Skip to content

เก็บ Log ตามพรบ.ได้ 100%…จริงหรือ ?

เก็บ Log ตามพรบ.ได้ 100%…จริงหรือ

ลูกค้าที่กำลังคิดจะซื้อ Firewall ย่อมจะต้องถามผู้ขายว่า Firewall ของคุณสามารถเก็บ Log ตามพรบ.ได้ใช่ไหม ซึ่งผู้ขายมักจะตอบว่า “ทำได้ 100% จ้า” ซึ่งมักจะเป็นคำตอบที่ถูกเพียงบางส่วน

มีความจริงอยู่ 2 เรื่องที่อยู่บนหน้าจอของเราตลอดเวลา 

ความจริงที่ 1 : เรื่องของ POST และ GET

หน้า web ที่เราเห็นผ่าน Browser ก็คือ Command ที่ใช้คุยกันระหว่าง Browser และ Web server ซึ่งมีอยู่ 2 Command ที่ พรบ. ให้ความสนใจคือ คำสั่ง POST (Browser ทำการ Post ข้อมูลไปยัง Web site) และคำสั่ง GET (Browser ขอ Get ข้อมูลมาจาก Website)

เราโหลดอะไรจาก website มาแสดงบน Browser ของเรา พรบ.ต้องการให้เราเก็บว่า มีการใช้คำสั่ง GET จาก Client เครื่องนั้น ๆ และ พรบ.ก็ต้องการให้เราเก็บว่า ผู้ใช้ (Browser) มีการใช้คำสั่ง POST เพื่อส่งข้อมูลไปยัง website เช่น การโพสข้อความต่าง ๆ ไปยังกระทู้

ความจริงเรื่อง 2 : HTTPS

สังเกตว่า เวลาที่จะทำธุรกรรมกับ webiste ของธนาคาร หรือ Login เข้า Facebook ที่บรรทัด URL ของ Browser จะมีรูปกุญแจสีเขียวขึ้นมา แสดงว่า เรากำลังติดต่อกับ website ด้วย HTTPS ตัว S ก็แปลว่า มีการเข้ารหัสข้อมูล

เข้ารหัส แปลว่า Encrypte ข้อมูลก่อนส่งออกจาก Browser อุปกรณ์ตรงกลาง เช่น AP, Switch, Router, Firewall, ฯลฯ จะไม่สามารถอ่านข้อมูลเหล่านั้นได้เลย ได้แต่เพียงส่งข้อมูลให้ web server เท่านั้น คนเดียวที่มีกุญแจในการแกะข้อมูล (Decrypte) นั้นออกมาได้คือ web server

การเข้ารหัส เกิดขึ้นทั้งขาไปและขากลับ

การเข้ารหัส ไว้ใจได้มากพอที่คนเป็นจำนวนมากทั่วโลก สามารถจะส่ง Password ของ Facebook ผ่านทาง Browser เดินทางข้ามอินเตอร์เน็ต ไปถึง Facebook ได้อย่างปลอดภัย เช่นเดียวกับ website ของธนาคารทุกแห่ง

1 + 2 ทำให้คิดได้ว่า...

ยกตัวอย่างเช่น เราใช้ Browser เปิดหน้า Login ของธนาคาร เราป้อน Username และ Password เมื่อกดปุ่ม Login นั่นคือ Browser ของเราก็ผลิตคำสั่ง POST ขึ้นมาเพื่อส่ง Username และ Password ไปให้ธนาคาร

คำสั่ง POST ถูกเข้ารหัสก่อนออกจากเครื่อง ตามเงื่อนไขของ HTTPS

Firewall ไม่สามารถแกะ HTTPS ได้ ก็ไม่สามารถเก็บคำสั่ง POST นั้นได้ ก็เท่ากับผิดตาม พรบ.นั่นเอง

ยกตัวอย่างเช่น เราเปิดหน้า Facebook และเราก็ป้อนข้อความดูหมิ่นผู้อื่น ซึ่ง Facebook ก็ใช้ HTTPS แปลว่า Firewall ย่อมไม่สามารถมองเห็นคำสั่ง POST นั้นได้ จึงไม่สามารถเก็บ Log เอาไว้ได้

คำถาม-คำตอบ

ถาม: แล้วอย่างนี้ จะต้องเรียงหน้าเข้าคุกกันทั่วประเทศ ?
ตอบ: เพราะ HTTPS ออกแบบมาเพื่อต่อต้านการแกะรหัส ปกปิดข้อมูล แต่ พรบ.บังคับให้เราต้องเก็บข้อมูลในสิ่งที่ถูกเข้ารหัส สิ่งที่เจ้าของข้อมูลจงใจปกปิดไว้ด้วยการเข้ารหัส ย่อมทำได้ยากมาก กฎหมายขัดแย้งกับความจริงทางเทคโนโลยี ขัดแย้งกับคนทั้งโลก การไม่เก็บ Log จาก HTTPS ก็ถือเป็นการกระทำความผิด (ไม่ได้เก็บ Log ตาม พรบ.) ในลักษณะที่ศาลน่าจะให้ความเป็นธรรมได้

ถาม: ไม่เก็บ Log ของคำสั่ง POST หรือ GET งั้นเก็บ URI ก็ยังดี (URL บน Address bar ของ Browser)
ตอบ: เวลาที่เปิดเวบธนาคาร และเรากดที่ Link สิ่งที่เกิดเบื้องหลังคือ Browser ของเราก็จะส่ง Link นั้นไปยัง web server ผ่าน HTTPS เช่นกัน คือ แม้แต่ URI ที่เราจะเปิด Address ก็ถูกเข้ารหัสด้วยเช่นกัน

ถาม: แล้วปัจจุบัน มีอะไรที่ใช้ HTTPS ที่เราเก็บ Log ไม่ได้ และเป็นความผิดตาม พรบ.บ้าง
ตอบ: คำตอบคือ แทบจะทุกอย่าง เช่น
              – Dropbox (จัดเป็นบริการโอนแฟ้มข้อมูล)
              – E-mail ที่ติดต่อกันด้วย TLS (จัดเป็นบริการจดหมายอิเล็กทรอนิคส์)
              – Web server ทุกแห่งที่ใช้ HTTPS สำคัญ ๆ เช่น Facebook, Twitter, (จัดเป็นบริการ web)
              – Line ก็เข้ารหัสข้อมูลด้วยเช่นกัน (จัดเป็นบริการโต้ตอบกันบนเครือข่าย) และบริการเหล่านี้ ก็เริ่มหันมาเข้ารหัสกันมากขึ้น

ถาม: แล้ว Firewall ยี่ห้อที่เขาอ้างว่า เก็บข้อมูลได้ตาม พรบ. 100% หมายความว่าอย่างไร
ตอบ: เขาพูดไม่ครบ มันจะมีคำว่า “แต่….” แฝงอยู่ด้วยเสมอ ซึ่งลูกค้ามักไม่ถามต่อ แค่ได้ยินว่า 100% ก็ซื้อแล้ว บทความนี้คือการนำเบื้องหลังของคำว่า “แต่…” มาขยายให้ได้อ่านกัน

ถาม: อยากรู้ว่า Firewall ที่ใช้อยู่ หรือที่กำลังจะซื้อ เก็บตาม HTTPS ตามพรบ.ได้ หรือไม่ จะทดสอบได้อย่างไร
ตอบ: วิธีตรวจสอบว่า เก็บตาม พรบ.ได้ 100% หรือไม่ ก็แค่การทดสอบเดียวง่าย ๆ คือ เราเปิด Facebook และโพสข้อความ หรือเปิด web ของธนาคาร และ Login จากนั้น ให้ผู้ขายหรือ Admin แสดง Log ว่า Browser ของเราได้มีการส่งคำสั่ง POST ไปยังผู้ให้บริการ (Facebook หรือธนาคาร)

ถ้าไม่สามารถแสดงได้ แสดงว่า Firewall นั้นเก็บ Log ตาม พรบ.ไม่ 100%

ถ้าแสดงได้ และแสดง Password ที่คุณป้อนที่หน้า web ของธนาคารนั้นออกมาด้วย แนะนำให้ติดต่อกับ Vendor ของ Firewall นั้นโดยด่วน เพราะอันตรายมากที่ Password รั่วไหล

Log ที่ดี จะแสดงเพียงคำสั่ง POST, GET และคำสั่งอื่น ๆ เท่านั้น ไม่แสดงข้อมูล

สำหรับ WatchGuard เราสามารถแสดงคำสั่ง POST และ GET ของ HTTPS ได้ โดยจะแสดงเฉพาะคำสั่ง ส่วนข้อมูลของคำสั่ง (Password หรือ post Message) จะไม่มีการแสดงออกมา และ XTM ได้ถูกออกแบบมาให้

การถอดรหัสข้อมูลนั้น เกิดขึ้น “ภายใน Silicon chip ตัวเดียว” ไม่สามารถจะ Tab ข้อมูลที่ถูกถอดรหัสแล้ว ออกมาแงะดูข้อมูลภายในคำสั่ง POST หรือ GET ได้

ทั้งนี้ การแกะ HTTPS อาจจะทำให้การเปิดดู website บางแห่งทำไม่ได้ ตามมาตรการรักษาความปลอดภัยที่เข้มงวดของ website นั้น ๆ นอกจากนี้ การแกะ HTTPS ยังใช้ CPU เพื่อการ Encrypt/Decrypt ค่อนข้างมาก

ดังนั้น XTM ส่วนใหญ่เรามักจะไม่ได้เปิด DPI (Deep Packet Inspection) ให้กับ HTTPS ซึ่งทำให้การใช้อินเตอร์เน็ตลื่นไหลได้ดีกว่า แม้การเก็บ Log จะมีบกพร่องไปบ้างก็ตาม

หมายเหตุ
       ในหลาย ๆ คดีเกี่ยวกับอาชญากรรมทางเทคโนโลยี ทางกองปราบฯ (บก.ปอท.) ก็ได้ขอความร่วมมือจากแหล่งอื่น ๆ เช่น เจ้าของ website หรือเจ้าของ Hosting server หรือ ISP ในการรวบรวมข้อมูลผู้กระทำความผิดเพื่อมาเป็นหลักฐานประกอบการพิจารณาคดี (หลักฐานไม่ได้มาจาก Log ของ Firewall ฝั่งผู้ใช้เพียงฝ่ายเดียว) และยังไม่

      พบว่า มีการเอาผิดต่อผู้ให้บริการ ที่ไม่ได้เก็บข้อมูลจาก Encrypted protocol ในขณะที่การดำเนินคดีก็สามารถดำเนินได้ถึงที่สุด จนสามารถพิจารณาคดี และตัดสินลงโทษผู้กระทำความผิดได้หลายคดีแล้ว

แม้ว่าพวกเราจะเก็บ Log จาก HTTPS ได้หรือไม่ได้ก็ตาม…