ตอกตะปูปิดฝาโลงความเป็นส่วนตัว (privacy) ด้วยสปายแวร์ "Pegasus"

 

ที่มาภาพ: https://www.theguardian.com/news/2021/jul/29/israeli-authorities-inspect-nso-group-offices-after-pegasus-revelations

เครื่องมือสอดส่องหรือสปายแวร์ (spyware)[1] ชื่อ “Pegasus” ของ NSO Group บริษัทเฝ้าระวังรักษาความปลอดภัยในอิสราเอลถูกใช้เพื่อติดตามความเคลื่อนไหวของฝ่ายตรงข้ามทางการเมือง นักข่าวและนักเคลื่อนไหวด้านสิทธิมนุษยชน “Pegasus” สามารถถอดรหัสและข้อกำหนดมาตรฐานความปลอดภัยขั้นสูงของอุปกรณ์อิเล็กทรอนิกส์ต่าง ๆ ก่อนหน้านี้ มีรายงานว่าเครื่องมือดังกล่าวถูกใช้อย่างไม่เหมาะสมกับผู้ที่ไม่ใช่อาชญากร (non-criminals) ที่ผ่านมาแทบไม่มีการตรวจสอบการแพร่ขยาย จำหน่ายและใช้สปายแวร์ในทางที่ผิด[2]

          เมื่อกลางกรกฎาคม 2021 องค์กรสื่อสารไม่แสวงหาผลกำไรในฝรั่งเศสชื่อ “Forbidden Stories” (https://forbiddenstories.org/) ได้เผยแพร่รายงานการสืบสวนการรั่วไหลของข้อมูลโทรศัพท์มากกว่า 50,000 รายการที่เกี่ยวข้องกับ NSO Group บริษัทเอกชนของอิสราเอลผู้ผลิตซอฟต์แวร์ “Pegasus” โดยสมาคม “Forbidden Stories” ได้รับการสนับสนุนทางเทคนิคจาก Security Lab ขององค์การนิรโทษกรรมสากล (Amnesty International) และแจกจ่ายรายงาน “Pegasus Project” ให้แก่องค์กรสื่อ 17 แห่ง

รายงานระบุว่า NSO Group ขายสปายแวร์ให้กับรัฐบาล (ลูกค้า) หลายราย ซึ่งนำไปใช้สอดส่องความเคลื่อนไหวของเป้าหมายนักข่าว นักเคลื่อนไหวด้านสิทธิมนุษยชนและนักการเมือง แม้อ้างว่าได้ “ตรวจสอบ” ลูกค้าอย่างระมัดระวัง แต่ก็มีระบอบเผด็จการจำนวนหนึ่งจัดซื้อผลิตภัณฑ์ของ NSO Group ซึ่งก่อตั้งขึ้นในปี 2010 โดยอดีตสมาชิกหน่วย 8200 ของอิสราเอล ซึ่งเทียบเท่าสำนักความมั่นคงแห่งชาติของสหรัฐฯ “Pegasus” ได้รับการขนานนามว่าว่าเป็นเครื่องมือในการต่อสู้กับผู้ก่อการร้ายและกลุ่มอาชญากร

          “Pegasus” มีความสามารถในการติดตามสอดส่องและค้นหารายละเอียดสำคัญเกี่ยวกับกิจกรรมที่ผิดกฎหมาย จากการสืบสวนพบว่าโปรแกรมสปายแวร์ Pegasus ของ NSO Group มีความสามารถสุดล้ำจนเอาชนะข้อกำหนดมาตรฐานความปลอดภัยขั้นสูงและถอดรหัสโทรศัพท์ iPhone 11 และ 12 ของ Apple ได้ โดยไม่ต้องรอให้เจ้าของกดปุ่มอุปกรณ์ (Zero-click) นอกจากนี้ “Pegasus” ยังสามารถควบคุมอุปกรณ์จากระยะไกลได้โดยไม่ต้องให้เป้าหมายคลิกลิงก์ที่น่าสงสัย (malicious) เว็บไซต์หรือแอปพลิเคชันแต่อย่างใด

 กลยุทธ์ “การโจมตีแบบ Zero-click” ทำให้ฝ่ายปฏิปักษ์ไม่จำเป็นต้องสร้างโปรไฟล์ทางสังคมหรือจัดการเป้าหมายด้วยวิธีการอื่น เช่น การหลอกลวงแบบฟิชชิ่งหรือการโจมตีผ่านอีเมลเพื่อหลอกให้สูญเสียรายได้ (Business Email Compromise) “Pegasus” สามารถรวบรวมและเข้าถึงข้อมูลและเครื่องมือที่หลากหลายบนอุปกรณ์ของเป้าหมาย ไม่จำกัดเพียงข้อมูลตำแหน่งทางภูมิศาสตร์ ประวัติการสืบค้น การอ่านข้อความ ข้อความเสียง ไมโครโฟนและกล้องถ่ายภาพ

          ก่อนหน่นี้ NSO Group ได้รับความสนใจอย่างมาก ในปี 2016 Citizen Lab ห้องปฏิบัติการสหวิทยาการที่มหาวิทยาลัยโตรอนโต ได้ตีพิมพ์รายงานเรื่อง “The Million Dollar Dissident” พูดถึงการที่สหรัฐอาหรับเอมิเรตส์ใช้ “Pegasus” เจาะโทรศัพท์ iPhone ของ Ahmed Mansoor จากระยะไกล ทั้งนี้ Mansoor นักเคลื่อนไหวด้านสิทธิมนุษยชนที่มีชื่อเสียงคงไม่ใช่เป้าหมายคนสุดท้าย

ชื่อเสียงของ NSO Group อื้อฉาวมากขึ้นเมื่อถูกยื่นฟ้องในตุลาคม 2019 โดย WhatsApp Inc และ Facebook Inc กล่าวหาว่า NSO Group ส่ง “มัลแวร์ไปยังโทรศัพท์มือถือและอุปกรณ์เป้าหมายประมาณ 1,400 ชิ้นเพื่อเฝ้าระวังสอดส่องผู้ใช้ WhatsApp โดยเฉพาะเจาะจง” คดีอยู่ระหว่างดำเนินการ ขณะเดียวกัน “Pegasus” ยังคงเป็นเครื่องมือตรวจสอบฝ่ายตรงข้ามทางการเมือง

          มีรายงานว่าหนึ่งในรายชื่อลูกค้าของ NSO Group คือ ซาอุดีอาระเบีย รายงานโครงการ Pegasus ตรวจพบว่าโทรศัพท์ของ Hanan Elatr ภรรยาคนที่สี่ของ Jamal Khashoggi ผู้สื่อข่าวชาวซาอุดีอาระเบียและ Hatice Cengiz คู่หมั้น ตกเป็นเป้าหมายก่อนที่ Khashoggi จะถูกสังหารอย่างโหดเหี้ยมด้วยน้ำมือของรัฐบาลซาอุดีอาระเบีย

ตามรายงานของ The Wire หมายเลขโทรศัพท์ของอินเดียมากกว่า 300 หมายเลขมีแนวโน้มจะตกเป็นเป้าหมายของ “Pegasus” ในจำนวนนี้มีหมายเลขโทรศัพท์เคลื่อนที่ 2 หมายเลขที่เกี่ยวข้องกับราหุล คานธี ซึ่งเป็นฝ่ายตรงข้ามทางการเมืองลำดับต้น ๆ ของนายกรัฐมนตรีนเรนทรา โมดี

เดอะการ์เดียนรายงานว่า พลเมืองสหรัฐฯ-เบลเยียม Carine Kanimba ก็ตกอยู่ภายใต้การสอดส่องของ “Pegasus” ด้วย Paul Rusesbagina ผู้สนับสนุนด้านสิทธิมนุษยชนของรวันดา/บิดาของ Kanimba ถูกคุมขังในรวันดา การที่ Kanimba ต่อสู้เพื่ออิสรภาพของบิดาจึงทำให้เธอตกเป็นเป้าหมาย ผู้นำระดับชาติอื่น ๆ อีกหลายคน รวมทั้งนายกรัฐมนตรีอิมราน ข่านของปากีสถานและประธานาธิบดีบาฮัม ซาลิห์ของอิรักก็ตกเป็นเป้าหมายของสปายแวร์ด้วยเช่นกัน

ปรากฏรายงานว่าหน่วยงานความมั่นคงของโมร็อกโกใช้ “Pegasus” ติดตามความเคลื่อนไหวของประธานาธิบดีเอ็มมานูเอล มาครง และคณะรัฐมนตรี 15 คนของรัฐบาลฝรั่งเศส อย่างไรก็ดี รัฐบาลโมร็อกโกและ NSO ปฏิเสธ

          บริษัท NSO Group เปิดเผยว่าผลิตภัณฑ์ของตนจำหน่ายให้กับหน่วยงานรัฐบาลเท่านั้น แต่ดูเหมือนมีความเป็นไปได้ที่ซาอุดีอาระเบีย อินเดีย รวันดาและรัฐบาลอื่น ๆ ใช้สปายแวร์ของ NSO Group กับเป้าหมาย (ผู้ก่อการ) ที่ไม่ใช่ผู้ก่อการร้ายและอาชญากร บริษัทพัฒนาสปายแวร์ NSO Group ได้สร้างผลิตภัณฑ์ที่กัดกร่อนการปกป้องความเป็นส่วนตัวอย่างมีประสิทธิภาพจนถึงจุดสิ้นสุดความเป็นส่วนตัวในโลกเสมือนจริง (virtual privacy)

อุตสาหกรรมที่ใช้เทคโนโลยีสปายแวร์ไม่ได้ถูกควบคุมอย่างเข้มงวดมากนัก ระบอบการควบคุมการส่งออกระหว่างประเทศ (Wassenaar Arrangement - WA)[3] ที่ส่งเสริมความโปร่งใสในการถ่ายโอนอาวุธตามแบบและเทคโนโลยีที่สามารถใช้ได้สองทาง ได้เพิ่มเครื่องมือในการสอดส่องหรือซอฟต์แวร์บุกรุก (intrusion software) ในรายการสินค้าควบคุมการส่งออกในปี 2013 อย่างไรก็ตาม WA ขาดความสามารถในการกำกับดูแลหรือบังคับใช้ โดยเฉพาะอย่างยิ่งสำหรับประเทศที่ไม่เข้าร่วมเช่น อิสราเอล

นับเป็นเวลานานเกินไป สำหรับบริษัทและรัฐบาลที่ใช้เทคโนโลยีบังหน้าการต่อสู้กับการก่อการร้ายและอาชญากรรม รายงาน “Pegasus Project” ควรนำไปสู่การอภิปรายว่าบริษัทเช่น NSO Group ควรดำรงอยู่หรือไม่ อย่างน้อยก็ถึงเวลาแล้วที่ฝ่ายนิติบัญญัติและหน่วยงานพหุภาคีจะต้องพิจารณาว่า มีการปฏิบัติตามข้อกำหนดอย่างเข้มงวด โปร่งใสและมาตรฐานการรายงานการบังคับใช้ที่เข้มงวดกับบริษัทสปายแวร์ได้หรือไม่

การดำเนินการดังกล่าวอาจต้องใช้เวลา ในระยะสั้นมีความย้อนแย้งอย่างมากที่บริษัทยักษ์ใหญ่ในซิลิคอนแวลลีย์เช่น Google Apple และ Facebook ต้องเผชิญกับการวิพากษ์วิจารณ์เรื่องความเป็นส่วนตัว บริษัทเหล่านี้อยู่ในตำแหน่งที่ดีที่สุดที่จะสร้างนวัตกรรมและปกป้องผู้ใช้เทคโนโลยีจากสปายแวร์ของ NSO Group

---

[1] โปรแกรมขนาดเล็กที่เขียนขึ้นมาเพื่อสอดส่อง (สปาย) การใช้งานเครื่องคอมพิวเตอร์/อุปกรณ์มือถือของคุณ อาจจะโฆษณาสินค้าต่าง ๆ สปายแวร์บางตัวก็สร้างความรำคาญเพราะจะเปิดหน้าต่างโฆษณาบ่อย ๆ แต่บางตัวร้ายกว่านั้น คือ ทำให้คุณใช้อินเตอร์เน็ตไม่ได้เลย ไม่ว่าจะไปเว็บไหนก็จะโชว์หน้าต่างโฆษณาหรืออาจจะเป็นเว็บประเภทลามกอนาจารพร้อมกับป๊อปอัพหน้าต่างเป็นสิบ ๆ หน้าต่าง เข้าถึงได้ที่: http://ccs.sut.ac.th/2012/index.php/helpdesk/helpdesk-faqs/249-help-241105

[2] THE FINAL NAIL IN THE COFFIN FOR PRIVACY? THE SAGA OF THE NSO GROUP’S SPYWARE INTELBRIEF Thursday, July 22, 2021 available at: https://mailchi.mp/thesoufancenter/the-final-nail-in-the-coffin-for-privacy-the-saga-of-the-nso-groups-spyware?e=c4a0dc064a

[3] ระบอบควบคุมการส่งออกระหว่างประเทศ เป็นการรวมกลุ่มของประเทศต่างๆ (ส่วนใหญ่เป็นประเทศพัฒนาแล้วประมาณ 42 ประเทศ เช่น สหรัฐฯ อังกฤษ ออสเตรเลีย สหภาพยุโรป ญี่ปุ่น สาธารณรัฐเกาหลี) เพื่อป้องกันการแพร่ขยายของอาวุธที่มีอำนาจทำลายล้างสูง (Weapons of Mass Destruction - WMD) และอาวุธตามแบบ (Conventional Weapons) และป้องกันมิให้สินค้า เทคโนโลยีและวัสดุอุปกรณ์ที่ใช้ประโยชน์ได้สองทาง (dual-use goods) ที่อาจนำไปใช้ในการผลิตอาวุธ ถูกผลิตหรือถูกส่งผ่านไปอยู่ในมือของกลุ่มองค์กรผู้ก่อการร้ายหรือประเทศที่อาจเป็นภัยต่อความมั่นคงระหว่างประเทศ (country of concern) อาทิ อิรัก อิหร่าน ลิเบียและเกาหลีเหนือ

About Kim
Kim is a retired civil servant, specializing in intelligence analysis. He loves productivity hacks, minimalist workflows and CSI series.