ท่ามกลางกลุ่มแฮกเกอร์นับพันนับหมื่นทั่วโลก ภายใต้ความเสียหายที่ไม่อาจประเมินค่าได้จากอาชญากรรมออนไลน์ โลกนี้ก็ยังมีแฮกเกอร์ระดับซูเปอร์กรุ๊ปกลุ่มหนึ่งที่สวมหมวกแห่งคุณธรรม คอยจัดการกับเหล่าร้ายที่หน้าจอ

พวกเขาคือ Project Zero นักรบไซเบอร์แห่ง Google

 

หน่วยกู้ภัยฉุกเฉิน

ณ บ่ายวันหนึ่งของเดือน ก.พ. 2017 Tavis Ormandy นักวิจัยด้านความปลอดภัยของ Google นั่งลงหน้าคอมพิวเตอร์เครื่องประจำในสำนักงานใหญ่ที่ แคลิฟอร์เนีย เพื่อทำการ ‘Fuzzing’ ทดสอบโค้ดทั่วไปด้วยเทคนิคเจาะข้อมูลซอฟท์แวร์แบบสุ่ม เพื่อค้นหาข้อผิดพลาด ก่อนพบว่ามีข้อมูลบางอย่างผิดสังเกต และตัดสินใจขุดลงไปให้ลึกขึ้นกว่าเดิม

หลังจากรวบรวมข้อมูลได้เพียงพอ Ormandy เรียกเพื่อนร่วมงานใน ‘Project Zero’ มาร่วมพิจารณา ทั้งหมดพบว่านี่คือสิ่งที่พวกเขากำลังมองหา – ข้อมูลที่มีการรั่วไหลระดับมหาศาลจากบริษัทผู้ดูแลเว็บไซต์ในซาน ฟรานซิสโก ‘Cloudflare’ ที่มีเว็บในความดูแลมากกว่า 6 ล้านไซต์ทั่วโลก

ปกติ เครือข่ายการจัดส่งเนื้อหาของ Cloudflare สามารถรองรับการประมวลผลได้มากถึง 10% ของปริมาณการใช้อินเทอร์เน็ตทั่วโลก โดยไม่เกิดปัญหา แต่ Ormandy ค้นพบว่าขณะนั้น เซิร์ฟเวอร์ของบริษัทมีการเปิดเผยข้อมูลส่วนตัวของผู้ใช้ และรั่วไหลเป็นเวลาหลายเดือนแล้วด้วย

Ormandy ไม่รู้จักใครใน Cloudflare เขาลังเลที่จะต่อสายไปยังที่นั่น เพื่อขอความช่วยเหลือเพิ่มเติม ขณะที่กำลังจะเข้าสู่ช่วงวันหยุดยาว 3 วัน สุดท้าย เขาเลือกใช้พลังโซเชียลอย่าง Twitter เพื่อให้ผู้คนที่ติดตามเขาอยู่นับหมื่นๆ คน ช่วยเป็นหูเป็นตา

“ถ้าคุณรู้จักใครที่เป็นฝ่ายความปลอดภัยของ Cloudflare โปรดติดต่อผมโดยด่วน” เขาทวีตในเย็นวันนั้น

Ormandy เลือกไม่ใส่ @ นำหน้าชื่อ Cloudflare เพื่อให้บริษัทรับรู้โดยตรง

แต่ด้วยชื่อเสียงของเขาในวงการ cyber security เพียง 15 นาทีหลังทวีต ข้อความของเขาก็แพร่กระจายเป็นวงกว้าง

และเรื่องก็ไปถึง John Graham-Cumming หัวหน้าฝ่ายเทคโนโลยี (CTO) ของ Cloudflare ตอนราวตีหนึ่งครึ่งของประเทศอังกฤษ แม้จะตื่นมารับโทรศัพท์ไม่ทัน แต่เจ้าตัวก็พบข้อความที่ค้างอยู่หน้าจอว่า “เกิดเรื่องใหญ่แล้ว”

Graham-Cumming เด้งตัวขึ้นจากเตียงนอนทันที ก่อนพิมพ์ตอบกลับไปว่า “ผมจะออนไลน์เดี๋ยวนี้”

เมื่อแล็ปท็อปพร้อมทำงาน เขาก็เริ่มติดต่อกับเพื่อนร่วมงานของ Cloudflare ในอีกซีกโลก ที่แคลิฟอร์เนีย ก่อนรับทราบเรื่องที่ Project Zero ของ Google ตรวจพบบั๊กระดับร้ายแรงในโครงสร้างพื้นฐานของ Cloudflare 

เซิร์ฟเวอร์ที่โดนโจมตีจนข้อมูลรั่วไหล มีเว็บไซต์ของลูกค้ากว่า 6 ล้านรายอยู่ในนั้น รวมถึงองค์กรใหญ่อย่าง FBI, Nasdaq และ Reddit ด้วย

เรื่องที่ใหญ่กว่า คือการที่ข้อมูลที่รั่วไหลเกิดขึ้นเป็นเวลาหลายเดือนแล้ว และการปิดกั้นเฉพาะหน้า ก็ไม่สามารถแก้ปัญหาได้อย่างสมบูรณ์ “มันเหมือนการทะลักของน้ำมัน” Graham-Cumming เผย “มันอาจจะง่ายในการอุดรูรั่วของถังน้ำมัน แต่งานหนักกว่าที่รออยู่ คือการทำความสะอาดบริเวณโดยรอบให้เรียบร้อย”

มันคือช่วงเวลา ‘งานเข้า’ ของ Cloudflare โดยแท้ Marc Rogers หัวหน้าฝ่ายความปลอดภัยของบริษัท ผู้ซึ่งสวมหมวกอีกใบในฐานะที่ปรึกษาของกลุ่มเครือข่ายแฮกเกอร์ Mr. Robot ต้องเข้ามาร่วมด้วย

หนึ่งชั่วโมงผ่านไป พวกเขาก็ช่วยกันหยุดยั้งการรั่วไหลได้ และอีกหลายชั่วโมงต่อมา ช่างเทคนิคก็ประสบความสำเร็จในการเรียกคืนฟังก์ชันที่ทำให้เกิดข้อผิดพลาด ทั้งหมดนี้เกิดขึ้นในเวลาเพียง 7 ชั่วโมงหลังจากที่ Ormandy ทวีตออกไป

ทีมวิศวกรของ Cloudflare ยังมีงานต่อในการล้างแคชของหน้าเว็บที่ปรากฏบนเสิร์ชเอ็นจิ้นหลักๆ ทั้ง Google, Microsoft และ Yahoo ส่วนทีมงานที่เหลือ ก็ต้องประเมินว่ามีชุดข้อมูลประเภทใดที่รั่วไหลออกไป ในปริมาณมากน้อยแค่ไหน เช่นเดียวกับขอบข่ายความเสียหายที่เกิดขึ้น

การตอบสนองอย่างรวดเร็วของ Cloudflare ต่อเรื่องที่เกิดขึ้นทำให้ Project Zero รู้สึกประทับใจ

แต่กลับล่าช้าอย่างมากในการเปิดเผยต่อสาธารณชน Cloudflare กลับเลื่อนกำหนดครั้งครั้งเล่า จน Google ต้องยื่นคำขาดว่าจะออกประกาศต่อสาธารณชนภายในวันพฤหัสบดีที่ 23 ก.พ. ไม่ว่า Cloudflare จะเสร็จสิ้นขั้นตอนการประเมินแล้วหรือไม่

Ormandy ตั้งชื่อเหตุการณ์นี้ว่า ‘Cloudbleed’

 

Tavis Ormandy หนึ่งในคนสำคัญของ Project Zero

 

วิกฤตด้านความปลอดภัย

ในโลกยุคปัจจุบัน เราต่างทราบดีว่าวิกฤตด้านความปลอดภัยในโลกออนไลน์กำลังเพิ่มจำนวนขึ้น

เมื่อทุกบริษัทต่างใช้งานเทคโนโลยี อัตราการแฮ็กข้อมูลจึงเพิ่มขึ้นเป็นเงาตามตัว มีทั้งการดูดข้อมูลบัญชีธนาคาร, สอดแนมบุคคล หรือแม้กระทั่งแทรกแซงการเลือกตั้ง

เฉพาะในปี 2016 จากการเปิดเผยของ Ponemon Institute ที่ได้รับการสนับสนุนจาก IBM พบว่ามีการลักลอบเข้าถึงข้อมูลของบริษัทต่างๆ ในสหรัฐฯ เพิ่มขึ้นจากปีก่อนถึง 40 เปอร์เซ็นต์ และมูลค่าความเสียหายเฉลี่ยของแต่ละบริษัทก็อยู่ที่ 3.6 ล้านดอลลาร์

ไม่ว่าจะเป็นผลจากข้อผิดพลาดของโปรแกรมเมอร์ หรือแฮกเกอร์ที่ลอบโจมตีจากประเทศอื่น ก็นับรวมได้ว่าการรั่วไหลของข้อมูลคือบรรทัดฐานใหม่ที่ทุกบริษัทต้องให้ความสำคัญ

กระนั้น ก็ไม่ใช่เรื่องง่ายในการจัดการ เมื่อหลายองค์กรไม่ได้จัดลำดับว่าความปลอดภัยทางไซเบอร์ เป็นลำดับแรกๆที่ต้องให้ความสำคัญ

จากการสำรวจของ Veracode ในปี 2017 ที่ผ่านมา 83% ของผู้จัดการด้าน IT ยอมรับว่าเคยทำพลาดจนรหัสหลุดรอดออกไป ก่อนที่จะทดสอบข้อบกพร่องหรือแก้ปัญหาด้านความปลอดภัย

ขณะเดียวกัน อุตสาหกรรมการความปลอดภัยทางไซเบอร์ ก็ยังขาดแคลนบุคลากร ตามที่ Cisco คาดการณ์ว่าผู้เชี่ยวชาญในสายนี้ ยังขาดแคลนอยู่กว่า 1 ล้านตำแหน่งทั่วโลก ส่วน Symantec คาดว่าจะเพิ่มเป็น 1.5 ล้านตำแหน่งภายในปี 2019 และอาจไปไกลถึตง 3.5 ล้านตำแหน่งในปี 2021 ด้วย

 

Operation Aurora

 

 

บริษัทจำนวนมากซึ่งรวมถึง Microsoft และ Apple มีทีมวิจัยด้านความปลอดภัยสำหรับตรวจสอบซอฟต์แวร์ของตัวเอง แต่มีเพียงไม่กี่ทีมที่มุ่งเน้นไปยังการตรวจสอบซอฟต์แวร์ของบริษัทอื่นๆ นั่นคือสิ่งที่ทำให้ Project Zero มีความแตกต่าง

แม้จะมีฉากหน้าเป็นพนักงานธรรมดาๆ แต่แน่นอนว่าหมวกอีกใบของคนเหล่านี้คือ ‘แฮกเกอร์’ ที่รู้ลึกรู้จริง รู้ทุกสิ่งเท่าที่คนในสายนี้ควรรู้

Project Zero ที่ประกอบด้วย Ormandy และทีมงานนับสิบคน มีเจตนารมณ์ชัดว่าพวกเขาไม่มีขอบเขตในการทำงาน

ทุกสิ่งที่อยู่ในบนเครือข่ายอินเทอร์เน็ตคือ Fair Game และการรักษาความปลอดภัยในโลกไซเบอร์ไม่ได้ส่งผลดีต่อมนุษยชาติเพียงเท่านั้น แต่คือประโยชน์โดยตรงของธุรกิจด้วย

Project Zero (ชื่อหมายถึงจำนวนวัน ‘0 วัน’ ที่ผู้เสียหายไม่มีเวลาจัดการกับบั๊กได้ทัน) ก่อตั้งอย่างเป็นทางการในปี 2014 แต่ที่จริงต้องย้อนหลังไปประมาณ 5 ปี สมัยยังใช้ชื่อว่า ‘Operation Aurora’ เพื่อรับมือกับเหตุฉุกเฉินของ Google เอง

หนึ่งในนั้น เกิดขึ้นเมื่อปี 2009 แฮกเกอร์ซึ่งมีความเกี่ยวข้องกับรัฐบาลจีน พยายามเจาะฐานข้อมูลของ Google และบริษัทใหญ่อื่นๆ อีกจำนวนหนึ่ง เพื่อเข้าถึงเซิร์ฟเวอร์ ขโมยทรัพย์สินทางปัญญา และสอดแนม ความเสียหายที่เกิดขึั้นหนักหนาจต Google ต้องถอนตัวจากจีนซึ่งเป็นตลาดใหญ่ที่สุดในโลก

สิ่งที่เกิดขึ้นทำให้ Sergey Brin ผู้ร่วมก่อตั้ง Google ฉุกคิดขึ้นว่าทำไมโครงสร้างความปลอดภัยของบริษัท ต้องไปยึดโยงกับผลิตภัณฑ์ของบริษัทอื่นๆ เพราะช่องโหว่ที่ไม่ได้รับการแก้ไข จนถูกเจาะนั้น เป็นของ Microsoft Internet Explorer 6 ไม่ใช่ความผิดพลาดของซอฟท์แวร์ Google

หลายเดือนให้หลัง Google ออกแอ็กชั่นมากขึ้นในการเรียกร้องให้บริษัทอื่นๆ แก้ไขข้อบกพร่องในโค้ดซอฟต์แวร์ของตน โดยมีนักล่าบั๊กอย่าง Tavis Ormandy เป็นหัวขบวน

หลังจาก Operation Aurora เปิดตัวแล้ว Ormandy ก็เผยข้อบกพร่องในระบบปฏิบัติการ Windows ของ Microsoft ที่เขาพบ ว่าเป็นช่องโหว่ให้ผู้บุกรุกเข้าโจมตีเครื่องของผู้ใช้ได้ และเปิดเผยซ้ำอีกครั้ง อย่างละเอียดในปี 2010 ด้วยความคิดที่ว่า ถ้า Microsoft ไม่อาจแก้ไขปัญหาได้ อย่างน้อยผู้คนก็ควรรู้เกี่ยวกับปัญหา เพื่อหาทางออกได้

ไม่กี่เดือนหลังจากนั้น เขายังพบบั๊กในลักษณะเดียวกันที่เล่นงานซอฟท์แวร์ Java ของ Oracle ด้วย

 

รวบรวมยอดฝีมือ

Google ดำเนินการอย่างเงียบๆ เพื่อให้ทีมนี้กลายเป็น ‘Project Zero’ ในปี 2014 โดยมอบหมายให้ Chris Evans อดีตหัวหน้าฝ่ายความปลอดภัยของ Google Chrome เป็นหัวหน้าโครงการ

เขาเริ่มฟอร์มทีมจากพนักงาน Google และคนอื่นๆ เช่น Tavis Ormandy, Ian Beer นักวิจัยด้านความปลอดภัยชาวอังกฤษ ซึ่งตั้งรกรากอยู่ในสวิตเซอร์แลนด์, Ben Hawkes ที่มีผลงานแก้บั๊กให้ Adobe Flash หรือ Microsoft Office และ George Hotz ผู้ชนะการแข่งแฮกเกอร์ Google Chrome เจ้าของรางวัล 150,000 ดอลลาร์

ในช่วงแรกเริ่ม Project Zero ได้รับความสนใจและตั้งคำถามจากผู้ใช้ทวิตเตอร์หลายรายว่ามันคืออะไรแน่ แต่ความคลางแคลงนี้ก็เริ่มคลี่คลาย เมื่อบริษัทชั้นนำอย่าง Apple หรือ Microsoft แถลงว่าได้รับความช่วยเหลือจากแฮกเกอร์กลุ่มนี้ในหลายๆโอกาส

“คุณควรจะสามารถใช้งานอินเทอร์เน็ตได้โดยไม่ต้องกังวลว่าจะถูกอาชญากรเข้าเล่นงานซอฟท์แวร์หรือคอมพิวเตอร์ ล้วงความลับหรือจับตาดูการสนทนาของคุณ” Evans เผยในเวลาต่อมา และกล่าวถึงอาชญากรรมไซเบอร์ที่เกิดขึ้นกับหลายบริษัทว่า “สิ่งเหล่านี้ต้องยุติลงได้แล้ว”

“ฐานรากของ Project Zero มีที่มาจากการสนทนาที่เต็มไปด้วยสาระในช่วงมื้อกลางวัน เป็นเวลาหลายปี และการเฝ้าสังเกตวิวัฒนาการของการโจมตีอยู่หลายปีเช่นกัน”

อย่างไรก็ตาม Evans จากทีมไปใน 1 ปีถัดมาเพื่อเข้ารับงานใหม่กับ Tesla และตอนนี้เป็นที่ปรึกษาให้กับสตาร์ทอัพเทคโนโลยี HackerOne โดยมี Ben Hawkes ขยับขึ้นเป็นหัวหน้าทีม Project Zero แทน

 

แฮกเกอร์ชั้นยอด

 

 

แนวทางสำคัญอย่างหนึ่งของ Project Zero คือการตั้งเงื่อนไขทางเวลาเป็นจำนวน ’90 วัน’ ให้กับบริษัทหรือเจ้าของซอฟท์แวร์ที่ถูกตรวจพบบั๊ก ว่าหลังจากทีมตรวจพบปัญหาและรายงานสู่ต้นทางแล้ว บริษัทจะต้องออกแพตช์แก้และประกาศสู่สาธารณชนภายในเวลา 90 วัน นี่คือเส้นตาย มิฉะนั้น Project Zero จะเป็นผู้เปิดเผยช่องโหว่นี้เอง

ในช่วงสามปีนับแต่ก่อตั้ง Project Zero อย่างเป็นทางการ ทีมนี้ได้กลายเป็นกลุ่ม ‘Elite Hacker’ ที่สร้างชื่อด้วยการเป็นหนึ่งในผู้ทำลายล้างบั๊กคอมพิวเตอร์ที่มีประสิทธิภาพมากที่สุดในโลก (แม้ว่าผู้บริโภคจะไม่รู้จักชื่อคนในทีมเลยก็ตาม)

มี.ค. ปี 2017 พวกเขาตรวจพบความผิดปกติในฐานข้อมูลของ LastPass บริการจัดการรหัสผ่านพรีเมียมที่มีบริษัทผู้ใช้บริการอยู่ทั่วโลก เพียง 3 วันให้หลัง LastPass ก็แก้ไขปัญหานี้ได้อย่างลุล่วง

เมื่อเดือน ก.พ. ที่ผ่านมา Project Zero ก็พบว่าซอฟต์แวร์ uTorrent มีช่องโหว่อยู่หลายจุด ทำให้แฮกเกอร์สามารถทำการรันโค้ดได้จากระยะไกล, ติดตั้งมัลแวร์ในโฟลเดอร์ของ Windows, คัดลอกไฟล์ที่ผู้ใช้ดาวน์โหลดมาแล้ว รวมถึงดูประวัติการดาวน์โหลดได้ ซึ่งเมื่อทราบข้อมูลทั้งหมดแล้ว uTorrent ก็ดำเนินการแก้ไขช่องโหว่ทุกจุดและออกแพตช์แก้ไขสำเร็จเรียบร้อยในเวลาต่อมา

จนถึงตอนนี้ Project Zero ค้นหาและช่วยแก้ไขช่องโหว่ในระบบเซิร์ฟเวอร์ออนไลน์มากกว่าหนึ่งพันแห่ง, สร้างซอฟท์แวร์ป้องกันไวรัส, สร้างระบบการจัดการรหัสผ่าน และซอฟท์แวร์อื่นๆ อีกทั้งยังเผยแพร่บทความผ่านบล็อกมากกว่า 70 เรื่อง บางเรื่องในนั้นเป็นงานวิจัยด้านความปลอดภัยสาธารณะที่ดีที่สุดเท่าที่มีอยู่ในโลกออนไลน์เวลานี้

แม้อาจฟังดูเป็นคำยกย่องที่เกินเลยไปบ้าง แต่มนุษยชาติก็กำลัง ‘ติดหนี้’ พวกเขาอยู่ สำหรับความพยายามสร้างความปลอดภัยในการใช้งานอุปกรณ์และบริการดิจิทัลทั้งหลายแหล่ในชีวิตประจำวัน

 

AHEAD TAKEAWAY

แม้จะกล่าวว่าต้นกำเนิดของ Project Zero เกิดขึ้นง่ายๆบนโต๊ะอาหาร แต่บทบาทของเหล่าแฮกเกอร์กลุ่มนี้ เข้มข้นและจริงจังกว่านั้นมาก

ความน่าทึ่งอีกอย่างคือ Google ไม่ได้สร้าง Project Zero ขึ้นมาใช้เฉพาะในองค์กรตัวเอง แต่เพื่อตรวจสอบความเสียหายที่เกิดขึ้นบนโลกไซเบอร์ กับทุกบริษัททุกองค์กรที่สามารถเข้าถึงได้

Matthew Prince ซีอีโอและผู้ร่วมก่อตั้ง Cloudflare ยอมรับว่ากรณี ‘Cloudbleed’ ที่เกิดขึ้น สร้างความเสียหายเทียบเท่ากับมูลค่ารายรับของบริษัทประมาณ 1 เดือนเต็ม

“ผมบนหัวผมหงอกขึ้นอีกเพียบเลย แถมอายุก็น่าจะสั้นลงอีกซักปีได้ สิ่งเหล่านี้เป็นผลมาจากความวุ่นวายในช่วงนั้น” และรับว่าถ้าไม่ได้ Project Zero ช่วยไว้ คงแย่กว่านี้อีก “ขอบคุณพระเจ้าที่ Tavis Ormandy และทีมของเขาที่เป็นคนตรวจพบ ไม่ใช่แฮกเกอร์บ้าๆ กลุ่มอื่น” 

สิ่งนี้แสดงให้เห็นว่า บริษัทระดับโลก “ที่แท้จริง” ให้ความสำคัญกับการรักษาความปลอดภัยของข้อมูลขนาดไหน และพร้อมให้เครดิตกับผู้ค้นพบช่องโหว่

มากกว่าที่จะบ่ายเบี่ยงปัดความรับผิดชอบ แถมกล่าวโทษ และพยายามเอาผิดคนแจ้งเรื่อง เหมือนอย่างที่เกิดขึ้นในบางประเทศ

 

เรียบเรียงจาก
Google’s Elite Hacker SWAT Team vs. Everyone

 

สำหรับเพื่อนๆ ที่สนใจเรื่องราวเกี่ยวกับนวัตกรรมและธุรกิจ และต้องการพัฒนาตัวเองเพื่ออยู่ข้างหน้าเสมอ สามารถกด like เพจ AHEAD ASIA เพื่อติดตามเรื่องราวที่มีประโยชน์ และข่าวสารกิจกรรมที่น่าสนใจได้อย่างต่อเนื่อง เพื่อให้เราเติบโตและก้าวไปข้างหน้าพร้อมๆ กัน