ผู้พิพากษาสหรัฐชี้ NSO Group ต้องรับผิดกรณีแฮ็กนักข่าวผ่าน WhatsApp (reuters.com) 1 คะแนน โดย GN⁺ 2024-12-22 | 1 ความคิดเห็น | แชร์ทาง WhatsApp บทความที่เกี่ยวข้อง WhatsApp บังคับให้ผู้สร้างสปายแวร์ Pegasus เปิดเผยโค้ดลับ 1 คะแนน · 1 ความคิดเห็น · 2024-03-02 สปายแวร์ของ Paragon บริษัทอิสราเอลที่สหรัฐฯ สนับสนุน มุ่งเป้านักข่าวยุโรป 2 คะแนน · 1 ความคิดเห็น · 2025-06-13 โทรศัพท์มือถือของผู้ร่วมก่อตั้ง Meduza ติด Pegasus 1 คะแนน · 1 ความคิดเห็น · 2023-09-14 เหตุการณ์ที่บริษัทสปายแวร์อิสราเอลเปิดเผยตัวเองโดยไม่ตั้งใจ 1 คะแนน · 1 ความคิดเห็น · 2026-02-18 1 ความคิดเห็น GN⁺ 2024-12-22 ความคิดเห็นจาก Hacker News ถ้าฟังตอนต่าง ๆ ของ Darknet Diaries ที่พูดถึง NSO Group จากมุมของคนที่เคยปะทะโดยตรงหรือเคยตกเป็นเป้าหมาย จะรู้สึกได้เลยว่าพวกเขาเลวร้ายแค่ไหน สิ่งที่เป็นปัญหาเป็นพิเศษคือพวกเขาเคลื่อนไหวภายใต้การคุ้มครองของสหรัฐฯ และได้รับอนุญาตให้สอดแนมพลเมืองสหรัฐฯ ได้โดยแทบไม่ต้องรับผิดชอบอะไรเลย กรณีที่ดักฟัง Ben Suda อย่างผิดกฎหมายหลังจากเขาเริ่มสืบสวนอาชญากรรมสงครามของอิสราเอลนั้นน่าขยะแขยงเป็นพิเศษ และผมมองว่ามีการนำสิ่งนี้ไปใช้ข่มขู่อัยการหรือใช้ซ่อนหลักฐานที่เกี่ยวข้องกับการสอบสวน อีกประเด็นที่ร้ายแรงคือการใช้ช่องโหว่ด้วยการนำคดีขึ้นศาลแล้วถอนฟ้อง เพื่อไปบอก ICC ว่า “ได้พยายามฟ้องร้องแล้ว” ทำให้ ICC ไม่สามารถรับคดีนั้นไว้พิจารณาได้ หลายประเทศก็คงทำเรื่องคล้ายกันและดูแลบอตเน็ตหรือข่มขู่นักข่าวอยู่เหมือนกัน แต่สิ่งที่แปลกในกรณีนี้คือองค์กรข่าวกรองของอิสราเอลได้รับ การคุ้มครองอย่างเต็มที่จากสหรัฐฯ โดยไม่มีการตรวจสอบหรือกำกับดูแลใด ๆ เคียงข้างรัฐบาลสหรัฐฯ เรากำลังใช้ชีวิตอยู่ในโลกดิสโทเปียที่มีคนเตือนกันมาหลายสิบปีแล้ว สหรัฐฯ โฮสต์และคุ้มครองบริษัทที่ทำเรื่องนี้ได้ดีกว่า NSO ด้วยซ้ำ ไม่ใช่แค่เพราะบริษัทเหล่านั้นฉลาดพอที่จะไม่ตกเป็นข่าวเท่านั้น หลักการเสริมเขตอำนาจของ ICC จะไม่ถูกนำมาใช้ได้ง่ายขนาดนั้น หากการสืบสวนภายในประเทศไม่ได้เป็นไปโดยสุจริตอย่างชัดเจน ICC สามารถเพิกเฉยต่อการสืบสวนภายในประเทศที่เห็นว่าไม่ใช่ความพยายามสืบสวนอย่างจริงจังได้ ถ้าแค่หมุนเวียนทำ การสืบสวนปลอม กันเองก็หลีกเลี่ยงความรับผิดทั้งหมดได้ ศาลนั้นก็คงน่าขันมาก ถ้าเป็นไปได้ ผมพยายามไม่ใช้ เทคโนโลยีของอิสราเอล ในสแต็กของตัวเอง ผมไม่แน่ใจว่าจะใช้ซอฟต์แวร์อย่าง Snyk โดยไม่ทำให้ตัวเองตกอยู่ในความเสี่ยงได้หรือไม่ ผู้ก่อตั้งเป็นอดีตสมาชิก IDF Unit 8200 โดยเฉพาะในด้านความปลอดภัย การใช้เทคโนโลยีอิสราเอลดูเหมือนการพาหมาป่าเข้ามาในเล้าไก่ ขอผ่าน คงเหมาะกว่าถ้าปฏิบัติกับเจ้าของหรือผู้มีอำนาจตัดสินใจของ NSO แบบเดียวกับ Gary McKinnon เพียงแต่ว่าพวกเขาดูจะเป็นฝ่ายที่ “เท่าเทียมกว่า” ผมไม่ใช่ทนาย เลยอาจเข้าใจผิดอะไรไป แต่โจทก์ไม่ใช่นักข่าว หากเป็น WhatsApp คดีนี้ดูเหมือนไม่ได้เกี่ยวกับการฟ้องให้ NSO Group รับผิดจากการแฮ็กนักข่าวโดยตรง แต่ประเด็นหลักคือการส่งเวกเตอร์ติดตั้ง Pegasus ไปยังเหยื่อผ่าน WhatsApp นั้นเป็นการ “ใช้อำนาจเกินขอบเขต” ต่อ WhatsApp หรือไม่ ข้อเท็จจริงที่ว่านักข่าวถูกละเมิดเป็นเรื่องประกอบ และคำพิพากษาพูดถึงว่ามีการใช้อำนาจเกินขอบเขตในระบบของ WhatsApp หรือไม่ มากกว่าจะตัดสินว่าการเข้าถึงเหยื่อเป็นการเข้าถึงโดยไม่ได้รับอนุญาตหรือไม่ คำพิพากษายังเห็นว่า ผู้ใช้ WhatsApp ทุกคนมีสิทธิส่งข้อความ ดังนั้นแม้จะมีสปายแวร์อยู่ด้วยก็ไม่ใช่ “การเข้าถึงโดยไม่ได้รับอนุญาต” แต่สนับสนุนได้เฉพาะทฤษฎีเรื่อง “การใช้อำนาจเกินขอบเขต” เท่านั้น ฝ่ายจำเลยโต้ว่าเวกเตอร์ติดตั้ง Pegasus ก็แค่ผ่านเซิร์ฟเวอร์ WhatsApp เหมือนข้อความอื่น ๆ และข้อมูลที่ได้มาไม่ได้มาจากเซิร์ฟเวอร์ แต่มาจากอุปกรณ์ของผู้ใช้เป้าหมาย ฝ่ายโจทก์อ้างถ้อยคำในบทบัญญัติที่ว่า “คอมพิวเตอร์ที่ได้รับการคุ้มครองใด ๆ (any protected computer)” และในการไต่สวนก็มีการสรุปว่า WIS ไม่เพียงได้ข้อมูลโดยตรงจากอุปกรณ์ผู้ใช้เท่านั้น แต่ยังได้ข้อมูลของอุปกรณ์เป้าหมายผ่านเซิร์ฟเวอร์ WhatsApp ด้วย หากดูบันทึกก่อนหน้านี้ประกอบ NSO Group ได้เขียนสคริปต์สร้าง ไคลเอนต์ WhatsApp ปลอม ที่ส่งข้อความแบบที่แอปเดิมส่งไม่ได้ และใช้สิ่งนั้นเพื่อดึงข้อมูลอุปกรณ์เป้าหมาย โครงสร้างเหตุผลคือ ไคลเอนต์ปลอมทำสิ่งที่ไคลเอนต์จริงทำไม่ได้ และเป็นสิ่งที่ข้อกำหนดการใช้งานห้ามไว้ จึงเป็นการใช้อำนาจเกินขอบเขต ควรหยุดคิดสักนิดว่าสิ่งนี้หมายความว่าอย่างไร ผมคงไม่ใช่คนเดียวที่เคยสร้างไคลเอนต์ทดแทนของอะไรบางอย่าง WhatsApp ดูเหมือนไม่ได้อ้างว่าไคลเอนต์ปลอมใช้ช่องโหว่เพื่อเอาข้อมูล แต่เห็นว่าแค่ข้อเท็จจริงว่ามันเป็นไคลเอนต์ปลอมก็เพียงพอแล้ว อย่างไรก็ตาม มีส่วนที่ถูกปิดเป็นความลับซึ่งอาจเกี่ยวข้องกับประเด็นนี้อยู่ CFAA ค่อนข้างคลุมเครือและในอดีตก็ถูกตีความกว้างมาก จึงไม่น่าแปลกใจ แต่หลังคดี Van Buren เมื่อไม่กี่ปีก่อน ผมเคยหวังว่าการตีความแบบกว้างที่ทำให้การละเมิดข้อกำหนดการใช้งานกลายเป็นการละเมิด CFAA จะถอยกลับลงมาบ้าง คำพิพากษาสำหรับผู้สนใจ: https://storage.courtlistener.com/recap/gov.uscourts.cand.35... ถ้าอยากดูบันทึกอื่น ๆ ที่มีข้อโต้แย้งของทั้งสองฝ่าย ดูได้ที่ CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v... ผมเคยสร้างไคลเอนต์ไม่เป็นทางการ และก็เคยสู้กับไคลเอนต์ไม่เป็นทางการที่เป็นอันตรายในบริการที่ผมดูแล การให้เช็คเปล่าโดยสมบูรณ์แก่ฝ่ายใดฝ่ายหนึ่งไม่ยั่งยืน ไคลเอนต์ 99.99% ที่ทำงานได้ดีมักถูกมองข้ามโดยปริยาย แต่ผมไม่ได้คัดค้านถ้าฝ่ายที่ เผยแพร่มัลแวร์ หรือหลบเลี่ยงการจำกัดอัตราการใช้งานจะต้องขึ้นศาล เมื่อดูจากลักษณะของผู้มีส่วนได้เสีย วิธีที่สะอาดที่สุดในการบรรลุเป้าหมายคือการเล็งไปที่ ประเด็นเรื่องสิทธิ/อำนาจ ทำให้โฟกัสไปอยู่ที่วิธีการมากกว่าว่าใครทำอะไร วิธีนี้ช่วยลดความเสียหายต่อหน้าและชื่อเสียงของผู้มีส่วนได้เสีย ปกป้องแหล่งที่มาและวิธีการ และยังส่งสารได้ด้วย กฎหมายถูกเขียนไว้ให้กว้างที่สุดเท่าที่เป็นไปได้ หากไม่ใช่ NSO Group แต่เป็นชาวอเมริกัน ก็คงใช้การคำนวณค่าเสียหายแบบไร้เหตุผลเพื่อกดให้รับสารภาพแลกกับการไม่ต้องติดคุกหลายพันเดือน CFAA ถึงเวลาต้องปฏิรูปอย่างแน่นอน ไม่ยากที่จะโต้แย้งว่ามันกว้างและคลุมเครือ และมีขอบเขตโดยรวมที่สามารถดึงพฤติกรรมออนไลน์ที่ไม่ก่ออันตรายเข้าไปเกี่ยวได้ง่าย ผู้ใช้ WhatsApp คงยากที่จะมีสถานะเป็นโจทก์ฟ้องคนที่แฮ็ก WhatsApp เพื่อเอาข้อมูลของตัวเองไป ระบบเป็นของ WhatsApp ดังนั้น WhatsApp จึงต้องเป็นฝ่ายฟ้อง ถ้าเป็นส่วนที่ว่า “ใช้ไคลเอนต์ปลอมที่ส่งข้อความแบบที่แอปเดิมส่งไม่ได้เพื่อดึงข้อมูลอุปกรณ์ผู้ใช้เป้าหมาย” การแบ่งแยกว่าเป็น การใช้อำนาจเกินขอบเขต ก็ดูค่อนข้างชัดเจน ผมไม่อ่านคำพิพากษานี้ว่าเป็นผลเสียต่อคนที่อยากสร้างไคลเอนต์ของตัวเอง พวกเขาตั้งใจสร้างไคลเอนต์บุคคลที่สามเพื่อวัตถุประสงค์ที่เป็นอันตราย ถ้าคุณสร้างไคลเอนต์ Discord เพื่อส่งสแปมหรือพยายามทำอันตรายผู้ใช้ การที่มันจะเป็นปัญหาก็สมเหตุสมผลอย่างยิ่ง เคยคิดว่า WhatsApp กับ Signal ใช้การเข้ารหัสแบบเดียวกัน ไม่ได้หมายความว่า การเข้ารหัส ถูกเจาะ ตัวแอปเองต้องประมวลผลอินพุตที่เชื่อถือไม่ได้จำนวนมาก ดังนั้นจึงมีพื้นผิวการโจมตีที่มีนัยสำคัญอยู่นอกโปรโตคอลด้วย เช่น ส่วนที่สร้างภาพขนาดย่อของไฟล์วิดีโอที่ได้รับ เป็น บัฟเฟอร์โอเวอร์โฟลว์ ในสแตก VOIP https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware... ที่น่าสนใจคือ Signal และแอปอื่น ๆ ก็เคยมีช่องโหว่คล้ายกันบน Android เพราะสแตก WebRTC https://googleprojectzero.blogspot.com/2020/08/exploiting-an... ในทั้งสองกรณี ปัญหาใหญ่คือ exploit ถูกเรียกทำงานก่อนที่ผู้ใช้จะรับสาย ถ้าเป็นเมสเซนเจอร์ที่ปลอดภัย ก็ไม่ควรรันโค้ดที่โดยเนื้อแท้แล้วไม่ปลอดภัย หรือก็คือโค้ดที่ซับซ้อน แทนเอนทิตีที่ผู้ใช้ไม่ได้เชื่อถือจริง ๆ ผมคิดว่าค่าเริ่มต้นควรเป็น ข้อความธรรมดา เสมอ กลุ่มนี้ใช้บั๊กของ WhatsApp เพื่อส่งสปายแวร์ ไม่ใช่ปัญหาของการเข้ารหัสจากต้นทางถึงปลายทาง ผู้พิพากษาสหรัฐฯ ตัดสินให้ WhatsApp ของ Meta Platforms ชนะคดีที่กล่าวหา NSO Group ของอิสราเอลว่าใช้บั๊กในแอปส่งข้อความเพื่อติดตั้งซอฟต์แวร์สอดแนมที่ทำให้เกิดการเฝ้าระวังโดยไม่ได้รับอนุญาต การโจมตีไม่ได้มุ่งเป้าไปที่ส่วนการเข้ารหัสของ WhatsApp การเข้ารหัสสำคัญก็จริง แต่ไม่ค่อยเป็นจุดอ่อนที่สุดในห่วงโซ่ความปลอดภัย เราควรเริ่มจากสมมติฐานว่าสื่อสารช่องทางใด ๆ ก็ถูกเจาะไปแล้ว องค์กรอย่าง NSA ไม่มีทางยกมือยอมแพ้กับแอปอย่าง Signal แน่ ๆ ถ้าเป็นหนึ่งในแอปส่งข้อความที่ถูกดาวน์โหลดมากที่สุด ก็ย่อมคุ้มค่ามากที่จะลงทุนเจาะ อะไรก็ตามที่มีโทรศัพท์มือถือหรือคอมพิวเตอร์เข้ามาเกี่ยวข้อง ควรมองว่าโดยเนื้อแท้แล้วไม่ปลอดภัยไว้ก่อน ในทางกลับกัน วิธีแบบแอนะล็อก เช่น สมุดรหัสใช้ครั้งเดียว หรือการเอามือป้องปากแล้วกระซิบข้างหู ไม่ได้ทำให้ดุลอำนาจระหว่างรัฐกับปัจเจกเอียงข้างเดียวเท่าการสื่อสารดิจิทัลที่มีโอกาสสูงว่าโดนละเมิดไปแล้วไม่ทางใดก็ทางหนึ่ง ประโยคที่ว่า “บริษัทสอดแนมต้องรู้ว่าการเฝ้าระวังที่ผิดกฎหมายเป็นสิ่งที่ยอมรับไม่ได้” ฟังแล้วทั้งตลกและเศร้าเล็กน้อย ถ้ามองกลับกัน ก็เหมือน Meta กำลังบอกว่ายอมให้ผู้ใช้ WhatsApp ถูก “สอดแนมอย่างถูกกฎหมายเท่านั้น” บริษัทโซเชียลมีเดียทั้งหมดอนุญาตให้มี การเฝ้าระวังที่ชอบด้วยกฎหมาย ในสหรัฐฯ มีการออกหมายค้นและคำสั่งดักฟังทุกวัน ก็น่าจะเป็นเรื่องปกติไม่ใช่หรือ Meta ต้องการสิทธิผูกขาดในการสอดแนมผู้ใช้ ห้ามใช้ผลิตภัณฑ์ของ Meta เพื่อสอดแนมผู้ใช้ ถ้าอยากสอดแนมผู้ใช้ ก็ไปสร้างแอปที่ได้รับความนิยมมากพอจนคนหลายพันล้านสมัครใช้โดยสมัครใจและยินยอมให้ถูกสอดแนมเอง น่าขันเมื่อคิดว่า FBI และ CISA เพิ่งประกาศวันนี้เองว่า อย่าใช้ SMS สำหรับการยืนยันตัวตนสองขั้นตอน ให้ใช้ WhatsApp แน่นอนว่าปัญหาใหญ่ที่สุดที่พวกเขาชี้คือผู้ใช้มือถือกดลิงก์ใน SMS พวกเราส่วนใหญ่อยู่ในสภาพแวดล้อมที่ถูกครอบงำและต่อต้านผู้บริโภคจนไม่แน่ใจว่ามีคำแนะนำที่ดีจริง ๆ อยู่หรือไม่ https://www.newsnationnow.com/business/tech/fbi-warns-agains... แน่นอนว่ามีคำแนะนำที่ดี ควรเลือกใช้ แอปยืนยันตัวตน มากกว่า SMS เสมอ คาดว่า Passkeys ก็น่าจะเป็นการอัปเกรดครั้งใหญ่ในด้านนี้เช่นกัน มีรายงานว่า WhatsApp ไม่เสี่ยงต่อการแฮ็กนั้นแล้ว และแอป SMS เองก็เคยมีช่องโหว่คล้าย ๆ กันในอดีต ไม่ควรแบ่งแยกระหว่างบริษัทแบบนี้กับผู้ปฏิบัติการบ็อตเน็ตทั่วไปหรือกลุ่มแรนซัมแวร์ ผู้บริหารควรถูกตัดสินจำคุก 20–30 ปี และถูกส่งผู้ร้ายข้ามแดนทั่วโลก ความเสียหายที่คนเหล่านี้ก่อกับสังคม จากการแฮ็กนักข่าวและนักการเมืองจนทำให้ไม่ใช่แค่กระเป๋าสตางค์แต่ชีวิตจริง ๆ ตกอยู่ในอันตราย อาจมากกว่ากลุ่มแรนซัมแวร์ด้วยซ้ำ นอกจากการดึงข้อมูลของผู้ที่ได้รับสิทธิในการต่อสู้คดีในศาลเปิด และถูกตัดสินว่ามีความผิดแล้ว ไม่ควรมีกรณีใดที่การแฮ็กอุปกรณ์ของใครบางคนจะ “ชอบด้วยกฎหมาย” เรื่องนี้ไม่ได้ต่างจาก “อาวุธ” แบบดั้งเดิมนัก ผมไม่ชอบการเปรียบเทียบกับ “อาวุธไซเบอร์” แต่กรณีนี้ใช้ได้พอดี ถ้าขายปืนให้รัฐบาล แม้แต่รัฐบาลที่มีชื่อเสียงไม่ดี ก็แทบไม่มีอะไรเกิดขึ้น เว้นแต่จะเป็นกรณีสุดขั้วมาก ๆ แต่ถ้าขายปืนให้แก๊งข้างถนน นั่นเป็นอีกเรื่องโดยสิ้นเชิง ผมไม่คิดว่าสถานการณ์นี้จะแตกต่างเพียงเพราะมันเป็น “การแฮ็ก” คนที่แฮ็กนักข่าวควรติดคุกอย่างแน่นอน อย่างน้อยก็เห็นด้วยกับส่วนแรกในเชิงเจตนา แต่ส่วนที่สองฟังไม่สมเหตุสมผล ถ้าประธานาธิบดีสหรัฐฯ สั่งให้โดรนสังหารผู้ก่อการร้ายโดยไม่ต้องนำขึ้นศาลได้ ก็ย่อมสั่งแฮ็กโทรศัพท์ของพวกเขาได้เช่นกัน ถ้าคิดว่าอย่างหลังไม่มีทางยอมรับได้ ก็น่าจะต้องต่อสู้กับอย่างแรกก่อน ชาวอิสราเอลจะไม่ถูกส่งตัวไปสหรัฐฯ ไม่ว่าด้วยเรื่องใด ที่ตลกคือแม้สหรัฐฯ จะเป็นฝ่ายค้ำจุนประเทศนั้นทั้งประเทศในทางการเงินแทบทั้งหมดก็ตาม มันกลายเป็นเหมือนสถานที่ที่อนุญาตให้อิสราเอลถอดถุงมือและข่มขู่ศัตรูทางทหาร เพื่อให้สหรัฐฯ ไม่ถูกกล่าวโทษในสิ่งที่ทำเองโดยตรง และยังแสร้งรักษา “ระเบียบโลกบนฐานสิทธิ” ไว้ได้ ลองจินตนาการว่าพวกเขาไล่ล่า NSO อย่างไม่ลดละเท่ากับที่ไล่ล่า Wikileaks
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ถ้าฟังตอนต่าง ๆ ของ Darknet Diaries ที่พูดถึง NSO Group จากมุมของคนที่เคยปะทะโดยตรงหรือเคยตกเป็นเป้าหมาย จะรู้สึกได้เลยว่าพวกเขาเลวร้ายแค่ไหน
สิ่งที่เป็นปัญหาเป็นพิเศษคือพวกเขาเคลื่อนไหวภายใต้การคุ้มครองของสหรัฐฯ และได้รับอนุญาตให้สอดแนมพลเมืองสหรัฐฯ ได้โดยแทบไม่ต้องรับผิดชอบอะไรเลย
กรณีที่ดักฟัง Ben Suda อย่างผิดกฎหมายหลังจากเขาเริ่มสืบสวนอาชญากรรมสงครามของอิสราเอลนั้นน่าขยะแขยงเป็นพิเศษ และผมมองว่ามีการนำสิ่งนี้ไปใช้ข่มขู่อัยการหรือใช้ซ่อนหลักฐานที่เกี่ยวข้องกับการสอบสวน
อีกประเด็นที่ร้ายแรงคือการใช้ช่องโหว่ด้วยการนำคดีขึ้นศาลแล้วถอนฟ้อง เพื่อไปบอก ICC ว่า “ได้พยายามฟ้องร้องแล้ว” ทำให้ ICC ไม่สามารถรับคดีนั้นไว้พิจารณาได้
หลายประเทศก็คงทำเรื่องคล้ายกันและดูแลบอตเน็ตหรือข่มขู่นักข่าวอยู่เหมือนกัน แต่สิ่งที่แปลกในกรณีนี้คือองค์กรข่าวกรองของอิสราเอลได้รับ การคุ้มครองอย่างเต็มที่จากสหรัฐฯ โดยไม่มีการตรวจสอบหรือกำกับดูแลใด ๆ เคียงข้างรัฐบาลสหรัฐฯ
เรากำลังใช้ชีวิตอยู่ในโลกดิสโทเปียที่มีคนเตือนกันมาหลายสิบปีแล้ว
ไม่ใช่แค่เพราะบริษัทเหล่านั้นฉลาดพอที่จะไม่ตกเป็นข่าวเท่านั้น
ICC สามารถเพิกเฉยต่อการสืบสวนภายในประเทศที่เห็นว่าไม่ใช่ความพยายามสืบสวนอย่างจริงจังได้
ถ้าแค่หมุนเวียนทำ การสืบสวนปลอม กันเองก็หลีกเลี่ยงความรับผิดทั้งหมดได้ ศาลนั้นก็คงน่าขันมาก
ผมไม่แน่ใจว่าจะใช้ซอฟต์แวร์อย่าง Snyk โดยไม่ทำให้ตัวเองตกอยู่ในความเสี่ยงได้หรือไม่ ผู้ก่อตั้งเป็นอดีตสมาชิก IDF Unit 8200
โดยเฉพาะในด้านความปลอดภัย การใช้เทคโนโลยีอิสราเอลดูเหมือนการพาหมาป่าเข้ามาในเล้าไก่ ขอผ่าน
คงเหมาะกว่าถ้าปฏิบัติกับเจ้าของหรือผู้มีอำนาจตัดสินใจของ NSO แบบเดียวกับ Gary McKinnon
เพียงแต่ว่าพวกเขาดูจะเป็นฝ่ายที่ “เท่าเทียมกว่า”
ผมไม่ใช่ทนาย เลยอาจเข้าใจผิดอะไรไป แต่โจทก์ไม่ใช่นักข่าว หากเป็น WhatsApp
คดีนี้ดูเหมือนไม่ได้เกี่ยวกับการฟ้องให้ NSO Group รับผิดจากการแฮ็กนักข่าวโดยตรง แต่ประเด็นหลักคือการส่งเวกเตอร์ติดตั้ง Pegasus ไปยังเหยื่อผ่าน WhatsApp นั้นเป็นการ “ใช้อำนาจเกินขอบเขต” ต่อ WhatsApp หรือไม่
ข้อเท็จจริงที่ว่านักข่าวถูกละเมิดเป็นเรื่องประกอบ และคำพิพากษาพูดถึงว่ามีการใช้อำนาจเกินขอบเขตในระบบของ WhatsApp หรือไม่ มากกว่าจะตัดสินว่าการเข้าถึงเหยื่อเป็นการเข้าถึงโดยไม่ได้รับอนุญาตหรือไม่
คำพิพากษายังเห็นว่า ผู้ใช้ WhatsApp ทุกคนมีสิทธิส่งข้อความ ดังนั้นแม้จะมีสปายแวร์อยู่ด้วยก็ไม่ใช่ “การเข้าถึงโดยไม่ได้รับอนุญาต” แต่สนับสนุนได้เฉพาะทฤษฎีเรื่อง “การใช้อำนาจเกินขอบเขต” เท่านั้น
ฝ่ายจำเลยโต้ว่าเวกเตอร์ติดตั้ง Pegasus ก็แค่ผ่านเซิร์ฟเวอร์ WhatsApp เหมือนข้อความอื่น ๆ และข้อมูลที่ได้มาไม่ได้มาจากเซิร์ฟเวอร์ แต่มาจากอุปกรณ์ของผู้ใช้เป้าหมาย
ฝ่ายโจทก์อ้างถ้อยคำในบทบัญญัติที่ว่า “คอมพิวเตอร์ที่ได้รับการคุ้มครองใด ๆ (any protected computer)” และในการไต่สวนก็มีการสรุปว่า WIS ไม่เพียงได้ข้อมูลโดยตรงจากอุปกรณ์ผู้ใช้เท่านั้น แต่ยังได้ข้อมูลของอุปกรณ์เป้าหมายผ่านเซิร์ฟเวอร์ WhatsApp ด้วย
หากดูบันทึกก่อนหน้านี้ประกอบ NSO Group ได้เขียนสคริปต์สร้าง ไคลเอนต์ WhatsApp ปลอม ที่ส่งข้อความแบบที่แอปเดิมส่งไม่ได้ และใช้สิ่งนั้นเพื่อดึงข้อมูลอุปกรณ์เป้าหมาย
โครงสร้างเหตุผลคือ ไคลเอนต์ปลอมทำสิ่งที่ไคลเอนต์จริงทำไม่ได้ และเป็นสิ่งที่ข้อกำหนดการใช้งานห้ามไว้ จึงเป็นการใช้อำนาจเกินขอบเขต
ควรหยุดคิดสักนิดว่าสิ่งนี้หมายความว่าอย่างไร ผมคงไม่ใช่คนเดียวที่เคยสร้างไคลเอนต์ทดแทนของอะไรบางอย่าง
WhatsApp ดูเหมือนไม่ได้อ้างว่าไคลเอนต์ปลอมใช้ช่องโหว่เพื่อเอาข้อมูล แต่เห็นว่าแค่ข้อเท็จจริงว่ามันเป็นไคลเอนต์ปลอมก็เพียงพอแล้ว อย่างไรก็ตาม มีส่วนที่ถูกปิดเป็นความลับซึ่งอาจเกี่ยวข้องกับประเด็นนี้อยู่
CFAA ค่อนข้างคลุมเครือและในอดีตก็ถูกตีความกว้างมาก จึงไม่น่าแปลกใจ แต่หลังคดี Van Buren เมื่อไม่กี่ปีก่อน ผมเคยหวังว่าการตีความแบบกว้างที่ทำให้การละเมิดข้อกำหนดการใช้งานกลายเป็นการละเมิด CFAA จะถอยกลับลงมาบ้าง
คำพิพากษาสำหรับผู้สนใจ: https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
ถ้าอยากดูบันทึกอื่น ๆ ที่มีข้อโต้แย้งของทั้งสองฝ่าย ดูได้ที่ CourtListener: https://www.courtlistener.com/docket/16395340/facebook-inc-v...
การให้เช็คเปล่าโดยสมบูรณ์แก่ฝ่ายใดฝ่ายหนึ่งไม่ยั่งยืน
ไคลเอนต์ 99.99% ที่ทำงานได้ดีมักถูกมองข้ามโดยปริยาย แต่ผมไม่ได้คัดค้านถ้าฝ่ายที่ เผยแพร่มัลแวร์ หรือหลบเลี่ยงการจำกัดอัตราการใช้งานจะต้องขึ้นศาล
ทำให้โฟกัสไปอยู่ที่วิธีการมากกว่าว่าใครทำอะไร
วิธีนี้ช่วยลดความเสียหายต่อหน้าและชื่อเสียงของผู้มีส่วนได้เสีย ปกป้องแหล่งที่มาและวิธีการ และยังส่งสารได้ด้วย
กฎหมายถูกเขียนไว้ให้กว้างที่สุดเท่าที่เป็นไปได้ หากไม่ใช่ NSO Group แต่เป็นชาวอเมริกัน ก็คงใช้การคำนวณค่าเสียหายแบบไร้เหตุผลเพื่อกดให้รับสารภาพแลกกับการไม่ต้องติดคุกหลายพันเดือน
ไม่ยากที่จะโต้แย้งว่ามันกว้างและคลุมเครือ และมีขอบเขตโดยรวมที่สามารถดึงพฤติกรรมออนไลน์ที่ไม่ก่ออันตรายเข้าไปเกี่ยวได้ง่าย
ระบบเป็นของ WhatsApp ดังนั้น WhatsApp จึงต้องเป็นฝ่ายฟ้อง
ผมไม่อ่านคำพิพากษานี้ว่าเป็นผลเสียต่อคนที่อยากสร้างไคลเอนต์ของตัวเอง
พวกเขาตั้งใจสร้างไคลเอนต์บุคคลที่สามเพื่อวัตถุประสงค์ที่เป็นอันตราย
ถ้าคุณสร้างไคลเอนต์ Discord เพื่อส่งสแปมหรือพยายามทำอันตรายผู้ใช้ การที่มันจะเป็นปัญหาก็สมเหตุสมผลอย่างยิ่ง
เคยคิดว่า WhatsApp กับ Signal ใช้การเข้ารหัสแบบเดียวกัน
ตัวแอปเองต้องประมวลผลอินพุตที่เชื่อถือไม่ได้จำนวนมาก ดังนั้นจึงมีพื้นผิวการโจมตีที่มีนัยสำคัญอยู่นอกโปรโตคอลด้วย เช่น ส่วนที่สร้างภาพขนาดย่อของไฟล์วิดีโอที่ได้รับ
https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
ที่น่าสนใจคือ Signal และแอปอื่น ๆ ก็เคยมีช่องโหว่คล้ายกันบน Android เพราะสแตก WebRTC
https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
ในทั้งสองกรณี ปัญหาใหญ่คือ exploit ถูกเรียกทำงานก่อนที่ผู้ใช้จะรับสาย
ถ้าเป็นเมสเซนเจอร์ที่ปลอดภัย ก็ไม่ควรรันโค้ดที่โดยเนื้อแท้แล้วไม่ปลอดภัย หรือก็คือโค้ดที่ซับซ้อน แทนเอนทิตีที่ผู้ใช้ไม่ได้เชื่อถือจริง ๆ
ผมคิดว่าค่าเริ่มต้นควรเป็น ข้อความธรรมดา เสมอ
ไม่ใช่ปัญหาของการเข้ารหัสจากต้นทางถึงปลายทาง
ผู้พิพากษาสหรัฐฯ ตัดสินให้ WhatsApp ของ Meta Platforms ชนะคดีที่กล่าวหา NSO Group ของอิสราเอลว่าใช้บั๊กในแอปส่งข้อความเพื่อติดตั้งซอฟต์แวร์สอดแนมที่ทำให้เกิดการเฝ้าระวังโดยไม่ได้รับอนุญาต
การเข้ารหัสสำคัญก็จริง แต่ไม่ค่อยเป็นจุดอ่อนที่สุดในห่วงโซ่ความปลอดภัย
องค์กรอย่าง NSA ไม่มีทางยกมือยอมแพ้กับแอปอย่าง Signal แน่ ๆ ถ้าเป็นหนึ่งในแอปส่งข้อความที่ถูกดาวน์โหลดมากที่สุด ก็ย่อมคุ้มค่ามากที่จะลงทุนเจาะ
อะไรก็ตามที่มีโทรศัพท์มือถือหรือคอมพิวเตอร์เข้ามาเกี่ยวข้อง ควรมองว่าโดยเนื้อแท้แล้วไม่ปลอดภัยไว้ก่อน
ในทางกลับกัน วิธีแบบแอนะล็อก เช่น สมุดรหัสใช้ครั้งเดียว หรือการเอามือป้องปากแล้วกระซิบข้างหู ไม่ได้ทำให้ดุลอำนาจระหว่างรัฐกับปัจเจกเอียงข้างเดียวเท่าการสื่อสารดิจิทัลที่มีโอกาสสูงว่าโดนละเมิดไปแล้วไม่ทางใดก็ทางหนึ่ง
ประโยคที่ว่า “บริษัทสอดแนมต้องรู้ว่าการเฝ้าระวังที่ผิดกฎหมายเป็นสิ่งที่ยอมรับไม่ได้” ฟังแล้วทั้งตลกและเศร้าเล็กน้อย
ถ้ามองกลับกัน ก็เหมือน Meta กำลังบอกว่ายอมให้ผู้ใช้ WhatsApp ถูก “สอดแนมอย่างถูกกฎหมายเท่านั้น”
ในสหรัฐฯ มีการออกหมายค้นและคำสั่งดักฟังทุกวัน
Meta ต้องการสิทธิผูกขาดในการสอดแนมผู้ใช้
ห้ามใช้ผลิตภัณฑ์ของ Meta เพื่อสอดแนมผู้ใช้
ถ้าอยากสอดแนมผู้ใช้ ก็ไปสร้างแอปที่ได้รับความนิยมมากพอจนคนหลายพันล้านสมัครใช้โดยสมัครใจและยินยอมให้ถูกสอดแนมเอง
น่าขันเมื่อคิดว่า FBI และ CISA เพิ่งประกาศวันนี้เองว่า อย่าใช้ SMS สำหรับการยืนยันตัวตนสองขั้นตอน ให้ใช้ WhatsApp
แน่นอนว่าปัญหาใหญ่ที่สุดที่พวกเขาชี้คือผู้ใช้มือถือกดลิงก์ใน SMS
พวกเราส่วนใหญ่อยู่ในสภาพแวดล้อมที่ถูกครอบงำและต่อต้านผู้บริโภคจนไม่แน่ใจว่ามีคำแนะนำที่ดีจริง ๆ อยู่หรือไม่
https://www.newsnationnow.com/business/tech/fbi-warns-agains...
ควรเลือกใช้ แอปยืนยันตัวตน มากกว่า SMS เสมอ
คาดว่า Passkeys ก็น่าจะเป็นการอัปเกรดครั้งใหญ่ในด้านนี้เช่นกัน
ไม่ควรแบ่งแยกระหว่างบริษัทแบบนี้กับผู้ปฏิบัติการบ็อตเน็ตทั่วไปหรือกลุ่มแรนซัมแวร์
ผู้บริหารควรถูกตัดสินจำคุก 20–30 ปี และถูกส่งผู้ร้ายข้ามแดนทั่วโลก
ความเสียหายที่คนเหล่านี้ก่อกับสังคม จากการแฮ็กนักข่าวและนักการเมืองจนทำให้ไม่ใช่แค่กระเป๋าสตางค์แต่ชีวิตจริง ๆ ตกอยู่ในอันตราย อาจมากกว่ากลุ่มแรนซัมแวร์ด้วยซ้ำ
นอกจากการดึงข้อมูลของผู้ที่ได้รับสิทธิในการต่อสู้คดีในศาลเปิด และถูกตัดสินว่ามีความผิดแล้ว ไม่ควรมีกรณีใดที่การแฮ็กอุปกรณ์ของใครบางคนจะ “ชอบด้วยกฎหมาย”
ผมไม่ชอบการเปรียบเทียบกับ “อาวุธไซเบอร์” แต่กรณีนี้ใช้ได้พอดี
ถ้าขายปืนให้รัฐบาล แม้แต่รัฐบาลที่มีชื่อเสียงไม่ดี ก็แทบไม่มีอะไรเกิดขึ้น เว้นแต่จะเป็นกรณีสุดขั้วมาก ๆ
แต่ถ้าขายปืนให้แก๊งข้างถนน นั่นเป็นอีกเรื่องโดยสิ้นเชิง
ผมไม่คิดว่าสถานการณ์นี้จะแตกต่างเพียงเพราะมันเป็น “การแฮ็ก”
แต่ส่วนที่สองฟังไม่สมเหตุสมผล
ถ้าประธานาธิบดีสหรัฐฯ สั่งให้โดรนสังหารผู้ก่อการร้ายโดยไม่ต้องนำขึ้นศาลได้ ก็ย่อมสั่งแฮ็กโทรศัพท์ของพวกเขาได้เช่นกัน
ถ้าคิดว่าอย่างหลังไม่มีทางยอมรับได้ ก็น่าจะต้องต่อสู้กับอย่างแรกก่อน
ที่ตลกคือแม้สหรัฐฯ จะเป็นฝ่ายค้ำจุนประเทศนั้นทั้งประเทศในทางการเงินแทบทั้งหมดก็ตาม
มันกลายเป็นเหมือนสถานที่ที่อนุญาตให้อิสราเอลถอดถุงมือและข่มขู่ศัตรูทางทหาร เพื่อให้สหรัฐฯ ไม่ถูกกล่าวโทษในสิ่งที่ทำเองโดยตรง และยังแสร้งรักษา “ระเบียบโลกบนฐานสิทธิ” ไว้ได้