มื่อ Single gateway เปลี่ยนสถานะจากข่าวลือในแวดวงไอทีเป็นเรื่องจริง ปรากฏในข้อสั่งการนายกรัฐมนตรีเป็นลายลักษณ์อักษร
“ประชาไท” สัมภาษณ์ “อาทิตย์ สุริยะวงศ์กุล” ผู้ประสานงานเครือข่ายพลเมืองเน็ต เพื่ออธิบายเรื่องนี้ว่า
ทำไมการใช้อินเทอร์เน็ตอาจไม่ปลอดภัยอีกต่อไปแล้ว
ไอเดียหลังรัฐประหาร สู่ปฏิบัติการจริง
อาทิตย์ให้ข้อมูลว่า ไอเดียเรื่องนี้ถูกเสนอหลังรัฐประหารไม่กี่วันโดยปลัดไอซีทีคนก่อน
โดยมีแนวคิดว่าคนไทยใช้โซเชียลเน็ตเวิร์กของต่างประเทศอย่างไม่เหมาะสม ควบคุมไม่ได้
จึงคิดจะทำเฟซบุ๊กของไทยสำหรับให้คนไทยใช้ พร้อมเสนอไอเดียว่าเพื่อความปลอดภัย
ต้องมีการใส่รหัสบัตรประชาชนก่อนจึงจะใช้อินเทอร์เน็ตได้
และอีกเรื่องที่สำคัญมากคือ national single gateway มุ่งเน้นให้ดูเแลเรื่องความปลอดภัยได้ง่าย
พร้อมเสียงสนับสนุนว่าแนวทางนี้จะช่วยประหยัดค่าใช้จ่าย ไม่ต้องมีเกตเวย์หลายเส้น ผู้ให้บริการอินเทอร์เน็ต (ไอเอสพี)
ทั้งหลายสามารถแชร์เส้นเดียวกันได้ แต่ในเวลานั้นเรื่องนี้ก็ยังเป็นแค่การเสนอ ‘ไอเดีย’ โดยยังไม่เห็นรูปธรรมชัดเจน
ที่น่าสนใจคือ ในสัปดาห์เดียวกันนั้นเอง ปรากฏว่าเฟซบุ๊กเข้าไม่ได้หลายสิบนาที
บางคนอธิบายว่านั่นเป็นการทดสอบอะไรบางอย่าง เช่น การใช้เกตเวย์เดียว มีการวิพากษ์วิจารณ์กันหนาหูแต่แล้วเรื่องก็เงียบหายไป
กระทั่งเมื่อเดือนที่ผ่านมา เรื่องนี้เป็นประเด็นขึ้นมาอีกหลังเปลี่ยนรัฐมนตรีไอซีที
แต่ยังมีสถานะเป็นแค่ข่าวลือ และแม้มีข่าวอยู่เรื่อยๆ ว่า ไอซีทีมีการเรียกผู้ให้บริการไปพูดคุย
ยังไม่มีหลักฐานชัดเจน จนเมื่อมีเอกสารออกมายืนยันว่ามีการดำเนินการเรื่องนี้จริง และเป็นข้อสั่งการจากนายกรัฐมนตรี
“จะเห็นว่าไอเดียนี้มาพร้อมๆ กับรัฐประหาร” อาทิตย์กล่าว
อะไรคือ Single Gateway
อาทิตย์อธิบายว่า การใช้อินเทอร์เน็ตคือการเชื่อมต่อโครงข่ายแต่ละประเทศเข้าด้วยกัน
เวลาจะเชื่อมต่ออินเทอร์เน็ตกับเซิฟเวอร์ ต้องเชื่อมต่อผ่านสิ่งที่เรียกว่า international internet gateway (IIG)
ซึ่งสำหรับประเทศเล็กหรือประเทศที่ไม่มีผู้ให้บริการมากมักจะมี IIG เพียงเจ้าเดียว เช่น ลาว โดยรัฐเป็นคนควบคุม
เมื่อก่อนไทยเองก็เป็นระบบนี้ คนดูแล IIG คือ กสท ซึ่งเป็นรัฐวิสาหกิจ เวลาจะต่ออินเทอร์เน็ตออกนอกประเทศทุกเจ้าต้องมาต่อที่นี่
ต่อมาเมื่อมีวิกฤตเศรษฐกิจปี 2540 เงื่อนไขหนึ่งที่เจ้าหนี้อย่างไอเอ็มเอฟระบุก็คือ
การเปิดเสรีโทรคมนาคม ส่งผลให้เกตเวย์ในไทยเพิ่มขึ้นจากเจ้าเดียวเป็นหลายเจ้า เท่าที่ทราบล่าสุด 1-2 ปีก่อน
ไอเอสพีเจ้าใหญ่ๆ น่าจะมีเกตเวย์เป็นของตัวเองหมดแล้ว โดยมีอย่างน้อย 12-13 เกตเวย์ที่วิ่งออกต่างประเทศ
ซึ่งอาจจะไม่เยอะเมื่อเทียบกับประเทศอย่างอินโดนีเซีย แต่ก็เพิ่มขึ้นมาก
การมีเกตเวย์หลายเส้น กับการทำให้เหลือจุดเดียว ส่งผลอย่างไร
การควบคุมการไหลเข้าไหลออกของข้อมูลในระบบอินเทอร์เน็ต วิธีที่มีประสิทธิภาพมากที่สุด
คือการควบคุมที่ระดับเกตเวย์ เพราะเท่ากับไม่ว่าอินเทอร์เน็ตภายในประเทศจะเชื่อมกันกี่หมื่นเส้น
มันก็ต้องเชื่อมออกที่จุดเดียว การดัก การบล็อค การปลอม ตรวจสอบข้อมูล ที่จุดเดียวทำได้ง่ายกว่าเยอะ
เป็นอย่างที่เอกสารจากที่ประชุม ครม.ระบุไว้ว่า single gateway
จะช่วยควบคุมการไหลของข้อมูลจากต่างประเทศได้ง่ายขึ้น ถ้าต้องตามเช็คทุกสายในประเทศ เช็คที่เดียวง่ายกว่า
อย่างไรก็ตาม ปริมาณข้อมูลข่าวสารที่ไหลเวียนอยู่มีไม่น้อย
ถ้ารัฐทำจริงเชื่อว่าจะทำให้อินเทอร์เน็ตช้าลง มากน้อยขึ้นกับเทคนิคที่ใช้
เพราะต้องตรวจสอบข้อมูลก่อนปล่อย ซึ่งในเอกสารระบุว่าเป็นการเช็คขาเข้า แต่โดยเทคนิคแล้วเช็คได้ทั้งขาเข้าขาออก
สอง ถ้าทำขึ้นจริงจะเกิด single point of failure คือ ถ้าล่มก็ล่มทั้งหมดเลย
เปรียบได้กับบ้านหลังหนึ่งใช้น้ำประปาต่อท่อเข้ามาในบ้านจากผู้ให้บริการสามเจ้า
แต่ละท่อส่งน้ำหนึ่งลิตรต่อหนึ่งวินาที พอรวมเป็นท่อเดียวก็เป็นสามลิตรต่อหนึ่งวินาที แบบนี้ดูไม่มีปัญหา
แต่ลองคิดว่า ถ้าท่อนี้แตกก็จะไม่มีน้ำใช้เลย ขณะที่แบบเดิม ถ้าท่อนึงแตกยังมีเหลืออีกสองท่อ
เพราะฉะนั้น ปัญหาจึงมีหลายจุด หนึ่ง เรื่องสิทธิเสรีภาพ แปลว่ารัฐพยายามจะควบคุมการไหลของข้อมูล
ซึ่งรัฐพูดถึงตรงนี้อย่างชัดเจนว่าจะทำ สอง นอกจากการเซ็นเซอร์ การดักข้อมูลก็ทำได้ง่ายขึ้นด้วย
ตรงนี้จะกระทบสิทธิข้อมูลส่วนบุคคล สาม รัฐบอกว่าจะสนับสนุนความมั่นคงปลอดภัยไซเบอร์
ซึ่งความมั่นคงปลอดภัยไซเบอร์ประกอบด้วย 3 เรื่องคือ การรักษาความลับของข้อมูล (confidentiality)
ความถูกต้องครบถ้วนของข้อมูล (integrity) และความพร้อมใช้งานของข้อมูลและระบบ (availability)
พอทำแบบนี้จะกระทบทั้งสามส่วน โดยเฉพาะอย่างยิ่งการพร้อมใช้ของข้อมูลและระบบ
เพราะเราะมีแนวโน้มว่าเจ๊งปุ๊บ จะล่มหมด จากแทนที่จะมีหลายลิงก์ อันนึงเสียก็ใช้อันอื่นต่อได้
ทั้งหมดนี้เท่ากับความมั่นคงปลอดภัยไซเบอร์ลดลง สวนทางกับที่รัฐบาลบอกจะทำให้ปลอดภัยขึ้น และจะหนุนดิจิทัลอิโคโนมี
การมี single gateway ทำอะไรได้อีกบ้าง
ประเด็นสำคัญอีกอันหนึ่งคือ การดักข้อมูล สิ่งที่เป็นไปได้และเห็นมีความพยายามของรัฐที่จะทำ
จากเอกสารของไอซีที เมื่อเดือนธันวาคม 2557 ที่เครือข่ายพลเมืองเน็ตเคยเผยแพร่
พบว่ามีการตั้งคณะกรรมการทดสอบการเข้าถึงข้อมูลที่ถูกเข้ารหัส (SSL) สิ่งที่จะทำให้สิ่งนี้เป็นไปได้คือการปลอมใบรับรองการเข้ารหัส
ปัจจุบัน เว็บไซต์ใหญ่ๆ เช่น กูเกิล เฟซบุ๊ก ใช้การเข้ารหัสข้อมูลโดยใบรับรองความปลอดภัย
สังเกตได้จากยูอาร์แอลที่ขึ้นต้นด้วย https และมีสัญลักษณ์รูปแม่กุญแจสีเขียวหน้ายูอาร์แอล
เวลาพูดถึง SSL คือการที่คนรับและส่งข้อมูลสองฝ่ายต่างเชื่อใจกันและกันว่า ต่างฝ่ายต่างเป็นคนนั้นๆ จริง
โดยมีการแลกเปลี่ยนกุญแจเข้ารหัส ซึ่งกุญแจจะถูกใช้เข้ารหัสข้อมูลที่ส่งถึงกัน
แต่การจะยืนยันต้องใช้ใบรับรองที่ต้องเรียกขอจากแต่ละฝ่ายก่อน เพื่อยืนยันตัวตน
ใบรับรองนี้ออกโดยบุคคลที่สามที่น่าเชื่อถือ ใบรับรองนี้ทำปลอมได้ยาก
เพราะต้องให้บุคคลที่สามออกใบรับรองปลอมให้ ซึ่งไม่มีใครทำให้ เพราะส่วนมากบุคคลที่สามนี้เป็นเอกชน
หากมีการออกให้แม้เพียงกรณีเดียวบริษัทนั้นๆ จะหมดความน่าเชื่อและเจ๊งทันที ดังนั้น
การขอให้บุคคลที่สามที่น่าเชื่อถือออกใบรับรองปลอมให้จึงเป็นไปได้ยาก
สิ่งที่จะมา "แก้ปัญหา" คือ กรณีที่มี single gateway ถ้ามีใครในไทย เช่น อาทิตย์ขอกูเกิลให้ส่งใบรับรองให้หน่อย
ทันทีที่ single gateway เห็นว่ามีการขอ ก็จะหยุดคำขอนั้นไว้ ไม่ส่งต่อและส่งใบรับรองปลอมให้อาทิตย์
เมื่ออาทิตย์ได้รับใบรับรองก็เข้าใจว่าใบรับรองนี้เป็นกุญแจเข้ารหัสจากกูเกิล
ก็จะส่งข้อมูลที่เข้ารหัสด้วยกุญแจปลอมนี้กลับไป เท่ากับว่าคนสร้างกุญแจปลอมจะอ่านข้อมูลเข้ารหัสนี้ได้ โดยปกติ
การส่งใบรับรองปลอมแบบนี้ทำไม่ได้ง่ายนัก แต่เมื่อไรที่ควบคุมเกตเวย์ได้ก็จะทำได้โดยง่าย
กรณีนี้เรียกว่า Man-in-the-middle attack
เท่ากับ https จะหมดความหมาย?
ไม่เสียทีเดียว ต้องสังเกตหน่อย โดยปกติเว็บเบราเซอร์จะพยายามจำใบรับรองของบริการสำคัญๆ เช่น กูเกิล เอาไว้
ใครพยายามปลอมใบรับรอง จะมีการเตือนสีแดงๆ ตรงแอดเดรสบาร์
ถ้าสังเกตจะพบว่ามีบางอย่างผิดปกติ ผู้ใช้งานสามารถตัดสินใจได้ว่าจะใช้ต่อไหม ปัญหาคือผู้ใช้ส่วนใหญ่คงไม่ได้สังเกตหรอก
อีกประเด็นคือเนื่องจากโซเชียลเน็ตเวิร์ก อีเมล การติดต่อสื่อสารเหล่านี้เป็นเรื่องที่เราคุยกับใครสักคน
หรือหลายคนอยู่เสมอ ถ้าเกิดมีแอคเคาท์ใดในกลุ่มสนทนา ถูกเจาะการเข้ารหัส
เขาจะสามารถอ่านข้อความของคนอื่นๆ ในกรุ๊ปได้ทั้งหมด แปลว่า เราระวังคนเดียวไม่ได้ ต้องคาดหวังว่าคนอื่นจะระวังด้วย
มีโอกาสที่ผู้ใช้จะไม่รู้ตัวเลยไหม
เป็นไปได้ แต่ที่เข้าใจ เว็บเบราเซอร์ก็พยายามจะเตือนอยู่เหมือนกัน เว็บเบราเซอร์ก็พยายามตามให้ทัน
คำแนะนำสำหรับผู้ใช้ทั่วไป
คำแนะนำทั่วไปคือต้องอัพเดทระบบปฏิบัติการ (OS) อยู่ตลอด อัพเดทเบราเซอร์ให้ใหม่อยู่ตลอด
เพราะเวลามีการอัพเดท จะอัพเดทรายชื่อของใบรับรองปลอมด้วย
หรือถ้ารู้ว่ารัฐบาลประเทศไหนกำลังทำอะไรประหลาด หรือไม่น่าเชื่อถือระบบก็จะขึ้นแบล็กลิสต์ไว้ ตรงนี้ก็พอจะช่วยได้
จะทำ single gateway ไอเอสพีต้องร่วมมือด้วยไหม?
โดยทั่วไปต้องอาศัยความร่วมมือของไอเอสพีด้วยวิธีการต่างๆ เช่น สร้างแรงจูงใจทางเศรษฐกิจ
สำนักงานความมั่นคงปลอดภัยไซเบอร์มีอำนาจสั่งให้หน่วยงานรัฐ บุคคล ทำหรือไม่ทำอะไรก็ได้
เพื่อให้เกิดความมั่นคงปลอดภัยไซเบอร์ในประเทศ ตรงนี้ก็อาจมีการขอให้ไอเอสพีต้องติดตั้งเครื่องมือหรือซอฟต์แวร์นี้
ส่วนตัวคิดว่า ผู้ประกอบการคงไม่ต้องการแบบนี้เพราะทำให้ไม่สามารถรับประกันการให้บริการกับลูกค้าได้ พอล่มก็ล่มหมดเลย
ในแง่ตลาด มันมีทางเลือกในตลาดโลกจำนวนมากในการเชื่อมต่อกับต่างประเทศ ทั้งเรื่องราคาและทางเลือก
เช่น ไอเอสพีหนึ่งมีเกตเวย์หลายเส้นเชื่อมไปยังประเทศต่างๆ เพื่อให้บริการที่ดีที่สุด
ถ้าต้องเชื่อมจุดเดียวเท่านั้น ไม่คิดว่าผู้ให้บริการแฮปปี้ เมื่อคิดว่าผู้ให้บริการหลายบริษัทต่างก็มีพาร์ทเนอร์ทางธุรกิจกับบริษัทต่างประเทศ
พวกเขาคงอยากเลือกเชื่อมต่อเองมากกว่า เพื่อสร้างทางเลือกที่ดีที่สุดกับการประกอบกิจการและการบริการลูกค้า
แต่พอมีกฎหมายพวกนี้เป็นไปได้ที่อาจจะถูกบังคับได้
http://www.prachatai.com/journal/2015/09/61537 
ซิงเกิล เกตเวย์: คุยกับ 'อาทิตย์' เมื่อรัฐคุมอินเทอร์เน็ตเบ็ดเสร็จ พลเมืองจะอยู่อย่างไร
“ประชาไท” สัมภาษณ์ “อาทิตย์ สุริยะวงศ์กุล” ผู้ประสานงานเครือข่ายพลเมืองเน็ต เพื่ออธิบายเรื่องนี้ว่า
ทำไมการใช้อินเทอร์เน็ตอาจไม่ปลอดภัยอีกต่อไปแล้ว
ไอเดียหลังรัฐประหาร สู่ปฏิบัติการจริง
อาทิตย์ให้ข้อมูลว่า ไอเดียเรื่องนี้ถูกเสนอหลังรัฐประหารไม่กี่วันโดยปลัดไอซีทีคนก่อน
โดยมีแนวคิดว่าคนไทยใช้โซเชียลเน็ตเวิร์กของต่างประเทศอย่างไม่เหมาะสม ควบคุมไม่ได้
จึงคิดจะทำเฟซบุ๊กของไทยสำหรับให้คนไทยใช้ พร้อมเสนอไอเดียว่าเพื่อความปลอดภัย
ต้องมีการใส่รหัสบัตรประชาชนก่อนจึงจะใช้อินเทอร์เน็ตได้
และอีกเรื่องที่สำคัญมากคือ national single gateway มุ่งเน้นให้ดูเแลเรื่องความปลอดภัยได้ง่าย
พร้อมเสียงสนับสนุนว่าแนวทางนี้จะช่วยประหยัดค่าใช้จ่าย ไม่ต้องมีเกตเวย์หลายเส้น ผู้ให้บริการอินเทอร์เน็ต (ไอเอสพี)
ทั้งหลายสามารถแชร์เส้นเดียวกันได้ แต่ในเวลานั้นเรื่องนี้ก็ยังเป็นแค่การเสนอ ‘ไอเดีย’ โดยยังไม่เห็นรูปธรรมชัดเจน
ที่น่าสนใจคือ ในสัปดาห์เดียวกันนั้นเอง ปรากฏว่าเฟซบุ๊กเข้าไม่ได้หลายสิบนาที
บางคนอธิบายว่านั่นเป็นการทดสอบอะไรบางอย่าง เช่น การใช้เกตเวย์เดียว มีการวิพากษ์วิจารณ์กันหนาหูแต่แล้วเรื่องก็เงียบหายไป
กระทั่งเมื่อเดือนที่ผ่านมา เรื่องนี้เป็นประเด็นขึ้นมาอีกหลังเปลี่ยนรัฐมนตรีไอซีที
แต่ยังมีสถานะเป็นแค่ข่าวลือ และแม้มีข่าวอยู่เรื่อยๆ ว่า ไอซีทีมีการเรียกผู้ให้บริการไปพูดคุย
ยังไม่มีหลักฐานชัดเจน จนเมื่อมีเอกสารออกมายืนยันว่ามีการดำเนินการเรื่องนี้จริง และเป็นข้อสั่งการจากนายกรัฐมนตรี
“จะเห็นว่าไอเดียนี้มาพร้อมๆ กับรัฐประหาร” อาทิตย์กล่าว
อะไรคือ Single Gateway
อาทิตย์อธิบายว่า การใช้อินเทอร์เน็ตคือการเชื่อมต่อโครงข่ายแต่ละประเทศเข้าด้วยกัน
เวลาจะเชื่อมต่ออินเทอร์เน็ตกับเซิฟเวอร์ ต้องเชื่อมต่อผ่านสิ่งที่เรียกว่า international internet gateway (IIG)
ซึ่งสำหรับประเทศเล็กหรือประเทศที่ไม่มีผู้ให้บริการมากมักจะมี IIG เพียงเจ้าเดียว เช่น ลาว โดยรัฐเป็นคนควบคุม
เมื่อก่อนไทยเองก็เป็นระบบนี้ คนดูแล IIG คือ กสท ซึ่งเป็นรัฐวิสาหกิจ เวลาจะต่ออินเทอร์เน็ตออกนอกประเทศทุกเจ้าต้องมาต่อที่นี่
ต่อมาเมื่อมีวิกฤตเศรษฐกิจปี 2540 เงื่อนไขหนึ่งที่เจ้าหนี้อย่างไอเอ็มเอฟระบุก็คือ
การเปิดเสรีโทรคมนาคม ส่งผลให้เกตเวย์ในไทยเพิ่มขึ้นจากเจ้าเดียวเป็นหลายเจ้า เท่าที่ทราบล่าสุด 1-2 ปีก่อน
ไอเอสพีเจ้าใหญ่ๆ น่าจะมีเกตเวย์เป็นของตัวเองหมดแล้ว โดยมีอย่างน้อย 12-13 เกตเวย์ที่วิ่งออกต่างประเทศ
ซึ่งอาจจะไม่เยอะเมื่อเทียบกับประเทศอย่างอินโดนีเซีย แต่ก็เพิ่มขึ้นมาก
การมีเกตเวย์หลายเส้น กับการทำให้เหลือจุดเดียว ส่งผลอย่างไร
การควบคุมการไหลเข้าไหลออกของข้อมูลในระบบอินเทอร์เน็ต วิธีที่มีประสิทธิภาพมากที่สุด
คือการควบคุมที่ระดับเกตเวย์ เพราะเท่ากับไม่ว่าอินเทอร์เน็ตภายในประเทศจะเชื่อมกันกี่หมื่นเส้น
มันก็ต้องเชื่อมออกที่จุดเดียว การดัก การบล็อค การปลอม ตรวจสอบข้อมูล ที่จุดเดียวทำได้ง่ายกว่าเยอะ
เป็นอย่างที่เอกสารจากที่ประชุม ครม.ระบุไว้ว่า single gateway
จะช่วยควบคุมการไหลของข้อมูลจากต่างประเทศได้ง่ายขึ้น ถ้าต้องตามเช็คทุกสายในประเทศ เช็คที่เดียวง่ายกว่า
อย่างไรก็ตาม ปริมาณข้อมูลข่าวสารที่ไหลเวียนอยู่มีไม่น้อย
ถ้ารัฐทำจริงเชื่อว่าจะทำให้อินเทอร์เน็ตช้าลง มากน้อยขึ้นกับเทคนิคที่ใช้
เพราะต้องตรวจสอบข้อมูลก่อนปล่อย ซึ่งในเอกสารระบุว่าเป็นการเช็คขาเข้า แต่โดยเทคนิคแล้วเช็คได้ทั้งขาเข้าขาออก
สอง ถ้าทำขึ้นจริงจะเกิด single point of failure คือ ถ้าล่มก็ล่มทั้งหมดเลย
เปรียบได้กับบ้านหลังหนึ่งใช้น้ำประปาต่อท่อเข้ามาในบ้านจากผู้ให้บริการสามเจ้า
แต่ละท่อส่งน้ำหนึ่งลิตรต่อหนึ่งวินาที พอรวมเป็นท่อเดียวก็เป็นสามลิตรต่อหนึ่งวินาที แบบนี้ดูไม่มีปัญหา
แต่ลองคิดว่า ถ้าท่อนี้แตกก็จะไม่มีน้ำใช้เลย ขณะที่แบบเดิม ถ้าท่อนึงแตกยังมีเหลืออีกสองท่อ
เพราะฉะนั้น ปัญหาจึงมีหลายจุด หนึ่ง เรื่องสิทธิเสรีภาพ แปลว่ารัฐพยายามจะควบคุมการไหลของข้อมูล
ซึ่งรัฐพูดถึงตรงนี้อย่างชัดเจนว่าจะทำ สอง นอกจากการเซ็นเซอร์ การดักข้อมูลก็ทำได้ง่ายขึ้นด้วย
ตรงนี้จะกระทบสิทธิข้อมูลส่วนบุคคล สาม รัฐบอกว่าจะสนับสนุนความมั่นคงปลอดภัยไซเบอร์
ซึ่งความมั่นคงปลอดภัยไซเบอร์ประกอบด้วย 3 เรื่องคือ การรักษาความลับของข้อมูล (confidentiality)
ความถูกต้องครบถ้วนของข้อมูล (integrity) และความพร้อมใช้งานของข้อมูลและระบบ (availability)
พอทำแบบนี้จะกระทบทั้งสามส่วน โดยเฉพาะอย่างยิ่งการพร้อมใช้ของข้อมูลและระบบ
เพราะเราะมีแนวโน้มว่าเจ๊งปุ๊บ จะล่มหมด จากแทนที่จะมีหลายลิงก์ อันนึงเสียก็ใช้อันอื่นต่อได้
ทั้งหมดนี้เท่ากับความมั่นคงปลอดภัยไซเบอร์ลดลง สวนทางกับที่รัฐบาลบอกจะทำให้ปลอดภัยขึ้น และจะหนุนดิจิทัลอิโคโนมี
การมี single gateway ทำอะไรได้อีกบ้าง
ประเด็นสำคัญอีกอันหนึ่งคือ การดักข้อมูล สิ่งที่เป็นไปได้และเห็นมีความพยายามของรัฐที่จะทำ
จากเอกสารของไอซีที เมื่อเดือนธันวาคม 2557 ที่เครือข่ายพลเมืองเน็ตเคยเผยแพร่
พบว่ามีการตั้งคณะกรรมการทดสอบการเข้าถึงข้อมูลที่ถูกเข้ารหัส (SSL) สิ่งที่จะทำให้สิ่งนี้เป็นไปได้คือการปลอมใบรับรองการเข้ารหัส
ปัจจุบัน เว็บไซต์ใหญ่ๆ เช่น กูเกิล เฟซบุ๊ก ใช้การเข้ารหัสข้อมูลโดยใบรับรองความปลอดภัย
สังเกตได้จากยูอาร์แอลที่ขึ้นต้นด้วย https และมีสัญลักษณ์รูปแม่กุญแจสีเขียวหน้ายูอาร์แอล
เวลาพูดถึง SSL คือการที่คนรับและส่งข้อมูลสองฝ่ายต่างเชื่อใจกันและกันว่า ต่างฝ่ายต่างเป็นคนนั้นๆ จริง
โดยมีการแลกเปลี่ยนกุญแจเข้ารหัส ซึ่งกุญแจจะถูกใช้เข้ารหัสข้อมูลที่ส่งถึงกัน
แต่การจะยืนยันต้องใช้ใบรับรองที่ต้องเรียกขอจากแต่ละฝ่ายก่อน เพื่อยืนยันตัวตน
ใบรับรองนี้ออกโดยบุคคลที่สามที่น่าเชื่อถือ ใบรับรองนี้ทำปลอมได้ยาก
เพราะต้องให้บุคคลที่สามออกใบรับรองปลอมให้ ซึ่งไม่มีใครทำให้ เพราะส่วนมากบุคคลที่สามนี้เป็นเอกชน
หากมีการออกให้แม้เพียงกรณีเดียวบริษัทนั้นๆ จะหมดความน่าเชื่อและเจ๊งทันที ดังนั้น
การขอให้บุคคลที่สามที่น่าเชื่อถือออกใบรับรองปลอมให้จึงเป็นไปได้ยาก
สิ่งที่จะมา "แก้ปัญหา" คือ กรณีที่มี single gateway ถ้ามีใครในไทย เช่น อาทิตย์ขอกูเกิลให้ส่งใบรับรองให้หน่อย
ทันทีที่ single gateway เห็นว่ามีการขอ ก็จะหยุดคำขอนั้นไว้ ไม่ส่งต่อและส่งใบรับรองปลอมให้อาทิตย์
เมื่ออาทิตย์ได้รับใบรับรองก็เข้าใจว่าใบรับรองนี้เป็นกุญแจเข้ารหัสจากกูเกิล
ก็จะส่งข้อมูลที่เข้ารหัสด้วยกุญแจปลอมนี้กลับไป เท่ากับว่าคนสร้างกุญแจปลอมจะอ่านข้อมูลเข้ารหัสนี้ได้ โดยปกติ
การส่งใบรับรองปลอมแบบนี้ทำไม่ได้ง่ายนัก แต่เมื่อไรที่ควบคุมเกตเวย์ได้ก็จะทำได้โดยง่าย
กรณีนี้เรียกว่า Man-in-the-middle attack
เท่ากับ https จะหมดความหมาย?
ไม่เสียทีเดียว ต้องสังเกตหน่อย โดยปกติเว็บเบราเซอร์จะพยายามจำใบรับรองของบริการสำคัญๆ เช่น กูเกิล เอาไว้
ใครพยายามปลอมใบรับรอง จะมีการเตือนสีแดงๆ ตรงแอดเดรสบาร์
ถ้าสังเกตจะพบว่ามีบางอย่างผิดปกติ ผู้ใช้งานสามารถตัดสินใจได้ว่าจะใช้ต่อไหม ปัญหาคือผู้ใช้ส่วนใหญ่คงไม่ได้สังเกตหรอก
อีกประเด็นคือเนื่องจากโซเชียลเน็ตเวิร์ก อีเมล การติดต่อสื่อสารเหล่านี้เป็นเรื่องที่เราคุยกับใครสักคน
หรือหลายคนอยู่เสมอ ถ้าเกิดมีแอคเคาท์ใดในกลุ่มสนทนา ถูกเจาะการเข้ารหัส
เขาจะสามารถอ่านข้อความของคนอื่นๆ ในกรุ๊ปได้ทั้งหมด แปลว่า เราระวังคนเดียวไม่ได้ ต้องคาดหวังว่าคนอื่นจะระวังด้วย
มีโอกาสที่ผู้ใช้จะไม่รู้ตัวเลยไหม
เป็นไปได้ แต่ที่เข้าใจ เว็บเบราเซอร์ก็พยายามจะเตือนอยู่เหมือนกัน เว็บเบราเซอร์ก็พยายามตามให้ทัน
คำแนะนำสำหรับผู้ใช้ทั่วไป
คำแนะนำทั่วไปคือต้องอัพเดทระบบปฏิบัติการ (OS) อยู่ตลอด อัพเดทเบราเซอร์ให้ใหม่อยู่ตลอด
เพราะเวลามีการอัพเดท จะอัพเดทรายชื่อของใบรับรองปลอมด้วย
หรือถ้ารู้ว่ารัฐบาลประเทศไหนกำลังทำอะไรประหลาด หรือไม่น่าเชื่อถือระบบก็จะขึ้นแบล็กลิสต์ไว้ ตรงนี้ก็พอจะช่วยได้
จะทำ single gateway ไอเอสพีต้องร่วมมือด้วยไหม?
โดยทั่วไปต้องอาศัยความร่วมมือของไอเอสพีด้วยวิธีการต่างๆ เช่น สร้างแรงจูงใจทางเศรษฐกิจ
สำนักงานความมั่นคงปลอดภัยไซเบอร์มีอำนาจสั่งให้หน่วยงานรัฐ บุคคล ทำหรือไม่ทำอะไรก็ได้
เพื่อให้เกิดความมั่นคงปลอดภัยไซเบอร์ในประเทศ ตรงนี้ก็อาจมีการขอให้ไอเอสพีต้องติดตั้งเครื่องมือหรือซอฟต์แวร์นี้
ส่วนตัวคิดว่า ผู้ประกอบการคงไม่ต้องการแบบนี้เพราะทำให้ไม่สามารถรับประกันการให้บริการกับลูกค้าได้ พอล่มก็ล่มหมดเลย
ในแง่ตลาด มันมีทางเลือกในตลาดโลกจำนวนมากในการเชื่อมต่อกับต่างประเทศ ทั้งเรื่องราคาและทางเลือก
เช่น ไอเอสพีหนึ่งมีเกตเวย์หลายเส้นเชื่อมไปยังประเทศต่างๆ เพื่อให้บริการที่ดีที่สุด
ถ้าต้องเชื่อมจุดเดียวเท่านั้น ไม่คิดว่าผู้ให้บริการแฮปปี้ เมื่อคิดว่าผู้ให้บริการหลายบริษัทต่างก็มีพาร์ทเนอร์ทางธุรกิจกับบริษัทต่างประเทศ
พวกเขาคงอยากเลือกเชื่อมต่อเองมากกว่า เพื่อสร้างทางเลือกที่ดีที่สุดกับการประกอบกิจการและการบริการลูกค้า
แต่พอมีกฎหมายพวกนี้เป็นไปได้ที่อาจจะถูกบังคับได้
http://www.prachatai.com/journal/2015/09/61537