ปัญหาอำนาจของพ.ร.บ.ความมั่นคงไซเบอร์ สร้างคำถามว่าทำไมจึงต้องมีอำนาจตามมาตรา 35(3) ที่ให้อำนาจดักฟัง และทางผู้ร่างคือสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) ได้ไปออกรายการคมชัดลึก ผมเพิ่งมาฟังแล้วพบว่ามีประเด็นที่สำคัญคิดว่าต้องมานำเสนอ
แนวทางหนึ่ง คือ ใช้ป้องกันการแฮกล่วงหน้า โดยคำพูดของผอ.สพธอ. ระบุว่า "ก่อนที่ไฟจะลามบ้าน ไฟจะไหม้บ้าน รู้แล้วว่าทราฟิกแบบนี้ แพตเทิร์นแบบนี้ ทราฟิกแบบนี้มา จะมีการเจาะและจู่โจมแน่นอน" (นาทีที่ 19) การวิเคราะห์แพตเทิร์นของทราฟิกที่เข้าออกจากเซิร์ฟเวอร์ก็คือการดักฟัง โดยปกติแล้วการวิเคราะห์แบบนี้มักใช้ระบบป้องกันการโจมตีที่ตั้งไว้โดยเจ้าของเซิร์ฟเวอร์เอง แต่กระบวนการที่รัฐมาช่วยจับแพตเทิร์นทราฟิกให้คงเป็นเรื่องแปลก
อีกส่วนหนึ่งคือแนวทางการใช้งานกฎหมายตามอำนาจที่ได้มา คือ "เป็นเรื่องรับมือกับภัยคุกคามทางไซเบอร์ ที่เป็นลักษณะการเจาะ การแฮก การเอาสิ่งชั่วร้ายมาฝังไว้ในเครื่องเรา หรือซ่อนประตูลับเอาไว้" (นาทีที่ 26) ต่างจากนายกรัฐมนตรีที่ระบุว่าต้องใช้เพื่อ จัดการพวกหมิ่น
ยินดีกับผู้ประกอบการทุกท่านครับ IDS ฟรีจากภาษีประชาชน
ที่มา - วิดีโอรายการคมชัดลึก (ท้ายข่าว)
Comments
ดังฟังล่วงหน้าก่อนการแฮก > ดักฟังล่วงหน้าก่อนการแฮก
อุ๊บร๊ะ เราแฮกเพื่อกันคนอื่นมาแฮกนะจ๊ะสำนึกบุญคุณกันหน่อย:P
คือเค้าจะนั่งดู traffic กันทั้งวันทั้งคืนเพื่อกันการแฮกเลยเหรอ
ขนาดโพสต์สดุดี ยังมีการทำกันทั้งวันทั้งคืนเลยครับ มีหน่วยงานที่ใช้ รด.นี่แหละเป็นคนทำ เพื่อนๆ ผมที่เรียน รด. ปี 4 ปี 5 โดนกันทุกคน
อันนี้ไม่ได้จะว่าอะไรนะครับ แต่จะบอกว่าเข้าถูก assign มาแบบนี้
great firewall ของจีนก็มีหน่วยงานแบบนี้ครับ
เคยได้ยินอยู่เหมือนกัน และก็นึกไม่ออกว่าทำอย่างนี้แล้วจะได้อะไร
ส่วนเรื่องความมั่นคงทางอินเตอร์เนตเนี่ย ถ้าอ้างว่าเป็นเรื่องความมั่นคงของ 3 จังหวัดชายแดนภาคใต้น่าจะดูดีกว่าเรื่อง 112 ถ้าอ้างเรื่องปัญหาภาคใต้มันดูเกี่ยวกับความมั่นคงของประเทศ, ความปลอดภัยของประชาชน แต่เรื่อง 112 มันดูเกี่ยวกับความมั่นคงทางการเมืองอย่างเดียว
การอ้าง 112 จะทำให้คนกลุ่มใหญ่กลุ่มนึงเห็นด้วยครับ
ถ้าอ้างความมั่นคงบลาๆ รับรองว่าแรงต้านมันจะเยอะกว่านี้
การที่มีคนคอยโพสแต่ด้านดี โพสยกย่อง มันมีผลต่อพฤติกรรมหมู่ของคนน่ะครับ ใช้ได้ดีกับสังคมที่ไม่มีการตั้งข้อสงสัย ไม่มีการตรวจสอบ :)
*1024K
พี่จีนคงน้ำตาไหลด้วยความปลื้มในลูกศิษย์
ถ้าเราโดน DDoS พี่เค้าจะช่วยป้องกันเราหรือช่วยตามหาคนยิงป่าวครับ -..-
ทำไมผมนึกถึงเรื่อง minority report
หรอ
จริงๆ ถ้าท่านอยากได้แบบนี้ท่านไม่ต้องออกกฏหมายอะไรให้ซับซ้อนครับ ท่านไปเปิดดูใน norse-corp.com ท่านก็จะได้สถิติทุกประเภท แยกการโจมตี แยกประเทศ แถมสดๆอีกด้วยครับท่านไม่ต้องบังคับพวกผมให้ถอดรหัสข้อมูลแล้วให้คนของท่านเก็บไปเลย เอาใครก็ไม่รู้มาเก็บข้อมูลผม CISSP ก็สอบผ่านกันไม่ถึง 10% ผมพูดเลยว่าไม่น่าไว้ใจยิ่งกว่าเอาเด็กแว้นมาใส่ชุดตำรวจอีก นี่มันคือพวกนู๊ปมากดคีย์บอร์ดชัดๆ
แถอะไรได้ก็แถไป
อ้างความปลอดภัย เพื่อทำกิจกรรมนอกกฎหมาย อืมเป็นนโยบายหลักของชุดนี้ไปแล้วหละ
Blognone = 138.1 news/w เยอะมากๆ
บอกตามตรงนะครับ มีคนไม่รู้เรื่องนี้ก็เชื่อได้ง่าายๆด้วยตำแหน่งแล้ว กว่าคนจะตามทันกว่าจะเข้าใจร่างนี้บังคับใช้ไปเรียบร้อยแล้วครับ เหมือนออกมาพูดให้สับสนมากกว่ามาพูดความจริงครับ เพราะมันลดกระแสได้เยอะถ้ามีมาพูดแบบวิชาการที่คนทั่วไปอาจไม่เข้าใจ ก็จะเชื่อเอาได้ง่ายๆเลย
+1 กำลังจะพิมพ์แบบท่านเลย
SSL ต่อไปคงต้องเช็กกันหน่อยล่ะครับhttp://บีlog.sran.net/archives/719
สร้าง certificate แล้วติดตั้งใส่ client ทุกเครื่องเหรอครับเนี่ย?
ไม่งั้นไม่น่าขึ้นไอคอนเขียวได้
ไม่แน่ใจเหมือนกันครับ แต่คาดว่าก่อนจะใช้อินเตอร์เน็ตคงรีไดเรคให้ลง cert ตัวนี้ก่อนไม่งั้นจะใช้ไม่ได้แต่ที่ผมสะดุดตาจริงๆ คือการทดสอบกับ facebook นี่แหละ แล้วช่วงเวลาที่พร้อมขาย พรบ.คอมฉบับใหม่ก็คงออกพอดี
ขอพูดจากใจ ตอนนี้เราๆ ท่านๆ หยุดไม่ได้หรอก ทำได้เพียงส่งหนังสือแสดงความเป็นห่วง ถึงผลเสีย ผลร้ายที่จะเกิดถ้ายังดันทุรังสร้าง คิงออฟเดอะริง ก็จะต้องระบุชื่อผู้ที่จะมีส่วนในความรับผิดชอบ ถ้าอนาคต แหวนวงนี้ตกอยู่ในมือผู้ไม่คู่ควร แล้วเกิดมหาวิบัติขึ้น ผู้ที่ร่วมหล่อแหวนวงนี้ จะต้องเป็นหนึ่งในผู้รับผิดชอบ จากการนิ่งเฉยที่จะก่อให้ การนำเครื่องมือไปก่อเหตุ ไม่พึงประสงค์ ลงแนบท้าย แหวนลงนี้จะต้องถูกทำลายทันทีที่เกิดปัญหา (ผมเวิ่นเว้อเกินไปไหม)
*** คนกำลังเมา เราบอกเค้ากำลังเมา ไม่ให้ขับรถ เค้าไม่เชื่อหรอกครับ เค้าจะบอกว่าเค้าไม่เมา เค้าขับได้ ก็ปล่อยให้ชนก่อนครับ แล้วเค้าจะรู้ว่าเค้าเมาแต่ก่อนปล่อยให้เค้าออกรถ ให้เค้าเซ็นรับผิดชอบผลที่จะเกิดด้วย ไม่ใช้ สบัดตูดหนีหายไป***
บังเอิญว่าคนเมาได้นิรโทษตัวเองไว้แล้วนี่สิ
นี้ไง เราต้องบอก ถ้าจะทำ ห้ามนิรโทษ รับผิดชอบด้วย
นิรโทษไปเรียบร้อยแล้วก่อนทำครับ รวมถึงการกระทำในอนาคต ถึงแม้จะฆ่าคนไทยพร้อมกันทั้งประเทศหรือรบกับอเมริกา หรือขายชาติยกแผ่นดินให้จีน ก็ไม่ต้องรับผิดครับตามกฏหมายเขา แล้วกฏหมายพวกเราทุกคนละไม่มีความหมายเลยจริงๆ
และเป็นสิ่งแรกที่ทำหลังการยึดอำนาจซะด้วย โดยไม่ต้องรับผลจากการกระทำทุกอย่าง (ยกเว้นเฉพาะเรื่องดีๆ เพราะอ้างว่ามาทำดี)
แล้วเดี๋ยวคนเมาอีกกลุ่มก็ออกมายึดอำนาจซ้ำไงครับอย่างรัฐธรรมนูญที่พึ่งฉีกไปก็มาจากคนเมาหนิครับทำไมเขาถึงออกมาฉีกมันหละ..
พวกเราอยู่กันเอง ทำกันเอง ส่งเสริมกันเอง ดูจะชิบหายน้อยกว่านี้เยอะเลยนะครับ
นิรโทษกรรมไปแล้ว อย่าว่าแต่ดักฟังเลย พรุ่งนี้ประกาศเป็นศัตรูกับคนทั้งโลก ยังไม่ผิดเลยครับ เดินเอาปืนไล่เป่าหัวคนเดินถนนก็ไม่ผิด
เอ ถ้ายังไม่กระทำผิด แล้วจะจับก่อนได้อย่างไร?
ส่อ... ไงครับ
หลักฐานชัดเจน ส่วนต่างเยอะแยะ ยังบอก "คลุมเครือ" ไม่สั่งฟ้องได้เลย
ที่จริงในภาวะอย่างนี้ อยากทำอะไรทำไปเลยครับ อย่าสร้างภาพว่าทำมาอย่างถูกต้องเลยครับ เพราะทุกอย่างบิดเบี้ยวไปหมด
อำนาจล้นแต่ผู้ร้ายโจร ขโมย ไม่เคยกลัว เพราะมัวแต่ไปคอยยุ่งกับอีกฝาก กับคอยเอาใจกองเชียร์
Big brother is looking you!
ครับ
บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P
อยากจะบอกท่านว่า "ไม่เป็นไรครับ ผมป้องกันตัวเองได้" จังเลย T-T
Jusci - Google Plus - Twitter
#ดีออก #หยุดกมมั่นคงไซเบอร์
ท่าทางแบบนี้ อารมณ์แบบนี้ อยู่ฝ่ายนี้ จะมีการโพสแบบว่า.... อย่างแน่นอน
เราก็แค่ป้องกันไม่ให้เขาโพสเรื่องอย่างว่า หรือจะพูดก็คือ "ก่อนที่เขาจะโพส เราก็เตรียมกุญแจมือไว้ให้แล้ว..."
หวังว่าทางรัฐบาลจะไม่เอาไปใช้แบบนี้นะครับ
ไม่อยากจะคิดถึงงบโครงการนี้เลยปกติก็หารกันเยอะอยู่แล้วยิ่งลับนี่ยิ่งตามยากฟินกันถ้วนหน้า
Internal Intrusion Detection System
มันเรียกแบบนี้ต่างหาก เอาไว้ใช้ตรวจจับภายใน เหอๆ
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB
แหม่...จะมีแฮกเกอร์ไทยใจกล้าคนไหนหมั่นไส้แฮกโชว์หลังจากกม.ข้อนี้ออกมามามั้ย?
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
ดูเหมือนว่าผู้เขียนได้ใส่ความคิดเห็นของตัวเองเข้าไปโดยใช้คำที่ผิดเพี้ยนและแรงเกินไป มันยังมีคำที่น่าจะถูกต้องและเหมาะสมกว่านี้เช่นคำว่า มอนิเตอร์ในบทสัมภาษณ์ผู้ถูกสัมภาษณ์ไม่ได้ใช้คำว่าดักฟังเลยแม้แต่ครั้งเดียว แต่มีใช้คำว่า surveillance ซึ่งก็หมายถึงการเฝ้าระวัง ไม่ใช่การดักฟัง ถ้าจะใช้คำว่าดักฟังนั้นก็จะต้องสามารถเข้าถึงข้อความหรือเสียงที่ใช้สนทนาจริงๆได้ ซึ่งถ้าเป็น SSL ก็จะต้องมีการแกะ SSL ออกก่อน แต่นี่เขาไม่ได้จะออกกฎหมายมาเพื่อจะตั้งเซิร์ฟเวอร์ที่ไหนเพื่อแกะ SSL เพื่อดูข้อความการสนทนาข้างในของใคร เขาแค่จะทำเรื่อง cyber security เช่นการเฝ้าระวังหรือมอนิเตอร์ทราฟฟิกให้เพื่อป้องกันการโจมตีในทาง cyber warfare ในระดับประเทศ ซึ่งยังไม่มีใครรับผิดชอบตรงนี้โดยตรง ไม่ว่า ISP หรือเราๆท่านๆ
ไม่ใช่เฉพาะการป้องกันเซิร์ฟเวอร์ของตัวเองบนอินเตอร์เน็ต แต่ยังรวมไปถึงการป้องกันคนของตัวเองให้ปลอดภัยจากการเข้าถึงอินเตอร์เน็ต เช่นบริษัทห้างร้านติดตั้ง IDS/IPS เพื่อป้องกันพนักงานจะได้รับอันตรายจากภัยจากไซเบอร์ขณะใช้อินเตอร์เน็ตในขณะปฏิบัติงาน
ไม่ใช่เรื่องแปลกถ้าจะต้องมีหน่วยงานกลางขึ้นมาทำเรื่องนี้ในระดับประเทศ เพราะ ISP ก็ยังไม่ได้ทำให้เรา (เช่น มี ISP รายไหนติดตั้ง IDS/IPS ให้ลูกค้าเครือข่ายมือถือหรือ ADSL/Fiber ตามบ้านบ้าง?) คนทั่วไปที่ไม่รู้เรื่องก็มีมากมาย ถ้ารัฐไม่ทำแล้วใครจะทำ
สรุปคือข่าวนี้มีการหยิบคำพูดมาแค่บางประโยคแล้วก็เติมความเห็นของตัวเองหรือสิ่งที่ตัวเองกลัวเข้าไปจนเกินจริงตามแนวทางที่ตัวเองอยากให้ปรากฎออกมา เจตนาของการออกกฎหมายก็เพื่อการรับมือกับภัยคุกคามทางด้านไซเบอร์ในระดับประเทศ ถ้าไม่มีตรงนี้เกิดเราโดนต่างชาติโจมตีในระดับประเทศไม่ว่าจากนอกหรือในประเทศเราก็ต้องโทษรัฐบาลกันอีกอยู่ดี เช่นมีแฮกเกอร์เข้ามาชัตดาวน์โรงไฟฟ้าของเราแบบที่เกิดในต่างประเทศทำให้ทุกคนเดือดร้อนกันหมดแล้วเราจะโทษใคร ทำก็โดนไม่ทำก็โดน สรุปโดนทั้งขึ้นทั้งล่อง การทำตรงนี้ก็ไม่จำเป็นต้องทำถึงขนาดดักฟัง แค่มอนิเตอร์ก็เพียงพอ และการมอนิเตอร์ไม่จำเป็นต้องเป็นการดักฟัง มันสามารถมอนิเตอร์ทราฟฟิกเพื่อวิเคราะห์แพทเทิร์นต่างๆได้โดยที่ไม่จำเป็นต้องแกะ SSL ออกมา ซึ่งทุกวันนี้บริษัทต่างๆก็ทำกันอยู่ ถ้าการทำแบบนี้คือการดักฟังนั่นก็แสดงว่าตอนนี้มีการดักฟังกันอย่างเอิกเกริกและแพร่หลายในหลายๆองค์กรแล้ว และถึงแม้จะต้องทำ deep packet analysis คือต้องแกะ SSL ออกมาเพื่อวิเคราะห์ลึกไปถึงระดับ HTTP หรือ SMTP หรืออะไรๆที่ถูกหุ้มด้วย SSL อยู่มันก็เป็นสิทธิ์ที่องค์กรที่เขาจะทำได้ โดยไม่ได้หมายความว่าเขาจะมาดักฟังพนักงาน เพราะเขาแค่จะให้โปรแกรมมันวิเคราะห์และตรวจจับแพทเทิร์นให้เพื่อการป้องกันอะไรต่างๆในบริษัทเท่านั้น ไม่ได้จะมานั่งแอบดู(ดักฟัง)ว่าใครคุยอะไรกับใครที่ไหน เพราะระบบที่ติดตั้งเพื่อการนี้มันก็ต้องทำมาให้ตรวจสอบได้ audit ได้ เพื่อจะได้บังคับใช้บทลงโทษได้ในกรณีการใช้อำนาจหน้าที่โดยมิชอบ (ซึ่งก็ไม่ได้มีการยกมานำเสนอทั้งที่มีการย้ำในบทสัมภาษณ์) ฉะนั้นถ้ารัฐอยากทำแบบเดียวกันให้กับประชาชนบ้างก็คงเป็นเรื่องที่ต้องมาดีเบทกัน เพราะมันก็ใช่ว่าจะมีแค่คนไม่เห็นด้วย คนเห็นด้วยมันก็อาจมีพอสมควรอยู่เหมือนกัน (แต่ส่วนตัวแล้วผมไม่เห็นด้วย ต้องบอกไว้ก่อนที่จะมีใครมาทัก ผมแค่มองอะไรอย่างเป็นกลางเท่านั้น)
รายชื่อใบรับรองดิจิตอลทั้งหมดที่ออกโดย Root CA และ Intermediate CA สัญชาติไทย
ก็คงต้องชี้แจงกระบวนการให้โปร่งใส ว่าเป็นการทำ pattern recognition เพื่อป้องกัน cyber warfare หรือตรวจจับการบุกรุกจริงๆ ไม่ใช่เจาะเข้าไปอ่านในเนื้อหาของpacket "เป้าหมาย"ที่ถูก"เฝ้าระวัง"โดยไม่มีหมายศาลรองรับ เพราะมันอาจถูกใช้ในการโจมตีทางการเมืองส่วนตัวได้
สิ่งที่รัฐยังไม่ทำ และเหมือนไม่คิดจะทำ คือการนิยามคำว่า"ความมั่นคง" ว่าหมายถึงความมั่นคงของใคร ถ้าหมายถึงของประเทศ นี้รวมความมั่นคงของ"ประชาชน"แต่ละคนด้วยไหม? หรือเหมารวมถึงความมั่นคงของ"รัฐบาล(ทหาร)"เท่านั้น?
อีกอย่างการยกตัวอย่างการป้องกันระดับองค์กรที่โดนบังคับให้ลง root CA ในเครื่อง มันคนละเรื่องกัน เพราะเครื่องมือในองค์กร ย่อมมีเป้าหมายเพื่อประโยชน์ขององค์กรเท่านั้น พนักงานต้องยอมรับและทำตาม ถ้าไม่ยอมรับก็มีตัวเลือกไปทำงานที่อื่น แต่ก็มีข้อยกเว้นกับอุปกรณ์ส่วนตัว ที่องค์กรจะไปบังคับ"แอบดู"ไม่ได้(แต่อาจห้ามนำมาใช้ในบริเวณ หรือห้ามใช้network องค์กรได้) ส่วนจะไปเทียบกับ"ประเทศ"นี่เรียกได้ว่าคนละเรื่องเดียวกัน เพราะประชาชนไม่ใช่พนักงานหรือลูกน้องของรัฐ แต่เป็น"เจ้าของ"ร่วมตะหาก