Security story behind the Paris attack

สัปดาห์ที่ผ่านมามีเหตุการณ์น่าสลดใจคือเรื่องการก่อวินาศกรรมที่ Paris ซึ่งก่อให้เกิดความสูญเสียครั้งใหญ่ หลังจากเหตุการณ์เกิดขึ้นทางกลุ่ม ISIS ซึ่งเป็นกลุ่ม Terrorist ก็ได้ออกมาบอกว่ากลุ่มตนอยู่เบื้องหลังการโจมตีในครั้งนี้ (http://www.businessinsider.com/isis-claims-responsibility-for-the-paris-attacks-2015-11)

ซึ่งทางกลุ่ม Anonymous ซึ่งเป็นกลุ่ม Hacktivist ชื่อดังก็ได้ออกมาประกาศ Campaign ที่ชื่อว่า OpParis เพื่อที่จะจัดการกับกลุ่ม ISIS

โดยเบื้องต้นทาง Anonymous ได้เริ่มจากการ List Twitter Accounts ของผู้ที่อยู่ร่วมกับกลุ่ม ISIS (http://pastebin.com/N9rPZ3Ar)

หลังจากที่กลุ่ม Anonymous ออกมาประกาศ OpParis ทางกลุ่ม ISIS เองก็มีการตอบโต้ผ่านทาง Telegram (เป็น Instant messaging application ที่มีความปลอดภัยสูง) โดยบอกว่ากลุ่ม Anonymous เป็นพวก Idiots พร้อมทั้งให้คำแนะนำในการป้องกันจากการถูก Hack

ซึ่งนี่คงเป็นจุดเริ่มต้นที่ทำให้เกิดสงครามทางด้าน Cyber ครั้งใหญ่ระหว่างกลุ่ม ISIS และ Anonymous ล่าสุดทาง Anonymous เองก็ได้ตอบโต้ ISIS แล้ว โดยการ Publish How-to Hacking Guide ออกมา โดยแบ่งเป็น 3 ส่วน คือ NoobGuide, Reporter, Searcher ซึ่งจุดนี้เป็นการใช้พลังของโลก Online ช่วยกันหาข้อมูลของที่เกี่ยวข้องกลับกลุ่ม ISIS (อยากลองอ่าน Guide สามารถไปหาได้จากใน Link นี้นะครับ http://thehackernews.com/2015/11/anonymous-hacker-isis.html)

นอกจากนี้ยังมีการกล่าวว่าหนึ่งในสาเหตุที่ Paris ถูกโจมตีนั้นเป็นเพราะ Edward Snowden ที่ได้ออกมาพูด ทำให้โลกตื่นตัวกับเรื่องของ Surveillance (หรือ การแอบ monitor ข้อมูลการใช้งานของประชาชน) ซึ่งทำให้กลุ่ม Terrorist ตื่นตัวมากขึ้นกับเรื่องการใช้ช่องทางสื่อสาร รวมถึงผู้คนทั่วในปัจจุบันเริ่มให้ความสำคัญกับ Encryption มากขึ้น

ในปัจจุบันทุกท่านคงเคยได้ยินข่าวที่หน่วยงานรัฐบาลต่างๆ มักมีการทำ Surveillance ซึ่งแน่นอนว่าถ้าเป็นช่องทางทั่วๆไป เช่น โทรศัพท์, Instant messaging application, Email ต่างๆ นั้นไม่น่าพลาดที่จะถูก Monitor อย่างไรก็ตามปัญหาหลักของการทำ Surveillance นั้นคือเรื่องของการทำ Encryption หรือการเข้ารหัสข้อมูลนั่นเอง

เกริ่นมานาน อยากพูดถึงประเด็นหลักของการทำ Encryption กับช่องทางการสื่อสาร

หน่วยงานรัฐบาลทั้งหลาย หรือ ในบางประเทศมีกฏหมายเกี่ยวกับ Standard ที่ใช้ในการทำ Encryption ซึ่งมันคงไม่เป็นประเด็นหากบังคับให้มีการใช้ Algorithm ที่ดี แต่โดยมากมักบังคับให้ใช้ Algorithm ที่ไม่ดี หรือว่า Key length ที่ไม่สูงนัก หรือแม้แต่อยากจะใส่ Backdoor เข้าไป เพื่อที่หน่วยงานรัฐบาลจะได้สามารถทำการ Decrypt ได้ จริงๆแล้วก็คืออยากให้มีการทำ Encrypt แหละ แต่อย่าให้มันซับซ้อนมากนะเดี๋ยวหน่วยงานจะถอดออกมาแอบอ่านไม่ได้

ซึ่งประเด็นนี้ค่อนข้าง Sensitive มากทีเดียว เพราะหน่วยงานรัฐบาลทั่วโลกจะใช้เป็นประเด็นว่าถ้าไม่สามารถแกะอ่านได้ อาจทำให้ไม่สามารถทำการเก็บรวบรวมข่าวได้ ซึ่งมีโอกาสพลาดที่จะตามจับ หรือ เข้าถึง ข้อมูลที่มีการวางแผนโดยผู้ก่อการร้ายกลุ่มต่างๆ

แน่นอนว่าถ้าเข้าถึงข้อมูลไม่ได้ ก็มีความเสี่ยงต่อชีวิตและทรัพย์สินของประชากรแน่ๆ แต่อย่างไรก็หากแกะอ่านข้อความได้มันก็เป็นการรุกรานเรื่อง Privacy ของประชากรทุกๆคนด้วยเช่นกัน มันเป็นสิ่งที่ค่อนข้างยากที่จะตัดสินประเด็นนี้ว่าควรทำอย่างไร มันจำเป็นหรือไม่ที่ทุกคนจะต้องสละสิทธิ์ในการปกป้อง Privacy ของตนเอง เพื่อป้องกันการก่อการร้าย

ถ้ามีคนบอกว่าเพื่อป้องกันการก่อการร้าย จะต้องอนุญาตให้ทำ Surveillance ได้ ซึ่งทางเทคนิคก็คือการไม่ทำ Encryption นั่นแหละ (รวมถึงการใช้ Algorithm ที่ไม่ดี หรือ ใช้ Key Length ต่ำ) มันก็คงเหมือนกับ กรณีที่กลุ่มผู้ก่อการร้ายขับรถเพื่อใช้เป็น Car Bomb แล้วสั่งให้ทุกคนห้ามขับรถ

"Encryption is for everyone or no one" หลักการทำ Encryption นั้นมีพื้นฐานมาจากคณิตศาสตร์ มันเป็นไปไม่ได้ว่าจะอนุญาตให้เฉพาะคนทั่วไปใช้วิธีการ Encryption แต่ห้ามกลุ่มผู้ก่อการร้ายใช้วิธีการ Encryption ดังนั้นสิ่งที่มาคู่กับการปกป้อง Privacy ของตัวเองนั้นก็คืออาจจะมีผู้นำเทคนิคเดียวกันไปใช้เพื่อทำสิ่งไม่ดีเช่นกัน

และล่าสุดได้มีการแชร์เรื่อง Security Ranking ของ communication application ซึ่งเป็นข้อมูลที่ทาง ISIS ทำไว้เมื่อเดือนมกราคม เพื่อให้ผู้ติดตามของ ISIS สามารถหลีกเลี่ยงจากการทำ Surveillance โดยหน่วยงานรัฐบาลได้

ซึ่งจากข้อมูลนับว่าสนใจอย่างมาก เพราะ Application อย่าง Line ที่มีการใช้อย่างแพร่หลายในประเทศไทยนั้นอยู่ในกลุ่ม "Unsafe"