![[9Choo|Diary]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjE5Uyg7krY7ci7sTD8cbMgXnZnHuwHCKh1K6EaO6RueBFQAC3WR8cOTaOZ2_0lhX_t7MkPusQcHCb98dOD2_x1y9_Rvxa969QPBr4VRTbQ7pKP5mIFoc8MQhODNhNfFoC4nBEEZ_FkoA/s1600-r/HeadBlogDiary.png)
 |
| หนังสือ+กระเป๋า แจกตอนลงทะเบียน เอกสารนี่เป็นปึ้งง อิอิ |
 |
| เนื้อหาอบรมก็ประมาณนี้ตลอด 3 วัน |
Section อินเตอร์เน็ตทำงานอย่างไร
โดย พี่ฟอร์ด อรรณพ สุวัฒนพิเศษ @FordAntiTrust
ความมั่นคงปลอดภัยทางคอม
1. Confidentiality ความลับ
- Access Control > Authentication
2. Integrity ความถูกต้อง
- Prevention ป้องกัน/Detection ตรวจสอบ
3. Availability
สร้างระบบให้มั่นคง
1. Disaster recovery plan แผนกู้คืน
- Backup / RAID
2. Distributed, Fault-tolerant, High-availability and Clustering computer systems กระจายการทำงาน
3. Intrusion Detection System ตรวจผู้บุกรุก
- Firewall / Antivirus
4. Information security audit
5. Digital Certificate
6. Encryption
7. Digital Signature
มีพูดไปถึง TLS/SSL , HTTP/HTTPS , Digital certificates , CA: Certificate Authority, VPN , OpenPGP , Tor , Multi-Factor Authentication
- Some thing you have
- Some thing you know
- Some thing you are
ภัยคุกคาม และการโจมตี (เปิดเผย/หลอกลวง/ขัดขวาง/ควบคุมระบบ)
Attacker = เจาะระบบโดจไม่ได้รับอนุญาติ
- Keystroke logging ดักข้อมูลจากคีย์บอร์ด
- Vulnerability and Zero Day Exploit ช่องโหว่โปรแกรม
- Malware ไวรัส สปาย โทจัน etc.
- Spam mail
- DoS ยิงถล่มเยอะๆจนเป้าหมายตายย
- Sniffer คุกคามโดยไม่ได้เปลี่ยนแปลงข้อมูล ดักจับข้อมูลอย่างเดียว
- Phishing เมลล์หลอก
- DNS Spoofing and Pharming
- Man in the middle Attacks คุกคาม ดักจับ เปลี่ยนแปลงข้อมูลและถอดรหัสข้อมูล
- self-signing/untrusted Certificate Authorities ปลอม เว็บหลอก
- Cross-site Scripting ฝั่งเข้ามากับสคริป CSS-XSS
- ClickJacking ใช้ iframe หลอก
Section Cybercrime อาชญากรรมไซเบอร์
ดร.จอมพล พิทักษ์สันตโยธิน คณะนิติศาสตร์ ม.หอการค้าไทย
ในขณะอินเตอร์เน็ตถูกใช้เป็นเครื่องมือในการสื่อสาร อีกด้านนึงถูกใช้เป็นเครื่องมือประกอบการอาชญากรรม
ตัวอย่าง
- Twitter U.S. Central Command (CENTCOM) ถูก hack โดย ISIS
- นายกท่านนึงโดน Hack website ของรัฐบาลเพื่อด่าทอ
- ข้อมูลส่วนตัวของพนักงาน บ. Sony โดน hack มาปล่อย
,
อาชญากรรมไซเบอร์ ยังไม่มีคำจำกัดความ
-Tomas กับ Lolane กิจกรรมที่ใช้คอมพิวเตอร์เป็นสิ่อกลางที่ผิดกฏหมายหรือละเมิดต่อบรรทัดฐาน (illicit) และดำเนินการผ่านเครือข่าย
ในเชิงกฏกฏมาย การกระทำที่กฏหมายกำหนดให้เป็นความผิดทางอาญา
ในเชิงสังคมวิทยา การที่แสดงหรือส่อเจตนาและอันตรายต่อความสงบเรียบร้อยของสังคม
-พฤติกรรมเบี่ยงเบน (deviance) ที่ละเมิดต่อบรรทัดฐาน (norm) ปละก่อนให้เกิดความเสียหาย (harmful)
กฏหมายยังไม่ให้เป็นการกระทำความผิด = การเฝ้าติดตาม รังควาน (strokeing) > ส่องเฟสแล้ว inbox จีบ พอไม่รับรัก ก็ส่งข้อความไปด่าทอ เอารูปของเขาไปเปิดเพสใหม่ขายบริการ
การล่าแม่มดในโลก online ละเมิดความเป็นส่วนตัว?
กฏหมายอังกฤษมี ไทยยังไม่มี
Internet เครือข่ายคอมพิวเตอร์ - มองในแง่โครงสร้าง
Cybetspace พื้นที่เสมือนที่อยู่จากการเชื่อมต่อของเครือข่ายคอมพิวเตอร์ - มองแง่พฤติกรรมมนุษย์
อาชาญากรรมเรารู้จักกันอยู่ในรุ่นที่ 3
รุ่นที่ 1 อาชญากรรมที่ขึ้นกับคอมพิวเตอร์โดดๆโดยไม่ได้เชื่อมต่อกับเครือข่ายใดๆ เช่น บริษัทเก็บข้อมูลในคอม แล้วมีคนเอาค้อนมาทุบข้อมูลในนั้นเสียหาย (พรบ. คอม เข้าถึงทางกายภาพ?)
รุ่นที่ 2 เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์ที่มีการเชื่อต่อกัน ส่งไวรัส-เวิร์ม, hack ระยะไกล
รุ่นที่ 3 อาชญากรรมเกิดโดยโปรแกรมคอมพิวเตอร์ที่ตั้งไว้ให้ดำเนินการเองโดยอัตโนมัส เช่น Spam Mail
ปัญหา พรบคอม ใช้คำว่า ผู้ใด=คน แต่กรณีที่กระทำโดยตัวโปรแกรมล่ะ ?
เข้าเว็บโป๊แล้วติดไวรัส เราโดนกระทำ (ในกฏหมายต้องมี เจตนา)
Cybercrime แบ่งได้
1.กระทำตามผิดแบบดั้งเดิม ต่อให้ไม่มีคอมหรืออินเตอร์เน็ตก็เกิดขึ้น เช่น หมิ่นประมาท ฉ้อโหง ข่มขู่
2. การกระทำผิดที่มีคอมพิวเตอร์เข้ามาด้วย ช่วยให้กระทำความผิดง่ายและขยายวงกว้งกว้างมากขึ้น
พรบคอม กำหนดให้ความผิด ปี 2550 เป็นต้นมา
การกระทำที่ต้องมีคอมพิวเตอร์?
อาชญากรรมทางเนื้อหา การกระทำกับเนื้อหาที่ถือว่าเป็นความผิดกฏหาย เช่ย การเผยแพร่สื่อลามก การหมิ่นศาสนา ปฏิเสธการฆ่าล้าง
กฏหมายที่เกี่ยข้อง
พรบ ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ พ.ศ. 2550
อนุสัญญาว่าด้วยอาชญากรรมไซเบอร์
ปัญหา การกระทำเกิดนอกประเทศ มีกฏหมาย รู้ว่าทำผิด แต่ทำอะไรไม่ได้ ถ้าประเทศไม่มีสทธิสัญญาส่งผู้ร้ายข้ามแดน
Section Internet content Regulation การกำกับดูแลเนื้อหาบนอินเตอร์เน็ต
ดร.จอมพล พิทักษ์สันตโยธิน คณะนิติศาสตร์ ม.หอการค้าไทย
รัฐสามารถทำผิดพลาดได้และมีแนวโน้มทำพลาดได้
Content-basedRegulation
การเข้าไปดูแลการเข้าถึงและการเผยแพร่ความคิดเห็น ข้อความคิด บลาๆ ในรูปแบบต่างๆ
Content Regulation
- Censorship ปิดกั้นเนื้อหา
- Conditional Access and Dissemination การกำกับดูแลอย่างมีเงิ่อนไข ไม่ได้ปิดกั้นไปเลย ยอมให้มีการเผยแพร่หรือเข้าถึงได้โดยมีเงื่อนไขบางอย่าง
มาตารการคัดกรองการเข้าถึงข้อมูล (No Regulation)
State Regulation
- รัฐเข้ามา ใช้มาตรการทางกฏหมาย
- มีหน่วยงานรัฐบาลเป็นผู้ดำเนินแต่เพียงผู้เดียว
Self-Regulation
-มีกฏระเบียบและมาตรการของตัวเอง โดยกฏหมายหรือรัฐไม่ได้กำหนด
-ผู้ดำเนินมาตรการเป็นองค์กรเอกชน ไม่ใช่รัฐ เช่น ISP ถ้าเจอก็แจ่งให้เนื้อหาเอาออก
-กำหนดเกณฑ์พิจารณตัวเองโดยไม่มีรัฐมาแทรกแซง
-ที่บ้านพ่อแม่เอา app ลงเพื่อ filter เว็บโป๊ ในระดับ user
- ASACP | Association of Sites Advocating Child Protection
Co-Regulation
-ร่วมมือระหว่างรัฐและเอกชน
-เอกชนจะเป็นหลักในการดำเนินมาตรการกำกับดูแล
-หน่วยงานรัฐสนับสนุน เช่น ดำเนินการทางกฏหมาย
-องค์กรเอกชนเป็นศูนยศ์กลางระหว่างเอกชนด้วยกันเอง และเป็นตัวแทนของเอกชนในการประสานงานกับรัฐ
นโยบายของ European Union
-ต้องอยู่บนพื้นฐานของ freedom of expression ปกป้องศักดิศรีความเป็นมนุษย์และเด็ก
-จำกัดสิทธิตรงนั้นได้ แต่ต้องมีกฏหมายภายในกำหนด
-สนับสนุนให้แต่ละประเทศสมาชิก ใน Self-regulation
แบ่งเนื้อหาที่ผิดกฏหมายออกจากเนื้อหาอันตราย
- Illegal content – child pornography ห้ามดำเนินการทางกฏหมาย
- Harmful Content เนื้อหาที่ไม่ผิดกฏหมาย ผู้ใหญ่เข้าถึงได้ แต่อาจเป็นอันตรายต่อเด็ก เช่น สิ่อโป๊ธรรมดา -> ต้องให้ห่างจากเด็ก สนับสนุนให้อุตสาหรรม IT สร้างความตระหนักรู้ filtering and rating systems / awarenessraising/ media literacy , EU ให้เงินไปพัฒนา Tool แต่ไม่เข้าไปแทรกแซงกฏหมาย
โป๊/ลามก เห็นหมด เห็นส่วนใหญ่ เปิดเผยร่างกาย
อนาจาร = การกระทำเลวทราม ล่วงละเมิดทางเพศลักษณะไม่เหมาะสม ไม่ต้องร่วมเพศ
การกำกับดูแลเนื้อหามาไทย
1.หน่วยงานรัฐดำเนินเป็นหลัก
2.ให้อำนาจรัฐ ม.20 block แมร่งง
3.ส่วนใหญ่จะเป็นมาตรการปิดกั้น censor
4.มี Self-regulation เช่น pantip > กระทู้โดนลบ โดนอุ้ม > ลดความโปร่งใส ละเมิดยังไงตรงไหน
5.มีองค์กรเอกชนที่ทำหน้าที่เป็น hotline เช่น thaihotline.org
6.หน่วยงานรัฐก็มี hotline เช่น 1212 ของ MICT
hotline ทั้งสองไม่ประสานงานกัน ต่างคนต่างทำ คนล่ะมาตรฐานกัน
กระบวนการ Block web ตาม ม.20
แจ้ง > MICT ปราบปรามเทคโนโลยี > sent block list+คำร้องขอ ออกหมาย> ศาลโอเค > ส่งไป ISP
พรบ. คุ้มครองข่าวสาร (คุ้มครองความเป็นส่วนตัว) pavicy ของนิติบุคคล
Section พรมแดนกับอินเตอร์เน็ต : ขอบเขตอำนาจศาลและความร่วมมือระหว่างประเทศในเรื่องอาญา
โดย พ.ต.อ.ดร.ชิตพล กาญจนกิจ ผู้กำกับการฝ่ายสนธิสัญญาและกฎหมาย กองการต่างประเทศ
หน้าที่ตำรวจสากล
1.ส่งผู้ร้ายข้ามแดน
2.ความร่วมมือทางอาญา
พม่า,ต่างด้าว,เขมร,เวียดนาม กฏหมายไม่อนุญาติ แต่รัฐบาลให้อยู่ชั่วคราว
สิทธิสภาพนอกอณาเขต > เขาบอกว่าไทยเถื่อน ล้าสมัย
**ข้อมูลไม่ใช่ทรัพย์หาค่าไม่ได้ เลยขายข้อมูลได้
หลักการทั่วไปในการส่งผู้ร้ายข้ามแดน 9 ข้อ
1. ความผิดอายุความ 1 ปีขึ้นไป
2. ความผิด 2 รัฐ (ต้องมีกฏหมายความผิดในรัฐนั้นด้วย)
3. ไม่ใช่ความผิดเกี่ยวกับการเมือง ความมั่นคง เชื้อชาติ ศาสนา จับแล้วไม่เกิดความแตกแยก
บลาๆ ...
การส่งผู้ร้ายข้ามแดนปัจจุบัน
1. Extradition laws : ส่งแบบปกติ ดำเนินทางกฏหมาย ใช้รยะเวลานาน ขั้นตอนเยอะ
2. MLA : เป็นระบบกลางของประเทศสมาชิกที่เข้าร่วม ปีล่ะ 3 ล้าน ช่วยล่นระยะเวลาทางกฏหมายปกติในการส่งผู้ร้ายข้ามแดน หลักการ ประเทศต้นทางยกเลิก Visa จากนั้นแจ้งเข้าระบบ ประเทศปลายทางทราบจะไปจับกุมตัวในข้อหาเข้าเมืองโดยผิดกฏหมาย ( Visa ถูกยกเลิก) จากนั้นจะส่งตัวผลักดันออกนอกประเทศ โดยมีประเทศต้นทางมารับช่วงต่อ
ไม่ส่งคนของประเทศตัวเองไปรับโทษอีกประเทศ (กฏหมายแต่ล่ะบ้านไม่เหมือนกัน)
Section คนกับสังคมยุคอินเตอร์เน็ต : การวิจัยด้านอินเตอร์เน็ตกับวิธีวิจัยทางสัมคมวิทยาและมนุษยวิทยา
โดย อาจารย์ธิติมา อุรพีพัฒนพงศ์
ทุกคนมีสิทธิที่จะเข้าถึงและรับรู้ข้อมูล?
อินเตอร์เน็ต เป็น International concers? (เน็ตหลุดมาจากรัฐจึงใช้ Inter)
ข้อมูลส่วนตัวถูกซื้อขายโดยไม่สามารถควบคุมได้เลย (ไม่มีกฏหมายควบคุม)
- เทคโนโลยีรู้ใจ > ละเมิด privacy
- กฏหมายสิทธิบัตรให้จดได้โดยไม่สน privacy
ลักษณะเฉพาะกฏหมายระหว่างประเทศ
- ความยินยอมของรัฐ สำคัญมากในการก่อเกิดกฏหมายระหว่างประเทศ แต่ ** เหตุผลชอบธรรมแค่ไหน แต่ถ้ารัฐไม่ยินยอมด้วย ก็ทำอะไรไม่ได้
- ทุกรัฐมีอำนาจสูงสุดในดินแดนตนเอง
- สภาพบังคับ แต่ก็ไม่ได้สุดทาง เพราะว่าไม่ทำตามก็ไม่สามารถทำอะไรได้ ไม่มีกองกำลัง UN ที่สามารถไปจัดการได้ แต่ถ้าตอนพูดคุยระบุไว้ว่าถ้าไม่ทำตามจะให้ศาลโลกตัดสิน อันนี้ต้องทำตาม
เครื่องมือระหว่างประเทศ > กดดันประเทศนั้นให้เปลี่ยนแปลง
เช่น งาช้างในไทย เราไปเข้าร่วมแต่ไม่ร่วมมือ โดนกดดันว่า หากไม่ดูแลจัดการตามที่คุยกัน จะจำกัดการส่งออกกล้วยไม้ไทย จึงต้องยอมทำตาม
เขตอำนาจรัฐ เช่น การก่อการร้าย ไฮแจ๊คเครื่องบิน สามารถฟ้องร้องประเทศนั้นได้ , อาชญากรรมในทะเลหลวง ก่อการร้าย โจรสลัด (ไม่ได้ของประเทศใด) ให้รัฐใดก็ได้ที่พบเห็น ใช้อำนาจรัฐตัวเองเข้าไปดำเนินจับกุมได้
กฏหมายระหว่างประเทศ ถ้ายอมรับสนธิสัญญาแล้ว กฏหมายภายในประเทศยังขัดอยู่ ก็ต้องแก้ในรัฐตัวเอง ไม่สามารถเอาเหตุผลนี้มาเป็นข้ออ้างได้
กลุ่มกิจการธนาคาร ประกันภัย
- สมัครบัตรเครดิต บังคับให้เปิดเผยข้อมูลแก่บริษัทในเครือทั้งหมด * ข้อสัญญาไม่เป็นธรรม
- บันทึกเสียง ต้องขอความยินยอม ? ไม่มีกฏหมายรับรองการอัดเสียง
- ขายประกันทางโทรศัพท์ได้ ยกเลิกในเวลาที่กำหนดได้
เสรีภาพในการแสดงออก
- แต่ละรัฐมีสิทธิบน internet ที่ต่างกัน
เช่น Yahoo Case มีการเสนอขายของที่ระลึกนาซี มุมองฝรั่งเศษ > เหยีดหยามเชื้อชาติ
ศาลฝรั่งเศษตัดสินให้ yahoo จำกัดการเข้าถึงเนื้อหาจากฝรั่งเศษ
YouTube ฟ้องศาล USA ให้คำสั่งศาลฝรั่งเศษถูกไม่รองรับ เพราะส่งผลต่อการแสดงออกใน USA
 |
| ปิดท้ายด้วยการ discuss ความรู้ทั้งหมดทั้ง 3 วัน |
ก็สรุปที่นึกออก+โน๊ตไว้ก็ประมาณนี้ครับ เอาจริงๆมาเขียนตอนนี้ก็มีลืมไปเยอะล่ะ 5555 ถ้ามีรุ่นต่อไป ใครที่ว่างๆก็ลองสมัครไปดูครับ งานนี้ผู้จัดจัดได้ดีมาก แล้วก็ Speaker แต่ล่ะท่านก็พูดดี สามารถเห็นความเชื่อมโยงแต่ล่ะ Section เข้ากันได้หมด พูดเลยว่าได้ความรู้เยอะมาก ผมเรียนวิศวะนี่รู้กฏหมายเกี่ยวกับเรื่องพวกนี้น้อยโครตๆ พอมาได้เข้าได้ฟังผู้ที่มีความรู้เรื่องนี้มาพูด มาถกเถียงแลกเปลี่ยนความคิดเห็นกัน โครตจะได้อะไรเยอะเลยครับ ลองดูครับ ไม่ผิดหวังจริงๆ
