เปิดประวัติและไฮไลท์ของงาน DEF CON งานรวมตัวแฮกเกอร์ที่ใหญ่ที่สุด

By Rapeephong Manaphong,

Penetration Tester Team, Datafarm Company Limited

สวัสดีครับคุณผู้อ่านทุกท่าน บทความนี้ผมจะพูดถึงงานที่ตัวผมอยากไปที่สุด เป็นงานที่รวมตัวเหล่าแฮกเกอร์ทั้ง White hat และ Black hat โดยคนที่คุณเดินผ่านในงานอาจจะเป็นแฮกเกอร์ที่มีข่าวระดับโลกก็ได้ งานนั้นมีชื่อว่า DEF CON โดยผมจะเล่าไปตั้งแต่จุดเริ่มต้นของงาน, รูปแบบการจัดงาน รวมไปถึงเรื่องราวความปั่นปวนของเหล่าแฮกเกอร์ภายในงานครับ

ขอบขอบคุณ รูปประกอบจาก https://predatech.co.uk/defcon-31-highlights/

จุดเริ่มต้นของงาน DEF CON

จุดเริ่มต้นของงาน DEF CON มาจากชายที่ชื่อว่า Jeff Moss หรือฉายาในวงการ Dark Tangent โดยในปี 1993 เขาได้ตั้งใจจะช่วยจัดงานปาร์ตี้สำหรับสมาชิกกลุ่ม “Platinum Net” ซึ่งเป็นกลุ่มแฮกเกอร์ของแคนาดา แต่ต่อมาหัวหน้ากลุ่มของ Platinum Net ก็ติดต่อไม่ได้ สุดท้ายเขาจำเป็นจะต้องวางแผนจัดปาร์ตี้คนเดียว เขาจึงตัดสินใจเชิญทุกคนที่อยู่ในห้องแชท #hack ให้มาเข้าร่วมปาร์ตี้ (อารมณ์ประมาณใช้ @All เชิญทุกคนใน Discord)

ขอบขอบคุณ รูปประกอบจาก https://time.com/3103530/defcon-hackers-dark-tangent/

โดยชื่อ DEF CON มาจากที่คุณ Jeff Moss ไม่อยากให้ชื่องานของเขาผูกติดกับช่วงเวลาเหมือนกับงานในสมัยนั้นที่มีงานอย่าง SummerCon ในฤดูร้อน, HoHoCon ในฤดูหนาว, PumpCon ช่วงฮาโลวีน และอื่นๆ เขาจึงใช้ชื่องานว่า DEF CON ที่มาจากคำว่า Defense Readiness Condition ซึ่งเป็นระดับความพร้อมรบที่ใช้กันภายในของกองทัพสหรัฐฯ โดยคุณ Moss ได้แรงบันดาลใจจากภาพยนตร์เรื่อง WarGames ที่ลาสเวกัสถูกเลือกเป็นเป้าหมายนิวเคลียร์ในเรื่อง นอกจากนี้ “CON” ยังสื่อถึง “Convention” (การประชุม) และ “DEF” ยังตรงกับตัวอักษรบนปุ่มหมายเลข 3 ของโทรศัพท์ ซึ่งเป็นการอ้างถึงวัฒนธรรมการเจาะระบบโทรศัพท์ (Phreaking) ในยุคแรก

จากปาร์ตี้สู่ “Hacker Summer Camp”

ขอบขอบคุณ รูปประกอบจาก https://autocrypt.io/spotlight-defcon30/

จากจุดเริ่มต้นเล็กๆ ในปี 1993 ปัจจุบัน DEF CON กลายเป็นงานที่ดึงดูดผู้คนนับหมื่นจากทั่วทุกมุมโลก จนได้รับฉายาว่า “Hacker Summer Camp” โดยสิ่งที่ทำให้งานนี้น่าสนใจไม่ใช่แค่รวมเหล่าแฮกเกอร์เท่านั้น แต่คือรูปแบบการจัดงานที่แบ่งออกเป็นโซนย่อยๆ ที่เรียกว่า “Villages” (หมู่บ้าน)

ถ้าคุณคิดภาพงานสัมมนาที่มีเก้าอี้เรียงกันเป็นตับแล้วมีคนพูดบนเวที… ให้ลบภาพนั้นทิ้งไปเลยครับ เพราะที่ DEF CON เขาเน้นการ “ลงมือทำ” โดยแต่ละ Village จะมีธีมเฉพาะทางที่เปิดโอกาสให้ใครก็ได้เข้ามาลองของจริง เช่น:

Car Hacking Village: โซนนี้คุณจะเห็นรถยนต์ของจริงจอดอยู่ และเปิดโอกาสให้แฮกเกอร์มาลองเจาะระบบ ECU ของรถ เพื่อดูว่าเราจะสามารถควบคุมรถจากระยะไกลได้จริงไหม
Lockpicking Village: โซนนี้จะสอนศิลปะการสะเดาะกุญแจ ตั้งแต่กุญแจบ้านธรรมดาไปจนถึงกุญแจมือ
Social Engineering Village: ถ้าใครชอบซีรี่ MR.Robot แบบผม โซนนี้คือต้องไปที่สุด เป็นโซนที่เล่นกับ “คน” มากกว่า “คอม” ไฮไลท์คือจะมีตู้เก็บเสียงที่ให้ผู้เข้าแข่งขันเข้าไปนั่ง แล้วโทรศัพท์ไปหลอกถามข้อมูลความลับจากบริษัทเป้าหมายจริงๆ ต่อหน้าผู้ชมให้ดูกันสดๆ

นอกจากนี้ยังมีโซนล้ำๆ อย่าง Biohacking Village (แฮกอุปกรณ์การแพทย์/ร่างกายมนุษย์) หรือ Aerospace Village (แฮกดาวเทียม) และยังมี Village ต่างโดยสามารถเข้าได้ดูได้ที่ “https://defcon.org/html/defcon-33/dc-33-villages.html” และนอกจากในงานจะมี Workshop หรือ Lab ให้ทดลองเล่นแล้ว ภายในงานก็จะมีการแข่งขัน CTF (Capture The Flag) ที่จะเป็นการแข่งแฮกตามประเภทต่างๆ เช่น การแข่งแฮกดาวเทียม (Hack-A-Sat) หรือ แฮกตู้ Voting Machine

อะไรทำให้งาน DEF CON ไม่เหมือนใคร

ขอบขอบคุณ รูปประกอบจาก https://hackaday.com/2018/08/14/all-the-badges-of-def-con-26-vol-1/

สิ่งหนึ่งที่ทำให้ DEF CON ไม่เหมือนงานไหนๆ มากที่สุดเลยคือ Badges โดยตัวบัตรเข้างาน (Badge) ที่เราซื้อมา จะไม่ใช่แค่กระดาษธรรมดา แต่จะเป็นแผงวงจรอิเล็กทรอนิกส์ที่จะมีลูกเล่นต่างๆ เช่น งาน DEF CON 32 จะเป็น Human Badge ที่สามารถรันเกม Game Boy Advance ได้ โดยใช้ชิป Raspberry Pi และมีหน้าจอในตัว โดยในแต่ละ Badge จะมีปริศนาที่จะให้ผู้เข้าร่วมงานต้องช่วยแก้ปัญหาร่วมกัน นอกจาก Badge หลักแล้ว หากไปร่วมกิจกรรมตาม Village ต่างๆ ก็ยังมีโอกาสได้ Unofficial Badge เท่ๆ อีกด้วย และสำหรับยอดฝีมือที่สามารถไขปริศนาทั้งหมดใน Badge ได้สำเร็จเป็นคนแรก (หรือทีมแรก) รางวัลที่จะได้คือสิ่งที่เรียกว่า “Black Badge” ซึ่งเป็นบัตรพิเศษที่เปรียบเสมือน “ตั๋วทองคำ” เพราะมันให้สิทธิ์เข้างาน DEF CON ได้ฟรีตลอดชีพ

วัฒนธรรมและความปั่นป่วน

ขอบขอบคุณ รูปประกอบจาก https://www.zdnet.com/article/wall-of-sheep-at-defcon-illustrates-what-not-to-do/

นอกจากสาระความรู้แล้ว เสน่ห์ของ DEF CON คือความ “กวน” และความ “ระแวง” ที่ผสมปนเปกันอยู่ครับ เนื่องจากเป็นงานรวมตัวของแฮกเกอร์ หลีกเลี่ยงไม่ได้ที่จะมี FBI หรือ สายลับเข้าไปในงาน หรือแม้แต่แฮกเกอร์ที่พยายามจะแฮกด้วยกันเอง ทำให้จะมีกฎเหล็กจะรู้กันภายในงานคือ “จงปิด Wi-Fi และ Bluetooth” ถ้าไม่อยากตกเป็นเหยื่อ เพราะในงานจะมีจอภาพที่ชื่อว่า “Wall of Sheep” เป็นจอโปรเจคเตอร์ขนาดยักษ์ที่จะคอยดักจับข้อมูลของคนที่เผลอต่อ Wi-Fi สาธารณะในงานแบบไม่ระวังตัว แล้วเอา Username หรือ Password บางส่วนขึ้นมาประจานบนจอให้คนทั้งงานเห็นเป็นย้ำเตือนเรื่อง Security Awareness อีกทั้งยังมีกิจกรรมที่เรียกว่า “Spot the Fed” เพราะงานนี้มักจะมีเจ้าหน้าที่จาก FBI, CIA หรือ NSA แฝงตัวมาสังเกตการณ์ แฮกเกอร์ในงานเลยเล่นเกมกันว่า ถ้าใครเจอคนที่ดู “ทรงอย่างกับเจ้าหน้าที่รัฐ” ให้ชี้เป้าแล้วตะโกนว่า “Spot the Fed!” ถ้าคนนั้นเป็นเจ้าหน้าที่จริง พวกเขาจะได้รับเสื้อยืดที่เขียนว่า “I am a Fed!” ไปใส่เดินตลอดงาน

ทำไมผมถึงอยากไป DEF CON สักครั้งในชีวิต

ขอบขอบคุณ รูปประกอบจาก https://www.reddit.com/r/Defcon/comments/1ojd57h/def_con_34_and_35_official_dates/?tl=th

สำหรับผมทำงานในสาย Cyber Security (ปัจุบันทำงานอยู่ที่บริษัท ดาต้าฟาร์ม จำกัด)การได้ไป DEF CON นอกจากได้ไปเที่ยวต่างประเทศ แต่มันคือการได้ไปเห็นความเป็นไปได้ใหม่ๆ ครับ เราจะได้เห็นว่าช่องโหว่ที่เราคิดไม่ถึงมันหน้าตาเป็นยังไง และจะได้เห็นว่าคนที่เก่งระดับโลกเขามี Mindset ในการมองระบบยังไง อย่างที่เรารู้กัน “ไม่มีระบบใดที่ปลอดภัย 100%” และหน้าที่ของพวกเราไม่ใช่การทำลาย แต่คือการค้นหาจุดอ่อนเพื่อปิดมันก่อนที่คนร้ายจะมาเจอ โดยปี 2026 ผมมีโอกาสได้ไปที่อเมริกา ถ้าไม่มีอะไรผิดพลาดผมมีแพลนว่าจะเข้าร่วมงาน DEF CON 34 แล้วจะกลับมาเล่าประสบการณ์แบบ “ของจริง” ให้ทุกคนอ่านกันครับ ฝากอวยพรให้ผมได้ไปด้วยครับ ขอบคุณครับ