ผลตรวจสปายแวร์เพกาซัสอาจถูกปลอมได้ : ข้อต่อสู้จากพยานผู้เชี่ยวชาญของ NSO

6 กันยายน 2567 เวลา 09.30 น. ศาลแพ่งรัชดา นัดสืบพยานจำเลยในคดีที่ไผ่-จตุภัทร์ บุญภัทรรักษาเป็นโจทก์ยื่นฟ้องจำเลย บริษัท เอ็นเอสโอ กรุ๊ป (NSO) สัญชาติอิสราเอลที่เป็นผู้ผลิต ผู้จำหน่ายและพัฒนาสปายแวร์เพกาซัส ฐานละเมิดสิทธิส่วนบุคคลจากการใช้เทคโนโลยีขโมยข้อมูลในโทรศัพท์มือถือ โดยเรียกค่าเสียหาย 2,500,000 บาทและขอให้ศาลสั่ง NSO ให้หยุดใช้สปายแวร์เพกาซัสละเมิดความเป็นส่วนตัวของพลเมืองไทย

นัดนี้เดิมเป็นนัดการสืบพยานฝ่ายโจทก์ แต่ฝ่ายโจทก์นำพยานเข้าสืบครบทุกปากแล้ว ฝ่ายจำเลย คือ NSO จึงขอนำพยานเข้าสืบในนัดนี้ ซึ่งการต่อสู้คดีของจำเลยตั้งใจจะนำพยานผู้เชี่ยวชาญทางเทคนิคคอมพิวเตอร์มาเบิกความต่อศาลแพ่ง เพื่อพยายามทำลายน้ำหนักหลักฐานโจทก์ที่ได้รับผลการตรวจพิสูจน์ทางนิติวิทยาศาสตร์มาว่า โทรศัพทย์มือถือของโจทก์ถูกเจาะระบบโดยสปายแวร์เพกาซัสสามครั้ง โดยพยานพยายามจะอธิบายว่า ผลตรวจดังกล่าวไม่ใช่น่าเชื่อถือและอาจปลอมแปลงได้

พยานปากนี้ คือ ยูวัล เอลโลวิช หัวหน้าศูนย์วิจัยความปลอดภัยไซเบอร์ มหาวิทยาลัยเบนกูเรียน แรกเริ่ม NSO จะขอสืบพยานปากนี้ผ่านทางระบบออนไลน์ แต่ศาลไม่อนุญาต โดยให้เหตุผลว่า พยานปากนี้อยู่ในประเทศเยอรมนีซึ่งศาลไม่อาจใช้อำนาจในดินแดนของรัฐอื่น หากจำเลยต้องการสืบพยานปากนี้ ต้องให้พยานเดินทางมาเบิกความต่อศาลด้วยตนเอง NSO จึงขอให้พยานเดินทางมาที่ศาลแพ่งของประเทศไทยเพื่อเบิกความในวันที่ 6 กันยายน 2567 ด้วยตัวเอง

พยานเบิกความโดยอ่านตามเอกสารที่ไม่ยอมส่งล่วงหน้าตามกฎหมาย

ยูวัลเดินทางมาถึงประเทศไทยและเข้าเบิกความต่อศาลแพ่ง โดยไม่ส่งคำเบิกความล่วงหน้าเป็นเอกสารให้ศาลและคู่ความตามกำหนดเวลา แต่ทนายความของจำเลยเพิ่งส่งไฟล์เอกสารให้โจทก์ในคืนก่อนวันสืบพยาน โจทก์จึงคัดค้านบันทึกคำให้การฉบับดังกล่าว ทำให้ยูวัลต้องตอบคำซักถามของทนายความโจทก์-จำเลย ตั้งแต่แรก

ยูวัลซึ่งเป็นชาวอิสราเอลเบิกความเป็นภาษาอังกฤษ กล่าวว่า เขาเป็นทหารระดับพลตรี ขณะเดียวกันก็ศึกษาปริญญาเอกด้านระบบสารสนเทศและเข้าทำงานในมหาวิทยาลัยเบนกูเรียน เริ่มแรกร่วมมือกับบริษัทในประเทศเยอรมนี ต่อมาก่อตั้งศูนย์วิจัยความปลอดภัยไซเบอร์แห่งมหาวิทยาลัยเบนกูเรียน สอนวิชาความปลอดภัยสารสนเทศและการเข้ารหัสประยุกต์สำหรับปริญญาโท หนึ่งในที่ปรึกษาของ NSO ติดต่อให้มาเป็นพยานและรับผิดชอบค่าเดินทางให้

ยูวัลให้การในช่วงต้นโดยอ่านตามบันทึกคำให้การฉบับที่ถูกคัดค้าน ก่อนถูกศาลตักเตือนว่าห้ามอ่าน อย่างไรก็ตาม ทนายความจำเลยขออนุญาตเปิดสไลด์เป็นไฟล์ Power Point ขึ้นบนจอโทรทัศน์ในห้องพิจารณาคดีที่เป็นไฟล์ภาษาไทยที่จำเลยแปลมาจากต้นฉบับภาษาอังกฤษ โดยจอโทรทัศน์ดังกล่าวหันมาทางยูวัลและทนายความโจทก์ ไม่ได้หันให้ศาลดูประกอบ ทนายจำเลยยังส่งสำเนาไฟล์ดังกล่าวเป็นหลักฐานประกอบการเบิกความ และยูวัลก็ยังให้การโดยอ่านตามเนื้อหาในสไลด์สีขาว-ดำฉบับภาษาอังกฤษ ที่มีแต่ตัวอักษรเท่านั้น

ประเด็นที่ยูวัลนำเสนอผ่านสไลด์ คือ เป็นเรื่องยากที่จะระบุได้ 100% ว่าผู้โจมตีทางไซเบอร์เป็นใคร เหตุผลหลัก คือ ผู้โจมตีย่อมใช้เทคนิคซับซ้อนเพื่อซ่อนตัว โดยเลียนแบบรูปแบบการโจมตีของประเทศอื่น เพื่อทำให้ผู้สืบสวนเข้าใจผิด ผู้โจมตีอาจใช้ช่องโหว่ของซอฟต์แวร์ที่สามารถใช้ประโยชน์ได้ (exploit) เข้าสู่ระบบเป้าหมายโดยไม่ได้รับอนุญาตจากทางไกล โดยไม่มีใครรู้ 

โทรศัพท์มือถือของโจทก์นั้นอ้างว่า ถูกสปายแวร์เพกาซัสโจมตีระหว่างเดือนมิถุนายน-กรกฎาคม 2564 ยูวัลอ่านตามสไลด์ต่อว่า ความท้าทาย คือ ผู้โจมตีอาจใช้วิธีการที่มีการวางแผนโดยจงใจฝังเครื่องมือในระบบของเป้าหมาย เพื่อทำให้เข้าใจว่าที่มาของการโจมตีเป็นคนอื่น เปรียบเหมือนกับโจรเข้าบ้านแล้วทิ้งแก้วที่มีลายนิ้วมือของคนอื่นไว้ในบ้าน ถ้าผู้โจมตีเข้าสู่ระบบได้ ก็สามารถเปลี่ยนแปลงข้อมูลทุกอย่างในระบบ รวมถึงตราประทับเวลา และหลักฐานอื่นๆ รวมถึงตัวจดบันทึก (log) ที่อยู่ในระบบเป้าหมาย

หาข้อมูลไม่ได้ จึงเชื่อว่าโจทก์ใช้โปรแกรม MVT ตรวจสอบ

ยูวัลนำเสนอผ่านสไลด์อีกว่า จากหลักฐานที่โจทก์ส่งมาประกอบการฟ้องคดีนี้ ไม่พบรายละเอียดวิธีการวิเคราะห์ของซิติเซ่นแล็บ (Citizen Lab) องค์กรที่ตรวจสอบและรับรองว่ามือถือของโจทก์ถูกโจมตีโดยสปายแวร์เพกาซัส หรือการวิเคราะห์ขององค์กรอื่น เท่าที่พยานทราบ มีหลักฐานเดียว คือ โปรแกรม MVT ที่พัฒนาโดยแอมเนสตี้ อินเตอร์เนชั่นแนล (Amnesty International) พยานไม่ทราบว่ามือถือของโจทก์ถูกตรวจสอบอย่างไร แต่พยานอาศัยข้อมูลที่เปิดเผยบนเว็บไซต์เกี่ยวกับโปรแกรม MVT ของแอมเนสตี้เทค (Amnesty Tech) ยูวัลระบุว่า นี่เป็นเครื่องมือเดียวที่เขาตรวจสอบได้

อย่างไรก็ตาม ในเอกสารแนบท้ายคำฟ้องของโจทก์ มีทั้งเอกสารรับรองการว่ามือถือของจตุภัทร์ บุญภัทรรักษา ถูกสปายแวร์เพกาซัสเจาะระบบ ที่รับรองโดย Citizen Lab แห่งมหาวิทยาลัยโทรอนโต รายงาน GeckoSpy: Pegasus Spyware Used against Thailand’s Pro-Democracy Movement และรายงานปรสิตติดโทรศัพท์: รายงานข้อค้นพบการใช้เพกาซัสสปายแวร์ในประเทศไทย  รวมถึงมีพยานโจทก์ 2 คน คือ วรัญญุตา ยันอินทร์ และสุธาวรรณ ชั้นประเสริฐ ที่มาอธิบายวิธีการเก็บหลักฐานทางดิจิทัลและขั้นตอนการตรวจสอบ โดยระบุว่า Citizen Lab มีเครื่องมือตรวจสอบของตนเองที่ไม่ใช่ MVT ส่วน MVT เป็นเพียงเครื่องมือที่ใช้ทบทวนความถูกต้องของผลการตรวจสอบ (peer review) ก่อนที่ยูวัลจะมาให้การต่อศาล

ทนายโจทก์ได้ถามค้านยูวัลว่า ก่อนมาเบิกความนั้นทนายความของ NSO ได้ส่งเอกสารหลักฐานให้อ่านแล้วหรือไม่ ยูวัลรับว่า ได้อ่านคำฟ้องและเอกสารท้ายคำฟ้องแล้ว แต่ยูวัลไม่ได้บอกว่า ได้อ่านหรือได้ทราบวิธีการตรวจสอบในคดีนี้ตามคำเบิกความของพยานโจทก์แล้วหรือไม่

ยูวัลอธิบายว่า โปรแกรม MVT นั้นออกแบบมาเพื่อให้ใครก็ได้ทดสอบว่า โทรศัพท์มือถือของตัวเองถูกโจมตีหรือไม่ โดยเผยแพร่โค้ดในเว็บไซต์ github.com ที่ใครก็สามารถดาวน์โหลดและนำมาใช้วิเคราะห์มือถือของตนว่าถูกโจมตีหรือไม่ โดยใช้ตัวบ่งชี้ช่องโหว่ หรือ Indicator of Compromise (IOC) ยูวัลเปรียบเทียบโดยย้ำหลายครั้งว่า โปรแกรม MVT เปรียบเหมือนเครื่องทดสอบการตั้งครรภ์ ที่แสดงผลให้ทราบว่ามีการตั้งครรภ์ แต่ไม่อาจทราบว่าใครเป็นพ่อเด็ก

ยูวัลอธิบายต่อว่า สปายแวร์เพกาซัสขายให้รัฐบาลเท่านั้น ขณะที่โปรแกรม MVT อาจถูกใช้โดยอาชญากร หรือคนใคร่เด็ก เพื่อตรวจสอบว่าถูกตำรวจติดตามหรือไม่ ขั้นตอนการใช้ MVT ตามที่พยานเข้าใจต้องดึงข้อมูลโทรศัพท์มือถือออกมาให้โปรแกรม MVT ตรวจสอบไฟล์ STIX format ที่มี IOC เป็นหลักฐานทางนิติวิทยาศาสตร์

เชื่อว่าผลตรวจปลอมได้ NSO อาจถูกใส่ร้าย

พยานผู้เชี่ยวชาญของ NSO ระบุว่า การตรวจสอบโทรศัพท์มือถือของโจทก์มีปัญหา เพราะในรายงาน HIDE AND SEEK: Tracking NSO Group’s Pegasus Spyware to Operations in 45 Countries ของซิติเซ่นแล็บที่โจทก์ยื่นมาเป็นเอกสารแนบท้ายคำฟ้อง เขียนไว้ในตอนท้ายว่า มีใครบางคนสามารถส่งลิ้งก์ที่มีสปายแวร์เพกาซัสไปให้บุคคลอื่น เมื่อบุคคลอื่นเปิดลิ้งก์ทำให้ติดเชื้อ (infected) ได้ ยูวัลกล่าวว่า ถ้าเป็นเขาจะไม่เขียนสรุปแบบนี้ เพราะแสดงให้เห็นว่า ง่ายมากที่จะปลอมหรือทำให้เข้าใจว่าถูกโจมตีโดยสปายแวร์เพกาซัส

ยูวัลอธิบายว่า เขาให้วิศวกรของเขาลองใช้โปรแกรม MVT ที่มี IOC บ่งชี้ว่ามือถือเครื่องนั้นมีสปายแวร์เพกาซัสหรือไม่ โดยนำไอโฟน 14 มาใส่ IOC ที่เกี่ยวกับสปายแวร์เพกาซัส แม้มือถือเครื่องดังกล่าวไม่ได้ infected โดยสปายแวร์เพกาซัสจริง แต่เมื่อนำมาวิเคราะห์โดย MVT ผลกลับออกมาว่าถูกโจมตีโดยสปายแวร์เพกาซัส ซึ่งขั้นตอนการทดลองนี้ยูวัลทำเป็นเอกสารมาเสนอต่อศาลแพ่งด้วย (ปรากฎตามไฟล์แนบ)

ยูวัลชี้ว่า เป็นการง่ายมากที่จะปลอมแหล่งที่มาโดยดูไฟล์ IOC และกล่าวโทษคนอื่น ทั้งยังระบุว่า โจทก์ขาดพยานหลักฐาน ตามรายงานและคำฟ้องไม่มีหลักฐานใดที่ระบุถึงการวิเคราะห์ในรายละเอียดว่าพบอะไรในโทรศัพท์มือถือของโจทก์ รวมถึงไม่ได้ยื่น log พยานจึงไม่ทราบว่า ซิติเซ่นแล็บวิเคราะห์ข้อมูลจากอะไร  ไม่สามารถตรวจสอบความถูกต้องได้

อย่างไรก็ตาม ยูวัลยอมรับในการตอบคำถามค้านทนายความโจทก์ว่า ไม่เคยติดต่อสอบถามไปยังซิติเซ่นแล็บและ Amnesty International เพื่อสอบถามว่า ใช้โปรแกรมอะไรในการตรวจสอบ มี IOC อย่างไร และอธิบายว่าโปรแกรมนั้นไม่น่าเชื่อถืออย่างไร โดยให้เหตุผลว่า เพราะองค์กรเหล่านี้ปกปิดวิธีการตรวจสอบ แต่ยูวัลกลับสันนิษฐาน (assume) ไปว่าทุกองค์กรใช้โปรแกรม MVT เหมือนกันที่ใช้ IOC ร่วมกัน

ยูวัลยังยอมรับว่า เพกาซัสถูกออกแบบมาไม่ให้ผู้ก่อการร้ายตรวจจับได้ว่ากำลังถูกติดตาม ถ้าองค์กรที่ตรวจสอบการโจมตี เช่น ซิติเซ่นแล็บหรือ Amnesty International เปิดเผย log หรือ IOC ทั้งหมด ผู้ผลิตสปายแวร์หรือ NSO ก็สามารถนำข้อมูลไปพัฒนาเพื่อทำให้ตรวจสอบพบการใช้งานสปายแวร์เพกาซัสได้ยากขึ้น และยูวัลเห็นว่า แม้จะไม่เปิดเผย log หรือ IOC แต่แค่มีคนออกมาบอกว่าถูกสปายแวร์เพกาซัสเจาะระบบ NSO ก็คงไปปรับปรุงผลิตภัณฑ์ของตนเองแล้ว

ส่วนโปรแกรม MVT ที่ยูวัลนำมาให้วิศวกรใช้ทำการทดลองนั้นเป็นเวอร์ชั่นปี 2021 และยอมรับในการตอบคำถามค้านบางช่วงว่า Amnesty International อัปเดต IOC บนหน้าเว็บไซต์อย่างต่อเนื่อง

สร้างข้อสงสัยว่าอาจมีคนอื่นปลอมตัวเป็นสปายแวร์เพกาซัส

ยูวัลยังยื่นบทความ State-backed attackers and commercial surveillance vendors repeatedly use the same exploits เป็นหลักฐานต่อศาลเพิ่มเติมประกอบคำให้การ ซึ่งอธิบายว่ากูเกิ้ลตรวจสอบพบการโจมตีเว็บไซต์ของรัฐบาลมองโกเลียในรูปแบบ watering hole ในปี 2566-2567 ที่ใช้การโจมตีด้วยรูปแบบที่คล้าย (similar) กับรูปแบบที่ NSO เคยใช้ ซึ่งบทความนี้เผยแพร่ก่อนการสืบพยานเพียงหนึ่งสัปดาห์ เพื่อพยายามชี้ให้เห็นว่า มีสปายแวร์ชนิดอื่นๆ ที่ใช้วิธีการโจมตีระบบแบบ zero day exploit ไม่ได้มีเพียง NSO เท่านั้นที่รู้จักช่องโหว่นี้ แต่ผู้โจมตีรายอื่นก็อาจรู้วิธีและนำไปโจมตีคนอื่นได้เช่นกัน โดยผู้โจมตีจะสามารถโจมตีได้จนกว่าที่ผู้พัฒนาจะสามารถค้นพบและปิดช่องโหว่ที่ใช้โจมตีได้

ในขณะเดียวกัน ยูวัลก็ยอมรับในการตอบคำถามค้านทนายความว่า คนทั่วไปที่ไม่ได้มีพื้นฐานคอมพิวเตอร์ ไม่สามารถปลอมแปลงผลการตรวจเหมือนอย่างที่พยานทำการทดลอง ต้องเป็นคนในวงการผู้ผลิตซอฟต์แวร์จึงจะสามารถทำได้

ยูวัลเองยอมรับว่า ไม่เคยทำงานตรวจสอบมือถือ ไม่เคยตรวจสอบสปายแวร์ในมือถือ ไม่เคยตรวจสอบมือถือที่ถูกสปายแวร์เพกาซัสโจมตี และไม่เคยพบมือถือที่มีการปลอมแปลงผลตรวจให้เข้าใจว่าถูกสปายแวร์เพกาซัสโจมตี ตามที่ได้นำเสนอต่อศาล

สำหรับโทรศัพท์มือถือของโจทก์ในคดีนี้ ยูวัลไม่เคยเข้าถึงและไม่เคยตรวจสอบ เพราะโจทก์ไม่ได้ยื่นเป็นหลักฐานในชั้นศาล ทำให้ยูวัลก็ไม่ทราบว่า โจทก์ใช้โทรศัพท์ไอโฟนรุ่นใด และไม่ทราบว่า โทรศัพท์ของโจทก์จะเป็นรุ่นไอโฟน 14 เหมือนกับเครื่องที่วิศวกรใช้ทำการทดลองหรือไม่

พยานไม่เคยเขียนงานวิชาการโต้แย้งการทำงานของ MVT มาก่อน และตอบไม่ได้ว่าผลตรวจสอบโทรศัพท์มือถือที่ถูกสปายแวร์เพกาซัสโจมตีจริง กับผลตรวจเท็จแตกต่างกันอย่างไร พยานทำการทดลองขึ้นเพียงเพื่อแสดงให้เห็นว่า MVT เป็นเครื่องมือที่ถูกหลอกได้ง่ายเท่านั้น

ส่วนบทความที่ยูวัลเพิ่งยื่นเข้ามาเป็นหลักฐาน เขาตอบคำถามค้านยอมรับว่า อาจเป็นไปได้ที่ในเอกสารระบุวิธีโจมตีที่ชื่อว่า watering hole attack ซึ่งอาจจะเป็นวิธีการที่แตกต่างกับวิธีการที่ใช้เจาะระบบโทรศัพท์มือถือของโจทก์ และเมื่อทนายความจำเลยขอให้พยานช่วยอธิบายเกี่ยวกับ watering hole attack พยานกลับตอบว่าไม่มีอะไรอยากอธิบาย ทราบเพียงว่าเป็นช่องโหว่ประเภทหนึ่งที่ใช้โจทตีเว็บไซต์ แต่ไม่ทราบว่าทำไมจึงเรียกว่า watering hole

เพกาซัสไม่ใช่สปายแวร์แต่เป็นเครื่องมือตามกฎหมาย

เมื่อทนายความโจทก์ถามคำถามแรก ยูวัลยังไม่ตอบแต่ขออธิบายก่อนว่า เขาไม่เห็นด้วย (I am against) กับการใช้คำว่าสปายแวร์ เพราะผลิตภัณฑ์ของ NSO ไม่ใช่สปายแวร์ที่ใช้สอดแนม แต่เป็นเครื่องมือที่ใช้เพื่อช่วยเหลือหน่วยงานบังคับใช้กฎหมาย จับผู้ก่อการร้าย คนใคร่เด็ก (Pedophile) ที่ไม่สามารถจับกุมด้วยวิธีอื่นได้ และเมื่อได้ยินคำถามของทนายความโจทก์ที่ใช้คำว่า สปายแวร์เพกาซัส ยูวัลก็ยังย้ำในการตอบคำถามอีกอย่างน้อย 3 ครั้ง ว่า ไม่เห็นด้วยที่จะเรียกผลิตภัณฑ์ของ NSO ว่าสปายแวร์ แต่เป็นเครื่องมือรวบรวมข้อมูลโดยถูกต้องตามกฎหมายโดยหน่วยงานรัฐ โดยขอให้เรียกว่า ซอฟต์แวร์ ที่ผู้ขายไม่สามารถป้องกันการที่ผู้ซื้อจะเอาไปใช้ในทางที่ผิด เปรียบเหมือนการขายปืนที่เมื่อขายไปแล้วก็ป้องกันการยิงไม่ได้ 

ที่น่าสนใจ คือ หลังจากปริยกร ปุสวิโร พยานผู้เชี่ยวชาญคอมพิวเตอร์ของโจทก์ ให้การต่อศาลว่า เพกาซัสเป็นสปายแวร์ โดยดูจากลักษณะการทำงานที่เข้ามาฝังตัวในอุปกรณ์ระดับบุคคล และดึงข้อมูลออกไปโดยไม่ผ่านความยินยอม ขโมยข้อมูลส่วนตัว ตำแหน่งที่อยู่ ข้อมูลการติดต่อสื่อสาร ซึ่งเป็นการบุกรุกล้วงข้อมูลส่วนบุคคล พยานจำเลยทั้งสองคน คือยูวัล และชมูเอล ซันเรย์ ต่างพยายามปฏิเสธหลายครั้ง ตลอดการซักถามพยาน ว่าเพกาซัสไม่ใช่สปายแวร์ แต่เป็นเครื่องมือตามกฎหมาย แม้มีบางครั้งที่ระหว่างการพูดจะหลุดเรียกเพกาซัสว่า สปายแวร์บ้างก็ตาม

📍ร่วมรณรงค์

JOIN : ILAW CLUB

ช่องทางการติดตาม

FACEBOOK PAGE

วิดีโอแนะนำ