Tuesday, September 26

Exploit กระสุนปืนทางไซเบอร์


"ระหว่างเป็นนักฆ่า กับ นักสืบ อันไหนเป็นได้ง่ายกว่ากัน ?"
เป็นคำถามที่ผมได้ตั้งขึ้น เพื่อถามแก่ทีมงานที่กำลังเลือกเส้นทางในอนาคต

- นักฆ่าในที่นี้ คือ เปรียบได้กับนักโจมตีระบบอย่างถูกต้องตามกฎหมาย คืองาน Penetration test หรือ งานทดสอบเจาะระบบในหน่วยงาน องค์กร ยินยอมให้ทำ และมีความประสงค์ให้ไปทดสอบระบบ เพื่อดูช่องโหว่ รูรั่ว ก่อนที่จะเกิดเหตุจริง เปรียบใกล้เคียงกับงาน ตรวจสอบ (Audit) ระบบอย่างหนึ่ง

- นักสืบ คือ เปรียบได้กับคนที่ทำงานด้านการพิสูจน์หาหลักฐาน และแกะร่องรอยการถูกโจมตีระบบ การเจาะระบบจากแฮกเกอร์ หรือการติดเชื้อไวรัส เพื่อพิสูจน์หาหลักฐาน เรียกตามศัพท์คือ "Computer/Network Forensic รวมไปถึงพวกที่ทำ Malware Analysis ก็ถือว่าใช่

ทีมงานผมคนนั้นได้เลือกเส้นทางอย่างหลังและปัจจุบันนี้ก็อยู่ในบริษัทแนวหน้าของประเทศไปเรียบร้อยแล้ว

ผมคิดว่าเขาเดินทางที่ยาก
เพราะทางแรกเป็นเส้นทางที่ง่ายกว่า และต่อไปจะต้องมีคนสนับสนุน แม้กระทั่ง NSA ก็ไม่แน่อาจจะต้องเรียกใช้ นั้นคือนักเจาะระบบที่พัฒนาจากนักฆ่าธรรมดาแบบตรวจสอบระบบในองค์กร แต่กลายร่างเป็นคนเขียน "Exploit"

วันนี้ผมอยากขยายความจากนักฆ่า หรือนักเจาะระบบแบบภาษาทางเทคนิคเรียกว่า Penetration test ว่าทำไมรัฐบาลในยุคหน้าต้องให้การสนับสนุนอย่างเต็มที่ เพราะถือว่าเป็นกองกำลังไซเบอร์ ที่สามารถช่วงชิงพื้นที่การข่าวและข้อมูลได้เป็นอย่างดียิ่งเพราะเป็นสิ่งที่ตาคนเราไม่สามารถมองเห็นได้ และสามารถทำภาระกิจได้จากทุกส่วนของโลกแบบไร้พรมแดน

สิ่งที่ตาเรามองไม่เห็น คือ "ข้อมูล" และเมื่อโลกเรากำลังก้าวไปสู่ ยุค Big data ในทุกมิติ "ข้อมูล" จึงถือว่าเป็นความมั่นคงของชาติ อย่างหนึ่ง

ยามที่ได้มีโอกาสบรรยายหรือสอนหนังสือ
ผมมักจะเปรียบ Exploit คือ "กระสุนปืน"
นักฆ่ามืออาชีพ ต้องเป็นนักสะสมกระสุนปืน เพราะกระสุนปืน แต่ละชนิด มีการทำลายแตกต่างกันไป หากใช้ผิดประเภท ก็ไม่ประสบความสำเร็จในภาระกิจ
ไปไกลกว่านั้น Exploit ที่ยังไร้ยารักษา หรือ เรียกว่า 0-day ปัจจุบันกลายเป็นสิ่งที่มีมูลค่ามาก ถือว่าใครครอบครองแล้วรับรองเนื้อหอม

และ 0-day นี้เองคืออาวุธทางไซเบอร์ ที่ประเทศมหาอำนาจ ใช้เจาะข้อมูลกันเงียบๆกันอยู่ และเมื่อถูกจับได้ หรือเบื่อเมื่อไหร่ มันพร้อมแปลงร่างกลายเป็น virus และแพร่พันธุ์เป็น worm หรือจะสร้างความเสียหาย หยุดการใช้งาน (DDoS/DoS) หรือ เรียกค่าไถ่ (Ransomware) จนเป็นข่าวดัง ถึงจะหยุด ล้าสมัย ตก Trend แล้วแต่สาระพัดชื่อกลุ่มจะปล่อยของออกมา ล่าสุดที่เป็นก็คือกลุ่มที่เรียกตัวเองว่า Shadow Brokers ผู้ปล่อย Wannacry เป็นต้น

ซึ่งเหล่า Anonymous หรือกลุ่มสาระพัดชื่อพวกนี้จะปล่อยของออกมาจากใต้มหาสมุทร (Deepweb) ล่องลอยมาบนพื้นผิวน้ำจน Search engine บนโลกที่คนทั่วไปค้นหาเจอ หรือ ตั้งใจปล่อยให้รั่วก่อนผ่าน wiki leaks นั้นจะเป็นพฤติกรรมแบบนี้ให้เราได้เห็นวัฎจักรเดิมๆ ซ้ำๆ

ปล. เหตุที่เขียนเกิดจากกำลังหา Exploit ตัวหนึ่งแล้วไปค้นพบใน Deepweb จากกลุ่มหน้าเดิม Milw0rm

นนทวัตต์  สาระมาน
Nontawatt Saraman
SRAN dev Team
.