เด็กหญิงอเมริกันวัย 10 ขวบรายหนึ่งกลายเป็นข่าวพาดหัวบนสื่อออนไลน์หลายฉบับว่าสามารถค้นพบช่องโหว่ในเกมปลูกผักสไตล์ Farmville ทั้งบนแอนดรอยด์และไอโฟน นอกจากจะทำให้หนูน้อยไม่ต้องรอเวลาผักโตแบบผู้เล่นคนอื่นๆ แม่หนูยังได้เปิดเผยรูโหว่ของโปรแกรมให้ผู้พัฒนาเกมได้รับรู้ผ่านเวทีเทศกาลนักแฮก DefCon 19 ที่จัดขึ้นอย่างยิ่งใหญ่ที่ลาสเวกัสเมื่อสุดสัปดาห์ที่ผ่านมา
ที่น่าสนใจคือ สาวน้อยนักแฮกรายนี้ไม่ใช่คนเดียวที่เข้าร่วมเทศกาลนักแฮก แต่ยังมีเด็กวัย 8-16 ปีนับ 60 คนที่ร่วมเรียนรู้เรื่องราวการแฮกจากแฮกเกอร์มือฉมัง ซึ่งผู้จัดงานกั้นพื้นที่ไว้ในชื่อ DefCon Kids เรียกเสียงฮือฮาเหลือเกินเพราะงานปีนี้ถือเป็นปีแรกที่ DefCon เปิดให้เด็กเข้าร่วมเรียนรู้วิถีนักแฮกหมวกขาว หรือ White hat hacker ที่คอยช่วยตรวจตราระบบคอมพ์ว่ามีจุดหละหลวมที่ใดเพื่อต่อสู้และป้องกันอาชญากรรมออนไลน์
แต่ที่เจ็บปวดที่สุดคือ นักแฮกซึ่งเข้าร่วมเวที DefCon ประกาศชัดเจนว่า "โลกนี้ไม่มีชุดแพตช์แก้ไขความโง่ของมนุษย์" เพราะไม่ว่าระบบรักษาความปลอดภัยของบริษัทยักษ์ใหญ่จะดีเลิศเท่าไร ความจริงที่ว่าแฮกเกอร์สามารถล้วงเอาความลับจากพนักงานในบริษัทที่เกี่ยวข้องได้ด้วยการเข้าไปพูดคุยตีสนิทก็ทำให้ระบบสามารถถูกเจาะได้อยู่ดี โดยผลงานการแฮกด้วยวิธีล่อลวงพนักงานที่ถูกนำมาโชว์ในงานนี้ มีดีกรีเป็นการเจาะระบบบริษัทไอทียักษ์ใหญ่ชื่อดังนับ 10 บริษัทซึ่งมีแอปเปิลรวมอยู่ด้วย
***แฮกเกอร์จิ๋วแจ๋ว
นักแฮก 10 ฝน 10 หนาวรายนี้เล่าถึงแรงบันดาลใจในการแฮกเกมปลูกผักบนมือถือว่า มาจากความรู้สึกเบื่อที่จะต้องรอเวลาให้ผักที่ปลูกไว้โตพอจะเก็บเกี่ยว หนูน้อยจึงทดลองเปลี่ยนเวลาในโทรศัพท์ แล้วกลับเข้าไปในเกมใหม่อีกครั้ง ปรากฏว่าผักนั้นโตเต็มที่รวดเร็วสมใจ
เพียงเท่านี้ก็ถือว่าได้ค้นพบช่องโหว่ด้านความปลอดภัยของโปรแกรมเกมนี้แล้ว เพราะมีเกมหลายเกมบนโลกได้เขียนโปรแกรมป้องกันการแอบเปลี่ยนเวลาลักษณะนี้ไว้ แต่เกมที่หนูน้อยเล่นนั้นไม่มี โดยแม่หนูทดลองกับสมาร์ทโฟนและแท็บเล็ตทั้งระบบปฏิบัติการแอนดรอยด์ และไอโอเอส ก็พบว่าโปรแกรมมีรูโหว่ใหญ่เบ้อเริ่มทุกเวอร์ชัน
เพื่อให้เวลากับผู้ผลิตเกมได้แก้ไข สื่อมวลชนอเมริกันจึงไม่มีการเผยแพร่ชื่อเกมที่มีช่องโหว่ซึ่งเด็ก 10 ขวบเป็นผู้ค้นพบ และเพื่อป้องกันความปลอดภัย หนูน้อยนักแฮกรายนี้จึงไม่ถูกเผยชื่อจริง โดยใช้ชื่อนามแฝงว่าไซไฟ (CyFi)
สำนักข่าวซีเน็ตรายงานข้อมูลเบื้องต้นของไซไฟว่า น้องหนูเคยเป็นนักกีฬาสกีระดับรัฐ, เป็นเนตรนารี และเคยกล่าวสุนทรพจน์ต่อหน้าสาธารณชนนับพันที่พิพิธภัณฑ์ Museum of Modern Art ในซานฟรานซิสโก โดยพ่อและแม่ของไซไฟนั้นเป็นแฮกเกอร์ที่เข้าร่วมงานประชุม DefCon หลายครั้ง นับตั้งแต่การจัดงานต่อเนื่องในปี 1993
ไซไฟนั้นขึ้นแสดงการค้นพบของเธอบนเวที DefCon Kids เมื่อวันอาทิตย์ที่ 7 สิงหาคมที่ผ่านมาต่อหน้าเด็กที่อยากเป็นแฮกเกอร์มากกว่า 60 คนรวมถึงพ่อแม่ผู้ปกครองที่จะต้องอยู่เคียงข้างเพื่อดูแลแฮกเกอร์รุ่นจิ๋วในการทำกิจกรรมทั้งเรียนและเล่นในงาน
***ไม้อ่อนดัดง่าย
ถือเป็นเรื่องฮือฮาเหลือเกินสำหรับงานประชุมแฮกเกอร์โลก DefCon 2011 ที่เปิดให้เด็กอายุ 8 ถึง 16 ปีเข้าร่วมเพื่อเรียนรู้เรื่องราวการแฮกเป็นปีแรก โดยผู้จัดงาน Hackid.org ระบุว่าต้องการสร้างค่านิยมให้"เด็กแฮก"รู้สึกว่าการเป็นแฮกเกอร์ฝ่ายคุณธรรมซึ่งช่วยต่อต้านอาชญากรรมออนไลน์นั้นเป็นความ"เจ๋ง"อย่างแท้จริง โดยงานนี้เด็กๆจะไม่เพียงได้ร่วมฝึกหัดและประลองฝีมือแฮก แต่อย่างน้อยที่สุด เด็กเหล่านี้ได้ตามทันและรับรู้เรื่องราวความปลอดภัยบนอินเทอร์เน็ตที่ดีกว่าเดิม
คุณพ่อวูลฟ์กัง แคนเดก (Wolfgang Kandek) หัวหน้าฝ่ายเทคโนโลยีของบริษัทรักษาความปลอดภัยคอมพิวเตอร์นาม Qualys ได้พาลูกชายนามฟิลิเป้ (Filipe) วัย 14 ปีมาเข้าร่วมงาน DefCon Kids พ่อวูลฟ์กังบอกว่ารู้สึกดีที่เห็นลูกชายมีความสนใจเรื่องการเป็นนักแฮกที่ดีจากการแข่งขันและจากการฟังวิทยากรคุณภาพคับแก้วในงาน ซึ่งคิดว่าจะไม่พลาดงานในปีหน้าแน่นอน
สิ่งสำคัญที่ทำให้การจัดงานแฮกเกอร์เด็กไม่ถูกมองว่าเป็นเรื่องไกลตัว คือข่าวการจับกุมแก๊งนักแฮกของหน่วยเอฟบีไอหลายครั้งที่พบว่า ต้นเหตุการเจาะระบบที่สร้างความเดือดร้อนให้สำนักงานรัฐบาลสหรัฐฯคือเด็กวัยรุ่นสุดเกรียนที่มีอายุ 18 - 25 ปี โดยงานนี้ได้รับการสนับสนุนจากสำนักงานความปลอดภัยแห่งชาติสหรัฐฯหรือ National Security Agency ในการให้ความรู้เด็กๆเรื่องระบบเข้ารหัสข้อมูลหรือ cryptography
แน่นอนว่างานนี้ได้รับเสียงชื่นชมมากมาย นักสังเกตการณ์ในวงการแฮกเกอร์ระบุว่าการให้ความรู้แก่เด็กเช่นนี้จะทำให้เยาวชนไซเบอร์สามารถเลือกได้ว่าจะปกป้องตัวเองและรับผิดชอบต่อการกระทำของตัวเองอย่างไร ซึ่งเหล่านี้จะทำให้เด็กแฮกมี"ความเกรียน"น้อยลง และทำให้รู้เท่าทันจนไม่ตกเป็นเหยื่อแฮกเกอร์ในอนาคต
กิจกรรมดัดไม้อ่อนแฮกเกอร์นั้นมีทั้งการสาธิตการทำงานของกลุ่ม Wall of Sheep ซึ่งก่อตั้งโดยแฮกเกอร์นามแฝงว่า Riverside และ CedoxX มานานกว่า 10 ปี โดยทดลองแฮกคอมพิวเตอร์และอุปกรณ์พกพาที่ไม่มีการป้องกันภายในงาน แล้วนำเสนอต่อสาธารณะในมุมที่เตือนให้เจ้าของรู้ตัวและรีบป้องกันโดยเร็ว ยังมีการทำเวิร์กช้อป Secrets Revealed ซึ่งสอนให้เด็กสามารถถอดความและสร้างรหัสลับของตัวเองได้ รวมถึงการสัมมนา Meet the Feds ซึ่งมีตัวแทนจากสำนักงานและองค์กรด้านความปลอดภัยแห่งชาติสหรัฐฯ เช่น หน่วยรักษาความความมั่นคงมาตุภูมิ U.S. Department of Homeland Security รวมอยู่ด้วย ทั้งหมดนี้ไม่เพียงพ่อและแม่ของเด็กจะมองว่าเป็นประโยชน์ แต่การสัมภาษณ์เด็กหลายคนในงานพบว่าส่วนใหญ่มองเรื่องแฮกเป็นเรื่องสนุก และอยากเป็นแฮกเกอร์คุณธรรมเมื่อโตขึ้น
***"ศิลปะการแฮกคน"บันไดสำคัญ
หนึ่งในกิจกรรมเด็กแฮกที่ถูกจับตามองในงานคือเรื่องการฝึกใช้กลไกทางสังคมเป็นเครื่องมือในการแฮกหรือ Social Engineering โดยเด็กๆจะได้ศึกษาแง่มุมของศิลปะการแฮกคนเพื่อป้องกันตัวเองจากการถูกตีสนิทเพื่อล้วงข้อมูลจากเกม Capture the Flag ปรากฏว่าในเด็กราว 20 คนที่เข้าจับคู่กันเพื่อแข่งขัน (อายุเฉลี่ยผู้แข่งอยู่ที่ 9 ขวบครึ่ง) ทีมที่ชนะนั้นใช้วิธีการคุยกับทีมอื่นเพื่อขอคำใบ้แทนที่จะลงมือแก้รหัสก่อน
ไม่เพียงเด็ก แฮกเกอร์ผู้ใหญ่ในงานก็มีการแข่งขันเรื่องศิลปะการแฮกคนเช่นกัน โดยในการแข่งขันที่ชื่อ Schmooze Strikes Back นั้นเน้นให้แฮกเกอร์ลองทดสอบความสามารถในการใช้ทักษะวิศวกรรมทางสังคม "ลองของ" บริษัทที่เชื่อว่าจะมีการป้องกันระบบไอทีชนิดมดไม่ให้ไต่อย่างแอปเปิล (ผู้ผลิตสินค้าอิเล็กทรอนิกส์) ออราเคิล (เจ้าของซอฟต์แวร์ฐานข้อมูลสำหรับองค์กรธุรกิจ) ไซแมนเทค (บริษัทรักษาความปลอดภัยระบบคอมพิวเตอร์) และวอลมาร์ต (ธุรกิจค้าปลีกรายใหญ่ในสหรัฐฯ) ปรากฏว่าพนักงานในบริษัทใหญ่เหล่านี้กลับหละหลวมมากกว่าการทดสอบในปีที่ผ่านมา
Chris Hadnagy ซึ่งจะมีหนังสือเรื่อง Social Engineering: The Art of Human Hacking ออกวางตลาดในปลายปีนี้ระบุว่า แฮกเกอร์ทุกคนรู้ดีมานานแล้วว่าโลกนี้ไม่มีชุดแพตช์ (ชุดซอฟต์แวร์ที่ใช้อุดรูรั่วหรือแก้ไขข้อผิดพลาดในซอฟต์แวร์) สำหรับแก้ไขความโง่เขลาของมนุษย์ แม้แต่ในบุคลากรของทุกบริษัท เนื่องจากพบว่าแฮกเกอร์สามารถหาทางพูดคุยกับพนักงานบริษัทที่เกี่ยวข้องมากมายเพื่อให้ได้รู้ข้อมูลลับของบริษัท ตั้งแต่เวอร์ชันซอฟต์แวร์ที่บริษัทใช้งานในเครือข่าย ไปจนถึงชื่อพ่อครัวที่ทำอาหารให้บริการในบริษัท
ข้อมูลลับเหล่านี้ทำให้แฮกเกอร์ทั้งฝ่ายธรรมะและอธรรมมองเห็นช่องทางในการเจาะระบบ รวมถึงอาจแบ่งปันข้อมูลเพื่อร่วมมือกันโจมตีเป็นกลุ่ม จุดนี้มีการวิเคราะห์ว่าบริษัทค้าปลีกสินค้าขนาดใหญ่นั้นเป็นเป้าหมายสำคัญของแฮกเกอร์ เพราะการมีจำนวนลูกค้ามากมายถือเป็นความท้าทายที่มากขึ้นตามไปด้วย โดยข้อสรุปเบื้องต้นจากการศึกษาคือพนักงานหญิงนั้นมีสติตื่นตัวเรื่องความปลอดภัยมากขึ้น และโทรศัพท์คือช่องทางสำคัญที่แฮกเกอร์ใช้ในการลวงข้อมูลเป็นกิจวัตร
อ่านจบแล้ว ใครอยากร่วมงานแฮกเกอร์คุณธรรมคงต้องเก็บเงินค่าตั๋วเครื่องบินไปร่วมงานที่เมืองลุงแซมกันเอง เพราะในไทยคงหาเจ้าภาพจัดงานได้ยาก สำหรับงานที่ไม่มีรายได้จากการขายสินค้าเป็นชิ้นเป็นอันเช่นนี้
***
รู้หรือไม่ 1 : แฮกเกอร์-ธรรมะ แครกเกอร์-อธรรม
เหรียญมี 2 ด้าน นักเจาะระบบก็ย่อมมีทั้งฝ่ายชั่วและฝ่ายดี โดยฝรั่งต่างชาติบัญญัติศัพท์คำว่า “แครกเกอร์” สำหรับใช้เรียกนักเจาะที่เจาะเข้าไปในระบบข้อมูลแล้วนำมาใช้เพื่อผลประโยชน์ส่วนตัว ส่วน "แฮกเกอร์" จะใช้เรียกผู้เชี่ยวชาญที่เจาะระบบเพื่อนำความรู้ไปแก้ปัญหา
แฮกเกอร์ยังมีชื่อแบ่งกลุ่มเป็น 2 พวก นั่นคือ“หมวกขาว”และ“หมวกดำ” แน่นอนว่าหมวกขาวคือฝ่ายธรรมมะที่เน้นเรื่องวิชาการ เป็นผู้เชี่ยวชาญด้านมาตรฐานความปลอดภัยที่ต้องทดสอบเจาะระบบก่อนที่จะถูกแครกเกอร์เล่นงาน ขณะที่หมวกดำคือฝ่ายอธรรมที่เข้ามาล้วงข้อมูลไปใช้ในทางไม่ชอบ เช่น ข้อมูลบัตรเครดิต หรือล้วงความลับระดับประเทศ หรือการโจรกรรมข้ามชาติ
รู้หรือไม่ 2 : แฮกไม่ดีถูกตำรวจจับนะจ้ะ
1. โจนาธาน โจเซฟ เจมส์ : นักเจาะระบบที่เริ่มล้วงข้อมูลของระบบนาซ่าเพียงเพื่อต้องการฝึกฝนภาษาซีตั้งแต่อายุ 10 ปี และโดนจับในเรื่องดังกล่าวในวัยเพียง 15 ปี
2. ไรอัน เคลียร์ลี : หนุ่มวัย 19 ปีที่ถูกตำรวจอังกฤษจับกุมฐานต้องสงสัยพัวพันการโจมตีไซเบอร์ของกลุ่มแฮ็กเกอร์ “ลัลซ์เซค” ที่ลอบเจาะระบบสร้างความปั่นป่วนแก่เว็บไซต์หน่วยงานดังหลายแห่ง ทั้งซีไอเอ, บริษัทโซนี และสำนักงานต่อต้านอาชญากรรมของอังกฤษ ถูกตั้งข้อหาว่าใช้คอมพิวเตอร์ในทางทุจริตและฉ้อฉล