1 คะแนน โดย GN⁺ 2024-03-02 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • WhatsApp เรียกร้องการเข้าถึง โค้ดสปายแวร์ Pegasus ของ NSO Group มาตั้งแต่ปี 2019 และศาลสหรัฐฯ เห็นว่าควรเปิดเผยข้อมูลเกี่ยวกับความสามารถทั้งหมดของสปายแวร์ที่เกี่ยวข้อง ไม่ใช่แค่ชั้นการติดตั้ง
  • แก่นของคดีคือข้อกล่าวหาของ WhatsApp ที่ว่า Pegasus สอดแนม ผู้ใช้ WhatsApp 1,400 คน เป็นเวลา 2 สัปดาห์ และเข้าถึงข้อมูลอ่อนไหวโดยไม่ได้รับอนุญาต รวมถึงข้อความที่เข้ารหัส
  • ผู้พิพากษาศาลแขวงสหรัฐฯ Phyllis Hamilton เห็นว่าดูเฉพาะชั้นการติดตั้งอย่างเดียวทำให้ยากต่อการเข้าใจวิธีเข้าถึงและดึงข้อมูล จึงรวมสปายแวร์ของ NSO ที่มุ่งเป้าไปยังเซิร์ฟเวอร์ WhatsApp หรือใช้ WhatsApp ในการโจมตีไว้ในขอบเขตการเปิดเผยด้วย
  • อย่างไรก็ตาม ศาลได้ยกเว้นรายละเอียดเกี่ยวกับ สถาปัตยกรรมเซิร์ฟเวอร์ ของ NSO และคำขอให้ระบุตัวลูกค้า รวมถึงปฏิเสธคำร้องของ NSO ที่ขอการสื่อสารหลังการฟ้องร้องระหว่าง WhatsApp กับ Citizen Lab
  • กำหนดการเปิดเผยผู้เชี่ยวชาญของทั้งสองฝ่ายคือ 30 สิงหาคม 2024 และการพิจารณาคดีจะเริ่มในวันที่ 3 มีนาคม 2025 โดยคาดว่าขอบเขตความสามารถที่แท้จริงของ Pegasus จะเป็นหลักฐานสำคัญในการตัดสินคดี

คำวินิจฉัยของศาลเกี่ยวกับการเปิดเผยความสามารถของ Pegasus

  • WhatsApp ยื่นฟ้องโดยอ้างว่า Pegasus ของ NSO Group ถูกใช้ในการสอดแนมผู้ใช้ WhatsApp 1,400 คนเป็นเวลา 2 สัปดาห์ในปี 2019
  • WhatsApp อ้างว่า Pegasus เข้าถึงข้อมูลอ่อนไหวโดยไม่ได้รับอนุญาต รวมถึงข้อความที่เข้ารหัส
  • ในขณะนั้น คดีนี้ถูกมองว่าเป็น มาตรการทางกฎหมายที่ไม่เคยมีมาก่อน ที่มุ่งเป้าไปยังอุตสาหกรรมไร้การกำกับดูแลซึ่งขายบริการมัลแวร์ขั้นสูงให้รัฐบาลทั่วโลก
  • NSO พยายามขัดขวางกระบวนการเปิดเผยหลักฐานทั้งหมดโดยอ้างข้อจำกัดหลายประการของสหรัฐฯ และอิสราเอล แต่คำขอให้ปิดกั้นแบบครอบคลุมถูกปฏิเสธ

ศาลชี้ว่าดูเฉพาะชั้นการติดตั้งยังไม่เพียงพอ

  • ผู้พิพากษาศาลแขวงสหรัฐฯ Phyllis Hamilton ไม่รับข้อโต้แย้งของ NSO ที่ว่าควรส่งมอบเฉพาะข้อมูลเกี่ยวกับ ชั้นการติดตั้ง ของ Pegasus เท่านั้น
  • ศาลรับคำขอของ WhatsApp และสั่งให้เปิดเผยข้อมูลเกี่ยวกับ “ความสามารถทั้งหมดของสปายแวร์ที่เกี่ยวข้อง”
  • ศาลเห็นว่า หากมีเพียงข้อมูลชั้นการติดตั้ง โจทก์จะเข้าใจได้ยากว่าสปายแวร์ทำงานด้าน การเข้าถึงและดึงข้อมูล อย่างไร
  • สิ่งที่ต้องเปิดเผยครอบคลุม สปายแวร์ของ NSO ที่เกี่ยวข้อง ซึ่งมุ่งเป้าไปยังเซิร์ฟเวอร์ WhatsApp หรือใช้ WhatsApp ในทางใดทางหนึ่งเพื่อเข้าถึงอุปกรณ์เป้าหมาย
    • ช่วงเวลาครอบคลุมตั้งแต่ 1 ปีก่อนถึง 1 ปีหลังจากการโจมตีที่ถูกกล่าวหา

ความสามารถของ Pegasus ที่ WhatsApp กล่าวอ้าง

  • WhatsApp อ้างว่า Pegasus สามารถดักจับการสื่อสารที่ส่งเข้าออกจากอุปกรณ์ได้
    • บริการเป้าหมายรวมถึง iMessage, Skype, Telegram, WeChat, Facebook Messenger และ WhatsApp
  • ยังมีข้อกล่าวหาว่า Pegasus สามารถ ปรับแต่ง ให้เหมาะกับเป้าหมายได้
    • ดักจับการสื่อสาร
    • จับภาพหน้าจอ
    • ดึงประวัติการท่องเว็บออกไป

ข้อมูลที่ถูกยกเว้นจากการเปิดเผย

  • ผู้พิพากษา Hamilton ไม่ได้อนุญาตคำขอเปิดเผยหลักฐานทั้งหมดของ WhatsApp
  • ข้อมูลบางอย่างเกี่ยวกับ สถาปัตยกรรมเซิร์ฟเวอร์ ของ NSO ถูกยกเว้นจากการเปิดเผย
    • เพราะศาลเห็นว่า WhatsApp สามารถทราบข้อมูลดังกล่าวได้จากข้อมูลความสามารถทั้งหมดของสปายแวร์ที่เกี่ยวข้อง
  • NSO ไม่ถูกบังคับให้เปิดเผยตัวลูกค้า
  • NSO ไม่เปิดเผยต่อสาธารณะว่ารัฐบาลใดบ้างที่ซื้อสปายแวร์นี้
  • ตามรายงานของ The Guardian มีรายงานว่า Poland, Saudi Arabia, Rwanda, India, Hungary และ United Arab Emirates ใช้ Pegasus เพื่อพุ่งเป้าไปยังผู้เห็นต่าง
  • ในปี 2021 สหรัฐฯ ขึ้นบัญชีดำ NSO ด้วยเหตุผลว่าถูกกล่าวหาว่าเผยแพร่ “เครื่องมือดิจิทัลที่ใช้ในการกดขี่”

คำขอที่เกี่ยวข้องกับ Citizen Lab ถูกปฏิเสธ

  • ในคำสั่งเดียวกัน ผู้พิพากษา Hamilton ยังปฏิเสธคำร้องของ NSO ที่ขอให้เปิดเผยการสื่อสารหลังการฟ้องร้องระหว่าง WhatsApp กับ Citizen Lab
  • Citizen Lab เข้าร่วมในคดีนี้ในฐานะพยานบุคคลที่สาม และสนับสนุนข้อโต้แย้งของ WhatsApp ว่าลูกค้าของ NSO ใช้ Pegasus ในทางที่ผิดกับภาคประชาสังคม
  • NSO ระบุในเอกสารที่ยื่นต่อศาลว่า หาก WhatsApp ถอนข้อความในบันทึกคดีที่สื่อว่า “Pegasus ถูกใช้กับสมาชิกภาคประชาสังคม ไม่ใช่เพื่อสืบสวนการก่อการร้ายและอาชญากรรมร้ายแรง” ความจำเป็นในการเปิดเผยหลักฐานดังกล่าวก็จะลดลงอย่างมาก
  • ผู้พิพากษา Hamilton เห็นว่ายากที่จะมองเห็น ความเกี่ยวข้อง ของหลักฐานที่ร้องขอ จึงไม่รับคำร้องของ NSO

ขั้นตอนที่เหลือและปฏิกิริยา

  • NSO ยังไม่ได้แสดงความเห็นต่อคำสั่งครั้งนี้
  • โฆษกของ WhatsApp กล่าวกับ The Guardian ว่าคำตัดสินครั้งนี้เป็นหมุดหมายสำคัญของเป้าหมายระยะยาวในการปกป้องผู้ใช้ WhatsApp จากการโจมตีที่ผิดกฎหมาย
  • โฆษกกล่าวว่าบริษัทสปายแวร์และผู้ไม่หวังดีต้องเข้าใจว่าพวกเขาสามารถถูกจับได้ และไม่อาจเพิกเฉยต่อกฎหมาย
  • ศาลมีกำหนดรับ การเปิดเผยผู้เชี่ยวชาญ ของทั้งสองฝ่ายในวันที่ 30 สิงหาคม 2024
  • คาดว่าการพิจารณาคดีจะเริ่มในวันที่ 3 มีนาคม 2025

1 ความคิดเห็น

 
GN⁺ 2024-03-02
ความคิดเห็นใน Hacker News
  • น่าสนใจที่ NSO พยายามขัดขวางกระบวนการ discovery ทั้งหมด โดยอ้าง “ข้อจำกัดต่าง ๆ ของสหรัฐฯ และอิสราเอล” แต่แนวทางนี้ถูกปฏิเสธ
    ศาลสหรัฐฯ มีแนวโน้มจะไม่ให้ความสำคัญกับกฎของอิสราเอล ซึ่งเป็นข้อจำกัดของประเทศอื่นมากนัก
    รัฐบาลสหรัฐฯ ขึ้นบัญชีดำ Pegasus อย่างเป็นทางการแล้ว แต่ https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma... ก็คงไม่น่าแปลกใจถ้าหน่วยข่าวกรองบางส่วนของสหรัฐฯ ยังใช้อยู่
    ถ้าเป็นเช่นนั้น Pegasus ก็อาจขอให้หน่วยข่าวกรองสหรัฐฯ ช่วยหยุดคดี โดยอ้างเรื่องการเปิดเผยข้อมูลลับหรือการกระทบต่อผลประโยชน์ของชาติ
    คงน่าสนใจถ้าจู่ ๆ วันหนึ่งเกิด “อะไรบางอย่าง” แล้วคดีถูกยกฟ้องอย่างลึกลับ

    • ดูไม่น่าจะเป็นไปได้ที่หน่วยข่าวกรองสหรัฐฯ จะยังใช้อย่างเป็นทางการ
      แค่ขอรับผลลัพธ์จาก หน่วยข่าวกรองพันธมิตร ที่ใช้ Pegasus น่าจะง่ายกว่ามาก
      วิธีเก็บข้อมูลแบบเว้นระยะห่างเช่นนี้มีความเสี่ยงทางกฎหมายน้อยกว่า
      แต่จะเสียเปรียบหากอ้างความมั่นคงแห่งชาติในศาลสหรัฐฯ เพราะจะกลายเป็นว่า “ใช้ซอฟต์แวร์นี้อยู่หรือไม่?” “อย่างเป็นทางการ ไม่ได้ใช้” “ถ้าอย่างนั้นอ้างความมั่นคงแห่งชาติบนพื้นฐานอะไร?”
    • จุดที่น่าสนใจคือ NSO อ้าง ความคุ้มครองที่ให้แก่รัฐบาล ราวกับว่าตนเป็นตัวแทนของรัฐบาลและดำเนินการแทนรัฐบาล
    • แม้จะตัดทฤษฎีสมคบคิดออกไป ในความเป็นจริงสิ่งที่เห็นคงไม่ใช่ “อะไรบางอย่าง” แต่เป็น เอกสารยื่นต่อศาลแบบไม่เปิดเผยต่อสาธารณะ
    • ถ้าหน่วยข่าวกรองสหรัฐฯ ใช้ Pegasus จริงก็คงน่าตกใจมาก มาตรการคว่ำบาตรไม่ใช่เรื่องเล่น ๆ และยังมี บริษัทในเครือ Five Eyes ที่มีขีดความสามารถคล้ายกันอยู่มากพอ
  • การเปิดโปงของ Snowden ก็ผ่านมานานแล้ว และแค่สิ่งที่เห็นตอนนั้นก็แทบไม่น่าเชื่อ
    ตอนนี้หน่วยข่าวกรองใช้เครื่องมืออะไรอยู่บ้างก็นึกไม่ออกเลย
    เมื่อเทียบกับสิ่งที่หน่วยงานเหล่านั้นมีและใช้ได้แล้ว Pegasus มันพิเศษตรงไหนกันแน่

  • คดีนี้ไม่ค่อยเข้าใจ
    ไม่รู้ว่าทำไม ศาลสหรัฐฯ จึงมีเขตอำนาจ เหนือบริษัทสปายแวร์ต่างชาติของอิสราเอลที่รัฐบาลสหรัฐฯ ขึ้นบัญชีดำไปแล้ว
    และแม้อิสราเอลแพ้คดี ก็ยังสงสัยว่าทำไมถึงต้องส่งซอร์สโค้ดสปายแวร์ให้ WhatsApp

    • เพราะ NSO Group ทำธุรกรรมด้วย ดอลลาร์
      ถ้าไม่ตอบโต้ก็จะเป็นการแพ้คดีโดยขาดนัด และศาลสามารถสั่งยึดทรัพย์สินที่สหรัฐฯ เอื้อมมือถึงได้
      ต่อให้รับชำระเป็นเชเกลในประเทศนอกอิสราเอล ในกระบวนการแลกเปลี่ยนเงินตราดอลลาร์ก็มักเข้ามาเป็นสกุลเงินตัวกลาง และตรงนั้นคือช่องทางของสหรัฐฯ
    • สิ่งนี้เรียกว่า การบังคับใช้นอกอาณาเขต
      ในฝรั่งเศสก็เคยมีเรื่องที่ไร้เหตุผลมากเกิดขึ้น
      สหรัฐฯ ผลักดัน Alstom บริษัทฝรั่งเศสขนาดใหญ่จนแทบล้มละลาย แล้วซื้อไปในราคาถูก จากนั้นก็พยายามโค่น Airbus ด้วย
      ทั้งสองกรณีสหรัฐฯ ใช้สิทธิที่ตนมอบให้ตัวเองในเรื่องการบังคับใช้นอกอาณาเขต
      เรื่องนี้ถูกบันทึกไว้ในสารคดีนี้: https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
      ก่อนหน้านี้เคยดูได้บน YouTube ที่ https://youtu.be/Sa22eu1FWyo แต่ตอนนี้ดูเหมือนจะถูกเปลี่ยนเป็นส่วนตัวแล้ว เป็นการเปิดโปงที่ทำให้บางฝ่ายไม่สบายใจหรือเปล่า
    • เพราะเป็นสหรัฐฯ จึงทำได้
      FATCA ก็เป็นไปได้ด้วยเหตุผลเดียวกัน
    • ไม่มีอะไรต้องอธิบายมาก สหรัฐฯ มี สนธิสัญญาร่วมกัน กับประเทศพันธมิตร
      นี่คือสิ่งที่รัฐบาลพูดถึงอยู่เสมอว่า “ระเบียบเสรีนิยมระหว่างประเทศ”
      อิสราเอลลงนามในสนธิสัญญาว่าจะเคารพและบังคับใช้คำพิพากษาของศาลสหรัฐฯ และสหรัฐฯ ก็ลงนามในสนธิสัญญาว่าจะเคารพและบังคับใช้คำพิพากษาของศาลอิสราเอล
      ดังนั้นเมื่อผู้พิพากษาสหรัฐฯ ลงนามในคำสั่งแล้วส่งให้ผู้พิพากษาอิสราเอล ผู้พิพากษาอิสราเอลก็จะบังคับใช้ และในทางกลับกันก็เช่นเดียวกัน
    • เพราะเป็นการกระทำที่เกิดขึ้นในสหรัฐฯ และถูกฟ้องในสหรัฐฯ ไม่ใช่เรื่องยากหรือพิเศษอะไร
      แน่นอนว่าจะเพิกเฉยต่อคดีก็ได้ แต่ถ้าอย่างนั้นผู้เกี่ยวข้องก็ไม่ควรเข้าประเทศสหรัฐฯ อีกเลย
      ตั้งแต่แรก วิธีดำเนินงานของพวกเขาก็ดูมีลักษณะอาชญากรรมอย่างมาก จนอยากแนะนำให้อดีตพนักงานทุกคนเลี่ยงการเข้าสหรัฐฯ ด้วยซ้ำ
  • สงสัยว่าหนึ่งในแพลตฟอร์มอื่นที่ถูกกล่าวถึงคือ Signal หรือไม่

    • ถ้าอุปกรณ์ถูก root แล้ว ก็สามารถดึงข้อมูลออกจากแอปไหนก็ได้ ดังนั้นดูเหมือนว่าจะเอ่ยถึงทุกแพลตฟอร์มเพื่อการตลาด
      แต่นั่นไม่ได้หมายความว่าช่องโหว่อยู่ในแอปนั้น หรือเป็นความผิดของแอป
      สุดท้ายมองว่านี่เป็นปัญหาของแพลตฟอร์ม โดยเฉพาะ iOS และ Apple รวมถึงนักพัฒนาและนายหน้าซื้อขาย exploit
      นั่นจึงเป็นเหตุผลที่ Apple ไม่ชอบคนกลุ่มนี้
      ไม่ว่าจะดีหรือร้าย การกดดัน Apple โดยรวมแล้วอาจเป็นเรื่องดีสำหรับผู้ใช้ที่เหลือด้วย
      ในทางกลับกัน ก็อาจมองได้ว่า Apple ควรใส่ใจกับปัญหาเหล่านี้มากขึ้น และให้รางวัลนักวิจัยด้านความปลอดภัยสูงขึ้น
      แม้จะดีกว่าเมื่อ 20 ปีก่อน แต่การขาย exploit ให้กับผู้เล่นน่าสงสัยแบบนี้ยังคงมีแนวโน้มทำเงินได้มากกว่าการหวังให้บริษัทยักษ์ใหญ่จ่ายเศษเงินสำหรับการค้นพบอยู่ดี
  • ขออ้างอิงว่า https://grapheneos.org/ และ https://signal.org/ มีอยู่จริง

    • ผมว่านี่เป็น การออกนอกประเด็น ไม่ใช่หรือ
      หากสปายแวร์ตัวหนึ่งได้สิทธิ์เข้าถึงระดับ ring0 บนอุปกรณ์ คุณสมบัติด้านความปลอดภัยของแอปอย่าง Signal ก็แทบไม่มีความหมาย
      เพราะสปายแวร์สามารถเข้าถึงได้อย่างง่ายดายมาก
  • อิสราเอลไม่มีทางอนุญาตให้ นำซอร์สโค้ดออกนอกประเทศ แน่

    • ประเทศนั้นแทบจะเป็นรัฐอันธพาล แต่แปลกที่มักได้รับการปฏิบัติอย่างระมัดระวังเสมอ
  • ถึง Pegasus จะแพ้คดี ก็ไม่เข้าใจว่าทำไมต้องส่งซอร์สโค้ดจริงให้ WhatsApp
    แค่ส่งอะไรมั่ว ๆ ไปก็ได้ไม่ใช่หรือ ผมพลาดอะไรไปไหม

    • คุณพลาดเรื่องศาลและ อำนาจทางกฎหมาย ของศาล
  • ผมไม่เข้าใจเลยว่าทำไม NSO Group หรือยิ่งไปกว่านั้นคืออิสราเอล ถึงไม่ถูกคว่ำบาตรเพราะสปายแวร์ตัวนี้
    บริษัทนี้เป็น บริษัทอันตราย ที่ขายเครื่องมือซึ่งถูกนำไปใช้ในทางที่ผิดได้ง่ายให้กับศัตรูต่อต้านประชาธิปไตยที่เลวร้ายที่สุดของชาติตะวันตก

    • NSO ถูกคว่ำบาตรไปแล้ว: https://www.state.gov/the-united-states-adds-foreign-compani...
    • เหตุผลเดียวกับที่แม้จะทำสิ่งต่าง ๆ มากมายที่ขัดต่อผลประโยชน์และคุณค่าของสหรัฐฯ แต่ เงินช่วยเหลือทางทหาร 10,000 ล้านดอลลาร์ ก็ไม่ได้ลดลง
      เพราะการเมือง
    • NSO Group ถูกคว่ำบาตรไปแล้ว: https://www.washingtonpost.com/technology/2021/11/03/pegasus...
    • อิสราเอลทำหน้าที่เป็น ช่องทางอ้อม ในการส่งมอบอาวุธให้ประเทศที่ตามมาตรฐาน “คุณค่าแบบตะวันตก” แล้วถือว่าเลวร้าย แต่ยอมตามผลประโยชน์ของบริษัทสหรัฐฯ มานานแล้ว
      อิเควทอเรียลกินีเป็นตัวอย่างหนึ่ง และเกี่ยวข้องกับข้อตกลงระหว่างเผด็จการ Obiang กับ ExxonMobil
      Steve Coll เขียนไว้ใน "Private Empire: ExxonMobil and American Power" (2012) ว่า

      "Fortunately for Obiang, coup-prone African governments rolling in oil but lacking in arms and intelligence to defend their bounty had a discrete alternative to the Pentagon and C.I.A. for defense support: Israel. Quietly, the Bush Administration encouraged Obiang to enter into security and commercial ties with Tel Aviv."
      อาเซอร์ไบจานก็คล้ายกัน เพราะถูกห้ามขายอาวุธจากสหรัฐฯ เนื่องจากปัญหาการละเมิดสิทธิมนุษยชน
      โทรเลขของกระทรวงการต่างประเทศสหรัฐฯ ปี 2009 ที่เผยแพร่บน Wikileaks ระบุว่า “ผ่านความสัมพันธ์ใกล้ชิดกับอิสราเอล อาเซอร์ไบจานได้สิทธิ์เข้าถึงระบบอาวุธคุณภาพสูงในระดับที่ไม่สามารถหาได้จากสหรัฐฯ และยุโรป เนื่องจากข้อจำกัดทางกฎหมายหลายประการ”
      เมื่อรัฐบาลเผด็จการส่งเงินน้ำมันเข้าสู่ระบบการเงินตะวันตก สหรัฐฯ ก็หลับตาข้างหนึ่งกับเรื่องแบบนี้ เช่น การที่ซาอุดีอาระเบียและ UAE ใช้ Pegasus ปราบปรามนักกิจกรรมเพื่อประชาธิปไตย
      ไม่อย่างนั้นก็ถึงเวลาคว่ำบาตรและเปลี่ยนระบอบ

    • ถ้าลองสวมหมวกทฤษฎีสมคบคิดดู ก็เหมือนว่าจะมีผลประโยชน์ลึก ๆ จากการที่ พันธมิตรที่แข็งแกร่ง ไม่ใช่คู่แข่ง เป็นคนขายของแบบนี้
      ไม่ดีต่อประเทศที่ตกเป็นเป้าหมายเลย แต่เป็นประโยชน์ต่ออิสราเอลและหน่วยข่าวกรองสหรัฐฯ
  • เพราะงั้นถึงไม่อยากทำงานด้านไซเบอร์ซีเคียวริตี้
    เพราะต้องรับมือกับ คนอันตราย

    • งานตำรวจก็เป็นแบบนั้น และกองทัพยิ่งหนักกว่า
      อีกอย่าง ไซเบอร์ซีเคียวริตี้มีขอบเขตกว้างมาก
      หลายบทบาทใกล้เคียงกับการให้ความรู้พนักงานเรื่องหลักการและขั้นตอนด้านความปลอดภัย และการทำ data classification
      ไม่ใช่ทุกคนที่รับมือกับการโจมตีโดยตรง ส่วนใหญ่เป็น งานป้องกัน
      ในบริษัทของเรา คนที่ทำงานด้านไซเบอร์ซีเคียวริตี้ในเชิงเทคนิคและรับมือกับการโจมตีโดยตรงน่าจะมีสัดส่วนน้อยกว่า 20% แต่อาจเป็นเพราะเรา outsource SOC ด้วย