WhatsApp บังคับให้ผู้สร้างสปายแวร์ Pegasus เปิดเผยโค้ดลับ
(arstechnica.com)- WhatsApp เรียกร้องการเข้าถึง โค้ดสปายแวร์ Pegasus ของ NSO Group มาตั้งแต่ปี 2019 และศาลสหรัฐฯ เห็นว่าควรเปิดเผยข้อมูลเกี่ยวกับความสามารถทั้งหมดของสปายแวร์ที่เกี่ยวข้อง ไม่ใช่แค่ชั้นการติดตั้ง
- แก่นของคดีคือข้อกล่าวหาของ WhatsApp ที่ว่า Pegasus สอดแนม ผู้ใช้ WhatsApp 1,400 คน เป็นเวลา 2 สัปดาห์ และเข้าถึงข้อมูลอ่อนไหวโดยไม่ได้รับอนุญาต รวมถึงข้อความที่เข้ารหัส
- ผู้พิพากษาศาลแขวงสหรัฐฯ Phyllis Hamilton เห็นว่าดูเฉพาะชั้นการติดตั้งอย่างเดียวทำให้ยากต่อการเข้าใจวิธีเข้าถึงและดึงข้อมูล จึงรวมสปายแวร์ของ NSO ที่มุ่งเป้าไปยังเซิร์ฟเวอร์ WhatsApp หรือใช้ WhatsApp ในการโจมตีไว้ในขอบเขตการเปิดเผยด้วย
- อย่างไรก็ตาม ศาลได้ยกเว้นรายละเอียดเกี่ยวกับ สถาปัตยกรรมเซิร์ฟเวอร์ ของ NSO และคำขอให้ระบุตัวลูกค้า รวมถึงปฏิเสธคำร้องของ NSO ที่ขอการสื่อสารหลังการฟ้องร้องระหว่าง WhatsApp กับ Citizen Lab
- กำหนดการเปิดเผยผู้เชี่ยวชาญของทั้งสองฝ่ายคือ 30 สิงหาคม 2024 และการพิจารณาคดีจะเริ่มในวันที่ 3 มีนาคม 2025 โดยคาดว่าขอบเขตความสามารถที่แท้จริงของ Pegasus จะเป็นหลักฐานสำคัญในการตัดสินคดี
คำวินิจฉัยของศาลเกี่ยวกับการเปิดเผยความสามารถของ Pegasus
- WhatsApp ยื่นฟ้องโดยอ้างว่า Pegasus ของ NSO Group ถูกใช้ในการสอดแนมผู้ใช้ WhatsApp 1,400 คนเป็นเวลา 2 สัปดาห์ในปี 2019
- WhatsApp อ้างว่า Pegasus เข้าถึงข้อมูลอ่อนไหวโดยไม่ได้รับอนุญาต รวมถึงข้อความที่เข้ารหัส
- ในขณะนั้น คดีนี้ถูกมองว่าเป็น มาตรการทางกฎหมายที่ไม่เคยมีมาก่อน ที่มุ่งเป้าไปยังอุตสาหกรรมไร้การกำกับดูแลซึ่งขายบริการมัลแวร์ขั้นสูงให้รัฐบาลทั่วโลก
- NSO พยายามขัดขวางกระบวนการเปิดเผยหลักฐานทั้งหมดโดยอ้างข้อจำกัดหลายประการของสหรัฐฯ และอิสราเอล แต่คำขอให้ปิดกั้นแบบครอบคลุมถูกปฏิเสธ
ศาลชี้ว่าดูเฉพาะชั้นการติดตั้งยังไม่เพียงพอ
- ผู้พิพากษาศาลแขวงสหรัฐฯ Phyllis Hamilton ไม่รับข้อโต้แย้งของ NSO ที่ว่าควรส่งมอบเฉพาะข้อมูลเกี่ยวกับ ชั้นการติดตั้ง ของ Pegasus เท่านั้น
- ศาลรับคำขอของ WhatsApp และสั่งให้เปิดเผยข้อมูลเกี่ยวกับ “ความสามารถทั้งหมดของสปายแวร์ที่เกี่ยวข้อง”
- ศาลเห็นว่า หากมีเพียงข้อมูลชั้นการติดตั้ง โจทก์จะเข้าใจได้ยากว่าสปายแวร์ทำงานด้าน การเข้าถึงและดึงข้อมูล อย่างไร
- สิ่งที่ต้องเปิดเผยครอบคลุม สปายแวร์ของ NSO ที่เกี่ยวข้อง ซึ่งมุ่งเป้าไปยังเซิร์ฟเวอร์ WhatsApp หรือใช้ WhatsApp ในทางใดทางหนึ่งเพื่อเข้าถึงอุปกรณ์เป้าหมาย
- ช่วงเวลาครอบคลุมตั้งแต่ 1 ปีก่อนถึง 1 ปีหลังจากการโจมตีที่ถูกกล่าวหา
ความสามารถของ Pegasus ที่ WhatsApp กล่าวอ้าง
- WhatsApp อ้างว่า Pegasus สามารถดักจับการสื่อสารที่ส่งเข้าออกจากอุปกรณ์ได้
- บริการเป้าหมายรวมถึง iMessage, Skype, Telegram, WeChat, Facebook Messenger และ WhatsApp
- ยังมีข้อกล่าวหาว่า Pegasus สามารถ ปรับแต่ง ให้เหมาะกับเป้าหมายได้
- ดักจับการสื่อสาร
- จับภาพหน้าจอ
- ดึงประวัติการท่องเว็บออกไป
ข้อมูลที่ถูกยกเว้นจากการเปิดเผย
- ผู้พิพากษา Hamilton ไม่ได้อนุญาตคำขอเปิดเผยหลักฐานทั้งหมดของ WhatsApp
- ข้อมูลบางอย่างเกี่ยวกับ สถาปัตยกรรมเซิร์ฟเวอร์ ของ NSO ถูกยกเว้นจากการเปิดเผย
- เพราะศาลเห็นว่า WhatsApp สามารถทราบข้อมูลดังกล่าวได้จากข้อมูลความสามารถทั้งหมดของสปายแวร์ที่เกี่ยวข้อง
- NSO ไม่ถูกบังคับให้เปิดเผยตัวลูกค้า
- NSO ไม่เปิดเผยต่อสาธารณะว่ารัฐบาลใดบ้างที่ซื้อสปายแวร์นี้
- ตามรายงานของ The Guardian มีรายงานว่า Poland, Saudi Arabia, Rwanda, India, Hungary และ United Arab Emirates ใช้ Pegasus เพื่อพุ่งเป้าไปยังผู้เห็นต่าง
- ในปี 2021 สหรัฐฯ ขึ้นบัญชีดำ NSO ด้วยเหตุผลว่าถูกกล่าวหาว่าเผยแพร่ “เครื่องมือดิจิทัลที่ใช้ในการกดขี่”
คำขอที่เกี่ยวข้องกับ Citizen Lab ถูกปฏิเสธ
- ในคำสั่งเดียวกัน ผู้พิพากษา Hamilton ยังปฏิเสธคำร้องของ NSO ที่ขอให้เปิดเผยการสื่อสารหลังการฟ้องร้องระหว่าง WhatsApp กับ Citizen Lab
- Citizen Lab เข้าร่วมในคดีนี้ในฐานะพยานบุคคลที่สาม และสนับสนุนข้อโต้แย้งของ WhatsApp ว่าลูกค้าของ NSO ใช้ Pegasus ในทางที่ผิดกับภาคประชาสังคม
- NSO ระบุในเอกสารที่ยื่นต่อศาลว่า หาก WhatsApp ถอนข้อความในบันทึกคดีที่สื่อว่า “Pegasus ถูกใช้กับสมาชิกภาคประชาสังคม ไม่ใช่เพื่อสืบสวนการก่อการร้ายและอาชญากรรมร้ายแรง” ความจำเป็นในการเปิดเผยหลักฐานดังกล่าวก็จะลดลงอย่างมาก
- ผู้พิพากษา Hamilton เห็นว่ายากที่จะมองเห็น ความเกี่ยวข้อง ของหลักฐานที่ร้องขอ จึงไม่รับคำร้องของ NSO
ขั้นตอนที่เหลือและปฏิกิริยา
- NSO ยังไม่ได้แสดงความเห็นต่อคำสั่งครั้งนี้
- โฆษกของ WhatsApp กล่าวกับ The Guardian ว่าคำตัดสินครั้งนี้เป็นหมุดหมายสำคัญของเป้าหมายระยะยาวในการปกป้องผู้ใช้ WhatsApp จากการโจมตีที่ผิดกฎหมาย
- โฆษกกล่าวว่าบริษัทสปายแวร์และผู้ไม่หวังดีต้องเข้าใจว่าพวกเขาสามารถถูกจับได้ และไม่อาจเพิกเฉยต่อกฎหมาย
- ศาลมีกำหนดรับ การเปิดเผยผู้เชี่ยวชาญ ของทั้งสองฝ่ายในวันที่ 30 สิงหาคม 2024
- คาดว่าการพิจารณาคดีจะเริ่มในวันที่ 3 มีนาคม 2025
1 ความคิดเห็น
ความคิดเห็นใน Hacker News
น่าสนใจที่ NSO พยายามขัดขวางกระบวนการ discovery ทั้งหมด โดยอ้าง “ข้อจำกัดต่าง ๆ ของสหรัฐฯ และอิสราเอล” แต่แนวทางนี้ถูกปฏิเสธ
ศาลสหรัฐฯ มีแนวโน้มจะไม่ให้ความสำคัญกับกฎของอิสราเอล ซึ่งเป็นข้อจำกัดของประเทศอื่นมากนัก
รัฐบาลสหรัฐฯ ขึ้นบัญชีดำ Pegasus อย่างเป็นทางการแล้ว แต่ https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma... ก็คงไม่น่าแปลกใจถ้าหน่วยข่าวกรองบางส่วนของสหรัฐฯ ยังใช้อยู่
ถ้าเป็นเช่นนั้น Pegasus ก็อาจขอให้หน่วยข่าวกรองสหรัฐฯ ช่วยหยุดคดี โดยอ้างเรื่องการเปิดเผยข้อมูลลับหรือการกระทบต่อผลประโยชน์ของชาติ
คงน่าสนใจถ้าจู่ ๆ วันหนึ่งเกิด “อะไรบางอย่าง” แล้วคดีถูกยกฟ้องอย่างลึกลับ
แค่ขอรับผลลัพธ์จาก หน่วยข่าวกรองพันธมิตร ที่ใช้ Pegasus น่าจะง่ายกว่ามาก
วิธีเก็บข้อมูลแบบเว้นระยะห่างเช่นนี้มีความเสี่ยงทางกฎหมายน้อยกว่า
แต่จะเสียเปรียบหากอ้างความมั่นคงแห่งชาติในศาลสหรัฐฯ เพราะจะกลายเป็นว่า “ใช้ซอฟต์แวร์นี้อยู่หรือไม่?” “อย่างเป็นทางการ ไม่ได้ใช้” “ถ้าอย่างนั้นอ้างความมั่นคงแห่งชาติบนพื้นฐานอะไร?”
การเปิดโปงของ Snowden ก็ผ่านมานานแล้ว และแค่สิ่งที่เห็นตอนนั้นก็แทบไม่น่าเชื่อ
ตอนนี้หน่วยข่าวกรองใช้เครื่องมืออะไรอยู่บ้างก็นึกไม่ออกเลย
เมื่อเทียบกับสิ่งที่หน่วยงานเหล่านั้นมีและใช้ได้แล้ว Pegasus มันพิเศษตรงไหนกันแน่
คดีนี้ไม่ค่อยเข้าใจ
ไม่รู้ว่าทำไม ศาลสหรัฐฯ จึงมีเขตอำนาจ เหนือบริษัทสปายแวร์ต่างชาติของอิสราเอลที่รัฐบาลสหรัฐฯ ขึ้นบัญชีดำไปแล้ว
และแม้อิสราเอลแพ้คดี ก็ยังสงสัยว่าทำไมถึงต้องส่งซอร์สโค้ดสปายแวร์ให้ WhatsApp
ถ้าไม่ตอบโต้ก็จะเป็นการแพ้คดีโดยขาดนัด และศาลสามารถสั่งยึดทรัพย์สินที่สหรัฐฯ เอื้อมมือถึงได้
ต่อให้รับชำระเป็นเชเกลในประเทศนอกอิสราเอล ในกระบวนการแลกเปลี่ยนเงินตราดอลลาร์ก็มักเข้ามาเป็นสกุลเงินตัวกลาง และตรงนั้นคือช่องทางของสหรัฐฯ
ในฝรั่งเศสก็เคยมีเรื่องที่ไร้เหตุผลมากเกิดขึ้น
สหรัฐฯ ผลักดัน Alstom บริษัทฝรั่งเศสขนาดใหญ่จนแทบล้มละลาย แล้วซื้อไปในราคาถูก จากนั้นก็พยายามโค่น Airbus ด้วย
ทั้งสองกรณีสหรัฐฯ ใช้สิทธิที่ตนมอบให้ตัวเองในเรื่องการบังคับใช้นอกอาณาเขต
เรื่องนี้ถูกบันทึกไว้ในสารคดีนี้: https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
ก่อนหน้านี้เคยดูได้บน YouTube ที่ https://youtu.be/Sa22eu1FWyo แต่ตอนนี้ดูเหมือนจะถูกเปลี่ยนเป็นส่วนตัวแล้ว เป็นการเปิดโปงที่ทำให้บางฝ่ายไม่สบายใจหรือเปล่า
FATCA ก็เป็นไปได้ด้วยเหตุผลเดียวกัน
นี่คือสิ่งที่รัฐบาลพูดถึงอยู่เสมอว่า “ระเบียบเสรีนิยมระหว่างประเทศ”
อิสราเอลลงนามในสนธิสัญญาว่าจะเคารพและบังคับใช้คำพิพากษาของศาลสหรัฐฯ และสหรัฐฯ ก็ลงนามในสนธิสัญญาว่าจะเคารพและบังคับใช้คำพิพากษาของศาลอิสราเอล
ดังนั้นเมื่อผู้พิพากษาสหรัฐฯ ลงนามในคำสั่งแล้วส่งให้ผู้พิพากษาอิสราเอล ผู้พิพากษาอิสราเอลก็จะบังคับใช้ และในทางกลับกันก็เช่นเดียวกัน
แน่นอนว่าจะเพิกเฉยต่อคดีก็ได้ แต่ถ้าอย่างนั้นผู้เกี่ยวข้องก็ไม่ควรเข้าประเทศสหรัฐฯ อีกเลย
ตั้งแต่แรก วิธีดำเนินงานของพวกเขาก็ดูมีลักษณะอาชญากรรมอย่างมาก จนอยากแนะนำให้อดีตพนักงานทุกคนเลี่ยงการเข้าสหรัฐฯ ด้วยซ้ำ
สงสัยว่าหนึ่งในแพลตฟอร์มอื่นที่ถูกกล่าวถึงคือ Signal หรือไม่
แต่นั่นไม่ได้หมายความว่าช่องโหว่อยู่ในแอปนั้น หรือเป็นความผิดของแอป
สุดท้ายมองว่านี่เป็นปัญหาของแพลตฟอร์ม โดยเฉพาะ iOS และ Apple รวมถึงนักพัฒนาและนายหน้าซื้อขาย exploit
นั่นจึงเป็นเหตุผลที่ Apple ไม่ชอบคนกลุ่มนี้
ไม่ว่าจะดีหรือร้าย การกดดัน Apple โดยรวมแล้วอาจเป็นเรื่องดีสำหรับผู้ใช้ที่เหลือด้วย
ในทางกลับกัน ก็อาจมองได้ว่า Apple ควรใส่ใจกับปัญหาเหล่านี้มากขึ้น และให้รางวัลนักวิจัยด้านความปลอดภัยสูงขึ้น
แม้จะดีกว่าเมื่อ 20 ปีก่อน แต่การขาย exploit ให้กับผู้เล่นน่าสงสัยแบบนี้ยังคงมีแนวโน้มทำเงินได้มากกว่าการหวังให้บริษัทยักษ์ใหญ่จ่ายเศษเงินสำหรับการค้นพบอยู่ดี
ขออ้างอิงว่า https://grapheneos.org/ และ https://signal.org/ มีอยู่จริง
หากสปายแวร์ตัวหนึ่งได้สิทธิ์เข้าถึงระดับ ring0 บนอุปกรณ์ คุณสมบัติด้านความปลอดภัยของแอปอย่าง Signal ก็แทบไม่มีความหมาย
เพราะสปายแวร์สามารถเข้าถึงได้อย่างง่ายดายมาก
อิสราเอลไม่มีทางอนุญาตให้ นำซอร์สโค้ดออกนอกประเทศ แน่
ถึง Pegasus จะแพ้คดี ก็ไม่เข้าใจว่าทำไมต้องส่งซอร์สโค้ดจริงให้ WhatsApp
แค่ส่งอะไรมั่ว ๆ ไปก็ได้ไม่ใช่หรือ ผมพลาดอะไรไปไหม
ผมไม่เข้าใจเลยว่าทำไม NSO Group หรือยิ่งไปกว่านั้นคืออิสราเอล ถึงไม่ถูกคว่ำบาตรเพราะสปายแวร์ตัวนี้
บริษัทนี้เป็น บริษัทอันตราย ที่ขายเครื่องมือซึ่งถูกนำไปใช้ในทางที่ผิดได้ง่ายให้กับศัตรูต่อต้านประชาธิปไตยที่เลวร้ายที่สุดของชาติตะวันตก
เพราะการเมือง
อิเควทอเรียลกินีเป็นตัวอย่างหนึ่ง และเกี่ยวข้องกับข้อตกลงระหว่างเผด็จการ Obiang กับ ExxonMobil
Steve Coll เขียนไว้ใน "Private Empire: ExxonMobil and American Power" (2012) ว่า
ไม่ดีต่อประเทศที่ตกเป็นเป้าหมายเลย แต่เป็นประโยชน์ต่ออิสราเอลและหน่วยข่าวกรองสหรัฐฯ
เพราะงั้นถึงไม่อยากทำงานด้านไซเบอร์ซีเคียวริตี้
เพราะต้องรับมือกับ คนอันตราย
อีกอย่าง ไซเบอร์ซีเคียวริตี้มีขอบเขตกว้างมาก
หลายบทบาทใกล้เคียงกับการให้ความรู้พนักงานเรื่องหลักการและขั้นตอนด้านความปลอดภัย และการทำ data classification
ไม่ใช่ทุกคนที่รับมือกับการโจมตีโดยตรง ส่วนใหญ่เป็น งานป้องกัน
ในบริษัทของเรา คนที่ทำงานด้านไซเบอร์ซีเคียวริตี้ในเชิงเทคนิคและรับมือกับการโจมตีโดยตรงน่าจะมีสัดส่วนน้อยกว่า 20% แต่อาจเป็นเพราะเรา outsource SOC ด้วย