วันนี้ (26 มกราคม) มีรายงานจากองค์กร Privacy International เปิดเผยว่าเหตุการณ์ในประเทศไทยที่เคยประสบปัญหา “เข้าเฟซบุ๊กไม่ได้” ในเดือนพฤษภาคมปี 2014 (สามปีก่อน) นั้นอาจเป็นความพยายามในการสอดส่องของรัฐ มากกว่าท่ีจะเป็นความพยายามในการปิดกั้นข้อมูล
ในเดือนพฤษภาคมปี 2014 หลังจากที่มีความไม่สงบและการเดินขบวนประท้วง และตามมาด้วยรัฐประหารนั้น ในวันที่ 28 พฤษภาคม เวลา 15.35 ชาวไทยไม่สามารถเข้าถึงเฟซบุ๊กได้เป็นเวลา 30 นาที ในขณะนั้น มีชาวไทยจำนวนมากถึง 28 ล้านคนที่มีบัญชีบนเฟซบุ๊ก โดยต่อมา มีแถลงจากกระทรวง ICT เพื่อบอกว่าเป็นการบล็อกเฟซบุ๊กเพื่อป้องกันไม่ให้เกิดการต่อต้านทหาร แต่หลังจากนั้นก็มีคำแถลงซ้ำว่าเป็นเพียงข้อบกพร่องทางเทคนิค
คำถามก็คือ แล้วทำไมเฟซบุ๊กจึงเข้าไม่ได้เพียง 30 นาที Privacy International พยายามหาคำตอบเรื่องนี้มา โดยบอกว่า จริงๆ แล้วจุดประสงค์ของรัฐบาลอาจเป็นการพยายาม “ถอดรหัส” ทราฟฟิกที่วิ่งผ่านเข้าออกเฟซบุ๊ก โดยมีแหล่งข่าวหนึ่งบอกกับ Privacy International ว่ามีการพยายามขอร้องให้เฟซบุ๊ก “ย้ายทาง” (reroute) ทราฟิกไปใช้ http แทนที่จะเป็น https ซึ่งจะทำให้รัฐบาลสามารถเข้าถึงข้อมูลต่างๆ ของผู้ใช้เฟซบุ๊กได้ (เพราะจะไม่มีการเข้ารหัส) แต่อย่างไรก็ตาม ไม่มีหลักฐานว่ารัฐบาลสามารถบรรลุถึงคำขอร้องนี้ได้จริง
เดือนต่อมา มิถุนายน 2014 ก็มีความพยายามที่จะเข้าถึงข้อมูลผู้ใช้เฟซบุ๊กอีกครั้งด้วยการออกแอพพลิเคชั่นปลอม โดยหากผู้ใช้พยายามจะเข้าเว็บไซต์ที่ถูกบล็อก ในเดือนมิถุนายน 2014 จะถูกรีไดเรกต์ไปยังหน้าเว็บอื่นที่มีปุ่มให้ “ล็อกอินเฟซบุ๊ก” ซึ่งเมื่อกดแล้วจะดาวน์โหลดแอพฯ ที่สามารถเข้าถึงข้อมูลส่วนตัวได้
ส่วนความพยายามครั้งใหม่นี้มีการรายงานโดย The Verge และ Privacy International เปิดเผยว่าไมโครซอฟท์อาจมีส่วนช่วยให้รัฐบาลไทย ‘ถอดรหัส’ ทราฟิกบนอินเทอร์เนตได้ง่ายขึ้น (The verge ใช้คำว่า Microsoft is part of the problem.) โดยระบุว่าไมโครซอฟท์เป็นผู้ผลิตซอฟท์แวร์หลักรายเดียวที่ยอมรับ Root Certification Authorities (Root CA) ของไทยตั้งแต่ปลายปีที่แล้ว
ความกังวลก็คือ ถึงแม้หน่วยงานรัฐอื่นๆ จากทั่วโลกจะขอ CA กันเป็นปกติอยู่แล้ว แต่รัฐบาลไทยมีประวัติที่ไม่ดีนักในการละเมิดความเป็นส่วนตัว
Blognone รายงานว่า “การรับรอง root CA ในระบบทำให้ผู้ให้บริการ CA สามารถสร้างใบรับรองสำหรับเว็บใดๆ หาก CA มีมาตรฐานดำเนินการที่หละหลวมก็สามารถออกใบรับรองให้กับเว็บสำคัญๆ เช่น กูเกิล, เฟซบุ๊ก, หรือเว็บใดๆ ก็ได้ในโลก โดยผู้ที่ได้ใบรับรองเหล่านั้นไปอาจนำไปใช้ดักฟังการเชื่อมต่อโดยที่ผู้ใช้ไม่รู้ตัว”
ก่อนหน้านี้เราอาจได้รับคำเตือนบ่อยๆ ว่า หากคิดว่ากำลังเข้าเว็บไซต์ที่ปลอมแปลงอยู่ ให้ดูบนแถบ URL ว่าเป็นโปรโตคอล HTTPS หรือไม่ แต่ตอนนี้ดูเหมือนว่าความพยายามเพียงเท่านั้นจะไม่พอเสียแล้ว
The Verge อธิบายว่า “ระบบปฏิบัติการ Windows จะเชื่อมั่นในใบรับรอง (certificate) นี้โดยอัตโนมัติ ซึ่งอาจทำให้รัฐบาลสามารถแอบซ่อนมัลแวร์เข้าไปในหน้าเว็บไซต์ที่ถูกต้อง (legitimate pages) ได้ หรือกระทั่งสามารถทำเว็บไซต์ปลอมเพื่อหลอกผู้ใช้ได้” และได้ติดต่อไปทางไมโครซอฟท์เพื่อขอคำอธิบายเรื่องนี้ โดยได้รับคำอธิบายกว้างๆ ว่า Root CA ของประเทศไทยนั้นได้มาตรฐาน (meets its standards)
The MATTER ติดต่อสัมภาษณ์คุณวสันต์ ลิ่วลมไพศาล ผู้ร่วมก่อตั้งเว็บไซต์ Blognone เพื่อสอบถามข้อมูลเพิ่มเติมในเรื่องนี้
The MATTER: ไมโครซอฟท์เปิดให้ Certification Authorities สำหรับรัฐบาลไทย ผลลัพธ์สำหรับคนทั่วไปคืออะไร
วสันต์: ถ้าทุกหน่วยงานทำงานตามที่ระบุ ก็จะไม่มีผลอะไรเลยครับ CA มีจำนวนมากในโลกอยู่แล้ว หน่วยงานเหล่านี้จะต้องส่งรายงานการปฎิบัติงานว่าทำงานตามแนวทางที่ตัวเองประกาศไว้หรือไม่ ความกังวลทีเกิดคือถ้าหน่วยงานเหล่านี้ไม่ทำตามแนวทางที่ตัวเองประกาศไว้ ตั้งแต่ตั้งใจ เลินเล่อ หรือกระทั่งถูกแฮก จะมีผลกระทบสูง เพราะ CA ใช้ดูแลว่าการเชื่อมต่อระหว่างหน่วยงานต่างๆ เชื่อถือได้หรือไม่ คนที่ได้รับใบรับรองของคนอื่น เช่น ผมได้ใบรับรองของเฟซบุ๊ก ก็จะสามารถปลอมตัวเป็นเฟซบุ๊กได้ โดยปกติการที่หน่วยงานรัฐขอเป็น CA ไม่ใช่ปัญหานักครับ ถ้าดูฐานข้อมูล CA ที่เคยมีมาก็มีของหน่วยงานรัฐหลายชาติ ความกังวลของ Privacy International คือรัฐบาลนี้มีประวัติไม่ดีนักในการละเมิดความเป็นส่วนตัว อย่างถ้าอ่านรายงานจะมีการยกประเด็นการบล็อค Facebook ในปี 2014 แล้วรัฐบาลออกมาปฎิเสธ CA ทั่วโลกเชื่อถือกันว่าจะทำตามกระบวนการที่ประกาศไว้ ถ้าพูดอย่างทำอย่างก็นับว่าน่ากลัว
หน่วยงานรัฐก็อาจจะต้องการมี CA ของตัวเองเพื่อความสะดวกในการรับรองระหว่างหน่วยงานกันเอง นอกจากเรื่อง HTTPS แล้วยังมีการใช้งานอื่นๆ ตั้งแต่การยืนยันผู้ใช การยืนยันตัวตนสำหรับเชื่อมต่อ VPN ฯลฯ
The MATTER: ท่าทีของไมโครซอฟท์ต่อปัญหานี้เป็นอย่างไร
วสันต์: ตอนนี้ยังมีแค่ statement สั้นๆ จากไมโครซอฟท์สองที่ โดยทั่วไปแล้วเชื่อว่ากระบวนการของไมโครซอฟท์ก็ไม่ต่างจากปกติ ส่วนหลังจากนี้พอมีข่าวออกมาแล้วไมโครซอฟท์จะมีท่าทีเพิ่มเติมไหมคงต้องรอดูอีกที
The MATTER: สำหรับคนที่ใช้วินโดวส์ มีวิธีการแก้ไข หรือตรวจสอบไหมว่า เรากำลังเผชิญหน้ากับเว็บที่ปลอมแปลง หรือมีข้อมูลอื่นๆ ที่ปลอมแปลงมาในเว็บไซต์ หากรัฐต้องการปลอมแปลงจริง
วสันต์: การบอกว่าเผชิญกับมันอยู่มีสองอย่าง อย่างแรกคือในเครื่องมี CA ตัวนี้อยู่ หลังจากไมโครซอฟท์ยอมรับก็น่าจะปล่อยอัพเดตเข้าไปเรื่อยๆ เครื่องตามบ้านก็จะได้รับ CA ตัวนี้อยู่ในระบบ
อย่างที่สองคือเจอเว็บ (หรือเซิร์ฟเวอร์อื่น) ที่รับรองโดย CA ตัวนี้ ถ้าเป็นเว็บที่ควรได้รับการรับรองจาก CA ไทยอยู่แล้ว เช่นเว็บรัฐบาลก็จะคงเป็นไปตามเป้าหมายที่เขาสร้าง ถ้าไม่ใช่ก็แสดงว่ามีปัญหาแล้ว
วิธีการตรวจสอบคือการกด URL bar เว็บทีเป็น HTTPS ดูว่าใบรับรองนี้ออกโดยใคร ซึ่งก็ยุ่งยากพอสมควร เพราะต้องกดดูทีละเว็บ แถมบางวันมันเปลี่ยนได้ อีกแบบนึงคือไปถอดทิ้งจาก Windows ไปเลยโดยดูวิธีจาก www.blognone.com ก็จะจบไป เวลาที่เข้าเว็บที่รับรองโดย CA นี้จริงๆ ก็จะขึ้นหน้าแดง
The MATTER: บริษัทไอทีต่างๆ ควรปฏิบัติอย่างไร หรือควรมีท่าทีอย่างไร ต่อประเด็นนี้
วสันต์: ในมุมนั้นบริษัทไอทีต่างๆ ควรชี้แจงนโยบายการรับ CA ของตัวเองให้ชัดเจนขึ้นครับ ว่ามีแนวทางอย่างไร ในแง่เทคโนโลยีล้วนๆ สิ่งหนึ่งที่เราไม่มีคือ CA ที่สามารถรับรองได้เฉพาะในโดเมนของตัวเอง เช่นหากรัฐบาลไทยมี root CA แต่รับรองได้เฉพาะ.go.th ก็คงไม่มีความกังวลใดๆ
ต้องให้เครดิตบริษัทไอทีทั้งหลายด้วยว่าความกังวลหลายอย่างถูกจำกัดความเป็นไปได้อย่างมาก เว็บใหญ่ๆ เช่นเฟซบุ๊กล็อกใบรับรอง ทำให้ root CA อื่นๆ ไม่สามารถออกใบรับรอง (ที่ผู้ใช้ใช้งานเว็บโดยไม่โดนเตือน) ได้
The MATTER: ประเด็นการยอมรับกฎหมายในแต่ละประเทศ กับบริษัทไอที
วสันต์: เรื่องการ comply กฎหมายท้องถิ่นยังคงเป็นปัญหาใหญ่ เพราะอินเทอร์เน็ตมันไม่มีพรมแดนแต่กฎหมายมี ผมเคยคุยกับไมโครซอฟท์ครั้งล่าสุดนโยบายของเขาคือเขาทำตามกฎหมายที่ข้อมูลนั้นพักอยู่ (data at rest) เช่นเมลเราอยู่ในเซิร์ฟเวอร์ไอร์แลนด์ก็ทำตามกฎหมายที่นั่น ที่ผ่านมาไมโครซอฟท์ก็สู้เพื่อหลักการนี้อย่างหนัก ตอนนี้ก็มีคดีกับรัฐบาลสหรัฐฯ อยู่
คำตอบเรื่องนี้คือมันมีสองด้าน ด้านหนึงรัฐบาลทั่วโลกก็พยายามขยายอำนาจของตัวเอง (เพราะคนดูเว็บดูในเขตแดนตัวเอง) กับบริษัทต่างๆ พยายามหาขอบเขตการทำตามกฎหมายแต่ละประเทศ
ตอนนี้แนวทางพวกนี้ยังไม่ชัดเจนเท่าไหร่ ยกเว้นบางเรื่องกว้างๆ เช่น การเปิดเผยข้อมูลคำขอจากรัฐบาลที่บริษัทขนาดใหญ่เริ่มทำตามเป็นมาตรฐาน
อ้างอิงข้อมูลจาก
รายงาน Facebook Shutdown in Thailand: Surveillance Not Censorship
www.privacyinternational.org
www.theverge.com