Single Gateway, ฮับ, หรือชื่อล่าสุด Virtual Single Gateway ถูกชี้แจงเหตุผลต่างๆ กันไป แต่สุดท้ายแล้วมันคือระบบสอดส่องการใช้งานอินเทอร์เน็ต และควบคุมการเข้าถึงข้อมูล ที่ไม่ว่าจะกระจายตัวหรือรวมตัวกันอยู่ที่เดียว สามารถสั่งงานได้จากศูนย์กลาง ไม่ว่าท่อ อาคาร หรือเส้นทางออกจะแยกกันอย่างไร เป็นบริษัทเอกชนหรือรัฐบาล (อ่านรายงานของ PPTV อ้างคำพูดของ พ.ต.อ.นิเวศน์ อาภาวศิน)

ดัชนีความเสรีอินเทอร์เน็ตไทย โดย Freedom House ปี 2014 ได้ 62 คะแนน สูงที่สุดนับแต่สำรวจมาจากปี 2011

ความต้องการควบคุมและสอดส่องอินเทอร์เน็ตของรัฐบาลนี้ สะท้อนออกมาอย่างเข้มข้น ตั้งแต่ร่างพ.ร.บ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ที่จากตัวร่างเอง จะเป็นหน่วยงานรัฐ หรือเอกชนทำก็คงไม่ต่างกันในแง่ของการเข้าควบคุม

คำถามคือความพยายามจะต้องจ่ายอะไรบ้าง แม้จะไม่คำนึงถึงเสรีภาพอินเทอร์เน็ต และสิทธิความเป็นส่วนตัว

เว็บเข้ารหัส

ถ้าถามว่าก่อนหน้านี้ไปสักห้าปี หากมีรัฐบาลที่สามารถเข้าดักฟังอินเทอร์เน็ตได้ทั้งหมด ข้อมูลจะได้อะไรบ้าง คำตอบคือข้อมูลจำนวนมหาศาล, อีเมล, เว็บ, ข้อความส่วนตัวตามเว็บบอร์ด, เฟซบุ๊ก ทวิตเตอร์ ฯลฯ ข้อมูลเหล่านี้หากประมวลผลอย่างมีประสิทธิภาพ คงมีประโยชน์มหาศาลต่อผู้ที่เข้าถึงได้ (พร้อมๆ กันอันตรายอย่างยิ่งยวดต่อผู้ที่ถูกดักฟัง)

ความเปลี่ยนแปลงในช่วงไม่กี่ปีที่ผ่านมา โลกอินเทอร์เน็ตผ่านจุดเปลี่ยนสองจุดใหญ่ๆ คือเหตุการณ์ Firesheep ที่นักวิจัยสาธิตการดักฟังให้ทำได้ง่ายๆ ผ่านโทรศัพท์มือถือ กดดันให้บริการใหญ่ๆ ต้องออกมารองรับการเข้ารหัสทั้งหมด และ Edward Snowden ที่ออกมาเปิดเผยโครงการดักฟังขนานใหญ่ของ NSA

ภายในช่วงไม่กี่ปี การให้บริการเว็บที่รองรับ HTTPS กลายเป็นเรื่องพื้นฐาน ไม่ว่าจะเป็นเว็บที่มีข้อมูลส่วนตัวหรือไม่ บริการที่เข้ารหัสทั้งหมดตอนนี้ เช่น เฟซบุ๊ก, ทวิตเตอร์, Google/YouTube, LINE (ที่เคยไม่เข้ารหัสเมื่อส่งข้อความผ่าน 3G)

ภายในปีนี้ บริการ Let's Encrypt จะเริ่มให้บริการ การเข้ารหัสเว็บจะกลายเป็นสิ่งที่ได้มาฟรี ไม่มีค่าใช้จ่ายเพิ่มเติมจากการจดโดเมนและการเช่าเซิร์ฟเวอร์ ซีพียูรุ่นใหม่ๆ รองรับการเร่งความเร็วการเข้ารหัส ทำให้การเข้ารหัสไม่ใช่การลงทุนเพิ่มเติมเหมือนแต่ก่อน นี่คือทิศทางที่โลกกำลังเดินหน้าไป

ราคาที่ต้องจ่ายกับการจัดการเว็บเข้ารหัส

รัฐบาลเองก็ตระหนักถึงข้อจำกัดเหล่านี้ ถึงได้ตั้งคณะทำงานเพื่อจัดการกับปัญหา SSL นี้ หลังจากรู้เรื่องนี้ ผมเขียนบทความสาธิตกระบวนการดักฟัง HTTPS โลกความเป็นจริงทางเทคนิคหากมอง SSL เป็นปัญหา เราจะมีสี่ทางเลือกคือ

1. บังคับคอมพิวเตอร์ทุกเครื่องติดตั้งใบรับรองพิเศษ เพื่อประกาศสามารถดักฟังได้ทุกเว็บ ทุกเวลา
2. เมื่อดักฟังก็ปล่อยให้เบราว์เซอร์เตือนว่าใบรับรองผิดพลาด ยอมรับกันตรงๆ ว่าอยากดักฟังเมื่อต้องการ แล้วสอนให้ประชาชนกดผ่านหน้าจอแจ้งเตือนเมื่อเข้าเว็บ (ซึ่งเบราว์เซอร์หลายตัวเริ่มมีเงื่อนไขไม่ยอมให้กดผ่านในบางเว็บแล้ว)
3. ลงทุนขี่ช้าง สร้าง root CA ของตัวเอง ทำตามมาตรฐานสากลจนกว่าจะได้รับการยอมรับจากเบราว์เซอร์ทั่วโลก ซึ่งน่าจะใช้เงินหลายสิบหรือหลายร้อยล้านบาท แล้วออกใบรับรองปลอมสำหรับเว็บต่างๆ เพื่อดักฟัง
4. สร้างเบราว์เซอร์เองแล้วบังคับทุกคนใช้ ถ้าต้องการออกอินเทอร์เน็ต (เราพร้อมจะไปถึงจุดนี้จริงๆ หรือ?)

แนวทางที่ 3 เป็นแนวทางที่ "เนียน" ที่สุดที่เป็นไปได้ในสมัยนี้ รายงานทั่วโลกเคยมีกรณีเช่นนี้สองครั้ง ครั้งแรกคือ DigiNotar เป็น CA ที่ถูกแฮกในปี 2011 และถูกใช้งานเพื่อดักฟังอยู่ 25 วัน ตั้งแต่วันที่ 4 สิงหาคมจนถึงวันที่ 25 สิงหาคม 2011 หลังจากนั้นใบรับรองของ DigiNotar ถูกถอดออกจากเบราว์เซอร์ทั้งหมด และกิจการล้มละลาย อีกครั้งหนึ่งคือ CNNIC จากจีนที่ออกใบรับรองให้กับบริษัทในอียิปต์เพื่อดักฟัง ใบรับรองถูกใช้งานเพียงไม่กี่วัน กูเกิลก็ออกมาแจ้งเตือนและถอด CNNIC ออกจาก root CA หลังจากนั้นไฟร์ฟอกซ์ก็ถอด CNNIC เช่นกัน ทำให้ในทางปฎิบัติ ใบรับรองจาก CNNIC แทบใช้งานไม่ได้

ข่าวร้ายชั้นสุดท้ายคือเบราว์เซอร์รุ่นใหม่ๆ เริ่มรองรับการล็อก CA ทำให้ต่อให้ตั้ง CA เองได้ เบราว์เซอร์ก็จะไม่ยอมรับใบรับรองจากเว็บเหล่านี้ เช่นในภาพโครมจะรองรับใบรับรองจาก Symantec และ DigiCert เท่านั้น ถ้าต้องการดักฟังแบบผู้ใช้ไม่รู้ตัวก็คงต้องแฮกเอาใบรับรองจากสองรายนี้

NSA เองเคยพยายามอย่างมากในการจัดการกับเว็บเข้ารหัสเช่น Gmail ที่สุดท้ายแล้ว NSA อาศัยการดังฟังระหว่างเซิร์ฟเวอร์ เมื่อเอกสารเปิดเผยออกมา กูเกิลและบริษัทอื่นๆ ต้องเข้ารหัสการเชื่อมต่อระหว่างเซิร์ฟเวอร์อย่างรีบเร่ง

ราคาของการดักฟัง

ตัวอย่างของการดักฟังขนานใหญ่ คือ กรณีของ NSA การเปิดเผยโครงการทั้งหมดของ NSA สร้างความเสียหายสี่ด้าน ตามรายงานของ New America’s Open Technology Institute (PDF)

• กระทบต่อธุรกิจโดยตรง: บริษัทรายงานความเสียหายจากการเสียลูกค้า โดยเฉพาะบริการคลาวด์ที่ประมาณการว่าเสียหายนับพันล้านดอลลาร์
• กระทบต่อธุรกิจทางอ้อม: รัฐบาลต่างชาติตั้งกฎการดูแลข้อมูลส่วนตัวของประชาชนหนักแน่นขึ้น ทำให้ต้นทุนการให้บริการสูงขึ้น
• กระทบต่อความสัมพันธ์ระหว่างประเทศ: ในกรณีของ NSA ที่มีการดักฟังในต่างประเทศรวมถึงการดักฟังโทรศัพท์บุคคลสำคัญในรัฐบาล
• กระทบต่อความปลอดภัยไซเบอร์: ความพยายามดักฟังทุกวิถีทางไปจนถึงการทำให้การเข้ารหัสอ่อนแออย่างจงใจ ทำลายความปลอดภัยของอุปกรณ์เครือข่ายโดยตรง ทำลายความปลอดภัยโดยรวมของอินเทอร์เน็ต

บล็อคเว็บ

ภาพฝันว่ารัฐจะสามารถควบคุมอินเทอร์เน็ตได้อย่างสมบูรณ์ แบบเดียวกับที่เคยควบคุมสื่อสิ่งพิมพ์ในสมัยเก่าเป็นภาพที่คงทำได้ยากแม้แต่ในจีนเอง ยกเว้นบ้างคงเป็นเกาหลีเหนือ

ไม่ใช่แค่ Single Gateway คนเกาหลีเหนือที่ "เชื่อมต่อเครือข่าย" ได้อยู่ในระดับ Zero Gateway

Note to Chinese censors: if you pull our vpns, main Asia news bureaus will have to move to Tokyo. Not good for China.

— Barbara Demick (@BarbaraDemick) November 6, 2012

การลงทุนสร้างเครือข่ายขนาดใหญ่เพื่อเซ็นเซอร์อย่างหนักเช่นในจีนเอง สุดท้ายแล้วก็มักจะมีข้อยกเว้นมากมาย รายงานแปลกๆ เช่น อินเทอร์เน็ตตามโรงแรมหรูที่ต่างชาติเข้าพักกลับสามารถเข้าถึงเว็บที่ถูกบล็อคได้ หรือโทรศัพท์ของชาวต่างชาติที่เปิดโรมมิ่งกลับเข้าเว็บที่ปกติบล็อคได้เช่นกัน ประชาชนจีนเองก็นิยมเข้าถึงบริการ VPN เพื่อออกไปใช้บริการ VPN เหล่านี้เป็นเรื่องปกติ มีการไล่บล็อคบางบริการเป็นระยะๆ แต่ก็เกิดรายใหม่ขึ้นมาเรื่อยๆ และการใช้ VPN ในบริษัทต่างๆ ที่ต้องเชื่อมต่อกับต่างชาติก็ใช้งานได้ตลอดมา โดยทางการไม่เข้าไปยุ่งแต่อย่างใด

สุดท้ายแล้วการลงทุนไปมากมาย คาดว่าหน่วยงานบล็อคเว็บของจีนจ้างคนนับหมื่นคนเพื่อดูแลการบล็อคเว็บนี้ และได้ระบบบล็อคเว็บที่มีข้อยกเว้นไปมา

ความน่าเชื่อถือคือราคา

นอกจากราคาที่ต้องจ่ายเป็นค่าอุปกรณ์ ค่าบำรุงรักษา ความน่าเชื่อถือต่อโลกภายนอกคือราคาที่ต้องจ่ายเมื่อต้องการควบคุมอินเทอร์เน็ตอย่างสมบูรณ์ ไม่ว่าการควบคุมจะสำเร็จหรือไม่ ความน่าเชื่อถือกลายเป็นราคาที่ต้องจ่ายไปในทันที อินเทอร์เน็ตจีนกลายเป็นโลกอีกใบหนึ่งที่คนภายนอกมองเป็นสิ่งแปลกปลอม การใช้บริการจากบริษัทในจีนกลายเป็นสิ่งต้องระวังจากบริษัทภายนอก เช่น กรณี Xperia ส่งข้อมูลผู้ใช้ไปยังเซิร์ฟเวอร์ในจีน หรือเมือบริษัทต้องการให้บริการระดับโลก สิ่งแรกๆ ที่ Xiaomi ทำคือย้ายเซิร์ฟเวอร์ออกไปนอกประเทศ

นี่คือราคาของระบบที่มีข้อยกเว้น ระบบที่มีข้อจำกัด ราคาของระบบสอดส่องที่เป็นการขี่ช้างจับตั๊กแตน ตั๊กแตนที่ตัวเล็กลงเรื่อยๆ อย่างรวดเร็ว

นี่คือการกระตุ้นเศรษฐกิจ?

และเราจะจ่ายราคานี้กันจริงๆ หรือ?