสำหรับหน่วยงานรัสเซียเช่นกัน
    • FSB ของรัสเซียไม่ตอบคำถามของ Meduza เกี่ยวกับ Pegasus
  • Access Now พิจารณาทฤษฎีชั่วคราวว่าคาซัคสถานหรืออาเซอร์ไบจานอาจเป็นผู้โจมตีตามคำขอจากมอสโก
    • ทั้งสองประเทศถูกสงสัยว่าเป็นลูกค้าของ Pegasus
    • อุซเบกิสถานไม่ถูกมองว่าเป็นลูกค้า Pegasus ในช่วงเวลาดังกล่าว
  • อย่างไรก็ตาม เท่าที่นักวิจัยทราบ คาซัคสถานและอาเซอร์ไบจานไม่เคยดำเนินการโจมตีด้วย Pegasus ในยุโรป และ Timchenko อยู่ในเยอรมนีตอนที่ติดเชื้อ
    • Citizen Lab ระบุว่าไม่พบหลักฐานว่าคาซัคสถานใช้ Pegasus นอกพรมแดน
    • อาเซอร์ไบจานเคยใช้ Pegasus ในต่างประเทศ แต่ประเทศที่นักวิจัยมีบันทึกไว้มีเพียงอาร์เมเนีย

ข้อสงสัยเกี่ยวกับ Pegasus ในลัตเวีย เอสโตเนีย และเยอรมนี

  • iPhone ที่ติด Pegasus ของ Timchenko ใช้ SIM ของลัตเวีย
  • Citizen Lab บันทึกกิจกรรมที่เกี่ยวข้องกับ Pegasus ในลัตเวียครั้งแรกในปี 2018 และผู้เชี่ยวชาญมองว่า Riga ยังใช้ผลิตภัณฑ์ของ NSO Group อยู่จนถึงตอนนี้
    • Access Now ไม่ตัดความเป็นไปได้ที่หน่วยข่าวกรองลัตเวียจะเป็นผู้โจมตี
    • สองเดือนก่อนการติดเชื้อ ลัตเวียเพิกถอนใบอนุญาตออกอากาศในประเทศของ TV Rain ซึ่งเป็นสื่อรัสเซียในต่างแดนอีกราย โดยมองว่าเป็น “ภัยต่อความมั่นคงของรัฐและความสงบเรียบร้อยสาธารณะ”
  • อย่างไรก็ดี Citizen Lab ไม่เคยสังเกตเห็นว่า Riga ใช้ Pegasus โจมตีเป้าหมายนอกลัตเวีย และ Timchenko ติดเชื้อขณะอยู่ใน Berlin
    • สำนักงานความมั่นคงแห่งรัฐของลัตเวียตอบว่าไม่มีข้อมูลเกี่ยวกับความเป็นไปได้ของการโจมตีสมาร์ตโฟนของ Timchenko
    • ส่วนคำถามอื่น เช่น มีการใช้ Pegasus หรือไม่ และมีการสอดแนมเป้าหมายในต่างประเทศหรือไม่ หน่วยงานปฏิเสธตอบโดยอ้างความลับของข้อมูลปฏิบัติการ
  • ยืนยันแล้วว่าเอสโตเนียซื้อสิทธิ์เข้าถึง Pegasus ในปี 2019 และ Citizen Lab ก็สนับสนุนข้อมูลนี้
    • Scott-Railton กล่าวว่าได้ติดตามกรณีที่เอสโตเนียติด Pegasus ให้เป้าหมายข้ามพรมแดนในหลายประเทศสมาชิก EU รวมถึงเยอรมนี
  • สำนักงานตำรวจอาชญากรรมกลางของเยอรมนีได้สิทธิ์เข้าถึง Pegasus ในปี 2019 และยอมรับการซื้อในปี 2021
    • มีรายงานว่าเยอรมนีใช้เวอร์ชันที่ปิดบางฟังก์ชันเพื่อป้องกันการใช้งานในทางที่ผิด แต่ไม่ได้อธิบายว่าทำงานจริงอย่างไร
    • Krapiva กล่าวว่า รายงานของ European Data Protection Supervisor มองว่าไม่ใช่แค่ Pegasus รุ่นดั้งเดิมเท่านั้น แต่ Pegasus ในทุกรูปแบบก็แทบไม่อาจสอดคล้องกับกฎหมาย EU และหลักการพื้นฐานได้

ปัญหาสปายแวร์เชิงพาณิชย์ในยุโรป

  • Scott-Railton มองว่าการติดเชื้อของ Timchenko ใน Berlin แสดงให้เห็นว่าปัญหา Pegasus ในยุโรปยังไม่ได้รับการแก้ไข
  • เยอรมนีไม่ได้ลงนามในแถลงการณ์ร่วมเพื่อรับมือการแพร่กระจายและการใช้งานในทางที่ผิดของสปายแวร์เชิงพาณิชย์
    • แถลงการณ์ดังกล่าวมี 11 ประเทศร่วมลงนาม รวมถึง Denmark, France และ Sweden
  • Access Now ชี้ว่าสมาชิก EU 4 ประเทศที่กลายเป็นศูนย์กลางใหม่ของผู้อพยพชาวรัสเซียที่ต่อต้านสงคราม ได้แก่ Latvia, Estonia, Germany และ Netherlands ต่างก็ถูกสงสัยว่าเป็นผู้ใช้ Pegasus
  • EU PEGA Committee ระบุว่าภายใน EU มีอย่างน้อย 14 ประเทศสมาชิกและ 22 ผู้ปฏิบัติการ ที่เป็นผู้ใช้ Pegasus
    • ปัจจุบันมีเพียงสัญญาของ NSO Group กับ Hungary และ Poland ที่สิ้นสุดลงแล้ว
  • Access Now มองว่าการโจมตี Timchenko เป็นอย่างน้อยกรณีคล้ายกันครั้งที่สี่ในยุโรปในช่วง 1 ปีที่ผ่านมา
    • Meduza ทราบรายละเอียดของกรณีอื่น ๆ แต่ผู้เสียหายไม่ต้องการเปิดเผย
  • Krapiva มองว่าแนวโน้มที่ปฏิบัติต่อนักข่าวในยุโรปเสมือนเป็นภัยคุกคามเริ่มสะท้อนอยู่ในกฎหมาย EU แล้ว
    • เธอเตือนว่าถ้อยคำบางส่วนของ European Media Freedom Act ถูกทำให้อ่อนลง โดยมี France และ Sweden เป็นต้น จนอาจถูกใช้เพื่อทำให้การสอดแนมนักข่าวภายใต้ข้ออ้างเรื่องความมั่นคงของรัฐมีความชอบธรรม

การตอบสนองของ NSO Group และประเด็นความรับผิดชอบ

  • NSO Group ไม่ตอบคำถามว่ารู้เรื่องการโจมตี Timchenko หรือไม่ และลูกค้ารายใดอาจเป็นผู้ดำเนินการเจาะระบบ
  • โฆษกของบริษัทระบุว่า Pegasus ขายให้เฉพาะพันธมิตรของสหรัฐฯ และอิสราเอล โดยเฉพาะประเทศในยุโรปตะวันตก และมีวัตถุประสงค์เพื่อรับมืออาชญากรรมและการก่อการร้าย
  • NSO Group ย้ำว่าตรวจสอบข้อกล่าวหาเรื่องการใช้งานในทางที่ผิดที่น่าเชื่อถือทั้งหมด แต่ไม่ได้ระบุว่าพร้อมจะเปิดการสอบสวนภายในต่อกรณีของ Timchenko หรือไม่
  • The New York Times รายงานในเดือนมกราคม 2022 ว่าระบบ Pegasus บันทึกการโจมตีทั้งหมดเมื่อมีการร้องเรียน และหากลูกค้ายินยอม NSO ก็สามารถทำการวิเคราะห์นิติดิจิทัลย้อนหลังได้
    • ในเดือนกรกฎาคม 2022 หัวหน้าฝ่ายกฎหมายและคอมพลายแอนซ์ของ NSO Group กล่าวต่อคณะกรรมาธิการของรัฐสภายุโรปว่า การสอบสวนภายในทำให้มีการยกเลิกสัญญาไป 8 ฉบับ
  • Krapiva จาก Access Now กล่าวว่า หลังจากมีเหยื่อหลายร้อยคน พวกเขาสรุปได้ว่ากระบวนการตรวจสอบภายในของ NSO ไม่มีอยู่จริง หรือมีไว้เพียงสร้างภาพ

สถานการณ์ปัจจุบันของ Timchenko และ Meduza

  • หลังการเจาะระบบ Timchenko ซื้อโทรศัพท์เครื่องใหม่ แต่ยังพก iPhone เครื่องที่เคยติดเชื้อไว้ด้วย
    • Citizen Lab ยืนยันว่าอุปกรณ์ดังกล่าวไม่มี Pegasus ติดตั้งอยู่แล้ว
    • Timchenko บอกว่าจะเก็บอุปกรณ์นั้นไว้เป็นของที่ระลึก
  • ตั้งแต่เดือนมิถุนายน 2023 ผู้เชี่ยวชาญได้วิเคราะห์โทรศัพท์ของพนักงาน Meduza หลายสิบคน
  • ยังไม่ทราบว่าผู้โจมตีต้องการข้อมูลเฉพาะใด
    • Alexey หัวหน้าฝ่ายเทคนิคของ Meduza กล่าวว่าจนกว่าจะรู้แรงจูงใจ ก็ต้องตั้งสมมติฐานไว้ที่กรณีเลวร้ายที่สุด
    • เขามองว่ายังไม่อาจตัดความเป็นไปได้ที่รัสเซียเป็นผู้สั่งการติดเชื้อ และผลกระทบอาจร้ายแรง
  • Timchenko ระบุว่าต่อจากนี้จะดำเนินการตามคำแนะนำของทนาย และจะไม่เงียบ

วิธีรับมือเมื่อสงสัยว่าติดเชื้อ

  • หากเชื่อว่ากำลังถูกสอดแนมด้วยสปายแวร์ แนะนำให้สำรองข้อมูลอุปกรณ์และติดต่อ Access Now เพื่อเก็บรักษาหลักฐานการโจมตีที่อาจเป็นไปได้
    • วิธีสำรองข้อมูล iPhone: Apple Support
    • วิธีสำรองข้อมูล Android: Google Support
  • Access Now มองว่าเงื่อนไขต่อไปนี้เป็นเหตุอันสมควรที่จะสงสัยว่ามีการติดสปายแวร์
    • เคยถูกหน่วยงานรัฐคุกคามมาก่อน
    • ตัวเองหรือคนใกล้ชิดเคยตกเป็นเป้าหมายของการโจมตีดิจิทัลแล้ว
    • ได้รับการแจ้งเตือนจากบริษัทเทคโนโลยีรายใหญ่ เช่น Apple, Google หรือ Meta ว่าอาจมีการโจมตีด้วยมัลแวร์
    • ได้รับข้อความน่าสงสัยทาง SMS, แอปส่งข้อความ หรืออีเมล
    • พบ “unusual login attempts” ในบัญชีของตน

1 ความคิดเห็น

 
GN⁺ 2023-09-14
ความเห็นบน Hacker News
  • สงสัยว่าเป็นไปได้แค่ไหนที่ NSO จะสะสม zero-day ไว้สัก 20 รายการ แยกต่างหาก เพื่อหยิบมาใช้ทันทีที่ช่องโหว่ปัจจุบันถูกค้นพบและแพตช์
    Apple รู้หรือพอจะเดาได้ไหมว่าปัญหานี้อาจร้ายแรงแค่ไหน? ไม่ว่า NSO จะใช้เงินเท่าไรในการซื้อ zero-day บริษัทระดับ Apple น่าจะเพิ่ม bug bounty ให้สูงพอเพื่อดึงคนเหล่านั้นเข้ามาทางถูกกฎหมายได้หรือเปล่า? จากบทความอย่างเดียวก็ยังไม่ชัดเจนว่าการติดตั้งต้องอาศัยการกระทำของผู้ใช้หรือไม่ ถ้าไม่ต้อง แล้วคนที่สงสัยแม้เพียงนิดว่าตัวเองอาจตกเป็นเป้าการสอดแนมที่รัฐสนับสนุนควรทำอย่างไร? ดูเหมือนการไม่ใช้โทรศัพท์เลย หรือคอยเปลี่ยนอุปกรณ์มือสองที่ซื้อมาเรื่อย ๆ จะปลอดภัยกว่า
    • ในบรรดาคำอธิบายที่เคยเห็นบน HN ความเห็นนี้ดูเหมือนจะชำแหละ NSO ได้ดีที่สุด
      Pegasus ไม่ใช่ผู้ลงมือแฮ็กเพียงรายเดียวอย่างที่บทความจำนวนมากบรรยาย แต่เป็นชุดบริการสำหรับดาวน์โหลดข้อมูลเมื่อมีสิทธิ์ root บนโทรศัพท์ บวกกับคลัง zero-day ที่ไม่รู้ว่าลึกแค่ไหน บางที Pegasus อาจมีช่วงที่ใช้งานไม่ได้เป็นชั่วโมง เป็นวัน หรือเป็นสัปดาห์ จนกว่าจะเปลี่ยน zero-day ตัวใหม่ จากเอกสารที่รั่วไหล เป็นที่รู้กันว่าพวกเขาใช้ทั้ง exploit แบบไม่ต้องคลิกและแบบต้องคลิกผสมกัน และรองรับระบบปฏิบัติการโทรศัพท์หลายตัว
      ความสามารถในการแฮ็กของพวกเขาน่าจะถูกพูดเกินจริงมาก เพื่อให้ซัพพอร์ตลูกค้าได้ราบรื่น พวกเขาอาจซื้อ zero-day ทั้งหมดและไม่ได้ค้นหาเองเลยก็ได้ zero-day แบบไม่ต้องคลิกสำหรับ iPhone มีมูลค่าราว 2 ล้านดอลลาร์[1] และบริษัทที่มีสัญญาแบบ NSO ก็ซื้อของแบบนั้นได้จำนวนมาก สื่อที่วาดภาพพวกเขาเหมือนซูเปอร์แฮ็กเกอร์นั้นเป็นการพูดเกินจริงล้วน ๆ ในความเป็นจริง พวกเขาใกล้เคียงกับกลุ่มนักธุรกิจคอร์รัปชันที่รู้วิธีรีดเงินจากรัฐมากกว่า
      [1] https://arstechnica.com/information-technology/2019/01/zerod...
    • ผมคิดว่าความเป็นไปได้ค่อนข้างสูงที่ NSO จะมี คลัง zero-day อยู่หลายตัว เพื่อใช้ได้ทันทีในวันที่ช่องโหว่ปัจจุบันถูกค้นพบและแพตช์
      นักพัฒนา exploit แค่คนเดียวก็สร้าง zero-day ที่ weaponize แล้วได้หลายตัวต่อปี และคงไม่มีทางที่พวกเขาจะมีนักพัฒนาที่ทำงานแบบนั้นอยู่แค่คนเดียว ดังนั้นมีโอกาสสูงที่พวกเขาจะสะสมช่องโหว่ไว้เป็นสิบ ๆ รายการ บางส่วนอาจหายไปเพราะทับซ้อนกับช่องโหว่ที่เปิดเผยสาธารณะ แต่ควรมองว่าแม้อุดตัวหนึ่ง ก็ยังมีตัวอื่นรออยู่
      คำถามว่า Apple จะเพิ่มค่าตอบแทนเพื่อดึงเข้าทางถูกกฎหมายได้ไหมนั้นเป็นคำถามที่ดี แต่ในระดับราคาของ NSO ผมว่าอาจยาก Apple อาจเสนอเงินที่แข่งขันได้ แต่การทำงานกับ bug bounty เสี่ยงกว่ามาก ถ้าโชคร้าย หรือช่องโหว่ไปซ้ำกับที่มีคนรายงานไปแล้ว หรือ vendor เรื่องมาก ก็อาจทำงานนานแล้วไม่ได้เงิน Apple เองก็ขึ้นชื่อในด้านนี้พอสมควร
      ถ้าสงสัยว่ามีการสอดแนมที่รัฐสนับสนุน อย่างแรกการใช้โทรศัพท์หลายเครื่องอาจดีกว่า ใช้ โปรโตคอลที่ยืนยันตัวตนแล้ว แทน SMS/MMS และโดยตัวมันเองก็ไม่สมเหตุสมผลที่ใครก็ได้จะส่งข้อมูลที่เราไม่ต้องการมายังโทรศัพท์ได้ ถ้าเป็นผม คงปิดบริการเซลลูลาร์ไปเลย ยกเว้นเวลาจะโทรออกไปยังผู้ติดต่อที่รู้จัก
    • ในบทความไม่เห็นพูดถึง Lockdown Mode เลย ทั้งที่เป็นฟีเจอร์ที่โปรโมตว่าผู้ใช้ในสถานะแบบนี้ใช้เพื่อลด attack surface ได้
      น่าแปลกใจที่นักข่าวที่ทำข่าวความเสี่ยงสูงไม่เปิดใช้สิ่งนี้เป็นค่าเริ่มต้น exploit แบบไม่ต้องมีปฏิสัมพันธ์จำนวนมากทำงานผ่านช่องโหว่ในตัว decode รูปภาพหรือสิ่งคล้ายกันทันทีที่ได้รับข้อความ แต่ถ้าเปิด Lockdown Mode ไว้ก็จะถูกบล็อก Lockdown Mode ยังปิดการทำงานของฟีเจอร์อื่น ๆ ด้วย สงสัยว่าเคยมีใครเห็นหลักฐานว่าโทรศัพท์ที่เปิด Lockdown Mode ถูกเจาะหรือไม่ ไม่ได้หมายความว่าเป็นไปไม่ได้ แค่สงสัยเท่านั้น
    • หนังสือ Pegasus ของ Laurent Richard เล่าถึงความยากลำบากที่นักข่าวซึ่งเปิดเผยรายชื่อที่รั่วของ Pegasus และเป้าหมายกว่า 50,000 คนต้องเผชิญ
      แม้คนที่เมื่อเวลาผ่านไปกลายเป็นคนมองวงการสื่อสารมวลชนอย่างเย้ยหยัน ก็ต้องถ่อมตัวลงเมื่อเห็นความตายและความหวาดกลัวที่นักข่าวต้องอดทนเพื่อเผชิญหน้ากับระบอบอย่างซาอุดีอาระเบียหรือโมร็อกโก Pegasus ยังอยู่บนโทรศัพท์ของ Jamal Khashoggi และคนที่เป็นที่จดจำในฐานะคนรักของเขาด้วย
    • NSO น่าจะมี zero-day แบบไม่ต้องคลิก อยู่ในมือราว 3–10 ตัว
      ต่อให้ NSO เผาของที่ผลิตเองทั้งหมด broker ช่องโหว่ที่ผมรู้จักก็มีสต็อกมูลค่าหลายล้านดอลลาร์เตรียมไว้หลายสิบรายการ เรื่องนี้ไม่ใช่ความลับด้วยซ้ำ broker เหล่านี้ดำเนินบริษัทที่ตั้งขึ้นอย่างถูกกฎหมายในสหรัฐฯ และขายให้รัฐบาล บริษัทเอกชน รวมถึง vendor ที่ทำผลิตภัณฑ์ไม่ปลอดภัยอย่าง Microsoft และ Apple Apple รู้ว่าตัวเองกำลังปล่อยผลิตภัณฑ์ที่มีข้อบกพร่องด้านความปลอดภัยร้ายแรงที่เป็นที่รู้จักอยู่นับสิบถึงนับร้อยรายการ
      เหตุผลที่ Apple ไม่ซื้อ zero-day ทั้งหมดมีสองข้อ ข้อแรก เงินซื้อความปลอดภัยไม่ได้ ข้อสอง ประโยชน์ที่ได้ไม่มากกว่าต้นทุน
      ความปลอดภัยที่จริงจังใช้เงินแก้ไม่ได้ ปัจจุบัน Apple จ่าย 1 ล้านดอลลาร์[1] สำหรับ remote code execution แบบไม่ต้องคลิกที่มี persistence และจ่าย 2 ล้านดอลลาร์ถ้าทำสิ่งเดียวกันได้ใน Lockdown Mode ซึ่งประมาณราคาเดียวกับขีปนาวุธร่อน Tomahawk หนึ่งลูก เงินรางวัลถูกตั้งไว้ประมาณระดับค่าแรง เพราะการหาข้อบกพร่องด้านความปลอดภัยแบบนี้ใช้เวลาประมาณ 1–3 วิศวกร-ปี หากจ่าย 10 ล้านดอลลาร์ ซึ่งพอ ๆ กับราคาของรถถัง M1 Abrams หนึ่งคัน ROI จะเพิ่มเป็น 10 เท่า และจะมีรายงานใหม่ไหลทะลักเข้ามา เพราะจำนวนข้อบกพร่องที่ตรวจพบได้ในระดับ 10 ล้านดอลลาร์มีมากกว่าข้อบกพร่องที่ตรวจพบได้ในระดับ 1 ล้านดอลลาร์อย่างมาก
      แต่ถ้าจะยับยั้งรัฐ ต้องขึ้นไปอย่างน้อยระดับ 100 ล้านดอลลาร์ ซึ่งเป็นราคาของ F-16 หนึ่งลำ แม้ในระดับไม่กี่ล้านดอลลาร์ก็มีข้อบกพร่องด้านความปลอดภัยที่เป็นที่รู้จักอยู่แล้วนับสิบถึงนับร้อยรายการ ดังนั้นในระดับ 100 ล้านดอลลาร์ แทบจะแน่นอนว่าจะมีช่องโหว่นับพันถึงนับหมื่นรายการ ด้วยเหตุนี้ วิธีซื้อช่องโหว่เพื่อป้องกันตัวจากผู้โจมตีที่รัฐสนับสนุน ต่อให้เป็นไปได้ ก็อาจต้องใช้เงินระดับล้านล้านถึงหลายสิบล้านล้านดอลลาร์ ตั้งแต่แรก แทบไม่มีที่ไหนเลยที่ประสบความสำเร็จเกินช่วงเงินไม่กี่ล้านดอลลาร์ด้วยกลยุทธ์การเสริมความปลอดภัยย้อนหลังให้ระบบอย่าง iOS หรือ Windows ซึ่งไม่ได้ถูกออกแบบมาเพื่อความปลอดภัย

Apple ได้อะไรจากการซื้อช่องโหว่ zero-day? แม้จะมีการรายงานข้อบกพร่องด้านความปลอดภัยเป็นพัน ๆ รายการ ผู้คนก็ยังซื้อ iPhone ต่อไป Apple แค่ต้องสร้างการตลาดใหม่อย่าง Lockdown Mode ทุกคนก็สบายใจแล้ว พอบริษัทที่ทำผลิตภัณฑ์ซึ่งยังไม่ถึง 1 ใน 100 ของระดับที่ผู้โจมตีที่ได้รับการสนับสนุนจากรัฐต้องการ ออกคำโปรโมตว่า “ครั้งนี้จะทำได้จริง” ผู้คนก็ยอมรับสิ่งนั้น การที่ Apple เองก็ไม่ได้เชื่อคำโปรโมตของตัวเอง เห็นได้จากการตั้งเงินรางวัลของ Lockdown Mode ไว้ที่ 2 ล้านดอลลาร์ ซึ่งเป็นสองเท่าของ iOS ปกติที่ 1 ล้านดอลลาร์ แต่นั่นก็ยังเป็นราคาแค่หนึ่งในห้าของรถถังคันหนึ่ง ผู้โจมตีที่ได้รับการสนับสนุนจากรัฐจะกลัวเงินเท่ากับเศษเสี้ยวของราคารถถังหรือ? ค่าเปิดร้าน McDonald’s สักสาขายังแพงกว่า บริษัทอย่าง Apple, Microsoft, Amazon, Google, Cisco, Crowdstrike แค่ต้องโกหก และน่าแปลกที่ผู้คนก็ยังเชื่อแม้จะเป็นครั้งที่พัน ยอดขายจึงได้รับการปกป้อง
ระบบ IT เชิงพาณิชย์ไม่ได้ปลอดภัยโดยสมบูรณ์แม้จากผู้โจมตีที่มีเงินทุนระดับปานกลาง หากมีปฏิบัติการที่มีมูลค่ามากกว่า 1 ล้านดอลลาร์ หรือมีความเสี่ยงที่จะถูกโจมตีแบบเจาะจงเป้าหมาย ก็ควรมองว่าระบบใด ๆ ไม่ว่าจะใช้กี่ระบบ ล้วนมีช่องโหว่ 100% หากรับไม่ได้ ก็ไม่ควรใช้ระบบ IT เชิงพาณิชย์มาตรฐานที่มีการเชื่อมต่อ น่าเสียดาย แต่นี่คือทางออกเดียวที่ใช้ได้จริงในตอนนี้ จะยอมรับการประนีประนอมนั้นหรือไม่ เป็นเรื่องที่แต่ละคนต้องตัดสินใจเอง
[1] https://security.apple.com/bounty/categories/

  • ในอนาคตอันใกล้สักวันหนึ่ง คำว่า “โทรศัพท์มือถือ” ในพาดหัวจะถูกเปลี่ยนเป็น รถยนต์ และผลลัพธ์จะยิ่งน่าเศร้ากว่านี้
    สงสัยว่า zero-day ของ Tesla จะราคาเท่าไร

    • อาจจะมีมูลค่าต่ำกว่าโทรศัพท์มือถือก็ได้
      ผู้คนพกโทรศัพท์มือถือติดตัวเหมือนเป็นส่วนขยายของตัวเอง แต่รถยนต์เป็นเพียงพาหนะที่พาเราจากจุด A ไปจุด B
      และรถสมัยใหม่ส่วนใหญ่มี Secure Gateway[1] ที่แทบไม่ได้เชื่อมต่ออินเทอร์เน็ต ทำให้ระบบที่เชื่อมต่ออยู่เข้าถึงเครือข่ายส่วนอื่นของรถ เช่น เครื่องยนต์ ระบบส่งกำลัง และเบรก ได้อย่างจำกัด ดังนั้นผมคิดว่าโอกาสเกิดการโจมตีระยะไกลในวงกว้างจึงต่ำ
      [1] https://blackberry.qnx.com/en/ultimate-guides/software-defin...
    • เรื่องนี้เกิดขึ้นแล้ว: https://www.youtube.com/watch?v=MK0SrxBC1xs
  • ความหมายเชิงเทพปกรณัมกรีกก็น่าสนุกไม่ใช่หรือ? Pegasus เกิดจากเลือดของ Medusa

    • ตอนแรกนึกว่า ‘Meduza’ มาจากคำรัสเซีย /meduza/ คือแมงกะพรุน แต่จริง ๆ แล้วหมายถึง Medusa ในเทพปกรณัมกรีกจริง ๆ (1)
      เมื่อถูกถามว่า “ทำไมต้อง Meduza? มันเป็นสิ่งมีชีวิตลื่น ๆ และไม่น่าพึงใจไม่ใช่หรือ?” นักข่าวตอบว่าโดยทั่วไปนักข่าวก็น่ารำคาญ ลื่นไหล และแทบไม่มีใครชอบ และนั่นคือแก่นของงานนี้ อีกทั้งการที่ Medusa ทำให้เป้าหมายกลายเป็นหินได้ในพริบตาก็เข้ากับนักข่าวด้วย แต่พูดตามตรง ชื่อนี้เลือกมาโดยบังเอิญ พวกเขาตั้งใจจะตั้งชื่อตามสัตว์ประหลาดกรีกโบราณที่ถูกตัดคอแต่กลับฟื้นคืนมา และหลังเลือก ‘Meduza’ แล้วจึงนึกได้ว่าจริง ๆ แล้วตัวนั้นคือ Hydra แต่ก็สายเกินไปแล้ว
      1: https://meduza.io/cards/zaday-vopros-meduze, #75
  • สงสัยว่า Apple ตัดสินใจอย่างไรว่าเมื่อพบมัลแวร์อย่าง Pegasus แล้วจะแจ้งใครและไม่แจ้งใคร
    การแจ้งบุคคลนั้นเป็นเรื่องที่ดี
    แต่ถ้าคนนั้นมีชื่อเสียงน้อยกว่านี้มากล่ะ? เช่น คนธรรมดาที่อยู่ในประเทศประชาธิปไตย? Apple รู้หรือไม่ว่าใครเป็นฝ่ายเล็งเป้า? ถ้ารู้ จะมีเกณฑ์แบบ “ถ้าเป็นจีนหรือรัสเซียก็แจ้ง” หรือเปล่า? แล้วถ้าจีนหรือรัสเซียใช้ตัวแทนรับจ้างในประเทศประชาธิปไตยทำแบบเดียวกันล่ะ?
    คำถามเยอะเกินไปแล้ว และถ้า Apple ตรวจจับมัลแวร์แบบนี้ได้ ทำไมแอปในเครื่องถึงไม่แจ้งเตือนทันที? เหมือนแอนติไวรัสสำหรับโทรศัพท์น่ะ มันควรมีอยู่แล้วไม่ใช่หรือ ถ้าไม่ใช่ แล้วรู้ได้อย่างไร?

    • ผมไม่รู้ว่าจริง ๆ แล้วมันทำงานอย่างไร แต่คิดว่าค่าใช้จ่ายน่าจะสูงเกินไปสำหรับการรันโดยตรงบนอุปกรณ์
      เป็นไปได้ว่าอาจได้รับข้อมูลอย่างบัญชีที่ทราบว่าเคยส่งข้อความอันตราย แล้วไปค้น server log เพื่อดูว่ามันไปถึงใครบ้าง
  • ถ้าเป็นนักข่าวหรือนักกิจกรรมที่เชื่อว่าตัวเองเป็นเป้าหมายของคนพวกนี้ อยากรู้ว่ามีมาตรการเชิงปฏิบัติอะไรทำได้บ้าง
    มีวิธีใช้คนละอุปกรณ์สำหรับแต่ละแอป เช่น แยก WhatsApp, Telegram, Signal ออกจากกัน หรือใช้เว็บฟรอนต์เอนด์แล้วปิดโทรศัพท์ไว้ แต่ไม่รู้ว่าทำได้กับทุกแอปหรือไม่ อีกวิธีคือทิ้งอุปกรณ์เป็นระยะ ๆ ขายต่อเป็นมือสอง แล้วซื้อเครื่องใหม่หรือมือถือมือสอง ใช้อุปกรณ์แค่เพื่อนัดพบในสภาพแวดล้อมที่ปลอดภัยกว่า ไม่พูดใส่โทรศัพท์หรือส่งข้อความ และสมมติไว้เสมอว่าอุปกรณ์ถูกเจาะแล้ว
    และควรมีมาตรการคว่ำบาตร NSO ไม่ใช่ NGO คนพวกนี้มันขยะ

    • ถ้าทำแบบนั้น คงแทบไม่เหลือเวลาทำงานสื่อสารมวลชนจริง ๆ
      พื้นที่สำหรับพกอุปกรณ์อื่น ๆ ก็คงไม่พอด้วย เวลาข้ามพรมแดนคงเกิดเรื่องน่าสนใจไม่น้อย เพราะต้องอธิบายกับด่านตรวจคนเข้าเมืองหรือศุลกากรว่าทำไมมีโทรศัพท์เยอะขนาดนั้น
    • แค่เปิด Lockdown Mode บน iOS ก็พอ
      มันถูกออกแบบมาเพื่อป้องกันการโจมตีแบบนี้โดยเฉพาะ และมีการยืนยันแล้วว่าการโจมตีนี้จะล้มเหลวหากเปิด Lockdown Mode ไว้
      ถ้าต้องการให้แน่นอนยิ่งขึ้น ก็ปิด iMessage และไม่ใช้ iCloud เลย
    • เรื่องแบบนี้ดูเหมาะจะเป็นโครงการโอเพนซอร์สด้วย
      คล้ายกับ GrapheneOS คือค่อย ๆ ลด attack surface ลงอย่างต่อเนื่อง แต่ตัดการประนีประนอมเรื่องการติดตั้งแอปหรือบริการของ Google ออกไปทั้งหมด
      โดยพื้นฐานแล้วเป็นโทรศัพท์ที่มีแค่การส่งข้อความแบบเข้ารหัส และให้กล้องกับไมโครโฟนเข้าถึงได้เฉพาะภายใต้เงื่อนไขที่ควบคุมอย่างเข้มงวด ประมาณนั้นทั้งหมด
      เมื่อข้อจำกัดสูง ความนิยมก็จะจำกัด ทำให้แทบไม่คุ้มค่าเมื่อเทียบกับต้นทุนในการเล็งเป้า และสำหรับคนจำนวนน้อยที่ต้องการการปกป้องจริง ๆ ก็สามารถให้การปกป้องที่แข็งแรงขึ้นจนคุ้มกับการยอมเสียสละเหล่านั้น
    • น่าจะมีวิธีตรวจจับการติดเชื้อได้อย่างรวดเร็วด้วย คือการเฝ้าดู ทราฟฟิกเครือข่าย ทั้งหมดตลอดเวลา
      ถ้ามีการดึงข้อความทั้งหมดออกไปและจับภาพหน้าจอบ่อย ๆ การซ่อนทราฟฟิกขาออกคงค่อนข้างยาก ถึงจะเข้ารหัสได้ แต่ปริมาณข้อมูลนั้นซ่อนได้ยาก
      ถ้าล็อกโทรศัพท์ไว้ในคอนฟิกขั้นต่ำตั้งแต่แรกก็จะง่ายขึ้น เพราะมีแอปน้อยลงที่จะสร้างทราฟฟิกออกไปภายนอก
  • คำพูดของ Ivan Kolpakov ที่ว่า “ผมตกใจจริง ๆ ที่มีการพูดคุยกันอย่างจริงจังว่าประเทศยุโรปอาจเป็นผู้ทำเรื่องนี้” ผมมองว่าปัญหาหลักไม่ใช่ความไร้เดียงสา แต่เป็นการที่ก่อนเกิดเหตุเขาไม่ได้ตรวจสอบว่าประเทศยุโรปทำอะไรจริง ๆ ในบริบทแบบนี้
    ถ้าตรวจสอบไว้ล่วงหน้า เขาคงไม่ตกใจ แต่กังวลแทน
    อีกความเป็นไปได้คือ “ความตกใจ” นี้เป็นความตกใจแบบในหนัง Casablanca
    Rick: คุณมีเหตุผลอะไรถึงมาปิดร้านผม?
    Captain Renault: ผมตกใจ ตกใจจริง ๆ ที่มีการพนันเกิดขึ้นที่นี่!
    [เจ้ามือส่งปึกเงินให้ Renault]
    Croupier: เงินที่คุณชนะครับท่าน
    Captain Renault: อ้อ ขอบคุณมาก

  • สงสัยว่ามีอะไรที่ป้องกันไม่ให้ Pegasus แพร่กระจายด้วยตัวเองหรือไม่ หรือว่าจำเป็นต้องติดตั้งผ่าน การโจมตีแบบเจาะจงเป้าหมาย เท่านั้น
    มีวิธีสแกนเพื่อตรวจสอบว่าติดเชื้อหรือเปล่าด้วยไหม?

    • ไม่มีเหตุผลทางเทคนิคที่ป้องกันไม่ให้ Pegasus แพร่กระจายด้วยตัวเอง
      ช่องโหว่บางส่วนที่มีรายงานว่าเกี่ยวข้องอาจ ทำให้กลายเป็นเวิร์มได้ ด้วยซ้ำ แต่ในทางปฏิบัติ ผู้ควบคุมมัลแวร์อย่าง Pegasus มีเหตุผลเชิงปฏิบัติที่จะหลีกเลี่ยงการแพร่กระจายที่ควบคุมไม่ได้ ช่องโหว่ที่ยังไม่ถูกค้นพบและยังไม่ถูกแพตช์ต้องยังคงซ่อนอยู่ต่อไป การแพร่กระจายแบบไม่จำกัดจะเพิ่มโอกาสที่จะถูกค้นพบและวิเคราะห์อย่างมาก เท่ากับเป็นการฆ่า “ห่านที่ออกไข่เป็นทองคำ”
      ดังนั้น อย่างน้อยในตอนนี้ คาดว่าการติดตั้ง Pegasus ทั้งหมดน่าจะเป็นผลจากการโจมตีแบบเจาะจงเป้าหมาย ในทางกลับกัน หากเครื่องมือรั่วไหลและผู้ปฏิบัติการหลายรายสามารถใช้งานได้ง่าย แรงจูงใจก็จะเปลี่ยนไป และในบรรดานั้นอาจมีใครสักคนสร้างเวิร์มที่ติดเชื้ออุปกรณ์ทั่วโลกที่ยังไม่ได้แพตช์ก็ได้
    • Pegasus ไม่มี โค้ดแพร่กระจายตัวเอง ฝังอยู่
      การเขียนโค้ดแบบนั้นน่าจะค่อนข้างง่าย แค่ส่ง exploit ผ่าน iMessage ไปยังรายชื่อติดต่อทั้งหมดของเป้าหมาย แล้วทำซ้ำไปเรื่อย ๆ
      แต่นั่นจะให้ผลตรงกันข้าม จุดขายหลักของ Pegasus คือการสอดแนมเป้าหมาย และ exploit แบบนี้มีราคาแพงมาก การแพร่กระจายที่ควบคุมไม่ได้จะถูกตรวจพบเร็วขึ้นและเผาทรัพยากรอันมีค่าไปเปล่า ๆ
      หาก exploit แบบนี้ราคาถูก ก็อาจมีเหตุผลรองรับเวอร์ชันที่โจมตีสมุดรายชื่อทั้งหมดของเป้าหมายโดยอัตโนมัติเพื่อขุดเครือข่ายความสัมพันธ์ทางสังคม แต่หลังจากนั้นก็จะเกิดปัญหาว่าต้องวิเคราะห์ข้อมูลมหาศาลที่ส่วนใหญ่แทบไม่มีประโยชน์
    • โมเดลธุรกิจของ NSO ดูเหมือนจะตั้งอยู่บน ความเป็นเอกสิทธิ์ระดับสูงมาก และลูกค้าองค์กรจำนวนน้อยมาก
      ในทางเทคนิค Pegasus อาจส่งตัวเองซ้ำเพื่อทำให้อุปกรณ์อื่นติดเชื้อได้ แต่เพราะไม่สอดคล้องกับโมเดลธุรกิจ จึงไม่น่าที่ NSO จะทำเช่นนั้นเป็นประจำ
    • จากที่เคยอ่านมาก่อน Pegasus ไม่มีความสามารถในการแพร่กระจายด้วยตัวเอง และต้องติดตั้งผ่านการโจมตีแบบเจาะจงเป้าหมาย
      Amnesty International ก็มี หรือเคยมี เครื่องมือที่ตรวจจับสิ่งนี้ได้: https://github.com/mvt-project/mvt
      อย่างไรก็ตาม นี่เป็นการแข่งขันกัน ดังนั้นข้อมูลในอดีตอาจไม่ยังใช้ได้อีกแล้ว แต่ก็ยังคิดว่าในอนาคตโอกาสที่จะใส่ความสามารถในการแพร่กระจายด้วยตัวเองยังคงต่ำ เพราะการติดเชื้อใช้ zero-day ที่แพงมาก และเมื่อถูกค้นพบก็จะถูกแพตช์อย่างรวดเร็ว
    • เท่าที่ผมรู้ หมายเลขโทรศัพท์ คือจุดเริ่มต้น
      เพราะเป็นวิธีที่ง่ายและเร็วที่สุดในการกำหนดเป้าหมายใครสักคน นอกเหนือจากนั้น กระบวนการแยกตัวเป้าหมายออกมาจะซับซ้อนขึ้น ดังนั้นในทางทฤษฎี หากใช้ Lockdown Mode ร่วมกับการไม่เปิดใช้งานหมายเลขใด ๆ บนโทรศัพท์ และปฏิบัติตามมาตรการป้องกันด้านความปลอดภัยทั่วไป ก็น่าจะป้องกันได้เพียงพอ ท้ายที่สุดแล้ว คำตอบคือไม่ใช้สมาร์ตโฟน
  • สงสัยว่าโทรศัพท์เครื่องนั้นอยู่ใน Lockdown Mode หรือไม่
    มีใครรู้ไหมว่า Lockdown Mode มีประสิทธิภาพแค่ไหนในการกัน zero-day ส่วนใหญ่แบบนี้?

    • โทรศัพท์เครื่องนั้นไม่ได้อยู่ใน Lockdown Mode เพราะถ้าเปิดไว้ การโจมตีน่าจะถูกบล็อก
      https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
      “เราเชื่อว่า Lockdown Mode บล็อกการโจมตีเฉพาะครั้งนี้ได้ ตามที่ทีม Security Engineering and Architecture ของ Apple ก็ยืนยันเช่นกัน”
      https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
      “ในช่วงเวลาสั้น ๆ เป้าหมายที่เปิดใช้ฟีเจอร์ Lockdown Mode ของ iOS 16 ได้รับการแจ้งเตือนแบบเรียลไทม์เมื่อมีความพยายามใช้ exploit PWNYOURHOME เกิดขึ้นบนอุปกรณ์ แม้ NSO Group อาจพัฒนาวิธีเลี่ยงการแจ้งเตือนแบบเรียลไทม์นี้ในภายหลัง แต่เราไม่พบกรณีที่ PWNYOURHOME ถูกใช้สำเร็จบนอุปกรณ์ที่เปิดใช้งาน Lockdown Mode”
  • การโจมตีแบบนี้ตรวจจับได้ด้วย เครื่องตรวจสอบแพ็กเก็ตเชิงลึก ส่วนบุคคลที่ทำงานระดับเราเตอร์ หรือเครื่องมือจับแพ็กเก็ตแบบง่าย ๆ ไม่ใช่หรือ?
    อีกวิธีแก้แบบง่าย ๆ อาจเป็นเราเตอร์พกพา DIY ที่มีการตรวจสอบแพ็กเก็ตเชิงลึกหรือเครื่องมือวิเคราะห์เครือข่ายในตัว

    • ผมไม่คิดว่าพวกเขาจะเปิดเผยข้อมูลแบบนั้น แต่ถ้าเปิดเผยไว้ ก็น่าจะอยู่ที่ไหนสักแห่งในเอกสารนี้
      https://citizenlab.ca/wp-content/uploads/2020/11/Annotated-B...