Tags:
Node Thumbnail

เฟซบุ๊กเป็นหนึ่งในบริการที่เปิดให้นักวิจัยความปลอดภัยเข้าไปตรวจสอบและรายงานช่องโหว่ในชือโครงการ Facebook Bug Bounty โดยทางเฟซบุ๊กจะจ่ายเงินรางวัลเมื่อเรารายงานช่องโหว่ในระดับต่างๆ กันไป ที่ผ่านมามีคนไทยรายงานเข้าไปบ้าง แต่ครั้งล่าสุดที่ผมพบคือคุณสุวิชา บัวคอม หรือสมอส นักศึกษามหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี ที่สนใจศึกษาวิชาความปลอดภัยคอมพิวเตอร์ด้วยตัวเอง และรายงานช่องโหว่ไปยังทางเฟซบุ๊กจนได้รับเงินรางวัล 2,000 ดอลลาร์ คุณสุวิชาเล่าถึงประสบการณ์การพบบั๊กไว้ในเฟซบุ๊กของตัวเอง และวันนี้ผมได้มีโอกาสคุยกับคุณสุวิชาอีกครั้ง

คุณสุวิชาออกตัวเสมอๆ ว่าเป็นมีความรู้ด้านความมั่นคงปลอดภัยคอมพิวเตอร์ไม่มากนัก และสิ่งที่พบก็เป็นการลองตามสิ่งที่คนอื่นได้พบไว้ก่อนหน้า แต่อย่างไรก็ตามผมมองว่าคุณสุวิชาเป็นอีกตัวอย่างหนึ่งของคนที่มีความสนใจนอกเหนือจากวิชาเรียนปกติ และก็หาทางศึกษาและทดลองด้วยตัวเองจนกระทั่งรายงานตามกระบวนการ และได้มีโอกาสไปช่วยทำให้บริการที่กระทบต่อคนจำนวนมากอย่างเฟซบุ๊กปลอดภัยขึ้นในที่สุด

ช่องโหว่ที่คุณสุวิชารายงานเป็นช่องโหว่เปลี่ยนภาพ cover หน้าอีเวนต์โดยคนที่ไม่มีสิทธิ์เปลี่ยน ค้นพบโดย Roy Castillo คุณสุวิชาพบว่าแม้จะมีหน้าจอแจ้งเตือนขึ้นมาว่าไม่สามารถเปลี่ยนภาพ cover อีเวนต์ของคนอื่นๆ ได้แล้วก็ตาม แต่ที่จริงแล้วเฟซบุ๊กยังคงปล่อยให้คนที่ไม่มีสิทธิสามารถเข้าไปแก้ไขภาพ cover ได้อยู่

ฝึกหัดคอมพิวเตอร์มานานยังครับ

ได้เล่นมาตั้งแต่ที่โรงเรียนอนุบาลสมัย Windows 98 แต่มีคอมพิวเตอร์เป็นของตัวเองจริงๆ ก็สมัยมัธยมสอง ตอนนั้นแม่เปลี่ยนโน้ตบุ๊กก็ได้มาใช้ ก่อนหน้านั้นในโรงเรียนก็เคยเรียนทำเว็บมาตั้งแต่สมัยประถมหกพอได้คอมพิวเตอร์ก็เอามาลองทำเว็บเองต่อ พอขึ้นมัธยมอาจารย์ที่โรงเรียนสร้างคอมวิทยา ที่จังหวัดอุดรธานี ก็เห็นว่าทำเว็บได้ก็ได้ส่งไปแข่งในจังหวัดบ้าง

หลังจากนั้นพอมัธยมปลายก็ลองหัดเขียนโปรแกรมด้วยตัวเอง ก็ลองหัดเขียนภาษาซีก่อนจะที่โรงเรียนจะสอน Visual Basic ในตอนหลัง

แล้วหลังจากนั้นก็เข้ามหาวิทยาลัย ทำไมถึงเลือกเรียนที่บางมด

ผมเคยมาเข้าค่ายที่บางมดก็คิดว่าน่าสนใจ ตอนที่สอบเข้ามหาวิทยาลัยก็มองไว้ที่นี่กับที่ลาดกระบังแต่ติดที่นี่ก่อนก็เลยเอาที่นี่เลย เท่าที่เรียนก็เป็นไปตามที่หวัง แต่ก็เกรดไม่ดีนักประมาณสองกว่าๆ เท่านั้น

alt="upic.me"

เมื่ออาจารย์และศิษย์มาเจอกัน

แล้วทำไมมาเลือกเรียนวิชาความปลอดภัยคอมพิวเตอร์

ตอนแรกสนใจอยากทำเว็บ ก็พยายามสมัครค่ายเว็บแต่ไม่ติดสักที ก็เลยคิดว่าหาอย่างอื่นทำ เลยขอเงินแม่ไปสมัครคอร์สความปลอดภัยคอมพิวเตอร์ของตาเล็ก วินโด้เก้าแปดเอสอี เป็นคอร์สออนไลน์ดูที่บ้านได้ ตอนขอเงินแม่มาเรียนก็บอกไปว่าเกรดไม่ดี ขอเงินเรียนพิเศษ

แต่ก่อนหน้านี้ก็ไม่ได้สนใจความปลอดภัยคอมพิวเตอร์?

ก่อนหน้านั้นก็คิดว่าอยากเป็น Web Developer เป็นหลัก ด้านความปลอดภัยคอมพิวเตอร์ก็เคยลองอ่านบทความดูบ้างแต่พบว่าไม่เข้าใจเท่าไหร่ แต่มีช่วงหนึ่งได้ไปเล่นเกม capture the flag (CTF) แล้วเห็นว่ามีคนทำได้กันเยอะ และลองเล่นเว็บ TRY2HACK มันมีเฉลยก็ได้ลองทำตาม ก็เจอว่าเราทำเว็บมาตั้งนานไม่เคยรู้ว่าภายในมันมีอะไรแบบนี้ด้วยก็เลยขอเรียนเพิ่มเติม

ตอนนี้เรียนจบรึยัง

ก็น่าจะดูครบแล้วครับ ดูเรียนก็ฟังผ่านๆ ไป บางครั้งก็เล่นเกมไปด้วยแล้วเปิดเสียงวิดีโอฟังไปด้วย ไม่เข้าใจตรงไหนก็กลับไปดูซ้ำอีกที แต่ที่เข้าใจจริงๆ ก็คงประมาณ 40%

มองว่าที่ได้รางวัลจากเฟซบุ๊กแบบนี้เพราะอะไร ได้ลองหลายช่องโหว่

น่าจะเป็นพรหมลิขิตมากกว่า เพราะมองบั๊กแล้วสงสัยว่าเขาทำยังไง บั๊กอื่นดูจะซับซ้อนจนทำตามลำบาก แต่บั๊กนี้ดูจะพอทำตามได้ก็ลองทำตามดู เพราะใช้แค่ Developer Tools เข้าไปแก้เท่านั้นนิดเดียวก็จะเปลี่ยนภาพหน้าอีเวนต์ได้แล้ว

alt="upic.me"

หลังจากรายงานกลับไปมาหลายรอบ เมื่อเฟซบุ๊กยืนยันว่ารายงานถูกต้องก็จะแจ้งจ่ายเงินแบบนี้

ตอนรายงานไปยังเฟซบุ๊กคิดยังไง คิดว่าจะได้เงินไหม

ตอนแรกไม่คิดว่าจะได้ แค่อยากบอกเขาเฉยๆ ว่าบั๊กที่เขาบอกว่าแก้แล้วยังมีบั๊กอยู่ ตอนรายงานด้วยความที่ภาษาไม่ดีเท่าไหร่ก็ใช้ Google Translate แปลรายงานไปให้ทางเฟซบุ๊กแล้วอัดวิดีโอแสดงให้เขาเห็นว่าบั๊กยังใช้งานได้อยู่ ระหว่างนั้นก็ถามคุณกิตตินันท์ (Kittinan Srithaworn - ตั๋น) ที่น่าจะเป็นคนไทยที่ได้รางวัลเป็นคนแรกว่าต้องส่งข้อมูลอะไรบ้าง

เฟซบุ๊กตอบกลับมาครั้งแรกก็บอกว่าที่เราแก้เป็นเฉพาะในเบราว์เซอร์เราอย่างเดียว หน้า เราก็พยายามตอบกลับไปอีกหลายครั้งว่ายังไม่ได้แก้ เรียกเพื่อนคนอื่นมาลองสร้างอีเวนต์แล้วเข้าไปแก้ให้ แล้วทำวิดีโอ

รออยู่ประมาณสามวันเขาก็ตอบกลับมารับว่าเป็นบั๊ก อาจจะเพราะเขาอ่านที่ผมอธิบายไม่เข้าใจ

คิดว่าต่อไปจะสนใจทำงานสายนี้ต่อไหม

ก็ถ้ามีโอกาสทำได้ก็ดีครับ จากก่อนหน้านี้ที่อยากทำเว็บเห็นเพื่อนรับงานแล้วก็พบว่าลำบากพอสมควร ทำงานสายนี้ก็ดูจะน่าสนุกกว่า

ที่มหาวิทยาลัยมีวิชาแนวนี้ให้เลือกไหม อยากให้มหาวิทยาลัยส่งเสริมอะไรบ้าง

มีวิชาปีสี่ครับ แต่ถ้าอยากให้มหาวิทยาลัยมีอะไรก็อยากให้มีการแข่ง CTF ในมหาวิทยาลัย เพราะผมเองก็เริ่มศึกษาจากตรงนั้น

อยากฝากอะไรถึงคนที่ทำกำลังศึกษาช่องโหว่เว็บไซต์แบบเดียวกันอยู่บ้าง

มันไม่สำคัญว่าเราเป็นคนไทยหรือคนต่างชาติ อยู่ที่ว่าเรามุ่งมั่นคือไม่ ถ้าสนใจก็ให้ติดตามคนที่ทำงานสายนี้เพราะพี่ๆ มักจะแชร์บทความกันมาให้อ่านอยู่เรื่อยๆ อยู่แล้ว

Get latest news from Blognone

Comments

By: Mylive
Windows Phone
on 5 April 2016 - 16:21 #900922
Mylive's picture

ยอดเยี่ยม...


Mylive

By: dampreecha
iPhoneWindows PhoneAndroidBlackberry
on 5 April 2016 - 16:29 #900924

สุดยอดครับ


WhoAmI

By: sariarty
ContributoriPhoneAndroidRed Hat
on 5 April 2016 - 16:32 #900930
sariarty's picture

ลุงเล็กนี่หล่อจริงๆ
อยากให้วงการ Sec ไทยตื่นตัวกว่านี้มากเลย โดยเฉพาะ .gov 555+


ข้าขอทรยศต่อคนทั้งโลก ดีกว่าให้ใครมาทรยศข้า

By: KuLiKo
iPhoneWindows PhoneAndroidWindows
on 5 April 2016 - 19:01 #900966 Reply to:900930

งั้นมาเล่น CTF ด้วยเว็บ .gov กันครับ... //เผ่น

By: rakjang007
Android
on 5 April 2016 - 21:11 #900999

เก่งมากครับน้อง

อยากเรียนกับ อ.เล็กเลย


DreamHunter

By: iPlugz
ContributoriPhoneAndroidWindows
on 5 April 2016 - 21:18 #901002
iPlugz's picture

ค่ายเว็บที่ว่า น่าจะเป็นค่ายนั้นแน่ๆ


ywc#11

By: Fzo
ContributorAndroid
on 6 April 2016 - 22:53 #901247 Reply to:901002
Fzo's picture

ไม่อยากพูดถึงเลย หน้าไม่ใส ไม่ติดนะ ฮา


WE ARE THE 99%

By: panurat2000
ContributorSymbianUbuntuIn Love
on 5 April 2016 - 22:54 #901027
panurat2000's picture

ในชือโครงการ Facebook Bug Bounty

ชือ => ชื่อ

ก็บอกว่าที่เราแก้เป็นเฉพาะในเบราว์เซอร์เราอย่างเดียว หน้า เราก็พยายามตอบกลับ

หน้า ?