5 กันยายน 2567 เวลา 09.30 น. ศาลแพ่งนัดสืบพยานโจทก์ในคดีที่ไผ่-จตุภัทร์ บุญภัทรรักษาเป็นโจทก์ยื่นฟ้องเอาผิดจำเลย บริษัท เอ็นเอสโอ กรุ๊ป (NSO) สัญชาติอิสราเอลในฐานะที่เป็นผู้ผลิต ผู้พัฒนาและผู้จำหน่วายสปายแวร์เพกาซัส ฐานละเมิดสิทธิส่วนบุคคลจากการใช้เทคโนโลยีสอดแนมขโมยข้อมูลในโทรศัพท์มือถือ โดยเรียกค่าเสียหาย 2,500,000 บาท และขอให้ศาลสั่ง NSO ให้หยุดใช้สปายแวร์เพกาซัสละเมิดความเป็นส่วนตัวของพลเมืองไทย
คดีนี้มีการสืบพยานฝ่ายโจทก์ตั้งแต่วันที่ 3 – 5 กันยายน 2567 โดยในวันที่ 4 กันยายน 2567 ฝ่ายโจทก์ได้นำเสนอพยานเข้าเบิกความ ได้แก่ วรัญญุตา ยันอินทร์ นักเทคนิคคอมพิวเตอร์จากไอลอว์, สุธาวัลย์ ชั้นประเสริฐ จากมูลนิธิสิทธิมนุษยชนทางดิจิทัล และฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ และในวันที่ 5 กันยายน 2567 ได้แก่ ผศ.ดร.ปริยกร ปุสวิโร อาจารย์ประจำภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ผศ.ดร.ปริยกร ปุสวิโร อายุ 54 ปี เป็นอาจารย์ประจำภาควิชาวิศวกรรมศาสตร์คอมพิวเตอร์ คณะวิศวกรรมศาสตร์ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี ซึ่งปริยกรรับผิดชอบสอนในวิชาที่เกี่ยวข้องกับประเด็นในคดีนี้ คำให้การของปริยกรจะอธิบายความต่างระหว่างซอฟต์แวร์และสปายแวร์ การจัดซื้อสปายแวร์ในหน่วยงานภาครัฐไทยจะต้องทำอย่างไร และความน่าเชื่อถือซิติเซ่นแล็บในการตรวจหาร่องรอยการโจมตีเพกาซัส
ซอฟต์แวร์ติดตั้งโดยผู้ใช้ยินยอม สปายแวร์ติดตั้งโดยผู้ใช้ไม่ยินยอม
ผศ.ดร.ปริยกร เบิกความต่อศาลแพ่งโดยอธิบายว่า ซอฟต์แวร์สามารถแบ่งเป็นแอพลิเคชั่นซอฟต์แวร์และซอฟต์แวร์ทั่วไป เช่น ซอฟต์แวร์ที่ใช้ในภาคธุรกิจหรือภาคการศึกษา ส่วนซอฟต์แวร์ที่ทำงานในทางที่ผิดหรือมัลแวร์ (malware) คำว่า “มัล” (mal) แปลว่าทำงานผิดปกติ ไวรัสจึงเป็นส่วนหนึ่งของมัลแวร์ ซอฟต์แวร์ที่ใช้ในทางที่ผิดจึงถูกเรียกว่ามัลแวร์ และสปายแวร์เพกาซัสก็เป็นส่วนหนึ่งของมัลแวร์
ซอฟต์แวร์มีความแตกต่างกับมัลแวร์ตรงที่ผู้ใช้จะต้องยินยอมให้มีการติดตั้งในอุปกรณ์ซึ่งผู้ใช้จะเป็นคนเลือกเอง โดยทั่วไปผู้ใช้จะติดตั้งซอฟต์แวร์เพื่อประโยชน์ในการใช้งานและปกป้องข้อมูลของผู้ใช้ แต่สปายแวร์เป็นการแอบเข้ามาซ่อนตัวและติดตั้งในเครื่องของเราโดยที่ไม่ได้รับความยินยอมจากผู้ใช้ สปายแวร์เป็นโปรแรมที่ถูกติดตั้งเพื่อขโมยข้อมูลและล้วงความลับของเรา พฤติกรรมของสปายแวร์จะทำให้อุปกรณ์ของเราทำงานผิดปกติ (Malfunction) ซึ่งในทางตรงกันข้ามกับซอฟต์แวร์ สปายแวร์จะทำให้ผู้ใช้มีความเสี่ยงในการใช้อุปกรณ์
สปายแวร์เพกาซัสจะโจมตีโดยอาศัยช่องโหว่ (Vulnerability) ของระบบปฏิบัติการที่ผู้ผลิตหรือควบคุมระบบปฏิบัติการไม่ทราบ ช่องโหว่นี้มีอยู่แล้วในทุกระบบและเกิดขึ้นบ่อยทุกวัน การโจมตีโดยอาศัยช่องโหว่ของระบบนี้เรียกว่า ซีโร่เดย์ แอทแทค (Zero-Day Attack) นอกจากนี้ สปายแวร์เพกาซัสยังโจมตีด้วยวิธีที่เรียกว่า ซิโร่คลิก (Zero-Click) ซึ่งหมายถึงความสามารถในการเจาะระบบและเข้าถึงข้อมูลจากระยะไกลโดยที่เป้าหมายไม่จำเป็นต้องคลิกลิงก์หรือตั้งโปรแกรมใดๆ เพียงแค่ทราบหมายเลขที่อยู่ของเป้าหมาย ก็สามารถโจมตีเครื่องโทรศัพท์ได้เลย การโจมตีของเพกาซัสจะเป็นการระบุเป้าหมายโดยเฉพาะ โดยที่เป้าหมายไม่ต้องรู้ตัวและสามารถหลบหลีกการตรวจจับได้
สปายแวร์เพกาซัสจะทำหน้าที่คล้ายกับ “คนกลาง” หมายความว่าจะทำหน้าที่เป็นตัวกลางในการดักรับข้อมูลของเป้าหมาย โดยเพกาซัสจะเข้าไปส่งคำสั่งให้มีการทำสำเนาข้อมูลในอุปกรณ์เป้าหมายแล้วส่งไปให้กับระบบผู้ใช้งานโปรแกรม อาจทำให้โทรศัพท์มีอาการผิดปกติ เช่น แบตเตอรี่ร้อนและหมดเร็วกว่าปกติทั้งที่ไม่ได้ใช้งาน เพราะมีการทำงานตลอดเวลา
ผศ.ดร.ปริยกรอธิบายด้วยว่า ในการทำงานของสปายแวร์เพกาซัส ตัวโปรแกรมจะมีเครื่องมือที่ช่วยจัดการ แปลง และวิเคราะห์ข้อมูลที่ได้รับมา โดยเครื่องมือเหล่านี้สามารถวิเคราะห์ตำแหน่งที่ตั้งของเป้าหมายทั้งตำแหน่งที่อยู่ปัจจุบันและประวัติการเดินทาง ตั้งแจ้งเตือนเวลามีข้อมูลสำคัญต่างๆ ดูไฮไลท์และสถิติกิจกรรมของเป้าหมาย จัดระเบียบเป้าหมายเป็นกลุ่ม ตรวจสอบวิเคราะห์ข้อมูลที่รวบรวมจากกรอบเวลาที่เฉพาะเจาะจงได้
ผู้ผลิตสปายแวร์สามารถเข้าถึงข้อมูลของลูกค้าได้ทุกอย่าง
ในเอกสารแสดงวิธีการทำงานของสปายแวร์เพกาซัส ผศ.ดร.ปริยกรอธิบายว่า โปรแกรมชนิดนี้มีการบริการบำรุงรักษาโดยผู้ขาย มีการสนับสนุนและอัปเดตให้ทันสมัยอยู่ตลอดเวลา โดยจะมีการบำรุงรักษาอย่างน้อยหนึ่งปี ซึ่งผู้ใช้งานและผู้พัฒนาสามารถติดต่อกันผ่านอีเมลและโทรศัพท์คุยกันได้ตลอดเวลา ถ้ามีปัญหาในการใช้งานก็สามารถเข้ามาดูข้อมูลเพื่อที่จะตรวจสอบและแก้ปัญหาทางเทคนิคได้ตลอดเวลาและช่วยเหลือลูกค้าจากที่ใดก็ได้ (remote access) เพื่อให้สามารถแก้ไขข้อผิดพลาดหรือปัญหาของซอฟต์แวร์เมื่อไรก็ได้
โดยหลักการทั่วไปผู้ผลิต หรือ Super User สามารถเข้าถึงทุกระบบได้ เนื่องจากลูกค้าไม่มีความรู้เท่าเทียมกับผู้ขายหรือผู้ผลิตซอฟต์แวร์ ปกติผู้ผลิตซอฟต์แวร์จะไม่ยกสิทธิให้กับผู้อื่น ผู้ผลิตจะมีซอร์สโคด (source code) หรือโปรแกรมต้นฉบับที่ผู้ผลิตรู้ดีที่สุด การแก้ปัญหาก็ต้องย้อนกลับไปหาผู้ผลิต เหมือนที่รถเสียก็ต้องเข้าอู่ ช่างทั่วไปคงไม่มีวันเข้าใจเท่าผู้ผลิต
ในประเด็นนี้ ผศ.ดร.ปริยกรอธิบายทิ้งท้ายว่า สัญญาระหว่างผู้ซื้อและผู้ขายจะต้องมีความตกลงกัน โดยเฉพาะความปลอดภัยของระบบทางคอมพิวเตอร์ซึ่งแพงและเป็นความลับ ผู้ผลิตจะต้องกังวลแน่นอนว่าองค์ความรู้ของตัวเองไม่ควรที่จะอยู่กับผู้อื่น ผู้ผลิตจะต้องปกป้องทุกทางไม่ให้ความลับเกี่ยวกับโปรแกรมที่ผลิตตกไปอยู่ในมือของบริษัทอื่นหรือคู่แข่ง
ทนายจำเลยถามว่า มือถือไอโฟนมีระบบไอคลาวด์ แสดงว่าบริษัท Apple ควบคุมข้อมูลในไอคลาวด์ได้ใช่หรือไม่ ผศ.ดร.ปริยกรอธิบายว่า หากมีปัญหาข้อมูลหายสามารถติดต่อกับผู้ให้บริการได้เนื่องจากเราจ่ายค่าบริการ ซึ่งทุกบริษัทที่มีการให้บริการลักษณะนี้ก็มีเหมือนกัน ทนายจำเลยถามว่า บริษัทสามารถเข้าไปทำอะไรก็ได้ในข้อมูลของลูกค้าใช่หรือไม่ ปริยกรตอบว่า ในทางเทคนิคทำได้แต่ตามกฎหมายและโดยสิทธิบริษัทไม่สามารถเข้าถึงได้ ซึ่งเป็นข้อตกลงตามสัญญา
ทนายจำเลยถามว่า ลูกค้าของเพกาซัสต้องอนุญาตก่อนบริษัทถึงจะเข้าไปในระบบคลาวด์ของสปายแวร์ได้ใช่หรือไม่ ผศ.ดร.ปริยกรอธิบายว่า Super User สามารถเข้าได้ทุกระบบ แต่ในประเด็นของการขอความช่วยเหลือหมายความว่าลูกค้าจะต้องติดต่อไป หน่วยงานราชการที่ไม่มีความรู้ในด้านนี้จะติดต่อหาผู้พัฒนาระบบ แม้แต่ซอฟต์แวร์ McAfee หน่วยงานราชการจะขอความช่วยเหลือหรือแทบจะอนุญาตให้ผู้พัฒนาเข้าถึงได้ตลอดเวลาอยู่แล้ว โดยเฉพาะในหน่วยงานราชการไทยต้องพึ่งผู้ผลิตเนื่องจากเจ้าหน้าที่ไม่มีความรู้ในด้านคอมพิวเตอร์
หน่วยงานรัฐไทยต้องพึ่งพาผู้ผลิตสปายแวร์ เพราะไม่มีความรู้
ผศ.ดร.ปริยกร อธิบายว่า ผู้ผลิตจะต้องสร้างระบบการทำงานได้ตามที่มีการจัดซื้อจัดจ้าง อย่างน้อยจะต้องมีการบำรุงรักษาดูแลให้ทันสมัยอยู่เสมอ ตามหลักกรมบัญชีกลางและสำนักงบประมาณมีข้อบังคับในส่วนนี้ เนื่องจากลูกค้าในภาคราชการไม่มีความรู้ จะต้องพึ่งพาองค์ความรู้ของผู้ผลิต และในสาขาความมั่นคงทางไซเบอร์มีผู้เชี่ยวชาญในภาครัฐน้อยมาก ภาครัฐที่จัดซื้อซอฟต์แวร์ประเภทนี้จะต้องพึ่งพาผู้ผลิตอย่างแน่นอน สาเหตุที่ทราบเนื่องจากผศ.ดร.เคยเป็นผู้ร่างขอบเขตของงาน (term of reference, TOR) ในการทำสัญญาของภาครัฐ
ทนายจำเลยถามว่า การใช้เพกาซัสสปายแวร์โดยได้รับอนุญาตจากศาลให้ใช้ในการสอดแนมอาชญากรพยานมีความคิดเห็นว่าอย่างไร ผศ.ดร.ปริยกรตอบว่า เพกาซัสสปายแวร์เป็นสปายแวร์ ที่ถูกใช้งานโดยภาครัฐ ซึ่งเป็นส่วนหนึ่งของอาชญากรรมทางไซเบอร์หรือการโจมตีทางไซเบอร์ แม้ศาลจะอนุญาตให้ใช้ก็ยังถือว่าเป็นสปายแวร์ ทนายจำเลยถามว่าหน่วยงานรัฐไทยควรมีสปายแวร์หรือไม่ ผศ.ดร.ปริยกรตอบว่า มีลูกศิษย์ที่ทำงานในด้านข่าวกรองซึ่งใช้ความรู้ที่สอนไปช่วยในการทำงานในหน่วยงานดังกล่าว เช่น การปราบปรามยาเสพติด การที่จะรู้ว่าสายส่งจากจุด A ไปจุด B รู้ตำแหน่งที่ตั้งได้ จะต้องใช้สปายแวร์ในการติดตาม ถ้าใช้ติดตามอาชญากรทั่วไปเพื่อปกป้องความปลอดภัยของประชาชนก็ถือว่าเป็นประโยชน์ ซึ่งคล้ายกับการติดตั้งกล้องวงจรปิดก็เป็นการรักษาความปลอดภัยในการดำรงชีวิต แต่ถ้าประชาชนทั่วไปโดนสอดแนมทั้งที่ไม่ใช่อาชญากร รู้สึกว่าดูน่ากลัว
ทนายจำเลยถามว่า ถ้ามีบุคคลหนึ่งเป็นอาชญากรจะเป็นประโยชน์ต่อหน่วยงานรัฐในการใช้สปายแวร์การสอดแนมบุคคลนั้นหรือไม่ ผศ.ดร.ปริยกรตอบว่า จะต้องไม่มีคำว่า “ถ้า” จะต้องชัดเจนว่ามีหมายศาลก่อนหรือมีหลักฐานว่าบุคคลเหล่านี้เป็นอาชญากร ซึ่งจะต้องมีหลักฐานมาระยะหนึ่งแล้ว เพราะบุคคลเป็นผู้บริสุทธิ์ก่อนที่จะถูกกล่าวหา ถ้าไม่เช่นนั้นแล้วยังถือว่า เป็นการรุกล้ำสิทธิส่วนบุคคล
แผนผังการทำงานของเพกาซัสต้องส่งข้อมูลผ่านระบบคลาวด์ของผู้ผลิต
ใบกระตุก ครุภัณฑ์ นอกมาตรฐาน โครงการจัดหาระบบรวบรวมและประมวลข่าวกรองขั้นสูง บช.ปส.
ตามเอกสารที่ส่งศาลแพ่งในหมาย จ.24
ทนายโจทก์ขอให้พยานดูภาพจากเอกสารที่กองบัญชาการปราบปรามยาเสพติด (บช.ปส.) ยื่นเสนอขออนุมัติงบประมาณ และขอให้อธิบายภาพโครงสร้างนี้ ผศ.ดร.ปริยกร อธิบายว่า ภาพนี้เป็นการเชื่อมโยงข้อมูลและติดตั้งระบบเก็บข้อมูลผ่านคอมพิวเตอร์และอินเตอร์เน็ต ซึ่งเป็นโครงสร้างการติดตั้งซอฟต์แวร์ที่เซิร์ฟเวอร์แล้วเก็บข้อมูลไปที่ระบบคลาวด์ (cloud) ของผู้พัฒนาซอฟต์แวร์ โดยเชื่อมโยงไปหาเป้าหมายผ่านระบบอินเตอร์เน็ต
ทั้งหมดเป็นแพลตฟอร์มที่ไม่สามารถแยกออกจากกันได้ มีความเชื่อมโยงกันทั้งหมดทุกอย่างผ่านระบบอินเตอร์เน็ต และมีระบบไฟร์วอลล์ (firewall) ป้องการการตรวจจับและการเข้าถึงโดยลูกข่ายได้ มีการสำรองไฟของอุปกรณ์เพื่อให้ระบบนี้ทำงานได้ 24 ชั่วโมง 7 วัน แผนผังนี้มีผู้ใช้แยกย่อย ทำงานแยกซึ่งเชื่อมต่อกันตลอดเวลา แม้จะอยู่ที่ไหนบนโลกนี้ก็สามารถเชื่อมโยงกันได้ตลอดเวลาผ่านระบบคลาวด์ (cloud) ทั้งหมดนี้เป็นแผนผังที่เรียกว่า แพลตฟอร์มในฐานะบริการ (Platform-as-a-Service, PaaS)
Pegasus High Level Architecture
ทนายโจทก์ให้ผศ.ดร.ปริยกรดูแผนผังที่ปรากฎในเอกสารแสดงวิธีการทำงานของสปายแวร์ของเพกาซัสและเทียบว่ามีความเหมือนหรือต่างกับแผนผังที่ให้ผศ.ดร.ปริยกรอธิบายไปข้างต้นอย่างไร ผศ.ดร.ปริยกรอธิบายว่า เป็นโครงสร้างแผนผังที่เหมือนกัน มีการเชื่อมโยงระหว่างระบบคลาวด์ (cloud) ของผู้พัฒนาซอฟต์แวร์บนระบบอินเตอร์เน็ต แล้วผ่าน Pegasus Installation Server พุ่งผ่านสายลับ (agent) และเข้าสู่เป้าหมาย
ทนายจำเลยถามว่า ในเอกสารใบกระตุกครุภัณฑ์ ของบช.ปส. ที่เสนอของบประมาณ มีการระบุข้อความหรือไม่ว่าเป็นสปายแวร์เพกาซัส ผศ.ดร.ปริยกรตอบว่า ตามหลักการจัดซื้อจัดจ้างของหน่วยงานราชการไทย เอกสารดังกล่าวไม่สามารถระบุยี่ห้อได้ว่าจะซื้อยี่ห้อใด มิฉะนั้นจะเป็นการจัดซื้อจัดจ้างโดยเฉพาะเจาะจง การซื้อซอฟต์แวร์จะไม่ได้ระบุชื่อ Software แต่จะเป็นการวางแผนผัง ซึ่งระบบโครงสร้างแทบจะ “ก็อปปี้” มาจากเอกสารของบริษัทที่ผลิตเพกาซัส
ผลการตรวจเพกาซัสของ Citizen Lab เชื่อถือได้ตามหลักวิชาการ
ผศ.ดร.ปริยกรอธิบายว่า แม้ว่าวิธีการตรวจหาสปายแวร์เพกาซัสจะทำได้ยาก แต่ก็สามารถทำได้ หากผู้เชี่ยวชาญในด้านนี้ให้ความร่วมมือและมีข้อมูลซึ่งเป็นข้อมูลของผู้ที่ถูกโจมตีก็จะทำให้เราสามารถตรวจสอบจากร่องรอยข้อมูล (indicator of compromise) นั้นได้ เนื่องจากเวลาที่สปายแวร์เพกาซัสโจมตีโดยส่งคำสั่งไปยังอุปกรณ์ของเป้าหมายให้ทำสำเนาข้อมูลแล้วส่งไปยังผู้ใช้งานโปรแกรม จะสามารถตรวจสอบบันทึกข้อมูลการติดต่อสื่อสารของระบบคอมพิวเตอร์และอุปกรณ์ (Log File) ที่เก็บไว้ในเซิร์ฟเวอร์ได้ ซึ่งเมื่อตรวจแล้วจะพบเลขที่อยู่ไอพี (IP Address) ที่ผิดปกติซึ่งเป็นโครงสร้างของสปายแวร์เพกาซัส
ทนายจำเลยถามว่าทำไมพยานถึงเชื่อถือ เอกสารผลตรวจของไผ่-จตุภัทร์ โจทก์ในคดีนี้ที่ดำเนินการตรวจโดยซิติเซ่นแล็บ ผศ.ดร.ปริยกรตอบว่า ในความเป็นนักวิชาการจะมีธรรมาภิบาล เช่น เวลาเจอแคดเมียมหรือไซยาไนด์ก็จะนำไปให้มหาวิทยาลัยเกษตรศาสตร์ตรวจสอบ เพราะเราเชื่อในหลักวิชาการ ผลรายงาน Computer Forensic Analysis เป็นมาตรฐานเดียวกันในวงการคอมพิวเตอร์จึงทำให้ผลการตรวจของซิติเซ่นแล็บได้รับความน่าเชื่อถือเพราะมีการใช้โปรโตคอลในการวิเคราะห์ผลและมีการเทียบกับหลายกรณี
ผศ.ดร.ปริยกร เบิกความเพิ่มเติมส่วนนี้ในคำเบิกความที่ส่งต่อศาลแพ่งว่า ในช่วงเวลาที่มีการตรวจพบว่ามีการใช้สปายแวร์เพกาซัสกับพลเมืองไทยอย่างน้อย 35 คน ในช่วงปี 2563 – 2564 ซึ่งเป็นช่วงเดียวกับที่มีการชุมนุมและเคลื่อนไหวทางการเมืองในประเทศไทย ทราบว่ามีองค์กรชื่อซิติเซ่นแล็บ ซึ่งเป็นองค์กรที่ทำงานด้านสิทธิทางดิจิทัลและการวิจัยแลพัฒนานโยบายและการมีส่วนร่วมทางกฎหมายเกี่ยวกับเทคโนโลยี การสื่อสาร สิทธิมนุษยชน และความมั่นคงระดับโลกของ Munk School of Global Affairs and Public Policy ที่อยู่ในมหาวิทยาลัยโตรอนโต ประเทศแคนาดา ซึ่งเป็นมหาวิทยาลัยชั้นนำในด้านวิทยาศาสตร์คอมพิวเตอร์ เป็นที่รู้จักกว้างขวางทั่วโลกและมีงานวิจัยอย่างมีจริยธรรมที่เป็นกลาง ผลการค้นพบทางวิทยาศาสตร์ของซิติเซ่นแล็บถูกกล่าวถึงและอ้างอิงในงานวิชาการและสื่อมวลชนเป็นประจำ
ผศ.ดร.ปริยกร อธิบายเพิ่มว่า ห้องแล็บในประเทศไทยไม่สามารถวิเคราะห์หรือมีอุปกรณ์ในการตรวจสอบได้ บริษัทส่วนใหญ่ เช่น Google หรือ Apple มีแผนกความปลอดภัยซึ่งเป็นความลับ ซึ่งผลตรวจของซิติเซ่นแล็บ (Citizen Lab) มีการใช้โปรโตคอลในการตรวจสอบ โดยมีองค์ความรู้ที่เราใช้ในการตรวจสอบที่เรียกว่าวิศวกรรมย้อนกลับ ไม่ว่าจะเป็นหมอหรือวิศวกรก็จะใช้วิศวกรรมย้อนกลับว่ากระบวนการทำงานอย่างไรก็จะเข้าใจได้ว่าการตรวจสอบน่าเชื่อถือแค่ไหน
ทนายจำเลยถามว่าเอกสารผลตรวจของจตุภัทร์ โจทก์ในคดีนี้ที่ดำเนินการตรวจโดยซิติเซ่นแล็บ ถูกต้อง 100% หรือไม่ ผศ.ดร.ปริยกรตอบว่า ถูกต้อง 100% เป็นไปไม่ได้ แต่จะมี P Value หรือความน่าจะเป็น (probability) ของความน่าเชื่อถือซึ่งในวงวิชาการรู้อยู่แล้วว่ายอมรับได้ในข้อมูลสถิติพื้นฐาน (acceptance rate) ซึ่งอัตราการยอมรับสามารถคำนวณได้จากธรรมาภิบาลพิจารณาประกอบกับแหล่งความรู้อีก 2-3 แหล่งและความน่าเชื่อถือของวงวิชาการเมื่อเปรียบเทียบกับเอกสารอื่นๆ
ทนายจำเลยถามว่ากระบวนการตามเอกสารผลตรวจของโจทก์ในคดีนี้ที่ดำเนินการตรวจโดยซิติเซ่นแล็บ (Citizen Lab) ทำอย่างไร ผศ.ดร.ปริยกรอธิบายว่า เป็นกระบวนการวิเคราะห์โดยใช้ข้อมูลที่เรียกว่า Artifact หรือวัตถุพยาน โดยจะเอาวัตถุพยานไปวิเคราะห์ ซึ่งในกรณีนี้คือข้อมูลจากผู้ที่ถูกโจมตี
ทนายจำเลยได้ถามปริยกรถึงเครื่องมือที่เรียกว่า “MVT” ว่าใช้ในการตรวจสอบเพกาซัส ใช่หรือไม่ ผศ.ดร.ปริยกรอธิบายว่า MVT เป็นคำทั่วไปซึ่งย่อมาจาก Mobile Verification Toolkits เป็นชุดตรวจสอบสำหรับการถูกโจมตีด้วยสปายแวร์ ซึ่งเป็นขั้นตอนทั่วไปของการทำ Forensic Analysis
ทนายจำเลยถามว่า ผศ.ดร.ปริยกรเคยใช้หรือไม่ และ แอมเนสตี้ อินเตอร์เนชันแนล (Amnesty International) เป็นผู้ผลิต MVT ใช่หรือไม่ ปริยกรยืนยันว่า MVT ไม่ใช่ซอฟต์แวร์ แต่เป็นขั้นตอนการตรวจสอบ ส่วนว่าผู้ผลิต MVT คือ แอมเนสตี้ อินเตอร์เนชันแนล (Amnesty International) หรือไม่ ไม่ทราบ แต่ MVT เป็นขั้นตอนในการตรวจสอบมาตรฐานที่ทุกคนต้องใช้
ทนายจำเลยถามว่ารู้จัก Mobile Phone Dump หรือไม่ ผศ.ดร.ปริยกรอธิบายว่าเป็นการทำสำเนาข้อมูลทุกอย่างในอุปกรณ์เพื่อยกออกมาไว้ข้างนอก เพื่อตรวจสอบหาไฟล์ Stix Format ซึ่งคือรูปแบบของไฟล์ชนิดหนึ่ง สปายแวร์ทุกอันจะมีชื่อไฟล์ที่เป็นรูปแบบของสปายแวร์ตัวนั้น เรียกอีกชื่อหนึ่งว่า IOC หรือ indicator of compromise อธิบายอย่างง่าย คือ เป็นไฟล์บ่งชี้ว่ามีความผิดปกติไปจากรูปแบบเดิมหรือไม่ เมื่อวิเคราะห์แล้วเจอความผิดปกติก็จะทำให้สงสัยได้ว่าถูกฝังสปายแวร์ไว้
ทนายจำเลยถามว่า แอมเนสตี้ อินเตอร์เนชันแนล (Amnesty International) และซิติเซ่นแล็บ (Citizen Lab) จะมีการตรวจสอบซึ่งกันและกันใช่หรือไม่ ปริยกรตอบว่าไม่ได้เป็นสมาชิกของซิติเซ่นแล็บ (Citizen Lab) จึงไม่สามารถยืนยันได้ แต่ถ้าถามเรื่อง Peer Review หรือการทบทวนโดยผู้เชี่ยวชาญ เอกสารที่เป็นสาธารณะจะถูกอ้างอิงโดยนักวิชาการจะต้องมีการตรวจสอบในเชิงวิชาการเป็นปกติ หากตนเขียนเอกสารวิจัยก็ต้องมีการตรวจสอบโดยผู้เชี่ยวชาญอีกครั้งหนึ่งหากไม่มีการตรวจสอบก็จะไม่น่าเชื่อถือ
คนธรรมดาปลอมแปลงผลตรวจเพกาซัสไม่ได้
ทนายโจทก์ถามว่า การปลอมแปลงหลักฐานว่ามือถือถูกเจาะระบบด้วยเพกาซัสสปายแวร์สามารถทำได้หรือไม่ ผศ.ดร.ปริยกรอธิบายว่า การปลอมแปลงผลจะต้องปลอมแปลงค่าติดตั้งตามแผนผังดังกล่าว ดังนั้น ผู้ที่คิดที่จะปลอมแปลงต้องเป็นผู้ผลิตสปายแวร์เท่านั้น ซึ่งจะต้องใช้ทั้งความสามารถและเงินลงทุนเป็นอย่างมาก ต้องมีอุปกรณ์ติดตั้งเพื่อทดสอบการเขียนโปรแกรม บุคคลทั่วไปจะปลอมแปลงข้อมูลนั้นไม่น่าจะเป็นไปได้ ยกตัวอย่าง บริษัท แอปเปิล ซัมซุง แอนดรอยด์ หรือกูเกิ้ล มีระบบป้องกันความปลอดภัยการเข้าถึงระบบปฏิบัติการของบริษัท ซึ่งจะถูกติดตั้งไว้ในอุปกรณ์ของลูกค้าอยู่แล้ว เพราะฉะนั้นลูกค้าทั่วไปจะถูกบล็อกตั้งแต่ขั้นตอนแรกเลย
ผศ.ดร. ปริยกรเบิกความทิ้งท้ายในเอกสารที่ส่งต่อศาลแพ่งว่า การที่สปายแวร์เพกาซัสสามารถเจาะระบบและข้อมูลส่วนบุคคล รวมถึงควบคุมการทำงานของโทรศัพท์ได้อย่างกว้างขวาง ไม่มีขอบเขตและไม่จำกัดเวลา เป็นการใช้สปายแวร์ละเมิดสิทธิความเป็นส่วนตัวของบุคคล และผู้ถูกโจมตีไม่สามารถรู้ตัว ป้องกัน หรือแก้ไขได้ ดังนั้นเมื่อใครก็ตามถูกโจมตีจะถือได้ว่าเสียสิทธิความเป็นส่วนตัวไปอย่างสิ้นเชิง สปายแวร์ชนิดนี้เปรียบได้กับอาวุธสงครามที่สร้างมาเพื่อสู้รบหาข้อมูลของศัตรูในสถานการณ์ที่ไม่มีการคุ้มครองสิทธิหลงเหลือแล้ว สปายแวร์เพากซัสไม่ได้ออกแบบมาเพื่อใช้กับประชาชนคนธรรมดาและหากถูกใช้กับประชาชนที่ไม่ได้เป็นผู้ก่อการร้ายก็เป็นการใช้ทางที่ผิด ทำให้สิทธิส่วนบุคคลได้รับความเสียหายอย่างไม่อาจเยียวยาได้