วันพุธ, กันยายน 30, 2558

กระชากเศรษฐกิจดิจิทัลถอยหลังด้วย “ซิงเกิ้ล เกตเวย์” - มารู้จักกับ Man-in-the-middle Attack




28 กันยายน 2015

สฤณี อาชวานันทกุล

นับวันผู้เขียนยิ่งรู้สึกว่า การเป็นประชาชนคนไทยในโลกดิจิทัล เวอร์ชั่น 2.0 แต่ต้องมาอยู่ใต้ผู้มีอำนาจที่คิดแบบเวอร์ชั่น 0.5 เมื่อครั้งอินเทอร์เน็ตยังไม่เกิด เป็นสถานะที่น่าเหนื่อยหน่ายไม่ใช่เล่น

ดร.อุตตม สาวนายน รัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (ไอซีที) คนล่าสุดเพิ่งให้สัมภาษณ์สื่อไปไม่ทันไร เมื่อวันที่ 21 กันยายน 2558 ถึงความสำคัญของนโยบาย “เศรษฐกิจดิจิทัล” ซึ่งรับ “ไม้ต่อ” มาจากทีมเศรษฐกิจชุดก่อนหน้านี้ วันถัดมา บล็อกนัน (Blognone) เว็บข่าวไอทีแนวหน้าของไทย ก็เปิดคำสั่งคณะรัฐมนตรี เมื่อวันที่ 27 สิงหาคม ให้กระทรวงไอซีทีไปเร่งรัดการดำเนินการ “จัดตั้ง single gateway”




“ซิงเกิ้ล เกตเวย์” ในเอกสารนี้หมายถึงแนวคิดที่จะให้การเชื่อมต่ออินเทอร์เน็ตทั้งประเทศที่ออกสู่ต่างประเทศทำผ่าน International Internet Gateway (IIG) หรือ “ประตูทางผ่าน” ประตูเดียว แทนที่ปัจจุบันซึ่งมีมากกว่าสิบเกตเวย์

ข่าวบล็อกนันเปิดเผยต่อไปว่า “ก่อนหน้านี้ เมื่อวันที่ 14 กรกฎาคม 2558 เอกสารข้อสั่งการของนายกรัฐมนตรี ระบุเหตุผลของการสร้างทางออกอินเทอร์เน็ตทางเดียวทั้งประเทศนี้ว่า “เพื่อใช้เป็นเครื่องมือควบคุมเว็บไซต์ที่ไม่เหมาะสมและการไหลเข้าของข้อมูลข่าวสารจากต่างประเทศผ่านทางอินเตอร์เน็ต” โดยหากติดข้อกฎหมายใดก็ให้เร่งดำเนินการออกกฎหมายต่อไป”

ชัดเจนว่า ผู้มีอำนาจอยากทำเรื่องนี้เพื่อกีดกันไม่ให้คนไทยได้เข้าถึงข้อมูลข่าวสารบางอย่างที่ฝ่ายความมั่นคงมองว่าเป็น “ภัยคุกคามความมั่นคง”

ปิดประตูบานเดียว ย่อมง่ายและสะดวกโยธินกว่าการตามไปปิดหลายประตู




ข้อมูลข่าวสารเหล่านั้นมีอะไรบ้าง ข้อมูลที่คนทั่วโลกเข้าถึงได้ แต่ไม่อยากให้คนไทยได้ดูนั้น เป็นภัยคุกคามถึงขั้นจะต้องงัดมาตรการเผด็จการผูกขาดอย่าง single gateway ขึ้นมาใช้อย่างไร

เราไม่เคยได้ยินคำชี้แจงใดๆ จาก คสช. คณะรัฐมนตรี หรือกระทรวงไอซีทีเลย

ในทางตรงกันข้าม พอเรื่องนี้เป็นข่าว เริ่มมีกระแสต่อต้านในเน็ต (แคมเปญบน Change.org มีผู้มาร่วมลงชื่อคัดค้านกว่า 35,000 คน ภายในเวลาไม่ถึง 24 ชั่วโมงแรก) ผู้รับผิดชอบและหน่วยงานที่เกี่ยวข้องกลับออกมาให้ข่าวในทางที่ “กลบเกลื่อน” เป้าหมายที่แท้จริงของ ซิงเกิ้ล เกตเวย์ และสร้างความเข้าใจผิดต่อสาธารณะ

โดยในวันที่ 24 กันยายน รมว.ไอซีทีอ้างกับสื่อว่า โครงการ ซิงเกิ้ล เกตเวย์ นั้น “ทำเพื่อเศรษฐกิจเป็นหลัก ช่วยลดต้นทุนของผู้ประกอบการ” ส่วนประธานคณะกรรมการกิจการโทรคมนาคม (กทค.) ก็อ้างว่า เป้าหมายเรื่องนี้ของรัฐบาลคือ “ต้องการเพิ่มศักยภาพการแข่งขันของธุรกิจดิจิตัลในภูมิภาค สร้างแรงจูงใจให้เอกชนเข้ามาใช้ช่องทางเชื่อมต่อของไทยแทนที่จะเป็นเพื่อนบ้าน”

นอกจากข้ออ้างของผู้มีอำนาจทั้งสองนี้จะไม่จริง ความจริงยังอยู่ตรงกันข้าม นั่นคือ ถ้าทำจริงขึ้นมา นอกจากมันจะมีราคาแพงลิบ ซิงเกิ้ล เกตเวย์ ยังจะกระชากเศรษฐกิจดิจิทัลของไทยให้ถอยหลังไปไกล ไม่ได้ส่งเสริมแม้แต่น้อย!

อาทิตย์ สุริยะวงษ์กุล ผู้ประสานงานมูลนิธิอินเทอร์เน็ตและวัฒนธรรมพลเมือง (เครือข่ายพลเมืองเน็ต) อธิบายเรื่องนี้อย่างชัดเจนว่า

“ปริมาณข้อมูลข่าวสารที่ไหลเวียนอยู่มีไม่น้อย ถ้ารัฐทำจริงเชื่อว่าจะทำให้อินเทอร์เน็ตช้าลง มากน้อยขึ้นกับเทคนิคที่ใช้ เพราะต้องตรวจสอบข้อมูลก่อนปล่อย ซึ่งในเอกสารระบุว่าเป็นการเช็คขาเข้า แต่โดยเทคนิคแล้วเช็คได้ทั้งขาเข้าขาออก

“สอง ถ้าทำขึ้นจริงจะเกิด single point of failure คือ ถ้าล่มก็ล่มทั้งหมดเลย เปรียบได้กับบ้านหลังหนึ่งใช้น้ำประปาต่อท่อเข้ามาในบ้านจากผู้ให้บริการสามเจ้า แต่ละท่อส่งน้ำหนึ่งลิตรต่อหนึ่งวินาที พอรวมเป็นท่อเดียวก็เป็นสามลิตรต่อหนึ่งวินาที แบบนี้ดูไม่มีปัญหา แต่ลองคิดว่า ถ้าท่อนี้แตกก็จะไม่มีน้ำใช้เลย ขณะที่แบบเดิม ถ้าท่อนึงแตกยังมีเหลืออีกสองท่อ

“เพราะฉะนั้น ปัญหาจึงมีหลายจุด หนึ่ง เรื่องสิทธิเสรีภาพ แปลว่ารัฐพยายามจะควบคุมการไหลของข้อมูล ซึ่งรัฐพูดถึงตรงนี้อย่างชัดเจนว่าจะทำ สอง นอกจากการเซ็นเซอร์ การดักข้อมูลก็ทำได้ง่ายขึ้นด้วย ตรงนี้จะกระทบสิทธิข้อมูลส่วนบุคคล สาม รัฐบอกว่าจะสนับสนุนความมั่นคงปลอดภัยไซเบอร์ ซึ่งความมั่นคงปลอดภัยไซเบอร์ประกอบด้วย 3 เรื่องคือ การรักษาความลับของข้อมูล (confidentiality) ความถูกต้องครบถ้วนของข้อมูล (integrity) และความพร้อมใช้งานของข้อมูลและระบบ (availability) พอทำแบบนี้จะกระทบทั้งสามส่วน โดยเฉพาะอย่างยิ่งการพร้อมใช้ของข้อมูลและระบบ เพราะมีแนวโน้มว่าเจ๊งปุ๊บ จะล่มหมด จากแทนที่จะมีหลายลิงก์ อันนึงเสียก็ใช้อันอื่นต่อได้ ทั้งหมดนี้เท่ากับความมั่นคงปลอดภัยไซเบอร์ลดลง สวนทางกับที่รัฐบาลบอกจะทำให้ปลอดภัยขึ้น และจะหนุนดิจิทัลอิโคโนมี”


อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ต ที่มาภาพ: http://prachatai.org/journal/2015/09/61537

ซิงเกิ้ล เกตเวย์ นอกจากจะไม่ช่วยส่งเสริมเศรษฐกิจดิจิทัลอย่างที่ รมว.ไอซีที และประธาน กทค. กล่าวอ้าง มันยิ่งจะทำให้ผู้ประกอบการดิจิทัลมีต้นทุนและความเสี่ยงมากขึ้น จากการที่เน็ตช้ากว่าเดิม ภัยคุกคามไซเบอร์มีความเสี่ยงและแนวโน้มจะก่อความเสียหายมากขึ้น (แค่มีใครไปตัดไฟเกตเวย์ตัวนี้ตัวเดียว อินเทอร์เน็ตไทยก็จะล่มทั้งประเทศ)

ไม่นับว่าถ้าให้ กสท โทรคมนาคม เป็นผู้ดูแล ซิงเกิ้ล เกตเวย์ ยุคแห่งการผูกขาดก็จะหวนคืนมา สวนทางกระแสการเปิดเสรีซึ่งเริ่มต้นตั้งแต่เกิดวิกฤตเศรษฐกิจ ปี 2540 อีกทั้งยังเปิดโอกาสคอร์รัปชั่นมโหฬารจากอุปกรณ์อิเล็กทรอนิกส์มูลค่ามหาศาล ซึ่งถูกตีตรา “ลับมาก” ในโครงการที่ประชาชนไม่ได้ประโยชน์ใดๆ เลย

นอกจากจะมีต้นทุนและความเสี่ยงจากภัยคุกคามไซเบอร์มากขึ้น ซิงเกิ้ล เกตเวย์ ยังทำให้ข้อมูลทั้งหมดของประชาชนและธุรกิจสุ่มเสี่ยงที่จะถูกรัฐสอดแนม ปลอมแปลงใบรับรองการเข้ารหัสเพื่อล้วงข้อมูลได้อย่างง่ายดาย โดยปราศจากกลไกตรวจสอบและรับผิดใดๆ

อาทิตย์อธิบายว่า “ถ้ามีใครในไทย เช่น อาทิตย์ขอกูเกิลให้ส่งใบรับรองให้หน่อย ทันทีที่ ซิงเกิ้ล เกตเวย์ เห็นว่ามีการขอ ก็จะหยุดคำขอนั้นไว้ ไม่ส่งต่อและส่งใบรับรองปลอมให้อาทิตย์ เมื่ออาทิตย์ได้รับใบรับรองก็เข้าใจว่าใบรับรองนี้เป็นกุญแจเข้ารหัสจากกูเกิล ก็จะส่งข้อมูลที่เข้ารหัสด้วยกุญแจปลอมนี้กลับไป เท่ากับว่าคนสร้างกุญแจปลอมจะอ่านข้อมูลเข้ารหัสนี้ได้ โดยปกติ การส่งใบรับรองปลอมแบบนี้ทำไม่ได้ง่ายนัก แต่เมื่อไรที่ควบคุมเกตเวย์ได้ก็จะทำได้โดยง่าย กรณีนี้เรียกว่า man-in-the-middle attack”

ถึงเวลาแล้วที่ผู้มีอำนาจจะเลิกอ้างเหตุผลเรื่องการส่งเสริมเศรษฐกิจหรือภัยคุกคามไซเบอร์ซึ่งฟังไม่ขึ้นแม้แต่น้อย เปิดอกบอกประชาชนมาตรงๆ ดีกว่าว่า ข้อมูลข่าวสารที่ไม่อยากให้ประชาชนเข้าถึงนั้นคืออะไร และมันเป็นภัยคุกคามถึงขั้นที่เราควรยอมจ่ายต้นทุนมหาศาลทางเศรษฐกิจ สังคม และความเป็นส่วนตัวเพราะอะไร.

ooo

มารู้จักกับ Man-in-the-middle Attack



ร่วมแสดงจุดยืนต่อต้าน การคุกคามเสรีภาพพื้นฐานทางอินเตอร์เน็ต ไม่เอาSingle Gateway
Posted by พลเมืองโต้กลับ Resistant Citizen on Wednesday, September 30, 2015
https://www.facebook.com/Resistantcitizen/videos/vb.844606445582500/958529137523563/?type=2&theater