วิธีการหาคอร์สเรียนแฮกเกอร์ 2018

ปัญหาของการเรียน hacking คือ path ลำดับการเรียนรู้ที่จะไปถึงจุดหมายปลายทางของแต่ละคน ซึ่งในปัจจุบันเวลามือใหม่เริ่มจาก 0 หรือ 1 แล้วอยากจะรู้เรื่องพวกนี้ก็หาที่พึ่งค้นหาใน กูเกิลยูทูปเอา.. ถ้าเป็นภาษาไทยส่วนมากจะไปจบที่ แก๊งต่าง ๆ ที่มาเปิดคอร์สสอนแฮก ล่าสุดก็มามี กลุ่มใหม่ ตามมา เยอะแยะซึ่งถ้าเข้าไปดูเนื้อหาตามกลุ่ม ที่ตั้งมาจากคนที่ไม่ได้ทำงาน security โดยตรงก็จะเป็นใช้ tools หัดใช้ Kali SQLMap แคร๊ก WiFi ใช้ Wifite AirCrack ใช้ Metasploit กด MS08–067 MS17–010 ทำเว็บ phishing ทำ Trojan จากแอปสำเร็จรูป สอนใช้ Meterpreter ขโมยข้อมูลเหมือนในหนัง เอา โปรแกรมเท่ ๆ มากดแล้วบอกยิง DDoS แล้วก็จบหลักสูตรกลายเป็นแฮกเกอร์ 007

ซึ่งผมก็ไม่ได้ห้าม ว่าจะไม่ให้ใครไปเรียนคอร์สไหน อะไรยังไงหรอก แต่อยากจะแนะนำ=ในมุมมองของผม=ว่า ถ้ามีใครจะหาเรียน ควรแบบไหนดี เพื่อเป็นประโยชน์ต่อคนที่กำลังหาอยู่ และจะได้ไม่โดนหลอก มีคนโดนหลอกเยอะมาก ๆ

คำแนะนำของผมสำหรับ beginner มีดังนี้…

1. แนะนำว่าให้หาที่อย่างน้อยที่สุด “คนที่คุณจ่ายเงินให้ เป็นในรูปแบบบริษัทมีตัวตนจริง เป็นคนจริง ๆ ที่ทำธุรกิจด้าน IT Security” ไม่ใช่ไปจ่ายผ่าน True Money Paypal BitCoin หรือโอนเงิน ไปให้ใครก็ไม่รู้ชื่อ ทำงานใน profile ดำ ๆ ใส่หน้ากาก anonymous เป็นเฟสบุ๊ก เป็นไลน์กลุ่มตั้งขึ้นมาลงคลิปแฮกพร้อม quote เท่ ๆ เยอะ ๆ ที่ผมแนะนำงี้เพราะว่ามีคนมาปรึกษา มาบ่นให้ผมฟังเป็น 1,000,000,000 … คนแล้วว่า เค้าไปเสียเงินให้กลุ่มแก๊งพวกนี้ ที่ทำ list รายการที่จะสอนแฮก ว่าทำนู้นทำนี้ได้ อ่านแล้วอู้วหูว ปรากฏจ่ายตังของจริงได้คลิปตามยูทูปสอนใช้ tool งง ๆ เปิดเพลงมันส์ ๆ เป็น background ส่วนคนเอาคลิปมาให้หลังจ่ายตังก็ไม่ได้รู้เรื่องอะไรเทคนิค รู้ตามคลิปใส่ ๆ คำสั่งแบบนี้แล้วจากตัวอย่างมันแฮกได้ ใช้ศิลปะการพูดนิดหน่อย ตอบคำถามคนเรียน =ความคิดผมคือ= เสียดายเงินอย่าเลย ไม่คุ้ม คุณจ่ายเงินให้เด็กน้อยที่มีความรู้ผิวเผินกด ๆ ลองเล่นมาแล้ว มาหาเงินโดยการเอาคลิปที่มีในยูทูปมาขาย (มีทั้งโหลดมาดื้อ ๆ และเอามาเลียนแบบอัดใหม่เอง)
2. วิธีง่าย ๆ คือ “ขอดู ประวัติผู้สอน” ว่าเคยได้รับ security certificate อะไรที่ได้รับการยอมรับสากล (เอาหน่า ถึงทุกตัวมันจะห่วย แต่อย่างน้อยมันก็การันตรีอะไรได้นิดนึงก็ยังดี) หรือดู ๆ เอาว่าเค้าเคยได้รับ CVE จากการแจ้งช่องโหว่ เคยได้รางวัลจาก Bug Bounty อยู่ใน Hall of Fame ที่ไหน เคยเล่น CTF หรือแข่งขันด้าน cybersecurity ชนะรายการอะไรมา เคยไปพูดงานสัมมนา IT Security ที่ได้รับการยอมรับ เคยมีประสบการณ์ทดสอบเจาะแฮกระบบให้หน่วยงานชั้นนำอะไร เคยเขียนบทความ technical ด้านเทคนิคการแฮกหรือช่องโหว่ที่น่าสนใจได้ระดับการยอมรับในระดับสากล (ตัวอย่าง) ถ้ามีตามนี้บ้างอย่างน้อยสักข้อสองข้อก็ อาจจะลองเสียตังไป แลกกับประสบการณ์ที่คนพวกนี้มี (หรือประสบการณ์ที่ไป take course อ่าน dump ข้อสอบมา) ดีกว่าไปเสียตังให้เด็กกะโป๊กเปิดแก๊งแฮกเกอร์ 007 เอาคลิปยูทูป คลิปฝรั่ง กด tool งง ๆ มาอัดซ้ำมาขาย โดยไม่สามารถอธิบายให้เป็นความรู้เชิงวิชาการให้มีประโยชน์ได้ ถ้าคุณดูประวัติคนสอนแล้วโอเค เป็นคนสติดีมี credit เชื่อถือได้ ก็อาจจะลองเสียตังดู
3. ทำความเข้าใจใหม่ว่า การแฮกด้วย tool โดยไม่มีความรู้มันก็ไม่ได้ยาก เปรียบง่าย ๆ เหมือนสอนใช้ Microsoft Word คุณก็เรียนได้ในยูทูป อยากรู้อะไรใส่ไปดิคลิก ๆ ทำตาม แต่คำนึงไว้ว่าทุกอย่างมันมี เบื้องลึก มีหลักการ มีวิธีที่มีประสิทธิภาพเอาไปใช้ประโยชน์ได้ทั้งในเชิงโจมตีหรือป้องกัน มันต้องมีพื้นฐานและใช้เวลาเรียนรู้นอกจากคลิก ๆ tool ซึ่ง ถ้าจะเสียเงินเรียนแล้ว =ความคิดผมคือ= ควรเรียนจากคนสอนที่มีประสบการณ์ตรง + เข้าใจจริง ๆ มากกว่า ตอบคำถามได้ แนะนำในทางที่ถูกได้ เหมือนอยากเป็นหมอ ก็เรียนกับหมอดิ เค้าเคยทำเคสคนไข้มาตอบได้ดีกว่า ถ้าไปเรียนกับคนขายข้าวขาหมูไปซื้อหนังสือสอบหมอที่ B2S มาอ่านเคสคนไข้แล้วเอามาสอนต่อ มันจะคุ้มไหม
4. ถ้าคุณไม่มีความรู้เรื่องไอที เขียนโปรแกรมไม่เป็น แล้ว “อยากเรียนเพราะว่าอยากไปแฮกเฟสแฟน ไปแฮกเพื่อน แฮกเว็บเกมที่เล่นอยู่ =ความคิดผมคือ= อย่าหาที่เรียนเลยเสียดายตังเก็บไว้กินหมูกะทะแกล้มเบียร์ดีกว่า” เพราะความรู้ที่จะทำให้ทดสอบ security ได้จริง ๆ จะต้องเข้าใจ อะไรหลาย ๆ อย่างที่ไม่ได้จะเรียนกันได้ในเวลาไม่กี่วันแล้วกลายเป็นแฮกเกอร์ 007 ใส่หน้ากากดำ ๆ มีตัวอักษรสีเขียววิ่ง ๆ เข้าเฟสแฟน ทะลุเข้าไลน์แฟนได้
5. ใน อินเทอร์เน็ตมีคนรับแฮกเฟส รับแฮกไลน์ รับแฮกอีเมล นั้นนี่ เยอะมาก 99.99 % คือโกง ท่องไว้ คือโกง ไม่ต้องไปหา ถ้าคุณไม่อยากเป็นแบบคนที่ต้องมาเสียใจแบบคน 1,000,000,000 … คน ที่มาปรึกษาผมร้องห่มร้องไห้ว่าโดนโกงเงินแล้วบล็อคเฟสจากการไปจ่ายเงินให้แก๊งแฮกเกอร์ ที่เอารูปเอาหลักฐานมาโชว์ว่าแฮกได้งั้นงี้ สำหรับคนไม่รู้คือรูปมันก็ตัดต่อได้ หลักฐานปลอมมันก็สร้างได้ -_-

ผู้เขียนหวังว่าคำแนะนำ 5 ข้อนี้จะช่วยให้ไม่ถูกหลอกเสียเงินจากคอร์สคุณภาพต่ำหรือการหลอกลวงเหล่านี้ได้ ไม่มากก็น้อย ช่วยได้อีกสัก 1 คนก็ยังดีคุ้มแล้วที่เขียน 55

ซึ่งมันก็ไม่ผิดหรอกว่าใครจะเปิดคอร์สอะไร ให้คนมาเรียนมันก็มีทุกวงการ หุ้น BitCoin โปรแกรมเมอร์ สอนติวเตอร์อะไรงี้ มีหมดคนไม่รู้ รู้บ้างนิดหน่อยเอามาสอนต่อ แล้วก็มีคนมาลงเรียน ใคร ๆ ก็อยากได้ตังอะนะ เข้าใจ ชีวิตอยู่ได้ด้วยเงิน แต่ผมก็ว่ามันก็ไม่ผิดเหมือนกันถ้าผมจะแนะนำวิธีหรือแนวทางที่ผมคิดว่าถูกต้อง เพราะมีเหยื่อจากเหตุการณ์เหล่านี้ชอบมาปรึกษาผมเหลือเกินนนนน

ส่วนวิธีการศึกษาที่แนะนำคือตามแนวทางนี้ FAQ: อยากแฮกเป็นจุงเบย ศึกษาอะไรดี