เพิ่มเติม -- องค์กรเอกชนอังกฤษแฉรัฐบาลไทย “สอดแนม” ประชาชน

Surveillance Image copyright Getty Images
คำบรรยายภาพ องค์กรเอกชนของอังกฤษ เปิดเผยรายงาน ซึ่งอ้างว่า รัฐบาลไทยมีความพยายามในการสอดแนมประชาชน ผ่านช่องทางต่างๆ บนโลกออนไลน์

ไพรเวซี อินเตอร์เนชั่นแนล เปิดเผยรายงานที่ระบุว่า รัฐบาลไทยมีความพยายามที่จะสอดแนมประชาชน และชี้ว่า บริษัทไมโครซอฟท์เปิดช่องว่างให้ข้อมูลส่วนบุคคลถูกล่วงละเมิดได้

ไพรเวซี่ อินเตอร์เนชั่นแนล หรือพีไอ (Privacy International - PI) องค์กรเอกชนซึ่งรณรงค์ด้านความเป็นส่วนตัวของข้อมูล และมีที่ตั้งอยู่ในกรุงลอนดอน ประเทศอังกฤษ ออกมาเปิดตัวเอกสารรายงานผลการศึกษา เกี่ยวกับการสอดส่องความเคลื่อนไหวทางอินเทอร์เน็ตในประเทศไทย ภายใต้ชื่อ Who's That Knocking At My Door? Understanding Surveillance in Thailand ความยาว 25 หน้า

รายงานแบ่งเป็น 2 ส่วน คือ ประการแรก เพื่อศึกษาข้อเท็จจริงและหาเหตุผล ของการที่เฟซบุ๊กซึ่งเป็นสื่อสังคมออนไลน์ที่ชาวไทยใช้กันอย่างแพร่หลาย มีปัญหาใช้งานไม่ได้ไปประมาณ 30 นาที เมื่อวันที่ 28 พ.ค. 2557 ซึ่งก่อนหน้านี้ เข้าใจกันว่าความเคลื่อนไหวดังกล่าว ดูเหมือนทำไปเพื่อควบคุมข่าวสาร โดยใช้ทั้งวิธีสอดส่องและระงับการเผยแพร่เนื้อหา ซึ่งสะท้อนหลักการปฏิบัติที่ถูกใช้มายาวนานในประเทศไทยเพื่อควบคุมข้อมูลข่าวสารที่ประชาชนรับรู้และออกความเห็นผ่านสื่อออนไลน์

พีไอระบุด้วยว่า การควบคุมเนื้อหาดังกล่าว เป็นการปฏิบัติที่อาศัยระบบการเมืองแบบเส้นสายในประเทศไทย ที่ปราศจากโครงสร้างทางกฎหมายเกี่ยวกับความเป็นส่วนตัวของข้อมูล ทำให้บริษัทผู้ให้บริการเครือข่ายสื่อสารไม่สามารถปฏิเสธคำขอของทางรัฐบาลได้ และรายงานยังยกตัวอย่างด้วยการระบุความเชื่อมโยงระหว่างครอบครัวผู้บริหารบริษัทเครือข่ายสื่อสารรายใหญ่ของประเทศ กับผู้ที่ดำรงตำแหน่งรัฐมนตรีที่เกี่ยวข้องด้วย

แต่อย่างไรก็ตาม พีไอยังเสนออีกคำอธิบายที่เป็นไปได้ ต่อกรณีที่บริการเฟซบุ๊กถูกระงับไปเพียงช่วงเวลาสั้นๆ ว่าอาจเป็นเพราะมีความพยายามฝ่าฝืนการเข้ารหัสเว็บไซต์เพื่อล้วงข้อมูลของผู้ใช้ แต่ล้มเหลว

ข้อมูลที่นำมาเขียนในรายงานนี้ มาจากการพูดคุยซักถาม "แหล่งข่าวในภาคการสื่อสารโทรคมนาคม" ที่ได้รับการติดต่อจากรัฐบาลทหารให้ช่วยขอเฟซบุ๊กให้เปิดช่องทางเพื่อเข้าถึงข้อมูลที่สื่อสารในชั้นรหัสล็อค SSL โดยพีไอได้รับคำยืนยันเรื่องนี้จากแหล่งข่าวอีกคนด้วย อย่างไรก็ตาม ไม่มีหลักฐานว่ามีได้มีความพยายามติดต่อเฟซบุ๊กจริง หรือว่ารัฐบาลไทยประสบความสำเร็จในการเข้าถึงข้อมูลที่สื่อสารผ่านช่องทางซึ่งมีรหัสล็อคดังกล่าวหรือไม่

Image copyright Getty Images
คำบรรยายภาพ เหตุการณ์เฟซบุ๊กล่มทั่วประเทศไทย เป็นเวลากว่า 30 นาที เมื่อวันที่ 28 พ.ค. 2557 ภายหลังการรัฐประหารไม่ถึงสัปดาห์ อาจเกิดจากความพยายามของผู้มีอำนาจที่ยื่นคำขอที่ปฏิเสธไม่ได้ไปยังผู้ให้บริการเครือข่ายสื่อสาร ?

ในส่วนที่สองของรายงาน พีไอยังได้ระบุผลการศึกษาว่ามีวิธีอื่นๆ ที่รัฐบาลไทยใช้ในการควบคุมและสอดส่องเนื้อหาออนไลน์ ซึ่งอยู่นอกเหนือช่องทางการเมืองแบบเส้นสาย โดยแสดงให้เห็นว่า นอกจากการลงทุนในเทคโนโลยีที่ต้นทุนสูงและซับซ้อนแล้ว รัฐบาลไทยยังใช้วิธีการโจมตีทางอินเทอร์เน็ตที่ใช้รหัสข้อมูลระดับต่ำ หรือ downgrade attack ซึ่งมีผลทำให้ข้อมูลการสื่อสารอย่างอีเมล์ ต้องผ่านช่องทางที่ไม่ปลอดภัย และเสี่ยงต่อการถูกแอบดูได้ง่าย และยังพบว่ามีการใช้ IMSI หรือเครื่องดักจับสัญญาณข้อมูลโทรศัพท์มือถือ ซึ่งหาซื้อได้ตามท้องตลาดในราคาไม่แพงด้วย

ยิ่งไปกว่านั้น รายงานดังกล่าวยังระบุถึงการกระทำของบริษัทไมโครซอฟท์ ที่อาจเปิดช่องว่างให้ข้อมูลส่วนตัวของผู้ใช้อินเทอร์เน็ตถูกละเมิดได้ เนื่องจากระบบปฏิบัติการวินโดวส์ ได้ถูกตั้งค่ามาให้ทรัสต์ (trust) หรือยอมรับการสื่อสารทางอินเทอร์เน็ตที่ผ่านการรับรองทางอิเล็กทรอนิกส์แห่งชาติของไทย หรือ Thailand National Root Certificate หรือ root CA ทำให้อ่อนไหวต่อการถูกล้วงข้อมูลผ่านเว็บโชต์ที่ถูกควบคุมโดยรัฐบาลได้ เช่น รหัสล็อกอิน ข้อมูลการทำธุรกรรมทางการเงินออนไลน์ รวมถึงบัญชีการใช้งานทางอินเทอร์เน็ตอื่นๆ เป็นต้น โดยวิธีการตั้งค่าลักษณะนี้ ไม่พบในระบบปฏิบัติการณ์ของ Apple, Google Chrome และ Mozilla

ด้าน น.ส.เอวา บลัม-ดูมอนเต้ เจ้าหน้าที่วิจัยของพีไอกล่าวว่า "การยอมรับการสื่อสารทางอินเทอร์เน็ต ที่ผ่านการรับรองทางอิเล็กทรอนิกส์แห่งชาติ หรือ root CA ของประเทศที่มีประวัติละเมิดสิทธิมนุษยชน มีประวัติไม่ดีในเรื่องสิทธิพลเมือง และเสรีภาพในการแสดงความคิดเห็น เป็นเรื่องที่ควรถูกมองเป็นเรื่องจริงจัง"

ทั้งนี้ ทางพีไอยังได้เรียกร้องให้บริษัทไมโครซอฟท์เปลี่ยนแนวทาง และหันมาปฏิเสธการรับรองทางอิเล็กทรอนิกส์แห่งชาติ หรือ root CA และเรียกร้องให้รัฐบาลไทยปกป้องสิทธิ์ความเป็นส่วนตัว และรักษาหลักการตามกฎหมาย ความเหมาะสม และความจำเป็นตามมาตรฐานสากล ในการดักจับการสื่อสารด้วย

Image copyright FRED DUFOUR/AFP/Getty Images
คำบรรยายภาพ รายงานของไพรเวซี่ อินเตอร์เนชั่นแนล ยังระบุถึงการกระทำของบริษัทไมโครซอฟท์ ที่อาจเปิดช่องว่างให้ข้อมูลส่วนตัวของผู้ใช้อินเทอร์เน็ตถูกละเมิดได้ เนื่องจากระบบปฏิบัติการวินโดวส์ ได้ถูกตั้งค่ามาให้ยอมรับการสื่อสารทางอินเทอร์เน็ตที่ผ่านการรับรองทางอิเล็กทรอนิกส์แห่งชาติของไทย หรือ root CA ทำให้อ่อนไหวต่อการถูกล้วงข้อมูลผ่านเว็บโชต์ที่ถูกควบคุมโดยรัฐบาล

เว็บไซต์ Blognone สื่อด้านไอทีแถวหน้าของประเทศไทย ระบุว่า ไมโครซอฟท์เป็นผู้ผลิตซอฟต์แวร์หลักรายเดียวที่ยอมรับ root CA ของรัฐบาลไทย โดย Thailand National Root Certification Authority - G1 ดูแลโดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ (NRCA) เป็นหน่วยงานภายใต้สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ./ETDA) หน่วยงานที่เคยระบุถึงความจำเป็นในการดักฟังว่าเป็นการป้องกันการแฮกล่วงหน้า ด้วย พ.ร.บ.ว่าด้วยการรักษาความมั่นคงทางไซเบอร์

"การรับรอง root CA ในระบบทำให้ผู้ให้บริการ CA สามารถสร้างใบรับรองสำหรับเว็บใดๆ หาก CA มีมาตรฐานดำเนินการที่หละหลวมก็สามารถออกใบรับรองให้กับเว็บสำคัญๆ เช่น กูเกิล, เฟซบุ๊ก, หรือเว็บใดๆ ก็ได้ในโลก โดยผู้ที่ได้ใบรับรองเหล่านั้นไปอาจนำไปใช้ดักฟังการเชื่อมต่อโดยที่ผู้ใช้ไม่รู้ตัว" เว็บไซต์ Blognone ระบุ

ผู้สื่อข่าว "บีบีซีไทย" พยายามติดต่อสอบถามข้อเท็จจริงกรณีนี้จากทีมโฆษกของรัฐบาล แต่ได้รับการปฏิเสธจะให้ความเห็น

ทั้งนี้ ทีมโฆษกของคณะรักษาความสงบแห่งชาติ (คสช.) เคยกล่าวปฏิเสธ เมื่อครั้งเกิดเหตุเฟซบุ๊กทั่วประเทศในไทย ในวันที่ 28 พ.ค. 2557 ว่า เหตุที่เฟซบุ๊กล่มไม่เกี่ยวข้องกับรัฐบาล แต่เกิดจากเหตุขัดข้องทางเทคนิกที่ gateway


ไมโครซอฟท์แจง ปัดเปิดช่อง รบ.ไทยล้วงข้อมูลผู้ใช้

ผู้สื่อข่าว "บีบีซีไทย" พยายามติดต่อเพื่อขอคำชี้แจงจากตัวแทนของบริษัทไมโครซอฟท์ในประเทศไทย ตั้งแต่ช่วงเช้าวันนี้ (26 ม.ค. 2560) ก่อนที่จะนำเสนอข่าวรายงานของพีไอ ซึ่งได้รับคำชี้แจงจากผู้ที่ประสานงานให้ว่า ทางผู้บริหารบริษัทไมโครซอฟท์จะขอประชุมก่อนกันจะให้คำตอบถึงรายงานดังกล่าว

ต่อมาในช่วงบ่ายวันเดียวกัน ผู้ที่ประสานงานให้ ได้ส่งอีเมล์อ้างถึง statement ที่บริษัทไมโครซอฟท์สำนักงานใหญ่ชี้แจงกับสื่อของสหรัฐอเมริกาไปก่อนหน้านี้ มีใจความโดยสรุปว่า การออกใบรับรองของรัฐบาลไทยสอดคล้องกับมาตรฐานที่ทางบริษัทไมโครซอฟท์วางเอาไว้ ซึ่งจะมีการตรวจสอบจากผู้ตรวจสอบภายนอกสม่ำเสมอ และไม่ถือว่ามีความเสี่ยงอย่างที่ทางพีไอประเมินเอาไว้

"Microsoft only trusts certificates issued by organizations that receive Certificate Authority through the Microsoft Root Certificate Program. This program is an extensive review process that includes regular audits from a third-party web trust auditor. Thailand has met the requirements of our program and you can review the details of the latest audits here and here. This thorough review, backed by contractual obligations is not reflected in Privacy International's assessment of the risks." - a Microsoft spokesperson