Kevin Mitnick แฮกเกอร์ที่ FBI เคยต้องการตัวมากที่สุด /โดย ลงทุนแมน
เมื่อ 30 กว่าปีก่อน มีบุคคลหนึ่งที่ FBI ไล่ตามจับกุมอย่างแทบเป็นแทบตาย
จนเขาถูกขึ้นบัญชีเป็นอาชญากรที่ทางการของสหรัฐอเมริกาต้องการตัวมากที่สุด
เขาคนนั้น คือ Kevin Mitnick แฮกเกอร์ที่สร้างวีรกรรมไว้มากที่สุดในประเทศสหรัฐอเมริกา
ด้วยการแฮกบริษัทระดับชาติและหน่วยงานรัฐรวมแล้วทั้งหมด 40 กว่าแห่ง
แต่ในเวลาต่อมา เขาคนนี้กลับได้กลายเป็นคนสำคัญในการพัฒนาวงการ Cyber Security
หรือความปลอดภัยบนโลกไซเบอร์ ที่บริษัทระดับชาติและหน่วยงานรัฐต่าง ๆ ยอมรับกัน
เรื่องราวของ Kevin Mitnick น่าสนใจอย่างไร ?
ลงทุนแมนจะเล่าให้ฟัง
╔═══════════╗
Blockdit เป็นแพลตฟอร์ม สำหรับนักอ่าน และนักเขียน
ที่มีผู้ใช้งาน 1 ล้านคน ลองใช้แพลตฟอร์มนี้เพื่อได้ไอเดียใหม่ๆ
แล้วอาจพบว่าสังคมนี้เหมาะกับคนเช่นคุณ
Blockdit. Ideas Happen. Blockdit.com/download
╚═══════════╝
Kevin Mitnick เกิดเมื่อปี 1963 ที่แคลิฟอร์เนีย ประเทศสหรัฐอเมริกา
ด้วยความที่เขาเติบโตท่ามกลางยุคโทรศัพท์และเทคโนโลยีคอมพิวเตอร์เพิ่งเกิดขึ้นใหม่
สิ่งเหล่านี้จึงช่วยหล่อหลอมให้เขามีความหลงใหลและมีทักษะด้านเทคโนโลยีตั้งแต่วัยเด็ก
แต่สิ่งที่ Mitnick แตกต่างจากเด็กคนอื่น ๆ ที่ชื่นชอบเทคโนโลยีนั้น ก็คือเขาไม่ได้เป็นเพียงแค่ผู้ใช้งานเท่านั้น แต่เขามักพยายามหาผลประโยชน์จากช่องโหว่จากระบบต่าง ๆ อยู่เสมอ
ในวัย 12 ปี Mitnick เริ่มฉายแววการเป็นแฮกเกอร์ครั้งแรก เริ่มต้นจากการโกงตั๋วโดยสารรถเมล์
เมื่อก่อน รถเมล์ในประเทศสหรัฐอเมริกาจะใช้ตั๋วแบบเจาะรู
ดังนั้นหากใครมีเครื่องเจาะตั๋วไว้อยู่กับตัว เท่ากับว่าสามารถปั๊มตั๋วเมื่อไรก็ได้
Mitnick จึงไปหลอกถามคนขับรถเมล์ว่าหาซื้อเครื่องเจาะตั๋วแบบเดียวกันนี้ ได้ที่ไหนบ้าง
โดยเขาหลอกว่าจะนำไปใช้สำหรับโปรเจกต์ของโรงเรียน
คนขับรถเมล์จึงได้แนะนำว่าให้เขาไปค้นหาแถวถังขยะใกล้ ๆ สถานีรถบัส
ซึ่งเขาพบว่ามีเครื่องเจาะตั๋วอยู่จริง ทำให้ Mitnick สามารถขึ้นรถเมล์ฟรีได้สักพักหนึ่ง
โดยพฤติกรรมแบบนี้ เรียกว่า “Social Engineering” แปลเป็นไทยว่า วิศวกรรมสังคม
ซึ่งถือเป็นศาสตร์หนึ่งของแฮกเกอร์ ที่หลอกลวงผู้คนให้เปิดเผยข้อมูลของตนเองออกมา
โดยใช้หลักจิตวิทยา เพื่อให้ได้ผลประโยชน์ตามที่ตัวเองต้องการ
ซึ่งรูปแบบการหลอกมีตั้งแต่ โทรสอบถาม หรือส่ง SMS ที่มีลิงก์ปลอมมาให้กดผ่านทางโซเชียลต่าง ๆ และบางครั้งอาจมาในรูปแบบที่ไม่ได้เจาะจงถามถึงข้อมูลที่ต้องการโดยตรง
ยกตัวอย่าง หากแฮกเกอร์ต้องการรหัสผ่านบัญชีของเรา
เขาจะไม่ถามตรง ๆ ว่า รหัสผ่านของเรานั้น คืออะไร
แต่จะถามสิ่งรอบตัวที่เราสามารถนำไปสร้างเป็นรหัสผ่านได้
เช่น ชื่อแฟน ชื่อสัตว์เลี้ยง หรือวันเดือนปีเกิด
หลังจากได้ข้อมูลเสร็จ แฮกเกอร์ก็จะนำข้อมูลเหล่านี้มาให้คอมพิวเตอร์ทำการสับเปลี่ยนไปมา
เพื่อให้ได้รหัสผ่าน ทำให้การหลีกเลี่ยงจาก Social Engineering ถือเป็นเรื่องที่ยากมาก
และจากความสำเร็จในการขึ้นรถเมล์ฟรีครั้งนี้ ก็ถือเป็นส่วนสำคัญที่ปลูกฝังให้ Mitnick มีความคิดและพฤติกรรมรูปแบบนี้มาโดยตลอด
ส่งผลให้เวลาต่อมา เมื่อเขามีอายุได้ 16 ปี เขาก็ได้เข้าสู่วงการแฮกเกอร์อย่างเต็มตัว
โดยเหยื่อที่ทำให้เขาเริ่มถูกพูดถึงก็คือ บริษัท Digital Equipment Corporation หรือ DEC
ที่เป็นผู้ผลิตคอมพิวเตอร์ชั้นนำในสมัยนั้น
Mitnick ทำเช่นเดียวกับการโกงรถเมล์ คือใช้วิธี Social Engineering โดยปลอมตัวเป็นพนักงานของบริษัทแห่งนี้ แล้วหลอกผู้ดูแลระบบของบริษัท ให้ทำการรีเซตรหัสผ่านใหม่
ทำให้ Mitnick สามารถเจาะเข้าไปในระบบเครือข่ายคอมพิวเตอร์ของ DEC
และคัดลอกซอฟต์แวร์ของบริษัทออกมา
แม้ว่าจุดประสงค์การแฮกครั้งนี้เพียงเพื่อพิสูจน์ว่า ตัวเองมีความสามารถเท่านั้น
ไม่ได้มีเรื่องผลประโยชน์ทางการเงินหรือสร้างความเสียหายต่อบริษัทแต่อย่างใด
อย่างไรก็ตามเหตุการณ์ครั้งนี้ ถือว่าเป็นอาชญากรรม
Mitnick จึงถูกตัดสินจำคุก 1 ปี และถูกควบคุมให้อยู่ภายใต้การดูแลอีก 3 ปี
แต่แทนที่จะเจ็บแล้วจำ เขากลับเริ่มแฮกบริษัทอื่นอีกครั้ง ทั้ง ๆ ที่ยังถูกควบคุมอยู่
และต่อมา เขาก็ได้หลบหนีทันที หลังจากถูกปล่อยตัว
อย่างไรก็ตามคราวนี้ Mitnick วางแผนไว้เรียบร้อยแล้ว โดยเขาได้ทำการดัดแปลงระบบโทรศัพท์ของตัวเองคือ Motorola MicroTAC ให้สามารถซ่อนตำแหน่งของตัวเองไว้ได้
แต่การดัดแปลงระบบโทรศัพท์ใช่ว่าอยู่ ๆ ใครจะสามารถเข้าไปทำได้ เพราะคนที่ทำได้จำเป็นต้องมี Source Code ของโทรศัพท์รุ่นนั้นเสียก่อน
เขาจึงต้องทำการโจรกรรมข้อมูลครั้งใหญ่อีกรอบ ซึ่งเป้าหมายในครั้งนี้
คือบริษัท “Motorola” หนึ่งในผู้นำบริษัทโทรศัพท์ในขณะนั้น
Mitnick เริ่มต้นแผนการด้วยการโทรไปหาฝ่าย Call Center ของบริษัท
โดยแสร้งทำเป็นว่ามีธุระสำคัญ จำเป็นต้องขอคุยกับ Project Manager
หลังจากโอนสายไปมาถึง 9 ครั้ง ในที่สุดเขาก็ได้เบอร์ติดต่อของ Project Manager
แต่เมื่อเขาโทรไปตามเบอร์ที่ได้รับ กลับพบวอยซ์เมลตอบกลับมาว่า Project Manager หญิงคนนี้กำลังพักร้อนอยู่ ซึ่งโชคดีที่เธอฝากข้อความต่อว่าหากมีธุระด่วนให้ติดต่อ Aleesha ซึ่งเป็นเลขาฯ ตามเบอร์ที่ระบุไว้
Mitnick จึงได้โทรหาเลขาฯ สาวในทันที โดยจากการพูดคุยไปมาในแต่ละแผนกถึง 8 สาย ทำให้เขามีข้อมูลมากมายเกี่ยวกับบริษัท ส่งผลให้เขาสามารถพูดคุยกับ Aleesha ได้อย่างลื่นไหลไม่ต่างอะไรไปจากพนักงานประจำของบริษัท
หลังจากทักทายแบบหอมปากหอมคอเป็นที่เรียบร้อย Mitnick ก็เข้าสู่ประเด็น
Mitnick แจ้งว่าก่อนที่ Project Manager จะไปพักร้อน เธอบอกว่าจะส่ง Source Code โทรศัพท์มาให้กับเขา แต่ดูเหมือนว่าเธอจะลืม Mitnick จึงทาบทามให้ Aleesha ช่วยส่งมาให้แทนได้หรือไม่
ด้วยความที่เธอเป็นเลขาฯ ที่ใสซื่อ ก็ตอบตกลงและทำตามคำสั่งของเขาโดยไม่ได้แคลงใจ
แต่ต่อมามีปัญหาเพราะว่า Source Code ที่จะส่งให้ไปนั้นมีขนาดไฟล์ที่ใหญ่เกินไป
Mitnick จึงแก้ปัญหาด้วยการลงมือสอนวิธีบีบอัดไฟล์ให้แก่เลขาฯ
ซึ่ง Aleesha ทำตามคำแนะนำเป๊ะ ๆ จนสามารถรวบรวมไฟล์ทั้งหมดได้เป็นไฟล์เดียว
แต่แล้วก็เกิดปัญหาอีกครั้ง เมื่อพบว่าการส่งไฟล์เกิดล้มเหลวขึ้นมา
เธอเลยไปตาม Security Manager มาช่วยดูว่าเกิดปัญหาตรงไหน
พอถึงจุดนี้ Mitnick เริ่มกังวลใจแล้วว่า ตัวเองอาจจะโดนจับได้แล้ว
เขาจึงพยายามคิดว่าตัวเองได้ทิ้งหลักฐานอะไรไว้บ้าง
แต่ในระหว่างที่เขากำลังคิด
Aleesha ก็กลับมาพูดสายอีกครั้งและได้ชี้แจงว่าปัญหาเกิดจาก IP ของผู้รับไฟล์ซึ่งก็คือของ Mitnick ไม่ใช่ของคนในองค์กรจึงไม่สามารถรับไฟล์ได้ และบอกอีกด้วยว่า ไม่เป็นไร เธอหาวิธีส่งแบบอื่นให้ได้แล้ว
ในที่สุด Mitnick จึงได้ Source Code มาครอบครองและสามารถดัดแปลงโทรศัพท์ได้สำเร็จ
จากรายงานของกระทรวงยุติธรรมสหรัฐอเมริกา ระหว่างที่ Mitnick หลบหนี
เขาได้ทำการแฮกบริษัทไปมากกว่า 40 แห่ง ทั้งบริษัทใหญ่และหน่วยงานรัฐ
ในไม่ช้า เขากลายเป็นที่รู้จักในนาม “The Condor” และ “The Darkside Hacker”
จนติดอันดับแฮกเกอร์ที่ทางการของสหรัฐอเมริกาหมายหัวและต้องการตัวมากที่สุดในขณะนั้น
อย่างไรก็ตาม หลังจากที่ FBI ร่วมมือกับ Tsutomu Shimomura สุดยอดไวต์แฮต หรือแฮกเกอร์สายขาว ช่วยกันตามไล่ล่า Mitnick เป็นระยะเวลายาวนานถึง 2 ปีครึ่ง
ในที่สุด ในปี 1995 พวกเขาก็จับกุม Mitnick ได้สำเร็จ ณ อะพาร์ตเมนต์ของเขาเอง
Mitnick ถูกตั้งข้อหาหลายคดี
ตั้งแต่การใช้ประโยชน์จากสื่ออิเล็กทรอนิกส์เพื่อโจรกรรมข้อมูล
การสกัดกั้นการสื่อสารทางอิเล็กทรอนิกส์
การเข้าถึงคอมพิวเตอร์ของหน่วยงานของสหรัฐอเมริกาโดยไม่ได้รับอนุญาต
รวมถึงทำให้คอมพิวเตอร์เสียหาย
Mitnick ยอมรับเพียงบางคดีเท่านั้น และเขาได้ถูกศาลตัดสินโทษจำคุกเป็นระยะเวลา 5 ปี 8 เดือน
แต่การที่เขาถูกตัดสินโทษนี้ ก็ได้ทำให้ชุมชนชาวแฮกเกอร์ต่างตกใจ
เพราะพวกเขาเห็นว่าบทลงโทษที่ Mitnick ได้รับเป็นบทลงโทษที่เกินกว่าเหตุ
แฮกเกอร์และเหล่าแฟนคลับของเขา จึงมารวมตัวกันประท้วงตามท้องถนน
รวมถึงได้แฮกเว็บไซต์ Yahoo เพื่อแสดงข้อความเรียกร้องให้ปล่อยตัว Mitnick ออกมา
อย่างไรก็ตาม สิ่งที่พวกเขาทำไม่ได้ช่วยให้ Mitnick ถูกลดโทษแต่อย่างใด
และเขาต้องจำคุกเต็มเวลาเช่นเดิม
จนกระทั่งเดือนมกราคม ปี 2000 Mitnick ได้รับการปล่อยตัว
แต่เขาก็ยังถูกห้ามไม่ให้ใช้เทคโนโลยีการสื่อสารใด ๆ
เว้นแต่โทรศัพท์ธรรมดาที่สามารถทำได้เพียงแค่โทรเข้า-ออกเท่านั้น
รวมถึงถูกห้ามแสวงหาผลกำไรจากภาพยนตร์หรือหนังสือ
ที่สร้างจากเรื่องราวของเขา เป็นระยะเวลายาวนานถึง 7 ปีอีกด้วย
จากเรื่องนี้จึงทำให้เขายังคงต่อสู้กับคำตัดสินเรื่องการห้ามใช้เทคโนโลยีสื่อสารต่อไป
จนสุดท้าย เขาสามารถชนะคดี และกลับมาใช้อินเทอร์เน็ตได้ดังเดิมอีกครั้ง
จากคดีต่าง ๆ ที่ Mitnick เคยทำไว้ ส่งผลให้ประเทศสหรัฐอเมริกาต้องออกกฎหมายใหม่เพื่อจัดการกับอาชญากรรมทางคอมพิวเตอร์ รวมถึงสร้างความตระหนักแก่ผู้คนเกี่ยวกับความปลอดภัยของการใช้อุปกรณ์เทคโนโลยี
ปัจจุบัน Mitnick ได้กลับตัวกลายเป็นไวต์แฮต ที่คอยช่วยเหลือป้องกันการโจมตีจากโลกไซเบอร์และเขายังได้เขียนหนังสือทั้งหมด 4 เล่ม เพื่อตีแผ่กลโกงของเหล่าแฮกเกอร์ ประกอบด้วย
Ghost in the Wires เรื่องราวการเป็นแฮกเกอร์ของเขา
The Art of Intrusion ศิลปะแห่งการเจาะระบบ
The Art of Deception ศิลปะแห่งการหลอกลวง
The Art of Invisibility ศิลปะแห่งการล่องหน
รวมถึงก่อตั้งบริษัทที่ชื่อว่า “Mitnick Security Consulting” ซึ่งทำธุรกิจให้บริการเป็นที่ปรึกษาด้านความปลอดภัย บริการทดสอบเจาะระบบและสอนวิชา Social Engineering แก่บริษัทเอกชนและหน่วยงานภาครัฐ
โดยกลุ่มลูกค้าของเขาก็มีตั้งแต่บริษัทที่ติดอันดับ Fortune 500 หรือกลุ่มบริษัทที่มีรายได้สูงสุด 500 อันดับแรกของโลก ไปจนถึง FBI หน่วยงานที่เคยจับกุมเขาก็มาเป็นลูกค้าของเขาอีกด้วย
ซึ่งจากการช่วยเหลือและให้คำปรึกษาของ Mitnick ก็ถือเป็นส่วนสำคัญที่ทำให้ทั้งบริษัทเอกชนและภาครัฐต่าง ๆ ในประเทศสหรัฐอเมริกา สามารถพัฒนาเทคโนโลยีเพื่อป้องกันแฮกเกอร์ได้นั่นเอง..
╔═══════════╗
Blockdit เป็นแพลตฟอร์ม สำหรับนักอ่าน และนักเขียน
ที่มีผู้ใช้งาน 1 ล้านคน ลองใช้แพลตฟอร์มนี้เพื่อได้ไอเดียใหม่ๆ
แล้วอาจพบว่าสังคมนี้เหมาะกับคนเช่นคุณ
Blockdit. Ideas Happen. Blockdit.com/download
╚═══════════╝
ติดตามลงทุนแมนได้ที่
Website - longtunman.com
Blockdit - blockdit.com/longtunman
Facebook - facebook.com/longtunman
Twitter - twitter.com/longtunman
Instagram - instagram.com/longtunman
Line - page.line.me/longtunman
YouTube - youtube.com/longtunman
Spotify - open.spotify.com/show/4jz0qVn1AL7tRMHiTvMbZH
Apple Podcasts - podcasts.apple.com/th/podcast/ลงท-นแมน/id1543162829
Soundcloud - soundcloud.com/longtunman
References:
-https://cobalt.io/blog/top-ten-famous-hackers
-https://www.knowbe4.com/products/who-is-kevin-mitnick/
-https://www.mitnicksecurity.com/about-kevin-mitnick-mitnick-security
-https://www.britannica.com/topic/cybercrime/Hacking#ref829231
-https://www.thefamouspeople.com/profiles/kevin-mitnick-37791.php
-https://medium.com/@caden/social-engineering-an-unpatchable-flaw-f262775c2553
-https://stem.in.th/%E0%B8%81%E0%B8%A3%E0%B8%93%E0%B8%B5-kevin-mitnick-%E0%B8%82%E0%B9%82%E0%B8%A1%E0%B8%A2-source-code-%E0%B8%88%E0%B8%B2%E0%B8%81-motorola/
-https://www.mitnicksecurity.com/in-the-news/kevin-mitnick-genius-and-one-of-the-most-famous-hackers-in-history
-https://www.investopedia.com/terms/w/wirefraud.asp
-https://www.cyfence.com/article/what-is-social-engineering/
同時也有1部Youtube影片,追蹤數超過42萬的網紅Call Me Duy,也在其Youtube影片中提到,?Nhập code: callmeduy15 sẽ được giảm 15% giá trị sản phẩm & miễn phí vận chuyển toàn quốc cho các bạn mua Retinoid mới đến từ nhà Happy skin tại đây ...
php blog source code 在 矽谷牛的耕田筆記 Facebook 的最佳貼文
Ref: https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.html
今天要探討的是一個由 Google Blog 於上個月所推廣的軟體安全性框架,該框架名為 SLSA,全名則是 Supply Chain Levels for Software Artifacts,中文部分我不知道該怎麼翻譯才可以精準達到意思,所以建議就唸英文就好了。
該框架的目的是希望於整個軟體生產鏈中能夠進一步的去提升且確保所有產物的完整性(Integrity 這個詞該怎麼翻呢..)。
文章中用了一個很簡易的流程來清楚的解釋到底何謂 Software Supply Chain 以及整個流程中可能會有什麼問題。
Software Supply Chain 一個範例譬如
1. 開發者撰寫程式碼,並且提交到遠方的 SCM Repository
2. SCM Repo 因為程式碼改變,所以觸發相關的 CI/CD 流程
3. CI/CD 建置結束後則需要打包整個程式碼,產生最後的 Package.
4. 產生後的 Packet 則可以正式上場使用
文章認為上述的流程中有兩個不同類別的安全性問題,分別是
1. Source Integrity
2. Build Integrity.
Source Integrity 這邊主要是針對 Source Code 相關的問題,譬如
1. 開發者是否有意的故意塞入一些會不懷好意的程式碼到 SCM Repo 內。
範例: Linux Hypocrite commits, 之前美國某大學研究團隊基於研究嘗試上傳一些不太好的程式碼而影響的討論風波
2. SCM 的管理平台是否可能被惡意攻擊
範例: PHP 事件: 之前自架的 PHP Git Server 被攻擊者惡意攻擊並且塞入兩筆不懷好意的 Commit
而 Build Integrity 本身則是有更多不同的面向,譬如
1. SCM 觸發 CI/CD 過程是否有可能有問題
範例: Webmin 事件,攻擊者去修改團隊的建置系統去使用沒有被 SCM 所記錄的修改檔案。
2. CI/CD 建置系統本身被攻擊
範例: SolarWinds 事件,攻擊者攻破建置系統去安裝一些軟體來修改整的建置流程
3. CI/CD 建置過程中引用到錯誤的 Dependency
4. 攻擊者上傳一些惡意產物到應該只有 CI/CD 系統才可以存取的場所。
... 等
目前來說, SLSA 還處於非常早期階段,經由業界的共識來思考每個領域有什麼好的措施與指引來避免與偵測系統是否被攻破。其最終目標狀態是希望能夠根據環境自動產生出一套可整合到系統中的產物,並且最後可以給出 SLSA 憑證來給平台或是建置後的 Package。
對 SLSA 這個專案有興趣看看的請參考原始連結,內容不長但是頗有趣的
php blog source code 在 Call Me Duy Youtube 的精選貼文
?Nhập code: callmeduy15
sẽ được giảm 15% giá trị sản phẩm & miễn phí vận chuyển toàn quốc cho các bạn mua Retinoid mới đến từ nhà Happy skin tại đây
?EMMIÉ NANO-RETINOL BOOSTING SERUM 0.5
►http://bit.ly/EmmieSerumRetinol05
?EMMIÉ NANO-RETINOL BOOSTING SERUM 1.0
►http://bit.ly/EmmieSerumRetinol1
_________________________
?Source
https://www.dermalogica.co.nz/your-skin/skin-ageing/what-is-microencapsulated-retinol
https://www.formulatorsampleshop.eu/products/fss-retinol-liposome-os-oil-soluble-.php
https://theskincareedit.com/a313-pommade
https://theskincareedit.com/tag/retinol
https://www.dermstore.com/blog/how-to-apply-retinol/
https://callmeduy.com/bai-viet/short-contact-therapy-cach-dung-mot-so-active-ingredients-cho-da-nhay-cam
https://patents.google.com/patent/US6083963A/en
https://patents.google.com/patent/US6096765A/en
https://callmeduy.com/bai-viet/retinoids-than-duoc-cho-sac-djep-p1
https://callmeduy.com/bai-viet/retinoids-than-duoc-cho-sac-djep-p2
https://callmeduy.com/bai-viet/retinoids-than-duoc-cho-sac-djep-p3
? Group Review Cộng đồng tiêu dùng mỹ phẩm : https://www.facebook.com/groups/2045451282406040/
?Web phân tích thành phần: http://callmeduy.com/
?Video hướng dẫn sử dụng web phân tích https://youtu.be/hjIUrdnDrfQ
?FOLLOW ME ON SOCIAL:
?Instagram: https://www.instagram.com/vuduy2412/
?Facebook: https://www.facebook.com/gsvuduy2412
?Mail : gsvuduy2412@gmail.com