Thailand

ปัญหาอำนาจของพ.ร.บ.ความมั่นคงไซเบอร์ สร้างคำถามว่าทำไมจึงต้องมีอำนาจตามมาตรา 35(3) ที่ให้อำนาจดักฟัง และทางผู้ร่างคือสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) ได้ไปออกรายการคมชัดลึก ผมเพิ่งมาฟังแล้วพบว่ามีประเด็นที่สำคัญคิดว่าต้องมานำเสนอ

แนวทางหนึ่ง คือ ใช้ป้องกันการแฮกล่วงหน้า โดยคำพูดของผอ.สพธอ. ระบุว่า "ก่อนที่ไฟจะลามบ้าน ไฟจะไหม้บ้าน รู้แล้วว่าทราฟิกแบบนี้ แพตเทิร์นแบบนี้ ทราฟิกแบบนี้มา จะมีการเจาะและจู่โจมแน่นอน" (นาทีที่ 19) การวิเคราะห์แพตเทิร์นของทราฟิกที่เข้าออกจากเซิร์ฟเวอร์ก็คือการดักฟัง โดยปกติแล้วการวิเคราะห์แบบนี้มักใช้ระบบป้องกันการโจมตีที่ตั้งไว้โดยเจ้าของเซิร์ฟเวอร์เอง แต่กระบวนการที่รัฐมาช่วยจับแพตเทิร์นทราฟิกให้คงเป็นเรื่องแปลก

อีกส่วนหนึ่งคือแนวทางการใช้งานกฎหมายตามอำนาจที่ได้มา คือ "เป็นเรื่องรับมือกับภัยคุกคามทางไซเบอร์ ที่เป็นลักษณะการเจาะ การแฮก การเอาสิ่งชั่วร้ายมาฝังไว้ในเครื่องเรา หรือซ่อนประตูลับเอาไว้" (นาทีที่ 26) ต่างจากนายกรัฐมนตรีที่ระบุว่าต้องใช้เพื่อจัดการพวกหมิ่น

ยินดีกับผู้ประกอบการทุกท่านครับ IDS ฟรีจากภาษีประชาชน

ที่มา - วิดีโอรายการคมชัดลึก (ท้ายข่าว)

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

Hadakung Sat, 31/01/2015 - 08:52

อุ๊บร๊ะ เราแฮกเพื่อกันคนอื่นมาแฮกนะจ๊ะสำนึกบุญคุณกันหน่อย:P

ขนาดโพสต์สดุดี ยังมีการทำกันทั้งวันทั้งคืนเลยครับ มีหน่วยงานที่ใช้ รด.นี่แหละเป็นคนทำ เพื่อนๆ ผมที่เรียน รด. ปี 4 ปี 5 โดนกันทุกคน

อันนี้ไม่ได้จะว่าอะไรนะครับ แต่จะบอกว่าเข้าถูก assign มาแบบนี้

great firewall ของจีนก็มีหน่วยงานแบบนี้ครับ

เคยได้ยินอยู่เหมือนกัน และก็นึกไม่ออกว่าทำอย่างนี้แล้วจะได้อะไร

ส่วนเรื่องความมั่นคงทางอินเตอร์เนตเนี่ย ถ้าอ้างว่าเป็นเรื่องความมั่นคงของ 3 จังหวัดชายแดนภาคใต้น่าจะดูดีกว่าเรื่อง 112 ถ้าอ้างเรื่องปัญหาภาคใต้มันดูเกี่ยวกับความมั่นคงของประเทศ, ความปลอดภัยของประชาชน แต่เรื่อง 112 มันดูเกี่ยวกับความมั่นคงทางการเมืองอย่างเดียว

การที่มีคนคอยโพสแต่ด้านดี โพสยกย่อง มันมีผลต่อพฤติกรรมหมู่ของคนน่ะครับ ใช้ได้ดีกับสังคมที่ไม่มีการตั้งข้อสงสัย ไม่มีการตรวจสอบ :)

ถ้าเราโดน DDoS พี่เค้าจะช่วยป้องกันเราหรือช่วยตามหาคนยิงป่าวครับ -..-

LazarusSP1 Sat, 31/01/2015 - 09:57

จริงๆ ถ้าท่านอยากได้แบบนี้ท่านไม่ต้องออกกฏหมายอะไรให้ซับซ้อนครับ ท่านไปเปิดดูใน norse-corp.com ท่านก็จะได้สถิติทุกประเภท แยกการโจมตี แยกประเทศ แถมสดๆอีกด้วยครับ
ท่านไม่ต้องบังคับพวกผมให้ถอดรหัสข้อมูลแล้วให้คนของท่านเก็บไปเลย เอาใครก็ไม่รู้มาเก็บข้อมูลผม CISSP ก็สอบผ่านกันไม่ถึง 10% ผมพูดเลยว่าไม่น่าไว้ใจยิ่งกว่าเอาเด็กแว้นมาใส่ชุดตำรวจอีก นี่มันคือพวกนู๊ปมากดคีย์บอร์ดชัดๆ

อ้างความปลอดภัย เพื่อทำกิจกรรมนอกกฎหมาย อืมเป็นนโยบายหลักของชุดนี้ไปแล้วหละ

บอกตามตรงนะครับ มีคนไม่รู้เรื่องนี้ก็เชื่อได้ง่าายๆด้วยตำแหน่งแล้ว กว่าคนจะตามทันกว่าจะเข้าใจร่างนี้บังคับใช้ไปเรียบร้อยแล้วครับ เหมือนออกมาพูดให้สับสนมากกว่ามาพูดความจริงครับ เพราะมันลดกระแสได้เยอะถ้ามีมาพูดแบบวิชาการที่คนทั่วไปอาจไม่เข้าใจ ก็จะเชื่อเอาได้ง่ายๆเลย

SomeThing Sat, 31/01/2015 - 10:47

SSL ต่อไปคงต้องเช็กกันหน่อยล่ะครับ
http://บีlog.sran.net/archives/719

charles Sat, 31/01/2015 - 21:20

In reply to by SomeThing

สร้าง certificate แล้วติดตั้งใส่ client ทุกเครื่องเหรอครับเนี่ย?

ไม่งั้นไม่น่าขึ้นไอคอนเขียวได้

ไม่แน่ใจเหมือนกันครับ แต่คาดว่าก่อนจะใช้อินเตอร์เน็ตคงรีไดเรคให้ลง cert ตัวนี้ก่อนไม่งั้นจะใช้ไม่ได้
แต่ที่ผมสะดุดตาจริงๆ คือการทดสอบกับ facebook นี่แหละ แล้วช่วงเวลาที่พร้อมขาย พรบ.คอมฉบับใหม่ก็คงออกพอดี

ขอพูดจากใจ ตอนนี้เราๆ ท่านๆ หยุดไม่ได้หรอก ทำได้เพียงส่งหนังสือแสดงความเป็นห่วง ถึงผลเสีย ผลร้ายที่จะเกิด
ถ้ายังดันทุรังสร้าง คิงออฟเดอะริง ก็จะต้องระบุชื่อผู้ที่จะมีส่วนในความรับผิดชอบ ถ้าอนาคต แหวนวงนี้ตกอยู่ในมือผู้ไม่คู่ควร แล้วเกิดมหาวิบัติขึ้น ผู้ที่ร่วมหล่อแหวนวงนี้ จะต้องเป็นหนึ่งในผู้รับผิดชอบ จากการนิ่งเฉยที่จะก่อให้ การนำเครื่องมือไปก่อเหตุ ไม่พึงประสงค์ ลงแนบท้าย แหวนลงนี้จะต้องถูกทำลายทันทีที่เกิดปัญหา (ผมเวิ่นเว้อเกินไปไหม)

*** คนกำลังเมา เราบอกเค้ากำลังเมา ไม่ให้ขับรถ เค้าไม่เชื่อหรอกครับ เค้าจะบอกว่าเค้าไม่เมา เค้าขับได้ ก็ปล่อยให้ชนก่อนครับ แล้วเค้าจะรู้ว่าเค้าเมาแต่ก่อนปล่อยให้เค้าออกรถ ให้เค้าเซ็นรับผิดชอบผลที่จะเกิดด้วย ไม่ใช้ สบัดตูดหนีหายไป***

นิรโทษไปเรียบร้อยแล้วก่อนทำครับ รวมถึงการกระทำในอนาคต ถึงแม้จะฆ่าคนไทยพร้อมกันทั้งประเทศหรือรบกับอเมริกา หรือขายชาติยกแผ่นดินให้จีน ก็ไม่ต้องรับผิดครับตามกฏหมายเขา แล้วกฏหมายพวกเราทุกคนละไม่มีความหมายเลยจริงๆ

และเป็นสิ่งแรกที่ทำหลังการยึดอำนาจซะด้วย โดยไม่ต้องรับผลจากการกระทำทุกอย่าง (ยกเว้นเฉพาะเรื่องดีๆ เพราะอ้างว่ามาทำดี)

แล้วเดี๋ยวคนเมาอีกกลุ่มก็ออกมายึดอำนาจซ้ำไงครับอย่างรัฐธรรมนูญที่พึ่งฉีกไปก็มาจากคนเมาหนิครับทำไมเขาถึงออกมาฉีกมันหละ..

นิรโทษกรรมไปแล้ว อย่าว่าแต่ดักฟังเลย พรุ่งนี้ประกาศเป็นศัตรูกับคนทั้งโลก ยังไม่ผิดเลยครับ เดินเอาปืนไล่เป่าหัวคนเดินถนนก็ไม่ผิด

หลักฐานชัดเจน ส่วนต่างเยอะแยะ ยังบอก "คลุมเครือ" ไม่สั่งฟ้องได้เลย
ที่จริงในภาวะอย่างนี้ อยากทำอะไรทำไปเลยครับ อย่าสร้างภาพว่าทำมาอย่างถูกต้องเลยครับ เพราะทุกอย่างบิดเบี้ยวไปหมด
อำนาจล้นแต่ผู้ร้ายโจร ขโมย ไม่เคยกลัว เพราะมัวแต่ไปคอยยุ่งกับอีกฝาก กับคอยเอาใจกองเชียร์

ท่าทางแบบนี้ อารมณ์แบบนี้ อยู่ฝ่ายนี้ จะมีการโพสแบบว่า.... อย่างแน่นอน

เราก็แค่ป้องกันไม่ให้เขาโพสเรื่องอย่างว่า หรือจะพูดก็คือ "ก่อนที่เขาจะโพส เราก็เตรียมกุญแจมือไว้ให้แล้ว..."

หวังว่าทางรัฐบาลจะไม่เอาไปใช้แบบนี้นะครับ

EThaiZone Sun, 01/02/2015 - 04:15

Internal Intrusion Detection System

มันเรียกแบบนี้ต่างหาก เอาไว้ใช้ตรวจจับภายใน เหอๆ

การวิเคราะห์แพตเทิร์นของทราฟิกที่เข้าออกจากเซิร์ฟเวอร์ก็คือการดักฟัง

ดูเหมือนว่าผู้เขียนได้ใส่ความคิดเห็นของตัวเองเข้าไปโดยใช้คำที่ผิดเพี้ยนและแรงเกินไป มันยังมีคำที่น่าจะถูกต้องและเหมาะสมกว่านี้เช่นคำว่ามอนิเตอร์ ในบทสัมภาษณ์ผู้ถูกสัมภาษณ์ไม่ได้ใช้คำว่าดักฟังเลยแม้แต่ครั้งเดียว แต่มีใช้คำว่า surveillance ซึ่งก็หมายถึงการเฝ้าระวัง ไม่ใช่การดักฟัง ถ้าจะใช้คำว่าดักฟังนั้นก็จะต้องสามารถเข้าถึงข้อความหรือเสียงที่ใช้สนทนาจริงๆได้ ซึ่งถ้าเป็น SSL ก็จะต้องมีการแกะ SSL ออกก่อน แต่นี่เขาไม่ได้จะออกกฎหมายมาเพื่อจะตั้งเซิร์ฟเวอร์ที่ไหนเพื่อแกะ SSL เพื่อดูข้อความการสนทนาข้างในของใคร เขาแค่จะทำเรื่อง cyber security เช่นการเฝ้าระวังหรือมอนิเตอร์ทราฟฟิกให้เพื่อป้องกันการโจมตีในทาง cyber warfare ในระดับประเทศ ซึ่งยังไม่มีใครรับผิดชอบตรงนี้โดยตรง ไม่ว่า ISP หรือเราๆท่านๆ

โดยปกติแล้วการวิเคราะห์แบบนี้มักใช้ระบบป้องกันการโจมตีที่ตั้งไว้โดยเจ้าของเซิร์ฟเวอร์เอง

ไม่ใช่เฉพาะการป้องกันเซิร์ฟเวอร์ของตัวเองบนอินเตอร์เน็ต แต่ยังรวมไปถึงการป้องกันคนของตัวเองให้ปลอดภัยจากการเข้าถึงอินเตอร์เน็ต เช่นบริษัทห้างร้านติดตั้ง IDS/IPS เพื่อป้องกันพนักงานจะได้รับอันตรายจากภัยจากไซเบอร์ขณะใช้อินเตอร์เน็ตในขณะปฏิบัติงาน

แต่กระบวนการที่รัฐมาช่วยจับแพตเทิร์นทราฟิกให้คงเป็นเรื่องแปลก

ไม่ใช่เรื่องแปลกถ้าจะต้องมีหน่วยงานกลางขึ้นมาทำเรื่องนี้ในระดับประเทศ เพราะ ISP ก็ยังไม่ได้ทำให้เรา (เช่น มี ISP รายไหนติดตั้ง IDS/IPS ให้ลูกค้าเครือข่ายมือถือหรือ ADSL/Fiber ตามบ้านบ้าง?) คนทั่วไปที่ไม่รู้เรื่องก็มีมากมาย ถ้ารัฐไม่ทำแล้วใครจะทำ

สรุปคือข่าวนี้มีการหยิบคำพูดมาแค่บางประโยคแล้วก็เติมความเห็นของตัวเองหรือสิ่งที่ตัวเองกลัวเข้าไปจนเกินจริงตามแนวทางที่ตัวเองอยากให้ปรากฎออกมา เจตนาของการออกกฎหมายก็เพื่อการรับมือกับภัยคุกคามทางด้านไซเบอร์ในระดับประเทศ ถ้าไม่มีตรงนี้เกิดเราโดนต่างชาติโจมตีในระดับประเทศไม่ว่าจากนอกหรือในประเทศเราก็ต้องโทษรัฐบาลกันอีกอยู่ดี เช่นมีแฮกเกอร์เข้ามาชัตดาวน์โรงไฟฟ้าของเราแบบที่เกิดในต่างประเทศทำให้ทุกคนเดือดร้อนกันหมดแล้วเราจะโทษใคร ทำก็โดนไม่ทำก็โดน สรุปโดนทั้งขึ้นทั้งล่อง การทำตรงนี้ก็ไม่จำเป็นต้องทำถึงขนาดดักฟัง แค่มอนิเตอร์ก็เพียงพอ และการมอนิเตอร์ไม่จำเป็นต้องเป็นการดักฟัง มันสามารถมอนิเตอร์ทราฟฟิกเพื่อวิเคราะห์แพทเทิร์นต่างๆได้โดยที่ไม่จำเป็นต้องแกะ SSL ออกมา ซึ่งทุกวันนี้บริษัทต่างๆก็ทำกันอยู่ ถ้าการทำแบบนี้คือการดักฟังนั่นก็แสดงว่าตอนนี้มีการดักฟังกันอย่างเอิกเกริกและแพร่หลายในหลายๆองค์กรแล้ว และถึงแม้จะต้องทำ deep packet analysis คือต้องแกะ SSL ออกมาเพื่อวิเคราะห์ลึกไปถึงระดับ HTTP หรือ SMTP หรืออะไรๆที่ถูกหุ้มด้วย SSL อยู่มันก็เป็นสิทธิ์ที่องค์กรที่เขาจะทำได้ โดยไม่ได้หมายความว่าเขาจะมาดักฟังพนักงาน เพราะเขาแค่จะให้โปรแกรมมันวิเคราะห์และตรวจจับแพทเทิร์นให้เพื่อการป้องกันอะไรต่างๆในบริษัทเท่านั้น ไม่ได้จะมานั่งแอบดู(ดักฟัง)ว่าใครคุยอะไรกับใครที่ไหน เพราะระบบที่ติดตั้งเพื่อการนี้มันก็ต้องทำมาให้ตรวจสอบได้ audit ได้ เพื่อจะได้บังคับใช้บทลงโทษได้ในกรณีการใช้อำนาจหน้าที่โดยมิชอบ (ซึ่งก็ไม่ได้มีการยกมานำเสนอทั้งที่มีการย้ำในบทสัมภาษณ์) ฉะนั้นถ้ารัฐอยากทำแบบเดียวกันให้กับประชาชนบ้างก็คงเป็นเรื่องที่ต้องมาดีเบทกัน เพราะมันก็ใช่ว่าจะมีแค่คนไม่เห็นด้วย คนเห็นด้วยมันก็อาจมีพอสมควรอยู่เหมือนกัน (แต่ส่วนตัวแล้วผมไม่เห็นด้วย ต้องบอกไว้ก่อนที่จะมีใครมาทัก ผมแค่มองอะไรอย่างเป็นกลางเท่านั้น)

ก็คงต้องชี้แจงกระบวนการให้โปร่งใส ว่าเป็นการทำ pattern recognition เพื่อป้องกัน cyber warfare หรือตรวจจับการบุกรุกจริงๆ ไม่ใช่เจาะเข้าไปอ่านในเนื้อหาของpacket "เป้าหมาย"ที่ถูก"เฝ้าระวัง"โดยไม่มีหมายศาลรองรับ เพราะมันอาจถูกใช้ในการโจมตีทางการเมืองส่วนตัวได้

สิ่งที่รัฐยังไม่ทำ และเหมือนไม่คิดจะทำ คือการนิยามคำว่า"ความมั่นคง" ว่าหมายถึงความมั่นคงของใคร ถ้าหมายถึงของประเทศ นี้รวมความมั่นคงของ"ประชาชน"แต่ละคนด้วยไหม? หรือเหมารวมถึงความมั่นคงของ"รัฐบาล(ทหาร)"เท่านั้น?

อีกอย่างการยกตัวอย่างการป้องกันระดับองค์กรที่โดนบังคับให้ลง root CA ในเครื่อง มันคนละเรื่องกัน เพราะเครื่องมือในองค์กร ย่อมมีเป้าหมายเพื่อประโยชน์ขององค์กรเท่านั้น พนักงานต้องยอมรับและทำตาม ถ้าไม่ยอมรับก็มีตัวเลือกไปทำงานที่อื่น แต่ก็มีข้อยกเว้นกับอุปกรณ์ส่วนตัว ที่องค์กรจะไปบังคับ"แอบดู"ไม่ได้(แต่อาจห้ามนำมาใช้ในบริเวณ หรือห้ามใช้network องค์กรได้) ส่วนจะไปเทียบกับ"ประเทศ"นี่เรียกได้ว่าคนละเรื่องเดียวกัน เพราะประชาชนไม่ใช่พนักงานหรือลูกน้องของรัฐ แต่เป็น"เจ้าของ"ร่วมตะหาก