- Apple ส่งการแจ้งเตือนไปยังนักพัฒนา เอ็กซ์พลอยต์ รายหนึ่งว่า iPhone ของเขาถูกกำหนดเป็นเป้าหมายโดย สปายแวร์ของรัฐบาล
- นักพัฒนาคนนี้เป็นผู้เชี่ยวชาญที่เคยพัฒนาช่องโหว่ iOS zero-day และเครื่องมือที่ Trenchant
- ในช่วงไม่กี่เดือนที่ผ่านมา มีการยืนยันเพิ่มเติมว่า นักพัฒนาเอ็กซ์พลอยต์และสปายแวร์ อื่น ๆ ยังได้รับการแจ้งเตือนสปายแวร์จาก Apple ในลักษณะเดียวกัน
- การแพร่ระบาดของ สปายแวร์ และ เครื่องมือโจมตี zero-day ทำให้กลุ่มเป้าหมายของเหตุผลขยายไปถึงผู้เชี่ยวชาญด้านความปลอดภัยมากขึ้น
- ข้อกล่าวหาการรั่วไหลเครื่องมือแฮกภายในบริษัททับซ้อนกับกระบวนการปลดออก ทำให้เกิดข้อสันนิษฐานว่าเขาอาจถูกทำให้เป็นแพะรับบาปอย่างไม่เป็นธรรม
ภาพรวมเหตุการณ์
- ต้นปีนี้ นักพัฒนาหนึ่งได้รับข้อความแจ้งเตือนจากระบบว่า “Apple ตรวจพบว่า iPhone ของคุณถูกกำหนดเป็นเป้าหมายของการโจมตีสปายแวร์แบบแยกเป้าหมาย” และรู้สึกตกตะลึงอย่างมาก
- บุคคลดังกล่าวกังวลเรื่องความเสี่ยงการแก้แค้น จึงไม่เปิดเผยตัวตนจริงและใช้นามแฝงว่า Jay Gibson
- Gibson ยังคงดูแลการพัฒนา ช่องโหว่ iOS zero-day และเอ็กซ์พลอยต์ให้กับ Trenchant ซึ่งเป็นบริษัทรองรับการพัฒนาเครื่องมือแฮกให้กับรัฐบาลตะวันตก
- เขาเป็นบุคคลที่ได้รับการบันทึกในวงการเป็นกรณีแรกที่นักพัฒนา Spyware และเอ็กซ์พลอยต์เองกลายเป็นเป้าหมายโดยตรงของการโจมตีเหล่านี้
หลังจากเหตุการณ์เกิดขึ้น
- Gibson เล่าว่า “เขารู้สึกสับสนและหวาดผวาอย่างมากที่ไม่รู้ว่านี่คืออะไร” และทันทีที่ได้รับแจ้งเตือนเขาก็ปิดโทรศัพท์แล้ววางไป พร้อมไปซื้อเครื่องใหม่
- เขายังโทรหาเบอร์พ่อของตัวเองและตอบสนองอย่างตื่นตระหนก โดยระบุว่าบรรยากาศในเวลานั้นวุ่นวายมาก
- Gibson แสดงความกังวลต่อ TechCrunch ว่า “เมื่อสถานการณ์พัฒนาไปถึงจุดนี้แล้ว ไม่มีใครคาดเดาได้ว่ามีอะไรจะเกิดขึ้นต่อไปอีก”
ผู้เสียหายลักษณะเดียวกันในอุตสาหกรรม
- นอกเหนือจาก Gibson แล้ว มีการยืนยันโดยการรายงานว่ามีนักพัฒนา สปายแวร์/เอ็กซ์พลอยต์ อื่นได้รับการแจ้งเตือนสปายแวร์จาก Apple ในช่วงไม่กี่เดือนที่ผ่านมา
- Apple ไม่ได้ตอบสนองต่อคำขอแสดงความเห็นของ TechCrunch
ผลกระทบจากการแพร่หลายของสปายแวร์และเครื่องมือ zero-day
- กรณีของ Gibson สะท้อนว่าการกระจายกว้างของ zero-day และ สปายแวร์ กำลังทำให้กลุ่มเป้าหมายของการโจมตีหลากหลายขึ้น
- บริษัทพัฒนา spyware และเครื่องมือ zero-day เคยอ้างอย่างเป็นทางการว่า “เครื่องมือเหล่านี้ถูกใช้โดยหน่วยงานของรัฐที่เชื่อถือได้เท่านั้น โดยมุ่งเป้าไปยังผู้ร้ายหรือผู้ก่อการร้าย”
- อย่างไรก็ตาม กลุ่มวิจัยหลายแห่ง เช่น Citizen Lab สังกัด University of Toronto, Amnesty International และองค์กรอื่นยืนยันว่าตลอด 10 ปีที่ผ่านมา รัฐบาลใช้เครื่องมือเหล่านี้ซ้ำแล้วซ้ำอีกต่อกลุ่มบุคคลที่อยู่ฝ่ายเห็นต่าง, นักข่าว, นักปกป้องสิทธิมนุษยชน และคู่แข่งทางการเมือง เป็นต้น
- แม้เคยมีกรณีที่นักวิจัยด้านความปลอดภัยตกเป็นเป้าหมายของกลุ่มแฮกเกอร์มาก่อน (เช่นกรณีทางโซเชียลเกาหลีเหนือ ฯลฯ) แต่กรณีที่ตัวนักพัฒนา spyware เองถูกโจมตียังพบได้ไม่บ่อย
สืบสวนข้อหาการรั่วไหลและการตรวจสอบภายใน
หลังการแจ้งเตือนจาก Apple
- หลังได้รับการแจ้งเตือน Gibson ติดต่อผู้เชี่ยวชาญที่มีประสบการณ์การวิเคราะห์นิติวิทย์การโจมตีสปายแวร์อย่างลึกซึ้ง
- วิเคราะห์ครั้งแรกไม่พบหลักฐานการติดเชื้อที่ชัดเจน แต่ผู้เชี่ยวชาญแนะนำให้ทำการวิเคราะห์นิติวิทย์ที่ละเอียดขึ้นอีกครั้ง
- การวิเคราะห์ที่แม่นยำต้องอาศัยข้อมูลสำรองอุปกรณ์ครบชุดของ Gibson แต่เขาไม่ยินยอมให้ขยายการตรวจสอบเพราะกังวลเรื่องความเป็นส่วนตัวและความปลอดภัย
- ในช่วงหลังจำนวนกรณีสปายแวร์บางรายที่การวิเคราะห์นิติวิทย์ไม่พบร่องรอยชัดเจนเพิ่มมากขึ้น
การปลดออกและความขัดแย้งภายใน
- Gibson เดินทางไปยังสำนักงาน Trenchant London เพื่อร่วมงาน team-building ของทีมภายในบริษัทประมาณหนึ่งเดือนก่อนการแจ้งเตือนจาก Apple
- ทันทีหลังเข้ามา เขาได้รับการแจ้งจากผู้จัดการบริษัทว่าตกอยู่ในข้อกล่าวหาเรื่องทำงานร่วมกันสองที่ ทำให้ถูกสั่งพักงานและมีการยึดอุปกรณ์บริษัททั้งหมดเพื่อตรวจวิเคราะห์
- ประมาณ 2 สัปดาห์ต่อมา Gibson ได้รับการแจ้งการเลิกจ้างอย่างเป็นทางการและข้อเสนอชดเชยจากบริษัท
- Gibson อ้างว่าเขาถูกชี้เป้าให้เป็น scapegoat ในคดีการรั่วไหลเครื่องมือแฮกของบริษัท
- Gibson และเพื่อนร่วมงานอีก 3 คนยืนยันว่าไม่เกี่ยวข้องกับการพัฒนา zero-day ที่เกี่ยวกับ Chrome และทีมงานภายในแยกกันอย่างเข้มงวดตามแพลตฟอร์ม
- เหตุผลการปลดออกและข่าวลือ/ข้อสงสัยภายในทีมถูกยืนยันความจริงอย่างอิสระโดยอดีตเพื่อนร่วมงานเดิมของ Trenchant สามคน
ข้อสรุปและข้อมูลเพิ่มเติม
- เหตุการณ์นี้เป็นสัญญาณเตือนว่าเทคโนโลยีสปายแวร์ที่แพร่กระจายมากขึ้นกำลังกดทับถึงตัวผู้เชี่ยวชาญในอุตสาหกรรมความปลอดภัยเองและเปิดช่องให้เกิดภัยคุกคามต่อพวกเขามากขึ้น
- สะท้อนประเด็นสำคัญด้านการใช้ช่องโหว่เป็นอาวุธโดยรัฐและหน่วยงาน, ความเสี่ยงด้านความปลอดภัยภายในองค์กร และการคุ้มครองนักพัฒนา
- โฆษกของ L3Harris (บริษัทแม่ของ Trenchant) ปฏิเสธการให้การชี้แจงอย่างเป็นทางการ
- Gibson และอดีตเพื่อนร่วมงานยืนยันว่าว่าเขาไม่ใช่ผู้รับผิดชอบคดีการรั่วไหล และมองว่าการตัดสินใจของบริษัทผิดพลาด
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ฉันเคยรับสัมภาษณ์กับบริษัทแบบนี้มาบ้าง (ไม่ใช่บริษัทที่บทความพูดถึง) และจริง ๆ แล้วฉันเคยจับได้ว่าหลังจากได้ข้อเสนอแล้วพวกเขาใช้ช่องโหว่กับฉันอยู่ จึงเดาว่าสถานการณ์นี้ก็อยู่ในบริบทเดียวกัน ฉันไม่คิดว่าการพัฒนาช่องโหว่เหล่านี้เพื่อไปรีเซลล์แบบนี้จะทำอย่างมีจริยธรรมได้ ถ้าบริษัทเหล่านี้ไม่ลังเลที่จะใช้เครื่องมือโจมตีกับพนักงานของตัวเอง ก็จะไม่มีข้อจำกัดเลยที่จะใช้กับผู้มีอำนาจจริง ๆ อย่างสภา ศาล ธนาคารการลงทุน ผู้นำด้านไอที ฯลฯ ผลลัพธ์คือพวกเขาจะมีความสามารถในการข่มขู่คนที่ทรงอิทธิพลที่สุดในโลกได้ และที่น่ากังวลกว่านั้นคือบริษัทเหล่านี้ยังมีแนวคิดจะใช้มันกับผู้เห็นต่างทางความคิดหรือผู้สื่อข่าว ซึ่งบทความก็ไม่เคยพูดถึง
ถ้าถามว่าเรื่องเหล่านี้จะพัฒนาได้โดยมีสติธรรมไหม ฉันอยากบอกว่ากิจกรรมข่าวกรองเชิงตอบโต้ย่อมเกิดขึ้นอยู่เสมอ และ CNE (Computer Network Exploitation / การใช้ประโยชน์จากเครือข่ายคอมพิวเตอร์) จะมีต้นทุนและความเสียหายน้อยกว่าการปฏิบัติการข่าวกรองแบบมนุษย์แน่นอน แน่นอนว่าปัญหาร้ายแรงจริง ๆ คือความจริงที่ว่าเทคโนโลยีนี้ถูกใช้โดยไม่เหมาะสมต่อผู้เห็นต่างทางการเมืองหรือสื่อทั่วโลกเช่นนี้ อย่างไรก็ตามฉันเองก็ไม่อยากทำงานสายนี้ (และตอนนี้ก็ไม่มีศักยภาพด้านนี้แล้ว) แต่ผู้คนที่สบายใจกับการทำงานในอุตสาหกรรมนี้เพื่อประเทศสมาชิก NATO ก็มักมีเหตุผลของตัวเองที่เป็นตรรกะ ความไม่ไว้วางใจระบบยุติธรรม/สถาบันข่าวกรองอย่างพื้นฐานมีคนจำนวนน้อย และก็มีครอบครัวหลายหลังที่ภูมิใจที่มีคนในครอบครัวทำงานอาชีพนี้ ที่น่าจดจำมากที่สุดคือข้อความว่า "ความคิดเห็นของเราไม่มีความหมาย"
การที่พวกเขาไปขอให้มีการพยายามโจมตีจริง ๆ มันช็อกมาก ฉันอยากรู้ว่าจริง ๆ แล้วถูกโจมตีอย่างไร เช่น ส่งลิงก์ผ่าน SMS หรือใช้วิธีแบบไหน บอกหน่อยสิ
อาจเป็นได้ว่ามันแค่เป็นขั้นตอนหนึ่งในการสัมภาษณ์ก็ได้
ด้วยเหตุนี้ฉันเองก็ไม่อยากทำงานในวงการความปลอดภัยไซเบอร์อีกแล้ว มันเสี่ยงเกินไป ราวกับที่ดินแดนไร้กฎหมาย
ฉันเห็นข้อความในบทความที่ว่า "อาจเป็นกรณีที่มีการบันทึกไว้เป็นครั้งแรกที่ Gibson พัฒนาช่องโหว่และสปายแวร์เอง แต่จู่ ๆ ก็ถูกโจมตีด้วยสปายแวร์ตัวเอง" แล้ว จากข้อมูลล่าสุดก็เห็นว่ามีนักพัฒนาสปายแวร์และช่องโหว่อื่น ๆ ที่ถูกโจมตีนอกเหนือจาก Gibson ด้วย
สิ่งที่ฉันสนใจมากกว่าคือดราม่า giữa นักพัฒนาและที่ทำงานเก่าคือวิธีที่ Apple ตัดสินใจเรื่องนี้มากกว่า
เวลาดูคำพูดของ Gibson ว่า "ฉันอยู่ในภาวะตกใจตื่นตระหนก" ทำให้ขำขำนิด ๆ นึกว่าหมายถึงชื่อจริงว่า Jay Gibson ก็ได้ แต่ผู้สื่อข่าวไม่รู้จักชื่อจริงจึงเขียนแบบนี้คงเพราะไม่รู้ชื่อ
ต้องอ่านบทความ "Apple alerts developer" ซ้ำไปซ้ำมาเพื่อเข้าใจความหมาย ตอนแรกอ่านแล้วรู้สึกเหมือน "การแจ้งเตือนจาก Apple โจมตีผู้พัฒนาอย่างไร้สาระ" แต่พอมองใหม่ก็ออกว่า "Apple แจ้งผู้พัฒนาที่สร้างช่องโหว่ด้านความปลอดภัย"
สุดท้ายมันดูเหมือนมีใครบางคนรั่วไหลช่องโหว่ของ Chrome ภายในองค์กร และดูเหมือนคนนี้ถูกเลือกให้เป็นแพะรับบาป แม้ทั้งหมดนี้จะดูเหมือนเรื่องแต่งมากกว่าความจริงก็ได้
คนนี้มีเครื่องมือยืนยันได้ว่าเขาหรือแม้แต่ลูกค้าระดับบนของเขาไม่ได้รั่วข้อมูลอะไรออกไป แต่ความคิดที่ว่าเขาอาจจะไม่จำเป็นต้องยืนยันว่า "มันเกิดขึ้นจริง" ทำให้ดูโง่ไปไกลแล้ว อย่างน้อยคงมีสัญญาณเตือนแบบโชว์ๆ ว่าเรากำลังเตือนอยู่
หลังอ่านคำพูดของ Gibson เรื่อง "ฉันอยู่ในภาวะตกใจ" เสร็จแล้ว ข้อความในบทความต่อมาก็ยิ่งไปต่อว่า "ไม่สามารถสรุปได้ว่าโจมตีจากสาเหตุใดโดยไม่ทำการวิเคราะห์นิติวิทย์เชิงลึก" และ "เขาเชื่อว่าการแจ้งเตือนภัยคุกคามจาก Apple เกี่ยวข้องกับการออกจากงาน Trenchant" ที่น่าสนใจคือ (1) เขาไม่เคยคิดเลยว่าสิ่งนี้จะเกิดกับตัวเอง และ (2) เขากล้าพูดให้สัมภาษณ์สื่อ แต่ยังกลัวการตอบโต้ มันจริงจังว่าคนที่อยากรู้อาจรู้ชื่อนี้กันหมดแล้วเสียแล้ว
เรื่องนี้ให้ความรู้สึกฝังเรื่องสมมุติสูงมาก หรืออีกอย่างที่เป็นไปได้คือคนนี้อาจเป็นแค่ผู้ยิงหันดอกไม่ดังในวงการ โดยปกติแล้วถ้าทำวิจัยช่องโหว่คุณต้องเข้าใจแผนการโจมตีทุกเส้นทางให้ชัด และถ้าอยู่ที่บริษัทละเอียดอ่อนแบบ Trenchant ก็ควรไม่ใช้ iPhone ในงาน (อย่างน้อยก็ไม่นำมาใช้ทั้งหมด) โดยทั่วไปฉันจะแยกเครื่องให้ชัดว่า ใช้มือถือธรรมดาแยกกับมือถือที่ซ่อมความปลอดภัยสูงสำหรับใช้งานส่วนตัว เมื่อเชื่อม iPhone กับเราเตอร์จะเห็นทราฟฟิกมหาศาลที่ไหลไปยัง Apple ที่ไม่อาจควบคุมได้ แต่บน Android แบบปรับแต่งเองและดึง Google ออก (de-googled) ที่ผมพกตอนเดินทางต่างประเทศ ทำการทดลองเดิม ๆ แล้วมีแค่อย่างเดียวคือ NTP traffic ซึ่งก็เพื่อให้เวลาระหว่างเซิร์ฟเวอร์กับใบรับรองตรงกันเท่านั้น
ในบริบทแบบนี้ การออกไปให้นักสื่อได้ยินอาจเป็นการเคลื่อนไหวเชิงกลยุทธ์เพื่อป้องกันไม่ให้ตัวเองหายสาบสูญ
ตอนอ่านวรรคที่ว่า "Gibson ที่สร้างซอฟต์แวร์เฝ้าระวัง ถูกกลายเป็นเป้าหมายของสปายแวร์แบบบันทึกแรก" ทำให้นึกถึงมีม "เสือดาวกินหน้าฉัน (leopards ate my face)" ท้ายที่สุดแล้วเครื่องมือเหล่านี้ถูกพัฒนาขึ้นเพื่อใช้งานจริงอยู่แล้ว
ตั้งแต่นานกว่า 20 ปี นักพัฒนาช่องโหว่ถูกมองเป็นเป้าหมายหลักของสปายแวร์กันแล้ว ซึ่งเป็นความจริงที่วงการนี้รู้เป็นอย่างดี ผู้สื่อข่าวในเรื่องนี้ดูเหมือนไม่ค่อยเข้าใจโลกนี้ดีเท่าไหร่
ถ้าสนใจว่ามีม "เสือดาวกินหน้าฉัน" คืออะไร ไปดูได้ที่ ที่นี่
บทความทั้งหมดให้ความรู้สึกเหมือนเรื่องขัดแย้งแบบ "คำคุณ คำฉัน" หลังจาก Gibson ถูกไล่ออกจาก Trenchant/L3Harris
ฉันก็เข้าใจ Gibson ในระดับหนึ่ง เพราะสมัยก่อนก็เคยถูกจัดการแบบคล้ายกันตอนทำงานสัญญาระบบกลาโหมแบบเดียวกัน บริษัทพวกนี้ชักชวนคนเข้ามาด้วยข้อเสนองานที่ดูดี มีเงินเดือนดี และสัญญาว่าทำงานดี ๆ สุดท้ายก็รีดทรัพยากรคนเพื่อทำกำไร เมื่อมีปัญหาก็โยนความรับผิดชอบทั้งหมดให้คนทำงาน (โดยเฉพาะเมื่อพยายามรายงานการทุจริตหรือตำหนิความผิดพลาดด้วยความซื่อสัตย์ มักโดนไล่ทันทีและแทบถูกกวาดตราในวงการ) การไม่ยอมทำงานกับคนแบบนี้เป็นทางเลือกที่ดีที่สุด แต่ด้วยความคิดที่บริสุทธิ์เล็ก ๆ ว่ากำลังทำสิ่งที่ดี หรือไล่จับคนเลว จึงยังมีผู้คนหลงเชื่อและถูกดึงเข้าไป จนท้ายที่สุดก็กลายเป็นมีม "เสือดาวกินหน้าฉัน" ไปด้วย