Internet slow for you, too? Thai Netizen leaks docs showing compromise of secure transactions

May 28, 2016

[FACT comments: Readers should be aware that Thailand’s MICT is continuing its plan to consolidate the current ten international Internet gateways (IIG) into a single gateway to facilitate monitoring and censorship.

Even worse, the official Thai government documents leaked by TNN show that MICT is implementing plans to compromise encrypted SSL Internet transactions to pursue Thailand’s Great Firewall strategy.

If this still does not worry the ordinary person who relies on the Internet every single day, SSL is what makes online banking secure, among many other sorts of Internet transactions and all online commerce possible.

Put away that credit card!]

“Single Gateway” คืนชีพ ก.ไอซีทีเสนอในพ.ร.บ.คอมพ์ ให้มีวิธีระงับข้อมูลที่เข้ารหัส SSL

Thai Netizen Network: May 26, 2016

https://thainetizen.org/2016/05/single-gateway-back-ssl-censorship/

พบเอกสารนำเสนอที่มีชื่อ “กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร” เสนอหลักการและเหตุผลแก้ไขมาตรา 20 ของพ.ร.บ.คอมพิวเตอร์ให้รัฐมนตรีสามารถออกประกาศกำหนดให้มีวิธีการในการปิดกั้นข้อมูลที่ถูกเข้ารหัสได้

ในหน้า 7 ของเอกสารนำเสนอดังกล่าว ระบุว่า “รัฐมนตรีอาจประกาศกำหนดหลักเกณฑ์ ระยะเวลาและแนวทางการปฏิบัติสำหรับการระงับการทำให้แพร่หลายหรือลบข้อมูลคอมพิวเตอร์ของผู้ให้บริการให้เป็นไปในแนวทางเดียวกันภายใต้พัฒนาการทางเทคโนโลยีที่เปลี่ยนไป เช่น ข้อมูลคอมพิวเตอร์ที่เข้ารหัสด้วยเทคโนโลยี SSL (Secure Socket Layer) ซึ่งถูกสร้างขึ้นมาเพื่อเพิ่มความปลอดภัยในการสื่อสารหรือส่งข้อมูลบนเครือข่ายอินเทอร์เน็ตที่มีการเข้ารหัสแบบ Public-key encryption นั้น จำเป็นต้องมีวิธีการและเครื่องมือพิเศษในการดำเนินการจึงจะสามารถกระทำได้สำเร็จ …”

หน้า 7 ของเอกสารนำเสนอกล่าวถึงการระงับหรือลบข้อมูลที่ถูกเข้ารหัสด้วย public-key encryption

ระบบอีเมล การสื่อสาร และการพาณิชย์อิเล็กทรอนิกส์ในปัจจุบัน ใช้เทคโนโลยี SSL (Secure Sockets Layer) หรือ TLS (Transport Layer Security) ในการเข้ารหัสข้อมูลเป็นการทั่วไปเพื่อเพิ่มความปลอดภัยให้กับผู้ใช้ ผู้ใช้อินเทอร์เน็ตอาจทราบได้ว่าเว็บไซต์ใดเข้ารหัสข้อมูล ด้วยการสังเกตที่อยู่เว็บไซต์ขึ้นต้นด้วยคำว่า https

ร่างพ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่..) พ.ศ. …. ฉบับวันที่ 19 เมษายน 2559 ซึ่งผ่านสภานิติบัญญัติแห่งชาติ (สนช.) พิจารณาเห็นชอบในวาระที่หนึ่งไปแล้วนั้น นอกจากจะแก้ไขมาตรา 20 ให้สามารถปิดกั้นข้อมูลคอมพิวเตอร์ได้ แม้ข้อมูลนั้นจะไม่ผิดกฎหมายใด [ร่างมาตรา 15 เพิ่มมาตรา 20 (4)] แล้ว ยังแก้ไขมาตรา 15 ให้รัฐมนตรีกระทรวงดิจิทัลมีอำนาจออกประกาศเพิ่มเติมเรื่องขั้นตอนการปิดกั้นเว็บได้ [ร่างมาตรา 9 แก้ไขมาตรา 15] โดยหากผู้ให้บริการอินเทอร์เน็ตไม่ทำตามประกาศดังกล่าวก็อาจจะต้องรับโทษ ซึ่งการออกประกาศเกี่ยวกับ SSL หรือ public-key encryption ในสไลด์ข้างต้นน่าจะเป็นอำนาจตามมาตรา 15 นี้

แก้ไขมาตรา 20 ให้สามารถปิดกั้นข้อมูลที่ผิดตามกฎหมายอื่นที่ไม่ใช่พ.ร.บ.คอมพิวเตอร์ได้ รวมถึงข้อมูลที่ไม่ผิดกฎหมาย แต่อาจขัดความสงบเรียบร้อยหรือศีลธรรมอันดี

แก้ไขมาตรา 15 ให้รัฐมนตรีมีอำนาจออกประกาศเพิ่มเติมเรื่องขั้นตอนการปิดกั้นข้อมูลได้

ข้อเสนอนี้สอดคล้องกับคำสั่งกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ที่ 163/2557 เรื่อง แต่งตั้งคณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์ ซึ่งระบุว่าคณะทำงานด้านสื่อออนไลน์ ภายใต้คณะกรรมการเพื่อติดตามการเผยแพร่ข่าวสารต่อสาธารณะ (ซึ่งแต่งตั้งตามคำสั่ง คสช. (เฉพาะ) ที่ 12/2557 ลงวันที่ 19 มิ.ย. 2557) “พบว่ามีอุปสรรคในการตรวจสอบและปิดกั้นเว็บไซต์ที่มีการเข้ารหัสป้องกันข้อมูล (SSL : Secure Socket Layer)” ดังนั้นกระทรวงไอซีที “จึงเห็นควรให้มีการจัดหาและทดสอบประสิทธิภาพของอุปกรณ์ระบบเฝ้าติดตามสื่อออนไลน์เพื่อสนับสนุนการปฏิบัติงานของคณะทำงานด้านสื่อออนไลน์ให้เป็นไปด้วยความเรียบร้อยและมีประสิทธิภาพ”

ทั้งนี้คณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์ตามคำสั่งที่ 163/2557 ดังกล่าว มีอำนาจหน้าที่ 4 เรื่อง โดยสองเรื่องแรกคือ “1. ควบคุมการทดสอบระบบเฝ้าติดตามสื่อออนไลน์ที่มีการเข้ารหัสป้องกันข้อมูล (SSL : Secure Socket Layer) และประเมินผล เพื่อให้ได้ระบบที่มีประสิทธิภาพสูงสุด เหมาะสมในการใช้งานสำหรับประเทศไทย” และ “2. ประสานทางเทคนิคกับผู้ประกอบการและผู้ให้บริการอินเทอร์เน็ตภายในประเทศและที่เชื่อมต่อกับต่างประเทศโดยตรง (International Internet Gateway) ในการทดสอบระบบเฝ้าติดตามสื่อออนไลน์”

คำสั่งกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ที่ 163/2557 เรื่อง แต่งตั้งคณะทำงานทดสอบระบบเฝ้าติดตามสื่อออนไลน์

ผู้ใช้อินเทอร์เน็ตที่ทำงานด้านความมั่นคงปลอดภัยของระบบเครือข่ายมองเรื่องนี้ว่า สาเหตุที่จำเป็นต้องประสานการทำงานกับทางผู้ให้บริการอินเทอร์เน็ต อาจเป็นเพราะวิธีหนึ่งที่จะเข้าถึงข้อมูลที่ถูกเข้ารหัส คือการใช้วิธีที่เรียกว่า “Man-in-the-Middle Attack” ซึ่งหากผู้ให้บริการอินเทอร์เน็ตให้ความร่วมมือก็จะทำงานได้แนบเนียนขึ้น

หากร่างกฎหมายฉบับนี้ผ่าน มาตรา 15 ซึ่งกำหนดว่า “ผู้ให้บริการผู้ใดให้ความร่วมมือ ยินยอม หรือรู้เห็นเป็นใจให้มีการกระทำความผิด” จะต้องรับโทษด้วย จะเป็นภาระทางกฎหมายที่กดดันให้ผู้ให้บริการจำเป็นต้องให้ความร่วมมือกับเจ้าหน้าที่รัฐ ในการช่วยเหลือระงับข้อมูลที่ถูกเข้ารหัสได้ ทั้งนี้ก่อนที่จะระงับตัวข้อมูลได้ จำเป็นต้องเข้าถึงข้อมูลให้ทราบได้ก่อนว่าข้อมูลนั้นคืออะไร

ปกติการปิดกั้นเว็บไซต์ในปัจจุบัน จะใช้วิธีให้ผู้ให้บริการเข้าถึงอินเทอร์เน็ตตรวจสอบที่อยู่เว็บไซต์ (url) ที่ผู้ใช้เรียกดู เทียบกับรายการปิดกั้น (block list) โดยถ้าพบว่าที่อยู่ที่เรียกในตรงกับชื่อในรายการ ก็จะปิดกั้น — อย่างไรก็ตาม กรณีที่ผู้ใช้ติดต่อกับเว็บไซต์ที่มีที่อยู่ขึ้นต้นด้วย https:// ซึ่งหมายความว่ามีการเข้ารหัสข้อมูลที่ส่ง สิ่งที่ผู้ให้บริการเข้าถึงอินเทอร์เน็ตเห็นจะมีเพียงชื่อโดเมน ไม่มีส่วนอื่นๆ ของที่อยู่ เช่น หากผู้ใช้เข้าดูหน้าเว็บ https://www.facebook.com/thainetizen ที่อยู่ที่ผู้ให้บริการเข้าถึงอินเทอร์เน็ตจะมีเพียง https://www.facebook.com เท่านั้น ทำให้ไม่สามารถปิดกั้นเฉพาะหน้า https://www.facebook.com/thainetizen ได้ หากต้องการปิดกั้น ก็จะต้องปิดกั้นทั้ง https://www.facebook.com ซึ่งจะกระทบกับหน้าอื่นๆ ในเว็บไซต์เดียวกันด้วย — ด้วยเหตุนี้ หากต้องการจะปิดกั้นเว็บไซต์ที่เข้ารหัสเป็นรายหน้า ก็จำเป็นต้องหาวิธีการถอดรหัสให้ได้ เพื่อให้ทราบที่อยู่

ในทางเทคนิค วิธีการและเครื่องมือในการเข้าถึงข้อมูลที่ถูกเข้ารหัสดังกล่าว หากมีการนำมาใช้ จะสามารถเข้าถึงข้อมูลที่เข้ารหัสได้ทุกชนิด เช่น การโอนเงิน สั่งซื้อสินค้าออนไลน์ ไม่เจาะจงเฉพาะกับเนื้อหาที่ผิดกฎหมายหรือขัดศีลธรรม

ขณะนี้ ร่างแก้ไขพ.ร.บ.คอมพิวเตอร์ดังกล่าวผ่านการเห็นชอบจากสภานิติบัญญัติแห่งชาติ (สนช.) ในวาระแรกไปแล้ว และกำลังอยู่ระหว่างการพิจาณาของคณะกรรมาธิการวิสามัญพิจารณาร่างฯ โดยมีกำหนดแล้วเสร็จประมาณสิ้นเดือนมิถุนายน 2559 หลังจากนั้นจะส่งให้กับสนช.พิจารณาวาระที่ 2 และที่ 3 ต่อไป ก่อนจะประกาศใช้เป็นกฎหมาย