Credit : pergaminovirtual.com.ar
Kevin Mitnick แฮกเกอร์ชื่อดังที่ผันตัวมาเป็น Security Consultant เป็นเวลา 5 ปีมาแล้วในคุกของรัฐบาลสหรัฐ เขาได้พูดถึงการเจาะระบบเพื่อหาผลประโยชน์เข้าตัว ความปลอดภัยของคอมพิวเตอร์ และ เขาเปลี่ยนจากสิ่งที่ผิดกฏหมายมาเป็นงานที่มีประโยชน์ได้อย่างไร
1- Hacking was't always illegal
ผม เริ่มต้นกับสิ่งที่เรียกกันว่า "Phone Phreaking" หรือการแฮกระบบโทรศัพท์ในช่วงปลายยุค 70 ซึ่งเป็นงานอดิเรกเดียวกับผู้ก่อตั้ง Apple นั่นคือ Steve Jos และ Steve Wozniak ที่ได้เคยเล่นมาก่อน
ในช่วงปี 1978 นั้นไม่มีกฏหมายใด ๆ บัญญัติขึ้นมาเพื่อปิดช่องโหว่เหล่านี้ กฏหมายแรกที่จัดการกับการเจาะระบบนั้นมีขึ้นในปี 1988 ใน California ซึ่งเขาได้ทำมันก่อนที่จะเรียกว่าผิดกฏหมาย ซึ่งสิ่งที่ผมสนใจนั้น มันแค่เป็นสิ่งบันเทิงก็เท่านั้น สิ่งเหล่านี้ไม่ได้เกิดจากการที่อยางได้สตางค์ หรือ พยาบาทใครแต่อย่างใด และ ไม่ใช่เพื่อเปิดเผย หรือ ทำลายข้อมูลด้วย
2- Learn the rules before you play the game
ผม รู้ว่าการเจาะระบบนั้นต้องทำอย่างลับ ๆ ในตอนเริ่มต้นแต่ผมไม่เคยคิดมาก่อนว่าสิ่งนี้จะทำให้ผมเจอเข้ากับปัญหา ย้อนกลับไปในวันนั้นไม่ดีใครที่จะมาสอนเกี่ยวกับจริยธรรมในการเจาะระบบ คอมพิวเตอร์เลย ตอนนี้ผมได้สอนเด็ก ๆ ว่าจงอย่าเดินตามรอยผม ปัจจุบันนี้คอมพิวเตอร์สามารถเข้าถึงสิ่งต่าง ๆ ได้ง่ายขึ้นนั่นคงทำให้มีเรื่องราวเกี่ยวกับจริยธรรมเกี่ยวกับความปลอดภัย ของคอมพิวเตอร์ให้อ่านมากขึ้น และแถมยังเป็นกฏหมายอีกด้วย
3- Not everyone takes security seriously
ผมเคยได้ทดสอบระบบของทางสถาบันการเงินแห่งหนึ่งและพวกเขาต้องปฏิบัติตามกฏ Sarbanes-Oxley และข้อบังคับอื่น ๆ ผมได้ทำการประเมินความปลอดภัยของพวกเขาเมื่อ 4 ปีที่แล้วและมันน่าแปลกใจมากที่ทุกครั้งผลออกมาเหมือนเดิมพวกเขาทำ Security Audit เพื่อหาช่องโหว่แต่ก็ยังไม่ดีพอสำหรับผม
4- Use your power for good, not evil
เมื่อ ผมเป็นอิสระในปี 2000 ทางรัฐบาลสหรัฐได้ชวนผมไปช่วยวุฒิสมาชิกสองท่านคือ Fred Thompson และ Joseph Lieberman พวกเขาได้เชิญผมให้เป็นพยานต่อหน้าสภาคองเกรสในเรื่องของช่องโหว่ของระบบ คอมพิวเตอร์ของรัฐบาลเมื่อผมถูกปลดปล่อยเหมือนการได้เริ่มชีวิตใหม่ กับงานด้านความปลอดภัยที่หรูหรา ประเมินความปลอดภัย และ ประเมินค่าผลิตภัณฑ์ต่าง ๆ มันเหมือนการถอยหลังออกจากความโชคร้าย เมื่อก่อนสิ่งที่ผมได้ทำนั้นมันน่าตื่นเต้นแต่มันผิดกฏหมาย แต่ตอนนี้ผมทำสิ่งที่เคยทำให้ผมเจอปัญหามันเป็นอภิสิทธิ์สำหรับผม
ลูกค้าจะนำระบบเครือข่ายของเขามานำเสนอแล้วผมจะทำการเจาะให้พวกเขาเห็น แล้วพวกเขาก็กลับไปแก้ข้อบกพร่องที่ผมได้พิสูจน์ สำหรับผมทุกอย่างเหมือนเดิมแต่ลูกค้าผมได้ประโยชน์และไม่ผิดกฏหมายอีกด้วย มันคือ win-win มันน่าสนใจตรงที่คุณสามารถก่ออาจญากรรมเช่นการเจาะระบบแต่มันกลับเป็นงานที่ ไม่มีบทลงโทษ ผมคิดว่าไม่มีสิ่งใดแล้วล่ะที่จะทำใด้เหมือนกับสิ่งนี้
5- Even hackers get hacked
มี คนพบช่องโหว่การโจมตีของ web server ของผม ถึงอย่างไรก็ตามนั่นคือที่ ๆ เว็บไซต์ผมไปวางอยู่ และเป็นบริษัท third-party hosting ดังนั้นเมื่อคุณเห็นเหมือนกับว่าเว็บผมโดนแฮกนั้น มันไม่ใช่เว็บผมหรอก แน่นอนผมต้องอายอยู่แล้วและผมก็ไม่ชอบมัน โชคดีที่ไม่มีข้อมูลส่วนตัวใด ๆ ของผมอยู่ใน Server สาธารณะนั่น ใน แง่ลบนั้นผู้คนจะพากันคิดว่าบริษัทของผมถูกแฮก แต่ที่จริงแล้วมันเป็นเพียงบริษัท hosting เท่านั้นมิใช่ช่องโหว่ของ site ผมแต่อย่างใด
ที่มา : pcworld
Posts
No comments:
Post a Comment