สกู๊ปหน้า 1 : สปายแวร์เพกาซัส สายลับไซเบอร์ ละเมิดประชาชน
การอภิปรายไม่ไว้วางใจรัฐบาลในช่วงหลายวันที่ผ่านมาเป็นไปอย่างดุเดือดในหลากหลายประเด็น
แต่หนึ่งในเรื่องที่ได้รับความสนใจมากที่สุดก็คือกรณี สปายแวร์ เพกาซัส ที่ถูกพบว่ามีการติดตั้งสอดแนมข้อมูลบรรดานักกิจกรรมในไทยอย่างน้อย 30 คน ในช่วงปี 2563-2564 ที่ผ่านมา
แม้รัฐบาลปฏิเสธเสียงแข็ง แต่จากการเปิดเผยจากกลุ่มเฝ้าระวังไซเบอร์หลายกลุ่ม ไม่ว่าจะเป็น ซิติเซ็นแล็บ (Citizen Lab) กลุ่มเฝ้าระวังอินเตอร์เน็ตจากแคนาดา ที่จับมือกับศูนย์ข้อมูลกฎหมายและคดีเสรีภาพ (iLaw) ของไทย และดิจิทัลรีช (Digital Reach) กลุ่มคุ้มครองสิทธิด้านดิจิทัลในเอเชียตะวันออกเฉียงใต้
ทำให้ข้อสันนิษฐานที่ว่าหน่วยงานของรัฐจะอยู่เบื้องหลังการใช้งาน เพกาซัส ในครั้งนี้มีความเป็นไปได้
ยิ่งน่าเชื่อถือมากขึ้นไปอีก เมื่อรายงานดังกล่าวมีเนื้อหาที่ตรงกันกับรายงานขององค์การนิรโทษกรรมสากล (Amnesty International) ที่เปิดเผยออกมาในช่วงเวลาเดียวกันด้วย
เรื่องนี้นับว่าเป็นเรื่องใหญ่เนื่องจากการติดตั้ง เพกาซัส ไปบนสมาร์ทโฟนของพลเรือนโดยเฉพาะบรรดานักเคลื่อนไหวโดยไม่ได้รับอนุญาตนั้นเป็นการสอดแนมที่ล่วงล้ำความเป็นส่วนตัวละเมิดเสรีภาพในการแสดงออกอย่างร้ายแรง โดยไม่สามารถอ้างได้ว่าทำไปเพราะความมั่นคงของชาติ!
สำหรับ เพกาซัส เป็นสปายแวร์ที่สร้างขึ้นโดยบริษัทเอ็นเอสโอ กรุ๊ป (NSO Group) บริษัทเอกชนด้านความปลอดภัยไซเบอร์จากประเทศอิสราเอล
โดยข้อมูลระบุเอาไว้บนเว็บไซต์บริษัทว่า เป็นสปายแวร์ที่จะขายใบอนุญาตให้แต่กับหน่วยข่าวกรองหรือหน่วยงานบังคับใช้กฎหมายของรัฐบาลประเทศต่างๆ เพื่อใช้ในการสืบสวนคดีก่อการร้ายและอาชญากรรมร้ายแรงเท่านั้น
ข้อมูลนี้ยิ่งทำให้รัฐบาลตกเป็นผู้ต้องสงสัยหลักในกรณีนี้!?
ตามรายงานของ Citizen Lab เดิมที เพกาซัส จำเป็นที่ทีมปฏิบัติการ (Operator) จะต้องใช้เทคนิคหลอกล่อให้เหยื่อคลิกลิงก์ (one-click exploits) โดยลิงก์ดังกล่าวจะจดทะเบียนโดเมนเนมเอาไว้
โดยอาจใช้รูปแบบของเว็บไซต์ผู้ให้บริการมือถือ บริการออนไลน์ หรือเว็บไซต์ของรัฐที่ปลอมแปลงขึ้นมาลวงเหยื่อ
แต่ล่าสุดเพกาซัสถูกพัฒนาให้ติดตั้งลงบนอุปกรณ์ของเป้าหมายได้ โดยที่เป้าหมายไม่จำเป็นต้องคลิกลิงก์ใดๆ ก่อน (zero-click exploits)
นั่นหมายความว่าทีมปฏิบัติการที่มีเพียงข้อมูล เบอร์โทรของเหยื่อ เพียงอย่างเดียวก็สามารถติดตั้งเพกาซัสไปบนสมาร์ทโฟนของเป้าหมายได้จากระยะไกลโดยที่เป้าหมายไม่รู้ตัว
นั่นทำให้เพกาซัสถูกเรียกว่าเป็นอาวุธไซเบอร์ที่ร้ายแรงที่สุดในโลก ตามรายงานของไอลอว์
หลังจากเพกาซัสถูกติดตั้งลงไปบนสมาร์ทโฟนของเป้าหมายแล้ว ระบบจะเริ่มเชื่อมต่อกับเซิร์ฟเวอร์สั่งการและควบคุม (C&C) ของทีมปฏิบัติการ เพื่อสั่งการและดูดข้อมูลต่างๆ จากเป้าหมาย ไม่ว่าจะเป็นข้อมูลส่วนตัว เช่น รหัสลับ รายชื่อติดต่อ กิจกรรมที่บันทึกในปฏิทิน ข้อความ รวมไปถึงเสียงพูดคุยสดๆ จากแอพพลิเคชั่นส่งข้อความต่างๆ และยังทำได้ถึงขั้นสั่งการให้สมาร์ทโฟนเปิดกล้องหรือไมโครโฟนเพื่ออัดเสียงหรือบันทึกภาพเหตุการณ์พื้นที่โดยรอบสมาร์ทโฟนของเป้าหมายได้ด้วย
รายงานของ Citizen Lab ที่ตรวจสอบ ไอพีแอดเดรสและโดเมนเนมที่เกี่ยวข้องพบว่ามีเหยื่อที่ถูกติดตั้งเพกาซัสมากถึง 1,000 คนใน 50 ประเทศ
ในจำนวนนี้มี 6 ประเทศที่มีประวัติใช้สปายแวร์โดยมีเป้าหมายที่ภาคประชาสังคมอย่างเข้มข้น ไม่ว่าจะเป็น บาห์เรน, คาซัคสถาน, เม็กซิโก, โมร็อกโก, ซาอุดีอาระเบีย รวมถึงสหรัฐอาหรับเอมิเรตส์
จากข้อมูลพบว่าผู้ที่ตกเป็นเป้าหมายของ เพกาซัสรายแรกคือ นายอาห์เหม็ด มานซูร์ นักเคลื่อนไหวเพื่อสิทธิมนุษยชนในสหรัฐอาหรับ เอมิเรตส์ ที่ถูกติดตั้งเพกาซัส บนไอโฟน ตั้งแต่เมื่อปี 2016
ไม่เท่านั้นยังมีรายงานนักเคลื่อนไหวเพื่อสิทธิมนุษยชนชาวปาเลสไตน์ 6 คนถูกติดตั้งเพกาซัสในสมาร์ทโฟนเมื่อปี 2021 ที่ผ่านมา
เช่นเดียวกับหลายประเทศ ที่พบทนายความ สื่อมวลชน นักเคลื่อนไหวเพื่อสิทธิมนุษยชน นักการเมืองฝ่ายค้าน นักเคลื่อนไหวต่อต้านการทุจริต และสมาชิกทีมสืบสวนนานาชาติ ที่ตก เป็นเหยื่อเพกาซัสมาอย่างต่อเนื่อง
รวมไปถึงเกิดการตั้งข้อสงสัยว่า เพกาซัสอาจนำไปสู่การสังหาร จามาล คาช็อกกี คอลัมนิสต์ชาวซาอุดีอาระเบียในสถานกงสุลซาอุฯ ในนครอิสตันบูล ประเทศตุรกี เมื่อปี 2018 ด้วยหรือไม่?
ข้อกล่าวหาซึ่ง NSO Group ปฏิเสธ โดยยืนยันว่าการขายเพกาซัสนั้นต้องผ่านการตรวจสอบจริยธรรมอย่างเข้มงวด และเพกาซัสนั้นจะถูกขายให้กับรัฐบาลเพื่อนำไปใช้ด้านความมั่นคงเท่านั้น
สปายแวร์ เพกาซัส ที่มีความสุ่มเสี่ยงที่จะถูกภาครัฐนำไปใช้ในทางที่ผิดส่งผลให้กระทรวงพาณิชย์สหรัฐประกาศ ขึ้นบัญชีดำ บริษัท NSO Group เมื่อเดือนพฤศจิกายนปีก่อน
นอกจากนี้ บริษัทเทคโนโลยียักษ์ใหญ่ในสหรัฐอย่าง เมต้า (Meta) บริษัทเจ้าของ เฟซบุ๊ก (Facebook) สื่อสังคมออนไลน์ชื่อดังกล่าวยื่นฟ้องร้อง NSO Group เจ้าของเพกาซัสที่เจาะเข้าสู่ระบบแอพพลิเคชั่น WhatsApp ที่เมต้าเป็นเจ้าของอยู่เนื่องจากเป็นการละเมิดกฎหมายของสหรัฐอเมริกา
ด้าน แอปเปิล (Apple) ผู้ผลิต iPhone ต้องพัฒนาระบบความปลอดภัยรับมือกับเพกาซัสในระบบปฏิบัติการ iOS 14.8 ตั้งแต่เมื่อเดือนกันยายน 2564 และได้ส่งข้อความเตือนผ่านอีเมล์ และ iMessage แจ้งเตือนผู้ตกเป็นเหยื่อเพกาซัสอย่างต่อเนื่อง
โดย Apple ยื่นฟ้องกับ NSO Group ด้วยเช่นกัน เพื่อป้องกันไม่ให้ผู้ใช้ได้รับความเสียหายอีกในอนาคต และยังขอให้ศาลมีคำสั่งห้ามไม่ให้ NSO Group ใช้ซอฟต์แวร์ บริการ หรืออุปกรณ์ใดๆ ของ Apple อีกต่อไปเป็นการถาวร ซึ่งเวลานี้ก็อยู่ระหว่างการดำเนินคดี
สำหรับแนวทางในการป้องกันการถูกติดตั้งสปายแวร์ต่างๆ นั้น ผู้เชี่ยวชาญแนะนำให้อัพเดตระบบปฏิบัติการบนสมาร์ทโฟนอย่างสม่ำเสมอ เพื่อให้ผู้ผลิตได้ปรับปรุงระบบและอุดช่องโหว่ต่างๆ ที่สปายแวร์เหล่านี้จะถูกติดตั้งลงบน สมาร์ทโฟนได้
นอกจากนั้นก็ควรหลีกเลี่ยงการคลิกลิงก์น่าสงสัยที่ถูกส่งมาตามช่องทางต่างๆ รวมไปถึงแนะนำให้การรีสตาร์ตสมาร์ทโฟนทุกวัน เนื่องจากสปายแวร์เพกาซัสจะถูกกำจัดหรือถูกขัดขวางการเชื่อมต่อทุกครั้งที่มีการรีสตาร์ตเครื่องตามคำแนะนำขององค์การนิรโทษกรรมสากล และ Citizen Lab เป็นต้น
สำหรับกรณีของประเทศไทยนั้นก็คงต้องจับตาดูกันต่อไปว่าจะมีการสืบสวนสอบสวนและดำเนินคดีกับสิ่งที่เกิดขึ้นนี้หรือไม่อย่างไร?
จะมีการแก้ไขเพิ่มเติมกฎหมายที่เกี่ยวกับการสอดแนมของรัฐ ตามที่องค์การนิรโทษกรรมสากลเรียกร้องเอาไว้หรือไม่?
ขณะที่การลงนามบันทึกความเข้าใจว่าด้วยความร่วมมือด้านความปลอดภัยไซเบอร์ระหว่างสำนักงานไซเบอร์แห่งชาติอิสราเอลและคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติของไทยเมื่อวันที่ 6 กรกฎาคมที่ผ่านมา จะทำให้เรื่องนี้เดินหน้าไปในทิศทางไหน
ถ้าใช้เป็นเครื่องมือต่อกรกับเหล่าอาชญากรก็ถือเป็นคุณอนันต์ ในทางกลับกันหากใช้กับผู้เห็นต่างจากรัฐ ก็เป็นเรื่องที่น่าห่วงใยอย่างมาก
แล้วรัฐเลือกใช้กับใคร!?!
