บล็อก ·
เข้าร่วมงาน DEF CON Singapore 2026 — รายงานสรุป

วันที่ 28–29 เมษายน 2026 ผมได้เข้าร่วมงาน DEF CON Singapore 2026 ที่ Sands Expo and Convention Centre ภายใน Marina Bay Sands ประเทศสิงคโปร์ ในฐานะการจัดงาน DEF CON ครั้งแรกในเอเชียตะวันออกเฉียงใต้ มีแฮกเกอร์ นักวิจัย และวิศวกรจากทั่วโลกมารวมตัวกัน บรรยากาศจึงคึกคักและน่าตื่นเต้นตลอดสองวัน บทความนี้สรุปภาพรวมของงานและบรรยากาศในสถานที่จริง
DEF CON คืออะไร
DEF CON เป็นหนึ่งในงานประชุมแฮกเกอร์ที่ใหญ่ที่สุดในโลก ก่อตั้งขึ้นในปี 1993 โดย Jeff Moss (The Dark Tangent) ปกติจัดที่ลาสเวกัส สหรัฐอเมริกา และเป็นที่รู้จักจากเนื้อหาที่หลากหลาย ทั้ง Talks, Village ตามธีมต่าง ๆ, การแข่งขัน CTF (Capture The Flag), มุมเล่นกุญแจ, การแฮกฮาร์ดแวร์, Demo Labs และอื่น ๆ อีกมาก
ครั้งนี้ DEF CON Singapore 2026 จัดร่วมกับหน่วยงานรัฐของสิงคโปร์ HTX (Home Team Science and Technology Agency) ในวันที่ 28–30 เมษายน 2026 (วันที่ 26–27 เมษายนเป็นช่วงการอบรม) ถือเป็น DEF CON ครั้งแรกในเอเชียตะวันออกเฉียงใต้ และเป็นโอกาสอันมีค่าที่จะได้สัมผัสแนวหน้าด้านความมั่นคงปลอดภัยไซเบอร์ในเอเชีย
- สถานที่: Sands Expo and Convention Centre (Marina Bay Sands)
- วันที่: 28–30 เมษายน 2026 (งานหลัก)
- ผู้จัด: DEF CON × HTX
- เว็บไซต์ทางการ: defcon.org/html/defcon-singapore
การเข้างานและบัดจ์
ราคาบัตรงานหลัก (ไม่รวมส่วนลด early-bird) อยู่ที่ SGD 400 ส่วน การอบรมคิดค่าใช้จ่ายแยกต่างหากจากงานหลัก และราคาแตกต่างกันตามคอร์ส ครั้งนี้ผมเข้าร่วมเฉพาะงานหลัก
เมื่อเข้างานจะได้รับ หนังสือแนะนำงาน, บัดจ์อิเล็กทรอนิกส์, สติกเกอร์ และเป้สะพายหลัง สัญลักษณ์ที่ขาดไม่ได้ของ DEF CON คือบัดจ์อิเล็กทรอนิกส์ที่ใช้แทนบัตรเข้างาน บัดจ์ปีนี้ก็เช่นเคยมีไฟ LED ตกแต่ง และตัวบัดจ์เองคือ "เป้าหมายของการแฮก" หากเขียนโค้ดใหม่หรือลองเข้าถึงจากภายนอก รูปแบบไฟและลวดลายจะเปลี่ยนไป — ผู้เข้าร่วมจึงสามารถวิเคราะห์และดัดแปลงบัดจ์ได้ตลอดงาน
ผังสถานที่และโครงสร้าง Track
วิธีการเข้าร่วมโดยทั่วไปคือ เลือกหัวข้อ talk ที่สนใจจากหนังสือแนะนำงานหรือตารางที่ติดตามจุดต่าง ๆ แล้วเดินไปฟัง ในงานแบ่งการบรรยายออกเป็น 3 Track หลัก
- Track 1: ฮอลล์ใหญ่ที่สุด talk ที่ได้รับความสนใจสูงจัดที่นี่
- Track 2: ฮอลล์ขนาดที่สองรองลงมา เพื่อไม่ให้เสียงรบกวน Track 1 ผู้เข้าร่วมจึงฟังผ่านหูฟังไร้สาย ซึ่งกลับทำให้ฟังได้ชัดกว่าเดิม
- Demo Labs: เซสชันขนาดเล็กที่มีผู้เข้าร่วมประมาณ 10 คนต่อบูธ จัด 4 บูธพร้อมกัน ใช้รูปแบบหูฟังเช่นกัน ระยะใกล้ระหว่างผู้บรรยายกับผู้ฟังทำให้ถามคำถามได้โดยตรง
บูธต่าง ๆ ไม่ได้แบ่งหน้าที่อย่างชัดเจน ทำให้สามารถเดินสลับไปดูสิ่งที่สนใจได้อย่างอิสระ
การบรรยายและงานแสดงที่น่าจดจำ
การแฮกบัตรกุญแจของโรงแรม
เซสชันที่ประทับใจที่สุดของผมเป็นการแฮกบัตรกุญแจของโรงแรม หัวข้อคือ "HOTEL LOCK VULNERABILITY DEMONSTRATION: UNDERSTANDING XOR, REVERSE ENGINEERING, CARD DECRYPTION AND UNAUTHORIZED MASTER CARD WITH CARD ALGORITHM" โดยคุณ Dennis Goh Yong Sen และคุณ Ambrose John Doormie
หัวข้อคือการ reverse engineering ระบบ การเข้ารหัสเฉพาะที่ใช้ XOR เป็นพื้นฐาน ซึ่งใช้ในกุญแจโรงแรมยี่ห้อหนึ่งที่ใช้กันแพร่หลายในเอเชีย วิทยากรใช้ Proxmark3 RDV4 ซึ่งเป็นฮาร์ดแวร์ยอดนิยมสำหรับการวิเคราะห์ RFID สื่อสารกับบัตรและถอดรหัสอัลกอริทึม จนสามารถ คัดลอกบัตรมาสเตอร์โดยไม่ได้รับอนุญาต โดยอธิบายขั้นตอนทีละขั้น
- ① ระบุระบบเข้ารหัส: ใช้เครื่องอ่านเฉพาะสื่อสารกับบัตรและระบุโครงสร้างการเข้ารหัสแบบ XOR ที่ระบบโรงแรมใช้
- ② Reverse engineering: ใช้การวิเคราะห์แบบสถิตควบคู่กับข้อมูลการสื่อสารที่จับได้ ย้อนหาลำดับการเข้ารหัสและโครงสร้างข้อมูลในบัตร (เช่น หมายเลขห้อง ช่วงเวลาที่เข้าได้)
- ③ ถอดรหัสและแก้ไข: สร้าง key schedule ใหม่ ถอดเนื้อหาของบัตรแขกและบัตรมาสเตอร์ออกมาเป็นข้อความธรรมดา และสาธิตการสร้างบัตรมาสเตอร์ที่สามารถปลดล็อกห้องใดก็ได้ โดยใช้ฮาร์ดแวร์ที่จำหน่ายทั่วไปเท่านั้น
วิทยากรนำเสนอภายใต้บริบทของ responsible disclosure ไม่ได้เผยแพร่โค้ดที่สามารถใช้โจมตีจริง สิ่งที่สาธิตคือ "หากการออกแบบการเข้ารหัสที่อ่อนแอและคีย์เริ่มต้นที่รู้กันอยู่แล้วยังคงอยู่ในระบบ ผู้โจมตีจะสามารถเจาะระบบได้ถึงระดับใด" เนื้อหานี้ทำให้เห็นว่าบัตรกุญแจที่เราสอดเข้าสู่ประตูทุกวันบางครั้งมีการพัฒนาที่เปราะบาง และยังเป็นข้อคิดที่นำไปใช้ได้กับการออกแบบการพิสูจน์ตัวตน การให้สิทธิ์ และการจัดการคีย์ในการพัฒนาแอปเว็บและมือถือด้วย
ศิลปะ × แฮก โดย Dries Depoorter
เซสชันของศิลปินและนักพัฒนาชาวเบลเยียม Dries Depoorter (เกิดปี 1991 อาศัยอยู่ที่ Ghent) ก็น่าประทับใจมาก เขาเป็นที่รู้จักจากการนำเสนอประเด็นร่วมสมัยอย่าง AI การสอดแนม โซเชียลมีเดีย และความเป็นส่วนตัว ในรูปแบบที่เสียดสีและมีอารมณ์ขัน ผลงานของเขาเคยจัดแสดงที่ Barbican (London), Art Basel, Ars Electronica, ZKM และอีกหลายแห่ง เขาบอกว่า "ผมไม่ชอบศิลปะที่เข้าใจยาก อยากทำให้ใคร ๆ ก็เข้าใจได้" จึงทำให้ผู้ชมสามารถสัมผัสความเสี่ยงของเทคโนโลยีได้อย่างตรงไปตรงมา
การบรรยายของเขาในชื่อ "SURVEILLING POLITICIANS, UNMASKING INFLUENCERS, FAKE LIKES AND DYING TOGETHER" เสนอมุมมอง "เข้าหางานวิจัยด้านความปลอดภัยจากโลกของศิลปะ ไม่ใช่จากห้องแล็บ" และแนะนำผลงานหลักของเขาตามลำดับ
- SURVEILLING POLITICIANS — The Flemish Scrollers
AI วิเคราะห์ภาพถ่ายทอดสดของรัฐสภาเบลเยียม (Flanders) อย่างต่อเนื่อง ใช้การจดจำใบหน้าระบุนักการเมืองที่กำลังเล่นมือถือในห้องประชุม จากนั้นโพสต์คลิปไปยังโซเชียลมีเดียโดยอัตโนมัติพร้อมแท็กตัวบุคคล แนวคิดคือ "หากรัฐบาลใช้ AI สอดแนมพลเมืองได้ พลเมืองก็ควรใช้ AI ตรวจสอบรัฐบาลที่กำลังออกกฎหมายได้เช่นกัน" - UNMASKING INFLUENCERS — The Follower
AI วิเคราะห์ภาพจากกล้องสดสาธารณะทั่วโลก (กล้องที่เปิดให้เข้าถึงได้) แล้วจับคู่กับภาพ "สวย ๆ" ที่โพสต์บน Instagram เพื่อหา สถานที่และช่วงเวลาที่ภาพนั้นถ่ายจริง เผยให้เห็นว่าโพสต์ดูดีบนหน้าฟีดถูกจัดฉากมากแค่ไหนเบื้องหลัง - FAKE LIKES (สาธิตสด)
ใช้เครื่องมือ Python ที่เขียนเอง สาธิตสด ๆ ให้เห็นว่า สามารถสร้างยอด "ไลก์" จำนวนมหาศาลในเวลาเดียวกัน ให้กับโพสต์โซเชียลมีเดียใด ๆ เป็นการแสดงให้เห็นว่ารากฐานของความน่าเชื่อถือบนโซเชียลมีเดียถูกทำลายได้ง่ายและมีต้นทุนต่ำเพียงใด - DYING TOGETHER — Die With Me
แอปแชทที่เข้าถึงได้เฉพาะเมื่อแบตเตอรี่ของโทรศัพท์เหลือ น้อยกว่า 5% เท่านั้น เป็นการทดลองด้าน "digital scarcity (ความขาดแคลนแบบดิจิทัล)" ที่เครื่อง "กำลังจะตาย" ใช้เวลาสุดท้ายร่วมกัน ผลงานนี้กลายเป็นไวรัลทั่วโลก
เสน่ห์ของ DEF CON ไม่ได้อยู่ที่การพูดถึงความปลอดภัยไซเบอร์ในเชิงเทคนิคเพียงอย่างเดียว แต่ยังเปิดมุมมองใหม่ ๆ จากบริบทของศิลปะที่ตั้งคำถามถึง "การสอดแนม" "โซเชียลมีเดีย" และ "ความน่าเชื่อถือ"
อ้างอิง: https://driesdepoorter.be
บูธของนักศึกษา CTF และการเล่นกุญแจ
นอกจากนี้ยังมีบูธวิจัยและพัฒนาของนักศึกษา มุม CTF และพื้นที่ทดลองเล่นกุญแจเพื่อเรียนรู้ด้าน physical security ทำให้มีสิ่งที่น่าดูตลอดเวลา
บูธยอดนิยมที่สุดคือบูธของที่ระลึก
เรื่องที่ค่อนข้างน่าแปลกใจคือ บูธที่มีคนต่อแถวมากที่สุดในงานคือ บูธของที่ระลึก (Swag) วันแรกพอเปิดงานก็มีคิวยาวทันที ดูเหมือนจะไม่ต้องเสียค่าผ่านประตู ใครก็สามารถมาต่อแถวซื้อสินค้าได้ ผมซื้อแพตช์ของ DEF CON เก็บเป็นที่ระลึกไว้หนึ่งชิ้น
ช่วงพักและเรื่องอาหาร
ระหว่างเซสชัน คุณสามารถเดินเล่นใน Marina Bay Sands หรือผ่อนคลายในพื้นที่รับประทานอาหารและพื้นที่พักของงานได้ ฟู้ดคอร์ทค่อนข้างคนเยอะช่วงพักเที่ยง การหาที่นั่งอาจไม่ง่าย
ฟู้ดคอร์ทในงานมีราคาที่สมเหตุสมผล อาหารมื้อหนึ่งประมาณ SGD 15 แต่โค้กราคา SGD 5 ก็ค่อนข้างแพงไปสักหน่อย
และที่ผมประทับใจที่สุดคือบูธเบียร์
เรื่องที่ผมประทับใจที่สุดคือ บูธเบียร์ ที่ตั้งอยู่ในงาน แต่ราคาแก้วกระดาษหนึ่งใบที่ SGD 15 ก็ถือว่าค่อนข้างใจกล้า
ภาพรวมจากการเข้าร่วม
ผมไม่ได้เข้าคอร์สอบรม จึงไม่สามารถพูดถึงในส่วนนั้นได้ แต่หากดูเฉพาะงานหลัก รู้สึกว่า DEF CON เป็น "พื้นที่สัมผัสบรรยากาศแนวหน้าและคอมมูนิตี้" มากกว่า "พื้นที่สำหรับเรียนรู้เทคนิคอย่างเป็นระบบ" การได้พูดคุยโดยบังเอิญกับวิศวกรและนักวิจัยจากทั่วโลก วัฒนธรรมเฉพาะตัวของงาน และนิทรรศการที่มีความเล่นสนุก ทุกอย่างน่าตื่นเต้น
ครั้งต่อไปอยากไปงาน DEF CON ดั้งเดิมที่ลาสเวกัส และลองเข้าร่วม CTF ด้วย
FJT SOLUTIONS (THAILAND) จะติดตามแนวโน้มด้านความปลอดภัยล่าสุดเช่นนี้ต่อไป และนำมาประยุกต์ใช้กับการพัฒนาเว็บ แอปมือถือ และระบบงานองค์กรของลูกค้าอย่างต่อเนื่อง


