ဒီတစ္ခါမွ်ေဝခ်င္တဲ့့ အေၾကာင္းအရာကေတာ့ Cansec West Conference မွာ TippingPoint Digital Vaccine Laboratories (DVLabs) ကဦးစီးျပဳလုပ္ေပးတဲ့ Hacking Contest ေလးအေၾကာင္းကို မွ်ေဝခ်င္ပါတယ္။ သူငယ္ခ်င္းတစ္ေယာက္က April လေလာက္ကတည္းက လက္လာတုိ႔ထားတာပါ။ ေရးမယ္ ေရးမယ္နဲ႔ လုပ္ၿပီး မအားတာနဲ႔၊ မေရးျဖစ္တာနဲ႔ ေနာက္ေတာ့ေမ့သြားပါတယ္။ June/July ေလာက္မွာ ဒီအေၾကာင္းကုိ္ ျပည္တြင္းကစာေစာင္၊ ဂ်ာနယ္၊ မဂၢဇင္းအခ်ဳိ႕မွာ ဖတ္လုိက္ရပါတယ္။ ပထမေတာ့ ဒီအေၾကာင္းကို မေရးေတာ့ဘူးလုိ႔ ဆုံးျဖတ္ထားတာပါ။ အဲဒီမွာ ေဖာ္ျပထားတာေတြက ျပည့္စုံမႈမရိွတာနဲ႔ ေရးဖုိ႔ဆုံးျဖတ္ခ်လိုက္ပါတယ္။ ကဲ…စလုိက္ၾကရေအာင္။ Cansec West ဆုိတာကေတာ့ တစ္မူထူးျခားတဲ့ ညီလာခံတစ္ခုျဖစ္ၿပီး digital security ပုိင္းကို အသားေပးက်င္းပတဲ့ လုံၿခဳံေရးပိုင္းဆုိင္ရာ ညီလာခံတစ္ခုျဖစ္ပါတယ္။ တစ္ႏွစ္တစ္ႀကိမ္ က်င္းပလာတာ ၂၀၀၈ မွာဆုိရင္ ၉ ႀကိမ္ေျမာက္ ျဖစ္ပါတယ္။ အဲဒီ Conference က 26-March-08 ကေန 28-March-08 အထိ Vancouver, Birtish Columbia, Canada မွာက်င္းပခဲ့ပါတယ္။ ဒီေလာက္ဆုိရင္ေတာ့ Cansec West Conference အေၾကာင္းကုိ အၾကမ္းျဖင္းေတာ့ သိၾကၿပီလို႔ထင္ပါတယ္။ ၿပိဳင္ပြဲကေတာ့ "Canse West's PWN to OWN Contest" လုိ႔ဆိုပါတယ္။ အဲဒီ အေၾကာင္းေလးလဲ နည္းနည္းရွင္းျပခ်င္ပါေသးတယ္။ (ေမာင္ေကာင္းကေတာ့ အဲဒီမွာစၿပီး တုိင္ပတ္တာပဲ၊ Pwn ဆုိတာကိုဘယ္ Dictionary မွာမွရွာမေတြ႕တာပါပဲ။ ကၽြန္ေတာ္က လုိခ်င္တဲ့ Information ေတြကို Web ထဲကရွာ၊ ၿပီးရင္ Copy & Paste လုပ္၊ အိမ္ေရာက္မွ ေအးေအးေဆးေဆး ေရးတာဆုိေတာ့ အိမ္မွာကိုးကားစရာက Dictionary ပဲရိွတာေလ။ အိမ္မွာ Internet မသုံးႏိုင္ေတာ့ ေျပာျပစရာ မလုိပါဘူးေနာ္။ ေခါင္းေတာင္ ကိုက္သြားတာပဲ။ Dictionary က ေလးမ်ဳိးေလာက္ သုံးၿပီးရွာတာေလ။ ေကာင္းတယ္ ... ေမာင္ေကာင္း ... ေကာင္းတယ္ ... မင္းေတာ္ေတာ္ ဆရာလုပ္ခ်င္တာကိုး။ ရွာလုိ႔မရတဲ့ ေနာက္ဆုံး ေနာက္ေန႔မွ Internet ထဲျပန္ရွာရတာေပါ့။ Internet ထဲလည္းရွာေရာ ဘယ္ေျပးမလဲ မိခ်ဳိသဲေပါ့။) Pwn ဆုိတာကေတာ့ Hacking ဆုိင္ရာ Slang တစ္ခုျဖစ္ၿပီး Hacking or Cracking ဆုိတဲ့ စာလုံးေတြနဲ႔ အဓိပၸာယ္ ဆင္တူပါတယ္။ ေသေသခ်ာခ်ာေလး ေျပာရရင္ေတာ့ Server သို႔ Computer၊ Website၊ Gateway Device အစရိွတာေတြကို ထိန္းခ်ဳပ္ရန္ ထုိးေဖာက္ျခင္း ဆုိတဲ့ အဓိပၸာယ္ရမယ္လုိ႔ထင္ပါတယ္။ Sharp, Sweet, Short ဆုိရင္ေတာ့ To Defeat Someone/Something လုိ႔ အဓိပၸာယ္ ရပါတယ္။ Pwn to Own ဆုိတဲ့အတုိင္းပဲ Pwn လုပ္ႏိုင္တာနဲ႔ Pwn လုပ္ခံရတဲ့ ပစၥည္းကိုပို္င္မွာ ျဖစ္ပါတယ္။ ဘာကို Pwn လုပ္ရမယ္၊ ဘာကို Own မွာလဲဆုိတာကေတာ့ ေအာက္မွာဆက္ဖတ္ ၾကည့္ရင္ ရွင္းသြားပါလိမ့္မယ္။
Hack လုပ္ရမယ့္ OS ေတြကေတာ့ Ubuntu 7.10, Vista Ultimate SP1, Mac OSX10.5.2 တုိ႔ျဖစ္ပါတယ္။ အဲဒီ OS ေတြကုိ Laptop သုံးလုံးမွာတင္ထားၿပီး ၿပိဳင္ပြဲဝင္သူေတြဟာ ႀကိဳက္ရာ OS၊ ႀကိဳက္ရာ Softwareတစ္ခုကို ေ႐ြးၿပီး Hack လုပ္ရမွာ ျဖစ္ပါတယ္။ တင္ထားတာေတြကေတာ့ Sony VAIO VGN-TZ37CN ေပၚမွာ Ubuntu 7.10, Fujitsu U810 ေပၚမွာ Vista Ultimate SP1, MacBook Air ေပၚမွာ OSX 10.5.2 တုိ႔ျဖစ္ပါတယ္။ ႀကိဳက္တဲ့ Laptop ကို Pwn, Pwn ႏိုင္ရင္ Own ၿပီေပါ့။ (ေတာက္ … ငါသာ အဲဒီမွာရိွလုိ႔ကေတာ့ အဲဒီ Laptop သုံးလုံးစလုံး ငါ့အပိုင္ပဲ။) အဲဒါအျပင္ Zero Day Initiative Program ကေန award အျဖစ္ ဆုေၾကးေငြထပ္ေပးပါေသးတယ္။ အဲဒါကေတာ့ ပထမေန႔မွာ Hack လုပ္ႏုိင္ရင္ ခုန Laptop အျပင္ $20,000.00 , ဒုတိယေန႔မွာ Hack လုပ္ႏုိင္ရင္ Laptop + $10,000.00, တတိယေန႔မွာ Hack လုပ္ႏုိင္ရင္ Laptop + $5,000.00 ျဖစ္ပါတယ္။ ဒီၿပိဳင္ပြဲရဲ႕ အဓိက ရည္႐ြယ္ခ်က္ကေတာ့ အလြယ္တကူ ဝင္ေရာက္ႏုိင္တဲ့ Security Hole ေတြကုိ ေဖာ္ထုတ္ႏုိင္ခဲ့ရင္ ထုတ္လုပ္သူေတြ (Adobe, Skype, Apache, Sendmail, etc.) ကုိ အေၾကာင္းၾကားၿပီး Patch အသစ္ေတြကို ေရးသားႏုိင္ဖုိ႔ျဖစ္ပါတယ္။ ၿပိဳင္ပြဲစည္းကမ္းတစ္ခုကေတာ့ Zero Day Initiative (ZDI) program အရထုိးေဖာက္ႏုိင္တဲ့သူဟာ သူဘယ္လုိ ထုိးေဖာက္ခဲ့သလဲဆုိတာကို အေဖာက္ခံရတဲ့ Application ေတြအတြက္ Patch အသစ္မထြက္မခ်င္း လုံးဝထုတ္ေဖာ္ ေျပာၾကားခြင့္မရိွပါဘူး။ အရင္ႏွစ္ကေတာ့ ZDI award ကို Dino Dai Zovi ဆုိသူက Apple QuickTime flaw ကေန ပထမေန႔မွာပဲ ေဖာက္ႏိုင္ခဲ့လုိ႔ ဆုေငြအျပည့္ ရသြားပါတယ္။ Apple ကလည္း အဲဒီဟာကြက္ကို ခ်က္ခ်င္းပဲ update တစ္ခုထုတ္ၿပီး ကာကြယ္လုိက္ႏိုင္ခဲ့ပါတယ္။ ဒါေၾကာင့္လည္း PWN to OWN Contest ဟာ အားလုံးအတြက္ Win-Win Situation ျဖစ္ပါတယ္။ Hack လုပ္မယ့္ Laptop ေတြဟာ Wired Connection (Crossover Cable) နဲ႔ခ်ိတ္ဆက္ၿပီး ထုိးေဖာက္ရမွာျဖစ္ပါတယ္။
ကဲ … စၿပီ … အားလုံးလက္ေရွာင္ … ပထမေန႔ (သူတို႔အေခၚ Day One)ဝမ္းနည္းပါတယ္ဗ်ာ။ ဘယ္သူမွ မထုိးေဖာက္ႏုိင္ပါဘူး။ Laptop သုံးလုံးစလုံး ေက်ာက္စုိင္၊ ေက်ာက္တံုးႀကီးမ်ားပမာ ႀကံႀကံခံ ေနတုန္းပါပဲ။ ဒီႏွစ္ေတာ့ ZDI award $20,000.00 ကိုဘယ္သူမွ မရပါဘူးခင္ဗ်ား။ (ဘယ္ရမလဲ။ ကၽြန္ေတာ္မွ အဲဒီမွာ မရိွတာကုိး။ ကၽြန္ေတာ္သာ အဲဒီမွာ ရိွလုိ႔ကေတာ့ ပြဲသိမ္းတာၾကာေပါ့။) ၿပိဳင္ပြဲဝင္သူေတြကေတာ့ ေတာ္ေတာ္မ်ားတယ္ဆိုပဲ။ အားလုံး တစ္ညီတစ္ညြတ္တည္း ႀကဳံးဝါးသြားတာကေတာ့ "ေနႏွင့္ဦးေပါ့ကြာ၊ မနက္ျဖန္က်ရင္ မင္းတို႔ ငါ့အေၾကာင္း ေကာင္းေကာင္းသိမယ္" ေပါ့။ VAIO ရယ္၊ Fujitsu ရယ္၊ MacBook Air ေတြကေတာ့ ျပန္ေျပာေလရဲ႕ "လာခဲ့စမ္းပါ၊ ေအးေဆးပဲ" တဲ့။ ေနာက္ေန႔ ေန႔လယ္ 12:30 မွာ ျပန္လည္စတင္မွာျဖစ္ပါတယ္။
ဒုတိယေန႔ … Day Two ...စစၿပီးခ်င္း သိပ္မၾကာပါဘူး၊ 12:38 (Canada Local Time) မွာေတာ့ ကမာၻအေပါ့ပါးဆုံး Apple MacBook Air ကေတာ့ ေစ်းဦးေပါက္သြားရွာတယ္။ ေစ်းဦးေဖာက္တဲ့ သူေတြကေတာ့ Independent Security Evaluators (ISE) ကျဖစ္တဲ့ Charlie Miller, Jake Honoroff နဲ႔ Mark Daniel တို႔ေတြ ျဖစ္ပါတယ္။ ေအာင္ျမင္စြာ ထုိးေဖာက္ႏုိင္တဲ့ သကာလမွာေတာ့ ဆုအျဖစ္ Apple MacBook Air နဲ႔ ဆုေၾကးေငြ $10,000.00 ရရိွခဲ့ပါတယ္။ အဓိက ထိုးေဖာက္သူကေတာ့ Charlie Miller ျဖစ္ပါတယ္။ Congratulation to First winner of the CanSec West PWN to OWN contest 2008, Charlie Miller.
Charlie ဟာ Apple ရဲ႕ Safari Web Browser ရဲ႕ဟာကြက္ေတြကေန ထုိးေဖာက္ခဲ့တာျဖစ္ပါတယ္။ Apple ဟာလည္း ဟာကြက္ကုိ သိသိခ်င္းမွာပဲ ျပင္ေနၿပီလုိ႔ ဆုိပါတယ္။ ဒါေပမယ့္ ၿပိဳင္ပြဲစည္းကမ္းအရ Patch အသစ္မထြက္မခ်င္း ဒီထုိးေဖာက္မႈအေၾကာင္း ဘာမွဆက္ေျပာမွာ မဟုတ္ပါဘူး။ ခုေလာက္ဆုိရင္ေတာ့ ထြက္ေလာက္ၿပီေပါ့။ အဲဒီေနာက္ ညေန 5:45 ၿပိဳင္ပြဲသိမ္းတဲ့ အထိ VAIO နဲ႔ Fujitsu ေလးကုိ ဘယ္သူမွ မဝင္ႏိုင္ၾကေသးပါဘူး။
တတိယေန႔ (ေနာက္ဆုံးေန႔) … Day Three (Final Day) ...အရင္ေန႔တုန္းက Apple MacBook Air ဟာအေဖာက္ခံလုိက္ရတာေၾကာင့္ ဒီေန႔မွာေတာ့ VAIO ရယ္၊ Fujitsu ရယ္ပဲ က်န္ပါေတာ့တယ္။ ၿပိဳင္ပြဲကို ေန႔လယ္ 12:30 ကစလုိက္တာ ည 7:30 အေရာက္မွာေတာ့ Fujitsu Laptop ေလးဟာ ပိုင္ရွင္ေပၚသြားပါတယ္။ ပိုင္ရွင္ကေတာ့ Shane Macaulay (Security Objectives) ျဖစ္ပါတယ္။ Congratulations to Shane Macaulay။ Shane ဟာ Vista Ultimate SP1 ကို Adobe Flash Latest Version ကို Install လုပ္ၿပီး ထုိးေဖာက္ခဲ့တာျဖစ္ပါတယ္။ ဆုကေတာ့ Fujitsu Laptop နဲ႔ $5,000.00 တုိ႔ျဖစ္ပါတယ္။ Shane ဟာဒီလုိထုိးေဖာက္ႏုိင္ဖို႔ အတြက္ သူငယ္ခ်င္းမ်ားျဖစ္တဲ့ Derek Callaway နဲ႔ Alexander Sotirov တုိ႔ရဲ႕အကူအညီ ကုိရယူခဲ႔ပါတယ္။ ဒါေပမယ့္ Shane ကေခသူေတာ့ မဟုတ္ပါဘူး။ မႏွစ္က အျမင့္ဆုံးဆုကို ယူသြားတဲ့ Dino Dai Zovi ကိုမွတ္မိတယ္ မဟုတ္လား။ Dino Dai Zovi နဲ႔ သူနဲ႔က အရင္ႏွစ္က On-Site Member ေတြျဖစ္ၿပီး ၿပိဳင္ပြဲမွာ Dino Dai Zovi နဲ႔ပူးတြဲ အႏုိင္ရရိွသူ ျဖစ္ပါတယ္။ Adobe Flash ကလည္း သူရဲ႕ယိုေပါက္ကို ျပင္ဆင္ေနပါၿပီ။ ထုံးစံအတုိင္းပဲ အေသးစိတ္ကိုေတာ့ Adobe Flash ရဲ႕ patch အသစ္ထြက္ၿပီးမွ ေဖာ္ျပရမွာ ျဖစ္ပါတယ္။
ဒီလုိၿပိဳင္ပြဲေတြကို ျပဳလုပ္ေပးျခင္းအားျဖင့္ Software Vendors ေတြအေနနဲ႔ သူတို႔ရဲ႕အားနည္းခ်က္ေတြကုိ သိျမင္ႏုိင္တဲ့အတြက္ အလြန္ပဲအက်ဳိးရိွလွပါတယ္။ Hacker ေတြအေနနဲ႔လည္း အက်ဳိးရိွေစမွာျဖစ္တဲ့အတြက္ ႏွစ္ဦးႏွစ္ဖက္ အလြန္အဆင္ေျပပါတယ္။ ေနာက္ႏွစ္မွာလည္း ဒီၿပိဳင္ပြဲကုိ က်င္းပဦးမွာ ျဖစ္ပါတယ္။ (ေနာက္ႏွစ္ေတာ့ ေမာင္ေကာင္းလည္း အဲဒီကို သြားဖုိ႔ႀကိဳစားေနပါတယ္။ ၿပိဳင္ပြဲဝင္ဖို႔ေတာ့ ဟုတ္ပါဘူး။ လူလစ္ရင္ Laptop ေလးတစ္လုံးေလာက္ အလစ္သုတ္မလို႔ပါ။)
ေၾသာ္ … ေျပာဖို႔ေမ့ေနလုိက္တာ။ ၿပိဳင္ပြဲၿပီးသြားတဲ့အထိ Sony VAIO ေပၚက Ubuntu Linux ကုိဘယ္သူမွ Hack မလုပ္ႏုိင္ခဲ့ပါဘူး။ (ဟယ္ … ဒါမွ တို႔စစ္သမီးကြ -ဟယ္ … ဒါမွ တို႔ေမာင္ႀကီးေတာ့ အလုိက္တိုင္း ႐ြတ္ဆုိရန္)
ၿပီးဆုံးခ်ိန္။ ။ နံနက္ ၂ နာရီ ၃၂ မိနစ္
ေန႔ရက္ ။ ။ ၁ ရက္ ၾသဂုတ္လ ၂၀၀၈ ေသာၾကာေန႔
