Posted by: cwt | มกราคม 23, 2015

รัฐบาลจะดักข้อมูล facebook เราได้อย่างไร

รัฐบาลจะดักข้อมูล facebook เราได้อย่างไร


จากข้อความในร่าง พรบ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์

  • ขอข้อมูล เอกสาร หรือเรียกบุคคลมาให้การ
  • ส่งหนังสือสั่งหน่วยงานรัฐและเอกชน
  • ดักฟังข้อมูลทุกรูปแบบ ทั้งไปรษณีย์ปกติ ไปจนถึงเครื่องมือสื่อสาร

ทำให้ผมเกิดข้อสงสัยว่าแล้วรัฐบาลจะ "ดักฟังข้อมูล" facebook ของเราได้หรือไม่ เช่น login, password หรือดูว่าเราเป็นสมาชิกกลุ่มลับไหนบ้าง ก่อนอื่นต้องอธิบายให้ทราบก่อนว่า facebook นั้นให้บริการผ่านหน้าเว็บเพจที่เข้ารหัสทั้งหมด (HTTPS) โดยจะมีการเชื่อมต่อผ่าน SSL (Secure Sockets Layer) ซึ่งจะขออธิบายการขั้นตอนการทำงานของ HTTPS อย่างย่อๆ ดังนี้

How does HTTPS work: SSL explained
(รูปประกอบจาก http://www.powersolution.com/ssl-what-it-means-how-it-works-whereused/)

  1. เราใช้เบราเซอร์เปิดหน้าเว็บที่เป็น HTTPS เช่น https://www.facebook.com
  2. เบราเซอร์ของเราจะถามหา IP Address ซึ่งก็คือ "ที่อยู่ของเว็บ" จาก DNS
  3. DNS ตอบกลับมาว่า www.facebook.com นั้นอยู่ที่ IP Address ไหนบ้าง
  4. เบราเซอร์จะเชื่อมต่อไปยังเว็บเซอร์เวอร์ที่อยู่ที่ IP เหล่านั้นโดยการขอเชื่อมต่อด้วย SSL ผ่านช่องทางหมายเลข 443 ซึ่งจะต่างจากช่องทางปกติที่ไม่มีการเข้ารหัส (หมายเลข 80)
  5. เซอร์เวอร์จะส่งใบรับรอง SSL (SSL certificate) กลับมาให้เว็บเบราเซอร์ ซึ่งในขั้นตอนนี้เว็บเบราเซอร์จะตรวจสอบใบรับรองนั้นว่าถูกต้องและน่าเชื่อถือหรือไม่ โดยในเบราเซอร์นั้นจะมีข้อมูลของผู้ให้บริการออกใบรับรองที่น่าเชื่อถือ (trusted CA)
  6. เมื่อตรวจสอบแล้วการเชื่อมต่อที่มีการเข้ารหัสระหว่างเบราเซอร์กับเว็บเซอร์เวอร์ก็จะสมบูรณ์

จากขั้นตอนข้างต้นนั้นแทบจะไม่มีโอกาสที่บุคคลอื่นจะเข้ามาดักข้อมูลออกไปได้ เพราะการเข้ารหัสนั้นเป็นแบบ end-to-end หรือพูดง่ายๆ ก็คือมีแต่เพียงเว็บเบราเซอร์ที่เชื่อมต่อกับเว็บเซอร์เวอร์เท่านั้นที่จะถอดรหัสออกมาได้ เปรียบเสมือนเป็นท่อปิด และข้อมูลก็จะวิ่งอยู่ในท่อนั้น หากเราปิดเว็บเบราเซอร์ไปและเปิดใหม่ก็จะต้องเริ่มต้นขบวนการตั้งแต่ข้อ 1 ใหม่

อย่างไรก็ตามยังมีโอกาสที่จะมีการดักข้อมูลระหว่างกลางได้โดยขอให้ดูรูปต่อไปนี้

MiTM
(รูปประกอบจาก http://www.group1iam.com/index.php/top-products/iboss)

วิธีการนี้เรียกว่า man-in-the-middle (MiTM) โดยเมื่อย้อนกลับไปพิจารณาขั้นตอนการเชื่อมต่อ HTTPS 1-6 ข้อข้างต้น การทำ MiTM นั้นจะเริ่มต้นด้วย

  1. การปล่อยข้อมูล DNS ที่ผิดโดยชี้ IP Address ไปยังเครื่องเซอร์เวอร์ที่ใช้ดักข้อมูล (sniffer) แทนที่จะเป็น IP Address ของ www.facebook.com จริงๆ
  2. sniffer นี้จะส่งใบรับรอง SSL ที่สร้างขึ้นมาเองให้มีข้อมูลคล้ายคลึงกับใบรับรองจริงๆ
  3. โดยทั่วไปเว็บเบราเซอร์จะตรวจสอบได้ทันทีว่าเป็นใบรับรองปลอมที่สร้างจากผู้ให้บริการออกใบรับรองที่ไม่น่าเชื่อถือ (untrusted CA) แต่กระนั้นหากเรากดยอมรับ หรือเลือกให้เว็บเบราเซอร์ "เชื่อถือ" ใบรับรองนั้น เว็บเบราเซอร์จะสร้างการเชื่อมต่อ SSL ไปยัง sniffer โดยคิดว่าเป็น www.facebook.com จริงๆ
  4. sniffer จะสร้างท่อ SSL อีกเส้นหนึ่งไปยัง www.facebook.com เพื่อให้เรารู้สึกเหมือนว่าได้เชื่อมต่อกับ facebook จริงๆ
  5. แต่ในเมื่อท่อ SSL ไปสิ้นสุดที่ sniffer ดังนั้นข้อมูลทุกอย่างจึงได้ถูกถอดรหัสออกมาแล้ว และสามารถดักเอาอะไรก็ได้ ไม่ว่าจะเป็น login, password, post ที่ส่งเข้าไปยังกลุ่มลับ หรือแม้แต่ข้อความที่ใช้คุยกันกับเพื่อนแบบสองต่อสอง

เหตุการณ์ในข้อ 1. ที่ DNS จงใจปล่อยข้อมูลผิดนั้นได้เคยเกิดขึ้นมาแล้วในประเทศไทย โดยขอให้ดู status ของผมในวันที่ 28 พฤษภาคม 2557 ครับ (https://www.facebook.com/cwt114/posts/10152417386608189?pnref=story)

จะเห็นได้ว่าในข้อที่ 3 เราต้องกดยอมรับใบรับรองปลอมเอง ซึ่ง "อาจจะ" มีความปลอดภัยระดับหนึ่งแต่สำหรับคนที่เจออะไรก็กด Yes หรือ Accept ไว้ก่อนนั้นอันตรายมาก

ที่นี้มันเกี่ยวข้องอย่างไรกับ พรบ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ผมจะลองสมมุติสถานการณ์ดังนี้ครับ

เนื่องจากพรบ. นี้ให้อำนาจในการดักฟังข้อมูลทุกรูปแบบ ดังนั้นอาจจะเป็นไปได้ว่าต่อไปมือถือแทบเล็ต หรือคอมพิวเตอร์สำเร็จรูปจะต้องถูกบังคับให้ติดตั้งใบรับรองปลอมที่ว่า และตั้งค่าให้ "เชื่อถือ" ไว้ก่อนจึงจะสามารถนำมาวางจำหน่ายในประเทศได้ ไม่อย่างนั้นจะถือว่าผิด พรบ. ดังกล่าว ซึ่งนั่นจะทำให้พวกเราเกือบทุกคนตกอยู่ในความเสี่ยงที่จะถูกดักข้อมูลได้โดยไม่รู้ตัวเลยครับ

ขอย้ำอีกทีว่านี่เป็นเพียงสถานการณ์สมมุติครับ

Advertisements

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

หมวดหมู่

%d bloggers like this: