ทำอย่างไรให้ไร้ตัวตนบนอินเทอร์เน็ต (How be anonymous on internet)

นาน ๆ จะกลับมาเขียนบทความกึ่ง ๆ วิชาการที
เนื่องจากช่วงนี้เราเห็นข่าวการละเมิด privacy มากมายเกินไปแล้ว

ออกตัวไว้ก่อนว่าข้าพเจ้าสนับสนุนความเสรีแบบสุดขั้ว สนับสนุนความวุ่นวาย การถกเถียง ทะเลาะเบาะแว้ง
ดังนั้นจุดยืนของข้าพเจ้าคือการสนับสนุนให้คนไร้ตัวตน (anonymous) เมื่อพวกเขาต้องการ

คำว่า ไร้ตัวตน หรือ anonymous ในที่นี้คือการที่เราสามารถคง privacy ของเราไว้ได้เมื่อต้องการ
untraceable, unidentified

เล่าคร่าว ๆ ถึงการติดตามตัวกันบน internet ก่อน
หากอยากรู้ว่าใครสักคนคือใคร ง่ายที่สุดก็คือไปดูชื่อและข้อมูลของเขาผ่าน internet
กระบวนการนี้เราเรียกว่าการ reconnaissance (อ่านว่า เลอคอนเนอซองค์) คือการสอดส่อง หาข้อมูลเช่น
หาจาก google แล้วเอาข้อมูลมาประติดประต่อกัน เราอาจจะได้ social media ของเขารู้ว่าเขาสนใจอะไร มีเพื่อนเป็นใคร มีความคิดเห็นอย่างไร อาจจะได้ email ส่วนบุคคล, blog, นามแฝง แล้วก็ทำแบบนี้ซ้ำไปเรื่อย ๆ

แล้วหากคนนั้นไม่เปิดเผยชื่อละ?
ถ้าเขาไม่เปิดเผยชื่อให้คนภายนอกรับทราบ แต่มี login account อยู่บนระบบอะไรสักอย่าง
เป็นไปได้ที่ระบบจะให้ความร่วมมือในการระบุตัวตนของคนนั้นผ่านข้อมูลที่กรอกตอนสมัครเอาไว้
กรณีมักมีเรื่องของอำนาจรัฐมาเกี่ยวข้องด้วย เช่นอาจจะทำความผิดบน internet แล้วตำรวจมีหมายศาลขอดูข้อมูล แต่มักไม่ได้ผลกับผู้ให้บริการต่างประเทศ (เว้นแต่เป็นเรื่องซีเรียสจริง ๆ เช่นการก่อการร้าย)
หรือผู้ให้บริการบางรายมีแนวโน้มที่จะมอบข้อมูลให้ง่ายมากเกินไปเช่นกรณีข่าว การตามผู้ต้องหาจาก หมอพร้อม

หรือหากตอนสมัครเขาใส่ข้อมูลปลอมมาละ?
ระดับถัดไปคือการตามจาก IP address
IP address เสมือนที่อยู่ของเราบน internet ที่จะไม่ซ้ำกันในช่วงเวลาใดเวลาหนึ่งในโลก
ดังนั้นหากรู้ IP address แล้วตามจากผู้ให้บริการ internet ก็สามารถที่จะระบุคนใช้งาน หรือตำแหน่งของผู้ใช้งานได้
ในกรณี internet บ้านก็จะรู้ได้เลยว่าใช้ internet จากบ้านหลังไหน
ในกรณีมือถือก็รู้ว่าคนจดทะเบียนเป็นใคร ใช้จากเครื่องไหน
แบบนี้จะต้องได้รับความร่วมมือจากผู้ให้บริการ internet และเหมือนเดิมคือผู้ให้บริการในประเทศมีแนวโน้มที่จะให้ข้อมูลมากกว่าผู้ให้บริการจากต่างประเทศ

ตัวอย่างคือกรณีการแก้ไขข้อมูลของหมอท่านนึงบน Wikipedia

สุดท้าย ถ้าเกิดคนนั้นปิดบัง IP address ได้ละ?
ขั้นนี้คือยากแล้ว วิธีการจะต้องผสมผสานระหว่างเรื่องของเทคโนโลยีกับการหลอกลวง (Social Engineering)
ถ้าเอาแบบง่าย ๆ อาจจะหลอกล่อให้เหยื่อ (คนที่เราต้องการติดตามตัว) กด link ที่เราทำไว้พิเศษ เรียกว่า
tracking link เมื่อใครกด link นี้เราจะได้ข้อมูล IP address ของเขา, cookie บางตัว, ชนิดของอุปกรณ์, ชนิดของ browser และอาจตั้งค่า cookie อย่าง pixel ได้เพื่อประโยชน์ในการตามตัวอื่น ๆ ในอนาคตก็ได้

tracking link อาจมาในรูปแบบไหนก็ได้ เช่นมาเป็น link ข่าว, QR code หรือแม้แต่ SMS

จริง ๆ พอเอา social engineering มาผสมทำให้ท่าการโจมตีสามารถถูกผสมปนเปได้อีกเป็นร้อย ๆ วิธี ขึ้นอยู่กับความเก๋าเกมส์ของคนแต่ละคนเลย

ดังนั้นการตามตัวคนบน intenet อาจจะทำได้ไม่ง่าย แต่หากมีอำนาจและมีความพยายามก็อาจจะทำสำเร็จได้

แล้วทำยังไงให้ปิดบังตัวตนของเราได้ละ?

1. อย่าใช้ข้อมูลจริง อันนี้ง่ายใคร ๆ ก็รู้
2. ใช้ Email ชั่วคราวอย่าง emailondeck
3. หรือใช้ secure mail อย่าง protonmail เพื่อที่เราไม่ต้องใส่ข้อมูลยืนยันตัวตนอะไรเลย
4. อย่าไว้ใจ VPN ข้อนี้อาจสวนทางกับชาวบ้านเค้าหน่อย เพราะ เราไม่มีทางรู้เลยว่า VPN service นั้น anynomous จริงหรือเปล่าหรือแม้กระทั้ง free vpn ส่วนใหญ่ก็มาพร้อม trojan
5. ใช้ Tor browser เพื่อปิดบังตัวตน Tor browser อาศัย Tor node ที่สุ่มสร้างการเชื่อมต่อไปยัง node ต่างๆ ใน Toe network ทำให้การเชื่อมต่อถูกส่งออกไปอย่างสุ่มจนทำให้การติดตาม IP address ทำได้ยากมาก – ไม่ได้เลย แต่ก็ต้องแลกมากับการที่ใช้งานช้าลงมาก
6. เลือกโปแกรม chat ที่ปลอดภัย อาจจะเป็น telegram หรือ signal ที่มีนโยบายในการรักษาความปลอดภัยให้กับผู้ใช้เป็นวัตถุประสงค์สูงสุด
7. ใช้ Tails OS สำหรับปฏิบัติการที่ต้องการความเป็นส่วนตัวมาก ๆ Tails เป็นระบบปฏิบัติการ ที่ออกแบบมาเพื่อทำให้เรา anynomous ที่ทำให้ทุกการออก internet ของเราไม่ว่าผ่านอะไรจะวิ่งผ่าน Tor network เสมอ และแทบไม่เปิดเผย digital footprint ให้เราเลย อันนี้ถ้าอยากใช้อาจจะทำเป็น virtual machine สักเครื่องเอาไว้เปิดตอนจะใช้ก็ได้ (ถ้ายากไปก็ข้ามข้อนี้ไปก็ได้นะ)
8. อย่าใช้ free WiFi ไม่ว่ากรณีไหนก็ตาม และอย่าต่อ WiFi Hotspot ให้ใช้สายแทน อันนี้จริง ๆ ก็เป็น Awareness พื้นฐาน
9. อย่าเสียบอุปกรณ์ที่เราไม่รู้จักเข้าเครื่องของเรา อุปกรณ์ที่ไม่มีที่มา อุปกรณ์ที่ได้ฟรี อุปกรณ์ที่ได้มาโดยวิธีเฉพาะเจาะจง เหล่านี้สามารถ run คำสั่งบนเครื่องเราได้ทั้งสิ้น
10. หากต้องการส่งไฟล์ให้ใช้ storage อย่าง Spideroak แทน dropbox หรือ google drive
11. มี aware ให้มาก ๆ ระมัดระวังในการเปิดไฟล์ ติดตั้งโปรแกรม และ click link ต่าง ๆ
12. อย่าลง app บนมือถือมั่วซั่ว เหลือ app ในเครื่องให้น้อยที่สุดเท่าที่จำเป็น อย่าลง app ที่มาจากผู้ผลิตที่เราไม่เชื่อใจ ไม่งั้นก็ต้องใช้ secure encrypt phone เลย
13. มี 2 โลก aware ไปตลอดมันก็ดีแต่ข้อจำกัดเยอะ ควรสร้าง footprint อื่น ๆ ไว้ใน internet บ้างให้มีตัวตนบ้าง เป็นการเปลี่ยนเบี่ยงเบนความสนใจให้กับผู้ที่ต้องการติดตามเราได้เหมือนกัน

ทั้งหมดนี้เพื่อ privacy เฉยๆ นะ ไม่ได้มีวัตถุประสงค์เป็นอย่างอื่นเลย
มีสติอยู่เสมอ ทำให้เป็นนิสัย มันอาจลำบากและฝืนในช่วงแรก แต่เดี๋ยวก็ชิน

ขอให้ privacy จงสถิตอยู่กับท่าน