Bug Bounty นักล่าเงินรางวัลบนโลกแฮกเกอร์
3 ตุลาคม 2016
สวัสดีครับ อ.ศุภเดช พิธีกรรายการล้ำหน้าโชว์เองครับ นอกเหนือจากการเป็นพิธีกรแล้ว งานด้านเทคนิค อีกด้านที่ผมทำมาโดยตลอดก็คือ การเป็น Network Engineer โดยในปีที่ผ่านมาก็ลดงานพิธีกรลงนิดหน่อยแล้วกลับมาเปิดบริษัทรับวางระบบเน็ตเวิร์ค หรือเรียกได้ว่ากลับมาทำงานสายเทคนิคอีกครั้งนั่นเอง
ก็เลยทำให้ผมได้มาตามข่าววงการ Network Security แบบหนักๆอีกครั้ง เพราะมันเกี่ยวข้องกับงานสายหลักที่ทำเนี่ยแหละครับ
ถ้าตามข่าวใน Hacker News ซึ่งเป็นเว็บไซต์สายข่าววงการ Hacker จะพบว่า ช่วงประมาณ 2-3 ปีที่ผ่านมา เราจะพบช่องโหว่ประเภท Zero Day Vulnerability บนอุปกรณ์เน็ตเวิร์ค เซิร์ฟเวอร์ หรือโปรแกรมที่ทำงานด้านเน็ตเวิร์คเต็มไปหมด ซึ่งกว่าผู้ผลิตอุปกรณ์เหล่านั้นจะรู้ตัว บรรดาแฮกเกอร์ที่รู้ช่องโหว่นั้นก็กอบโกยผลประโยชน์จากช่องโหว่นั้นกันไปเต็มเหนี่ยว
หมายเหตุ Zero Day Vulnerability คือช่องโหว่ของโปรแกรมหรืออุปกรณ์ใดๆที่บรรดาผู้ผลิตยังไม่รู้ตัวว่ามีช่องโหว่นั้นอยู่ ถือเป็นสถานการณ์อันตรายมากๆ สำหรับองค์กรที่ใช้โปรแกรมหรืออุปกรณ์นั้นๆ
ซึ่งอย่างข่าวที่ดังๆหน่อยช่วงนี้ก็น่าจะเป็นช่องโหว่ MySQL ที่เป็นฐานข้อมูลแจกฟรีให้คนทั่วไปเอามาใช้ได้ เจอช่องโหว่แบบ Zero Day ที่ทำให้แฮกเกอร์สามารถทำให้ตัวเองเป็น แอดมินของระบบได้ โดยที่ไม่ต้องเชื่อมต่อเข้ากับฐานข้อมูลเลย เป็นช่องโหว่ที่โหดมาก ที่ไม่รู้ว่า ไอ้ช่องโหว่นี้มันรู้กันมานานขนาดไหนแล้ว)
ทีนี้ก็เลยกลายเป็นข้อสงสัยของผมว่า เอ้อ ไอ้พวกบรรดาช่องโหว่ทั้งหลายเนี่ย บรรดาแฮกเกอร์มันรู้กันได้ยังไง แล้วหลังจากที่พวกมันรู้กันแล้ว มันแจกกันเองหรือเปล่า หรือเก็บเอาไว้ใช้คนเดียว หรือ ทำยังไงให้มันเปลี่ยนเป็นเงินได้ พอสงสัยแบบนี้ก็เลยไปหาข้อมูลมาครับ
บั๊ก หรือ ช่องโหว่ทั้งหลายในโปรแกรมต่างๆ ที่มันรั่วๆกันในโลกนี้ บางครั้งก็ถูกพบเจอโดยบังเอิญผ่านการมั่วไปมั่วมาของผู้ใช้งาน บางครั้งก็เจอผ่านการทดสอบของนักวิจัย แต่ช่องโหว่ส่วนใหญ่จะหลุดรั่วจากการซนของ Hacker ครับ ซึ่งจะว่าไปโลกนี้เองก็เผชิญหน้ากลุ่มแฮกเกอร์กันตั้งนานหลายสิบปีแล้วล่ะ จนกระทั่งในปี 1995 ได้มีการจัดตั้งโครงการนักล่าบั๊ก หรือ Bug Bounty Program ขึ้นมาโดย Netscape ซึ่งเป็นบริษัทที่สร้างเบราเซอร์ชื่อดังในยุคนั้นแหละครับ
Netscape เชื่อว่า เบราเซอร์ต้องมาพร้อมกับความปลอดภัย แต่จะให้หาคนเดียวก็คงไม่ไหว เลยตั้งเป็นเงินรางวัลขึ้นมาใครหาเจอ มารับเงินรางวัลไปเลยจ้า ซึ่งเส้นทางของ Netscape ก็ถือว่าเป็นการกระทำที่ถูก เพราะมีโปรแกรมเมอร์หรือนักวิจัยมากมาย พยายามส่งไปแก้ไขกันยกใหญ่
ซึ่งหลังจาก Netscape ก็มีโครงการ Bug Bounty ดังๆ ก่อตั้งขึ้นมาเรื่อยๆ ที่โด่งดังมากหน่อยก็คือ Pwn2Own ที่เป็นโครงการแข่งขันกันเจาะ เบราเซอร์ ไม่ว่าจะเป็น Safari / Firefox / Internet Explorer ใครเจาะได้ แจก Notebook ตัวท็อปของสายนั้นไปเลย จนตอนหลังๆ แจกเงินรางวัลแทนถึง 10,000$ ซึ่งถือเป็นงานแข่งประจำปีที่รวมพลคนสายแฮกไปโชว์ผลงานกันทุกปีเลยครับ
นอกจากนั้นฝั่งเจ้าใหญ่ๆก็มี Facebook , Google , Microsoft ก็ทำ Bug Bounty ของตัวเองออกมาบ้าง คนไทยเราก็เคยส่งบั๊กไปยัง Facebook แล้วก็ได้เงินรางวัลมากับเขาแล้วเหมือนกันนะครับ สัมภาษณ์คุณสุวิชา บัวคอม นักศึกษามหาวิทยาลัยที่รายงานช่องโหว่เฟซบุ๊กจนได้รางวัล 2,000 ดอลลาร์
แต่ถึงแม้ว่าจะมีโครงการ Bug Bounty ออกมามากมาย มีเงินรางวัลก้อนใหญ่ออกมาเยอะแยะ
แต่ทำไมเรายังเจอช่องโหว่มหาศาลที่เสี่ยงต่อการโดน Hack อยู่อีกล่ะเนี่ย????
นั่นก็เพราะว่า ยังมีคนให้เงินค่าช่องโหว่ที่นักวิจัยและแฮกเกอร์คนนั้นสูงกว่ามากๆๆๆ ยังไงล่ะครับ
จากรายงานด้าน Security ของ HP Enterprise พบว่า เมื่อนักวิจัยด้านความปลอดภัย หรือ แฮกเกอร์คนใดพบ Bug ในโปรแกรมใดๆ ก็ตาม เขามีทางเลือกดังต่อไปนี้ครับ
White market ก็คือนำ Bug นั้นไปขายต่อ Bug Bounty Program เพื่อรับเงินรางวัล เพื่อสร้างชื่อเสียง ในวงการหมวกขาวกันต่อไป โครงการก็มีกันตั้งมากมาย ซึ่งเป้าหมายของตลาดนี้คือ แก้ไขข่องโหว่ให้ได้มากที่สุด แต่ก็ใช่ว่า โปรแกรมที่เราหาช่องโหว่เจอ จะมีใน Bug Bounty นะครับ เพราะถ้า Bug ที่เราหาได้ เค้าไม่ได้เปิด Bug Bounty Program ก็แปลว่า เราอาจจะขายไม่ได้ก็ได้นะ เรียกได้ว่า มีสิทธิ์ลุ้นว่าจะ “ทำเอาโล่ห์” นั่นเอง
Grey Market ซึ่งจะมีบริษัทตัวกลาง มาขอรับซื้อช่องโหว่นั้นไป โดยที่ “อาจจะ” นำไปขายให้กับบริษัทผู้ผลิตอุปกรณ์หรือโปรแกรมนั้นๆ ซึ่งทางฝั่งเจ้าของอุปกรณ์ก็ต้องตรวจสอบว่าเป็นของจริงหรือเปล่า จากนั้นก็ซื้อขายช่องโหว่กันไป บางครั้งราคาก็ขึ้นอยู่กับความยอดนิยม หรือ ความร้ายแรงของช่องโหว่นั้นๆ
หรือ!!
อาจจะขายต่อไปยังตลาดถัดไป นั่นก็คือ
Black Market ครับ ใน Black Market ข้างในก็คือมีคนรับซื้อเป็นองค์กรก่อการร้ายด้านไซเบอร์ กลุ่มแฮกเกอร์ทั้งสายแฮกเอาเงิน และแฮกเพื่อการเมือง มาซื้อ มาประมูลช่องโหว่นั้นๆ ถ้าหากช่องโหว่นั้นใช้ได้จริงๆ ราคาก็จะยิ่งแพงมาก
ซึ่งในเคสที่เป็น Grey Market ก็มีบริษัทนึงตั้งราคารับซื้อช่องโหว่ของโปรแกรมและอุปกรณ์ดังๆของโลก อย่าง Exodus Bug Bounty Program ครับ พี่ท่านตั้งราคาซะแบบโอ๊ยยย ขอไปร่วมวงด้วยได้ไม๊เนี่ย หาได้ตัวเดียวรวยเละครับ
แต่อย่างไรก็ตาม ก็ยังมี แฮกเกอร์และนักวิจัยบางคนที่อุดมการณ์สุดยอดมากครับ เงินซื้อพวกพี่เค้าไม่ได้ พวกพี่เค้าจะส่งช่องโหว่ที่หาได้ไปยังผู้ผลิตตรงๆเลย บอกว่า นี่นะ ผมเจอช่องโหว่นี้นะ แก้ด้วยนะ
ซึ่งถ้าบรรดาผู้ผลิตทำการปล่อยตัวแก้ไขออกมาอย่างรวดเร็วก็ดีไป แต่ก็เคยมีกรณี ที่แฮกเกอร์เจอช่องโหว่แล้วอุตส่าห์เอาไปบอกดีๆ แต่ทางผู้ผลิตไม่เชื่อ ผลก็คือ แฮกเกอร์คนนนั้นเอาช่องโหว่นั้นมาเผยแพร่สาธารณะ ประจานช่องโหว่กันเห็นๆ เพื่อกดดันให้ผู้ผลิตยอมรับปัญหาแล้วออกตัวแก้ไขกันก็มี
อย่างไรก็ตาม ที่ผมนำเรื่องนี้มาเล่า เพื่อให้เห็นว่าโลกนี้ของ Network Security ไม่มีอะไรปลอดภัยแบบ 100% ถ้าคุณเป็นเจ้าของกิจการ หรือ CTO , CSO คุณก็ยังคงต้องอัพเดทตัวเองอย่างต่อเนื่อง ทั้งในเชิงระบบและบริการว่า ธุรกิจของคุณยังมีความเสี่ยงอยู่มากขนาดไหน และต้องทำยังไงถึงจะลดความเสี่ยงนั้นลงไปให้ได้น้อยที่สุดครับ
บทความที่เกี่ยวข้อง