วันที่ 25 มีนาคม 2560

สัมภาษณ์ "สุวิชา บัวคอม เด็กบางมด" ที่รายงานช่องโหว่เฟซบุ๊กจนได้รางวัล 2,000 ดอลลาร์

เฟซบุ๊กเป็นหนึ่งในบริการที่เปิดให้นักวิจัยความปลอดภัยเข้าไปตรวจสอบและรายงานช่องโหว่ในชือโครงการ Facebook Bug Bounty โดยทางเฟซบุ๊กจะจ่ายเงินรางวัลเมื่อเรารายงานช่องโหว่ในระดับต่างๆ กันไป ที่ผ่านมามีคนไทยรายงานเข้าไปบ้าง แต่ครั้งล่าสุดที่ผมพบคือคุณสุวิชา บัวคอม หรือสมอส นักศึกษามหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี ที่สนใจศึกษาวิชาความปลอดภัยคอมพิวเตอร์ด้วยตัวเอง และรายงานช่องโหว่ไปยังทางเฟซบุ๊กจนได้รับเงินรางวัล 2,000 ดอลลาร์ คุณสุวิชาเล่าถึงประสบการณ์การพบบั๊กไว้ในเฟซบุ๊กของตัวเอง และวันนี้ผมได้มีโอกาสคุยกับคุณสุวิชาอีกครั้ง

คุณสุวิชาออกตัวเสมอๆ ว่าเป็นมีความรู้ด้านความมั่นคงปลอดภัยคอมพิวเตอร์ไม่มากนัก และสิ่งที่พบก็เป็นการลองตามสิ่งที่คนอื่นได้พบไว้ก่อนหน้า แต่อย่างไรก็ตามผมมองว่าคุณสุวิชาเป็นอีกตัวอย่างหนึ่งของคนที่มีความสนใจนอกเหนือจากวิชาเรียนปกติ และก็หาทางศึกษาและทดลองด้วยตัวเองจนกระทั่งรายงานตามกระบวนการ และได้มีโอกาสไปช่วยทำให้บริการที่กระทบต่อคนจำนวนมากอย่างเฟซบุ๊กปลอดภัยขึ้นในที่สุด

ช่องโหว่ที่คุณสุวิชารายงานเป็นช่องโหว่เปลี่ยนภาพ cover หน้าอีเวนต์โดยคนที่ไม่มีสิทธิ์เปลี่ยน ค้นพบโดย Roy Castillo คุณสุวิชาพบว่าแม้จะมีหน้าจอแจ้งเตือนขึ้นมาว่าไม่สามารถเปลี่ยนภาพ cover อีเวนต์ของคนอื่นๆ ได้แล้วก็ตาม แต่ที่จริงแล้วเฟซบุ๊กยังคงปล่อยให้คนที่ไม่มีสิทธิสามารถเข้าไปแก้ไขภาพ cover ได้อยู่

ฝึกหัดคอมพิวเตอร์มานานยังครับ

ได้เล่นมาตั้งแต่ที่โรงเรียนอนุบาลสมัย Windows 98 แต่มีคอมพิวเตอร์เป็นของตัวเองจริงๆ ก็สมัยมัธยมสอง ตอนนั้นแม่เปลี่ยนโน้ตบุ๊กก็ได้มาใช้ ก่อนหน้านั้นในโรงเรียนก็เคยเรียนทำเว็บมาตั้งแต่สมัยประถมหกพอได้คอมพิวเตอร์ก็เอามาลองทำเว็บเองต่อ พอขึ้นมัธยมอาจารย์ที่โรงเรียนสร้างคอมวิทยา ที่จังหวัดอุดรธานี ก็เห็นว่าทำเว็บได้ก็ได้ส่งไปแข่งในจังหวัดบ้าง

หลังจากนั้นพอมัธยมปลายก็ลองหัดเขียนโปรแกรมด้วยตัวเอง ก็ลองหัดเขียนภาษาซีก่อนจะที่โรงเรียนจะสอน Visual Basic ในตอนหลัง

แล้วหลังจากนั้นก็เข้ามหาวิทยาลัย ทำไมถึงเลือกเรียนที่บางมด

ผมเคยมาเข้าค่ายที่บางมดก็คิดว่าน่าสนใจ ตอนที่สอบเข้ามหาวิทยาลัยก็มองไว้ที่นี่กับที่ลาดกระบังแต่ติดที่นี่ก่อนก็เลยเอาที่นี่เลย เท่าที่เรียนก็เป็นไปตามที่หวัง แต่ก็เกรดไม่ดีนักประมาณสองกว่าๆ เท่านั้น

upic.me

เมื่ออาจารย์และศิษย์มาเจอกัน

แล้วทำไมมาเลือกเรียนวิชาความปลอดภัยคอมพิวเตอร์

ตอนแรกสนใจอยากทำเว็บ ก็พยายามสมัครค่ายเว็บแต่ไม่ติดสักที ก็เลยคิดว่าหาอย่างอื่นทำ เลยขอเงินแม่ไปสมัครคอร์สความปลอดภัยคอมพิวเตอร์ของตาเล็ก วินโด้เก้าแปดเอสอี เป็นคอร์สออนไลน์ดูที่บ้านได้ ตอนขอเงินแม่มาเรียนก็บอกไปว่าเกรดไม่ดี ขอเงินเรียนพิเศษ

แต่ก่อนหน้านี้ก็ไม่ได้สนใจความปลอดภัยคอมพิวเตอร์?

ก่อนหน้านั้นก็คิดว่าอยากเป็น Web Developer เป็นหลัก ด้านความปลอดภัยคอมพิวเตอร์ก็เคยลองอ่านบทความดูบ้างแต่พบว่าไม่เข้าใจเท่าไหร่ แต่มีช่วงหนึ่งได้ไปเล่นเกม capture the flag (CTF) แล้วเห็นว่ามีคนทำได้กันเยอะ และลองเล่นเว็บTRY2HACK มันมีเฉลยก็ได้ลองทำตาม ก็เจอว่าเราทำเว็บมาตั้งนานไม่เคยรู้ว่าภายในมันมีอะไรแบบนี้ด้วยก็เลยขอเรียนเพิ่มเติม

ก็น่าจะดูครบแล้วครับ ดูเรียนก็ฟังผ่านๆ ไป บางครั้งก็เล่นเกมไปด้วยแล้วเปิดเสียงวิดีโอฟังไปด้วย ไม่เข้าใจตรงไหนก็กลับไปดูซ้ำอีกที แต่ที่เข้าใจจริงๆ ก็คงประมาณ 40%

มองว่าที่ได้รางวัลจากเฟซบุ๊กแบบนี้เพราะอะไร ได้ลองหลายช่องโหว่

น่าจะเป็นพรหมลิขิตมากกว่า เพราะมองบั๊กแล้วสงสัยว่าเขาทำยังไง บั๊กอื่นดูจะซับซ้อนจนทำตามลำบาก แต่บั๊กนี้ดูจะพอทำตามได้ก็ลองทำตามดู เพราะใช้แค่ Developer Tools เข้าไปแก้เท่านั้นนิดเดียวก็จะเปลี่ยนภาพหน้าอีเวนต์ได้แล้ว

upic.me

หลังจากรายงานกลับไปมาหลายรอบ เมื่อเฟซบุ๊กยืนยันว่ารายงานถูกต้องก็จะแจ้งจ่ายเงินแบบนี้

ตอนรายงานไปยังเฟซบุ๊กคิดยังไง คิดว่าจะได้เงินไหม

ตอนแรกไม่คิดว่าจะได้ แค่อยากบอกเขาเฉยๆ ว่าบั๊กที่เขาบอกว่าแก้แล้วยังมีบั๊กอยู่ ตอนรายงานด้วยความที่ภาษาไม่ดีเท่าไหร่ก็ใช้ Google Translate แปลรายงานไปให้ทางเฟซบุ๊กแล้วอัดวิดีโอแสดงให้เขาเห็นว่าบั๊กยังใช้งานได้อยู่ ระหว่างนั้นก็ถามคุณกิตตินันท์ (Kittinan Srithaworn - ตั๋น) ที่น่าจะเป็นคนไทยที่ได้รางวัลเป็นคนแรกว่าต้องส่งข้อมูลอะไรบ้าง

เฟซบุ๊กตอบกลับมาครั้งแรกก็บอกว่าที่เราแก้เป็นเฉพาะในเบราว์เซอร์เราอย่างเดียว หน้า เราก็พยายามตอบกลับไปอีกหลายครั้งว่ายังไม่ได้แก้ เรียกเพื่อนคนอื่นมาลองสร้างอีเวนต์แล้วเข้าไปแก้ให้ แล้วทำวิดีโอ

รออยู่ประมาณสามวันเขาก็ตอบกลับมารับว่าเป็นบั๊ก อาจจะเพราะเขาอ่านที่ผมอธิบายไม่เข้าใจ

คิดว่าต่อไปจะสนใจทำงานสายนี้ต่อไหม

ก็ถ้ามีโอกาสทำได้ก็ดีครับ จากก่อนหน้านี้ที่อยากทำเว็บเห็นเพื่อนรับงานแล้วก็พบว่าลำบากพอสมควร ทำงานสายนี้ก็ดูจะน่าสนุกกว่า

ที่มหาวิทยาลัยมีวิชาแนวนี้ให้เลือกไหม อยากให้มหาวิทยาลัยส่งเสริมอะไรบ้าง

มีวิชาปีสี่ครับ แต่ถ้าอยากให้มหาวิทยาลัยมีอะไรก็อยากให้มีการแข่ง CTF ในมหาวิทยาลัย เพราะผมเองก็เริ่มศึกษาจากตรงนั้น

อยากฝากอะไรถึงคนที่ทำกำลังศึกษาช่องโหว่เว็บไซต์แบบเดียวกันอยู่บ้าง

มันไม่สำคัญว่าเราเป็นคนไทยหรือคนต่างชาติ อยู่ที่ว่าเรามุ่งมั่นคือไม่ ถ้าสนใจก็ให้ติดตามคนที่ทำงานสายนี้เพราะพี่ๆ มักจะแชร์บทความกันมาให้อ่านอยู่เรื่อยๆ อยู่แล้ว

Credit   https://www.blognone.com/node/79729

abac