เมื่อ Single gateway เปลี่ยนสถานะจากข่าวลือในแวดวงไอทีเป็นเรื่องจริง ปรากฏในข้อสั่งการนายกรัฐมนตรีเป็นลายลักษณ์อักษร “ประชาไท” สัมภาษณ์ “อาทิตย์ สุริยะวงศ์กุล” ผู้ประสานงานเครือข่ายพลเมืองเน็ต เพื่ออธิบายเรื่องนี้ว่า ทำไมการใช้อินเทอร์เน็ตอาจไม่ปลอดภัยอีกต่อไปแล้ว
อาทิตย์ สุริยะวงศ์กุล
(แฟ้มภาพ)
ไอเดียหลังรัฐประหาร สู่ปฏิบัติการจริง
อาทิตย์ให้ข้อมูลว่า ไอเดียเรื่องนี้ถูกเสนอหลังรัฐประหารไม่กี่วันโดยปลัดไอซีทีคนก่อน โดยมีแนวคิดว่าคนไทยใช้โซเชียลเน็ตเวิร์กของต่างประเทศอย่างไม่เหมาะสม ควบคุมไม่ได้ จึงคิดจะทำเฟซบุ๊กของไทยสำหรับให้คนไทยใช้ พร้อมเสนอไอเดียว่าเพื่อความปลอดภัยต้องมีการใส่รหัสบัตรประชาชนก่อนจึงจะใช้อินเทอร์เน็ตได้ และอีกเรื่องที่สำคัญมากคือ national single gateway มุ่งเน้นให้ดูเแลเรื่องความปลอดภัยได้ง่าย พร้อมเสียงสนับสนุนว่าแนวทางนี้จะช่วยประหยัดค่าใช้จ่าย ไม่ต้องมีเกตเวย์หลายเส้น ผู้ให้บริการอินเทอร์เน็ต (ไอเอสพี) ทั้งหลายสามารถแชร์เส้นเดียวกันได้ แต่ในเวลานั้นเรื่องนี้ก็ยังเป็นแค่การเสนอ ‘ไอเดีย’ โดยยังไม่เห็นรูปธรรมชัดเจน
ที่น่าสนใจคือ ในสัปดาห์เดียวกันนั้นเอง ปรากฏว่าเฟซบุ๊กเข้าไม่ได้หลายสิบนาที บางคนอธิบายว่านั่นเป็นการทดสอบอะไรบางอย่าง เช่น การใช้เกตเวย์เดียว มีการวิพากษ์วิจารณ์กันหนาหูแต่แล้วเรื่องก็เงียบหายไป
กระทั่งเมื่อเดือนที่ผ่านมา เรื่องนี้เป็นประเด็นขึ้นมาอีกหลังเปลี่ยนรัฐมนตรีไอซีที แต่ยังมีสถานะเป็นแค่ข่าวลือ และแม้มีข่าวอยู่เรื่อยๆ ว่า ไอซีทีมีการเรียกผู้ให้บริการไปพูดคุย แต่ยังไม่มีหลักฐานชัดเจน จนเมื่อมีเอกสารออกมายืนยันว่ามีการดำเนินการเรื่องนี้จริง และเป็นข้อสั่งการจากนายกรัฐมนตรี
“จะเห็นว่าไอเดียนี้มาพร้อมๆ กับรัฐประหาร” อาทิตย์กล่าว
อะไรคือ Single Gateway
อาทิตย์อธิบายว่า การใช้อินเทอร์เน็ตคือการเชื่อมต่อโครงข่ายแต่ละประเทศเข้าด้วยกัน เวลาจะเชื่อมต่ออินเทอร์เน็ตกับเซิฟเวอร์ ต้องเชื่อมต่อผ่านสิ่งที่เรียกว่า international internet gateway (IIG) ซึ่งสำหรับประเทศเล็กหรือประเทศที่ไม่มีผู้ให้บริการมากมักจะมี IIG เพียงเจ้าเดียว เช่น ลาว โดยรัฐเป็นคนควบคุม เมื่อก่อนไทยเองก็เป็นระบบนี้ คนดูแล IIG คือ กสท ซึ่งเป็นรัฐวิสาหกิจ เวลาจะต่ออินเทอร์เน็ตออกนอกประเทศทุกเจ้าต้องมาต่อที่นี่
ต่อมาเมื่อมีวิกฤตเศรษฐกิจปี 2540 เงื่อนไขหนึ่งที่เจ้าหนี้อย่างไอเอ็มเอฟระบุก็คือ การเปิดเสรีโทรคมนาคม ส่งผลให้เกตเวย์ในไทยเพิ่มขึ้นจากเจ้าเดียวเป็นหลายเจ้า เท่าที่ทราบล่าสุด 1-2 ปีก่อน ไอเอสพีเจ้าใหญ่ๆ น่าจะมีเกตเวย์เป็นของตัวเองหมดแล้ว โดยมีอย่างน้อย 12-13 เกตเวย์ที่วิ่งออกต่างประเทศ ซึ่งอาจจะไม่เยอะเมื่อเทียบกับประเทศอย่างอินโดนีเซีย แต่ก็เพิ่มขึ้นมาก
การมีเกตเวย์หลายเส้น กับการทำให้เหลือจุดเดียว ส่งผลอย่างไร
การควบคุมการไหลเข้าไหลออกของข้อมูลในระบบอินเทอร์เน็ต วิธีที่มีประสิทธิภาพมากที่สุด คือการควบคุมที่ระดับเกตเวย์ เพราะเท่ากับไม่ว่าอินเทอร์เน็ตภายในประเทศจะเชื่อมกันกี่หมื่นเส้น มันก็ต้องเชื่อมออกที่จุดเดียว การดัก การบล็อค การปลอม ตรวจสอบข้อมูล ที่จุดเดียวทำได้ง่ายกว่าเยอะ
เป็นอย่างที่เอกสารจากที่ประชุม ครม.ระบุไว้ว่า single gateway จะช่วยควบคุมการไหลของข้อมูลจากต่างประเทศได้ง่ายขึ้น ถ้าต้องตามเช็คทุกสายในประเทศ เช็คที่เดียวง่ายกว่า
อย่างไรก็ตาม ปริมาณข้อมูลข่าวสารที่ไหลเวียนอยู่มีไม่น้อย ถ้ารัฐทำจริงเชื่อว่าจะทำให้อินเทอร์เน็ตช้าลง มากน้อยขึ้นกับเทคนิคที่ใช้ เพราะต้องตรวจสอบข้อมูลก่อนปล่อย ซึ่งในเอกสารระบุว่าเป็นการเช็คขาเข้า แต่โดยเทคนิคแล้วเช็คได้ทั้งขาเข้าขาออก
สอง ถ้าทำขึ้นจริงจะเกิด single point of failure คือ ถ้าล่มก็ล่มทั้งหมดเลย เปรียบได้กับบ้านหลังหนึ่งใช้น้ำประปาต่อท่อเข้ามาในบ้านจากผู้ให้บริการสามเจ้า แต่ละท่อส่งน้ำหนึ่งลิตรต่อหนึ่งวินาที พอรวมเป็นท่อเดียวก็เป็นสามลิตรต่อหนึ่งวินาที แบบนี้ดูไม่มีปัญหา แต่ลองคิดว่า ถ้าท่อนี้แตกก็จะไม่มีน้ำใช้เลย ขณะที่แบบเดิม ถ้าท่อนึงแตกยังมีเหลืออีกสองท่อ
เพราะฉะนั้น ปัญหาจึงมีหลายจุด หนึ่ง เรื่องสิทธิเสรีภาพ แปลว่ารัฐพยายามจะควบคุมการไหลของข้อมูล ซึ่งรัฐพูดถึงตรงนี้อย่างชัดเจนว่าจะทำ สอง นอกจากการเซ็นเซอร์ การดักข้อมูลก็ทำได้ง่ายขึ้นด้วย ตรงนี้จะกระทบสิทธิข้อมูลส่วนบุคคล สาม รัฐบอกว่าจะสนับสนุนความมั่นคงปลอดภัยไซเบอร์ ซึ่งความมั่นคงปลอดภัยไซเบอร์ประกอบด้วย 3 เรื่องคือ การรักษาความลับของข้อมูล (confidentiality) ความถูกต้องครบถ้วนของข้อมูล (integrity) และความพร้อมใช้งานของข้อมูลและระบบ (availability) พอทำแบบนี้จะกระทบทั้งสามส่วน โดยเฉพาะอย่างยิ่งการพร้อมใช้ของข้อมูลและระบบ เพราะเราะมีแนวโน้มว่าเจ๊งปุ๊บ จะล่มหมด จากแทนที่จะมีหลายลิงก์ อันนึงเสียก็ใช้อันอื่นต่อได้ ทั้งหมดนี้เท่ากับความมั่นคงปลอดภัยไซเบอร์ลดลง สวนทางกับที่รัฐบาลบอกจะทำให้ปลอดภัยขึ้น และจะหนุนดิจิทัลอิโคโนมี
การมี single gateway ทำอะไรได้อีกบ้าง
ประเด็นสำคัญอีกอันหนึ่งคือ การดักข้อมูล สิ่งที่เป็นไปได้และเห็นมีความพยายามของรัฐที่จะทำ จากเอกสารของไอซีที เมื่อเดือนธันวาคม 2557 ที่เครือข่ายพลเมืองเน็ตเคยเผยแพร่ พบว่ามีการตั้งคณะกรรมการทดสอบการเข้าถึงข้อมูลที่ถูกเข้ารหัส (SSL) สิ่งที่จะทำให้สิ่งนี้เป็นไปได้คือการปลอมใบรับรองการเข้ารหัส
ปัจจุบัน เว็บไซต์ใหญ่ๆ เช่น กูเกิล เฟซบุ๊ก ใช้การเข้ารหัสข้อมูลโดยใบรับรองความปลอดภัย
สังเกตได้จากยูอาร์แอลที่ขึ้นต้นด้วย https และมีสัญลักษณ์รูปแม่กุญแจสีเขียวหน้ายูอาร์แอล
เวลาพูดถึง SSL คือการที่คนรับและส่งข้อมูลสองฝ่ายต่างเชื่อใจกันและกันว่า ต่างฝ่ายต่างเป็นคนนั้นๆ จริง โดยมีการแลกเปลี่ยนกุญแจเข้ารหัส ซึ่งกุญแจจะถูกใช้เข้ารหัสข้อมูลที่ส่งถึงกัน แต่การจะยืนยันต้องใช้ใบรับรองที่ต้องเรียกขอจากแต่ละฝ่ายก่อน เพื่อยืนยันตัวตน ใบรับรองนี้ออกโดยบุคคลที่สามที่น่าเชื่อถือ ใบรับรองนี้ทำปลอมได้ยาก เพราะต้องให้บุคคลที่สามออกใบรับรองปลอมให้ ซึ่งไม่มีใครทำให้ เพราะส่วนมากบุคคลที่สามนี้เป็นเอกชน หากมีการออกให้แม้เพียงกรณีเดียวบริษัทนั้นๆ จะหมดความน่าเชื่อและเจ๊งทันที ดังนั้น การขอให้บุคคลที่สามที่น่าเชื่อถือออกใบรับรองปลอมให้จึงเป็นไปได้ยาก
สิ่งที่จะมา "แก้ปัญหา" คือ กรณีที่มี single gateway ถ้ามีใครในไทย เช่น อาทิตย์ขอกูเกิลให้ส่งใบรับรองให้หน่อย ทันทีที่ single gateway เห็นว่ามีการขอ ก็จะหยุดคำขอนั้นไว้ ไม่ส่งต่อและส่งใบรับรองปลอมให้อาทิตย์ เมื่ออาทิตย์ได้รับใบรับรองก็เข้าใจว่าใบรับรองนี้เป็นกุญแจเข้ารหัสจากกูเกิล ก็จะส่งข้อมูลที่เข้ารหัสด้วยกุญแจปลอมนี้กลับไป เท่ากับว่าคนสร้างกุญแจปลอมจะอ่านข้อมูลเข้ารหัสนี้ได้ โดยปกติ การส่งใบรับรองปลอมแบบนี้ทำไม่ได้ง่ายนัก แต่เมื่อไรที่ควบคุมเกตเวย์ได้ก็จะทำได้โดยง่าย กรณีนี้เรียกว่า Man-in-the-middle attack
เท่ากับ https จะหมดความหมาย?
ไม่เสียทีเดียว ต้องสังเกตหน่อย โดยปกติเว็บเบราเซอร์จะพยายามจำใบรับรองของบริการสำคัญๆ เช่น กูเกิล เอาไว้ ใครพยายามปลอมใบรับรอง จะมีการเตือนสีแดงๆ ตรงแอดเดรสบาร์ ถ้าสังเกตจะพบว่ามีบางอย่างผิดปกติ ผู้ใช้งานสามารถตัดสินใจได้ว่าจะใช้ต่อไหม ปัญหาคือผู้ใช้ส่วนใหญ่คงไม่ได้สังเกตหรอก
อีกประเด็นคือเนื่องจากโซเชียลเน็ตเวิร์ก อีเมล การติดต่อสื่อสารเหล่านี้เป็นเรื่องที่เราคุยกับใครสักคน หรือหลายคนอยู่เสมอ ถ้าเกิดมีแอคเคาท์ใดในกลุ่มสนทนา ถูกเจาะการเข้ารหัส เขาจะสามารถอ่านข้อความของคนอื่นๆ ในกรุ๊ปได้ทั้งหมด แปลว่า เราระวังคนเดียวไม่ได้ ต้องคาดหวังว่าคนอื่นจะระวังด้วย
มีโอกาสที่ผู้ใช้จะไม่รู้ตัวเลยไหม
เป็นไปได้ แต่ที่เข้าใจ เว็บเบราเซอร์ก็พยายามจะเตือนอยู่เหมือนกัน เว็บเบราเซอร์ก็พยายามตามให้ทัน
คำแนะนำสำหรับผู้ใช้ทั่วไป
คำแนะนำทั่วไปคือต้องอัพเดทระบบปฏิบัติการ (OS) อยู่ตลอด อัพเดทเบราเซอร์ให้ใหม่อยู่ตลอด เพราะเวลามีการอัพเดท จะอัพเดทรายชื่อของใบรับรองปลอมด้วย หรือถ้ารู้ว่ารัฐบาลประเทศไหนกำลังทำอะไรประหลาด หรือไม่น่าเชื่อถือระบบก็จะขึ้นแบล็กลิสต์ไว้ ตรงนี้ก็พอจะช่วยได้
จะทำ single gateway ไอเอสพีต้องร่วมมือด้วยไหม?
โดยทั่วไปต้องอาศัยความร่วมมือของไอเอสพีด้วยวิธีการต่างๆ เช่น สร้างแรงจูงใจทางเศรษฐกิจ การขู่ว่าไม่ต่อใบอนุญาต หรือแย่ไปกว่านั้นคือ ใช้มาตรา 44 ที่ให้อำนาจหัวหน้า คสช. หรืออาจใช้มาตรา 33-34 ของร่าง พ.ร.บ.มั่นคงปลอดภัยไซเบอร์ (ที่อยู่ระหว่างการพิจารณา) มาตรานี้บอกว่า สำนักงานความมั่นคงปลอดภัยไซเบอร์มีอำนาจสั่งให้หน่วยงานรัฐ บุคคล ทำหรือไม่ทำอะไรก็ได้ เพื่อให้เกิดความมั่นคงปลอดภัยไซเบอร์ในประเทศ ตรงนี้ก็อาจมีการขอให้ไอเอสพีต้องติดตั้งเครื่องมือหรือซอฟต์แวร์นี้
ส่วนตัวคิดว่า ผู้ประกอบการคงไม่ต้องการแบบนี้เพราะทำให้ไม่สามารถรับประกันการให้บริการกับลูกค้าได้ พอล่มก็ล่มหมดเลย ในแง่ตลาด มันมีทางเลือกในตลาดโลกจำนวนมากในการเชื่อมต่อกับต่างประเทศ ทั้งเรื่องราคาและทางเลือก เช่น ไอเอสพีหนึ่งมีเกตเวย์หลายเส้นเชื่อมไปยังประเทศต่างๆ เพื่อให้บริการที่ดีที่สุด ถ้าต้องเชื่อมจุดเดียวเท่านั้น ไม่คิดว่าผู้ให้บริการแฮปปี้ เมื่อคิดว่าผู้ให้บริการหลายบริษัทต่างก็มีพาร์ทเนอร์ทางธุรกิจกับบริษัทต่างประเทศ พวกเขาคงอยากเลือกเชื่อมต่อเองมากกว่า เพื่อสร้างทางเลือกที่ดีที่สุดกับการประกอบกิจการและการบริการลูกค้า แต่พอมีกฎหมายพวกนี้เป็นไปได้ที่อาจจะถูกบังคับได้
ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)