มาดู Charles Arthur นักข่าวจาก The Guardian หนังสือพิมพ์อังกฤษชื่อดัง แกะรอยตามหาคนแฮ็ก fan page ของ Mark Zuckerberg กันครับ ต้นฉบับอ่านสนุกดี มีลุ้นตอนท้าย

เริ่มจากที่ข้อความที่คนที่สวมรอยเป็น Zuckerberg เขียนทิ้งไว้ดู

"Let the hacking begin: if facebook needs money, instead of going to the banks, why doesn't Facebook let its user invest in Facebook in a social way? Why not transform Facebook into a 'social business' the way Nobel Price winner Muhammad Yunus described it? http://bit.ly/fs6rT3 What do you think? #hackercup2011"

Arthur เริ่มจาก URL ของ bit.ly ด้วยการเติม + เข้าไปข้างท้ายเป็น http://bit.ly/fs6rT3+ ซึ่งจะช่วยเปิดเผย URL จริง (เป็นเคล็ดลับที่มีประโยชน์มากครับ การคลิกลิงก์ที่ไม่รู้ปลายทางบางทีก็อันตรายไม่น้อย) พบว่าเป็นดังนี้

http://en.wikipedia.org/wiki/Social_business?h=d044aeb71f4e466a552708fc6e3863ef&thanksforthecup=https://www.facebook.com/photo.php%3Fpid%3D393752%26id%3D133954286636768%26fbid%3D170535036312026

ปรากฏว่าเป็น URL ของ Wikipedia ที่มีการเติมรายละเอียดเข้าไปเยอะพอสมควรครับ ลองมาดูส่วนหลังก่อน ตั้งแต่ &thanksforthecup เป็นต้นไป ลองแทนค่า URL encoding ดู (%3F แทนด้วย ? %3D แทนด้วย = และ %26 แทนด้วย &) จะเห็นว่าเป็น URL ของภาพใน Facebook

เมื่อเข้าไปดู ก็จะเห็นภาพโปสเตอร์การแข่งขัน Facebook Hacker Cup ซึ่งเป็นไปได้ว่าแฮ็กเกอร์คนนี้กำลังหวังรางวัลอยู่

กลับมาดูส่วนที่เหลือของ URL ครับ คือ http://en.wikipedia.org/wiki/Social_business?h=d044aeb71f4e466a552708fc6e3863ef ซึ่งดูไม่ใช่ URL ของหน้าบทความ Wikipedia ธรรมดา ตรงนี้ Arthur อ้างว่ามันเป็นหน้า revision หรือหน้าฉบับก่อน ๆ ของบทความ (แต่ผมดูแล้วก็เหมือนฉบับปัจจุบันทุกอย่างนะ ถ้าเข้าใจผิดช่วยท้วงด้วยครับ) อย่างไรก็ตาม พอลองดูที่บันทึกการแก้ไข จะเห็นว่ามีการแก้ไขสองครั้งที่เกิดขึ้นในเวลาแค่สองนาที และใกล้เคียงกับเวลาที่มีคนสวมรอยเป็น Zuckerberg เสียด้วย

จะเห็นว่าการแก้ไขนั้นเป็นการเติมลิงก์ไปยัง http://www.romanstwelve.net และลบออกแทบจะในทันที ซึ่งเว็บไซต์ที่ถูกลิงก์ไปหาตอนนี้เข้าไม่ได้แล้ว แต่ดูจาก cache ของ Google จะพบว่าเป็นบริษัทรับทำเว็บไซต์ในรัฐโอไฮโอ

นอกจากนี้ บันทึกการแก้ไขบทความ Wikipedia นั้นยังเก็บหมายเลข IP ของผู้แก้ไขไว้เสียด้วย ซึ่งก็คือ 131.74.110.168 เมื่อ Arthur ลองดูประวัติดูก็พบว่าผู้ใช้จากหมายเลข IP นี้เคยแก้ไขบทความมาเยอะพอสมควร และถูกตำหนิจากผู้ใช้คนอื่น ๆ ว่าไปก่อกวนบางบทความ

ที่สำคัญไปกว่านั้นก็คือ เมื่อตรวจสอบตำแหน่งของหมายเลข IP ดังกล่าวแล้ว Arthur พบว่ามันมาจากหน่วยงานของกระทรวงกลาโหมสหรัฐฯ ในรัฐโอไฮโอ

แน่นอนว่าร่องรอยดังกล่าวไม่ได้หมายความว่าคนในกระทรวงกลาโหมสหรัฐฯ เป็นคนทำ แต่มันอาจจะหมายความว่ามีคนสามารถใช้หมายเลข IP นั้นเป็น proxy ก็ได้ ซึ่งถ้าเป็นการลักลอบใช้ ก็น่าตกใจพอสมควรครับ

Arthur ลองสอบถามนาย Jeremy Reger ซึ่งมีชื่ออยู่ในเว็บไซต์ romanstwelve.net แต่ก็ได้รับคำตอบว่าไม่รู้เรื่องอะไรครับ

สรุป

ร่องรอยเท่าที่มีตอนนี้ก็มีแค่

• หมายเลข IP ของหน่วยงานกระทรวงกลาโหมสหรัฐฯ
• หน้าบันทึกการแก้ไขบทความใน Wikipedia
• URL เว็บไซต์ romanstwelve.net

ส่วนตัวผมยังข้องใจกับ URL หน้าบทความ Wikipedia ที่มี d044aeb71f4e466a552708fc6e3863ef น่าจะเป็น hash ของอะไรสักอย่าง แล้วก็ตะกี้ค้นดูเร็ว ๆ พบว่าคัมภีร์ไบเบิลมีบทชื่อ Romans 12 ด้วย

มีใครมีความเห็นเพิ่มเติมไหมครับ

ที่มา - The Guardian