Privacy International ชี้ ไมโครซอฟท์รับ root CA ของรัฐบาลไทยตั้งแต่ปลายปีที่แล้ว

By lew

on 26 January 2017 - 09:23 Tag: Thailand, Security, Privacy, Microsoft

Thailand

Privacy International ออกรายงาน "Who's That Knocking At My Door?" รายงานถึงความพยายามในการบล็อคเว็บและการเข้าถึงข้อมูลส่วนตัวของรัฐบาลไทยในช่วงหลายปีที่ผ่านมา ในรายงานระบุถึงประเด็นสำคัญคือตอนนี้__ไมโครซอฟท์เป็นผู้ผลิตซอฟต์แวร์หลักรายเดียวที่ยอมรับ root CA ของรัฐบาลไทย__

Thailand National Root Certification Authority - G1 ดูแลโดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ (NRCA) เป็นหน่วยงานภายใต้สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ./ETDA) หน่วยงานที่เคยระบุถึงความจำเป็นในการดักฟังว่าเป็นการป้องกันการแฮกล่วงหน้า ด้วยพ.ร.บ.ว่าด้วยการรักษาความมั่นคงทางไซเบอร์

การรับรอง root CA ในระบบทำให้ผู้ให้บริการ CA สามารถสร้างใบรับรองสำหรับเว็บใดๆ หาก CA มีมาตรฐานดำเนินการที่หละหลวมก็สามารถออกใบรับรองให้กับเว็บสำคัญๆ เช่น กูเกิล, เฟซบุ๊ก, หรือเว็บใดๆ ก็ได้ในโลก โดยผู้ที่ได้ใบรับรองเหล่านั้นไปอาจนำไปใช้ดักฟังการเชื่อมต่อโดยที่ผู้ใช้ไม่รู้ตัว

ทาง Privacy International สอบถามไปยังไมโครซอฟท์ ขอให้ชี้แจงกระบวนการตัดสินใจยอมรับ root CA ของรัฐบาลไทยครั้งนี้ ไมโครซอฟท์ระบุว่าบริษัทไม่ได้เปิดเผยกระบวนการตัดสินใจภายใน แต่เงื่อนไขโดยรวมนั้นเปิดเผยอยู่ในเว็บไซต์บริษัท ขณะที่ทาง The Verge สอบถามไปยังไมโครซอฟท์อีกทางและได้รับคำตอบเพิ่มเติมคือ NRCA นั้นผ่านการตรวจสอบว่ากระบวนการได้มาตรฐาน และชี้ว่าความกังวลว่า root CA นี้จะถูกนำมาใช้ดักฟังของ Privacy International ไม่ตรงกับกระบวนการทำงานที่ได้รับการตรวจสอบแล้ว

เอกสารตรวจสอบการทำงานของ NRCA ฉบับล่าสุด (1, 2) ตรวจสอบโดย BDO Malaysia ยืนยันว่าทางสพธอ. ดำเนินการได้มาตรฐาน WebTrust

ที่มา - Privacy International, The Verge

Hiring! บริษัทที่น่าสนใจ

Carmen Software

Hotel Financial Solutions

Next Innovation (Thailand) Co., Ltd.

We are web design with consulting & engineering services driven the future stronger and flexibility.

KKP Dime

KKP Dime บริษัทในเครือเกียรตินาคินภัทร

Kiatnakin Phatra Financial Group

Financial Service

Fastwork Technologies

Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน

Thoughtworks Thailand

Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน

Iron Software

Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.

CLEVERSE

Cleverse is a Venture Builder. Our team builds several tech companies.

Nipa Cloud

#1 OpenStack cloud provider in Thailand with our own data center and software platform.

Bangmod Enterprise

The leader in Cloud Server and Hosting in Thailand.

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

MuvMi (Urban Mobility Tech Co.,Ltd.)

Shape the future of urban mobility towards affordable, clean, and safe solutions

T.N. Digital Solution Co., Ltd.

TNDS has been involving in every first move of banking’s major digital transformation.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Siam Commercial Bank Public Company Limited

"Let's start a brighter career future together"

Icon Framework co.,Ltd.

Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก

REFINITIV

The Financial and Risk business of Thomson Reuters is now Refinitiv

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

The Gang Technology Co., Ltd.

We're a Digital Agency that helps our customers transform their business into digital with ease.

LTMH

LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย

Seven Peaks

We Drive Digital Transformation

Wisesight (Thailand) Co., Ltd.

The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure

MOLOG Tech

We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.

Data Wow Co.,Ltd

We enable our clients to realize increased productivity by solving their most complex issues by Data

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

LINE MAN Wongnai

Join our journey to becoming No.1 food platform in Thailand

ลาก่อยไมโครซอฟท์

Hadakung Thu, 26/01/2017 - 09:27

ลาก่อยไมโครซอฟท์ แค่ประเทศเล็กคุณยังยอมแล้วคุณจะมองหน้าบริษัทอื่นๆยังไง?

ปล. VPN โลด

ถามตำเดียว uninstall ตรงไหน

kswisit Thu, 26/01/2017 - 09:29

ถามตำเดียว uninstall ตรงไหน

+65536

aomnaruk Thu, 26/01/2017 - 09:37

+65536

ไม่มีความรู้เรื่องพวกนี้เลย

anoid Thu, 26/01/2017 - 09:36

ไม่มีความรู้เรื่องพวกนี้เลย แต่อยากถามว่าจะเลี่ยงยังไงดีครับ อย่าใช้edge?

เปลี่ยนไปใช้โปรดัคของค่ายอื่น

thanyadol Thu, 26/01/2017 - 09:36

เปลี่ยนไปใช้โปรดัคของค่ายอื่น ลาก่อย

ยังดี ตอนนี้ Ubuntu เป็นหลัก

gd_ab Thu, 26/01/2017 - 09:43

ยังดี ตอนนี้ Ubuntu เป็นหลัก

คอมโบกับพรบ

stickyficky Thu, 26/01/2017 - 09:44

คอมโบกับพรบ.คอมฉบับใหม่ด้วยก็สบายล่ะครับทีนี้

ผมลองตามวิธีนี้

itpcc Thu, 26/01/2017 - 09:44

ผมลองตามวิธีนี้ ก็ยังไม่เจอนะครับ (Windows 10 64-bit) ใครมีวิธีอื่นหรือเจอบอกด้วยนะครับ

ไม่เจอเช่นกัน

kswisit Thu, 26/01/2017 - 09:49

ไม่เจอเช่นกัน

ผมลอง Search ใน Cert Store

benwrk Thu, 26/01/2017 - 10:38

ผมลอง Search ใน Cert Store แล้วก็ไม่เห็นเหมือนกันครับ

Windows 10 Pro 14393.693

หึ

jommann Thu, 26/01/2017 - 09:45

หึ แค่นี้ยังไม่สาแก่ใจอีแม้นอีกรึ

ยังไงโลกออนไลน์ก็ไม่ได้มีความ

BBTaro Thu, 26/01/2017 - 09:47

ยังไงโลกออนไลน์ก็ไม่ได้มีความเป็นส่วนตัวอยู่แลัว!~

ถ้าทุกเจ้ายอมรับ ผมจะเลิกใช้

Pichai_C Thu, 26/01/2017 - 09:52

ถ้าทุกเจ้ายอมรับ ผมจะเลิกใช้ internet

ตั้งแต่ปลายที่ผ่านมา ->

hardxman Thu, 26/01/2017 - 09:54

ตั้งแต่ปลายที่ผ่านมา -> ตั้งแต่ปลายปีที่ผ่านมา
หรือเปล่าครับ

อ่าน comment

langisser Thu, 26/01/2017 - 10:08

อ่าน comment แล้วสงสัยว่าทำไมถึงคิดว่าทาง MS ไม่ควรยอมรับ root CA, เพราะเป็นหน่วยงานรัฐบาล หรือว่าเพราะกฏหมายคอมช่วงนี้
อีกอย่างทาง MS ก็ตรวจสอบว่าได้มาตรฐาน หรือกระบวนการที่ได้มามันไม่ถูกต้องตอนไหนหรอครับ

อาจะกลัวกรณีประมาณ single

narok119 Thu, 26/01/2017 - 10:29

อาจกลัวกรณีประมาณ single gateway รึเปล่าครับ

เช่น รัฐบาลทำตัวเป็น man-in-the-middle เอาหน้าเว็บปลายทางที่เราพยายามเข้า มาเข้ารหัสเอง แล้วส่งกลับมาให้ browser เรา

พอคนใช้ browser ของ Microsoft เข้าเว็บปลายทางจากในไทย ก็จะเห็นเป็น https สีเขียวตามปกติ เพราะ Microsoft รองรับ CA ของรัฐบาลไทย

ถ้านับว่าทำตามขั้นตอนจริงๆ

hisoft Thu, 26/01/2017 - 10:40

ถ้านับว่าทำตามขั้นตอนจริงๆ มันก็น่าจะยอมรับ root ให้ได้ก่อนแล้วปลดทิ้งถ้ามีการทำความผิดรึเปล่าครับ?

ผมไม่รู้เรื่อง protocal

langisser Thu, 26/01/2017 - 11:30

ผมไม่รู้เรื่อง protocal พวกนี้เท่าไรนะ แต่อ่านแล้วพอเห็นภาพอยู่
ซึ่งแบบนี้เจ้าอื่นๆ ที่ขอรับรอง root CA ผ่านแล้วก็ทำแบบนี้ได้เหมือนกันสิ และทำได้โดย บ.ที่รับรองตรวจสอบไม่ได้ด้วยรึเปล่าครับ
ถ้าใช่ ใครทำผ่านการรับรอง root CA ได้ก็สบายเลยสิครับ ได้ข้อมูลทุกอย่าง

งง ว่าปัญหาอยู่ตรงไหน -*-

achidad Thu, 26/01/2017 - 10:24

งง ว่าปัญหาอยู่ตรงไหน -*-

+1 ขอมางงด้วยครับ

0FFiiz Thu, 26/01/2017 - 10:29

+1 ขอมางงด้วยครับ

ขอสอบถามครับ

secure Thu, 26/01/2017 - 10:36

ขอสอบถามครับ
ถ้า A เป็น ca root ผมเข้าใจแบบนี้ถูกรึเปล่าครับ
สมมติผู้ใช้งานจะเข้าเว็บ www.web.com

A สามารถสร้าง cert ให้เว็บ www.web.com ได้โดย browser จะมองว่าปลอดภัย เช่นเป็นแถบเขียว (issuer คือ ชื่อ ca root)
ถ้าผู้ใช้งานเข้าเว็บ www.web.com
traffic อาจถูก redirect ไปหา proxy ตัวนึงที่มี cert สำหรับ www.web.com ที่ A สร้างมา
proxy forward traffic ไปหา www.web.com แทน ผู้ใช้งาน
www.web.com ตอบกลับ โดยคิดว่า proxy เป็นคนใช้งานทั่วไป
proxy สามารถ ดัก / แก้ไข หรือ forward traffic ได้ (แบบไม่เข้ารหัส) และส่งต่อให้ user โดยผู้ใช้จะมองเห็น cert สำหรับ www.web.com ที่ A สร้างมา
user ก็เข้าเว็บได้ปกติ เห็นแถบเขียวๆ เหมืนอเข้าเว็บจริง แต่ถ้าดู issuer จะเป็น A ไม่ใช่ issuer ที่ของ cert ในเว็บนั้น

** แต่ถ้า user สังเกต cert ก็จะเห็นว่าไม่ใช่ตัวจริง คนก็จะมาใช้ proxy หรือ tor แทน?

ถูกต้องครับ

rokoman Thu, 26/01/2017 - 10:47

ถูกต้องครับ แต่ไม่จำเป็นต้องเป็น proxy , หรือทำ man in the middle เลย เพราะถ้ามีตัวถอดรหัส สามารถดักจับได้เลยครับ เช่น span port traffic มาให้เครื่องมืออย่าง wireshark หรือ ถ้าเป็น hardware ก็พวก gigamon (https://www.gigamon.com/products/technology/ssl-decryption) ขอแค่มี key ที่ใช้สำหรับถอดรหัส

key ถอดรหัสไม่มีนะครับ CA

nat3738 Thu, 26/01/2017 - 11:45

key ถอดรหัสไม่มีนะครับ CA ทำหน้าที่แต่รับรองว่าเราเป็นคนที่เราบอกว่าเป็นเฉยๆ ปกติเวลาขอใบรับรอง เราจะ generate keypair บนเซิร์ฟเวอร์ แล้วส่ง public key ไปให้ CA รับรองครับ ตัว private key ไม่ออกจากเซิร์ฟเวอร์เลย

สร้าง Cert ลูกขึ้นมา แล้วเอา

kimminwoo Thu, 26/01/2017 - 11:53

สร้าง Cert ลูกขึ้นมา แล้วเอา CA มารองรับ

ถ้าจะบอกสร้าง Cert ลูกขึ้นมา

kan Thu, 26/01/2017 - 16:31

ถ้าจะบอกสร้าง Cert ลูกขึ้นมา ก็ไม่ต้อง Sign ด้วย CA ไทยก็ได้ ใช้ CA นอกก็ได้ เพราะถ้าจะดักได้ ต้องมี private key ของ Server

ออ เข้าใจละ คือให้รัฐบาลไทย

kan Thu, 26/01/2017 - 17:58

ออ เข้าใจละ คือให้รัฐบาลไทย ทำ Cert google facebook ปลอมขึ้นมา

ใช่แล้วละครับ ปกติเวลาเราจะขอ

Peera.J Thu, 26/01/2017 - 12:02

ใช่แล้วละครับ ปกติเวลาเราจะขอ Cert เราต้องสร้าง CSR ขึ้นมา ซึ่งประกอบไปด้วยข้อมูลของ Cert ที่เราจะขอนั่นเอง ซึ่งในขั้นตอนสร้าง CSR นี่แหละที่เราจะได้ Private Key มาเก็บไว้ด้วย ซึ่งต้องใช้คู่กันกับ Cert ที่ CA จะส่งกลับมาให้เราครับ ฉะนั้นต่อให้เป็น CA ก็ไม่มี Private Key ของเรานะครับ ถ้าจะดักฟังก็ต้องทำ MITM แหละ:D

ฤา Country Magager

tajmahals Thu, 26/01/2017 - 10:30

ฤา Country Magager อาจจะเป็นขวาจัดก็เป็นได้

อ่าาา หาเจอแล้ว

Peera.J Thu, 26/01/2017 - 10:49

อ่าาา หาเจอแล้ว

นั่นไง แต่ผมหาไม่เจอนะ

sonkub Thu, 26/01/2017 - 10:56

นั่นไง แต่ผมหาไม่เจอนะ

ลองตามนี้เลย ใน powershell

Peera.J Thu, 26/01/2017 - 11:12

ลองตามนี้เลย ใน powershell นะครับ
get-childitem cert:\LocalMachine\AuthRoot | Select-String 66F2DCFB3F814DDEE9B3206F11DEFE1BFBDFE132

เครื่องผมไม่มีแฮะ

hisoft Thu, 26/01/2017 - 10:56

เครื่องผมไม่มีแฮะ ในมือถือก็ไม่มีครับ ในอีกเครื่องที่เป็น Insider fast ring ก็ไม่มี - -"
แต่ผมไม่ได้ตั้ง region เป็นไทย จะเกี่ยวมั้ย ถ้าเกี่ยวนี่แลดูน่าสงสัยกว่าเดิมอีก

ของผมก็ไม่มี เครื่องผมตั้ง

KittenWIthoutACause Thu, 26/01/2017 - 11:03

ของผมก็ไม่มี เครื่องผมตั้ง region เป็นไทยนะ คงไม่เกี่ยว

ของผม fastring build 15007

Peera.J Thu, 26/01/2017 - 11:18

ของผม fastring build 15007 ครับ T___T
edit* จากที่ลอง windows server 2016 สองเครื่องไม่มีครับ มาหวยออกที่เครื่องผม 5555

2013 เลยหรอครับใบนี้

sHocKaLovE Thu, 26/01/2017 - 11:10

2013 เลยหรอครับใบนี้

ยังหาไม่เจออยู่ดี แต่ก็ระแวง

kswisit Thu, 26/01/2017 - 11:19

ยังหาไม่เจออยู่ดี แต่ก็ระแวง ไม่รู้ว่าจะมากับ windows update ตอนไหน

ผมยังรอดอยู่

makeithard Thu, 26/01/2017 - 11:29

ผมยังรอดอยู่

ของผมไม่มีนะ แล้วก็ไม่ได้ตั้ง

Orion Thu, 26/01/2017 - 11:58

ของผมไม่มีนะ แล้วก็ไม่ได้ตั้ง region เป็นไทย

เจอเหมือนกัน

naja_return Thu, 26/01/2017 - 17:35

เจอเหมือนกัน

มีบางเครื่อง ตั้งใจวางยา?

OXYGEN2 Tue, 23/01/2018 - 20:58

มีบางเครื่อง ตั้งใจวางยา? หรือเปล่า

สงสัยว่าการขอ root CA

sonkub Thu, 26/01/2017 - 11:00

สงสัยว่าการขอ root CA ครั้งนี้ ใช้ค่าใช้จ่ายเท่าไร

แบบนี้ถึงจะใช้ browser

Iamz Thu, 26/01/2017 - 11:18

แบบนี้ถึงจะใช้ browser อื่นก็ไม่รอดนะครับ ต้องเอาออกจากเครื่องสถานเดียว

Firefox มี list ของตัวเองครับ

Ford AntiTrust Thu, 26/01/2017 - 13:10

Firefox มี list ของตัวเองครับ

ออ เห็น Chrome ใช้ของ OS

Iamz Thu, 26/01/2017 - 13:32

ออ เห็น Chrome ใช้ของ OS เลยนึกว่าโดนหมดครับ

รัฐบาลซื้อไมโครซอฟไปแล้ว

Tanapongs Thu, 26/01/2017 - 11:21

รัฐบาลซื้อไมโครซอฟไปแล้ว ถถถถถถถถถ

555 สงสัยจะจริง

Pichai_C Thu, 26/01/2017 - 11:57

555 สงสัยจะจริง

ถ้าตามข่าวคดี...มาเรื่อยๆ

Fourpoint Thu, 26/01/2017 - 12:30

ถ้าตามข่าวคดี...มาเรื่อยๆ

จะพบว่า MS เป็นเจ้าเดียวที่ให้ข้อมูลส่วนตัวผู้ใช้(IP)กับการร้องขอ จากจนท.ไทยหรือรบ.ไทยครับ

google Facebook ปฎิเสธหมด

trust list โดยพลัน โอ้วววว

indyend Thu, 26/01/2017 - 11:27

trust list โดยพลัน โอ้วววว เผื่อเจอ :)

"ขณะที่ทาง The Verge

Hoo Thu, 26/01/2017 - 12:26

"ขณะที่ทาง The Verge สอบถามไปยังไมโครซอฟท์อีกทางและได้รับคำตอบเพิ่มเติมคือ NRCA นั้นผ่านการตรวจสอบว่ากระบวนการได้มาตรฐาน และชี้ว่าความกังวลว่า root CA นี้จะถูกนำมาใช้ดักฟังของ Privacy International ไม่ตรงกับกระบวนการทำงานที่ได้รับการตรวจสอบแล้ว"

สรุป หลอนไปเองนะครับ

หลอนสิครับ

Fourpoint Thu, 26/01/2017 - 12:40

หลอนสิครับ

ก็รบ.เผด็จการ และมีทีท่าว่าจะสืบทอดอำนาจไปอีกอย่างน้อย20ปี(ตามร่างรธน.)

มีแนวโน้มที่จะออกกฎหมายบังคับใช้internet อย่างเข้มงวด รวมไปถึงโครงการ single gateway(ผ่าน national gateway)

ยิ่งมี root CA แล้ว วันใดวันนึงออกคำสั่งบังคับ root CA เท่านั้นที่ออก internet ได้ก็จบ

ตัวอย่างรบ.เผด็จการที่บังคับ root CA ที่สนับสนุนโดยรบ. หรือออกใบรับรองปลอมเวบดังๆ ก็มีมาแล้วบ่อยๆ ไม่ใช่ว่าไม่เคยเกิดขึ้นในโลกนี้

แนวโน้มมันสูง ก็มีสิทธิ์ที่จะสงสัย หรือต้องรอให้เกิดซ้ำซากขึ้นมา แล้วค่อยตื่นตัว?

ป.ล. ข่าวเก่าๆ เผื่อหลายคนตกข่าว
อิหร่านบล็อค HTTPS ทั้งประเทศ

กูเกิลเตือนใบรับรอง SSL ปลอมถูกรับรองโดย CA สำหรับดักฟังในอียิปต์ รับรองโดย root CA ของจีน

รัฐบาลคาซัคสถานยื่นขอ root CA ใน Mozilla หลังออกนโยบายดักฟังทั้งประเทศ

ว้าว รัฐบาลนี้จะมีอำนาจไปอีก

0FFiiz Thu, 26/01/2017 - 13:31

ว้าว รัฐบาลนี้จะมีอำนาจไปอีก 20 ปีจริงๆ เหรอครับ ถ้าเป็นเช่นนั้นจริง ผมก็โล่งใจละ

เบื่อประชาธิปไตยในประเทศที่ประชาชนไร้ระเบียบวินัย

ในรธน. รบ

Fourpoint Thu, 26/01/2017 - 13:34

ในรธน. รบ.หลังจากนี้ต้องทำตามยุทธศาสตร์ชาติที่กำหนดไว้โดยคนของคสช.ครับ แผนนี้เขียนไว้ว่า 20ปีเป็นอย่างน้อย

ส่วนคุณชอบใจก็ดีใจด้วย แต่ถ้าวันนึงคุณไม่ชอบใจเมื่อไร ก็ไม่มีสิทธิ์จะทำอะไรนอกเหนือคำสั่งคสช.เช่นกันครับ แม้แต่การออกมาต่อต้านเล็กๆน้อย อาจจะเจอการลงโทษที่รุนแรงกว่าการฆ่าคนตายในบางกรณีเสียอีก

ก็หวังว่าคุณจะโชคดี คิดเห็นไปในแนวทางเดียวกับท่านผู้นำไปตลอด20ปีได้นะครับ...

ขอบคุณครับที่เข้าใจ

0FFiiz Thu, 26/01/2017 - 13:43

ขอบคุณครับที่เข้าใจ ผมมั่นใจมากเลยว่าผมจะมีความสุขกับมัน :)

คิดง่ายดีครับ

ZicmA Thu, 26/01/2017 - 14:06

คิดง่ายดีครับ แค่เรื่องประชาชนไร้ระเบียบแค่บางกลุ่ม ถึงกับทำให้คุณยอมทิ้งคำว่าเสรีภาพไปได้
ทั้งๆที่คำๆนี้บางประเทศเสียเลือดเสียเนื้อกันเป็นแสนคนถึงจะได้มา

ตอนนี้มันสงบก็ดีแล้วครับ ตรวจสอบใครไม่ได้ ถึงจะตรวจสอบได้ ถ้าท่านผู้นำบอกว่าถูกก็คือถูก บอกว่าผิดก็คือผิด
เรื่องโกงกิน ? ไม่มีหรอก เพราะพวกเค้าดีกว่านักการเมือง ... ถถถถ

เสรีภาพที่พูดถึง

0FFiiz Thu, 26/01/2017 - 14:23

เสรีภาพที่พูดถึง คือเรื่องอะไรเหรอครับ
ตอนนี้ผมก็สามารถไปไหนมาไหนก็ได้ตามใจต้องการ
สามารถซื้อของ หรือทำอะไร หรืออยากดูอะไร ผมก็ทำได้เกือบหมด

จะมีก็แค่ หนัง 18+ บุหรี่ไฟฟ้า หรืออะไรแนวๆ นี้ ที่รัฐบาลเลือกตั้งก็ห้ามเช่นเดียวกัน

อิสระภาพด้านไหนของผมครับที่หายไป ?
ถ้าสังเกตุดีๆ ผมว่าประเทศเรามีเสรีภาพสูงมากเป็นอันดับต้นๆ ของโลกเลยนะ

หลายๆ คนชอบยก เสรีภาพ กับ เผด็จการมาพูด โดยปิดตาไม่มองว่าประเทศเรามันอิสระมากแค่ไหน ไม่ว่ายุคใดก็ตาม

ถ้าเอาตามความรู้สึกจริงๆ ผมกลับรู้สึกว่ายุคนี้ อิสระกว่าเดิมอีก เพราะพวกที่ใช้อิสระของตัวเอง มาปิดกั้นอิสระของคนอื่นหายไปเยอะ เช่นร้านขายของตามฟุตบาท ทำให้ผมมีอิสระในการเดินบนฟุตบาทมากขึ้น

เสรีภาพในการตรวจสอบ

anoid Thu, 26/01/2017 - 14:43

เสรีภาพในการตรวจสอบ ในการวิจารณ์การทำงานของรัฐบาล ผมว่าหายไปจริงๆครับ ในสื่อหลักแบบทีวีหรือวิทยุมีแต่อวยอย่างเดียวเลยครับ อยากเสพข่าวอีกด้านนี่ต้องมาหาอ่านในเนตเท่านั้น ถ้ารบ. นี้เข้าควบคุมเนตได้ก็จบแล้วไม่เหลืออะไรให้อ่าน

เสรีภาพ

pd2002 Thu, 26/01/2017 - 14:49

เสรีภาพ มันน่าจะพ่วงไปถึงการตรวจสอบ การออกความคิดเห็น การวิพากษ์วิจารณ์ในสิ่งที่กระทบต่อชีวิตของประชาชนด้วยหรือเปล่าครับ
ทุกวันนี้ผมก็เห็นมีเคสอะไรเยอะแยะที่เห็นแล้วน่าจะควรรับฟัง ควรเปิดโต้ะพูดคุยวิจารณ์หาทางออกกันอย่างจริงจัง แต่เหมือนผู้ใหญ่ก็ไม่ต้องแคร์อะไรเลย เพราะเขาไม่จำเป็นต้องแคร์ครับ

เสรีภาพในการตรวจสอบรบ.

Fourpoint Thu, 26/01/2017 - 14:52

เสรีภาพในการตรวจสอบรบ.(อย่าบอกว่าไม่เห็นข่าว คนโดนคุกโดยไม่รอลงอาญาฯ เพราะสงสัยรบ.นี้นะครับ)

เสรีภาพในการคิดการพูดที่อาจขัดแย้งกับรบ.

เสรีภาพในการเลือกผู้บริหารของประเทศด้วยตัวเองฯลฯ

ถ้าคุณยังไม่เคยใช้เสรีภาพเหล่านี้ คุณก็ไม่มีสิทธิ์ที่จะไปห้ามคนอื่นใช้ หรือปิดหูปิดตาคนอื่น คุณอาจยินดี และ"เชื่อว่า"ท่านผู้นำนั้นดีพร้อมหรือดีกว่ารบ.เลือกตั้งอื่นๆ เพราะไม่มีข่าวแย่ๆหลุดออกมาเลย ก็เรื่องของคุณ แต่คุณไม่มีสิทธิ์บังคับหรือห้ามคนอื่นคิดแตกต่างจากคุณ

แน่นอนว่า ผมก็ไม่ได้ห้ามคุณนิยมรบ.นี้นะครับ ก็เลยอวยพรขอให้โชคดีไม่เจอเรื่องกระทบตัวเองในอนาคตจนเปลี่ยนใจ

สำหรับผมที่ผ่านยุครปห.2006(ปี1991ยังเด็กไป) เผชิญผลกระทบทางด้านร้ายจากการปิดสนามบิน shutdown กทม.โดยตรงอย่างรุนแรง รวมไปถึงโดนรอนสิทธิ์ต่างๆที่เคยได้รับ ผมคงไม่อาจยินดีไปด้วยได้

ก็ได้แต่เตือนว่า วันนี้คุณอาจเห็นด้วย วันหน้าคุณก็ไม่มีสิทธิ์จะเปลี่ยนใจ เพราะมันสายไปเสียแล้ว....

ครับ ผมไม่มีสิทธิ์นั้น

0FFiiz Thu, 26/01/2017 - 15:13

ครับ ผมไม่มีสิทธิ์นั้น คุณก็ไม่มีสิทธิ์นั้นเช่นเดียวกัน
แล้วผมก็ยังไม่ได้ห้ามพวกคุณเลยนะ

ความชอบเสรีภาพของแต่ละคนแตกต่างกันมากกว่าที่คิด
ก็ได้แต่หวังว่าจะเคารพความชอบของคนที่ชอบแบบเดียวกันกับผมด้วยนะครับ

เรื่องเตือนนี่ ผมเห็นประชาธิปไตยมา 20 กว่าปี ส่วนตัวผมก็ยังยืนยันเหมือนเดิม รัฐบาลลุงตู่ไม่ใช่เผด็จการ และผมก็จะไม่มีวันเสียใจในเรื่องนี้

Ps. ที่มาเม้นนี่ รู้ตัวว่าโดนรุมแน่นอน แต่อยากให้ยอมรับว่า มีคนคิดแบบเดียวกับผม อยู่เยอะเหมือนกัน ถ้ามีโพลหรืออะไร แล้วไม่อยากเชื่อว่ามีคนโหวตแบบนั้น ก็อยากให้คิดถึงเม้นที่ผมเม้นไป ถึงแม้ว่ามันอาจจะไม่เยอะเวอร์เหมือนในโพล แต่มีไม่น้อยแน่นอนคอนเฟริม

อิสระมาก 55+

thanyadol Thu, 26/01/2017 - 15:32

อิสระมาก 55+ ได้ข่าวว่าเพิ่งส่งคนไปอุ้มทั้งครอบครัวมา

รัฐบาลลุงตู่ไม่ใช้เผด็จการ มีแค่คนกลุ่มหนึ่งเท่านั้นแหละครับที่คิดแบบนี้(แถมยังมโนโลกสวย ประเทศสงบ ปราศจากคอรัปชัน)
มาตรา 44 อยู่เหนือกฏหมายทั้งหมดครับ แหม่

คนคิดแบบคุณ ก็มีอยุ่กลุ่มเดียวนั้นแหละครับ กลุ่มที่เรียกทหารออกมานั่นแหละ (บางคนไปชุมนุมโดยไม่รู้อะไรเลยด้วยซำ้ กระแสโซเชียล อยากเป็นคนดี ประเทศดัดจริต ทุกอย่างอยู่บนการสร้างภาพ)
คุณมโนไปเองว่ามันเยอะ เพราะมันไม่เคยเลือกตั้งชนะเลย

ดีนะที่คุณยังสนใจการเมือง เพราะคนพวกที่ผมกล่าวถึง เขาไม่สนใจการเมืองแล้ว

คุณไม่มีสิทธิ์ห้ามอยู่แล้วครั

raifa Thu, 26/01/2017 - 21:11

คุณไม่มีสิทธิ์ห้ามอยู่แล้วครับ คนอื่นก็ไม่ควรมีสิทธิ์ห้าม ในการยื่นเรื่องตรวจสอบหรือตั้งข้อสงสัยของรัฐบาล
แต่ตอนนี้มันมีน่ะสิ เคารพความชอบคนอื่นแต่ไม่มีสิทธิ์ตัดสิทธิ์ที่ไม่ระรานคนอื่นครับ

ไม่เผด็จการเหรอครับ เห็นช่วงแรกๆมีคนเชียร์บอกเป็นเผด็จการที่ดีไปเทียบกะพวกสิงคโปร์โน่นเลย

เพราะคิดตื้นๆแบบนี้ไง

checkmate95 Thu, 26/01/2017 - 15:18

เพราะคิดตื้นๆแบบนี้ไง วันนี้คุณไม่เดือดร้อนดีใจด้วย วันไหนเดือดร้อนแล้วพูดไม่ได้ อย่าเสียใจนะครับ

คุณเสียภาษีแต่คุณไม่มีสิทธิ์เ

zerocool Thu, 26/01/2017 - 15:23

คุณเสียภาษีแต่คุณไม่มีสิทธิ์เลือกว่าเงินจะถูกนำไปใช้กับนโยบายแบบไหน แบบนี้ยังเรียกว่ามีเสรีภาพไหมครับ ?

มันมีอยู่อาชีพหนึ่ง ที่มาบังคับเอาเงินคุณไปแม้คุณจะไม่อยากให้ เอาไปใช้ทำอะไรตามใจตัวเอง อยากเอาไปซื้ออะไรก็ซื้อ ลองคิดดูเล่น ๆ ครับว่านั่นคืออาชีพอะไร

ตราบใดที่ไม่มีใครมาวุ่นวายกับ

0FFiiz Thu, 26/01/2017 - 15:33

ตราบใดที่ไม่มีใครมาวุ่นวายกับเสรีภาพในส่วนของผม ผมโอเคทั้งหมด
เรื่องภาษี นักการเมือง การตรวจสอบ .... บอกตรงๆ ว่าปลงครับ
รัฐบาลปกติตรวจสอบได้ แต่เขาก็เลี่ยงไปเป็นทางอื่น สรุปก็ไม่โดนจับ
ดราม่ากันทีหลักแสนล้าน แล้วก็ลอยนวน ในความรู้สึกผม บอกเลยไม่ต่าง

สิ่งที่ต่างๆ แน่ๆ คือ เรื่องจัดการกับความเป็นระเบียบเรียบร้อย และการขุดด้านมืดขึ้นมา kill กันรัวๆ รู้สึกปลื้มปลิ่มมาก

ตามจริงคุณไม่ต้องเข้าใจผม ผมไม่ต้องเข้าใจคุณก็ได้นะ เพราะยังไงก็ไม่ยอมรับกันอยู่ดี คิดตามที่่แต่ละคนสบายใจเถอะ

GT200, กับเรือบิน

Hadakung Thu, 26/01/2017 - 16:18

GT200, กับเรือบิน ใครขุดไหมน่า ศูนย์สิริกิต ใครขุดมาน้า เสรภาพของคุณมีจริงหรอ เขาคุณเกิดมาในกรงแล้วมองโลกในกรงคือเสรีภาพก็สบายสำหรับท่านผู้นำครับ เรื่องจัดระเบียบ ถ้าคุณมีความใกล้ชิดกับธุรกิจสีเทาก็จะรู้ว่าใครเป็นเด็กใคร ถ้าผู้ใหญ่ไม่แข็งพอเด็กก็แค่โดนกระทืบเป็นข่าวโชว์แค่นั้น ไม่มีหรอกครับสิ่งที่คุณแสนภูมิใจว่าเขานั้นแสนใจซื่อสัตย์ มันแค่จิตวิทยามวลชนที่เขาร่ำเรียนมาอย่างหนักเพื่อคนหัวคนไทยด้วยกันไปหาข้อมูลได้นะครับว่ามันต้องทำยังไงแล้วเขาทำเหมือนกันไหม

คุณไม่ได้คิดต่างครับ

thanyadol Thu, 26/01/2017 - 16:26

คุณไม่ได้คิดต่างครับ คุณแค่ไม่ยอมรับความจริง มองความจริงเฉพาะในสิ่งที่อยากมอง และจะอยู่ในคอมฟอร์ตโซนของตัวเอง แค่นั้นแหละครับ

คุณตอบผมหน่อยสิครับ ว่าคุณไม่เคยไปชุมนุมกับ กปปส กล้าไหมครับ ?

ต้องสมัครอีกอันมาตอบเลยรึเนี่

0FFiizz Thu, 26/01/2017 - 16:54

ต้องสมัครอีกอันมาตอบเลยรึเนี่ย รู้สึกเสียเวลา แต่ไหนๆ ก็ไหนๆ ละ
ขอตอบเป็นข้อๆ แบบขอไม่เข้ามาอ่านละ
ประเด็น 1: อิสระเสรีภาพ
อย่างที่บอกไป มันแล้วแต่ควมชอบของแต่ละคนเลย ใครอยากอิสระโดยการใช้ชีวิต ใครอยากอิสระโดยการดด่ารัฐบาล ใครอยากอิสระโดยการจับผิดรัฐบาล แล้วแต่เลยครับ แต่สำหรับผม ต้องการอิสระในการใช้ชีวิต ซึ่งตอนนี้ก็ได้มันเต็มที่

ประเด็น 2: เรื่องการตรวจสอบ การทุจริต โกง อุ้มฆ่า ตัดตอน บลาๆๆ
ไม่น่ายกเอามาให้อายนะครับ มันมีทุกรัฐบาล เพียงแต่รอบนี้มันถูกขึ้นมาให้เห็นบ่อยมากกก ผมเลยบอกว่า ฟิน ที่ขุดออกมา kill ให้เรือยๆ เลย

ประเด็นสุดท้าย : ชั้นถูก แกผิด
ไร้สาระน่ะครับ ผมมั่นใจว่าไม่มีใครซักคนที่จะรู้ว่าความคิดใครกันนแน่ที่ถูก ทั้งคุณและผมอยากให้อีกฝ่ายตาสว่างเหมือนกัน

แต่รอบนี้ผมอยากมาเพื่อแสดงตนว่า มีคนคิดอีกฝั่งอยู่ไม่ได้หายไปไหน เพียงแค่เขาไม่ออกมาเม้นก็เท่านั้นแหละ

ไม่ตอบต่อแล้วนะ แยก !!

ผมมีข้อสงสัยในทัศนคติของคุณนะ

McKay Thu, 26/01/2017 - 18:21

ผมมีข้อสงสัยในทัศนคติของคุณนะครับ เพราะเห็นคุณพูดแต่เรื่องการใช้ชีวิต

อันนี้ขอถามว่าคุณอยู่ในวัยกำลังศึกษา หรืออยู่ในวัยแรงงานครับ? เพราะผมจำได้คร่าวๆว่าคุณกำลังศึกษาอยู่

คือถ้าคุณกำลังศึกษาอยู่ผมจะเข้าใจคุณมากขึ้นครับ เรื่องทัศนะคติต่างๆและคงไม่มีคำถามอะไร แต่ถ้าคุณอยู่ในวัยทำงานเนี่ย มีคำถามเต็มหัวผมเยอะไปหมดครับ

ผมยังไม่ขอไปไกลถึงเรื่องการตร

zerocool Thu, 26/01/2017 - 17:05

ผมยังไม่ขอไปไกลถึงเรื่องการตรวจสอบประสิทธิภาพการใช้เงินอะไรหรอกครับ แค่อยากพูดถึงสิทธิ์ในการเลือกว่าเราต้องการให้รัฐบาลของเราเอาภาษีไปใช้กับนโยบายทางไหนมากกว่า เพราะนี่คือเสรีภาพในเรื่องทำสำคัญมากเรื่องหนึ่ง (หรือคุณจะบอกว่าเงินคุณรายได้คุณไม่สำคัญ อันนี้ก็ไม่ต้องถกเถียงกันต่อครับ)

บางคนอยากได้นโยบายเน้นเกษตรกรรม
บางคนอยากได้นโยบายเน้นการส่งออก
บางคนอยากได้นโยบายเน้นการกวดขันวินัย
บางคนอยากได้นโยบายเน้นการปฏิรูปกฎหมาย
บางคนอยากได้นโยบายเน้นการคมนาคม

แต่ละคนอยากได้ไม่เหมือนกันครับ และเมื่อก่อนแต่ละคนก็มีสิทธิ์เลือกในระดับหนึ่ง แต่ตอนนี้ทุกคนไม่มีสิทธิ์เลือก ต้องอยู่กับสิ่งที่ท่านผู้นำคิดว่าดีคิดว่าเหมาะสมเท่านั้น

นี่แหละครับเสรีภาพที่ขาดหายไป

จะว่าไปชุดปกครองไหนๆ

bflower Thu, 26/01/2017 - 18:40

จะว่าไปชุดปกครองไหนๆ ก็กากเดนพอกัน แต่ชอบตรงขุดด้านมืดขึ้นมา kill กันรัวๆ นี่แหล่ะ อิอิ

นักการเมืองทำอะไรก็โดนด่าครับ

mr_tawan Thu, 26/01/2017 - 19:06

นักการเมืองทำอะไรก็โดนด่าครับ เพราะสุดท้ายแล้วทิศทางของแต่ละคนก็จะสร้างผลประโยชน์ใหักับบางคน และก็จะมีบางคนเสียประโยชน์ไม่ว่าทางไหน

แม้แต่ลุงตู่เองก็หนีไม่พ้นจากกฎข้อนี้เช่นกัน

ดังนั้นเราจึงมองนักการเมืองทุกคนว่าเลวกันหมดไงครับ (ฮา)

หวังว่าคุณคงไม่ลบ root CA

Saladin Thu, 26/01/2017 - 19:02

หวังว่าคุณคงไม่ลบ root CA ตัวนี้ออกจากเครื่องของคุณนะครับ
ถ้ายังไม่มีอยู่ในเครื่องก็ควรอย่างยิ่งจะรีบไปหามาใส่ไว้ แล้วก็ขอให้มีความสุข

อืม

nrad6949 Fri, 27/01/2017 - 08:39

อืม ผมคิดว่าสิ่งที่คุณเสนอมามันก็มีเหตุมีผลนะ เพียงแต่ว่าในความเป็นจริงมันมีสิ่งที่เรียกว่า discrimination/favorable treatment น่ะครับ กล่าวให้ถึงที่สุดคือเราไม่มีเสรีภาพในการใช้สิทธิตั้งคำถามเพื่อตรวจสอบองค์กรและการใช้อำนาจของรัฐได้เลย ฐานคิดภาษีคือเรื่องหนึ่ง (มีคนยกไปมากแล้ว) แต่ฐานคิดนโยบายก็เป็นอีกเรื่อง

ผมเองไม่อยากยกตัวอย่างไกล แต่กรณีที่รัฐบาลไทยไปตกลงกับ Alibaba โดยที่ไม่มีใครรับรู้ในชั้นกระบวนการเจรจา และเมื่อรู้แล้วก็ทำอะไรไม่ได้ เพราะหนังสือแสดงเจตนา (letter of intent) ได้ถูกลงนามไปแล้ว คำถามคือ เรามีการตรวจสอบนโยบายที่ดีพอก่อนลงนามหรือไม่ และการลงนามในแต่ละครั้ง มีการคาดคะเนผลได้ผลเสียที่ดีพอและเป็นกระบวนการที่เปิดต่อสาธารณะหรือไม่ด้วย ในกรณีที่ผมยกตัวอย่างคือ ไม่มี และต่อให้มี เราก็ไม่สามารถทำได้อย่างเต็มที่ เพราะกระบวนการนี้ถูกปิดกั้นด้วยการไม่สามารถใช้เสรีภาพในการตรวจสอบการดำเนินนโยบายของรัฐได้

เสรีภาพที่คุณระบุมา คือเสรีภาพคนละชุดกัน เพราะการเดินทางไปไหนมาไหน อยากซื้ออะไรที่ต้องการ เป็นเสรีภาพทางเศรษฐกิจและดำรงชีวิตประจำวัน แต่ถ้าเมื่อใดที่การตัดสินใจพิจารณานโยบายต่างๆ มีผลกระทบต่อชีวิตประจำวัน เสรีภาพที่ถูกจำกัดเอาไว้ ย่อมกระทบต่อเสรีภาพในชีวิตประจำวันได้ครับ

อีกอย่างที่ผมอยากเรียนคือ รัฐบาลมาแล้วก็ไป แต่กระบวนการทางการเมืองยังอยู่ ต่อให้คุณไว้วางใจว่ารัฐบาลนี้ดีแค่ไหน วิเศษแค่ไหน มีเครื่องมือที่มีอำนาจมากแค่ไหนแต่ไม่ใช้ พอเปลี่ยนคน เปลี่ยนรัฐบาล เครื่องมือเหล่านั้นในฐานะองค์ประกอบของระบบราชการก็ยังคงอยู่ และนั่นคือสิ่งที่อันตรายครับ เพราะเราไม่มีหลักประกันใดๆ ว่า คนที่มาใหม่จะไม่ใช้เครื่องมือเหล่านี้ ขณะที่รัฐบาลชุดปัจจุบันก็ไม่แน่ว่าจะอยู่ถึง 20+ ปี หรือไม่อีกต่างหาก

ตรรกะบรรลัยจริงๆ

komsanw Thu, 26/01/2017 - 15:30

ตรรกะบรรลัยจริงๆ มายืนยันอีกคน

ตรรกะป่วยมากจริงๆ

mee001fat Thu, 26/01/2017 - 16:44

ตรรกะป่วยมากจริงๆ

ยังกับตอนนี้มันมีระเบียบ แหม่

thanyadol Thu, 26/01/2017 - 14:31

ยังกับตอนนี้มันมีระเบียบ แหม่ ตรรกกะอัลลัย

แล้วตอนนี้ระเบียบวินัยดีขึ้นย

holyporing1 Thu, 26/01/2017 - 15:16

แล้วตอนนี้ระเบียบวินัยดีขึ้นยังไงครับ?

ระเบียบวินัยของประชาชนเนี่ยเข

stickyficky Thu, 26/01/2017 - 17:02

ระเบียบวินัยของประชาชนเนี่ยเขาวัดกันยังไงเหรอครับ? วัดจากความรู้สึกของคุณเหรอ? ถ้าวัดไม่ได้แล้วรู้ได้ยังไงว่าประเทศไหนมีระเบียบหรือไม่มีครับ? สุดท้ายระเบียบวินัยของคนในประเทศสัมพันธ์กับการมีอยู่ของประชาธิปไตยยังไงอ่ะครับ อย่าอคติกับประชาธิปไตยนักสิครับ เปิดใจบ้างเหมือนม๊อตโต้ของคุณน่ะ

สนับสนุนความคิดคุณ 0FFiiz อีก

puwadon Thu, 26/01/2017 - 19:48

สนับสนุนความคิดคุณ 0FFiiz อีก 1 เสียงครับ

เธอหมุนรอบฉัน

Aoun Thu, 26/01/2017 - 22:47

** ลบครับ ตอบผิดเมนท์ที่ตั้งใจ ***

มีวิธีดูว่า root CA

witoong623 Thu, 26/01/2017 - 12:35

มีวิธีดูว่า root CA นี้ออกใบรับรองให้โดเมนไหนไปบ้างรึเปล่าครับ

มีวิธีดูว่า root CA

jedi Sun, 29/01/2017 - 08:29

มีวิธีดูว่า root CA นี้ออกใบรับรองให้โดเมนไหนไปบ้างรึเปล่าครับ

หมายถึง ดูว่า root CA นี้ได้ออกใบรับรองให้โดเมนไหนไปแล้วบ้าง ใช่มั๊ยครับ มีครับ รู้จักอยู่ที่นึงคือ censys.io โดยใช้ search strings แบบนี้ครับ

parsed.issuer_dn: "C=TH, O=Thai Digital ID Company Limited, CN=Thai Digital ID CA G2"

แล้วเลือกเป็นการค้นหา Certificates ตรง pull-down ตรงปุ่ม Search

หรือไม่ก็คลิ๊กลิ้งก์ตรงอันนี้ก็ได้ครับ

ตอนนี้เห็นมีลูกค้าอยู่รายเดียวคือ Asia Wealth Asset Management ครับ ซึ่ง cert ใบนี้ ออกให้กันตั้งแต่เมื่อต้นเดือนธันวาแล้วครับ

จุดประสงค์คือ การค้าโลก และ

jane Thu, 26/01/2017 - 12:39

จุดประสงค์คือ การค้าโลก และ logistic
แต่ดันดูแลโดยหน่วยงานที่เคยให้ความเห็นการทำ sniffer

เลยโดนผู้เขียนโยงมาได้พอดี

ป ล browser มี cert pin แล้วนะ รู้กันยัง

สำหรับคนที่ยังงง

Fourpoint Thu, 26/01/2017 - 12:51

สำหรับคนที่ยังงง ว่าทำไมไม่กลัวเอกชนที่เป็น root CA เจ้าอื่นจะดักฟังบ้าง ก็ต้องตอบว่า เพราะเอกชนเจ้าอื่นไม่มีอำนาจบังคับให้คนอื่นใช้ไงครับ นอกจากเจอเวบ phishing ซึ่งก็ง่ายในการตรวจสอบ

แต่ถ้าเป็น root CA ของรบ.เผด็จการที่มีอำนาจเต็มในการบังคับใช้กฎหมาย ก็สามารถที่จะทำ MITM ผ่านnational gateway ได้ง่าย(ก็บังคับมารวมกันก่อนออกนี่)

ยิ่งถ้าดูข่าวเก่าๆ ทุกอย่างมีการ"เตรียมการ"มาหมดแล้ว จึงไม่แปลกที่จะกังวล ว่าการทำ root CA มีความสอดคล้องกับ ข่าวnational gateway และข่าวพรบ.ความมั่นคงทางไซเบอร์
ปลัดไอซีทีเสนอสร้างเกตเวย์แห่งชาติ ช่วยบล็อคเว็บ ป้องกันการโจมตี

จับตาก้าวต่อไป ร่าง พ.ร.บ.ความมั่นคงไซเบอร์ เจ้าหน้าที่เข้าถึงข้อมูลโดยไม่ต้องขอหมายศาล

HTTPS ก็เอาไม่อยู่ Privacy International ชี้ ไมโครซอฟท์รับ root CA ของรัฐบาลไทยตั้งแต่ปลายปีที่แล้ว

ตัวอย่างมีมาแล้ว ไม่ใช่ไม่เคยมี ใครที่ยังคิดว่า ไม่ทำผิดจะกลัวอะไร ก็หวังว่าสักวันคงไม่โดนผลกระทบเองกับตัว จะมาโวยวายทีหลังก็อาจจะไม่ทัน

อิหร่านบล็อค HTTPS ทั้งประเทศ

รัฐบาลคาซัคสถานยื่นขอ root CA ใน Mozilla หลังออกนโยบายดักฟังทั้งประเทศ

พวกเบราว์เซอร์ยังไม่น่าห่วงเท

hisoft Thu, 26/01/2017 - 14:16

พวกเบราว์เซอร์ยังไม่น่าห่วงเท่าไหร่นะครับ กดทีสองทีก็เห็นแล้วว่าใบรับรองจากไหน ดีไม่ดีอาจจะมี extension เช็คก็ได้ว่าถ้ามาจาก root นี้นี้นี้ให้ขึ้นสีแดงให้หน่อย น่าห่วงพวกแอปที่ไม่ได้ pin ใบ cert มามากกว่า

ใครช่วยสรุปทีครับ สรุปว่าใช้

grit Thu, 26/01/2017 - 15:28

ใครช่วยสรุปทีครับ สรุปว่าใช้ Edge กับ Chrome มีสิทธิโดนรัฐบาลดักฟังได้อย่างนั้นใช่ไหมครับ? ใช้ Firefox ปลอดภัย?

อย่างนี้ใช้ Linux ปลอดภัยไหมครับ?

ผมมองว่ามันเป็นการพัฒนาของอิน

skoy31 Thu, 26/01/2017 - 15:33

ผมมองว่ามันเป็นการพัฒนาของอินเตอร์เน็ตในบ้านเรามากกว่านะครับ
จะได้ของออก cert จากหน่วยงานในไทยได้บ้าง ไม่ต้องไปขึ้นอยู่กับ cert ที่ออกจากต่างประเทศ

เรื่องโดนดักฟังผมไม่ค่อยกังวลเท่าไหร่ เว็บที่ผมทำบางเว็บก็ใช้ cert ฟรีจากพวก cdn ทั้งหลาย ผมยังคิดเลยว่าทำแบบนี้ไม่มีประโยชน์เลย
เพราะข้อมูลที่ส่งไปมันก็ผ่าน cdn ทั้งหมด ให้เข้ารหัสยังไงก็ไม่มีประโยชน์เพราะถ้าเกิด cdn มันจะดักฟังข้อมูลเราก็ทำได้ง่ายๆเลย เพราะมีคีย์ทั้งหมดแถมข้อมูลก็ผ่านทางนั้นอยู่แล้ว แถมกฎหมายหลายๆประเทศใหญ่ก็เปิดทางให้ดังฟังข้อมูลได้ถ้ามีคำสั่ง

ผมไม่ได้สนับสนุนให้มีการดักฟังข้อมูลนะครับ แต่แค่มองว่าเรื่องนี้มีประโยชน์สำหรับอุตสาหกรรมไอทีบ้านเรา

คุณถูกบังคับใช้ CDN หรือครับ?

lew Thu, 26/01/2017 - 15:36

คุณถูกบังคับใช้ CDN หรือครับ?

ใครใช้ Active Directory

toooooooon Thu, 26/01/2017 - 15:35

ใครใช้ Active Directory ถอดออกทั้ง AD เลยได้ไหมนะ

ลองมองอีกมุมนึงครับ

PKZAIT Thu, 26/01/2017 - 21:00

ลองมองอีกมุมนึงครับ ผมไม่ได้เชียร์รัฐบาล 100% ที่ผ่านมาก็วิจารณ์ พรบ.คอม และ Single Gateway มาโดยตลอด ไม่สนับสนุนด้วย แต่มีหลายคนเริ่มบอกว่าอาจมีผลดีเพราะมาจากโครงการนี้ : https://www.etda.or.th/content/thailand-nrca.html ชื่อเหมือน Root CA ดังกล่าวเลย

ใช่ครับ

Hoo Thu, 26/01/2017 - 21:35

ใช่ครับ
ผมถึงมองว่า บทความนี้ต้องการสร้างความหลอน มากกว่า แสดงข้อเท็จจริง

โครงการนี้น่าจะเป็นกลไกพื้นฐานนึงของ Thailand 4.0
ในการออกใบ cert จากในประเทศได้ เพื่อให้คล่องตัวขึ้นในการสร้างลายเซ็นดิจิตัล
(เทียบได้กับ domain .com -> co.th)

การปลุกเร้าให้ลบ cert ตัวนี้ออกไปจาก browser
ถ้าเข้าใจไม่ผิด ผลคือ จะทำให้ธุรกิจทั้งหมดที่จะใช้ cert นี้เป็นฐาน กลายเป็น untrusted ทั้งหมด
มองในแง่ร้ายได้ว่า เป็นการทำให้หลอน เพื่อเจาะยาง Thailand 4.0 ได้เลยนะ

มันอยู่ที่ความเชื่อถือในตัว

Aoun Thu, 26/01/2017 - 23:13

มันอยู่ที่ความเชื่อถือในตัว root CA ของดีใครก็อยากใช้ ในโลกธุรกิจข้อมูลเป็นเรื่องสำคัญ ชี้เป็นชี้ตายได้
โดยเฉพาะเรื่องการเงิน ถ้ามีข่าวว่าข้อมูลหลุดใครเสียหาย
แล้วความไม่มั่นใจเกิดจากใครกันแน่ บทความ ตัวNRCAเอง หรือรัฐฯ
ถ้าเขาไม่ใช้หรือไม่อยากใช้ ต้องกลับมาพิจารณาตัวเองครับ

ไม่ตอบคคห.ผมข้างบนหน่อยหรือ

Fourpoint Mon, 06/02/2017 - 09:25

ไม่ตอบคคห.ผมข้างบนหน่อยหรือ อุตส่าห์อธิบายให้ฟังว่าทำถึงควรจะต้อง"หลอน"

้ก็เพราะพรบ

droidz Thu, 26/01/2017 - 22:24

้ก็เพราะพรบ.คอมเนี่ยแหละครับที่ทำให้root caตัวนี้น่ากังวลยิ่งขึ้น

ระบบการออกใบ

Hoo Fri, 27/01/2017 - 13:20

ระบบการออกใบ มันก็มีระบบตรวจสอบอยู่นะ
ถ้า rootCA ออกใบซี้ซั้ว ก็โดนถอนออกได้ แบบที่ WoSign โดน

พูดอีกทีคือ ที่ใส่เข้ามาใน browser ได้ ก็แสดงว่าทำตามขั้นตอนมาดีพอควร

พูดง่ายๆคือ ปล่อยตาม default ของ browser ไปเหอะ
ไม่ต้องดิ้นรนถอดออก หรือ แสวงหามาใส่
ปล่อยให้เป็นหน้าที่ขององค์กร browser เค้าจัดการดีกว่า

หมายความว่า

Fourpoint Mon, 06/02/2017 - 09:25

หมายความว่า รอให้เขาทำใบรับรองปลอมก่อน ค่อยกังวล?

ข่าวเก่าๆมีตัวอย่างเยอะแแยะ ยกมาให้ดูนี่ไม่ได้ดูเลยหรือ ว่ามันมีตัวอย่างที่เกิดขึ้นจริงมาแล้ว..

กระบวนการยื่นเรื่อง เข้า root

RookieX Fri, 27/01/2017 - 00:57

กระบวนการยื่นเรื่อง เข้า root CA ของ Microsoft เริ่มมาตั้งแต่ปี 2550 แล้วไม่ใช่หรอครับ

ไม่ทราบครับ

lew Fri, 27/01/2017 - 01:51

ไม่ทราบครับ (อาจจะยื่นมาหลายครั้งแล้ว)

แต่เอกสารที่ใช้ยื่นครั้งนี้เป็นการตรวจช่วงปี 2015-2016 ครับ ตามลิงก์ของเอกสารบริษัท BDO Malaysia

อ่านจากคุณ Paradorn

RookieX Fri, 27/01/2017 - 05:02

อ่านจากคุณ Paradorn เขาว่าเริ่มยื่นเรื่องมาตั้งแต่ 2550 แล้ว
https://www.facebook.com/X20AThinkpad/posts/1759466287412850

ก็เป็นไปได้ที่ยื่นเรื่องไปหลายรอบแล้ว แต่ไม่ผ่าน Audit ของทาง Microsoft ดังนั้นเอกสารก็น่าจะมีการอัพเดทให้เข้มง่วดรัดกุมขึ้นเรื่อยๆ ไม่งั้นคงผ่านตั้งแต่รอบต้นๆแล้ว ยิ่งเดียวนี้ยุคทหาร ถ้าเอกสารยังหละหลวมมีช่องโหว่ให้มีการแทรกแทรงของรัฐได้ คงไม่น่าจะผ่านนะครับ ส่วนตัวคิดว่าน่าจะเอามาใช้ในหน่วยงานรัฐซะมากกว่า ถ้าเอกชนมันก็มีทางเลือกที่จะไปหา cert จากเจ้าอื่นๆได้

เอกสารการ audit

lew Fri, 27/01/2017 - 08:10

เอกสารการ audit ไม่มีพูดเรื่องสถานะการณ์ทางการเมืองครับ ไมโครซอฟท์เคยพิจารณาถึงเรื่องนี้หรือไม่ไม่มีใครรู้ ไมโครซอฟท์ชี้ไปที่เอกสาร audit เท่านั้น ตัวข่าวนี้เอง Privacy International ก็โวยเพราะว่าควรนำมาพิจารณา

มันไม่เกี่ยวกับใครใช้เจ้าไหนครับ แต่ถ้ามันอยู่ในเครื่อง root CA นั้นจะออกใบรับรองให้ใครก็ได้ ดังนั้นทุก root CA ต้องปลอดภัยเท่ากันหมด

มันก็ต้องไม่เกี่ยวกับการเมือง

RookieX Fri, 27/01/2017 - 10:46

มันก็ต้องไม่เกี่ยวกับการเมือง ถูกแล้ว แต่จากข่าวนี้นี้มีหลายคนเอาไปใช้ประโยชน์ทางการโจมตีทางการเมือง Single Gatweay หรือว่าไม่ใช่ครับ

ผมตอบตามคอมเมนต์ของคุณเอง

lew Fri, 27/01/2017 - 11:34

ผมตอบตามคอมเมนต์ของคุณเอง "ยิ่งเดียวนี้ยุคทหาร ถ้าเอกสารยังหละหลวมมีช่องโหว่ให้มีการแทรกแทรงของรัฐได้ คงไม่น่าจะผ่านนะครับ" นะครับ

ความน่าเชื่อถือโดยรวมของรัฐบาลนี้กับอินเทอร์เน็ตตกต่ำตามรายงานที่เขาพูดมาว่ามีกรณีที่เราบล็อคแล้วบอกว่าไม่ได้บล็อค "มันต้องไม่เกี่ยวกับการเมือง" ไหมนี่ ตามรายงานในข่าวเขาคงมองว่าเกี่ยวครับ

คุณเองก็เป็น blogger เขียน

RookieX Fri, 27/01/2017 - 13:08

คุณเองก็เป็น blogger เขียน/แปลข่าวไอที ก็เลือกที่จะสื่อความหมาย ชี้นำ ไปในทางนั้นเอง

ผมเห็นด้วยว่า คุณ lew

Hoo Fri, 27/01/2017 - 13:30

ผมเห็นด้วยว่า คุณ lew เขียนได้ค่อนข้างชี้นำ
เพราะต้นคิดคือการออกใบในประเทศได้สะดวกขึ้น
เพราะ browser แต่ละเจ้าร่ำๆจะให้ http ปกติ เป็น untrusted แล้ว
การมี rootCA ของเราเองจะทำให้การออกใบให้กับเวปไทยจำนวนมหาศาล
ทำได้รวดเร็วขึ้น/เสียค่าใช้จ่ายน้อยลง
ซึ่งถ้าใส่ "มุมมองอีกด้าน" อันนีั จะดูครบถ้วนรอบด้านเป็นกลางกว่าตีฆ้องว่า
"เฮ้ย รัฐจด CA แล้วเว้ย จะเอามาทำ MITM แน่นวล"
แบบที่เขียนมานี้

ผมว่าคุณ lew ใจเย็น ๆ บ้าง
ถ้ากลัวว่า rootCA ตัวนี้จะเอาไปออกใบทำ MITM
ก็รอให้จับได้ว่า ออกใบซ้ำซ้อนกับเวปที่จดกับ rootCA เจ้าอื่นโดยไม่ได้รับอนุญาตก่อน
รับรองโดนถอดออกแบบ WoSign โดนแน่ๆ
ถึงตอนนั้นค่อยกระซวกมิดด้ามให้ดิ้นก็ยังไม่สาย

การมี rootCA

ipats Fri, 27/01/2017 - 15:32

การมี rootCA ของเราเองจะทำให้การออกใบให้กับเวปไทยจำนวนมหาศาล ทำได้รวดเร็วขึ้น/เสียค่าใช้จ่ายน้อยลง

ในเว็บของ thaidigitalid.com มีราคาอยู่ที่ 14,500 บาทต่อปี ใช้เวลาออก 1-2 วันทำการ (ไม่มีระบุว่าใบรับรองที่ออกเป็นแบบไหน) เทียบกับการออกใบรับรองจากต่างประเทศ ใช้เวลาประมาณ 15 นาที สามารถขอได้ตลอด 24 ชั่วโมง ค่าใช้จ่ายเริ่มที่ปีละ 300 บาท

ที่ราคามันแพงอยู่ตอนนี้

Hoo Fri, 27/01/2017 - 18:56

ที่ราคามันแพงอยู่ตอนนี้ เดาว่า เพราะมันยังไม่ economy of scale ครับ
ถ้าออกจำนวนมาก ราคาน่าจะถูกลงได้ (แต่คงลงไม่ถึงหลักร้อย ยังไงก็คงอยู่หลักพัน)

ปัญหาที่ทำให้มันเป็น economy of scale ไม่ได้
เพราะมันยังไม่ได้รับการรับรองให้ฝังใน browser
เค้าเลยเดินเรื่องให้ใส่ใบของเค้าลงใน browser ซึ่ง M$ เป็นเจ้าแรกที่ให้

เป็นอยู่ตอนนี้คือ ใบยังไม่ได้ฝังอยู่ใน browser
ทำให้ browser ขึ้น untrusted กับเวปที่ใช้ใบที่ออกโดย thaidigitalid นี้
ก็เลยมีคนใช้แค่วงจำกัด เช่น BOT (ดูด้านซ้ายของ http://www.thaidigitalid.com)

แล้วถ้า ลองเข้าแบบ ssl ดู คำเตือนจะเด้งขึ้นมาเลย
https://www.thaidigitalid.com
(และนั้นน่าจะเป็นเหตุผลที่ทำไมเวปโหลดใบถึงยังเป็น http
เพราะถ้าใช้เป็น https ด้วยใบของตัวเอง มันจะขึ้น untrusted)

ปัญหาที่ทำให้มันเป็น economy

nrad6949 Sat, 28/01/2017 - 09:11

ปัญหาที่ทำให้มันเป็น economy of scale ไม่ได้
เพราะมันยังไม่ได้รับการรับรองให้ฝังใน browser

Thailand NRCA มีเปิดให้ดาวน์โหลดตัว Certificate แล้วเอาไปใส่ให้ browser ทำการ trust นานแล้ว ดังนั้นประเด็นนี้จึงไม่ใช่ปัญหา คือถ้าต้องใช้ยังไงก็ต้องใส่อยู่ดี

ส่วนตัวผมเห็นด้วยกับคุณ ipats ตรงที่ราคาต่อใบรับรองนั้นยังสูงมาก การระบุเรื่อง economy of scale แม้จะดูสมเหตุสมผลในเชิงตรรกะ แต่ในทางปฏิบัติแล้ว CA ก็มีต้นทุนที่ทุกเจ้ามีแบบ fix cost ไม่ต่างกันมาก (ถ้าสมมติในฐานที่ตัวแปรนั้นเหมือนกันหมด) ดังนั้นคำถามจึงย้อนกลับไปว่า หากผมเป็นผู้ให้บริการบนเว็บสักอย่าง เหตุผลอะไรที่ผมจะใช้ Thailand NRCA ทั้งที่ราคาของภาคเอกชนต่างประเทศถูกกว่ากันมาก นี่ยังไม่นับว่าใบรับรองที่ออกโดยเอกชนและหน่วยงานสากลเหล่านี้ ได้รับการยอมรับมากกว่าด้วย

เรียนตามตรง ถ้าผมเป็นนักธุรกิจ ก็คงใช้บริการผู้ออกใบรับรองต่างประเทศ

คุณพยายามจะบอกว่า

Hoo Sat, 28/01/2017 - 10:51

คุณพยายามจะบอกว่า
"การที่ user ต้องโหลด certificate มาใส่ browser เองไม่ใช่ปัญหาของการใช้งานในวงกว้าง"

มันแสดงความไม่รู้อะไรเลยเกี่ยวกับ computer security ของคุณเองเรียบร้อยแล้ว
ไม่มีอะไรต้องพูดต่อละครับ (- -')

ก็พูดจากตรรกะคุณแหละครับ

nrad6949 Sat, 28/01/2017 - 15:27

ก็พูดจากตรรกะคุณแหละครับ ถ้าของจริงยังไงผมก็ไม่แนะนำให้ใครเอาใบรับรองมาโหลดซี้ซั๊วอยู่ดีครับ

เข้ามาอ่านข่าวนี้แล้ว

iDan Fri, 27/01/2017 - 19:54

เข้ามาอ่านข่าวนี้แล้ว รู้สึกหลอนเหมือนรัฐบาลไม่ไว้วางใจประชาชนจนต้องตั้ง root CA ขึ้นมาเพื่อปลอมใบรับรอง

ถามแบบไม่ทราบเลยนะครับว่า

มีเอกชนไทยเจ้าไหนที่เป็น root CA บ้างครับ? ถ้าไม่มีแล้วทำไมภาคเอกชนไอทีไม่รวมกลุ่มตั้งบริษัท root CA ขึ้นมาให้เป็นตัวเลือก?

เพราะของผมขอ SSL แบบ OV ทีไร ต้องไปจ้างแปลเอกสารแล้วให้ทนายเซ็น พักหลังๆ ดีขึ้นมาหน่อย ทางกรมฯ แปลหนังสือรับรองให้เลยแต่ค่าธรรมเนียมก็แพงอยู่ดี ถ้ามี root CA ประเทศไทยก็น่าจะประหยัดเวลามากขึ้นนะครับ อันนี้เป็นความคิดของผม ขอสงวนสิทธิ์นะครับ

ถ้ามี CA ในไทย

ipats Fri, 27/01/2017 - 20:18

ถ้ามี CA ในไทย ก็ดีเหมือนกันครับ อาจจะไม่จำเป็นต้องเป็น root เป็นแค่ intermediate ก็พอ สาเหตุที่ไม่มีเอกชน อาจจะเพราะไม่คุ้มลงทุน (เดาล้วนๆ)

ส่วนเคสขอ OV/EV ที่ต้องจ้างแปลเอกสาร ผมกลับมองว่า การมี CA ในประเทศ เป็นการแก้ปัญหาที่ปลายทางมาก เอกสารราชการ เช่น ใบรับรองนิติฯ มันควรออกเป็นภาษาอังกฤษได้ด้วยตัวหน่วยงานเองอยู่แล้วไม่ต้องไปแปลแล้วรับรองอีกที เพราะนอกจากขอ cert แล้ว มันยังมีกิจกรรมอีกหลายอย่างที่ต้องใช้ แล้วฟอร์มของใบรับรองนิติฯ ก็แทบจะเหมือนกันอยู่แล้ว ส่วนใหญ่ต่างกันที่อำนาจผู้ลงนาม กับวัตถุประสงค์ (ที่มักจะไม่ค่อยได้ใช้)

ดูเหมือนต้องแยกเคสก่อนนะครับ

Hoo Fri, 27/01/2017 - 23:00

ดูเหมือนต้องแยกเคสก่อนนะครับ

เรื่องการหลอนในทางเทคนิค
1.1) คือ rootCA นี้เมื่อมาอยู่ในเครื่องเราแล้ว
ถ้ามีสร้างใบ fb, hotmail ซะเองออกมาด้วย rootCA นี้ เครื่องเราจะ trust
ทำให้ทางเทคนิคแล้วเอามาทำ MITM ได้
fbจริง -> MITM ดักถอด + encryptใหม่ด้วย rootCA นี้ -> เครื่องเรา trust
เหมือนที่เอกชนบางแห่งบังคับให้ทุกคนลง rootCA ขององค์กร เพื่อทำ MITM ที่ gateway ของ องค์กร

แต่ในทางปฏิบัติ browser ไม่ใส่ rootCA นี้มาแต่แรก + เราไม่ไปหามาลง
เครื่องเราจะฟ้องทันทีว่า untrusted ทำให้รู้ทันทีว่ามี MITM

1.2) ทีนี้ การขอให้ฝัง rootCA ใน browser นี้ มันเป็นปกติที่รัฐบาลทุกประเทศ/เอกชนที่ออกใบ เค้าทำกัน
ถ้าลองไล่ๆดูใบที่ฝังใน browser ก็เห็นครบทุกชาติ ทั้งรัฐบาลไต้หวัน ญี่ปุ่น ฯลฯ
ดังนั้น การขอให้ฝังใน browser โดยตัวมันเอง มีประโยชน์มากในการทำงานเชิงดิจิตัล

แล้วฝั่ง browser ก็มีระบบตรวจสอบว่าออกใบอะไรแปลกๆหรือเปล่า
ซึ่งถ้าตรวจสอบเจอ
ฝั่ง browser จะถอดใบ rootCA นั้นๆออกจาก browser ทันทีแบบที่ WoSign โดน
จะทำให้เสียหายมหาศาล ทั้งลูกค้าที่ออกใบโดยใช้ rootCA ตัวนี้เป็นฐาน จะ untrust ทั้งยวง
และเสียความน่าเชื่อถือของเจ้าของ rootCA ด้วย

ดังนั้น ผมถึงแนะนำว่า ไม่ต้องหลอน ให้ไว้ใจระบบตรวจสอบของ browser
ถ้าเค้าใส่มาก็ ไม่ต้องดิ้นรนถอนออก
ถ้าเค้ายังไม่ใส่มา ก็ไม่ต้องไปหามาใส่

เอกชนทำได้มั๊ย? ผมว่าก็น่าจะทำได้
แต่ค่าใช้จ่าย การจ้าง บ. มาตรวจสอบขั้นตอนการออกใบว่าได้มาตรฐานน่าเชื่อถือจริงๆ น่าจะแพงไม่น้อย
ถ้าทำแล้วไม่มีคนมาขอใบ = เจ๊งเน้นๆ

แล้วถ้าทำได้ ขั้นสุดท้ายเพื่อให้ใช้งานได้จริงในวงกว้าง
ก็ต้องเดินเรื่องขอให้ใส่ใน browser แบบที่ทำกันอยู่นี่ อยู่ดี

มันซับซ้อนซ่อนเงื่อนมิใช่น้อย

indyend Sat, 28/01/2017 - 14:14

มันซับซ้อนซ่อนเงื่อนมิใช่น้อย ขนาดไล่อ่านคอมเม้นจนเกือบหมดก็ยังหาข้างที่ถูกใจไม่ได้ Root CA Thailand จะเอามีดไปปลอกผลไม้หรือเอาไปไล่แทงคนน้าาาา

เห็นด้วยกับคุณ Hoo

jedi Mon, 30/01/2017 - 08:00

เห็นด้วยกับคุณ Hoo ในหลายประเด็นครับ ข่าวชิ้นนี้อ้างอิงแหล่งข่าว 2 ที่ แต่ลองมาดูกันว่ามีสาระสำคัญอะไรหายไปรึเปล่านะครับ

เริ่มจากหัวข้อที่ตั้ง(แปล+ปรุง)ไว้ว่า HTTPS ก็เอาไม่อยู่ Privacy International ชี้ ไมโครซอฟท์รับ root CA ของรัฐบาลไทยตั้งแต่ปลายปีที่แล้ว อันนี้ถ้าคนไม่รู้เรื่องทางเทคนิคลึกๆก็คงจะงงกันว่ามันเกี่ยวอะไรกันกับการที่รัฐบาลมี root CA ที่ผ่านการรับรองแล้วกับการที่ HTTPS จะเอาไม่อยู่ เอาอะไรไม่อยู่ ซึ่งถ้ารู้เรื่องทางเทคนิคลึกๆก็อ๋อ เอาเรื่อง MitM มาโยงกันกับเรื่องไทยมี CA น่ะเอง

ต่อมาประเด็นหลักในเนื้อความซึ่งได้เน้นตัวหนาไว้ คือ ในรายงานระบุถึงประเด็นสำคัญคือตอนนี้ไมโครซอฟท์เป็นผู้ผลิตซอฟต์แวร์หลักรายเดียวที่ยอมรับ root CA ของรัฐบาลไทย ตรงนี้อ่านปุ๊บก็เข้าใจได้ปั๊บว่า ไมโครซอฟท์เป็นผู้ผลิตซอฟต์แวร์หลักรายเดียวที่ยอมรับ root CA ของรัฐบาลไทย (ตามที่เขียน) แต่ มันก็ยังมีนัยยะให้เข้าใจไปได้ด้วยว่า ผู้ผลิตซอฟต์แวร์(หลัก)รายอื่น หรือเบราซ์เซอร์(หลัก)เจ้าอื่นนั้น ไม่ให้การยอมรับ root CA ของรัฐบาลไทยอันนี้ นี่คือจุดสำคัญ เพราะจากการใช้คำพูดแบบที่แปลมานั้นมันทำให้คนอ่านคิดไปได้ว่า ผู้ผลิตซอฟต์แวร์(หลัก)รายอื่นหรือเบราซ์เซอร์(หลัก)เจ้าอื่นนั้น ได้ถูกขอให้ยอมรับ root CA ตัวนี้แล้ว แต่ก็ไม่ได้ให้การยอมรับเหมือนที่ไมโครซอฟท์ให้การยอมรับ และสงสัยต่อไปว่าทำไมไมโครซอฟท์จึงเป็นเจ้าเดียวที่ให้การยอมรับ ทำไมเจ้าอื่นๆไม่มีใครให้การยอมรับ ทั้งๆที่จริงๆแล้วเจ้าอื่นๆนั้นอาจจะยังไม่ได้ถูกขอให้พิจารณายอมรับหรืออาจถูกขอแล้วแต่ยังไม่ได้พิจารณาหรือพิจารณายังไม่เสร็จด้วยซ้ำ

ทีนี้มาดูคำพูดที่ต้นฉบับใน The Verge ซึ่งใช้ว่า

Microsoft is the only major tech company to trust Thailand’s national root certificate by default, report says

ตรงหัวข้อ และใช้คำว่า

Microsoft is the only major web company that automatically trusts the Thai national root certificate. Apple’s Mac OS X does not accept the national root certificate by default, nor do the Chrome or Firefox web browsers.

ตรงด้านในเนื้อหา เทียบกันกับประโยคที่แปลมากันอีกที

ไมโครซอฟท์เป็นผู้ผลิตซอฟต์แวร์หลักรายเดียวที่ยอมรับ root CA ของรัฐบาลไทย

จะเห็นว่าในระหว่างการแปลนั้น มีคำสำคัญหายไป 2 คำ คือคำว่า by default และคำว่า automatically ซึ่งการหายไปของคำเหล่านี้นั้นมันทำให้ความหมายเปลี่ยนไปเยอะเลยทีเดียว เพราะถ้าบอกว่า

ไมโครซอฟท์เป็นผู้ผลิตซอฟต์แวร์หลักรายเดียวที่ยอมรับ root CA ของรัฐบาลไทยโดยดีฟอลต์

หรือบอกว่า

ไมโครซอฟท์เป็นผู้ผลิตซอฟต์แวร์หลักรายเดียวที่ยอมรับ root CA ของรัฐบาลไทยโดยอัตโนมัติ

ก็จะยังเข้าใจได้ว่าอาจยังมีเจ้าอื่นที่ยังยอมรับ root CA ของรัฐบาลไทยอยู่ เพียงแค่อาจไม่ได้ยอมรับโดยอัตโนมัติเท่านั้น ซึ่งแตกต่างจากการเข้าใจไปว่าไม่ยอมรับเลย เพราะการไม่ยอมรับเลยนั้นหมายถึงการตรวจสอบแล้วแล้วไม่ยอมรับ แต่นี่ได้มีการตรวจสอบไปหรือยังก็ไม่รู้ เผลอๆอาจยังไม่ทันได้ยื่นเรื่องขอให้ตรวจสอบเลยด้วยซ้ำ

สำหรับการใช้คำว่า ... that automatically trusts ... ของต้นฉบับ The Verge นั้น ผมไม่แน่ใจว่าหมายถึงอะไร เพราะการที่ CA cert จะถูก trust ได้นั้นมันไม่ใช่อะไรที่มัน automatic ครับ มันต้องผ่านขั้นตอนต่างๆมากมาย และหลังจากผ่านขั้นตอนต่างๆทั้งหลายแล้วสุดท้ายมันต้องมีการ push โดยไมโครซอฟท์ให้เข้ามาใน Windows Certificate Store ของ Windows แต่ละเครื่อง ไม่ใช่ว่า automatic แล้วใครจะทำ root CA ขึ้นมาก็ได้แล้วเอาไปวางที่ไหนให้มัน automatic เข้ามาอยู่ใน Windows ได้เองโดยอัตโนมัตินะครับ

และถ้าจะว่าไปแล้ว คำว่า trust ใน context ของ Certificate Store นั้น ส่วนตัวแล้วมองว่าใช้คำว่ารับรองน่าจะเหมาะสมกว่าคำว่ายอมรับครับ เพราะมันหมายถึงการได้รับรอง CA เจ้านี้และยอมให้ cert ใบนี้ของ CA เจ้านี้นั้นได้เข้าไปอยู่ใน Certificate Store ในสถานะ trust แล้ว แต่เอาเถอะ ยอมรับก็ยอมรับ

ทีนี้มาถึงเรื่องของการมโน เอ๊ยการหลอน เอ๊ยการกลัวกันว่ารัฐบาลไทยจะขอ root CA มาเพื่อการดักฟังประชาชนนั้น ความเห็นส่วนตัวผมเห็นด้วยกับคุณ Hoo และอีก 2-3 ท่านด้านบนว่าไม่จำเป็นที่เราจะต้องตื่นตระหนกกันเกินไปนัก ลองคิดดูว่ากว่าจะได้ root CA ตัวนี้มาอยู่ใน Windows Certificate Store ได้สำเร็จนั้น NRCA, ETDA และทุกฝ่ายที่เกี่ยวข้องต้องผ่านอะไรกันมาบ้าง ต้องเจอการ audit กันไปกี่รอบต่อกี่รอบ และต้องใช้เวลาถึงกี่ปีนับจากเริ่มต้นโครงการนี้จนมาสำเร็จลงได้ ส่วนตัวผมอยากจะชื่นชมและให้กำลังใจทุกฝ่ายที่ผลักดันโครงการนี้จนสำเร็จ ทำให้เรามี National Root CA เข้าไปอยู่อย่างน้อยตอนนี้ก็ใน Windows ได้ ไม่น้อยหน้าชาติอื่น ผมว่าพวกเราน่าจะภูมิใจกันนะครับ และน่าจะรู้จักมองในแง่ดีกันบ้าง ประโยชน์ของมันก็มีเยอะนี่ครับ ต่อไปนี้เรามี CA เป็นของตัวเองไม่ต้องจ่ายเงินให้ CA ต่างชาติ อย่างน้อยถึงแม้ตอนนี้ซึ่งยังอยู่ในช่วงเริ่มต้นซึ่งคนส่วนใหญ่ยังไม่ให้ความเชื่อถือกับ CA น้องใหม่รายนี้ แต่ผมคิดว่าจะเกิดประโยชน์อย่างมหาศาลกับวงราชการครับ โดยเฉพาะเว็บไซต์ของทางราชการนั้นน่าจะได้เริ่มยกระดับมาตรฐานความปลอดภัยกันขึ้นมาด้วย root CA ของเราตัวนี้ในเร็วๆวันนี้แน่นอนครับ ทำให้เราเข้าเว็บไซต์ราชการทั้งหลายกันได้อย่างปลอดภัยขึ้น อย่ากลัวกันแค่ว่ารัฐบาลจะมาแฮ็กเราเวลาเราเข้า Facebook เข้า Twitter สิครับ เราไม่กลัวพวกเรากันเองมาแฮ็กเอาข้อมูลเราเวลาเราเข้าเว็บราชการที่ยังไม่ปลอดภัยกันเหรอครับ เราไม่อยากให้เว็บราชการของเรามีความปลอดภัยมากขึ้นกันเหรอครับ อย่าลืมว่างบประมาณที่อาจต้องจ่ายให้ CA นอกหากเราไม่มี root CA ของเราเองมันก็คือภาษีของพวกเรากันทั้งนั้นนะครับ ส่วนเว็บราชการที่สำคัญๆจริงๆที่อาจใช้ EV อย่าง BoT อาจจะบอกว่าเราใช้ EV แต่ NRCA ยังไม่มี intermediate CA ที่เป็น EV ก็จะขอใช้ของนอกไปก่อนก็คงไม่มีใครว่า แต่ผมเชื่อว่า 90%+ น่าจะเริ่มใช้ Thai Digital ID CA G2 กันได้เลย และในอนาคต NRCA อาจพัฒนาไปอีกขั้นด้วยการผลักดันให้มี intermediate CA ที่เป็น EV ได้สำเร็จ ก็ขอเอาใจช่วยนะครับ

หากหลายคนยังกลัวเรื่องการที่รัฐบาลจะทำ MitM โดยใช้ root CA ตัวนี้เป็นเครื่องมือนั้น ลองคิดดูครับว่ามันจะคุ้มกันมั๊ยกับการที่จะทำแล้วจะต้องถูกลงโทษโดยเบราซ์เซอร์แบบที่ WoSign ของรัฐบาลจีนโดน ต้องแยกให้ออกนะครับระหว่าง NRCA กับรัฐบาล รัฐบาลทหารที่เป็นที่ชื่นชอบของหลายๆคนและก็เป็นที่รังเกียจของหลายๆคนอาจสามารถสั่งการ NRCA ได้ก็จริง แต่ลองมาดูว่า 1. NRCA จะยอมทำในสิ่งที่หลายคนกำลังกลัวกันหรือไม่ 2. ทำแล้วต้องเจอกับอะไร สิ่งที่ได้ลงทุนลงแรงไปตั้งหลายปีอย่าง root CA ตัวนี้จะตกอยู่ในสถานการณ์ใด จะเจอแบบที่ WoSign เจอหรือไม่ 3. จะเกิดอะไรขึ้นกับใบ cert ทั้งหลายที่ได้ออกไปแล้วและเซ็นรับรองขึ้นมาถึง root CA ตัวนี้ 4. จะเกิดอะไรขึ้นกับความเชื่อมั่นที่ทุกคนทุกฝ่ายกำลังจะมีให้ CA น้องใหม่รายนี้ของเรา ฯลฯ ส่วนตัวผมมองว่าไม่คุ้มกันแน่นอนครับ และผมไม่คิดว่าทาง NRCA จะยอมทำ เขาไม่ใช่ไม่รู้ว่ามันเสี่ยงแค่ไหน

สำหรับคนที่กลัวนั้น วิธีป้องกันการทำ MitM นั้นมีครับ คือการทำ HTTP Public Key Pinning หรือ HPKP ครับ ผมแนะนำให้ท่านลองดูว่าเว็บที่ท่านชื่นชอบนั้นได้ทำ HPKP ไว้หรือยัง ถ้ายังก็ขอแนะนำว่าให้ท่านแจ้งไปยังเว็บเหล่านั้นว่าขอให้ทำหน่อยและรีบๆทำด้วย เพราะท่านกลัวว่ารัฐบาลท่านซึ่งตอนนี้ armed with a national root CA จะใช้ National Root CA นี้มาดักฟังการสื่อสารการสนทนาของท่านกับทางเว็บไซต์ต่างๆที่ท่านเข้า ซึ่งเมื่อทำ HPKP แล้วก็จะทำให้เข้าเว็บไซต์ไม่ได้ถ้าเจอ cert ที่ไม่ได้ pin เอาไว้หรือ cert ที่ออกโดย CA ที่ไม่ได้ pin เอาไว้ถูกใช้อยู่ที่เว็บไซต์นั้นๆ ซึ่งจะเป็นวิธีป้องกันที่ชงัดนัก(แล)

สำหรับ NRCA นั้น ผมขอแนะนำให้รีบทำ HTTPS ให้เว็บไซต์ของท่าน www.nrca.go.th โดยด่วนครับ ตัวท่านเองเป็น CA แต่ไม่รองรับ HTTPS มันดูไม่น่าเชื่อถือเอาซะเลยนะครับ ผมก็ไม่รู้ว่าท่านผ่าน audit WebTrust มาได้ยังไง ถ้ายังใช้ intermediate CA ของตัวเอง sign ไม่ได้ก็แนะนำให้ขอของนอกใช้ไปก่อนเถอะครับ มันไม่ใช่เรื่องน่าอายหรอกครับ ไม่มี HTTPS เลยสิน่าอายยิ่งกว่า ระบบ PKI นั้นเป็นเรื่องของความเชื่อมั่นครับ ถ้าท่านเป็น CA แล้วไม่ทำตัวให้มันน่าเชื่อถือให้เป็นตัวอย่างแล้วจะมีใครมาเชื่อมั่นท่านมาใช้บริการของท่านล่ะครับ จะมีใครกล้าให้ความไว้วางใจท่านว่าท่านจะไม่ใช่ DigiNotar 2 ในวันข้างหน้า อย่าลืมว่า DigiNotar นั้นโดนแฮ็กผ่านเข้าไปทางเว็บเซิร์ฟเวอร์บริษัทนี่แหละครับ และสุดท้ายก็ต้องล้มละลายในที่สุด

สำหรับ Th@i Digital ID ซึ่งผมเดาว่าน่าจะเป็น commercial arm ของ NRCA นั้น ผมขอแนะนำให้รีบ tighten up your security โดยด่วนครับ เว็บไซต์ www.thaidigitalid.com ของท่านนั้นช่องโหว่เพียบครับ มีโอกาสที่จะโดนแฮกเกอร์ถล่มได้สูง as we speak ครับ ทั้ง DROWN ทั้ง POODLE ทั้ง CRIME ทั้ง weak Diffie-Hellman (DH) key exchange parameters ทั้ง RC4 ทั้ง ไม่มี Forward Secrecy ทั้ง certificate chain incomplete ครับ มี HTTPS มี cert แล้ว แต่ช่องโหว่ยังไม่อุดกัน จะ HTTPS จะ cert ก็ช่วยไม่ได้นะครับ ช่วยทำอะไรให้มันได้มาตรฐานกันหน่อยครับ ท่านมีเวลาเตรียมตัวตั้งกี่ปีครับกว่าจะถึงวันนี้ ท่านไม่ได้มีหรือสร้างให้มีบุคลากรที่เชี่ยวชาญทางด้านนี้เลยเหรอครับ ดู CA นอกเป็นตัวอย่างก็ได้ครับ ว่าเขาทำกันยังไง ส่วนตัวผมแนะนำให้ดูของ Comodo เป็นอย่างน้อยครับ

ผมลบหัวข่าวออกตามคอมเมนต์นะคร

lew Fri, 03/02/2017 - 02:16

ผมลบหัวข่าวออกตามคอมเมนต์นะครับ แต่ส่วนอื่นๆ ผมคิดว่าข้อมูลก็เป็นไปตามนั้น

การมี root CA

gogermany Mon, 30/01/2017 - 11:16

การมี root CA ของประเทศไทยเราเองเป็นสิ่งที่ดีและน่าสนับสนุน แต่ปัญหาที่แท้จริงผมคิดว่า มันเกิดจากเราไม่เชื่อมั่นในรัฐบาลของประเทศไทยเราในปัจุบันมากกว่า เลยส่งผลกระทบโดนมาถึงหน่วยงาน NRCA ที่เรากังวลว่ารัฐบาลอาจใช้อำนาจควบคุมได้ง่าย ทำให้ขาดความน่าเชื่อถือไปด้วย

ผมก็ยังแปลกใจที่หลายคน

Fourpoint Mon, 06/02/2017 - 09:31

ผมก็ยังแปลกใจที่หลายคน"ไว้วางใจ"รบ.ทหารมาก จนมาบอกว่าคนอื่น"กังวล"จนเกินไป เอาเถอะ มุมมองความชอบทางการเมืองเป็นเรื่องปัจเจก แต่ไม่ได้หมายความว่าจะปฎิเสธตัวอย่างที่เคยเกิดขึ้นจริงไปแล้ว ว่าไม่มีแนวโน้มที่จะเกิดอีก

จำปีก่อนที่มีความพยายามblock FB ทั้งเวบไม่ได้หรือ?

อย่าบอกนะว่าวิศวกรชาวตปท. โกหกสื่อตปท.เพื่อโจมตีรบ.ทหารกันเล่นๆ?

เอกสารราชการก็หลุดมาเรื่อยๆ ว่ามีความพยายามจะจัดซื้อเครื่องมือบางอย่าง รวมไปถึงดราม่าปลัดกระทรวงที่รุนแรงจนต้องลาออกกันไป มันไม่ใช่ว่า"กังวลไปเอง" แต่มันมีclue มากมายและควรเป็นสิ่งที่นำมาอภิปรายกัน...

หน่วยงานที่เคยระบุถึงความจำเป

jedi Mon, 06/02/2017 - 12:12

หน่วยงานที่เคยระบุถึงความจำเป็นในการดักฟังว่าเป็นการป้องกันการแฮกล่วงหน้า

ดูแล้วน่าจะเป็นการใช้ข้อความที่บิดเบือน ผมได้วิเคราะห์ไว้แล้วที่ข่าวต้นทางที่อ้างถึง

ถ้าจะเขียนข่าวให้เป็นกลาง ตรงนี้ต้องใช้ประมาณว่า

หน่วยงานที่เคยระบุถึงความจำเป็นในการมอนิเตอร์ทราฟฟิกว่าเป็นการป้องกันการถูกโจมตีในระดับประเทศเอาไว้ล่วงหน้า

ซึ่งถ้าไปดูเอกสารต้นทางคือรายงานที่เผยแพร่โดย Privacy International thailand_2017_0.pdf ดีๆ ก็จะพบว่า ในส่วนที่มีการพูดถึงปัญหาที่อาจเกิดจากความเป็นไปได้ในการดักฟังนั้น ได้มีการพูดถึงแนวทางในการป้องกันเอาไว้ด้วย ว่า

Server side techniques to mitigate against this threat have also been developed, such as OCSP stapling, HTTPS Strict Transport Security HSTS and Certificate Pinning to name a few.

แต่ก็เป็นที่น่าสังเกตว่า ตรงแนวทางในการป้องกันที่ว่านั้นดูเหมือนจะไม่ได้ถูกให้ความสำคัญซักเท่าไหร่ ถูกพูดถึงอยู่แค่ 2 บรรทัดเท่านั้น โดยไม่มีการอ้างอิงข้อมูลใดๆข้างนอกเลยแม้แต่น้อย ทั้งๆที่ตรงจุดอื่นๆ ก็มีการอ้างแหล่งอ้างอิงอยู่บ่อยๆ ซึ่งก็คงเป็นอะไรที่พอเข้าใจได้ เพราะถ้าทุกคนรู้ว่ามีแนวทางในการป้องกันนี้ ปัญหานี้ก็จะไม่ใช่ปัญหาที่จะต้องมาพูดถึงกันในระดับที่ทำให้ทุกคนต้องแตกตื่นกับแบบนี้ทันที และก็ดูเหมือนว่าทั้ง Blognone ทั้ง The Verge ทั้ง BBC ต่างก็เลือกที่จะมองข้ามตรงนี้ไป โดยไม่มีการหยิบยกขึ้นมาพูดถึงเลย สาเหตุเป็นเพราะอะไรนั้นท่านผู้อ่านคงต้องลองไปคิดกันดูเอาเอง

ซึ่งการป้องกันไม่ให้เกิดปัญหานี้นั้นทำได้ง่ายมาก ถ้าเป็นกรณีของเว็บ (HTTP/HTTPS) ก็คือการใช้วิธี HTTP Public Key Pinning หรือ HPKP (ซึ่งในรายงานใช้คำผิดว่า Certificate Pinning ซึ่งเป็นคนละอย่างกันกับ Public Key Pinning) เมื่อทำตรงนี้แล้ว หากเว็บไซต์ที่เราเคยเข้า (หลังได้เริ่มทำ HPKP) มีใบ cert ที่มี public key ที่เปลี่ยนไปจากของเดิม (เช่นรัฐบาลออก cert ปลอมโดยใช้ root cert ของตัวเองที่ได้รับการยอมรับโดยเบราว์เซอร์แล้วมาเพื่อใช้เป็นเครื่องมือในการดักฟังระหว่างเซิร์ฟเวอร์กับยูซเซอร์อย่างที่กลัวๆกัน) ก็จะทำให้เว็บดังกล่าวเข้าไม่ได้ทันที พร้อมคำแจ้งเตือนอย่างชัดเจนว่าน่าจะเกิดการทำ MitM attack ขึ้นแล้ว ทุกคนก็จะรู้กันในทันที ทีนี้จะโพทะนาหรือจะประจานอะไรก็ทำกันได้เลย และจากจุดนี้นี่เองที่ทำให้ผมเชื่อ (เป็นการส่วนตัว) ว่า รัฐบาลไม่กล้าทำแน่ๆ เพราะมันจะได้ไม่คุ้มเสีย โดยเฉพาะ NRCA ซึ่งต้องใช้เวลากว่าเกือบ 10 ปีให้ได้ root cert ตัวนี้มา ยิ่งไม่น่าจะกล้าเอาตรงนี้มาเสี่ยง

Apple

public://topics-images/apple_webp.png

SCB10X

public://topics-images/347823389_774095087711602_515970870797767330_n_webp.png

Windows 11

public://topics-images/hero-bloom-logo.jpg

Huawei

public://topics-images/huawei_standard_logo.svg_.png

Google Keep

public://topics-images/google_keep_2020_logo.svg_.png

Instagram

public://topics-images/instagram_logo_2022.svg_.png

Microsoft

public://topics-images/microsoft_logo.svg_.png

Basecamp

public://topics-images/bwpepdi0_400x400.jpg

FTC

public://topics-images/seal_of_the_united_states_federal_trade_commission.svg_.png

public://topics-images/pinterest.png

Palantir

public://topics-images/-nzsuc6w_400x400.png

AIS Business

public://topics-images/logo-business-2021-1.png

PostgreSQL

public://topics-images/images.png

JetBrains

public://topics-images/icx8y2ta_400x400.png

Krungthai

public://topics-images/aam1jxs6_400x400.jpg

Palworld

public://topics-images/mccyhcqf_400x400.jpg

Bill Gates

public://topics-images/bill_gates-september_2024.jpg

VMware

public://topics-images/1nj4i1gp_400x400.jpg

Take-Two Interactive

public://topics-images/0khle7nh_400x400.jpg

OpenAI

public://topics-images/ztsar0jw_400x400.jpg

Thailand

public://topics-images/flag_of_thailand.svg_.png

ServiceNow

public://topics-images/ytnrfphe_400x400.png

Klarna

public://topics-images/urcllpjp_400x400.png

Google Play

public://topics-images/play.png

Drupal

public://topics-images/drupal.png

Virtua Fighter

public://topics-images/virtua_figther_2024_logo.png

Paradox Interactive

public://topics-images/paradox_interactive_logo.svg_.png

Europa Universalis

public://topics-images/europa-icon.png

Nintendo Switch 2

public://topics-images/mainvisual.png

Cloudflare

public://topics-images/cloudflare_logo.svg_.png

Samsung

public://topics-images/samsung.png

Google

public://topics-images/google_2015_logo.svg_.png

Uber

public://topics-images/uber.png

Microsoft 365

public://topics-images/m365.png

USA

public://topics-images/flag_of_the_united_states.svg_.png

public://topics-images/0pe0po-z_400x400.jpg

Perplexity

public://topics-images/perplex.jpg

Xperia

public://topics-images/xperia.png

iOS 18

public://topics-images/ios-18-num-96x96_2x.png

True

public://topics-images/true_logo.png

SoftBank

public://topics-images/softbank.jpg

Pac-Man

public://topics-images/pacman.png

Harry Potter

public://topics-images/harry.png

Marvel

public://topics-images/marvel.png

Skydance

public://topics-images/skydance.png

SEA

public://topics-images/sealogo.png

Find Hub

public://topics-images/find.png

Accessibility

public://topics-images/accessibility-128x128_2x.png

Material Design

public://topics-images/m3-favicon-apple-touch.png

Android 16

public://topics-images/android16.png

Android

public://topics-images/android_0.png

Firefox

public://topics-images/firefox_logo-2019.svg_.png

Google Messages

public://topics-images/messages.png

Notepad

public://topics-images/notepad.png

Singapore

public://topics-images/flag_of_singapore.svg_.png

Airbnb

public://topics-images/airbnb.png

PS5

public://topics-images/ps5.png

Krafton

public://topics-images/krafton.png

Doom

public://topics-images/doom-game-s_logo.svg_.png

AMD

public://topics-images/amd_logo.svg_.png

GTA

public://topics-images/gta_0.png

DoorDash

public://topics-images/doordash.png

YouTube

public://topics-images/yt.png

YouTube Music

public://topics-images/yt-music.png

Facebook

public://topics-images/fb.png

iQiyi

public://topics-images/iqiyi_0.png

Viu

public://topics-images/viu.png

Amazon Prime Video

public://topics-images/prime-vid.png

Spotify

public://topics-images/spotify.jpg

HBO Max

public://topics-images/max.png

Threads

public://topics-images/threads.png

Alexa

public://topics-images/alexa.png

Kindle App

public://topics-images/kindle.png

Shopee

public://topics-images/shopee.png

Waze

public://topics-images/waze.png

Bilibili

public://topics-images/bili.png

Google Maps

public://topics-images/maps.png

Apple Music

public://topics-images/apple-music.png

Claude

public://topics-images/claude.png

TikTok

public://topics-images/tiktok.png

Xbox

public://topics-images/xbox.png

Tesla

public://topics-images/tesla.png

Google Calendar

public://topics-images/gcal.png

Google Meet

public://topics-images/meet.png

NotebookLM

public://topics-images/notebooklm.png

public://topics-images/reddit.png

Assassin’s Creed

public://topics-images/ac.png

Mark Zuckerberg

public://topics-images/zuck.jpg