Monday, April 16

ขอชี้แจง SRAN กับการตรวจจับ Youtube

ทาง SRAN ทีมได้ทำการทดลองการตรวจจับ เนื้อหา (Content) ใน Web Youtube ผ่านมาเกือบหนึ่งอาทิตย์ มีผลตอบรับเรื่องนี้มากใน Web Community และ e-mail ที่สอบถามหลักการทำงานแบบ ที่ได้นำเสนอไป http://www.sran.net/SRAN_youtube_detect พบว่ามีหลาย comment ที่อ่านแล้ว หลายๆคนเข้าใจผิด เข้าใจผิดทั้งทางเทคนิคก็ดี และเข้าใจผิดว่าเราทำเพื่อเชิงโฆษณา ตามสถานการณ์หรือไม่ ? เรายอมรับว่าเราทำตามกระแสสังคม แต่สิ่งที่เราทำไป เราต้องการให้สังคมอินเตอร์เน็ตเมืองไทย พัฒนาขึ้น และต้องการหาวิธีการมาเพื่อแก้ไขปัญหาอย่างแท้จริง ไม่ใช่ปล่อยเป็นเช่นนี้ ส่วนประเด็นทางเทคนิค ขอชี้แจงดังนี้ครับ
ประเด็นที่หนึ่ง จะเป็นการละเมิดสิทธิส่วนบุคคล หรือไม่หากใช้วิธีการนี้
ตอบ :
เมื่อคุณ online คุณไม่มีความเป็นส่วนตัวแล้ว ไม่ว่าจะ software บางชนิดที่ลงในเครื่อง ยกตัวอย่างเช่น โปรแกรม Anti virus ที่ต้องคอยติดต่อกับ Server ทั้งในการ update lincense และเก็บบันทึกปัญหาต่างๆ ส่งบอกทาง Server ที่เป็นแหล่งผลิต software , มองไปที่ Operating System ยิ่งไปกันใหญ่ มีกลไกลมากมายที่ทำการเก็บ Inventory และข้อมูล lincense นั้น , มองไปยังการเชื่อมต่อระดับ Network อุปกรณ์บางตัวมีการส่ง syslog หรือส่งข้อมูลบางอย่างออกไปเพื่อให้ Server ผู้ผลิตได้รับทราบ ความเป็นส่วนตัวของผู้ใช้งานจะน้อยลงเรื่อยๆ การกระทำใดในโลกอินเตอร์เน็ต ค้นหากันได้ง่าย หากทราบถึงเส้นทางเดินทางของข้อมูล

เทคนิคที่เราใช้เป็นการประยุกต์จากเทคโนโลยี Intrusion Detection System หมายถึงเราจะตรวจเฉพาะ Content ที่ตรงตาม Data Base (Signature) ที่เราได้ทำการโปรแกรมเท่านั้น อย่างอื่นเราไม่ได้ทำการตรวจจับ หากลักษณะการใช้งาน Internet ที่เข้าข่ายกระทำความผิด จะทำให้ระบบตรวจจับแจ้งเตือนขึ้น ก็จะทำให้เราบันทึกเหตุการณ์ และ ที่มาของ IP นั้นได้
สรุปได้ว่าเราไม่ได้ตรวจจับทั้งหมด และไม่มีผลกระทบกับความเป็นส่วนตัวของผู้ใช้งานอินเตอร์เน็ททั่วไปในประเทศ มากกว่าที่เป็นอยู่เดิม
เสริม : เราไม่ต้องการ Block แบบ อัตโนมัติ (automatic) หรือทำตัวเป็นระบบ Intusion Prevention System (IPS) เนื่องจากอาจส่งผลเสียกับระบบส่วนรวม การทำตัวเป็น IDS ไม่เกิดผลกระทบกับความเร็วของระบบเครือข่าย แต่ IPS มีปัญหาได้เช่นกันหากตรวจจับระดับ content จริง ระบบที่นำเสนอไป เราจะกรองและแยกแยะกลุ่ม IP ที่คาดว่าจะเป็นปัญหาและทำการ Drop IP จากเทคโนโลยีอื่น หรือ Hijack Session เพื่อไม่ให้เข้าถึง Content ที่มีความเสี่ยงไม่ให้มีการเชื่อมโยงของ Protocol TCP ในการติดต่อ HTTP จาก Web Server ปลายทาง (ตามศัพท์เทคนิคเรียกว่า TCP Reset) เทคนิคนี้จะทำให้การใช้งานทั่วไป เป็นอย่างปกติได้ โดยไม่รู้สึกตัว
แต่เหตุผลหลัก จากนำเทคโนโลยีนี้มาใช้ ก็เพื่อการสืบค้นได้เร็วขึ้น มีหลักฐาน ในการรวบรวมข้อมูลหาผู้กระทำผิด ตามกรอบกฎหมาย และจริยธรรมอันควร

ประเด็นที่สอง หากใช้พวก Anonymity Network ก็สามารถหลบหลีกได้หรือไม่
ตอบ :
มีการหลบพ้นได้เช่นกัน หากข้อมูล (Data Base) ในตัวระบบ SRAN ไม่มีชื่อ IP ของ anonymous Server ก็ไม่สามารถทราบได้ แต่หากมี List IP/Domain ใน Data Base เราก็จะสามารถทราบถึงเครื่องที่ขอใช้บริการ Anonymity Network เราขอยกตัวอย่างโดยการบันทึกหน้าจอการตรวจจับ การใช้ Tor Network ซึ่งถือว่าเป็น Anonymity Network ชนิดหนึ่งมาให้ดูดังนี้


จากภาพข้างบนนี้เราจะเห็นว่า ระบบ SRAN จะทราบว่าเครื่องใดบ้างที่ใช้งาน Program Tor ซึ่งอาจไปเชื่อมต่อ anonymous Server อื่นๆได้ เมื่อคลิกภาพขยาย (ดับเบิ้ลคลิกที่รูป) เราจะเห็นว่าเราทราบ IP ต้นทาง ที่อยู่ในองค์กร และ IP ปลายทางที่เป็น anonymous Server ได้

แล้วจะทำอย่างไรต่อหากรู้ว่า IP ในประเทศไทยที่ไหนบ้างใช้ Anonymity Network ขั้นตอนต่อไป เราก็จะทำการตรวจหา หรือลำดับเหตุการณ์ เพื่อดูความเป็นไปได้ กับเหตุการณ์อื่นที่ส่งผลกับความมั่นคงทางข้อมูลสารสนเทศ หรือไม่ เช่น IP ในประเทศจาก ISP ก. ติดต่อ Tor Network หรือ Anonymity Network อื่นๆ เราทราบ IP ISP นั้นที่จะขอใช้บริการ Anonymity Network ได้ แล้ว เมื่อทำการติดต่อเรียบร้อยแล้ว จะได้ IP Proxy จากต่างประเทศ เราก็ทราบว่าเป็น IP อะไร และ IP Proxy จากต่างประเทศ ทำการ Upload Clip ไม่เหมาะสม เหตุการณ์จะเรียบเรียงเองจากการบันทึกของระบบ SRAN ถึงอย่างไรก็ดี ต้องมีนักวิเคราะห์ ที่ชำนาญ เพื่อเฝ้าระวังจากสิ่งที่เกิดขึ้น ถึงแม้ระบบ SRAN นี้สามารถบันทึก Log และ ออกรายงานผลได้ในตัวเองอยู่แล้วก็ตาม

ชี้แจงอีกนิดสำหรับประเด็นนี้ คำนิยาม Anonymity Network คือกลุ่ม เครื่องแม่ข่าย (Server) ที่รวมกันเพื่อให้บริการ Proxy สำหรับ Web ส่วน anonymous Server ที่กล่าวในคำชี้แจง คือเครื่องแม่ข่าย (Server) ที่ให้บริการ Web Proxy คำว่า IP Proxy ในคำชี้แจง ก็คือ anonymous Server นั้นเอง

ประเด็นที่สาม เทคนิคดังกล่าวแตกต่างกับการทำ Proxy ขนาดใหญ่เพื่อตั้งตาม ISP อย่างไร

คำตอบ : การใช้เทคนิคที่เราได้นำเสนอ จะชี้แจงในหัวข้อนี้ได้ดังนี้

1. ความเป็นส่วนตัวของ User ที่ใช้งาน การใช้เทคนิคตามที่กลุ่ม SRAN ได้นำเสนอ จะเป็นส่วนตัวมากกว่า การใช้ Proxy ติดตั้งตาม ISP เนื่องจาก ทุกการกระทำบน Proxy จะเก็บบันทึกไว้หมด แต่ หากใช้เทคนิคของ SRAN จะตรวจจับเฉพาะสิ่งที่ต้องการ เท่านั้นไม่ตรวจเรื่องอื่น

2. การใช้ Proxy มักจะตรวจจับเฉพาะ HTTP หากใช้เทคนิค SRAN จะตรวจจับได้หลายชนิด Protocol

3. การออกแบบเพื่อใช้งานจริง เป็นไปได้มากกว่า Proxy เนื่องจาก ปัญหาการรับข้อมูลมหาศาลจาก IP ที่จำเป็นต้องตรวจถึง Layer 7 อาจทำให้เครื่องไม่สามารถทำงานได้ปกติ แต่หากใช้เทคนิค SRAN และการผสมเทคโนโลยี Computer Cluster บน ISP เดียวกัน และ Computer Grid ในต่าง ISP เพื่อช่วยในการประมวลผล และความต่อเนื่องของภาพรวมข้อมูลทั้งหมด ขอให้ความคิดเห็นอยู่ว่า ไม่ว่าเป็นวิธีการใด ก็ถือว่าเมื่อปฏิบัติงานจริงแล้ว ยังเป็นเรื่องยากในการตรวจจับข้อมูลทั้งหมดที่ผิดปกติ ในประเทศ เพื่อออกสู่นอกประเทศ อยู่ดี ที่ว่ายาก ก็เพราะงบประมาณ และความรู้ผู้ปฏิบัติงาน สูงมาก แต่ถึงยากอย่างไร ในอนาคตเราก็ควรที่จะคิดหาวิธีที่เหมาะสมที่สุดเพื่อใช้งาน
ในข้อนี้สรุปง่ายๆ ว่า Proxy มีปัญหาเรื่องการเก็บ Log แต่ เทคนิคที่เราเสนอ Log จะน้อยกว่า และค้นหาผู้กระทำผิดได้ง่ายกว่า และเทคนิค SRAN สามารถตรวจได้มากกว่า HTTP Protocol แต่อาจไม่ละเอียดเท่า Proxy Web โดยตรง

ประเด็นที่สี่ เทคนิคนี้ตรวจได้เฉพาะ ข้อมูลที่ส่งออกนอกประเทศ หรือไม่
ตอบ : อย่างที่เรียน เทคนิคทาง SRAN เสนอ ทำตัวเองเหมือนสนามบิน ให้สมมุติภาพตาม เราเหมือนระบบ CTX เพื่อตรวจอุปกรณ์ที่ไม่เหมาะสม ก่อนเดินทางออกนอกประเทศ เช่นกัน SRAN ทำการตรวจข้อมูลที่ไม่เหมาะสม (ขอย้ำว่าเฉพาะข้อมูลที่ไม่เหมาะสมตาม Data Base (Signature) ที่เราป้อนเข้าไป ไม่ใช่ข้อมูลทั้งหมด) ก่อน ข้อมูลนั้นจะออกนอกประเทศไทย ประโยชน์ที่ได้ เราจะทราบที่มาที่ไปของ IP และพฤติกรรมที่ไม่เหมาะสม ดังนั้นจะทำให้ผู้ปฏิบัติงานด้านสอบสวนคดีทางอินเตอร์เน็ทจะค้นหาข้อมูลได้สะดวกขึ้น จากเดิมที่เป็นอยู่ปัจจุบัน

และในทางกลับกัน ข้อมูลจากต่างประเทศที่ไม่เหมาะสม กำลังเข้าสู่ประเทศไทย หากตรงตาม Data Base (Signature) ที่เราใส่โปรแกรมไว้ ก็จะทราบ IP ต้นทางจากประเทศนั้น

แต่หาก IP นั้นกลับเป็น Anonymity Network แล้วล่ะก็ เราก็ทราบ IP ของ anonymous Server จากต่างประเทศนั้น และหากต้องการหลักฐานเพิ่มเติม ก็ต้องว่ากันไป ไม่ว่าจะขออนุญาติให้ anonymous Server นั้นทำการเปิดเผย Log เข้าใจว่าในต่างประเทศ โดยเฉพาะทวีปอเมริกา และ ยุโรป มีกฏหมายการเก็บ Log ที่ว่าแล้วแต่ยังไม่ทราบว่าจะบังคับใช้กับพวก anonymous Server ที่มีอยู่ทั่วโลกหรือไม่ ประเด็นนี้ต้องสร้างกฎเกณฑ์การเก็บ Log ที่เป็นสากลและบังคับใชัทั่วโลก ถึงจะป้องกันสิ่งที่กล่าวมาแล้วนี้ได้

ประเด็น สุดท้าย ทำไมถึงออกมาเสนอ แนวทางนี้

ตอบ : เราไม่ต้องการ ให้เมืองไทยปิดกั้นสื่อด้วยวิธีนี้ และเราก็ไม่ต้องการให้กระทรวง ICT เห็นใจเรา แค่เราอยากเสนอแนวทางที่คิดว่า มีประโยชน์กับประเทศที่เราอาศัยอยู่ และยินดีถ่ายทอด ความรู้/เทคนิคดังกล่าวให้กับหน่วยงานที่เกี่ยวข้องได้รับทราบ

แนวทางที่เสนอไป อาจจะไม่ใช่คำตอบสุดท้ายในแก้ไขปัญหาในระยะยาว เนื่องจากต้องใช้หลายๆ เทคนิคเข้ามาช่วยเสริมไม่ว่าเป็นการ เทคโนโลยีการระบุตัวตนของผู้ใช้งาน , เทคโนโลยีการเก็บบันทึกข้อมูลขนาดใหญ่ และเทคโนโลยีเพื่อความต่อเนื่องของข้อมูล เป็นอย่างน้อยถึงจะสามารถสร้าง Internet Content Gateway ได้อย่างสมบูรณ์

วันหนึ่งการใช้อินเตอร์เน็ท เมื่อเกิดปัญหาต่างๆ มีความซับซ้อนมากขึ้น จนไม่สามารถเดินย้อนหลังแก้ไขปัญหาต่างๆ ได้แล้ว เราก็จะมานั่งเสียใจ และก็ได้แต่คิดว่า" รู้อย่างงี้ก็น่าจะทำไปตั้งนานแล้ว" เราไม่อยากได้ยินคำนี้

แต่สิ่งที่ กลุ่ม SRAN ต้องการเห็นที่เป็นรูปธรรมในระยะอันใกล้ เราเพียงหวังอยู่ 2 เรื่อง ให้ผู้ใหญ่ในเมืองไทยรับทราบ

เรื่องที่ 1 เราต้องการกฏหมายที่ใช้ควบคุมการใช้สื่อสารสนเทศ หรือ อาชญากรรมคอมพิวเตอร์ เสร็จเสียที และเสร็จอย่างรอบคอบ ไม่ได้เป็นเครื่องมือ กับกลุ่มค้ารายใด รายหนึ่ง ให้ถือความมั่นคงของชาติเป็นหลัก

เรื่องที่ 2 ความมั่นคงของสื่อสารสนเทศ ในประเทศไทย เราต้องการสร้างคน คนไทย ให้มีความรู้ และมีภูมิต้านท้าน (ตามหลักปรัชญาเศรษฐกิจพอเพียง) ไม่ใช่อะไรๆ ก็ต้องรอให้ต่างประเทศมาจัดการให้หมด โดยเฉพาะเรื่องเทคโนโลยีด้านความมั่นคงปลอดภัยข้อมูล ไม่เช่นนั้นข้อมูลสารสนเทศของประเทศไทยเอง จะโดนดักจากต่างประเทศเสียหมด

ผมถือว่าการใช้งานอินเตอร์เน็ตทุกวันนี้ เป็นเทคโนโลยี ที่โตไปแก้ไป เราต้องหาวิธีการใดๆก็ตามเพื่อรับมือกับปัญหาที่อาจจะเกิดขึ้นในอนาคต กันไว้ดีกว่ามาแก้ และอยากฝากบอกให้ผู้ไม่รู้ ได้รับรู้ และผู้ที่รู้อยู่แล้วก็ต้องยอมรับความจริง และพร้อมเปิดโอกาสในการแสดงความคิด เราจะยอมรับฟังทุกเหตุผล เพื่อสังคม online ที่ดีขึ้น

ผมขอฝากไว้แค่นี้ครับ จากตัวแทน กลุ่ม SRAN

นนทวรรธนะ สาระมาน
Nontawattana Saraman

No comments: