1 ความคิดเห็น

 
GN⁺ 2024-12-22
ความคิดเห็นจาก Hacker News
  • ถ้าฟังตอนต่าง ๆ ของ Darknet Diaries ที่พูดถึง NSO Group จากมุมของคนที่เคยปะทะโดยตรงหรือเคยตกเป็นเป้าหมาย จะรู้สึกได้เลยว่าพวกเขาเลวร้ายแค่ไหน
    สิ่งที่เป็นปัญหาเป็นพิเศษคือพวกเขาเคลื่อนไหวภายใต้การคุ้มครองของสหรัฐฯ และได้รับอนุญาตให้สอดแนมพลเมืองสหรัฐฯ ได้โดยแทบไม่ต้องรับผิดชอบอะไรเลย
    กรณีที่ดักฟัง Ben Suda อย่างผิดกฎหมายหลังจากเขาเริ่มสืบสวนอาชญากรรมสงครามของอิสราเอลนั้นน่าขยะแขยงเป็นพิเศษ และผมมองว่ามีการนำสิ่งนี้ไปใช้ข่มขู่อัยการหรือใช้ซ่อนหลักฐานที่เกี่ยวข้องกับการสอบสวน
    อีกประเด็นที่ร้ายแรงคือการใช้ช่องโหว่ด้วยการนำคดีขึ้นศาลแล้วถอนฟ้อง เพื่อไปบอก ICC ว่า “ได้พยายามฟ้องร้องแล้ว” ทำให้ ICC ไม่สามารถรับคดีนั้นไว้พิจารณาได้
    หลายประเทศก็คงทำเรื่องคล้ายกันและดูแลบอตเน็ตหรือข่มขู่นักข่าวอยู่เหมือนกัน แต่สิ่งที่แปลกในกรณีนี้คือองค์กรข่าวกรองของอิสราเอลได้รับ การคุ้มครองอย่างเต็มที่จากสหรัฐฯ โดยไม่มีการตรวจสอบหรือกำกับดูแลใด ๆ เคียงข้างรัฐบาลสหรัฐฯ
    เรากำลังใช้ชีวิตอยู่ในโลกดิสโทเปียที่มีคนเตือนกันมาหลายสิบปีแล้ว

    • สหรัฐฯ โฮสต์และคุ้มครองบริษัทที่ทำเรื่องนี้ได้ดีกว่า NSO ด้วยซ้ำ
      ไม่ใช่แค่เพราะบริษัทเหล่านั้นฉลาดพอที่จะไม่ตกเป็นข่าวเท่านั้น
    • หลักการเสริมเขตอำนาจของ ICC จะไม่ถูกนำมาใช้ได้ง่ายขนาดนั้น หากการสืบสวนภายในประเทศไม่ได้เป็นไปโดยสุจริตอย่างชัดเจน
      ICC สามารถเพิกเฉยต่อการสืบสวนภายในประเทศที่เห็นว่าไม่ใช่ความพยายามสืบสวนอย่างจริงจังได้
      ถ้าแค่หมุนเวียนทำ การสืบสวนปลอม กันเองก็หลีกเลี่ยงความรับผิดทั้งหมดได้ ศาลนั้นก็คงน่าขันมาก
    • ถ้าเป็นไปได้ ผมพยายามไม่ใช้ เทคโนโลยีของอิสราเอล ในสแต็กของตัวเอง
      ผมไม่แน่ใจว่าจะใช้ซอฟต์แวร์อย่าง Snyk โดยไม่ทำให้ตัวเองตกอยู่ในความเสี่ยงได้หรือไม่ ผู้ก่อตั้งเป็นอดีตสมาชิก IDF Unit 8200
      โดยเฉพาะในด้านความปลอดภัย การใช้เทคโนโลยีอิสราเอลดูเหมือนการพาหมาป่าเข้ามาในเล้าไก่ ขอผ่าน
  • คงเหมาะกว่าถ้าปฏิบัติกับเจ้าของหรือผู้มีอำนาจตัดสินใจของ NSO แบบเดียวกับ Gary McKinnon
    เพียงแต่ว่าพวกเขาดูจะเป็นฝ่ายที่ “เท่าเทียมกว่า”

  • ผมไม่ใช่ทนาย เลยอาจเข้าใจผิดอะไรไป แต่โจทก์ไม่ใช่นักข่าว หากเป็น WhatsApp
    คดีนี้ดูเหมือนไม่ได้เกี่ยวกับการฟ้องให้ NSO Group รับผิดจากการแฮ็กนักข่าวโดยตรง แต่ประเด็นหลักคือการส่งเวกเตอร์ติดตั้ง Pegasus ไปยังเหยื่อผ่าน WhatsApp นั้นเป็นการ “ใช้อำนาจเกินขอบเขต” ต่อ WhatsApp หรือไม่
    ข้อเท็จจริงที่ว่านักข่าวถูกละเมิดเป็นเรื่องประกอบ และคำพิพากษาพูดถึงว่ามีการใช้อำนาจเกินขอบเขตในระบบของ WhatsApp หรือไม่ มากกว่าจะตัดสินว่าการเข้าถึงเหยื่อเป็นการเข้าถึงโดยไม่ได้รับอนุญาตหรือไม่
    คำพิพากษายังเห็นว่า ผู้ใช้ WhatsApp ทุกคนมีสิทธิส่งข้อความ ดังนั้นแม้จะมีสปายแวร์อยู่ด้วยก็ไม่ใช่ “การเข้าถึงโดยไม่ได้รับอนุญาต” แต่สนับสนุนได้เฉพาะทฤษฎีเรื่อง “การใช้อำนาจเกินขอบเขต” เท่านั้น
    ฝ่ายจำเลยโต้ว่าเวกเตอร์ติดตั้ง Pegasus ก็แค่ผ่านเซิร์ฟเวอร์ WhatsApp เหมือนข้อความอื่น ๆ และข้อมูลที่ได้มาไม่ได้มาจากเซิร์ฟเวอร์ แต่มาจากอุปกรณ์ของผู้ใช้เป้าหมาย
    ฝ่ายโจทก์อ้างถ้อยคำในบทบัญญัติที่ว่า “คอมพิวเตอร์ที่ได้รับการคุ้มครองใด ๆ (any protected computer)” และในการไต่สวนก็มีการสรุปว่า WIS ไม่เพียงได้ข้อมูลโดยตรงจากอุปกรณ์ผู้ใช้เท่านั้น แต่ยังได้ข้อมูลของอุปกรณ์เป้าหมายผ่านเซิร์ฟเวอร์ WhatsApp ด้วย
    หากดูบันทึกก่อนหน้านี้ประกอบ NSO Group ได้เขียนสคริปต์สร้าง ไคลเอนต์ WhatsApp ปลอม ที่ส่งข้อความแบบที่แอปเดิมส่งไม่ได้ และใช้สิ่งนั้นเพื่อดึงข้อมูลอุปกรณ์เป้าหมาย
    โครงสร้างเหตุผลคือ ไคลเอนต์ปลอมทำสิ่งที่ไคลเอนต์จริงทำไม่ได้ และเป็นสิ่งที่ข้อกำหนดการใช้งานห้ามไว้ จึงเป็นการใช้อำนาจเกินขอบเขต
    ควรหยุดคิดสักนิดว่าสิ่งนี้หมายความว่าอย่างไร ผมคงไม่ใช่คนเดียวที่เคยสร้างไคลเอนต์ทดแทนของอะไรบางอย่าง
    WhatsApp ดูเหมือนไม่ได้อ้างว่าไคลเอนต์ปลอมใช้ช่องโหว่เพื่อเอาข้อมูล แต่เห็นว่าแค่ข้อเท็จจริงว่ามันเป็นไคลเอนต์ปลอมก็เพียงพอแล้ว อย่างไรก็ตาม มีส่วนที่ถูกปิดเป็นความลับซึ่งอาจเกี่ยวข้องกับประเด็นนี้อยู่
    CFAA ค่อนข้างคลุมเครือและในอดีตก็ถูกตีความกว้างมาก จึงไม่น่าแปลกใจ แต่หลังคดี Van Buren เมื่อไม่กี่ปีก่อน ผมเคยหวังว่าการตีความแบบกว้างที่ทำให้การละเมิดข้อกำหนดการใช้งานกลายเป็นการละเมิด CFAA จะถอยกลับลงมาบ้าง
    คำพิพากษาสำหรับผู้สนใจ: https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
    ถ้าอยากดูบันทึกอื่น ๆ ที่มีข้อโต้แย้งของทั้งสองฝ่าย ดูได้ที่ CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v...

    • ผมเคยสร้างไคลเอนต์ไม่เป็นทางการ และก็เคยสู้กับไคลเอนต์ไม่เป็นทางการที่เป็นอันตรายในบริการที่ผมดูแล
      การให้เช็คเปล่าโดยสมบูรณ์แก่ฝ่ายใดฝ่ายหนึ่งไม่ยั่งยืน
      ไคลเอนต์ 99.99% ที่ทำงานได้ดีมักถูกมองข้ามโดยปริยาย แต่ผมไม่ได้คัดค้านถ้าฝ่ายที่ เผยแพร่มัลแวร์ หรือหลบเลี่ยงการจำกัดอัตราการใช้งานจะต้องขึ้นศาล
    • เมื่อดูจากลักษณะของผู้มีส่วนได้เสีย วิธีที่สะอาดที่สุดในการบรรลุเป้าหมายคือการเล็งไปที่ ประเด็นเรื่องสิทธิ/อำนาจ
      ทำให้โฟกัสไปอยู่ที่วิธีการมากกว่าว่าใครทำอะไร
      วิธีนี้ช่วยลดความเสียหายต่อหน้าและชื่อเสียงของผู้มีส่วนได้เสีย ปกป้องแหล่งที่มาและวิธีการ และยังส่งสารได้ด้วย
      กฎหมายถูกเขียนไว้ให้กว้างที่สุดเท่าที่เป็นไปได้ หากไม่ใช่ NSO Group แต่เป็นชาวอเมริกัน ก็คงใช้การคำนวณค่าเสียหายแบบไร้เหตุผลเพื่อกดให้รับสารภาพแลกกับการไม่ต้องติดคุกหลายพันเดือน
    • CFAA ถึงเวลาต้องปฏิรูปอย่างแน่นอน
      ไม่ยากที่จะโต้แย้งว่ามันกว้างและคลุมเครือ และมีขอบเขตโดยรวมที่สามารถดึงพฤติกรรมออนไลน์ที่ไม่ก่ออันตรายเข้าไปเกี่ยวได้ง่าย
    • ผู้ใช้ WhatsApp คงยากที่จะมีสถานะเป็นโจทก์ฟ้องคนที่แฮ็ก WhatsApp เพื่อเอาข้อมูลของตัวเองไป
      ระบบเป็นของ WhatsApp ดังนั้น WhatsApp จึงต้องเป็นฝ่ายฟ้อง
    • ถ้าเป็นส่วนที่ว่า “ใช้ไคลเอนต์ปลอมที่ส่งข้อความแบบที่แอปเดิมส่งไม่ได้เพื่อดึงข้อมูลอุปกรณ์ผู้ใช้เป้าหมาย” การแบ่งแยกว่าเป็น การใช้อำนาจเกินขอบเขต ก็ดูค่อนข้างชัดเจน
      ผมไม่อ่านคำพิพากษานี้ว่าเป็นผลเสียต่อคนที่อยากสร้างไคลเอนต์ของตัวเอง
      พวกเขาตั้งใจสร้างไคลเอนต์บุคคลที่สามเพื่อวัตถุประสงค์ที่เป็นอันตราย
      ถ้าคุณสร้างไคลเอนต์ Discord เพื่อส่งสแปมหรือพยายามทำอันตรายผู้ใช้ การที่มันจะเป็นปัญหาก็สมเหตุสมผลอย่างยิ่ง
  • เคยคิดว่า WhatsApp กับ Signal ใช้การเข้ารหัสแบบเดียวกัน

    • ไม่ได้หมายความว่า การเข้ารหัส ถูกเจาะ
      ตัวแอปเองต้องประมวลผลอินพุตที่เชื่อถือไม่ได้จำนวนมาก ดังนั้นจึงมีพื้นผิวการโจมตีที่มีนัยสำคัญอยู่นอกโปรโตคอลด้วย เช่น ส่วนที่สร้างภาพขนาดย่อของไฟล์วิดีโอที่ได้รับ
    • เป็น บัฟเฟอร์โอเวอร์โฟลว์ ในสแตก VOIP
      https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
      ที่น่าสนใจคือ Signal และแอปอื่น ๆ ก็เคยมีช่องโหว่คล้ายกันบน Android เพราะสแตก WebRTC
      https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
      ในทั้งสองกรณี ปัญหาใหญ่คือ exploit ถูกเรียกทำงานก่อนที่ผู้ใช้จะรับสาย
      ถ้าเป็นเมสเซนเจอร์ที่ปลอดภัย ก็ไม่ควรรันโค้ดที่โดยเนื้อแท้แล้วไม่ปลอดภัย หรือก็คือโค้ดที่ซับซ้อน แทนเอนทิตีที่ผู้ใช้ไม่ได้เชื่อถือจริง ๆ
      ผมคิดว่าค่าเริ่มต้นควรเป็น ข้อความธรรมดา เสมอ
    • กลุ่มนี้ใช้บั๊กของ WhatsApp เพื่อส่งสปายแวร์
      ไม่ใช่ปัญหาของการเข้ารหัสจากต้นทางถึงปลายทาง
      ผู้พิพากษาสหรัฐฯ ตัดสินให้ WhatsApp ของ Meta Platforms ชนะคดีที่กล่าวหา NSO Group ของอิสราเอลว่าใช้บั๊กในแอปส่งข้อความเพื่อติดตั้งซอฟต์แวร์สอดแนมที่ทำให้เกิดการเฝ้าระวังโดยไม่ได้รับอนุญาต
    • การโจมตีไม่ได้มุ่งเป้าไปที่ส่วนการเข้ารหัสของ WhatsApp
      การเข้ารหัสสำคัญก็จริง แต่ไม่ค่อยเป็นจุดอ่อนที่สุดในห่วงโซ่ความปลอดภัย
    • เราควรเริ่มจากสมมติฐานว่าสื่อสารช่องทางใด ๆ ก็ถูกเจาะไปแล้ว
      องค์กรอย่าง NSA ไม่มีทางยกมือยอมแพ้กับแอปอย่าง Signal แน่ ๆ ถ้าเป็นหนึ่งในแอปส่งข้อความที่ถูกดาวน์โหลดมากที่สุด ก็ย่อมคุ้มค่ามากที่จะลงทุนเจาะ
      อะไรก็ตามที่มีโทรศัพท์มือถือหรือคอมพิวเตอร์เข้ามาเกี่ยวข้อง ควรมองว่าโดยเนื้อแท้แล้วไม่ปลอดภัยไว้ก่อน
      ในทางกลับกัน วิธีแบบแอนะล็อก เช่น สมุดรหัสใช้ครั้งเดียว หรือการเอามือป้องปากแล้วกระซิบข้างหู ไม่ได้ทำให้ดุลอำนาจระหว่างรัฐกับปัจเจกเอียงข้างเดียวเท่าการสื่อสารดิจิทัลที่มีโอกาสสูงว่าโดนละเมิดไปแล้วไม่ทางใดก็ทางหนึ่ง
  • ประโยคที่ว่า “บริษัทสอดแนมต้องรู้ว่าการเฝ้าระวังที่ผิดกฎหมายเป็นสิ่งที่ยอมรับไม่ได้” ฟังแล้วทั้งตลกและเศร้าเล็กน้อย
    ถ้ามองกลับกัน ก็เหมือน Meta กำลังบอกว่ายอมให้ผู้ใช้ WhatsApp ถูก “สอดแนมอย่างถูกกฎหมายเท่านั้น”

    • บริษัทโซเชียลมีเดียทั้งหมดอนุญาตให้มี การเฝ้าระวังที่ชอบด้วยกฎหมาย
      ในสหรัฐฯ มีการออกหมายค้นและคำสั่งดักฟังทุกวัน
    • ก็น่าจะเป็นเรื่องปกติไม่ใช่หรือ
      Meta ต้องการสิทธิผูกขาดในการสอดแนมผู้ใช้
      ห้ามใช้ผลิตภัณฑ์ของ Meta เพื่อสอดแนมผู้ใช้
      ถ้าอยากสอดแนมผู้ใช้ ก็ไปสร้างแอปที่ได้รับความนิยมมากพอจนคนหลายพันล้านสมัครใช้โดยสมัครใจและยินยอมให้ถูกสอดแนมเอง
  • น่าขันเมื่อคิดว่า FBI และ CISA เพิ่งประกาศวันนี้เองว่า อย่าใช้ SMS สำหรับการยืนยันตัวตนสองขั้นตอน ให้ใช้ WhatsApp
    แน่นอนว่าปัญหาใหญ่ที่สุดที่พวกเขาชี้คือผู้ใช้มือถือกดลิงก์ใน SMS
    พวกเราส่วนใหญ่อยู่ในสภาพแวดล้อมที่ถูกครอบงำและต่อต้านผู้บริโภคจนไม่แน่ใจว่ามีคำแนะนำที่ดีจริง ๆ อยู่หรือไม่
    https://www.newsnationnow.com/business/tech/fbi-warns-agains...

    • แน่นอนว่ามีคำแนะนำที่ดี
      ควรเลือกใช้ แอปยืนยันตัวตน มากกว่า SMS เสมอ
      คาดว่า Passkeys ก็น่าจะเป็นการอัปเกรดครั้งใหญ่ในด้านนี้เช่นกัน
    • มีรายงานว่า WhatsApp ไม่เสี่ยงต่อการแฮ็กนั้นแล้ว และแอป SMS เองก็เคยมีช่องโหว่คล้าย ๆ กันในอดีต
  • ไม่ควรแบ่งแยกระหว่างบริษัทแบบนี้กับผู้ปฏิบัติการบ็อตเน็ตทั่วไปหรือกลุ่มแรนซัมแวร์
    ผู้บริหารควรถูกตัดสินจำคุก 20–30 ปี และถูกส่งผู้ร้ายข้ามแดนทั่วโลก
    ความเสียหายที่คนเหล่านี้ก่อกับสังคม จากการแฮ็กนักข่าวและนักการเมืองจนทำให้ไม่ใช่แค่กระเป๋าสตางค์แต่ชีวิตจริง ๆ ตกอยู่ในอันตราย อาจมากกว่ากลุ่มแรนซัมแวร์ด้วยซ้ำ
    นอกจากการดึงข้อมูลของผู้ที่ได้รับสิทธิในการต่อสู้คดีในศาลเปิด และถูกตัดสินว่ามีความผิดแล้ว ไม่ควรมีกรณีใดที่การแฮ็กอุปกรณ์ของใครบางคนจะ “ชอบด้วยกฎหมาย”

    • เรื่องนี้ไม่ได้ต่างจาก “อาวุธ” แบบดั้งเดิมนัก
      ผมไม่ชอบการเปรียบเทียบกับ “อาวุธไซเบอร์” แต่กรณีนี้ใช้ได้พอดี
      ถ้าขายปืนให้รัฐบาล แม้แต่รัฐบาลที่มีชื่อเสียงไม่ดี ก็แทบไม่มีอะไรเกิดขึ้น เว้นแต่จะเป็นกรณีสุดขั้วมาก ๆ
      แต่ถ้าขายปืนให้แก๊งข้างถนน นั่นเป็นอีกเรื่องโดยสิ้นเชิง
      ผมไม่คิดว่าสถานการณ์นี้จะแตกต่างเพียงเพราะมันเป็น “การแฮ็ก”
    • คนที่แฮ็กนักข่าวควรติดคุกอย่างแน่นอน
    • อย่างน้อยก็เห็นด้วยกับส่วนแรกในเชิงเจตนา
      แต่ส่วนที่สองฟังไม่สมเหตุสมผล
      ถ้าประธานาธิบดีสหรัฐฯ สั่งให้โดรนสังหารผู้ก่อการร้ายโดยไม่ต้องนำขึ้นศาลได้ ก็ย่อมสั่งแฮ็กโทรศัพท์ของพวกเขาได้เช่นกัน
      ถ้าคิดว่าอย่างหลังไม่มีทางยอมรับได้ ก็น่าจะต้องต่อสู้กับอย่างแรกก่อน
    • ชาวอิสราเอลจะไม่ถูกส่งตัวไปสหรัฐฯ ไม่ว่าด้วยเรื่องใด
      ที่ตลกคือแม้สหรัฐฯ จะเป็นฝ่ายค้ำจุนประเทศนั้นทั้งประเทศในทางการเงินแทบทั้งหมดก็ตาม
      มันกลายเป็นเหมือนสถานที่ที่อนุญาตให้อิสราเอลถอดถุงมือและข่มขู่ศัตรูทางทหาร เพื่อให้สหรัฐฯ ไม่ถูกกล่าวโทษในสิ่งที่ทำเองโดยตรง และยังแสร้งรักษา “ระเบียบโลกบนฐานสิทธิ” ไว้ได้
    • ลองจินตนาการว่าพวกเขาไล่ล่า NSO อย่างไม่ลดละเท่ากับที่ไล่ล่า Wikileaks