ICE ยืนยันการใช้สปายแวร์ Paragon Graphite สกัดกั้นการสื่อสารที่เข้ารหัส
หน่วยงานตรวจคนเข้าเมืองและศุลกากรสหรัฐฯ (ICE) ได้ยืนยันว่าได้ติดตั้งสปายแวร์เชิงพาณิชย์จาก Paragon Solutions เพื่อสกัดกั้นการสื่อสารที่เข้ารหัส ผู้อำนวยการ ICE นาย Todd Lyons เปิดเผยการใช้เครื่องมือ Graphite ของ Paragon โดยอธิบายว่าเป็นส่วนหนึ่งของความพยายามต่อต้านการก่อการร้ายและต่อต้านยาเสพติดของหน่วยงาน การยืนยันดังกล่าวถือเป็นหนึ่งในการยอมรับต่อสาธารณะที่ชัดเจนที่สุดโดยหน่วยงานของรัฐบาลกลางสหรัฐฯ ว่าได้ใช้สปายแวร์เชิงพาณิชย์ขั้นสูงในการเฝ้าติดตามการส่งข้อความที่เข้ารหัส
การเปิดเผยนี้ได้รับการวิพากษ์วิจารณ์อย่างรุนแรงจากสมาชิกสภาผู้แทนราษฎรพรรคเดโมแครต ซึ่งแสดงความกังวลเกี่ยวกับการขาดการกำกับดูแลจากรัฐสภาในแง่ของวิธีการที่เครื่องมือดังกล่าวถูกจัดหาและนำไปใช้
Paragon Graphite คืออะไร และทำงานอย่างไร?
Paragon Solutions คือบริษัทเทคโนโลยีการสอดแนมของอิสราเอลที่จำหน่ายผลิตภัณฑ์เฉพาะแก่ลูกค้าระดับรัฐบาลเท่านั้น สปายแวร์ Graphite ของบริษัทได้รับการออกแบบมาเพื่อเจาะระบบอุปกรณ์เป้าหมาย ทำให้ผู้ปฏิบัติการสามารถเข้าถึงการสื่อสารที่ปกติแล้วจะได้รับการป้องกันด้วยการเข้ารหัสแบบ end-to-end
นี่คือความแตกต่างทางเทคนิคที่สำคัญ Graphite ไม่ได้เจาะโปรโตคอลการเข้ารหัสโดยตรง แต่ทำงานในระดับอุปกรณ์ โดยเข้าถึงข้อความหลังจากที่ถูกถอดรหัสแล้วบนโทรศัพท์หรือคอมพิวเตอร์ของผู้รับหรือผู้ส่ง เมื่ออุปกรณ์ถูกเจาะระบบแล้ว สปายแวร์สามารถอ่านข้อความจากแอปอย่าง Signal, WhatsApp หรือ iMessage ในรูปแบบข้อความธรรมดาได้ เนื่องจากมันทำงานอยู่ภายในอุปกรณ์ที่ซึ่งการเข้ารหัสถูกใช้งานหรือถูกลบออกไปแล้ว
วิธีการนี้บางครั้งเรียกว่า "การโจมตีจุดสิ้นสุด" (endpoint attack) และได้รับการออกแบบมาโดยเฉพาะเพื่อหลีกเลี่ยงการรับประกันความปลอดภัยที่แอปส่งข้อความที่เข้ารหัสมอบให้ การเข้ารหัสนั้นยังคงสมบูรณ์ สิ่งที่เปลี่ยนแปลงคือผู้โจมตีได้รับสิทธิ์เข้าถึงอุปกรณ์ที่เก็บกุญแจถอดรหัสนั้น
ความกังวลด้านการกำกับดูแลและการตอบสนองของรัฐสภา
การยืนยันดังกล่าวได้จุดประกายการถกเถียงในวงกว้างอีกครั้งเกี่ยวกับวิธีที่หน่วยงานบังคับใช้กฎหมายและตรวจคนเข้าเมืองของสหรัฐฯ จัดหาและใช้เครื่องมือเฝ้าระวังเชิงพาณิชย์ การกำกับดูแลของรัฐสภาในการจัดซื้อสปายแวร์นั้นไม่สม่ำเสมอ และในปัจจุบันยังไม่มีกฎหมายของรัฐบาลกลางที่ครอบคลุมซึ่งควบคุมวิธีที่หน่วยงานในประเทศสามารถนำเครื่องมืออย่าง Graphite ไปใช้กับเป้าหมายภายในสหรัฐอเมริกา
สมาชิกสภาผู้แทนราษฎรพรรคเดโมแครตที่วิจารณ์การปรับใช้ของ ICE ได้ชี้ให้เห็นโดยเฉพาะถึงการที่ไม่มีการเปิดเผยอย่างเป็นทางการต่อรัฐสภาก่อนที่จะนำเครื่องมือดังกล่าวไปใช้งาน ช่องว่างดังกล่าวมีความสำคัญเพราะทำให้ผู้แทนที่ได้รับการเลือกตั้ง และโดยนัยยะคือประชาชน มีความสามารถจำกัดในการประเมินว่าการตัดสินใจปรับใช้นั้นเหมาะสม สมส่วน หรือถูกต้องตามกฎหมายหรือไม่
คดี Paragon Graphite ไม่ได้เกิดขึ้นโดดเดี่ยว รายงานในช่วงหลายปีที่ผ่านมาได้เปิดเผยการใช้สปายแวร์เชิงพาณิชย์อย่างกว้างขวาง รวมถึง Pegasus ของ NSO Group โดยรัฐบาลทั่วโลก บางครั้งใช้กับนักข่าว นักเคลื่อนไหว และฝ่ายตรงข้ามทางการเมือง แม้ว่า ICE จะนำเสนอ Graphite ในฐานะเครื่องมือสำหรับการสืบสวนคดีอาชญากรรมร้ายแรง แต่การขาดกลไกกำกับดูแลทำให้การตรวจสอบอย่างอิสระเป็นเรื่องยาก
สิ่งที่คุณควรรู้
สำหรับผู้ใช้ทั่วไป การยืนยันนี้ชี้ให้เห็นประเด็นสำคัญบางประการที่ควรทำความเข้าใจให้ชัดเจน
ประการแรก แอปส่งข้อความที่เข้ารหัสยังคงมีประสิทธิภาพในสิ่งที่ได้รับการออกแบบมาเพื่อทำ การมีอยู่ของสปายแวร์ระดับอุปกรณ์อย่าง Graphite ไม่ได้หมายความว่าการเข้ารหัสถูกเจาะหรือการส่งข้อความที่ปลอดภัยนั้นไร้ประโยชน์ สำหรับคนส่วนใหญ่ การเข้ารหัสที่แข็งแกร่งยังคงให้การป้องกันที่มีความหมายอยู่
ประการที่สอง รูปแบบภัยคุกคามที่เครื่องมืออย่าง Graphite เป็นตัวแทนนั้นมีขอบเขตแคบแต่มีความร้ายแรง เครื่องมือเหล่านี้มีราคาแพง ต้องใช้ทรัพยากรจำนวนมากในการปรับใช้ และโดยทั่วไปจะใช้กับเป้าหมายที่เฉพาะเจาะจงมากกว่าการเฝ้าระวังในวงกว้าง หากคุณไม่ได้เป็นเป้าหมายของการสืบสวนของรัฐบาลแบบมุ่งเป้า ความเสี่ยงโดยตรงจากสปายแวร์ในรูปแบบ Graphite นั้นต่ำ
ประการที่สาม เนื่องจาก Graphite ทำงานในระดับอุปกรณ์มากกว่าระดับเครือข่าย เครื่องมือความเป็นส่วนตัวที่ใช้เครือข่ายจึงไม่สามารถป้องกันได้เมื่ออุปกรณ์ถูกเจาะระบบแล้ว การทำความเข้าใจขีดจำกัดทางเทคนิคที่แท้จริงของเครื่องมือความเป็นส่วนตัวใด ๆ เป็นสิ่งสำคัญในการตัดสินใจอย่างรอบรู้เกี่ยวกับมาตรการรักษาความปลอดภัยของตนเอง
สิ่งที่มีความสำคัญในวงกว้างคือคำถามเรื่องการกำกับดูแล เมื่อเครื่องมือเฝ้าระวังที่ทรงพลังถูกใช้โดยไม่มีกรอบกฎหมายที่ชัดเจนหรือการตรวจสอบจากรัฐสภา การรับผิดชอบก็กลายเป็นเรื่องยากไม่ว่าเหตุผลที่ระบุจะเป็นอย่างไรก็ตาม
สรุปสาระสำคัญ
- ICE ยืนยันว่าใช้สปายแวร์ Graphite ของ Paragon เพื่อสกัดกั้นการสื่อสารที่เข้ารหัส โดยนำเสนอการปรับใช้ดังกล่าวว่าเป็นงานต่อต้านการก่อการร้ายและต่อต้านยาเสพติด
- Graphite ทำงานโดยการเจาะระบบอุปกรณ์ ไม่ใช่การเจาะโปรโตคอลการเข้ารหัส โดยอ่านข้อความหลังจากถอดรหัสบนอุปกรณ์เป้าหมาย
- สมาชิกสภาผู้แทนราษฎรพรรคเดโมแครตได้แสดงความกังวลเกี่ยวกับการขาดการกำกับดูแลของรัฐสภาเกี่ยวกับวิธีและเวลาที่ ICE จัดหาและปรับใช้เครื่องมือดังกล่าว
- แอปส่งข้อความที่เข้ารหัสยังคงมีประสิทธิภาพสำหรับการใช้งานทั่วไป สปายแวร์อย่าง Graphite เป็นเครื่องมือที่มุ่งเป้า ไม่ใช่เครือข่ายเฝ้าระวังในวงกว้าง
- คำถามนโยบายหลักที่การเปิดเผยนี้หยิบยกขึ้นมาไม่ใช่เรื่องว่าการเข้ารหัสทำงานได้หรือไม่ แต่เป็นเรื่องว่ามีมาตรการป้องกันทางกฎหมายที่เพียงพอหรือไม่เพื่อควบคุมวิธีที่หน่วยงานสหรัฐฯ ใช้สปายแวร์เชิงพาณิชย์กับบุคคลในประเทศ
เมื่อรายละเอียดเพิ่มเติมเกี่ยวกับการใช้ Graphite ของ ICE ปรากฏขึ้นผ่านการสอบสวนของรัฐสภาและการรายงานเชิงสืบสวน การถกเถียงเกี่ยวกับการกำกับดูแลสปายแวร์ในประเทศไม่น่าจะสงบลง การติดตามข้อมูลเกี่ยวกับวิธีการทำงานของเครื่องมือเหล่านี้และกรอบกฎหมายใดที่ควบคุมหรือไม่ควบคุมมัน คือการตอบสนองที่สมเหตุสมผลที่สุดสำหรับทุกคนที่ติดตามเรื่องนี้
