Published on ประชาไท Prachatai.com (https://prachatai.com)

Home > Begin Again 'ซิงเกิลเกตเวย์' แฝงในร่างใหม่ พ.ร.บ.คอมพิวเตอร์ > Begin Again 'ซิงเกิลเกตเวย์' แฝงในร่างใหม่ พ.ร.บ.คอมพิวเตอร์

Begin Again 'ซิงเกิลเกตเวย์' แฝงในร่างใหม่ พ.ร.บ.คอมพิวเตอร์

Submitted by user13 on Thu, 2016-05-26 14:05

"ซิงเกิลเกตเวย์ที่พูดกัน ก็ตัวนี้นี่แหละ" อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ตสรุป

ถ้ายังจำกันได้เมื่อปลายปีที่ผ่านมา มีการพูดถึง "ข้อสั่งการนายกรัฐมนตรี" ให้กระทรวงไอซีทีทำ "ซิงเกิลเกตเวย์" เพื่อใช้เป็นเครื่องมือควบคุมเว็บไซต์ที่ไม่เหมาะสมและการไหลเข้าของข้อมูลข่าวสารจากต่างประเทศผ่านทางระบบอินเทอร์เน็ต ซึ่งก่อให้ผู้ใช้งานอินเทอร์เน็ตในไทยเกิดความกังวลว่าการสื่อสารในช่องทางนี้จะไม่ปลอดภัยอีกต่อไปจนเกิดการล่ารายชื่อคัดค้านผ่าน change.org และปรากฏการณ์ F5 ก่อนที่เรื่องนี้จะค่อยๆ เงียบไปและเราก็ไม่ได้ยินคำๆ นี้อีก

แต่หลังเครือข่ายพลเมืองเน็ต [1]พบเอกสารแก้ไข พ.ร.บ.คอมพิวเตอร์ ซึ่งกำลังมีการตั้งคณะกรรมาธิการวิสามัญพิจารณาในเวลา 60 วัน หลัง สนช.รับหลักการไปเมื่อ 28 เม.ย. คำๆ นี้ก็กลับมา

โดยในร่างแก้ไข มาตรา 20 ซึ่งให้อำนาจพนักงานเจ้าหน้าที่ขออำนาจศาลสั่งบล็อคเว็บได้ ระบุว่า "รัฐมนตรีอาจประกาศกำหนดหลักเกณฑ์ ระยะเวลา และแนวทางการปฏิบัติสำหรับการระงับการทำให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ของผู้ให้บริการให้เป็นไปในแนวทางเดียวกันภายใต้พัฒนาการทางเทคโนโลยีที่เปลี่ยนไป" (ดูเอกสารด้านล่าง)

ในคำอธิบายถึงเหตุผลของการแก้ไขระบุว่า แม้ว่าศาลจะสั่งให้บล็อคเว็บได้ แต่ในทางปฏิบัติ จะต้องมีเครื่องมือและอุปกรณ์ต่างๆ ทั้งด้านฮาร์ดแวร์และซอฟท์แวร์ ตลอดจนขั้นตอนและแนวทางการปฏิบัติที่ชัดเจน เพื่อให้คำสั่งศาลสัมฤทธิ์ผล โดยมีการยกตัวอย่าง ข้อมูลคอมพิวเตอร์ที่เข้ารหัสด้วยเทคโนโลยี SSL (Secure Sockets Layer) ซึ่งถูกสร้างขึ้นเพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ต ที่มีการเข้ารหัสแบบ Public-key encryption ว่าจำต้องมีวิธีการและเครื่องมือพิเศษในการดำเนินการจึงจะกระทำได้สำเร็จ

ปัจจุบัน เว็บไซต์ใหญ่ๆ เช่น กูเกิล เฟซบุ๊ก ใช้การเข้ารหัสข้อมูลโดยใบรับรองความปลอดภัย
สังเกตได้จากยูอาร์แอลที่ขึ้นต้นด้วย https และมีสัญลักษณ์รูปแม่กุญแจสีเขียวหน้ายูอาร์แอล 

เวลาพูดถึง SSL คือการที่คนรับและส่งข้อมูลสองฝ่ายต่างเชื่อใจกันและกันว่า ต่างฝ่ายต่างเป็นคนนั้นๆ จริง โดยมีการแลกเปลี่ยนกุญแจเข้ารหัส ซึ่งกุญแจจะถูกใช้เข้ารหัสข้อมูลที่ส่งถึงกัน แต่การจะยืนยันต้องใช้ใบรับรองที่ต้องเรียกขอจากแต่ละฝ่ายก่อน เพื่อยืนยันตัวตน ใบรับรองนี้ออกโดยบุคคลที่สามที่น่าเชื่อถือ ใบรับรองนี้ทำปลอมได้ยาก เพราะต้องให้บุคคลที่สามออกใบรับรองปลอมให้ ซึ่งไม่มีใครทำให้ เพราะส่วนมากบุคคลที่สามนี้เป็นเอกชน หากมีการออกให้แม้เพียงกรณีเดียวบริษัทนั้นๆ จะหมดความน่าเชื่อและเจ๊งทันที ดังนั้น การขอให้บุคคลที่สามที่น่าเชื่อถือออกใบรับรองปลอมให้จึงเป็นไปได้ยาก (ที่มา [2])

ประกอบกับมาตรา 15 พ.ร.บ.คอมพิวเตอร์ ซึ่งเดิมกำหนดโทษสำหรับผู้ให้บริการที่จงใจ สนับสนุน หรือยินยอมให้มีการกระทำความผิดตามมาตรา 14 มีโทษเท่ากับผู้ที่กระทำผิดนั้น ในร่าง พ.ร.บ.ใหม่ มีการแก้ไขเพิ่มเติม ให้รัฐมนตรีออกประกาศกำหนดขั้นตอนการแจ้งเตือน การระงับการทำให้แพร่หลายของข้อมูลคอมพิวเตอร์ และการนำข้อมูลคอมพิวเตอร์นั้นออกจากระบบคอมพิวเตอร์ หากผู้ให้บริการได้ปฏิบัติตามประกาศของรัฐมนตรีแล้ว จะไม่ต้องรับโทษ

อาทิตย์ชี้ว่า เอกสารนั้นเขียนเพิ่มเติมว่า ตอนนี้มีเว็บจำนวนมากที่ปิดไม่ได้ เพราะเข้ารหัส จะหาวิธีพิเศษที่จะช่วยให้ปิดกั้นได้ เท่าที่เข้าใจการใช้สิ่งเหล่านี้จำเป็นต้องให้ไอเอสพีให้ความร่วมมือบางอย่างเพื่อใช้อุปกรณ์ได้

"ตีความว่าถ้ารัฐขอความร่วมมือปิดกั้น ก็เท่ากับต้องถอดรหัส ถ้าไอเอสพีไม่ให้ความร่วมมือก็จะมีความผิด เท่ากับไอเอสพีต้องช่วยถอดรหัส" อาทิตย์บอก

การถอดรหัสนั้น ทำได้เช่น ในระดับผู้ให้บริการอย่างเว็บขายของที่เข้ารหัสอยู่ เนื่องจากเป็นเว็บของตัวเอง เข้าเอง ก็ถอดรหัสเองได้ ในระดับเอไอเอส หรือทรู ยังไม่แน่ใจว่าเขาจะจัดการอย่างไร อาจใช้วิธี Man-in-the-middle attack ให้ไอเอสพีออกใบรับรองปลอม เช่น มีเซิร์ฟเวอร์เฟซบุ๊กปลอม ใครก็ตามจะเข้าเฟซบุ๊ก เมื่อเรียกข้อมูลไปที่เฟซบุ๊ก ก็จะถูกเปลี่ยนทางไปที่เซิร์ฟเวอร์เฟซบุ๊กปลอม เพื่อความเนียนก็จะต้องสร้างใบรับรองปลอมขึ้นมาด้วย ซึ่งต้องทำที่ระดับเกตเวย์จึงจะทำได้

นั่นคือข้อมูลของผู้ใช้ทั่วไปจะถูกดูได้หมด

สอดคล้องกับคำสั่งกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ที่ 163/2557 เรื่อง แต่งตั้งคณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์ ที่ระบุว่า มีอุปสรรคในการตรวจสอบและปิดกั้นเว็บไซต์ที่มีการเข้ารหัสป้องกันข้อมูล (SSL: Secure Socket Layer) จึงเห็นควรให้มีการจัดหาและทดสอบประสิทธิภาพของอุปกรณ์ระบบเฝ้าติดตามสื่อออนไลน์เพื่อสนับสนุนการปฏิบัติงานของคณะทำงานด้านสื่อออนไลน์ให้เป็นไปด้วยความเรียบร้อยและมีประสิทธิภาพ

"ก่อนหน้านี้เป็นการตั้งคณะกรรมการเพื่อทดสอบ" อาทิตย์บอกและว่า คราวนี้เป็นการให้อำนาจตามกฎหมายที่จะใช้จริง


ที่มา: ร่าง พ.ร.บ.คอมพิวเตอร์  [3]
 

 

ข่าว [4]
การเมือง [5]
ไอซีที [6]
Single Gateway [7]
SSL [8]
พ.ร.บ.คอมพิวเตอร์ [9]
มาตรา 14 [10]
มาตรา 15 [11]
มาตรา 20 [12]
อาทิตย์ สุริยะวงศ์กุล [13]

Source URL: https://prachatai.com/journal/2016/05/65984#comment-0

Links
[1] https://thainetizen.org/2016/05/single-gateway-back-ssl-censorship/
[2] http://prachatai.org/journal/2015/09/61537
[3] http://library.senate.go.th/document/mSubject/Ext52/52708_0001.PDF
[4] https://prachatai.com/category/%E0%B8%82%E0%B9%88%E0%B8%B2%E0%B8%A7
[5] https://prachatai.com/category/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B9%80%E0%B8%A1%E0%B8%B7%E0%B8%AD%E0%B8%87
[6] https://prachatai.com/category/%E0%B9%84%E0%B8%AD%E0%B8%8B%E0%B8%B5%E0%B8%97%E0%B8%B5
[7] https://prachatai.com/category/single-gateway
[8] https://prachatai.com/category/ssl
[9] https://prachatai.com/category/%E0%B8%9E%E0%B8%A3%E0%B8%9A%E0%B8%84%E0%B8%AD%E0%B8%A1%E0%B8%9E%E0%B8%B4%E0%B8%A7%E0%B9%80%E0%B8%95%E0%B8%AD%E0%B8%A3%E0%B9%8C
[10] https://prachatai.com/category/%E0%B8%A1%E0%B8%B2%E0%B8%95%E0%B8%A3%E0%B8%B2-14
[11] https://prachatai.com/category/%E0%B8%A1%E0%B8%B2%E0%B8%95%E0%B8%A3%E0%B8%B2-15
[12] https://prachatai.com/category/%E0%B8%A1%E0%B8%B2%E0%B8%95%E0%B8%A3%E0%B8%B2-20
[13] https://prachatai.com/category/%E0%B8%AD%E0%B8%B2%E0%B8%97%E0%B8%B4%E0%B8%95%E0%B8%A2%E0%B9%8C-%E0%B8%AA%E0%B8%B8%E0%B8%A3%E0%B8%B4%E0%B8%A2%E0%B8%B0%E0%B8%A7%E0%B8%87%E0%B8%A8%E0%B9%8C%E0%B8%81%E0%B8%B8%E0%B8%A5