Day in the life of Pentester (at Datafarm)
1 วันของ Pentester งานที่มีมากกว่าแค่แฮก
“เป็น Pentester น่าจะสนุก เพราะได้นั่งแฮกระบบทั้งวัน แค่คิดก็สนุกแล้ว”
เป็นความคิดของผมสมัยเป็นนักศึกษา ตอนนั้นคิดแค่ว่าอยากเป็น Pentester (นักทดสอบเจาะระบบ) เพราะจะได้แฮกระบบทั้งวัน ซึ่งตอนนี้ก็เป็นเวลาประมาณ 6 ปีแล้วที่ผมได้ทำงานเป็น Pentester และก็ได้เรียนรู้ว่าความจริงแล้วงานนี้มันมีอะไรมากกว่านั้นเยอะ
มาครับวันนี้เรามาพักสมองจากเรื่องแฮก ๆ และบทความแนวเทคนิคอลกันบ้าง บอกเลยว่าบทความนี้ถอดสมองอ่านได้เลยนะครับ 5555 วันนี้ผมจะมาเล่าให้ฟังว่า วันธรรมดา ๆ ของ Pentester คนนึงในบริษัทดาต้าฟาร์มเป็นยังไง ทำอะไรบ้าง บอกไว้ก่อนตรงนี้เลยครับว่า มันไม่ได้เป็นเหมือนฉากในหนังที่ใส่ Hood พิมพ์คอมตลอดเวลาแล้วจบด้วยคำว่า “Access granted” บนหน้าจอ แต่ก็ไม่ได้น่าเบื่ออย่างที่คิดแน่นอน
09:30 เช้ามาเริ่มต้นด้วยการดูตารางงาน (ที่มักจะเปลี่ยนอยู่ตลอด)
ที่ดาต้าฟาร์มเรามีระบบที่ชื่อว่า DataHive ซึ่งเป็นระบบที่ทีมงานพัฒนาขึ้นมาเองเพื่อใช้ในการอำนวยความสะดวกในการทำงาน ไม่ว่าจะเป็น Collaboration framework เพื่อเก็บรวบรวมช่องโหว่ที่แต่ละคนเจอ รวมถึงให้พี่ ๆ PM สามารถดู Status หรือช่องโหว่ที่เจอในระบบนั้น ๆ ได้ทันที และรวมถึง “ตารางาน” ด้วย ทุกคนสามารถดูตารางงานของตัวเองและเพื่อนในทีมได้จาก DataHive ครับ ซึ่งเช้ามาผมก็จะต้องเช็คตารางงานก่อนจากใน DataHive (ถึงบางวันจะลืมก็เถอะ) เพราะตารางเปลี่ยนแปลงได้อยู่ตลอด เพื่อให้ลูกค้าได้รับงานที่มีประสิทธิภาพและตรงกับความต้องการมากที่สุด เลยต้องมีการจัดสรรตารางของแต่ละคนใหม่อยู่เรื่อย ๆ ดังนั้นการเช็คตารางงานตอนเช้าจึงเป็นเรื่องปกติที่ผมและทีมทำกัน
โอเคครับ รู้ตารางงานแล้ว ถัดมาก็ประชุม Scope งานกับ PM ว่างานวันนี้มี Scope ยังไงบ้าง ทำกี่ระบบ เวลากี่วัน รายงานภาษาอะไร
10.00 เริ่ม Recon และ Scan
หลังจากที่ประชุมเสร็จเรียบร้อยแล้ว ก็มาเริ่มทำงานกันเลย ผมจะเริ่มจากการ Recon และ Scan ระบบเป้าหมายก่อน เพื่อเก็บข้อมูลต่าง ๆ ของระบบ เช่น ภาษาที่ใช้ ชื่อและเวอร์ชันของเว็บเซิร์ฟเวอร์ เฟรมเวิร์ค พอร์ตและเซอร์วิสที่เปิด เป็นต้น การทำแบบนี้ทำให้เราได้ข้อมูลที่เกี่ยวกับระบบเพื่อมาวางแผนการทดสอบต่อไปได้ เพราะในแต่ละภาษา เฟรมเวิร์ค หรือเว็บเซิร์ฟเวอร์ ก็จะมีท่า เทคนิค และช่องโหว่ที่แตกต่างกันออกไปนั่นเองครับ ซึ่งส่วนใหญ่ก็จะใช้ nmap, httpx, katana, BurpSuite และเครื่องมืออื่น ตามความเหมาะสมกับระบบหรืองานนั้น ๆ ในการทำครับ
10.30 กินขนม เติมพลัง
ที่ดาต้าฟาร์มเรามีมุมขนมที่เติมอยู่เรื่อย ๆ ซึ่งทีมงาน Pentester หรือทีมงานในทีมอื่น ๆ พูดง่าย ๆ ว่าพนักงานทุกคนนั่นแหละครับ สามารถไปหยิบมากินได้ตามสบาย
13.00 เจอช่องโหว่แรกของวัน
จังหวะนี้แหละครับส่วนที่สนุกที่สุดของวัน ผมได้มานั่งแฮกระบบอย่างที่ชอบ แน่นอนว่าไม่ใช่แค่พิมพ์คอมรัว ๆ เหมือนในหนัง แต่เหมือนกับนั่งคิดท่าแฮกมากกว่า ว่าจะแฮกท่าไหนได้บ้าง ใช้ทั้งการคิดและวิเคราะห์ระบบ เพื่อหาจุดอ่อนหรือช่องโหว่ บางทีก็ใช้ความคิดสร้างสรรค์ร่วมด้วยเพื่อหาวิธี Combo bug ที่เจอ บางทีช่องโหว่ความเสี่ยงต่ำ (Low) ก็กลายเป็นวิกฤต (Critical) ได้ด้วยการ Combo bug นี่แหละครับ แต่ถ้าวันไหนหา bug ไม่เจอก็จะเศร้า ๆ หน่อยครับ
ซึ่งส่วนใหญ่เวลาผมทำ Pentest จะเจอช่องโหว่ช่วงบ่าย ๆ หรือไม่ก็ช่วงเย็นก่อนจะปิดงาน ผมก็ไม่รู้เหมือนกันว่าทำไม (ผมคิดว่าหลาย ๆ คนที่เป็น Pentester ก็น่าจะเป็นแบบนี้อยู่บ่อย ๆ) อาจจะเป็นเพราะช่วงเช้าผมจะยังไม่ได้แฮกหนักมาก แต่จะเน้นไปทางการเก็บรวบรวมข้อมูลก่อน ซึ่งอย่างที่บอกนั่นแหละการเก็บข้อมูลที่เกี่ยวข้องกับระบบมันทำให้ผมสามารถวางแผนและแฮกได้มีประสิทธิภาพมากกว่าการที่อยู่ ๆ ก็ใส่ตู้มโดยที่ไม่รู้อะไรเลย ไม่ว่าระบบจะเป็นแบบไหน ทำให้ใครใช้ ใช้ภายในหรือภายนอก Flow การทำงานแบบปกติเป็นยังไง เรื่องพวกนี้จะทำอยู่ในช่วงเช้า ส่วนตั้งแต่บ่ายมาก็จะเริ่มใส่หนักครับ
16.00 ประชุมรายงานผลการทดสอบ
วันนี้มีประชุมรายงานผลการทดสอบกับคุณลูกค้าด้วยครับ ซึ่งเมื่อคืนก็ได้มีการซ้อมและเตรียมข้อมูลมาเรียบร้อยแล้ว ในการรายงานผลก็จะเป็นการคุยกับลูกค้า เพื่อให้ทางลูกค้าได้เข้าใจถึงช่องโหว่ที่เจอในระบบ วิธีการที่เราใช้ทดสอบ และที่สำคัญที่สุด คือ ผมจะต้องให้คำแนะนำว่าทางลูกค้าจะสามารถปิดช่องโหว่เหล่านั้นยังไงได้บ้าง ด้วยวิธีการที่ถูกต้องครับ ซึ่งหากลูกค้ามีคำถามสงสัยตรงไหน ก็จะสามารถถามในประชุมนั้นได้เลยเพื่อให้เข้าใจตรงกันทั้งสองฝ่ายนั่นเอง
17.00 เอาช่องโหว่ใส่ DataHive เพื่อเตรียมสรุป
ผมเทสต่ออีกหน่อย และเริ่มทยอยเอาข้อมูลช่องโหว่ใส่ใน DataHive ซึ่งก็จะมีข้อมูลช่องโหว่ที่เจอ เขียนอธิบายวิธีการทดสอบและรูป วิธีการแก้ไข ลงใน DataHive เพื่อให้ PM มาดูและนำไปสรุปให้ลูกค้าในแต่ละวัน ว่าเจออะไรบ้าง ความเสี่ยงประมาณไหนครับ
18.00 ปิดงาน พักผ่อน
ที่ดาต้าฟาร์มเราก็มีมุมผ่อนคลายสำหรับพนักงาน ไม่ว่าจะเป็นตี้เกม Nintendo Switch ตี้โต๊ะพูล ตี้บาส และตี้บอร์ดเกมส์ ซึ่งส่วนใหญ่ผมจะอยู่ในตี้บอร์ดเกมส์ครับ เป็นการผ่อนคลายหลังจากทำงานมาตั้งแต่เช้า บอกเลยว่าคลายเครียดได้ดี (บางเกมส์ก็ทำให้เครียดกว่าเดิม…) ซึ่งก็แล้วแต่ว่าวันนั้นจะมีตี้ไหนให้ Join ได้บ้าง ซึ่งเกมส์ที่ทีมผมเล่นกันบ่อย ๆ ก็จะมีพวก Avalon/Insider/I’m the Boss อะไรพวกนี้ครับ บอกเลยว่าเถียงกันคอแตก
20.00 เล่น CTF + อัปเดทข่าว
หลังจากเถียงคอแตกจากบอร์ดเกมส์แล้ว ถ้ายังไหวอาจจะกลับมาลองเทคนิคใหม่ ๆ ที่เจอจาก X (Twitter) เช่น payload ใหม่สำหรับ bypass WAF, หรือ CVE ใหม่ ๆ ซึ่งบางทีก็เจอ CVE ออกใหม่ใน Product ที่ลูกค้าใช้อยู่ ถ้าเจอแบบนี้ก็จะต้องรีบแจ้งให้ PM รับทราบ เพื่อเอาไปบอกและแนะนำให้ลูกค้าของเราได้มีการตรวจสอบและแพทช์ระบบของตัวเอง ก่อนที่จะโดนโจมตีจากแฮกเกอร์จริง ๆ
นอกจากนี้ที่ดาต้าฟาร์มยังมี CTF ภายในที่ออกแบบและสร้างขึ้นจากทีม Tech Lead ของเราเอง เพื่อให้น้อง ๆ รวมถึงตัวผมได้มีการเล่นเพื่ออัปสกิลการแฮกของตัวเอง ซึ่งก็จะมีหลายหมวดให้เลือกเล่นครับ เพื่อให้สามารถหาช่องโหว่ในระบบของลูกค้าได้มีประสิทธิภาพมากขึ้น ซึ่งปกติถ้ามีวันว่างหรือหลังเลิกงานก็จะมานั่งเลนซักข้อ สองข้อ วันนี้ก็นั่งเล่นเหมือนกันแต่ทำไม่ได้ (โจทย์ไม่ได้ยาก แค่คิดไม่ออก 5555555)
สรุป: Pentester ที่ดีไม่ใช่แค่แฮกเก่ง
ใคร ๆ ก็เรียนรู้การยิง payload ได้ แต่ Pentester ที่มืออาชีพต้องสื่อสารกับลูกค้า, ทีม Dev, เขียน report ให้เข้าใจง่าย และรู้วิธีแนะนำวิธีการแก้ไขปัญหาที่ใช้ได้จริง ที่จะยกระดับความปลอดภัยให้กับระบบของลูกค้าของเราครับ ซึ่งในการสื่อสารกับลูกค้าเราจำเป็นจะต้องเข้าใจปัญหาของลูกค้าด้วย เราจะได้เสนอแนวทางแก้ไขปัญหาได้ถูกจุดนั่นเอง ละในแต่ละวันของเราก็มีทั้งความสนุก ท้าทาย เหนื่อย และบางทีก็ฮา ๆ กับ bug แปลก ๆ ที่เจอนั่นเองครับ
หากใครสนใจสายงานนี้ ลองฝึกจาก CTF, HackTheBox, Root-me, OvertheWire, Pwnable.kr, Pwnable.tw หรืออีกมากมายที่หาได้ตามอินเทอร์เน็ต
ยินดีต้อนรับสู่โลกของ Pentesters at Datafarm—ที่ไม่ใช่แค่แฮก แต่คือการเข้าใจ และเป็นที่ปรึกษาด้านความปลอดภัยไซเบอร์มืออาชีพ :)
