privacy

How email softwares might reveal your location

This is not a new thing. It was me who just realised it a couple of days ago. If you are using an email client software like Thunderbird or Outlook then you might have revealed your location, or at least your IP address, unintentionally. Here's how.

For those who might not be familiar with technical jargons, these might help:

  • IP address - A set of digits assigned to your computer when you connect to a network to distinguish you from other people. Just like usual addresses, normally we are assigned "local" IP addresses in schools or workplaces. This means you and your friends might be behind one IP address of your organisation's internet connection.
  • Internet Service Provider (ISP) - Those companies you pay for you internet connection. Leading ones here in Thailand are TOT, True, and 3BB.

Just like normal postal service, email was designed to have a level of traceability. Every email contains some "routing information" in its header. Here's how it looks:

example email header

And this is no secret. If you use Gmail you can view the header by selecting "Show original" menu.

Gmail's show original

There should be a similar option (might sound like "view source) in other email services as well. I'm too lazy to capture screenshots from all.

So, let's look at what happens when you use an email software:

  1. You open the software and type in the receipients and some text.
  2. You press "Send".
  3. The software connects to a mail server of whatever service you use.
  4. The software logs in with your username and password, encrypted or not depending on your configuration.
  5. The software sends out your email.

At the point that the software connects to the server, your IP address is sent along. It can be found in the email's header like this one.

My email header

From above, I sent an email from Thunderbird and my IP address was included. You can see both my local IP address (192.168.1.40) and my house's IP address (58.9.xxx.xxx). I can even tell which ISP I use. You might try looking for the word "Received" in your or your friend's email header.

The IP address together with the time can be used to determine my account information of the internet connection I use, and that can be uncomfortable. So let's see what we can do about that.

  • Use a web-based interface: When we use Gmail or Hotmail from the website, we are working on their servers. Our IP addresses in the header would be those of the servers instead.
  • Use a proxy server, or a VPN: This is a bit more advanced and can be a whole new entry. For now I recommend you to consult Google.

There might be some more ways to protect your privacy. If anyone has anything to share you are more than welcome.

การใช้เว็บไซต์เครือข่ายสังคมช่วยการสืบสวนสอบสวน: ตัวอย่างจากสหรัฐฯ

ช่วงหนึ่งปีที่ผ่านมาเราอาจจะได้เห็นความพยายามในการใช้เว็บไซต์เครือข่ายสังคม (Social Network) จากฝั่งเจ้าหน้าที่รัฐมาบ้างพอสมควร ที่พบได้ทั่วไปคือการใช้เพื่อการประชาสัมพันธ์ ตัวอย่างเด่น ๆ ก็คงหนีไม่พ้นทั้งหน้าเฟซบุคและทวิตเตอร์ของนายกรัฐมนตรีอภิสิทธิ์ เวชชาชีวะ หรือหน้าเฟซบุคของกระทรวงต่าง ๆ

และด้วยความ "ตื่นตัว" ในการพยายามควบคุมข้อมูลออนไลน์ที่อาจถูกตีความว่าไม่ชอบด้วยกฎหมาย เว็บไซต์เครือข่ายสังคมก็ถูกเจ้าหน้าที่รัฐใช้สื่อสารกับประชาชนให้ช่วย "เป็นหูเป็นตา" คอยช่วยแจ้งถึงแหล่งข้อมูลออนไลน์ที่ไม่เป็นที่พึงประสงค์สำหรับรัฐบาล ซึ่งด้วยระยะแค่ไม่กี่ก้าวคลิก เราคงเห็นได้ชัดว่าวิธีนี้สะดวกสบายและรวดเร็วกว่าการตั้ง "สายด่วน" รับแจ้งเหตุทางโทรศัพท์เหมือนในสมัยก่อนเป็นไหน ๆ

แต่นอกจากจะช่วยอำนวยความสะดวกในการใช้เป็นเครื่องมือสื่อสารแล้ว ด้วยความนิยมที่เพิ่มขึ้นอย่างมากในระยะหลังไม่ว่าจะเป็นเพราะเรื่องการเมืองหรือไม่ เว็บไซต์เครือข่ายสังคมเหล่านี้ได้กลายเป็นแหล่งข้อมูลส่วนบุคคลจำนวนมหาศาลสำหรับเจ้าหน้าที่รัฐ (หรือใครก็ตาม) ที่สามารถสืบค้นข้อมูลตั้งแต่ความสัมพันธ์ ความสนใจร่วมกันระหว่างผู้ใช้กลุ่มหนึ่ง ๆ ไปจนถึงรายละเอียดที่สามารถใช้ระบุตัวตนได้ ในกรณีที่ผู้ใช้ขาดความระมัดระวังในการควบคุมความเป็นส่วนตัว

อิเล็กทรอนิกส์ ฟรอนเทียร์ ฟาวเดชัน (Electronics Frontier Foundation - EFF) องค์กรรณรงค์ด้านเสรีภาพบนอินเทอร์เน็ตจากสหรัฐอเมริกา ได้เผยแพร่เอกสารหลายฉบับจากหน่วยงานรัฐในสหรัฐอเมริกา เช่น สำนักข่าวกรองแห่งชาติ และกระทรวงการยุติธรรม ที่ชี้ให้เห็นถึงความพยายามในการใช้ข้อมูลจากเว็บไซต์เครือข่ายสังคมอย่างเฟซบุคและมายสเปซ มาช่วยในการสืบสวนสอบสวน ด้วยวิธีต่าง ๆ ทั้งที่ชอบด้วยกฎหมายและอาจถูกตั้งคำถามได้

จากการศึกษาโดยสำนักข่าวกรองแห่งชาติสหรัฐอเมริกา เจ้าหน้าที่สืบสวนทางอินเทอร์เน็ตสามารถระบุข้อมูลที่ "น่าสังเกต" หรือข้อมูลที่อาจไม่ชอบด้วยกฎหมาย เช่น หลักฐานการดื่มแอลกอฮอล์ก่อนเกณฑ์อายุ หรือแนวคิดทางการเมืองที่สุดโต่ง จากคนจำนวนถึง 53% ของกลุ่มตัวอย่าง 349 คน ด้วยเพียงค้นหาจากชื่อ ที่อยู่ วันเกิด และเลขประกันสังคมเท่านั้น

หรือแค่เพียงจากข้อมูลในมายสเปซที่ถูกตั้งค่าให้เปิดเผยสู่สาธารณะ เจ้าหน้าที่สามารถพบข้อมูลที่อาจไม่ชอบด้วยกฎหมายจากผู้ใช้ถึง 48% ของกลุ่มตัวอย่าง ซึ่งข้อมูลเหล่านี้ส่วนมากถูกพบในกลุ่มตัวอย่างที่มีอายุตั้งแต่ 18 - 24 ปี

สำหรับเครือข่าย หรือความสัมพันธ์กันระหว่างผู้ใช้ มีเอกสารที่แสดงให้เห็นว่าหน่วยปราบปรามยาเสพติดสหรัฐอเมริกาสามารถระบุที่อยู่ของผู้ต้องสงสัยจากเพื่อน ๆ ในเครือข่าย และหน่วยปราบปรามฯ ยังมีการใช้ซอฟต์แวร์ช่วยในการสร้างแผนผังความสัมพันธ์ระหว่างผู้ใช้มายสเปซและยูทูบ เพื่อระบุกลุ่มคนที่น่าจับตามอง

ในรายงานยังระบุถึงการใช้ซอฟต์แวร์ที่อาศัยช่องโหว่ของระบบในการดูภาพส่วนตัวของผู้ใช้มายสเปซ ซึ่งเป็นข้อกังขาว่าอาจเป็นการละเมิดข้อตกลงการใช้งาน คำถามนี้ได้รับการยืนยันจากบันทึกภายในกระทรวงยุติธรรม ที่มีการตั้งคณะกรรมการเชิงนโยบายเพื่อตรวจสอบการใช้ข้อมูลจากเว็บไซต์เครือข่ายสังคมของหน่วยต่าง ๆ เพื่อป้องกันการละเมิดข้อตกลงการใช้งาน หรือการละเมิดสิทธิส่วนบุคคลโดยเจ้าหน้าที่

นอกจากการดึงข้อมูลด้วยซอฟต์แวร์หรือการค้นหาทั่วไปแล้ว มีรายงานจากสำนักงานสอบสวนกลางหรือ FBI ที่เอ่ยถึงการสร้างบัญชีผู้ใช้ทั่วไปโดยเจ้าหน้าที่ เพื่อแทรกซึมไปหาข้อมูลในเครือข่าย และในนโยบายการใช้อินเทอร์เน็ตของหน่วยสืบราชการลับ มีการกำหนดให้เจ้าหน้าที่ไม่ทิ้ง "ร่องรอยอิเล็กทรอนิกส์" และใช้ "บัญชีผู้ใช้นิรนามจากผู้ให้บริการอินเทอร์เน็ต"

จากตัวอย่างข้างต้น เราคงจะจินตนาการได้ไม่ยากถึงความเป็นไปได้ที่เจ้าหน้าที่รัฐไทยจะมีความพยายามที่คล้ายคลึงกัน ซึ่งแม้ว่าเราจะไม่ได้กระทำความผิด เราก็ควรจะมีความเข้าใจในการปกป้องข้อมูลที่ตั้งใจให้เป็นส่วนตัว เราอาจจะเริ่มต้นอย่างง่าย ๆ ด้วยการตรวจสอบค่าความเป็นส่วนตัวในเฟซบุคให้เป็นแบบที่เราต้องการ สำหรับเทคนิคอื่น ๆ ในการรักษาความเป็นส่วนตัวนั้น ผู้เขียนจะทยอยนำมาเผยแพร่ต่อไป

ผู้อ่านสามารถค้นหาเอกสารที่ถูกอ้างถึงได้จากข่าวของ EFF หรือหน้าพิเศษสำหรับติดตามการเฝ้าระวังเว็บไซต์เครือข่ายสังคมโดย EFF เช่นกัน

Subscribe to privacy