วันศุกร์ที่ 27 พฤษภาคม พ.ศ. 2559

Begin Again 'ซิงเกิลเกตเวย์' แฝงในร่างใหม่ พ.ร.บ.คอมพิวเตอร์


ปัจจุบัน เว็บไซต์ใหญ่ๆ เช่น กูเกิล เฟซบุ๊ก ใช้การเข้ารหัสข้อมูลโดยใบรับรองความปลอดภัย
สังเกตได้จากยูอาร์แอลที่ขึ้นต้นด้วย https และมีสัญลักษณ์รูปแม่กุญแจสีเขียวหน้ายูอาร์แอล 


"ซิงเกิลเกตเวย์ที่พูดกัน ก็ตัวนี้นี่แหละ" อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ตสรุป
ถ้ายังจำกันได้เมื่อปลายปีที่ผ่านมา มีการพูดถึง "ข้อสั่งการนายกรัฐมนตรี" ให้กระทรวงไอซีทีทำ "ซิงเกิลเกตเวย์" เพื่อใช้เป็นเครื่องมือควบคุมเว็บไซต์ที่ไม่เหมาะสมและการไหลเข้าของข้อมูลข่าวสารจากต่างประเทศผ่านทางระบบอินเทอร์เน็ต ซึ่งก่อให้ผู้ใช้งานอินเทอร์เน็ตในไทยเกิดความกังวลว่าการสื่อสารในช่องทางนี้จะไม่ปลอดภัยอีกต่อไปจนเกิดการล่ารายชื่อคัดค้านผ่าน change.org และปรากฏการณ์ F5 ก่อนที่เรื่องนี้จะค่อยๆ เงียบไปและเราก็ไม่ได้ยินคำๆ นี้อีก
แต่หลังเครือข่ายพลเมืองเน็ตพบเอกสารแก้ไข พ.ร.บ.คอมพิวเตอร์ ซึ่งกำลังมีการตั้งคณะกรรมาธิการวิสามัญพิจารณาในเวลา 60 วัน หลัง สนช.รับหลักการไปเมื่อ 28 เม.ย. คำๆ นี้ก็กลับมา
โดยในร่างแก้ไข มาตรา 20 ซึ่งให้อำนาจพนักงานเจ้าหน้าที่ขออำนาจศาลสั่งบล็อคเว็บได้ ระบุว่า "รัฐมนตรีอาจประกาศกำหนดหลักเกณฑ์ ระยะเวลา และแนวทางการปฏิบัติสำหรับการระงับการทำให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ของผู้ให้บริการให้เป็นไปในแนวทางเดียวกันภายใต้พัฒนาการทางเทคโนโลยีที่เปลี่ยนไป" (ดูเอกสารด้านล่าง)
ในคำอธิบายถึงเหตุผลของการแก้ไขระบุว่า แม้ว่าศาลจะสั่งให้บล็อคเว็บได้ แต่ในทางปฏิบัติ จะต้องมีเครื่องมือและอุปกรณ์ต่างๆ ทั้งด้านฮาร์ดแวร์และซอฟท์แวร์ ตลอดจนขั้นตอนและแนวทางการปฏิบัติที่ชัดเจน เพื่อให้คำสั่งศาลสัมฤทธิ์ผล โดยมีการยกตัวอย่าง ข้อมูลคอมพิวเตอร์ที่เข้ารหัสด้วยเทคโนโลยี SSL (Secure Sockets Layer) ซึ่งถูกสร้างขึ้นเพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ต ที่มีการเข้ารหัสแบบ Public-key encryption ว่าจำต้องมีวิธีการและเครื่องมือพิเศษในการดำเนินการจึงจะกระทำได้สำเร็จ
เวลาพูดถึง SSL คือการที่คนรับและส่งข้อมูลสองฝ่ายต่างเชื่อใจกันและกันว่า ต่างฝ่ายต่างเป็นคนนั้นๆ จริง โดยมีการแลกเปลี่ยนกุญแจเข้ารหัส ซึ่งกุญแจจะถูกใช้เข้ารหัสข้อมูลที่ส่งถึงกัน แต่การจะยืนยันต้องใช้ใบรับรองที่ต้องเรียกขอจากแต่ละฝ่ายก่อน เพื่อยืนยันตัวตน ใบรับรองนี้ออกโดยบุคคลที่สามที่น่าเชื่อถือ ใบรับรองนี้ทำปลอมได้ยาก เพราะต้องให้บุคคลที่สามออกใบรับรองปลอมให้ ซึ่งไม่มีใครทำให้ เพราะส่วนมากบุคคลที่สามนี้เป็นเอกชน หากมีการออกให้แม้เพียงกรณีเดียวบริษัทนั้นๆ จะหมดความน่าเชื่อและเจ๊งทันที ดังนั้น การขอให้บุคคลที่สามที่น่าเชื่อถือออกใบรับรองปลอมให้จึงเป็นไปได้ยาก (ที่มา)
ประกอบกับมาตรา 15 พ.ร.บ.คอมพิวเตอร์ ซึ่งเดิมกำหนดโทษสำหรับผู้ให้บริการที่จงใจ สนับสนุน หรือยินยอมให้มีการกระทำความผิดตามมาตรา 14 มีโทษเท่ากับผู้ที่กระทำผิดนั้น ในร่าง พ.ร.บ.ใหม่ มีการแก้ไขเพิ่มเติม ให้รัฐมนตรีออกประกาศกำหนดขั้นตอนการแจ้งเตือน การระงับการทำให้แพร่หลายของข้อมูลคอมพิวเตอร์ และการนำข้อมูลคอมพิวเตอร์นั้นออกจากระบบคอมพิวเตอร์ หากผู้ให้บริการได้ปฏิบัติตามประกาศของรัฐมนตรีแล้ว จะไม่ต้องรับโทษ
อาทิตย์ชี้ว่า เอกสารนั้นเขียนเพิ่มเติมว่า ตอนนี้มีเว็บจำนวนมากที่ปิดไม่ได้ เพราะเข้ารหัส จะหาวิธีพิเศษที่จะช่วยให้ปิดกั้นได้ เท่าที่เข้าใจการใช้สิ่งเหล่านี้จำเป็นต้องให้ไอเอสพีให้ความร่วมมือบางอย่างเพื่อใช้อุปกรณ์ได้
"ตีความว่าถ้ารัฐขอความร่วมมือปิดกั้น ก็เท่ากับต้องถอดรหัส ถ้าไอเอสพีไม่ให้ความร่วมมือก็จะมีความผิด เท่ากับไอเอสพีต้องช่วยถอดรหัส" อาทิตย์บอก
การถอดรหัสนั้น ทำได้เช่น ในระดับผู้ให้บริการอย่างเว็บขายของที่เข้ารหัสอยู่ เนื่องจากเป็นเว็บของตัวเอง เข้าเอง ก็ถอดรหัสเองได้ ในระดับเอไอเอส หรือทรู ยังไม่แน่ใจว่าเขาจะจัดการอย่างไร อาจใช้วิธี Man-in-the-middle attack ให้ไอเอสพีออกใบรับรองปลอม เช่น มีเซิร์ฟเวอร์เฟซบุ๊กปลอม ใครก็ตามจะเข้าเฟซบุ๊ก เมื่อเรียกข้อมูลไปที่เฟซบุ๊ก ก็จะถูกเปลี่ยนทางไปที่เซิร์ฟเวอร์เฟซบุ๊กปลอม เพื่อความเนียนก็จะต้องสร้างใบรับรองปลอมขึ้นมาด้วย ซึ่งต้องทำที่ระดับเกตเวย์จึงจะทำได้
นั่นคือข้อมูลของผู้ใช้ทั่วไปจะถูกดูได้หมด
สอดคล้องกับคำสั่งกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ที่ 163/2557 เรื่อง แต่งตั้งคณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์ ที่ระบุว่า มีอุปสรรคในการตรวจสอบและปิดกั้นเว็บไซต์ที่มีการเข้ารหัสป้องกันข้อมูล (SSL: Secure Socket Layer) จึงเห็นควรให้มีการจัดหาและทดสอบประสิทธิภาพของอุปกรณ์ระบบเฝ้าติดตามสื่อออนไลน์เพื่อสนับสนุนการปฏิบัติงานของคณะทำงานด้านสื่อออนไลน์ให้เป็นไปด้วยความเรียบร้อยและมีประสิทธิภาพ
"ก่อนหน้านี้เป็นการตั้งคณะกรรมการเพื่อทดสอบ" อาทิตย์บอกและว่า คราวนี้เป็นการให้อำนาจตามกฎหมายที่จะใช้จริง





ไม่มีความคิดเห็น:

แสดงความคิดเห็น