งานประลองฝีมือ Hacker สายขาว หรือ White Hat Hacker มาอีกแล้ว เมื่อ Google ประกาศยกระดับให้กับงานวิจัยและพัฒนาด้านความปลอดภัยไซเบอร์ เพิ่มรางวัลให้กับใครก็ตามที่สามารถเจาะระบบความปลอดภัยของชิป Titan M ซึ่งฝังอยู่ใน Google Pixel 4, Pixel 3 และ Pixel 3a ได้ เป็นเงินรางวัลสูงสุดกว่า 45 ล้านบาท!
นับเป็นอีกก้าวในความพยายามของ Google ที่มุ่งมั่นพัฒนาพร้อมโปรโมทความมั่นอกมั่นใจในศักยภาพทางด้านความปลอดภัยหรือ Ecosystem ของพวกเขาไปด้วยในตัว โดย Google เผยว่าได้ทำโครงการล่ารางวัลเช่นนี้ให้กับแฮ็กเกอร์อิสระได้เข้าร่วมมาตั้งแต่ปี 2015 แจกเงินรางวัลรวมกว่า 4 ล้านเหรียญ (กว่า 120 ล้านบาท) เข้าไปแล้ว แต่ล่าสุดต้องการเน้นย้ำให้เห็นกันอีกครั้งนึงว่า Google ตั้งใจที่จะพัฒนาความปลอดภัยของอุปกรณ์อัจฉริยะทั้งหลายจาก Made-by-Google มากขนาดไหน
ซึ่งครั้งนี้ Google ได้ประกาศเชิญชวนอัจฉริยะไอทีทั่วโลก เข้าร่วมโครงการ “Android Security Rewards Program” ประจำรอบปลายปี 2019 โดยเน้นไปที่การแจกรางวัลให้กับนักแฮ็กที่พบช่องโหว่ต่าง ๆ บนชิพความปลอดภัย Titan M ที่ Google นำเสนอมาตั้งแต่ปี 2018 ปัจจุบันพบได้ใน Pixel 3 – 3 XL | Pixel 3a – 3a XL | และล่าสุด Pixel 4 – 4 XL โดยรางวัลมีมูลค่าตั้งแต่ราว ๆ 200,000 เหรียญ (6 ล้านบาท) ไปจนรางวัลสูงสุดที่ 1.5 ล้านเหรียญ หรือมากถึง 45 ล้านบาท ขึ้นอยู่กับความยาก
ชิพ Titan M เป็นระบบความปลอดภัย ที่ไม่ค่อยถูกพูดถึงในบรรดาผู้บริโภคและนักรีวิวทั่วโลกเท่าไหร่ เพราะทำงานอยู่ด้านหลัง เน้นเรื่องการป้องกันข้อมูลทุกอย่าง นั่นทำให้ Google Pixel-series ตั้งแต่ปี 2018 เป็นต้นมา ถูกยกเป็นหนึ่งในสมาร์ทโฟนที่มีความปลอดภัยสูงที่สุดในการรักษาข้อมูลส่วนบุคคลของผู้ใช้งานเลยล่ะ ซึ่ง Titan M ทำหน้าที่สำคัญตั้งแต่ การตรวจสอบกระบวนการบูตของแอนดรอยด์ (Secure Boot in Bootloader) | เข้ารหัสข้อมูลชีวภาพของผู้ใช้งาน เช่น ลายนิ้วมือ หรือ การสแกนใบหน้า (Biometrics Data Access) | และรวมถึงตรวจสอบการสั่งงานธุรกรรมสำคัญ (Transactional Verification) อีกด้วย
แต่ 45 ล้านก็อาจไม่พอ หากเทียบมูลค่าตลาดมืดของ Hackers
อันที่จริงโครงการเช่นนี้ไม่ใช่แค่ Google เท่านั้นที่ทำ เพราะยักษ์ใหญ่อย่าง Apple | Facebook | Samsung เองก็ได้มีการเสนอรางวัลให้กับเซียนไอที หรือ แฮ็กเกอร์ที่พบช่องโหว่ทางด้านความปลอดภัยบนฮาร์ดแวร์และซอฟแวร์ของพวกเขามาสักพักแล้วเช่นกัน เพราะมองว่าการที่เสนอรางวัลที่มากพออาจช่วยล่อใจให้ Hackers สายมืดกลับใจหันมาสนับสนุนงานด้านความปลอดภัยมากกว่าที่จะทำผิดกฎหมายด้วยการใช้ช่องโหว่เหล่านี้ทำมาหากินในตลาดมืดนั่นเอง
อย่างไรก็ตาม นักวิชาการสายเทค ฯ หลายฝ่ายกลับประเมินว่า การทำโปรเจคนำเสนอเงินรางวัลให้กับแฮ็กเกอร์อิสระเช่นนี้อาจไม่ได้ส่งผลดีเสมอไป เพราะอันที่จริงมูลค่าของช่องโหว่ที่อาจเกิดขึ้นกับผลิตภัณฑ์ของ Tech Giants เช่น Google หรือ Apple นั้น อาจทำมูลค่าได้มหาศาลมากกว่าเงินรางวัลหลายเท่าตัวเลย และในอีกมุมนึง การเสนอเงินรางวัลให้กับบุคคลภายนอกนั้น อาจสร้างความคับข้องใจภายในองค์กรได้เพราะบริษัทเหล่านี้ก็ล้วนมีทีมวิจัยและพัฒนาด้านความปลอดภัยของระบบอยู่แล้ว ซึ่งแน่นอนว่าพนักงานประจำเหล่านี้ จะไม่สามารถลงแข่งล่ารางวัลได้ แต่กลับต้องทำงานแบบเดียวกันเพราะเป็นส่วนหนึ่งขององค์กร
กรณีนี้ก็เหมือนกับตอนที่ Apple เพิ่มเงินรางวัลให้กับโปรแกรมล่าบั๊กเป็น 1 ล้านเหรียญนั่นแหละ การทำเช่นนี้ของ Google ไม่น่าจะช่วยให้สถานการณ์ (การโจรกรรมข้อมูลและก่อกวนระบบความปลอดภัย) ดีขึ้น เพราะสุดท้ายแล้วมูลค่าในตลาดมืดมันเพิ่มขึ้นตอนไหนก็ได้โดยพวกเขาจะกำหนดมันได้เอง – Katie Moussouris | ผู้บริหารของบริษัทด้านความปลอดภัยทางไซเบอร์, Luta Security
รายละเอียดของโครงการ: Android Security Rewards Program
ที่มา: BBC News | 9to5Google
แล้วในปี2ปี ที่ผ่านมามีคนได้รางวัลจาก Google / Apple บ้างยังครับ