วันเสาร์, กันยายน 26, 2558

คาดว่าคนร่างโครงการ Great firewall of Thailand คงมีแต่ทฤษฏีในหัวและมองการไกลมากหวังรวยมากๆกับการซื้ออุปกรณ์ขายอุปกรณ์จำนวนหลักหมื่นล้าน สุดท้ายจะไปไม่รอดต้องล้มโปรเจคทิ้งไป ชา ลา ล่า



ที่มา FB
Chanon Ngernthongdee


มีหลายคนกำลังตกใจกับ Great firewall of Thailand หรือตอนนี้เรียกกันว่า SINGLE GATEWAY ผมได้ยินครั้งแรกก็ตกใจ แต่ พอดูรายละเอียดและความเป็นไปได้แล้วหัวเราะดังมาก

คาดว่าคนร่างโครงการคงมีแต่ทฤษฏีในหัวและมองการไกลมากหวังรวยมากๆกับการซื้ออุปกรณ์ขายอุปกรณ์จำนวนหลักหมื่นล้าน พอจะเดาออกว่าใคร

ลอง List ขำๆนะครับอย่าคิดมาก .... แต่ให้ลองคิดตาม

1.การจะควบรวมระบบท่ออินเตอร์เน็ททั้งหมดในประเทศเป็นไปได้แค่คำสั่งตามกฏหมายแต่ทว่า เมื่อนำมาผ่านแล้วหากระบบเด็กน้อยหอยสังข์แบบที่ราชการไทยชอบออกแบบ นั้นแน่นอนครับจะได้เจอกับอุปสรรคล้มแล้วล้มอีกนับจำนวนครั้งไม่ขึ้นสุดท้ายก็จะ ยอม bypassed Traffic ส่วนใหญ่แล้วดักจับเฉพาะที่ต้องการ

(ในส่วนนี้ผมขอเดาว่าคนที่จะทำโครงการหวังแค่จะได้เงินทอนจากโปรเจคหมูลค่ากว่าหลายหมื่นล้านนี้ไป อิ่มๆ ไม่ว่าจะเป็นคนเขียนโครงการ คนทำโครงการ ที่ปรึกษา blah blah blah เพื่อแค่ให้ส่งงานได้ แต่ไม่สามารถใช้งานได้ มูลค่าตรงนี้ผมมองที่ ทอน 40% เข้าคนทั้งกระบวนการ)

2.ความเป็นไปได้ที่จะดักจับข้อมูลทั้งหมดที่วิ่งอยู่บน Network ที่มีความปลอดภัยสูง ยกตัวอย่าง SSL จะเห็นได้ชัด สามารถทำได้ อุปกรณ์หลายยี่ห้อทำได้ feature นี้ basic มากๆ แต่ทว่า ต้องบังคับให้เครืองทุกเครื่องที่อยู่ในเครือข่าย ยอมรับการลง Cert. ของประเทศไทย จำนวน cert ก็จะตาม connections ซึ่งมากกว่า 50 ล้าน connections แน่ๆแต่เดี๋ยวก่อน การทำ Decrypt SSL มันต้องใช้ทรัพยากรณ์สูงมากๆ แดกสเปคไม่ว่าจะใช้ fpga หรือ cpu เคยทดสอบ unit ยี่ห้อดังๆเช่น paloalto,sonicwall,mcafee,f5 ทั้งหมดทำได้แต่ถ้าเปิด feature นี้ performance จะ drop ไป 80% และจำนวนเครื่อง(Units) ก็จะต้องเยอะแบบมหาศาลมากๆเป็นฟาร์มที่ใหญ่โคตรๆ ประเมิณว่าต้องใช้ที่ประมาณ 1 สนามฟุตบอลเพื่อวางเครื่องเหล่านี้ น่าจะรองรับได้ประมาณ 3-5ล้าน SSL connections

(ส่วนนี้ความสนุกมันอยู่ตรงที่ License จ่ายแดกกันปีต่อปีบริษัทไหนได้ไป ก็สร้างโรงงานผลิตในไทยได้เลย เพราะจะกลายเป็นการทำ functions ถอด SSL ที่ใหญ่ที่สุดในโลก)

3.จุดประสงค์ของอินเตอร์เน็ทคือการเชื่อมต่ออย่างอิสระ node นี้ตายไปตรงอื่นแทน เชื่อมโยงแบบไม่จำกัด แต่การทำ single gateway จะเป็นการฆ่าตัวตายทางเทคโนโลยีนำสาย traffic ทั้งประเทศมาผ่านจุดไม่กี่จุดตรงนี้ประเมินว่าอาจมี ระดับภาค แล้วค่อยรวมเป็นระดับประเทศไม่น่าเกิน 10 จุดใหญ่ (สมมุตินะครับ ผมรู้จุดที่ตั้งทั้งหมดซึ่งดูแล้วจะไม่ลับเท่าไหร่ และถ้าผมเป็นผู้คิดการร้ายกับระบบของประเทศก็จะง่ายขึ้น ขอแค่ทำลายแหล่งพลังงานของ Data Center เหล่านั้น หรือตัดการเชื่อมต่อที่มารวมกันอยู่แล้ว จะเกิดอะไรขึ้นกับระบบของประเทศ)

4.เรื่องของความปลอดภัยจากการบุกรุกจากกลุ่มผู้ไม่ประสงค์ดีที่ต้องการ ข้อมูล มันยากนะครับที่จะเข้าไปในระบบของรัฐแต่ ทว่างานแบบนี้ถ้าวางแผนดีก็อาจจะได้เจอ หนอนภายใน ทำให้เข้าระบบไปแล้วนั่งดูข้อมูลที่ตัวเองต้องการ (ง่ายที่สุดคือการสมัครงานเข้าไปนั่งทำงานตรงนั้น ซึ่งในประเทศนี้ขาดแคลนอย่างหนัก แล้ววางหนอนสักสองสามปีปล่อยข้อมูลขาย ชา ลา ล่า )

5.เรื่องความปลอดภัยจากการโจมตีจากกลุ่มผู้ไม่ประสงค์ดี เราอาจได้เห็น ISP แต่ละเจ้า protect ตัวเองอยู่แล้ว แต่เมื่อเกิด single gateway ช่องทางออกมันแคบลง เป้าหมายก็แคบลง พุ่งเป้าหมายได้แม่นยำมากขึ้น หากทำระบบใหญ่ขนาดนี้ล่วงหรือเข้าถึงข้อมูลได้ สนุกแน่ครับ

6.เรื่องความปลอดภัยระดับองค์กรขนาดใหญ่เช่นธนาคาร ตลาดหลักทรัพย์ผมอดคิดสนุกไม่ได้ถ้าระบบของแบงค์ต้องมาวิ่งผ่าน single gateway ความสนุกอยู่ตรงที่มันขัด policy ชัดเจน (ยกตัวอย่างถ้าคนนั่งดูไม่ได้เป็นคนดีมากๆ single gateway ผมแค่นั่ง filter sniffer ทุกคนในประเทศไทยที่ loginonline.kbank.com/* เดาว่ามีคนใช้วันละ แสนคน เขียน script อีกเล็กน้อย ดูว่ามีเงินเท่าไหร่จาก return html element เราจะได้เห็นคดีเจ้าหน้าที่ดูแลขโมยเงิน คนที่ใช้ในระบบแน่ๆสักวัน หากรัฐบาลทำข้อ 1,2,3 สำเร็จจริง)

Update 24/9/20215
7.เมื่อคืนเขียนแล้วตื่นมาคิดเพิ่มได้อีกประเด็นครับเกี่ยวกับการรวม log ที่มากหมายมหาศาลขนาดนี้ ออฟฟิตผมมี 500 clients connected ในระบบ ใช้ พื้นที่ประมาณ 5GB ต่อเดือนจะในการ Log traffic ทั้งระบบ ก็ตก 100client = 1GB ต่อเดือน ระบบขนาด Single Gateway นี่
50 ล้าน clients นี่จะต้องใช้ storage ขนาด ? คูณหน่อยครับบบบ (สุดท้ายความ real-time ที่คนวาดระบบอยากให้เป็น มันกลายเป็นเรื่องในฝันโคตรๆ กับการดู Live traffic )

จริงคิดได้มากกว่านี้เขียนยาวกกว่านี้อาจโดนอุ้ม

สุดท้ายผมรู้สึกโชคดีมากๆครับที่ประเทศไทยมีคนโง่ มาออกแบบระบบที่คิดจะควบคุมคนทั้งประเทศได้ จะรู้สึกเกรงกลัวมาก ถ้าคนคิดฉลาดกว่านี้

โชคดีมากๆครับที่ประเทศไทยฝึกทหารมาสำหรับป้องกันประเทศมากกว่าคิดเพื่อประเทศ

ผมขอแทงหวยว่า ระบบนี้ถ้าทำเสร็จ คงใช้เวลา 5 ปีเป็นอย่างน้อยในการ implement และผมคิดว่า 10 ปีเป็นอย่างน้อย จะสามารถควบคุมได้อย่างราบรื่น

******สำคัญ ******* ถ้าเค้าไม่ได้คิดมากแบบผม ก็คงเป็นแค่ DNS gateway สำหรับกรองเว็บที่เค้าไม่อยากให้คนไทยดูเท่านั้นแล ตอนนี้ใช้ระบบออกคำสั่งไปให้ ISP ชี้ Redirect ไปหน้าเขียว เพิ่มอีกนิดก็ NextGen IDC firewall สำหรับ block ip ปลายทางเลย

ส่วนต่อไปคือการ บ่น!!!

แค่เรื่องการเชื่อมโยงข้อมูลทะเบียนราษฏร์กับกรมการขนส่งและข้อมูลประวัติอาชญากรรม หมายศาล blah blah blah แล้วนำมาให้หน่วยงานต่างๆของรัฐเข้าถึงได้ ประเทศผมยังทำไม่ได้เลยครับควรจะทำได้มา 10 ปีแล้ว

Smart card ที่ไม่เคย smart ไม่มีหน่วยงานราชการไหนใช้เครื่องอ่าน ถ่ายเอกสาร จนร้านถ่ายเอกสารรวย เป็นพันล้าน

หวังอะไรกับโปรเจคหมื่นล้าน ???

ปล.ผมทายว่า สุดท้ายจะไปไม่รอดต้องล้มโปรเจคทิ้งไป ชา ลา ล่า