วิธีทางเทคนิคที่ใช้ตรวจพบสปายแวร์เพกาซัสในประเทศไทย : เปิดคำเบิกความต่อศาลแพ่งของ Digital Reach

  • : 675

4 กันยายน 2567 เวลา 09.30 น. ศาลแพ่งรัชดา นัดสืบพยานโจทก์ในคดีที่ไผ่-จตุภัทร์ บุญภัทรรักษาเป็นโจทก์ยื่นฟ้องเอาผิดจำเลย บริษัท เอ็นเอสโอ กรุ๊ป (NSO Group) สัญชาติอิสราเอลในฐานะที่เป็นผู้ผลิต ผู้พัฒนาและผู้จำหน่วายสปายแวร์เพกาซัส ฐานละเมิดสิทธิส่วนบุคคลจากการใช้เทคโนโลยีสอดแนมขโมยข้อมูลในโทรศัพท์มือถือ โดยเรียกค่าเสียหาย 2,500,000 บาท และขอให้ศาลสั่ง NSO ให้หยุดใช้สปายแวร์เพกาซัสละเมิดความเป็นส่วนตัวของพลเมืองไทย

คดีนี้มีการสืบพยานฝ่ายโจทก์ตั้งแต่วันที่ 3 – 5 กันยายน 2567 โดยในวันที่ 4 กันยายน 2567 ฝ่ายโจทก์ได้นำเสนอพยานเข้าเบิกความ ได้แก่ วรัญญุตา ยันอินทร์ นักเทคนิคคอมพิวเตอร์ที่ทำสำเนาข้อมูลจากโทรศัพท์มือถือของโจทก์ สุธาวัลย์ ชั้นประเสริฐ ผู้ร่วมตรวจสอบร่องรอยการเจาะโดยสปายแวร์เพกาซัส จากมูลนิธิสิทธิทางดิจิทัล และฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำคณะนิติศาสตร์มหาวิทยาลัยธรรมศาสตร์ และในวันที่ 5 กันยายน 2567 ได้แก่ ผศ. ปริยกร ปุสวิโร อาจารย์ประจำภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี

สุธาวัลย์ ชั้นประเสริฐ อายุ 36 ปี เป็นผู้ก่อตั้งองค์กรดิจิทัลรีช (Digital Reach) หรือมูลนิธิสิทธิมนุษยชนทางดิจิทัล ในปี 2565 เพื่อทำงานเกี่ยวกับเรื่องเทคโนโลยีที่มีผลกระทบต่อสิทธิมนุษยชนและประชาธิปไตยในภูมิภาคเอเชียตะวันออกเฉียงใต้ สุธาวัลย์ให้ความสนใจกับกรณีที่มีผู้ใช้งานผลิตภัณฑ์ของแอปเปิลที่เป็นนักกิจกรรม นักวิชาการ และนักการเมืองชาวไทยที่ได้รับอีเมล์แจ้งเตือนภัยคุกคาม (threat-notification) จนนำไปสู่ความร่วมมือกับซิติเซ่นแล็บ (Citizen Lab) ในการตรวจเพกาซัสในประเทศไทย

สุธาวัลย์ เบิกความว่า ทำงานเป็นนักวิจัยและผู้เชี่ยวชาญด้านสิทธิมนุษยชน ตั้งแต่เรียนจบก็ทำงานด้านสิทธิมนุษยชนมาโดยตลอด โดยให้ความสำคัญในประเด็นของเทคโนโลยีที่มีผลกระทบต่อสิทธิมนุษยชนของพลเมืองในภูมิภาคเอเชียตะวันออกเฉียงใต้

การค้นพบวิธีการตรวจสอบสปายแวร์เพกาซัสทั่วโลก โดยซิติเซ่นแล็บ

ซิติเซ่นแล็บ (Citizen Lab) เป็นห้องแล็บสหวิทยาการที่ วิทยาลัยกิจการโลกและนโยบายสาธารณะ (Munk School of Global Affair and Public Policy) มหาวิทยาลัยโตรอนโต้ ประเทศแคนาดา โดยให้ความสนใจในการทำวิจัย พัฒนา และออกแบบกลยุทธ์ระดับสูงในประเด็นด้านเทคโนโลยี การสื่อสาร ความมั่นคงและสิทธิมนุษยชน ซิติเซ่นแล็บ ทำงานสืบสวนเรื่องอาชญากรรมทางไซเบอร์ตั้งแต่ปี 2543 ถึงปี 2553 และศึกษาเรื่องตลาดการค้าสปายแวร์ในฐานะอาวุธสงคราม จนกระทั่งในปี 2564 ซิติเซ่นแล็บได้เข้ามามีส่วนร่วมในการช่วยเหลือด้านเทคนิคในการตรวจหาร่องรอยการทำงานของสปายแวร์เพกาซัสในประเทศไทย

สุธาวัลย์ เล่าว่า ซิติเซ่นแล็บค้นพบชุดเซิร์ฟเวอร์ (Server) โครงสร้างของสปายแวร์เพกาซัส และพบเป้าหมายที่ถูกโจมตีโดยสปายแวร์เพกาซัสรายแรก คือ อาเหม็ด มันซู (Ahmed Mansoor) นักปกป้องสิทธิมนุษยชนที่ทำงานอยู่ในสหรัฐอาหรับเอมิเรตส์ เมื่อปี 2559 โดยซิติเซ่นแล็บวิเคราะห์จากข้อความที่ส่งมาให้อาเหม็ด มันซู จึงทำให้พบการแฝงลิงก์สำหรับการเจาะระบบโดยสปายแวร์เพกาซัส เมื่อทดลองคลิกลิงก์ก็พบว่าโทรศัพท์มือถือถูกเจาะโดยสปายแวร์เพกาซัส จากข้อมูลนี้ทำให้ซิติเซ่นแล็บสามารถตั้งคณะทำงานวิจัยเพื่อติดตามสปายแวร์เพกาซัสและทำงานวิจัยและวิเคราะห์ด้วยวิธีนิติวิทยาศาสตร์ทางคอมพิวเตอร์ เพื่อตรวจหาร่องรอยการถูกโจมตีโดยสปายแวร์เพกาซัสในโทรศัพท์แต่ละเครื่อง

ในปี 2564 ซิติเซ่นแล็บตรวจสอบข้อมูลในโทรศัพท์มือถือของลูเจน อัล ฮัซลูล (Loujain al-Hathloul) นักต่อสู้เพื่อสิทธิสตรีชาวซาอุดิอาระเบีย เพื่อตรวจหาร่องรอยการถูกโจมตีโดยสปายแวร์เพกาซัส จึงทำให้ค้นพบว่า สปายแวร์เพกาซัสโจมตีโทรศัพท์มือถือด้วยวิธีซีโร่เดย์ ซีโร่คลิก เอ็กซ์พลอยเทชัน (Zero-Day Zero-Click Exploitation) ผ่านแอพพลิเคชั่นไอเมสเสจ (iMessage) ในโทรศัพท์ไอโฟน (iPhone) ซึ่งซิติเซ่นแล็บได้ตั้งชื่อวิธีการโจมตีลักษณะนี้ว่า Forcedentry เป็นระบบการโจมตีที่จำเลยพัฒนาขึ้นจากระบบการโจมตีแบบเดิมที่ต้องอาศัยให้เป้าหมายคลิกลิงก์ในโทรศัพท์มือถือเพื่อให้สปายแวร์เพกาซัสสามารถเจาะเข้าระบบและเข้าถึงข้อมูลส่วนบุคคลได้ โดยรูปแบบการโจมตีของซีโร่เดย์ ซีโร่คลิก เอ็กซ์พลอยเทชัน ยังมีอีกหลายชื่อ เช่น KISMET หรือ BLASTPASS เป็นต้น

ในระหว่างปี พ.ศ. 2560 ถึงปี 2561 นักวิจัยจากซิติเซ่นแล็บ ได้พัฒนาระบบการตรวจสอบและค้นหาเซิร์ฟเวอร์ของสปายแวร์เพกาซัสเรียกว่า ดีเอ็นเอสแคชโพรบบิ้ง (DNS Cache Probing) โดยตรวจสอบผ่านระบบของดีเอ็นเอส ว่าอุปกรณ์อิเล็กทรอนิกส์ที่อยู่บนเครือข่ายของผู้ให้บริการอินเทอร์เน็ต เชื่อมต่อกับเซิร์ฟเวอร์ ที่เป็นโครงสร้างของสปายแวร์เพกาซัสหรือไม่ และยังได้พัฒนาเทคนิคชื่อ อาเทน่า (Athena) เพื่อรวบรวมจัดกลุ่มเซิร์ฟเวอร์ที่ค้นพบว่า เซิร์ฟเวอร์นี้มีผู้ใช้งานคนเดียวหรือหลายคน ซึ่งทำให้สามารถระบุเครือข่ายการถูกโจมตีโดยสปายแวร์เพกาซัสทั่วโลก และทำให้เห็นภาพว่า ผู้ใช้งานสปายแวร์เพกาซัสกำลังสอดส่องบริเวณใดอยู่บ้าง

ทางซิติเซ่นแล็บค้นพบเครือข่ายอินเทอร์เน็ตใน 45 ประเทศที่ต้องสงสัยว่าถูกโจมตีโดยสปายแวร์เพกาซัส และพบ 36 ประเทศ ซึ่งคาดว่าเป็นประเทศที่มีผู้ใช้งานสปายแวร์เพกาซัส และยังพบอีกอย่างน้อย 10 ประเทศ ที่มีผู้ใช้งานสปายแวร์เพกาซัสโจมตีข้ามไปยังประเทศอื่น โดยค้นพบว่า ประเทศไทย มีผู้ใช้งานเพกาซัสภายใต้ชื่อผู้ใช้บริการ “ช้าง (CHANG)” ผ่านผู้ให้บริการ บริษัท กสท โทรคมนาคม จำกัด (มหาชน) บริษัท ทรู อินเทอร์เน็ต คอร์ปอเรชั่น จำกัด ก็ได้มีการใช้สปายแวร์เพกาซัสมาตั้งแต่ปี 2561 มาจนถึงปัจจุบันด้วย

วิธีการโจมตีของเพกาซัสสปายแวร์ โดยเหยื่อไม่ต้องคลิกอะไรเลย

ระบบการโจมตีซีโร่เดย์ ซีโร่คลิก เอ็กซ์พลอยเทชัน เป็นระบบที่จำเลยพัฒนาขึ้น และเป็นระบบที่อันตรายต่อเป้าหมายมากขึ้น ในความหมายทางด้านเทคนิค คำว่าซีโร่เดย์ (zero-day) คือช่องโหว่ในระบบคอมพิวเตอร์ ซึ่งในกรณีนี้สามารถหมายถึงช่องโหว่ในตัวของซอฟท์แวร์หรือฮาร์ดแวร์ก็ได้ โดยผู้คิดค้นหรือดูแลระบบปฏิบัติการยังไม่ทราบถึงการมีอยู่ช่องโหว่ดังกล่าวและยังไม่มีวิธีการแก้ไขช่องโหว่ในระบบดังกล่าวด้วย

สุธาวัลย์อธิบายว่า เทคโนโลยีในการเจาะระบบโทรศัพท์มือถือรูปแบบที่ใช้กันต่อมาเรียกว่า ซีโร่คลิก (Zero Click) โดยผู้เสียหายหรือเป้าหมายของการโจมตีไม่จำเป็นต้องคลิกลิงก์ใด ๆ เลย ตัวสปายแวร์จะโจมตีเป้าหมายโดยอาศัยช่องโหว่ในระบบคอมพิวเตอร์เพื่อเจาะเข้าระบบและเข้าถึงข้อมูลต่างๆ ในเครื่องมืออิเล็กทรอนิกส์จากระยะไกล โดยที่เจ้าของเครื่องไม่จำเป็นต้องให้ความยินยอมหรือคลิกลิงก์หรือกระทำการใด ๆ ซึ่งด้วยลักษณะการโจมตีดังกล่าวทำให้สปายแวร์เพกาซัสไม่สามารถตรวจพบได้โดยง่าย และเจ้าของเครื่องมือสื่อสารมักไม่ทราบว่า ตนเองถูกโจมตีและสอดแนมอยู่ และไม่สามารถป้องกันตัวเองจากการโจมตีที่เกิดขึ้นได

รูปแบบการโจมตีที่เรียกว่า ซีโร่คลิกนี้ยังถูกจำไปใช้อ้างอิงในคำฟ้องของแอปเปิลที่ฟ้อง NSO อีกด้วย รวมถึงเทคโนโลยีซีโร่คลิกนั้นถูกนำไปอ้างอิงในหลายรายงาน หลายบทความ รวมถึงรายงานของผู้รายงานพิเศษแห่งสหประชาชาติที่มีการตอบโต้กับบริษัท NSO จำเลยในคดีนี้ด้วย

ทนายจำเลยถามว่า แล้วสรุปการโจมตีของเพกาซัส ต้องเป็นแบบกดรับหรือไม่กดรับ สุธาวัลย์อธิบายว่าวิธีการโจมตีของเพกาซัสแบบเดิมจะเป็นการส่งลิงก์ให้เป้าหมายกด เมื่อเป้าหมายกดลิงก์ดังกล่าวสปายแวร์ถึงจะเข้าไปในโทรศัพท์ของเป้าหมายได้ แต่วิธีการดังกล่าวก็ได้พัฒนามาเป็นซีโร่คลิก

ทนายจำเลยถามว่าปีใดที่มีการเปลี่ยนการกดรับมาเป็น Zero Click สุธาวัลย์ตอบว่าประมาณปี 2563 แต่มีรายงานว่าก่อนหน้านั้นในคดีของ WhatsApp มีผู้เสียหายที่เป็นผู้ใช้งานของ WhatsApp ถูกโจมตีด้วยซีโร่คลิก

ทนายความจำเลยได้ค้นคว้าและนำเอกสารที่เกี่ยวกับสปายแวร์ชนิดอื่นๆ บนโลกมาให้ดูแล้วถามว่า ยังมีสปายแวร์อีกหลายชนิดนอกจากเพกาซัสใช่หรือไม่ สุธาวัลย์ ตอบว่า สปายแวร์ชนิดอื่น เช่น Candiru เป็นสปายแวร์เช่นเดียวกับเพกาซัส แต่ไม่ทราบถึงวิธีการทำงาน เพราะเท่าที่ทราบไม่ปรากฏว่าเคยมีการใช้สปายแวร์ชนิดนี้ในประเทศไทยมาก่อน ส่วนชื่อ Intellexa ตามเอกสารของทนายความจำเลยนั้นเป็นชื่อของบริษัทผลิตสปายแวร์ ส่วนสปายแวร์ใช้ชื่อว่า Predator มีการค้นพบการใช้งาน Predator ครั้งแรกในปี 2566 ในประเทศเวียดนาม โดยเป็นการส่งลิงค์ URL ไปยังบัญชีทวิตเตอร์ โดยมีเจ้าหน้าที่รัฐบาลสหรัฐ เจ้าหน้าที่รัฐสภายุโรป อดีตประธานาธิบดีไต้หวัน นักวิชาการ และนักข่าวเป็นผู้ถูกโจมตี โดยมีเป้าหมายเพื่อต้องการทราบมุมมองของสหรัฐที่มีต่อจีนซึ่งเป็นคู่ค้าสำคัญของเวียดนาม

ทนายจำเลยถามว่า เพราะเหตุใดพยานถึงไม่ได้ติดตามเขียนบทความที่เกี่ยวกับสปายแวร์ตัวอื่นๆ นอกจากสปายแวร์เพกาซัส สุธาวัลย์ตอบว่าหลังจากที่มีการสืบสวนสอบสวนในประเทศไทย ก็มีการร่วมกับซิติเซ่นแล็บ เพื่อหาข้อมูลเกี่ยวกับสปายแวร์ในประเทศอื่นในภูมิภาคเอเชียตะวันออกเฉียงใต้ด้วย แต่เนื่องจากนักกิจกรรมในประเทศสิงคโปร์และประเทศอินโดนีเซียไม่ได้ให้ความร่วมมือจึงทำให้ไม่มีการตีพิมพ์รายงานใดๆ ออกมา

การตรวจสอบสปายแวร์เพกาซัสในประเทศไทยทำอย่างไร

ในคำเบิกความของสุธาวัลย์ที่จัดทำเป็นเอกสารส่งต่อศาลแพ่ง อธิบายว่า หลังจากในประเทศไทยมีคนได้รับอีเมล์แจ้งเตือนภัยคุกคามจากแอปเปิ้ลแล้ว สุธาวัลย์ได้รับการประสานงานให้ช่วยติดต่อผู้เชี่ยวชาญจากซิติเซ่นแล็บ จึงได้ประสานงานกับจอห์น สก๊อตต์ เรลตัน (John Scott-Railton) ซึ่งเป็นนักวิจัยเกี่ยวกับภัยคุกคามทางเทคโนโลยี และเมื่อทราบว่ามีคนได้รับอีเมล์แจ้งเตือนจำนวนมากในช่วงเวลาที่มีการชุมนุมทางการเมืองอย่างกว้างขวาง สุธาวัลย์จึงร่วมมือกับจอห์น สก๊อตต์ เรลตัน ออกแบบกระบวนการทำงานเพื่อสืบสวนการใช้สปายแวร์เพกาซัสในประเทศไทย และอบรมการทำงานให้กับนักเทคนิคคอมพิวเตอร์ของไอลอว์ให้ทำการสำรองข้อมูลจากโทรศัพท์มือถือที่จะตรวจสอบได้อย่างน่าเชื่อถือ

ไอลอว์จะทำหน้าที่ประสานงานกับบุคคลที่ได้รับอีเมลแจ้งเตือนลักษณะดังกล่าวจากแอปเปิ้ล และบุคคลที่คาดว่าจะมีความเสี่ยงที่จะถูกโจมตีโดยสปายแวร์เพกาซัส เพื่อขอความยินยอมในการตรวจในโทรศัพท์เคลื่อนที่ของกลุ่มบุคคลดังกล่าว และทำการสำรองข้อมูลโทรศัพท์มือถือเพื่อส่งไปตรวจสอบ จากนั้น สุธาวัลย์และองค์กรดิจิทัลรีช ได้มีส่วนในการใช้โปรแกรมที่พัฒนาโดยซิติเซ่นแล็บ เพื่อตรวจสอบคัดกรองข้อมูลจากโทรศัพท์มือถือในเบื้องต้น และนำข้อมูลที่ได้จากทีมงานนักเทคนิคคอมพิวเตอร์ของไอลอว์จัดส่งให้กับซิติเซ่นแล็บ เพื่อตรวจวิเคราะห์ด้วยนิติวิทยาศาสตร์ทางคอมพิวเตอร์ เพื่อยืนยันว่าโทรศัพท์เคยถูกโจมตีโดยสปายแวร์เพกาซัสหรือไม่ และมีร่องรอยการโจมตีเมื่อใดบ้าง ซึ่งขั้นตอนนี้จะตรวจอย่างละเอียดและใช้เวลาหลายวัน 

จากการทำงานทั้งหมดพบโทรศัพท์มือถือของคนไทยอย่างน้อย 35 คนถูกเจาะระบบโดยสปายแวร์เพกาซัส เป็นการโจมตีด้วยระบบการโจมตีซีโร่เดย์ ซีโร่

คลิก เอ็กซ์พลอยเทชัน ประเภท KISMET และ FORCEDENTRY และช่วงเวลาในการโจมตีใกล้เคียงกับช่วงเวลาที่มีการเคลื่อนไหวทางการเมือง หลังจากได้ข้อค้นพบนี้ ซิติเซ่นแล็บได้จัดทำงานรายงานเผยแพร่ชื่อว่า GeckoSpy Pegasus Spyware Used against Thailand’s Pro-Democracy Movement  ซึ่งสุธาวัลย์เป็นผู้ร่วมเขียนรายงานฉบับนี้ด้วย

ในส่วนโทรศัพท์มือถือของไผ่-จตุภัทร์ โจทก์ในคดีนี้ สุธาวัลย์เบิกความว่าผลการตรวจสอบโทรศัพท์ไอโฟนของโจทก์พบว่า มีการโจมตีเกิดขึ้นสามครั้ง ได้แก่ วันที่ 23 มิถุนายน 2564, 28 มิถุนายน 2564 และ 9 กรกฎาคม 2564

ทนายจำเลยถามว่า พยานยืนยันได้หรือไม่ว่านักกิจกรรมทางการเมืองในไทยไม่ได้ถูกโจมตีด้วยสปายแวร์ตัวอื่นที่ไม่ใช่เพกาซัส สุธาวัลย์ตอบว่า เป็นไปได้ยาก ถ้าตามหลักฐานแล้วสปายแวร์ที่มีหลักฐานว่าเจ้าหน้าที่รัฐในประเทศไทยเป็นคนใช้เซอร์เคิล (Circle) และเพกาซัส จากการตรวจสอบโดยซิติเซ่นแล็บพบว่า มีการใช้เซิร์ฟเวอร์ตั้งแต่ปี 2557 – 2561 จากการที่ไปให้ข้อมูลกับคณะกรรมาธิการความมั่นคงแห่งรัฐฯ เมื่อวันที่ 1 สิงหาคม 2567 มีหน่วยงานรัฐมาให้ข้อมูลสามหน่วยงาน ได้แก่ กองกำลังป้องกันความมั่นคงภายในราชอาณาจักร (กอ.รมน.) สำนักงานข่าวกรองแห่งชาติ และกองบัญชาการตรวจปราบปรามยาเสพติด (บช.ปส.) ซึ่ง บช.ปส. ยอมรับว่ามีการใช้สปายแวร์ในประเทศไทยจริง โดยจะใช้กับคดียาเสพติด แต่หยุดใช้งานไปตั้งแต่ปี 2563 ซึ่งในส่วนนี้สอดคล้องกับที่ซิติเซ่นแล็บ (Citizen Lab) พบว่าในปี 2559 มีเซิร์ฟเวอร์ที่อาจเชื่อมต่อกับสปายแวร์เพกาซัสที่มีการจดทะเบียนชื่อเซิร์ฟเวอร์ว่า NSB ซึ่งเป็นตัวย่อของ Narcotics Suppression Bureau หรือชื่อภาษาอังกฤษของ บช.ปส.

นอกจากนี้ยังสอดคล้องกับหลักฐานอีกชิ้นที่พรรคก้าวไกลได้ตรวจสอบเอกสารงบประมาณปี 2566 ที่ขอโดยสำนักงานตำรวจแห่งชาติระบุว่ามีการของบประมาณ 250 ล้านบาท เพื่อซื้อสปายแวร์ตัวนี้มาใช้เช่นกัน จะบอกว่าเป็นเซอร์เคิล (Circle) ไม่ได้ เพราะเซอร์เคิล (Circle) ไม่ใช่สปายแวร์ แต่เป็นเทคโนโลยีในการล้วงข้อมูลในโทรศัพท์ผ่านเครือข่ายโทรศัพท์ ไม่ใช่การล้วงข้อมูลจากเครื่องโทรศัพท์เป้าหมาย

ทนายจำเลยถามว่า ทราบได้อย่างไรว่าเป็นสปายแวร์เพกาซัส สุธาวัลย์เบิกความว่า จากประสบการณ์ในการใช้งานเทคโนโลยีของซิติเซ่นแล็บ ถ้าเกิดว่าเป็นกรณีที่ตรวจพบสปายแวร์ชนิดอื่นที่ไม่ใช่เพกาซัสก็จะแสดงผลอีกแบบหนึ่ง แต่ถ้าหากว่าโทรศัพท์เครื่องใดมีร่องรอยการถูกเจาะระบบโดยเพกาซัส ก็จะแสดงผลชัดเจนว่าเป็นเพกาซัส

Digital Reach ร่วมงานกับ Citizen Lab ได้อย่างไร

ทนายจำเลยถามว่าที่พยานเบิกความว่าได้รับข้อมูลจากซิติเซ่นแล็บว่าสปายแวร์เพกาซัสทำงานอย่างไร เข้าถึงโทรศัพท์ของโจทก์อย่างไร พยานติดต่อกับซิติเซ่นแล็บอย่างไร สุธาวัลย์อธิบายว่า ปกติการมีการติดต่อประสานงานกันตั้งแต่เริ่มขั้นตอนและมีการประสานงานกันตลอดเวลาเพื่อประโยชน์ต่อการสืบสวนสอบสวน กระบวนการในการเอาข้อมูลออกจากมือถือของเหยื่อเพื่อจะเอาไปตรวจสอบตามที่ออกแบบร่วมกันนั้น จะต้องเอาข้อมูลไปเก็บไว้ในระบบคลาวด์ที่เรียกว่า Tresorit ซึ่งเป็นมีการเข้ารหัสแบบ End to End จึงจะไม่มีบุคคลที่สามข้าถึงข้อมูลของผู้เสียหายได้ในระหว่างการส่งข้อมูล

สุธาวัลย์ เล่าว่า เบื้องต้นมีการพูดคุยโดยเป็นการอบรมในทางออนไลน์ประมาณ 1 – 2 ชั่วโมง โดยมีผู้เชี่ยวชาญจากซิติเซ่นแล็บเป็นผู้อบรมให้นักเทคนิคด้านคอมพิวเตอร์ หลังจากนั้นจะมีการให้นักเทคนิคคอมพิวเตอร์ทดลองทำ แล้วเมื่อมีข้อสงสัยอะไรก็สามารถสอบถามได้ทีหลัง เนื่องจากกระบวนการตรวจสอบเป็นกระบวนการต่อเนื่อง จึงไม่ใช่การอบรมทีเดียวแล้วจบเลย เพราะการทำงานจริงมีปัญหาที่ไม่ได้คาดการณ์เกิดขึ้น
องค์กร Digital Reach จะตรวจสอบและประเมินเบื้องต้นว่าเครื่องมือสื่อสารถูกโจมตีด้วยสปายแวร์หรือไม่ และเป็นสปายแวร์ประเภทใด แต่ก็จะไม่มีการยืนยัน 100% เพื่อความแน่นอน จึงต้องมีการให้ผู้เชี่ยวชาญด้านคอมพิวเตอร์เข้ามาตรวจสอบโดยเอาข้อมูลออกจากอุปกรณ์ที่ต้องสงสัยว่าถูกโจมตี แล้วนำไปเข้าวิธีการตรวจสอบที่เรียกว่า การวิเคราะห์ข้อมูลโดยละเอียดทางคอมพิวเตอร์ (Digital Forensic Analysis) แล้วจะมีการแจ้งผลมายังผู้เสียหายว่าการตรวจสอบเป็นอย่างไร

ความน่าเชื่อถือของ Citizen Lab

ทนายจำเลยถามว่า ข้อมูลที่ซิติเซ่นแล็บให้มานั้นถูกต้องหรือไม่ สุธาวัลย์อธิบายว่าข้อมูลที่ได้รับจากซิติเซ่นแล็บ มีความน่าเชื่อถือ เนื่องจากนักวิจัยของซิติเซ่นแล็บมีความรู้เกี่ยวกับสปายแวร์ชนิดนี้ดี และผู้เชี่ยวชาญของซิติเซ่นแล็บก็ได้รับการยอมรับจากบริษัทระดับโลกหลายครั้ง เช่น กูเกิ้ล (Google) แอปเปิล (Apple) และไมโครซอฟต์ (Microsoft) และนำไปสู่การค้นพบช่องโหว่ในซอฟต์แวร์ที่บริษัทต่างๆ นำมาใช้อุดรูรั่วจากช่องโหว่ที่ค้นพบ ผู้เชี่ยวชาญจากซิติเซ่นแล็บได้เคยให้การในประเด็นสปายแวร์เพกาซัสในกระบวนการของประเทศอื่นๆ ด้วย เช่น คดีในสหราชอาณาจักร สภาผู้แทนราษฎรสหรัฐอเมริกา คณะกรรมาธิการ Pega ของสภายุโรป และวุฒิสภาโปแลนด์ด้วย 

ทนายจำเลยถามว่า มีงานวิจัยที่ยืนยันได้ไหมว่าเทคโนโลยีที่ใช้ในการตรวจสอบที่พยานอ้างถึงมีความน่าเชื่อถือ สุธาวัลย์ตอบว่าเทคโนโลยีดังกล่าวนี้มีการใช้ในการสืบสวนในประเทศอื่นๆ เช่น สเปน เอลซัลวาดอร์ และโปแลนด์ ซึ่งนำไปสู่การฟ้องร้องคดีความในศาลจากข้อค้นพบของเทคโนโลยีนี้ด้วยเช่นกัน เทคโนโลยีนี้แม้จะไม่มีงานวิจัยมารองรับแต่ก็ถูกนำไปใช้อ้างอิงในงานวิจัยอื่นๆ ด้วย เทคนิค DNS Cache Probing (วิธีการที่ซิติเซ่นแล็บใช้ในการตรวจเพกาซัส) ถูกนำไปอภิปรายในงานประชุมนานาชาติที่เรียกว่า Passive and Active Peer Review Conference 2563

ทนายจำเลยถามว่า นักวิชาการที่มาตรวจสอบเป็นนักวิชาการของซิติเซ่นแล็บใช่หรือไม่ สุธาวัลย์ตอบว่า ไม่ใช่ ปกติแล้วในทางวิชาการคอมพิวเตอร์จะมีการทำ Peer Review หรือการทบทวนโดยผู้เชี่ยวชาญ จะต้องทำโดยผู้เชี่ยวชาญที่ไม่ได้เกี่ยวข้องกับซิติเซ่นแล็บเลย เพื่อความถูกต้องและน่าเชื่อถือของข้อมูลจะต้องมีการยืนยันโดยบุคคลที่สามอยู่เสมอ โดยจะมีองค์กรอื่นมาช่วยตรวจสอบโดยใช้เครื่องมือขององค์กรนั้นเอง เช่น ในกรณีนี้ คือ องค์กรแอมเนสตี้ เทค (Amnesty Tech) ที่มาช่วยทบทวนผลการตรวจสอบอีกครั้งหนึ่ง และหากแอมเนสตี้ เทคทำรายงานใดๆ ออกมาซิติเซ่นแล็บก็จะตรวจทานรายงานของแอมเนสตี้ เทคด้วยเช่นกัน

เจาะระบบในโทรศัพท์ แต่เป็นอันตรายถึงชีวิต 

ในคำเบิกความของสุธาวัลย์ที่ทำเป็นเอกสารยื่นต่อศาล อธิบายว่า การโจมตีโดยสปายแวร์เพกาซัส มีแนวโน้มทำให้เกิดความเสียหายต่อเป้าหมาย เสียหายต่ออาชีพการงานและวิถีชีวิต โดยข้อมูลที่สปายแวร์เพกาซัสรวบรวมได้อาจถูกนำไปใช้กดดันหรือแบล็กเมล (Blackmail) ขัดขวางการประกอบอาชีพและการดำเนินชีวิตคนที่ถูกเจาะระบบ และบ่อนทำลายโครงสร้างทางการเมืองและขัดขวางการรณรงค์หรือการทำกิจกรรมทางการเมืองของประชาชนได้ เช่น กรณีของคริสต๊อฟ เบร็จซา (KrzysztofBrejza) ผู้นำทางยุทธศาสตร์ในการทำแคมเปญเลือกตั้งประเทศโปแลนด์ในปี 2562 และต่อมาเป็นนักการเมืองฝ่ายค้าน ถูกโจมตีโดยสปายแวร์เพกาซัสประมาณ 33 ครั้ง นอกจากนี้ในประเทศเอลซัลวาดอร์  ยังมีนักข่าวที่ถูกโจมตีโดยสปายแวร์เพกาซัส ในขณะที่มีรายงานเกี่ยวกับความเชื่อมโยงที่อาจเกิดขึ้นระหว่างรัฐบาลและกลุ่มอาชญากร ซึ่งทำให้มีการคุกคามทางกายภาพและการคุกคามอื่นๆ ตามมา

สุธาวัลย์ เบิกความอธิบายว่าที่ผ่านมามีกรณีตัวอย่างเกิดขึ้นในต่างประเทศที่เป็นเหตุการณ์ร้ายแรงที่การถูกเจาะระบบของสปายแวร์เพกาซัสอาจเป็นผลให้เกิดผลกระทบที่อันตรายถึงชีวิต โดยมีกรณีตัวอย่างดังต่อไปนี้ 

  1. กรณีของจามาล คอช็อกกี (Jamal Khashoggi) นักข่าวชาวซาอุดิอาระเบียของสำนักข่าววอชิงตันโพสต์ (Washington Post) เป็นที่ทราบกันดีว่าจามาลมักจะวิจารณ์ราชวงศ์ของซาอุดิอาระเบียอยู่เสมอ การเสียชีวิตของจามาลเกิดขึ้นในปี 2561 โดยนักข่าวคนนี้เข้าไปยังสถานทูตซาอุดิอาระเบียประจำประเทศตุรเคียและถูกฆาตกรรมในสถานทูต โดยเจ้าหน้ารัฐของซาอุดิอาระเบียออกมายอมรับภายหลังว่าอยู่เบื้องหลังการฆาตกรรมในครั้งนี้ จากการตรวจสอบของซิติเซ่นแล็บ (Citizen Lab) พบว่าคนรอบตัวของจามาลเกือบทุกคนถูกเจาะระบบด้วยสปายแวร์เพกาซัส ไม่ว่าจะเป็นภรรยาหรือคู่หมั้น ซึ่งทำให้มีคนล่วงรู้ความเคลื่อนไหวและรู้ว่าจามาลจะเดินทางไปที่ใดเมื่อใด

    ในส่วนของคำให้การในส่วนนี้ทนายจำเลยถามพยานว่าข้อเท็จจริงในข่าวนั้น พยานยืนยันหรือไม่ว่าเป็นข้อเท็จหรือข้อจริง สุธาวัลย์ อธิบายว่า คดีของจามาลเป็นข่าวดังไปทั่วโลก ได้รับการตีพิมพ์โดยสำนักข่าวที่น่าเชื่อถือระดับต้นๆ ของโลก ไม่ว่าจะเป็น รอยเตอร์ (Reuters), เดอะ การ์เดียน (The Guardian), และ อัลจาซีรา (Al-Jazeera) ข้อมูลของคดีนี้สำนักข่าวจะมีการตรวจสอบข้อมูลอยู่ตลอดเวลา ดังนั้นการทำข่าวนี้จึงเป็นที่ยอมรับไปทั่วโลกและเป็นไปไม่ได้ที่จะเป็นข่าวเท็จหรือข่าวลวง
  2. กรณีของของเซซิลิโอ เบอร์โต (Cecilio Birto) นักข่าวเม็กซิโก ที่ทำงานด้านการสืบสวนสอบสวนอาชญากรรม เขาสงสัยและมีหลักฐานว่าเครือข่ายอาชญากรรมมีความเกี่ยวข้องกับนักการเมืองท้องถิ่นและเจ้าหน้ารัฐ ก่อนจะถูกสังหารในปี 2560 เขาได้ถ่ายทอดสดในเฟสบุ๊คเกี่ยวกับการสอบสวนและถูกฆาตกรรมในไม่กี่ชั่วโมงถัดมา โดยปรากฎว่าโทรศัพท์มือถือของเขาเองก็ตกเป็นเป้าของการเจาะระบบด้วยสปายแวร์เพกาซัส
  3. กรณีของ คาริน คานิมบา (Carine Kanimba) เป็นลูกสาวบุญธรรมของ พอล ริ้วส์บาจิน่า (Paul Rusesabagina) นักเคลื่อนไหวด้านสิทธิมนุษยชนในรวันดา พอลถูกลักพาตัวโดยรัฐบาลรวัลดาในปี 2563 เมื่อมีการตรวจสอบมือถือของคารินก็พบว่า มือถือของคารินถูกเจาะระบบด้วยเช่นกันหลังจากที่เธอทำแคมเปญรณรงค์ให้มีการปล่อยตัวพ่อบุญธรรมของเธอ

สุธาวัลย์ชี้ว่า เป้าหมายทั้งสามกรณีที่เบิกความยกตัวอย่างมาเป็นกรณีที่มีการใช้สปายแวร์เพกาซัสเพื่อล้วงข้อมูลนักข่าวหรือนักสิทธิมนุษยชนมีผลกระทบที่ทำให้เกิดอันตรายถึงชีวิต โดยทั้งสามกรณีที่ยกตัวอย่างนั้นมีวัตถุประสงค์ทางการเมืองและเกี่ยวข้องกับเจ้าหน้าที่รัฐทั้งหมด ซึ่งแสดงให้เห็นถึงความร้ายแรงของการใช้เทคโนโลยีนี้ที่อาจจะไม่ได้มีผลแค่เรื่องความเป็นส่วนตัวของข้อมูล แต่ส่งผลกระทบต่อความปลอดภัยของเหยื่อมากกว่านั้น

Total
0
Shares
Share 0
Tweet 0
Share 0

RELATED POSTS

หลักฐานชี้ NSO มีส่วนควบคุมสปายแวร์เพกาซัส จึงต้องรับผิด : เปิดคำเบิกความฝ่ายโจทก์หลักฐานชี้ NSO มีส่วนควบคุมสปายแวร์เพกาซัส จึงต้องรับผิด : เปิดคำเบิกความฝ่ายโจทก์ คดีมาตรา 112 ของเก็ท-โสภณ จากการปราศรัยในวันแรงงานสากลคดีมาตรา 112 ของเก็ท-โสภณ จากการปราศรัยในวันแรงงานสากล สส. ค้าน สว. ปมแก้ร่างพ.ร.บ.ประชามติฯ ตั้งกมธ.ร่วมพิจารณาต่อสส. ค้าน สว. ปมแก้ร่างพ.ร.บ.ประชามติฯ ตั้งกมธ.ร่วมพิจารณาต่อ

RELATED TAGS

📍ร่วมรณรงค์

JOIN : ILAW CLUB

ช่องทางการติดตาม

Tiktok Youtube Flickr

FACEBOOK PAGE

บทความยอดนิยม

วิดีโอแนะนำ

Amnestypeople.com
Join iLaw club
Social Links
Facebook
Twitter
Instagram
TikTok
YouTube
Flickr
Facebook Fanpage
Trending post
Videos