วันพฤหัสบดี, มกราคม 26, 2560

Privacy International: Microsoft is helping Thailand's military government spy on web users - องค์กรเอกชนอังกฤษแฉรัฐบาลไทย “สอดแนม” ประชาชน

Privacy International: Microsoft is helping Thailand's military government spy on web users

Firm accused of trusting the Thailand national root certificate in its software by default

By Graeme Burton
26 January 2017
Source: The Inquirer

MICROSOFT IS HELPING the military government in Thailand spy on opposition figures and anyone who dare utter a word against the country's monarchy by trusting the Thailand national root certificate in its operating system and browser software by default.

The claims have been made in a new report from campaigning group Privacy International released today, although in a statement given to INQ Microsoft rejected the organisation's claims, pointing to independent auditing of all root certificate authorities 'trusted' by the company.

Nevertheless, Privacy International asserts that Microsoft's support means that the Thai military government is potentially able to use its control of the root certificate authority to launch man-in-the-middle attacks, in order to capture people's log-in details to social media accounts, online banking accounts, and more, according to the campaigning organisation.

Nation state control over root certificate authorities has been (ab)used by governments in the past, including the authoritarian government of Tunisia, until its overthrow in the Arab spring in January 2011.

Neither Apple, nor Google, nor Mozilla trust Thailand's national root certificate by default.

"The reason the redirection toward a malicious website is not detected is because a user's computer trusts the root certificate. Operating systems like Mac or Windows come with a series of trusted root certificates by default. As long as your operating system trusts a root certificate it can be impossible to detect a malicious use," suggests the report.

"In addition, web browsers can have their own independent certificate stores that may not match that of the operating system. This can be good and bad. If an operating system does not trust a given certificate but the browser does, the user will be unlikely to be given a warning about an untrustworthy site.

"However, the more likely scenario is that a browser will trust a subset of those certificates trusted by the operating system. Of course, other services, such as email and virtual private network may rely on the operating system trust store and therefore be vulnerable to attacks that SSL web traffic may not."

The claims are made in a new report, "Who's That Knocking at my Door? Understanding Surveillance in Thailand", which was released on Thursday by Privacy International.

The organisation claims that Thailand's military government is using a combination of direct control of communications companies and the deployment of various techniques to crack encrypted communications in order to spy on people. Control of the nation's own root certificate authority is just one aspect of this surveillance strategy.

The Thai government has also been deploying its archaic lese-majeste laws - laws against insulting the monarchy - against opponents following the death of Thailand's late King Bhumibol.

"It is concerning to see that Microsoft trusts the Thai national root certificate by default when every other company we looked at - Apple, Mozilla and Google - appears to have made the decision not to trust it," said Privacy International research officer Eva Blum-Dumontet.

She warned that Microsoft's decision made Windows users in Thailand particularly vulnerable to invasions of privacy and state surveillance "should the Thai military government misuse the root certificate".

She added: "Trusting a national root certificate from a country whose governments have a history of human right violations and a poor record on civil rights and freedom of speech should not be taken lightly."

Thailand's government has exerted tight control of the internet since the first internet service providers were allowed to set-up in the country in December 1994.

Privacy International also suggested that the 30-minute cut in access to Facebook in May 2014 following the military coup was made in error. The incoming Thai government really wanted to spy on communications and conversations being carried out by Thai citizens on the social networking platform in order to be able to prevent opposition to the coup gathering pace.

"The military government may indeed have tried to ban Facebook to shut down dissent. However, our sources suggest that the strategy was not a simple Facebook shut down, but an attempt to circumvent SSL encryption," claimed Privacy International in its report.

It claims that the Thai government approached Facebook to request that it route traffic over unencrypted HTTP instead of HTTPS to make it easy to spy on people. "As no evidence suggesting the Thai government had managed to circumvent encryption at that time, we assume the attempt was not successful," concludes the report.

"This discovery raises vital questions regarding the motivation for internet shut downs in the rest of the world and demands that closer attention be paid to their potential role in facilitating surveillance," added Blum-Dumontet.

INQ contacted Microsoft for comment, which claimed that there was absolutely nothing to worry about.

"Microsoft only trusts certificates issued by organisations that receive Certificate Authority through the Microsoft Root Certificate Programme," a spokesperson said. "This programme is an extensive review process that includes regular audits from a third-party web trust auditor.

"Thailand has met the requirements of our program and you can review the details of the latest audits here and here (PDF). This thorough review, backed by contractual obligations, is not reflected in Privacy International's assessment of the risks."


เพิ่มเติม -- องค์กรเอกชนอังกฤษแฉรัฐบาลไทย “สอดแนม” ประชาชน

องค์กรเอกชนของอังกฤษ เปิดเผยรายงาน ซึ่งอ้างว่า รัฐบาลไทยมีความพยายามในการสอดแนมประชาชน ผ่านช่องทางต่างๆ บนโลกออนไลน์

26 มกราคม 2017
ที่มา BBC ไทย

ไพรเวซี อินเตอร์เนชั่นแนล เปิดเผยรายงานที่ระบุว่า รัฐบาลไทยมีความพยายามที่จะสอดแนมประชาชน และชี้ว่า บริษัทไมโครซอฟท์เปิดช่องว่างให้ข้อมูลส่วนบุคคลถูกล่วงละเมิดได้

ไพรเวซี่ อินเตอร์เนชั่นแนล หรือพีไอ (Privacy International - PI) องค์กรเอกชนซึ่งรณรงค์ด้านความเป็นส่วนตัวของข้อมูล และมีที่ตั้งอยู่ในกรุงลอนดอน ประเทศอังกฤษ ออกมาเปิดตัวเอกสารรายงานผลการศึกษา เกี่ยวกับการสอดส่องความเคลื่อนไหวทางอินเทอร์เน็ตในประเทศไทย ภายใต้ชื่อ Who's That Knocking At My Door? Understanding Surveillance in Thailand ความยาว 25 หน้า

รายงานแบ่งเป็น 2 ส่วน คือ ประการแรก เพื่อศึกษาข้อเท็จจริงและหาเหตุผล ของการที่เฟซบุ๊กซึ่งเป็นสื่อสังคมออนไลน์ที่ชาวไทยใช้กันอย่างแพร่หลาย มีปัญหาใช้งานไม่ได้ไปประมาณ 30 นาที เมื่อวันที่ 28 พ.ค. 2557 ซึ่งก่อนหน้านี้ เข้าใจกันว่าความเคลื่อนไหวดังกล่าว ดูเหมือนทำไปเพื่อควบคุมข่าวสาร โดยใช้ทั้งวิธีสอดส่องและระงับการเผยแพร่เนื้อหา ซึ่งสะท้อนหลักการปฏิบัติที่ถูกใช้มายาวนานในประเทศไทยเพื่อควบคุมข้อมูลข่าวสารที่ประชาชนรับรู้และออกความเห็นผ่านสื่อออนไลน์

พีไอระบุด้วยว่า การควบคุมเนื้อหาดังกล่าว เป็นการปฏิบัติที่อาศัยระบบการเมืองแบบเส้นสายในประเทศไทย ที่ปราศจากโครงสร้างทางกฎหมายเกี่ยวกับความเป็นส่วนตัวของข้อมูล ทำให้บริษัทผู้ให้บริการเครือข่ายสื่อสารไม่สามารถปฏิเสธคำขอของทางรัฐบาลได้ และรายงานยังยกตัวอย่างด้วยการระบุความเชื่อมโยงระหว่างครอบครัวผู้บริหารบริษัทเครือข่ายสื่อสารรายใหญ่ของประเทศ กับผู้ที่ดำรงตำแหน่งรัฐมนตรีที่เกี่ยวข้องด้วย

แต่อย่างไรก็ตาม พีไอยังเสนออีกคำอธิบายที่เป็นไปได้ ต่อกรณีที่บริการเฟซบุ๊กถูกระงับไปเพียงช่วงเวลาสั้นๆ ว่าอาจเป็นเพราะมีความพยายามฝ่าฝืนการเข้ารหัสเว็บไซต์เพื่อล้วงข้อมูลของผู้ใช้ แต่ล้มเหลว

ข้อมูลที่นำมาเขียนในรายงานนี้ มาจากการพูดคุยซักถาม "แหล่งข่าวในภาคการสื่อสารโทรคมนาคม" ที่ได้รับการติดต่อจากรัฐบาลทหารให้ช่วยขอเฟซบุ๊กให้เปิดช่องทางเพื่อเข้าถึงข้อมูลที่สื่อสารในชั้นรหัสล็อค SSL โดยพีไอได้รับคำยืนยันเรื่องนี้จากแหล่งข่าวอีกคนด้วย อย่างไรก็ตาม ไม่มีหลักฐานว่ามีได้มีความพยายามติดต่อเฟซบุ๊กจริง หรือว่ารัฐบาลไทยประสบความสำเร็จในการเข้าถึงข้อมูลที่สื่อสารผ่านช่องทางซึ่งมีรหัสล็อคดังกล่าวหรือไม่

เหตุการณ์เฟซบุ๊กล่มทั่วประเทศไทย เป็นเวลากว่า 30 นาที เมื่อวันที่ 28 พ.ค. 2557 ภายหลังการรัฐประหารไม่ถึงสัปดาห์ อาจเกิดจากความพยายามของผู้มีอำนาจที่ยื่นคำขอที่ปฏิเสธไม่ได้ไปยังผู้ให้บริการเครือข่ายสื่อสาร ?

ในส่วนที่สองของรายงาน พีไอยังได้ระบุผลการศึกษาว่ามีวิธีอื่นๆ ที่รัฐบาลไทยใช้ในการควบคุมและสอดส่องเนื้อหาออนไลน์ ซึ่งอยู่นอกเหนือช่องทางการเมืองแบบเส้นสาย โดยแสดงให้เห็นว่า นอกจากการลงทุนในเทคโนโลยีที่ต้นทุนสูงและซับซ้อนแล้ว รัฐบาลไทยยังใช้วิธีการโจมตีทางอินเทอร์เน็ตที่ใช้รหัสข้อมูลระดับต่ำ หรือ downgrade attack ซึ่งมีผลทำให้ข้อมูลการสื่อสารอย่างอีเมล์ ต้องผ่านช่องทางที่ไม่ปลอดภัย และเสี่ยงต่อการถูกแอบดูได้ง่าย และยังพบว่ามีการใช้ IMSI หรือเครื่องดักจับสัญญาณข้อมูลโทรศัพท์มือถือ ซึ่งหาซื้อได้ตามท้องตลาดในราคาไม่แพงด้วย

ยิ่งไปกว่านั้น รายงานดังกล่าวยังระบุถึงการกระทำของบริษัทไมโครซอฟท์ ที่อาจเปิดช่องว่างให้ข้อมูลส่วนตัวของผู้ใช้อินเทอร์เน็ตถูกละเมิดได้ เนื่องจากระบบปฏิบัติการวินโดวส์ ได้ถูกตั้งค่ามาให้ทรัสต์ (trust) หรือยอมรับการสื่อสารทางอินเทอร์เน็ตที่ผ่านการรับรองทางอิเล็กทรอนิกส์แห่งชาติของไทย หรือ Thailand National Root Certificate หรือ root CA ทำให้อ่อนไหวต่อการถูกล้วงข้อมูลผ่านเว็บโชต์ที่ถูกควบคุมโดยรัฐบาลได้ เช่น รหัสล็อกอิน ข้อมูลการทำธุรกรรมทางการเงินออนไลน์ รวมถึงบัญชีการใช้งานทางอินเทอร์เน็ตอื่นๆ เป็นต้น โดยวิธีการตั้งค่าลักษณะนี้ ไม่พบในระบบปฏิบัติการณ์ของ Apple, Google Chrome และ Mozilla

ด้าน น.ส.เอวา บลัม-ดูมอนเต้ เจ้าหน้าที่วิจัยของพีไอกล่าวว่า "การยอมรับการสื่อสารทางอินเทอร์เน็ต ที่ผ่านการรับรองทางอิเล็กทรอนิกส์แห่งชาติ หรือ root CA ของประเทศที่มีประวัติละเมิดสิทธิมนุษยชน มีประวัติไม่ดีในเรื่องสิทธิพลเมือง และเสรีภาพในการแสดงความคิดเห็น เป็นเรื่องที่ควรถูกมองเป็นเรื่องจริงจัง"

ทั้งนี้ ทางพีไอยังได้เรียกร้องให้บริษัทไมโครซอฟท์เปลี่ยนแนวทาง และหันมาปฏิเสธการรับรองทางอิเล็กทรอนิกส์แห่งชาติ หรือ root CA และเรียกร้องให้รัฐบาลไทยปกป้องสิทธิ์ความเป็นส่วนตัว และรักษาหลักการตามกฎหมาย ความเหมาะสม และความจำเป็นตามมาตรฐานสากล ในการดักจับการสื่อสารด้วย

รายงานของไพรเวซี่ อินเตอร์เนชั่นแนล ยังระบุถึงการกระทำของบริษัทไมโครซอฟท์ ที่อาจเปิดช่องว่างให้ข้อมูลส่วนตัวของผู้ใช้อินเทอร์เน็ตถูกละเมิดได้ เนื่องจากระบบปฏิบัติการวินโดวส์ ได้ถูกตั้งค่ามาให้ยอมรับการสื่อสารทางอินเทอร์เน็ตที่ผ่านการรับรองทางอิเล็กทรอนิกส์แห่งชาติของไทย หรือ root CA ทำให้อ่อนไหวต่อการถูกล้วงข้อมูลผ่านเว็บโชต์ที่ถูกควบคุมโดยรัฐบาล

เว็บไซต์ Blognone สื่อด้านไอทีแถวหน้าของประเทศไทย ระบุว่า ไมโครซอฟท์เป็นผู้ผลิตซอฟต์แวร์หลักรายเดียวที่ยอมรับ root CA ของรัฐบาลไทย โดย Thailand National Root Certification Authority - G1 ดูแลโดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ (NRCA) เป็นหน่วยงานภายใต้สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ./ETDA) หน่วยงานที่เคยระบุถึงความจำเป็นในการดักฟังว่าเป็นการป้องกันการแฮกล่วงหน้า ด้วย พ.ร.บ.ว่าด้วยการรักษาความมั่นคงทางไซเบอร์

"การรับรอง root CA ในระบบทำให้ผู้ให้บริการ CA สามารถสร้างใบรับรองสำหรับเว็บใดๆ หาก CA มีมาตรฐานดำเนินการที่หละหลวมก็สามารถออกใบรับรองให้กับเว็บสำคัญๆ เช่น กูเกิล, เฟซบุ๊ก, หรือเว็บใดๆ ก็ได้ในโลก โดยผู้ที่ได้ใบรับรองเหล่านั้นไปอาจนำไปใช้ดักฟังการเชื่อมต่อโดยที่ผู้ใช้ไม่รู้ตัว" เว็บไซต์ Blognone ระบุ

ผู้สื่อข่าว "บีบีซีไทย" พยายามติดต่อสอบถามข้อเท็จจริงกรณีนี้จากทีมโฆษกของรัฐบาล แต่ได้รับการปฏิเสธจะให้ความเห็น

ทั้งนี้ ทีมโฆษกของคณะรักษาความสงบแห่งชาติ (คสช.) เคยกล่าวปฏิเสธ เมื่อครั้งเกิดเหตุเฟซบุ๊กทั่วประเทศในไทย ในวันที่ 28 พ.ค. 2557 ว่า เหตุที่เฟซบุ๊กล่มไม่เกี่ยวข้องกับรัฐบาล แต่เกิดจากเหตุขัดข้องทางเทคนิกที่ gateway
ไมโครซอฟท์แจง ปัดเปิดช่อง รบ.ไทยล้วงข้อมูลผู้ใช้

ผู้สื่อข่าว "บีบีซีไทย" พยายามติดต่อเพื่อขอคำชี้แจงจากตัวแทนของบริษัทไมโครซอฟท์ในประเทศไทย ตั้งแต่ช่วงเช้าวันนี้ (26 ม.ค. 2560) ก่อนที่จะนำเสนอข่าวรายงานของพีไอ ซึ่งได้รับคำชี้แจงจากผู้ที่ประสานงานให้ว่า ทางผู้บริหารบริษัทไมโครซอฟท์จะขอประชุมก่อนกันจะให้คำตอบถึงรายงานดังกล่าว

ต่อมาในช่วงบ่ายวันเดียวกัน ผู้ที่ประสานงานให้ ได้ส่งอีเมล์อ้างถึง statement ที่บริษัทไมโครซอฟท์สำนักงานใหญ่ชี้แจงกับสื่อของสหรัฐอเมริกันไปก่อนหน้านี้ มีใจความโดยสรุปว่า การออกใบรับรองของรัฐบาลไทยสอดคล้องกับมาตรฐานที่ทางบริษัทไมโครซอฟท์วางเอาไว้ ซึ่งจะมีการตรวจสอบจากผู้ตรวจสอบภายนอกสม่ำเสมอ และไม่ถือว่ามีความเสี่ยงอย่างที่ทางพีไอประเมินเอาไว้

"Microsoft only trusts certificates issued by organizations that receive Certificate Authority through the Microsoft Root Certificate Program. This program is an extensive review process that includes regular audits from a third-party web trust auditor. Thailand has met the requirements of our program and you can review the details of the latest audits here and here. This thorough review, backed by contractual obligations is not reflected in Privacy International's assessment of the risks." - a Microsoft spokesperson


พบ ‘ไมโครซอฟท์’ อำนวยความสะดวกรัฐบาลไทย เข้าถึงข้อมูลระหว่างทาง

by กองบรรณาธิการ วอยซ์ทีวี
26 มกราคม 2560

Voice TV

องค์กรตรวจสอบความปลอดภัยในการใช้งานอินเทอร์เน็ตพบหลักฐาน ไมโครซอฟท์ช่วยรัฐบาลไทย เข้าถึงข้อมูลส่วนบุคคลของผู้ใช้ในประเทศ

Privacy International หน่วยงานตรวจสอบความมั่นคงและความปลอดภัยในการใช้อินเทอร์เน็ตพบว่าไมโครซอฟท์ บริษัทเทคโนโลยีชื่อดังของสหรัฐฯ อนุญาตให้รัฐบาลไทยเข้าถึงข้อมูลส่วนบุคคล และปล่อยมัลแวร์ด้วยการมอบสิทธิในการเข้ารหัส หรือ Encryption ให้กับเว็บไซต์ของหน่วยงานภาครัฐบาลแห่ง โดยผู้ที่ใช้ซอฟต์แวร์ของไมโครซอฟท์ไม่รู้ตัว ซึ่งการเข้ารหัสลักษณะนี้จะถูกบล็อกทันที หากผู้ใช้งานใช้ซอฟต์แวร์ของบริษัทอื่น เช่นกูเกิล หรือแอปเปิล

หน่วยงานดังกล่าวยังตรวจสอบพบหลักฐานว่าหน่วยงานภาครัฐของไทยยังมีส่วนเกี่ยวข้องในการเข้ารหัสเพื่อล้มระบบการใช้งานเฟซบุ๊กเมื่อช่วงปี 2014 หลักเหตุการณ์รัฐประหาร

ล่าสุดไมโครซอฟท์ชี้แจงผ่านเว็บไซต์ The Verge ว่าบริษัทปฏิบัติตามมาตรฐานด้านการเข้ารหัสอย่างเข้มงวด และไทยเป็นหนึ่งในประเทศที่ผ่านการรับรองความปลอดภัยการเข้ารหัส ตามมาตรฐานของ Web Trust หน่วยงานวิจัยด้านความปลอดภัยไซเบอร์อีกราย ซึ่งไม่เกี่ยวข้องกับการตรวจสอบจาก Privacy International

เว็บไซต์ The Verge รายงานเพิ่มเติมว่า ปัจจุบันมีเพียงไมโครซอฟท์บริษัทเดียวที่ปล่อยให้เว็บไซต์ของไทยสามารถเข้าถึงรหัส Encryption ของผู้ใช้งานอินเทอร์เน็ตในประเทศได้ ต่างจากแอปเปิล (Safari) กูเกิล (Chrome) และโมซิลลา (Firefox) ที่จะบล็อก Encryption เหล่านี้ทันทีที่เจอ.

Source: The Verge

Photo: AP

รายงานของ Privacy International

Who's That Knocking At My Door? Understanding Surveillance In Thailand