2011.10.02 12:39
เมื่อเวลาประมาณ 10:23-10:44 น. ของวันที่ 2 ต.ค. 2554 ทวิตเตอร์ @PouYingluck ของนางสาวยิ่งลักษณ์ ชินวัตร นายกรัฐมนตรี ถูกเจาะระบบและโพสต์ข้อความจำนวน 8 ข้อความอย่างต่อเนื่อง มีเนื้อหาบางส่วนวิพากษ์นโยายของพรรคเพื่อไทย เช่น โครงการแท็บเล็ต และกล่าวถึงนโยบายที่เอื้อประโยชน์ให้กับบริษัทของญาติพี่น้อง
ผู้เจาะระบบได้แสดงตัวอย่างชัดเจนว่าบัญชีทวิตเตอร์นี้ถูกเจาะ โดยระบุในข้อความสุดท้ายว่า “แม้กระทั่ง twitter ตนเองยังปกป้องไว้ไม่ได้ แล้วประเทศนี้จะปกป้องได้อย่างไร? ฝากให้พี่น้องคิดดูนะครับ”
ล่าสุดเมื่อเวลา 12:30 น. ข้อความทั้งหมดยังไม่ถูกลบ โดยรัฐมนตรีไอซีทีได้ทราบเรื่องดังกล่าวแล้ว และกำลังดำเนินการกู้บัญชีคืน รวมทั้งจะมีการแถลงข่าวในวันจันทร์ที่ 3 ต.ค. ด้วย
วิธีที่เป็นไปได้ในการเจาะ
ในการเข้าถึงบัญชีทวิตเตอร์นี้ ผู้เจาะระบบอาจทราบรหัสผ่านของบัญชีนางสาวยิ่งลักษณ์ด้วยวิธีใดวิธีหนึ่ง เช่น เดาเอาจนถูก หรือแอบดักข้อมูลรหัสผ่านระหว่างการสื่อสาร (ในกรณีที่ไม่ได้ใช้การเชื่อมต่อแบบ HTTPS ซึ่งเข้ารหัส) หรือเป็นไปได้ว่าผู้เจาะระบบอาจไม่ทราบรหัสผ่าน แต่สามารถเข้าถึงบัญชีและโพสต์ข้อความได้ ด้วยวิธีที่เรียกว่า “ปล้นเซสชัน” (session hijacking)
วิธี “ปล้นเซสชัน” เป็นการขโมยการล็อกอินบนเว็บ ซึ่งสามารถทำได้หลายวิธี โดยวิธีที่นิยมมากคือการ “ปล้นคุกกี้” (cookie theft) โดยอาศัยรูโหว่ของเว็บไซต์จำนวนมากที่เข้ารหัสเฉพาะข้อมูลรหัสผ่าน แต่ไม่ได้เข้ารหัสข้อมูลคุกกี้ (ชุดข้อมูลเล็ก ๆ ที่ช่วยให้เว็บไซต์จำตัวผู้ล็อกอินได้) ทำให้หากมีผู้ดักฟังคุกกี้ดังกล่าวได้ระหว่างทาง (เช่นด้วยการดักฟังแพ็คเกจข้อมูลหรือ packet sniffing) ก็สามารถจะแฝงทำตัวเป็นผู้ใช้นั้น ๆ แทนได้
รูรั่วดังกล่าวนี้เป็นปัญหาใหญ่ขึ้นในปัจจุบัน จากความนิยมในการใช้เครือข่ายไร้สาย (wifi) ซึ่งเครือข่ายไร้สายจำนวนมาก มักไม่ได้มีการเข้ารหัสข้อมูลระหว่างการส่งข้อมูลภายในเครือข่าย ซึ่งทำให้ใครก็ตามที่สามารถเข้าถึงเครือข่ายได้ ก็จะสามารถดักฟังข้อมูลทุกอย่างที่วิ่งในระบบเครือข่ายนั้นได้ และจะนำไปสู่การปล้นคุกกี้ดังที่ได้อธิบายไปแล้ว
ร้านกาแฟ ห้องสมุด มหาวิทยาลัย บริษัท และสถานที่ให้บริการอินเทอร์เน็ตสาธารณะจำนวนมาก มักไม่ตั้งการเข้ารหัสข้อมูลสำหรับเครือข่ายไร้สาย ทั้งจากความไม่รู้ ไม่ชำนาญ หรือเห็นว่าเป็นเรื่องยุ่งยาก (และเลี่ยงไปใช้วิธีอื่นเป็นมาตรการในการควบคุมการเข้าถึงเครือข่าย เช่น การให้ป้อนชื่อผู้ใช้และรหัสผ่านทางหน้าเว็บก่อนใช้งาน แต่วิธีดังกล่าวไม่สามารถทดแทนการเข้ารหัสข้อมูลภายในเครือข่ายได้)
ซอฟต์แวร์ที่ทำงานบนหลักการปล้นเซสชันนี้ เช่น Firesheep และ Idiocy ซึ่งสามารถปล้นคุกกี้ของเฟซบุ๊กและทวิตเตอร์ได้ ถูกสร้างขึ้นมาเพื่อแสดงให้เห็นถึงรูรั่วดังกล่าว เพื่อให้ผู้ดูแลระบบได้ตระหนักถึงมาตรการในการปกป้องผู้ใช้
วิธีป้องกันตัวเองและคนในความดูแล
สำหรับการป้องกันคนอื่น ๆ มาเดารหัสผ่านง่าย ๆ ก็แค่ตั้งรหัสผ่านให้มันยาวขึ้นครับ อาจจะเป็นเนื้อเพลงหรือคำพูดอะไรที่มันยาวหน่อยแต่เราจำได้ (ดูเทคนิคที่ การ์ดช่วยจำ “ปลอดภัยทันใจ”) และอย่าจดหรือบอกรหัสผ่านกับใคร
สำหรับการปกป้องตัวเองจากการถูกดักฟังข้อมูล ผู้ให้บริการเว็บไซต์ควรบังคับให้การส่งรหัสผ่านและคุกกี้จะต้องทำผ่านการช่องทางสื่อสารที่ถูกเข้ารหัสเท่านั้น (โดยใช้โปรโตคอล HTTPS) และผู้ให้บริการเครือข่ายอินเทอร์เน็ตควรพิจารณาป้องกันระบบเครือข่ายไร้สายด้วยโปรโตคอลที่มีความปลอดภัยมากขึ้น เช่น Wi-Fi_Protected_Access II (WPA2) สำหรับผู้ใช้เน็ต ควรล็อกอินผ่านช่องทางที่ถูกเข้ารหัสเท่านั้น (สังเกตคำว่า https ที่ส่วนหน้าสุดของที่อยู่เว็บไซต์) และระมัดระวังในการใช้เครือข่ายสาธารณะในการรับส่งข้อมูลสำคัญ เช่น รหัสผ่าน
ผู้ใช้ทวิตเตอร์ ให้บังคับใช้ HTTPS ตลอดเวลา (ไปที่เมนู Settings และติ๊กถูกที่ “HTTPS Only” ดังรูปด้านล่าง) และล็อกอินผ่านทาง https://twitter.com/ เท่านั้น
ผู้ใช้เฟซบุ๊ก ให้บังคับใช้ HTTPS ตลอดเวลา (ไปที่เมนู ความปลอดภัย และติ๊กถูกเพื่อเปิดใช้ (enable) การ “เลือกดูแบบปลอดภัย Browse Facebook on a secure connection (https) when possible” ดังรูปด้านล่าง) และล็อกอินผ่านทาง https://www.facebook.com/ เท่านั้น
หรือเพื่อความสะดวกและกันความเผลอเรอ ผู้ใช้เบราว์เซอร์ไฟร์ฟ็อกซ์สามารถติดตั้งส่วนเสริม HTTPS Everywhere ได้ ซึ่งจะช่วยให้เราใช้การเชื่อมต่อแบบ HTTPS ทันที หากเว็บไซต์ที่ใช้มีบริการดังกล่าว
นอกจากนี้ ผู้ใช้ทั่วไปและผู้ดูแลระบบซอฟต์แวร์ขององค์กร ควรหมั่นอัปเดตเว็บเบราว์เซอร์อยู่เสมอ เนื่องจากโปรโตคอล HTTPS นั้นจะทำงานได้อย่างปลอดภัยก็ต่อเมื่อใช้งานใบรับรองที่เรียกว่า SSL certificate ที่ออกให้โดยหน่วยงานที่เชื่อถือได้เท่านั้น แต่ก็มีข่าวกรณีการเผยแพร่ใบรับรองปลอมหรือใบรับรองที่ไม่ปลอดภัยอยู่เสมอ การหมั่นอัปเดตเว็บเบราว์เซอร์จะเป็นการอัปเดตรายการใบรับรองที่ไว้ใจได้และที่ไว้ใจไม่ได้ (แบล็คลิสต์) ไปในตัว ทำให้การใช้อินเทอร์เน็ตปลอดภัยมากขึ้น
วิธีเหล่านี้ แม้ไม่สามารถป้องกันการถูกลักลอบเข้าใช้งานได้ 100% (เพราะต้องอาศัยความร่วมมือจากผู้ให้บริการด้วย) แต่ก็เป็นสิ่งที่ผู้ใช้สามารถทำได้ทันที่เพื่อลดความเสี่ยง พร้อม ๆ กับการแจ้งไปยังผู้ดูแลระบบเครือข่ายและเว็บไซต์ที่ใช้งานอยู่ ให้ปรับปรุงระบบให้ปลอดภัยขึ้น
ทั้งนี้ผู้เกี่ยวข้องควรมีความตระหนักร่วมกันว่า การสื่อสารใด ๆ นั้น ต้องมีอย่างน้อยสองฝ่าย คือผู้ส่งและผู้รับ และหากเป็นการส่งผ่านระบบสื่อสาร ก็จะมีตัวกลาง (ผู้ให้บริการหรือคนนำสาร) ขึ้นมาอีกฝ่าย การจะรักษาความปลอดภัยนั้น จะทำแค่จุดใดจุดหนึ่ง คนใดคนหนึ่งไม่ได้ เพราะหากมีรูรั่วที่เดียว จุดที่เหลือก็จะไม่ปลอดภัยทันที ความปลอดภัยบนระบบคอมพิวเตอร์จึงเป็นเรื่องที่ต้องช่วยกันทำทุกฝ่าย ไม่โยนภาระไปที่ฝ่ายใดฝ่ายหนึ่งเท่านั้น
เพิ่มเติม: ข้อสังเกตเบื้องต้นในการค้นหาผู้กระทำและการแจ้งความผิด
กรณีที่เกิดขึ้นนี้ เห็นได้ชัดเจนว่าเป็นการเข้าสู่ระบบโดยมิชอบ เจ้าหน้าที่ควรสืบหาและนำตัวผู้กระทำผิดเข้าสู่กระบวนการยุติธรรม
อย่างไรก็ตาม ควรมีความระมัดระวังในการติดตามผู้กระทำมาดำเนินคดี เนื่องจากหากเป็นการปล้นคุกกี้จากระบบเครือข่ายไร้สายเดียวกัน ก็เป็นไปได้ว่าทุกคนในเครือข่ายนั้นจะถูกมองว่ามีหมายเลขไอพีเดียวกัน นั่นคือ หมายเลขไอพีนั้นจะไม่สามารถระบุตัวบุคคลได้อย่างแม่นยำ และอาจเกิดการจับผิดตัว-ละเมิดสิทธิผู้บริสุทธิ์ (ที่บังเอิญใช้เครือข่ายไร้สายเดียวกันกับผู้กระทำผิด)
นอกจากนี้ ในเรื่องของการแจ้งข้อกล่าวหา กรณีนี้ น่าจะเป็นความผิดตามมาตรา 5 ที่ว่าด้วยการเข้าถึงระบบโดยมิชอบ, มาตรา 9 ในส่วนที่เกี่ยวกับการเพิ่มเติมข้อมูลโดยมิชอบ (โพสต์ข้อความแปดข้อความ), และอาจจะรวมถึงมาตรา 8 หากมีการดักรับข้อมูลเพื่อปล้นคุกกี้ (หากได้ทำ) มากกว่าจะใช้มาตรา 14 ที่เกี่ยวกับการเผยแพร่ข้อมูล-เนื้อหา
“ข้อมูลคอมพิวเตอร์ปลอม” ตามมาตรา 14 (1) ในพ.ร.บ.คอมพิวเตอร์นั้น เจตนารมณ์กฎหมาย ตั้งใจให้ใช้กับกรณีปลอมข้อมูลคอมพิวเตอร์ให้เข้าใจผิด เช่น การทำฟิชชิง (phishing) และฟาร์มมิง (pharming) ซึ่งเป็นการปลอมหน้าตาเว็บให้เหมือนกับหน้าเว็บจริง ไม่ได้เป็นเรื่องเนื้อหาว่าพูดอะไร
อย่างไรก็ตาม มีข้อถกเถียงว่าการโพสต์ข้อความแปดข้อความดังกล่าวน่าจะเข้าข่ายการปลอมตัวตนหรือไม่ คือทำให้คนเข้าใจผิดว่า เป็นข้อความที่ทวีตโดยคุณยิ่งลักษณ์เอง ซึ่งประเด็นนี้ก็ยังไม่ชัดเจน โดยเฉพาะหากคำนึงถึงข้อความสุดท้าย ที่ว่า “แม้กระทั่ง twitter ตนเองยังปกป้องไว้ไม่ได้ แล้วประเทศนี้จะปกป้องได้อย่างไร? ฝากให้พี่น้องคิดดูนะครับ” ซึ่งน่าจะเป็นการเปิดเผยอย่างชัดเจนว่า บัญชีทวิตเตอร์ @PouYingluck นั้น ถูกใช้โดยบุคคลที่ไม่ได้รับอนุญาตไปเรียบร้อยแล้ว นั่นก็แปลว่า แม้ผู้กระทำอาจจะมีเจตนาก่อให้เกิดความเสียหายต่อคุณยิ่งลักษณ์ แต่ก็อาจไม่ได้มีเจตนาจะปลอมเป็นตัวคุณยิ่งลักษณ์
นั่นคือ เราจำเป็นต้องแยกความแตกต่างระหว่าง การเข้าถึงบัญชี @PouYingluck โดยมิชอบ เพื่อโพสต์ข้อความจากบัญชีดังกล่าว ออกจากการสร้างบัญชีทวิตเตอร์ขึ้นมาอีกอัน (ยกตัวอย่างว่า @PM_Yingluck) และทำให้คนเข้าใจผิดว่า นี่คือบัญชีทวิตเตอร์(อีกอัน)ของคุณยิ่งลักษณ์ ซึ่งในกรณีหลังนั้นมีความชัดเจนว่าเข้าข่ายการปลอมตัวตนมากกว่ากรณีแรก (อย่างไรก็ตาม ในประเด็นนี้ ผู้เขียนยังไม่ข้อฟันธง แต่ขอทิ้งข้อสังเกตไว้เพียงเท่านี้)
สำหรับ “ข้อมูลคอมพิวเตอร์อันเป็นเท็จ” ตามมาตรา 14 (2) นั้น ควรจะต้องตีความในความหมายแคบให้หมายถึงเฉพาะข้อเท็จจริงอันเป็นเท็จ โดยไม่นับรวมความคิดเห็น อีกทั้งการนำเข้าซึ่งข้อมูลดังกล่าวจะเป็นความผิดก็ต่อเมื่อน่าจะก่อให้เกิดความเสียหายต่อความมั่นคงของประเทศหรือสร้างความตื่นตระหนกแก่ประชาชน ซึ่งก็ยังคลุมเครือว่าข้อความทั้งแปด จะถูกพิสูจน์ว่าเข้าข่ายดังกล่าวได้อย่างไร
รัฐบาลควรตระหนักว่า มาตรา 14 เป็นมาตราที่มีปัญหาละเมิดสิทธิเสรีภาพมากที่สุดมาตราหนึ่งของพ.ร.บ.คอมพิวเตอร์ ควบคู่กับมาตรา 15 (ภาระความรับผิดของตัวกลาง) และ 20 (การปิดกั้นการเข้าถึง) โดยปัญหาหลักของมาตรา 14 มาจากการที่พนักงานเจ้าหน้าที่อนุญาตให้มีการตีความอนุมาตรา 14 (1) และ 14 (2) ไปอย่างกว้างขวางจนแทบไม่มีขอบเขต จนกลายเป็นเครื่องมือในทางการเมือง เพื่อสร้างความยากลำบากให้กับฝ่ายตรงข้าม ดังกรณีที่เกิดขึ้นกับนักกิจกรรมทางการเมือง นักเคลื่อนไหวเพื่อสิทธิผู้ป่วย และสมาชิกสหภาพแรงงาน
หากมีข้อความใดในแปดข้อความดังกล่าว ที่เห็นว่าควรจะมีความผิดในแง่เนื้อหา ก็ควรจะใช้กฎหมายอื่นที่มีอยู่เช่นประมวลกฎหมายอาญาให้เหมาะสม
หากรัฐบาลสามารถมองเห็นว่า ตัวกฎหมายเองนั้นมีปัญหาอยู่ นอกจากจะต้องเร่งผลักดันให้มีการแก้ไขให้ดีขึ้นแล้ว ยังควรจะระมัดระวังในการใช้ข้อกฎหมายที่มีปัญหาอยู่ด้วย อย่าซ้ำรอยความผิดพลาดที่เคยเกิดขึ้นในรัฐบาลชุดก่อน ๆ
—-
หมายเหตุ: ข้อความที่ถูกโพสต์ทางทวิตเตอร์ @PouYingluck ระหว่างเวลาประมาณ 10:23-10:44 น. ของวันที่ 2 ต.ค. 2554 เรียงตามลำดับเวลา บนสุดคือเก่าสุด (รัฐมนตรีว่าการกระทรวงไอซีทียืนยันว่า ข้อความเหล่านี้เป็นผู้อื่นส่ง ไม่ใช่นายกรัฐมนตรี) :
“ประเทศนี้เป็นธุรกิจ เราทำเพื่อพวกพ้อง ไม่ได้ทำเพื่อคนไทย เราทำเพื่อคนที่สนับสนุนเรา ไม่ใช่คนที่เห็นต่างจากเรา”
https://twitter.com/#!/PouYingluck/status/120337811361632256
“โอกาสของคนจนอยู่ที่ไหน เราหลอกใช้คนจน ให้ความหวังพวกเขา เพื่อคะแนนเสียง ที่จะให้กลุ่มก้อนของเรา เข้ามาหาผลประโยชน์”
https://twitter.com/#!/PouYingluck/status/120338574926286848
“ความยั่งยืนอยู่ที่ไหน การแก้ปัญหาน้ำท่วมไม่ใช่แค่การสร้างภาพเฉพาะหน้า แต่เป็นการรวมพลังของบุคคลที่มีความรู้ความเข้าใจ มาแก้ไขอย่างยั่งยืน”
https://twitter.com/#!/PouYingluck/status/120338888270159872
“ถึงเวลารึยัง ที่ประเทศเราจะเปลี่ยนแปลงสู่สิ่งที่ดี ไม่ใช่แค่สร้างภาพเพื่อเอื้อประโยชน์ให้บริษัทของตน ญาติพี่น้อง กลุ่มผู้ได้รับผลประโยชน์”
https://twitter.com/#!/PouYingluck/status/120339425266909185
“ประเทศนี้ สิ่งที่สำคัญที่สุดคือ การศึกษา ทำไมถึงเขียนนโยบายแจก tablet ไม่ใช่การแก้ที่ตัวหลักสูตรหรือ สนับสนุนคุณครูให้มีรายได้มากขึ้นหรือ”
https://twitter.com/#!/PouYingluck/status/120340999070429184
“ทำไมถึงคิดอภิมหาโครงการ อย่างถมทะเล สร้างตึกสูงที่สุดในโลก คือไม่มีความเข้าใจอะไรทั้งสิ้นเกี่ยวกับประเทศนี้”
https://twitter.com/#!/PouYingluck/status/120341359847669760
“ประเทศไทยต้องการ ความเปลี่ยนแปลง ถึงเวลาที่ทุกคนในประเทศตื่นตัวได้แล้ว ความโง่เขลาจักต้องหมดสิ้นไป”
https://twitter.com/#!/PouYingluck/status/120342810498048000
“แม้กระทั่ง twitter ตนเองยังปกป้องไว้ไม่ได้ แล้วประเทศนี้จะปกป้องได้อย่างไร? ฝากให้พี่น้องคิดดูนะครับ”
https://twitter.com/#!/PouYingluck/status/120343080787378176