The First Computer and Network Security Magazine in Thailand
ISSUE 1/SEPTEMBER 2010
บริษัท ไซเทคอีโวลูชั่น จำกัด บรรณาธิการอำนวยการ วุฒิพงษ์ ชาติอนุลักษณ์ รองบรรณาธิการ วิศวัชร์ อัศวเมนะกุล ที่ปรึกษา สมญา พัฒนวรพันธุ์ พ.ต.ท. ดรัณ จาดเจริญ รศ.ดร. โชติพัชร์ ภรณวลัย ดร.สุภาภรณ์ เกียรติสิน ภีรพล คชาเจริญ ที่ปรึกษากฏหมาย อุบล ศรวิเชียร กองบรรณาธิการ สมสกุล วงษ์เสริมศรี กรินทร์ สุมังคะโยธิน เมธีกุล เจียร์วัฒนานนท์ สุทธาพงศ์ วราอัศวปติ ประธาน พงศ์ทิพย์ฤกษ์ วรวุฒิ สายบัว ผู้จัดการฝ่ายโฆษณา ทศพร แซ่ฉั่ว เลขาฯฝ่ายโฆษณา พัชรา ทำทอง ผู้จัดการฝ่ายอบรมสัมมนา ธนรัฐ ธนะสมบูรณ์ ผู้จัดการฝ่ายบัญชีและการเงิน นิภา กรอบรูป พิสูจน์อักษร เมธีกุล เจียร์วัฒนานนท์ CITEC Evolution Co., Ltd 12/51 ซ.อินทามะระ 33 ถ.วิภาวดีรังสิต แขวงดินแดง เขตดินแดง 10320 Tel: 0-2691-7908 Fax: 0-2691-7908 http://citecclub.org Email: http://citec.us/contact
EVOLUTION BEGUN HERE! วิวฒ ั นาการได้เกิดขึน้ แล้ว! ประโยคนีอ้ าจจะฟังดูเว่อร์ๆ บ้างนะครับ แต่ในมุมมองของทีมนักเขียนของเราทัง้ หมด รูส้ กึ เช่นนัน้ จริงๆ เพราะด้วยการทุม่ เทแรงกายและเวลา ในทีส่ ดุ Magazine ฉบับแรกของ CITEC ในนาม Hackazine ก็ได้คลอดเสียที กว่าจะเสร็จทำเอาผูอ้ า่ นหลายๆ ท่านตามลุน้ กันจนแทบลืมไปเลยว่า CITEC ยังมีโครงการนีอ้ ยูเ่ หรอ ด้วยความที่ว่า ทีมงานต้องการเซอร์ไพร์สแฟนๆ และสมาชิกผู้อ่านให้ได้ลุ้น เพื่อความตื่นเต้นเล่นๆ ว่า รูปแบบ Magazine ทีจ่ ะออกมานัน้ จะหน้าตาแบบใด เนือ้ หาน่าสนใจเพียงใด พวกเราจึงอุบข้อมูลต่างๆ พวกนีเ้ ป็นความลับทีส่ ดุ และกว่าจะมาเป็นรูปเล่ม หรือ ebook ให้ทุกท่านได้อ่านกันนี้ ต้องเจอปัญหาและอุปสรรคมากมาย ไม่ว่าจะเป็นบท ความที่ลงซึ่งยังไม่เยอะมากพอ การออกแบบ ค่าใช้จ่ายในการดำเนินการต่างๆ แต่อย่างไรก็ตาม ทางทีมงาน CITEC ก็ได้ฝา่ ฟัน และปรับปรุงผลงานทีค่ ดิ ว่าดีอยูแ่ ล้วให้ดที สี่ ดุ เท่าทีจ่ ะเป็นไปได้ จนในทีส่ ดุ ก็สามารถนำผลงานมานำเสนอท่านผูอ้ า่ นได้ในทีส่ ดุ และด้วยเหตุนเี้ อง จึงถือว่ามันคือ “วิวฒ ั นาการ” จริงๆ โดยเฉพาะสำหรับในวงการ Computer Security บ้านเรา ที่ยังไม่มีนิตยสารเล่มใดที่นำเสนอข้อมูลทางด้านนี้โดย เฉพาะ และไม่วา่ ผลการตอบรับครัง้ นีจ้ ะเป็นเช่นไร ทีมงาน CITEC ของเราจึงหวังเป็นอย่างยิง่ ว่า การเผยแพร่ความรู้ ในครั้งนี้ภายใต้ชื่อ Hackazine จะเป็นประโยชน์ต่อผู้อ่านบ้างไม่มากก็น้อย ขอเสริมอีกเลยน้อยว่าโครงการนี้ได้ริเริ่มกันมาตั้งกลางปี 2552 ที่ผ่านมา ถึงตอนนี้น่าจะครบปีเศษๆ ที่โครงการ Magazine ได้ดำเนินการมา ดังนัน้ เพือ่ ให้ผอู้ า่ นได้ประโยชน์สงู สุดจาก Magazine ฉบับนีอ้ ยากจะทำการชีแ้ จงดังนี้ 1. นิตยสารฉบับนี้มีเป้าหมายในการส่งเสริมให้ ผู้ใช้งาน Internet และ คอมพิวเตอร์ รวมถึงผู้ดูแลบริหารระบบ และผู้เกี่ยวข้อง ได้รับทราบถึงภัยอันตรายของช่องโหว่ต่างๆ ที่เหล่ามิจฉาชีพอาจนำไปใช้ฉ่อโกง ดังนั้น นิตยสาร ฉบับนี้จึงมีเพื่อให้ผู้อ่านได้รู้เท่าทันและป้องกันภัยต่างๆ เหล่านั้น 2. ช่องโหว่ใดๆ ที่นำเสนอในนิตยสารฉบับนี้ ล้วนได้มีการอุดรอยรั่วเหล่านั้นแล้วแทบทั้งสิ้น ดังนั้นจึงมั่นใจได้ ระดับหนึ่งว่า ข้อมูลเหล่านั้นจึงปลอดภัยในการเผยแพร่สู่สาธารณะ 3. หากมีเนื้อหาส่วนหนึ่งส่วนใด มีข้อความไม่เหมาะสมหรือเป็นอันตรายพาดพิงถึงหน่วยงานหรือองค์กรของ ท่านในทางที่ไม่เหมาะสม โปรดติดต่อทีมงานได้ที่ http://citecclub.org/contact 4. ทาง CITEC ขอปฏิเสธความรับผิดชอบใดๆ ที่จะเกิดขึ้น หากท่านนำข้อมูลส่วนใดหรือส่วนหนึ่งของนิตยสาร เล่มนี้ไปใช้ในทางที่ผิด 5. หากท่านสมาชิกต้องการเสนอแนะใดๆ เกี่ยวกับนิตยสาร สามารถแนะนำได้ที่ http://idea.citecclub.org สุดท้ายนี้ หวังเป็นอย่างยิง่ ว่า การร่วมแรงร่วมใจของทีมงาน CITEC ครัง้ นี้ จะมีสว่ นผลักดันให้วงการ Computer Security ของบ้านเรา มีมาตรฐานความปลอดภัยที่สูงขึ้น อันจะช่วยลดโอกาสที่เหล่ามิจฉาชีพจะก่อความเสียหาย ให้กับสังคมได้ไม่มากก็น้อย และแม้ว่านักเขียนและท่านได้ทุ่มเททั้งแรงกายและมันสมองทุ่มเทในผลงานชิ้นนี้มากเพียงใด ก็ คงอาจจะ มีข้อผิดพลาดใดๆ เกิดขึ้นบ้าง ดังนั้นทีมงาน CITEC จึงขอกราบขออภัยในความผิดพลาดดังกล่าวไว้ ณ. ที่นี้ด้วย Asylu3 บรรณาธิการบริหาร
CITEC SERVICES 1.
บริการจัดหลักสูตรอบรมและสัมมนาทางวิชาการด้าน IT และ Computer Security
2.
เผยแพร่ความรู้ทางด้าน Computer Security ทางนิตยสารภายใต้ชื่อ Hackazine
3.
บริการตรวจสอบช่องโหว่และออกแบบระบบความปลอดภัยของ Website และ Application ต่างๆ
4.
บริการติดตั้งและวางระบบเครือข่าย Internet ทั้งแบบมีสายและไร้สาย สำหรับอาคารสำนักงาน หรือที่พักอาศัยต่างๆ
5.
พัฒนาและออกแบบระบบ Website และ Application พร้อมทั้งบริการส่งเสริมทางการตลาด SEO
6.
บริการให้เช่าพื้นที่ในการทำเว็บไซต์ (Web hosting) และ ให้เช่าระบบ Server เสมือน (VPS Hosting)
7.
ออกแบบระบบโทรศัพท์แบบ VoIP และระบบตู้สาขาโทรศัพท์อัตโนมัติผ่าน Internet (IP-PBX)
8.
ให้บริการและติดตั้งระบบประชุมทางไกลผ่าน Internet
องค์กรยุคใหม่ ที่พร้อมจะคืนกำไรสู่สังคม CITEC Evolution Co., Ltd 12/51 ซ.อินทามะระ 33 ถ.วิภาวดีรังสิต แขวงดินแดง เขตดินแดง 10320 Tel: 0-2691-7908 Fax: 0-2691-7908 http://citecclub.org Email: http://citec.us/contact
Company Profile ::
Who are we? CITEC ได้ก่อตั้งครั้งแรกเมื่อปี 2543 ในฐานะชุมนุมคอมพิวเตอร์ ประจำภาควิ ช า โดยกลุ่ ม นั ก ศึ ก ษาภาควิ ช า วิ ท ยาการคอมพิ ว เตอร์ (หลักสูตรภาษาอังกฤษ) ณ คณะเทคโนโลยีสารสนเทศ มหาวิทยาลัย เทคโนโลยีพระจอมเกล้าธนบุรี โดยมีเป้าหมายคือ การเผยแพร่ความรู้ ทางด้าน Computer และได้ดำเนินกิจกรรมมาอย่างต่อเนื่องผ่านทางการ อบรม และเผยแพร่ความรู้ผ่านทางเว็บไซต์ CITEC ได้ แ ยกตั ว ออกมาดำเนิ น การโดยอิ ส ระในปี 2548 ซึ่ ง ปั จ จุ บั น ได้ มุ่ ง เน้ น การเผยแพร่ ค วามรู้ ท างด้ าน Computer Security เป็นพิเศษ โดยมีทีมวิทยากรผู้เชี่ยวชาญจากหลากหลายสถาบันเข้ามา ร่วมงาน อาทิเช่น จุฬาลงกรณ์, เกษตรศาสตร์, พระจอมเกล้าฯ ธนบุรี, พระจอมเกล้ า ฯพระนครเหนื อ , พระจอมเกล้ า ฯ ลาดกระบั ง และ ธรรมศาสตร์ ในปี 2553 ทางชุมนุม CITEC ได้ดำเนินการจดทะเบียนเป็นบริษทั จำกัด ภายใต้ชื่อ บริษัท CITEC Evolution จำกัด โดยมีเป้าหมายหลักในการ ดำเนินธุรกิจ ทีจ่ ะมุง่ มัน่ ส่งเสริมความรูแ้ ละทักษะให้กบั บุคคลากรทางด้าน IT ในประเทศไทย ให้มีความรู้ทางด้าน Computer Security ให้มากขึ้น ขณะเดียวกันก็ยังมีผลงานการตีพิมพ์ และบริการอื่นๆ ควบคู่ไปด้วยดังนี้
6
บริการอื่นๆ ของบริษัท
1. บริการจัดหลักสูตรอบรมและสัมมนาทางวิชาการด้าน IT และ Computer Security 2. เผยแพร่ความรู้ทางด้าน Computer Security ทางนิตยสารภายใต้ชื่อ Hackazine 3. บริการตรวจสอบช่องโหว่และออกแบบระบบความปลอดภัยของ Website และ Application ต่างๆ 4. บริการติดตั้งและวางระบบเครือข่าย Internet ทั้งแบบมีสายและไร้สาย สำหรับอาคารสำนักงาน หรือที่พักอาศัยต่างๆ 5. พัฒนาและออกแบบระบบ Website และ Application พร้อมทั้งบริการส่งเสริมทางการตลาด SEO 6. บริการให้เช่าพื้นที่ในการทำเว็บไซต์ (Web hosting) และ ให้เช่าระบบ Server เสมือน (VPS Hosting) 7. ออกแบบระบบโทรศัพท์แบบ VoIP และระบบตู้สาขาโทรศัพท์อัตโนมัติผ่าน Internet (IP-PBX) 8. ให้บริการและติดตั้งระบบประชุมทางไกลผ่าน Internet
ตัวอย่างพนักงานและนักศึกษาที่สังกัดบริษัทและหน่วยงานต่างๆ ที่เคยเข้าอบรมกับ CITEC 1. ธนาคารกรุงศรีอยุธยา 2. บริษัท PTT ICT 3. สถานีวิทยุโทรทัศน์แห่งประเทศไทย กรมประชาสัมพันธ์ 4. บริษัท บางกอกแอร์เวย์ 5. ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) 6. บริษัท แอดวาซ์อินโฟ เซอร์วิช (AIS) 7. บริษัท G-ABLE Co., Ltd 8. บริษัท แอ็ดวานซ์อินฟอร์เมชั่นเทคโนโลยี จำกัด (AIT ICT Solution) 9. บริษัท Thomson Reuters 10. บริษัท DST International 11. บริษัท OpenFace 12. บริษัท Mobilis Automata 13. บริษัท Mappoint Asia 14. บริษัท Hamoniuos 15. บริษัท Dotography 16. บริษัท Teleinfo Media 17. สำนักงานตำรวจแห่งชาติ 18. สำนักงานสาธารณะสุขจังหวัดสมุทรปราการ 19. Infomax System Solutions & Services Co., Ltd. 20. INET Co., Ltd
7
ภาพบรรยากาศการอบรมและสัมมนาที่สำคัญของ CITEC
27 สิงหาคม 2553 : บรรยายให้ความรู้ด้าน Computer Security (ณ. มหาวิทยาลัยราชภัฏจันทรเกษม)
26 สิงหาคม 2553 : ทีมงาน CITEC รับหน้าที่ออกแบบระบบการแข่งขัน Network Securiy ในงาน IT Open House 2010 (ภาควิชาเทคโนโลยีสารสนเทศ ณ. สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง)
8
14 พฤศจิกายน 2552 : Network Security Day ครัง้ ที่ 3 (คณะ วิศวกรรมคอมพิวเตอร์ ณ มหาวิทยาลัยเกษตรศาสตร์ วิทยาเขต ศรีราชา)
31 ตุลาคม 2552 : Top Hacker’s Secret 2009 ครั้งที่ 1 (ณ มหาวิทยาลัยหอการค้าไทย)
9
28 สิงหาคม 2552 : ทีมงาน CITEC รับหน้าที่ออกแบบระบบการแข่งขันการเจาะระบบ ในงาน IT Open House 2009 (ภาควิชาเทคโนโลยีสารสนเทศ ณ. สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง)
13 สิงหาคม 2552 : อบรมหลักสูตร Web Application (In) Security ครั้งที่ 3 ณ มหาวิทยาลัยหอการค้าไทย
10
26 กรกฎาคม 2552 : อบรมหลักสูตร Wireless Network (In) Security ครั้งที่ 2 ณ มหาวิทยาลัยหอการค้าไทย
20-21 มิถุนายน : หลักสูตร Reverse Code Engineering ครั้งที่ 1 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม
11
16 พฤศจิกายน : จัดสัมมนา CITEC-CON ครั้งที่ 2 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม
29 มีนาคม : จัดสัมมนา CITEC-CON ครั้งที่ 1 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม 12
ประวัติการจัดอบรมสัมมนา 2010
• 8 May : หลักสูตร Wireless Network (In) Security 101 ครั้งที่ 3 ณ มหาวิทยาลัยเกษตรศาสตร์ • 24-25 April : หลักสูตร Web Application (In) Security 101 ครั้งที่ 4 ณ มหาวิทยาลัยเกษตรศาสตร์ • 8,15, 20 Feb: หลักสูตร E-commerce สำหรับนักศึกษาภาควิชาการตลาด ณ มหาวิทยาลัยหอการค้าไทย • 12 Jan 2010: รับเชิญเป็นอาจารย์พิเศษ วิชา Advanced Operating System สำหรับนักศึกษาภาควิชาวิทยาการ คอมพิวเตอร์ มหาวิทยาลัยธรรมศาสตร์
2009
• 16 Nov: เข้าร่วมบรรยาย Network Security Day ครั้งที่ 2 ณ มหาวิทยาลัยเกษตรศาสตร์ วิทยาเขตศรีราชา • 28 Aug: ออกแบบระบบการแข่งขัน้ Hacking Competition for IT Day ณ สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง • 8-9 Aug: หลักสูตร Web Application (In) Security 101 ครั้งที่ 3 ณ มหาวิทยาลัยหอการค้าไทย • 26 July: หลักสูตร Wireless Network (In) Security 101 ครั้งที่ 2 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม • 20-21 June: หลักสูตร Reverse Code Engineering ครั้งที่ 1 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม • 22-23 May: เข้าร่วมบรรยายในงาน Barcamp BKK ครั้งที่ 3 ณ มหาวิทยาลัยศรีปทุม • 2 May: หลักสูตร Wireless Network (In) Security 101 ครั้งที่ 1 ณ มหาวิทยาลัยศรีปทุม • 21-22 Mar: จัดอบรม Web Application (In) Security 101 ครั้งที่ 2 ณ มหาวิทยาลัยศรีปทุม • 28 Feb: เข้าร่วมบรรยายในงาน Think Camp ณ จุฬาลงกรณ์มหาวิทยาลัย • 31 Jan - 1 Feb: จัดอบรม Web Application (In) Security 101 ครั้งที่ 1 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม
2008
• 18 Dec: จัดบรรยายเรือ่ ง Become a billionaire with Google Adsense ณ มหาวิทยาลัยเกษมบัณฑิต (วิทยาเขต พัฒนาการ) • 16 Nov: จัดสัมมนา CITEC-CON ครั้งที่ 2 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม • 17 Aug: เข้าร่วมบรรยาย Network Security Day 2008 ณ มหาวิทยาลัยเกษตรศาสตรศรีราชา • 29 Mar: จัดสัมมนา CITEC-CON ครั้งที่ 1 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม
13
2007
• 19-22 April: หลักสูตร Network and Router Configuration ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
2006
• 17 Oct: หลักสูตร Introduction to Fedora ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
2004
• 17 Oct: หลักสูตร Java Programming ครั้งที่ 1 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี • 16 Oct: หลักสูตร Python Programming ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
2003
• 10 Dec: หลักสูตร Java Programming ครั้งที่ 3 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี • 23 Aug: หลักสูตร Java Programming ครั้งที่ 2 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี • 19 Apr: หลักสูตร Java Programming ครั้งที่ 4 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี • 17 Mar: หลักสูตร J2ME Programming ครั้งที่ 1 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี • 13 Jun: หลักสูตร Python Programming ครั้งที่ 1 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
2002
• 30 Nov: หลักสูตร Web Design ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี • 15-19 May: หลักสูตร C++ Programming ครั้งที่ 2 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
2001
• 18-19 May: หลักสูตร C++ Programming ครั้งที่ 1 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี *ปล. หลักสูตรและการสัมมนาอื่นๆ สามารถติดตามได้ทาง http://citecclub.org
14
รายละเอียดเพิ่มเติม Q: คำว่า CITEC หมายถึงอะไร? A: Computer and Information Technology Evolution Club
แปลเป็นไทยว่า ชุมนุมความก้าวหน้าทางวิทยาการคอมพิวเตอร์ และสารสนเทศ
Q: CITEC ออกเสียงว่าอย่างไร? A: ไซ-เทค Q: ให้บริการเผยแพร่ความรู้แก่ใครบ้าง? A: อดีต เราเริ่มต้นจากในรั้วมหาวิทยาลัย แต่จะเผยแพร่ความรู้
ไปสู่บุคคลภายนอกให้มากที่สุดเท่าที่กำลังของพวกเราจะทำได้ ไม่เกี่ยงสถาบัน อายุ เพศ และวัย ปัจจุบนั มุง่ หมายให้คน IT ในสังคมไทยได้รเู้ ท่าทันเล่หเ์ หลีย่ มต่างๆ ของผู้ไม่หวังดี ให้บริการทั้งคนไทยและต่างประเทศ
Q: เว็บหลักของ CITEC คืออะไร? A: http://citecclub.org Q: CITEC ดำเนินกิจกรรมเผยแพร่ความรู้หลักๆ อะไรบ้าง? A: CITEC ดำเนินกิจกรรมดังต่อไปนี้
1. เผยแพร่ความรู้ด้าน Computer ต่างผ่านทาง http://citecclub.org 2. จัดสัมมนาวิชาการภายใต้ชื่อ CITEC-CON (http://citecclub.org/citec_con) 3. จัดอบรม Workshop ด้าน computer security (http://citecclub.org/workshop) 4. เผยแพร่ความรู้ทางด้าน Computer Security ในรูปแบบ E-Magazine ภายใต้ชื่อ Hackazine
Q: สามารถชมภาพกิจกรรมต่างๆ ได้ที่ใด? A: http://citecclub.org/gallery Q: สามารถติดต่อ CITEC ได้ทางใด? A: ติดต่อบริษัทโดยตรงได้ที่ 02-6917908 สนทนาสด
หรือฝากข้อความได้ที่ http://citecclub.org/contact
CITEC Evolution Co., Ltd 12/51 ซ.อินทามะระ 33 ถ.วิภาวดีรังสิต แขวงดินแดง เขตดินแดง 10320 Tel: 0-2691-7908 Fax: 0-2691-7908 http://citecclub.org Email: http://citec.us/contact 15
Çѹ¹Õ้¼Á¨Ð¾Ù´¶Ö§àÃ×่ͧ·Õ่·‹Ò¹¼ÙŒÍ‹Ò¹ËÅÒÂæ ·‹Ò¹ ÍÒ¨¨ÐäÁ‹¤‹Í ¤ØŒ¹à¤Â ᵋÁÕ¡ÒÃ㪌§Ò¹¡Ñ¹Í‹ҧá¾Ã‹ËÅÒº¹âÅ¡Í͹äŹ ¹Ñ่¹¡็¤×Í àÃ×่ͧ¢Í§ä¿Å crossdomain.xml ¹Ñ่¹àͧ
Linux Security :: Wireless Security :: Wireless Security ::
·È¾Å ºØÞ¾ÅÍ | Oramunduot
Windows Security :: ¾ÕóѰ ÂÔ觾Ѳ¹Êع·Ã
ÊØàÁ¸ ¨ÔµÀÑ¡´Õº´Ô¹·Ã | Materaj
ปรับ
ÊÁÊ¡ØÅ Ç§É àÊÃÔÁÈÃÕ | LordBSD
ผมโดนคดีหมิน่ !
How To Catch สรางจากเรื á¡ÐÃÍ Hacker ´ŒÇÂWi-Fi Ha cke่อrงจริง Based on true story
Linux ใหปลอ
บทความนี้ผมเขียนเพื่อมือใหม เนื่องจากทุกวันนี้ เทคโนโลยี Wireless กำลังกลายเปน “เครื่องที่มีทุกบาน” เทานั้นไมพอ ยังมีระบบ 3G + Wireless Router แลวดวย ใสซิมมือถือเลนกันมันส ไปเลย เมื่อความสะดวกสบายมีมากขึ้น ใครจะฉุกคิดบางวา ก็อาจมี ใครสักคนขอแจมใชของเรา ซึ่งไมเปนไร เรามันก็คนมีน้ำใจ ของดีก็แบงกันใช แตมันไม ใชแคนั้น หากเขาใช ในทางทีเป่ ไมนชระบบที อบขึ่ ้นมาเมื่อไร เราอาจกลายเปนผูตองสงสัย คดีหมิ่น โดยไมรูตัว ระบบเครือขายไวรเลสหรือระบบเครือขายแบบไรสาย (Wireless Networks)
วิธีตรวจจับแฮกเกอรบนเครือขายไรสาย
40
พัฒนาขึ้นมาไดนาสนใจเปนอยางมากครับ เพราะชวยใหเราสามารถจัดการกับระบบเครือขาย ตางๆ ที่มีความยุงยากซับซอน ไดอยางงายดาย โดยไมตองมีการใชสายเลย แตอยางไรก็ตาม หากไมมีความระมัดระวังในขั้นตอนการติดตั้ง ก็อาจทำใหบุคคลอื่น สามารถแอบเขามาใชงาน ทั้งๆ ที่คุณไมตองการก็เปนไดครับ
46
Hac
ณ ชั่ ว โมงนี้ ค น IT หรื อ คนที่ ช อบติ ด ตามข า วสารเรื่ องราวต า งๆ อย า ง up-to-date นั้ น นอยคนนักที่จะไมรูจัก Twitter ซึ่งถาหากมีการเปรียบเทียบ Twitter แลวนั้น Twitter นั้นก็ เปรี ย บได เ หมื อ นกั บ เป น การตะโกนผ า นเว็ บ ตั ว เอง เพื่ อ ให ผู อื่ น หรื อ บุ ค คลที่ ไ ด รั บ อนุ ญ าต ไดรับรูนั่น เอง ซึ่งพูดไดวาเปนชองทางการสื่อสารแบบใหมชองทางหนึ่ง ซึ่งเหมาะสำหรับการ กระจายขาวดวยขอความสัน้ ๆ ไมเกิน 140 ตัวอักษร ซึง่ หากเปน Link URL ทีม่ ขี อ ความมากกวา 140 ตัวอักษร ก็จะมีการสราง Shorten URL ใหโดยอัตโนมัติเพื่อใหเหมาะตอการใชงานภายใน Twitter
40
เรื่อง Log เปนเรื่องใกลตัวที่หลายคนมองขาม จริงๆ แลวมันมีอะไร มากกวาขอความที่ถูกบันทึกไว เรากำลังโดน brute force หรือ ถูก remote control หรือผูไมประสงคดีกำลังพยายามปลอมตัว เปนเราอยูหรือไม เรามาดูกันวาตองดูอยางไรถึงจะรูเทาทันและปองกัน ตัวไดทันเวลา
§Ò¹µÔ´µÑ้§à«Ôà ¿àÇÍ server, SQL Se µÑ้§¤‹Ò¤Í¹¿ ¡ãËŒÁ Performance ¡ÒÃÊÌҧÃкº¤Ç
46
58
64
58
ตี 4 ของวันหนึ่ง ดีเอสไอ (ตำรวจสืบสวนพิเศษ) ไดแบงทีมออกเปน 2 ชุด, ชุดแรกไปที่บานผม และชุดที่ 2 ไปที่ทำงานผม แตเผอิญวันนั้นผมไมอยูบาน และไมไดไปที่ทำงาน นองชายของผมจึงรีบโทรมาบอกใหผมรูตัว และอยาเพิ่งกลับบาน หึหึ ผมไดแตงงวา เกิดอะไรขึน้ หวา เราไมเคยไปโพสทีไ่ หน เราอาจจะเคยอาน แตกม็ เี มาทกบั เพือ่ นบาง หรือวาพวกตำรวจเขาแอบอาน MSN เรา *0* หลังจากไดเขาเจรจา ผมยอมใหทางตำรวจคนอยูนาน คนทุกซอกทุกมุม คุณตำรวจก็แจงวา Wireless ผม ไมไดปองกัน อะไรเลย *0* ซึ่งอาจเปนสาเหตุใหคนบริเวณนั้น แอบใชเน็ตของผมไปในทางผิดกฏหมาย ความซวยไมเขาใครออกใคร เนื่องจากผมใหความรวมมือ จึงไมตองไปนอนในคุก ดังนั้นแลว จึงอยากฝากบทความเรื่อง Wireless ใหอานกันนะครับ
70
86
64
70
Company Profile • ประวัติความเป็นมาของ CITEC 6
86
News • CITEC News 18
Web Security • เจาะ Facebook, myspace ด้วยไฟล์ flash 40 • เจาะรหัส Twitter ด้วย XSS 46
Wireless Security • วิธีตรวจับ Hacker บนเครือข่ายไร้สาย 58 • ผมโดนดคีหมิ่น 64
Window Security • แกะรอย Hacker ด้วย Window Log 70
Application Security • crack ก่อนโดน crack 82
Linux Security • ปรับแต่ง Linux Server ให้ปลอดภัยจาก Hacker 86
Malware & Virus ::
คุณโดนหลอก
àÁ¸Õ¡ØÅ à¨ÕÂà ÇѲ¹Ò¹¹· | Akira
ดวย Social Engineering รึเปลา? Social Engineering คืออะไร? ปจจุบันนี้ Hacker มีเทคนิควิธีการ หลอกเอาขอมูลจากคุณมาไดอยางไร? และองคกรของคุณ จะมีวิธีการ ปองกันกลอุบายเหลานี้อยางไร? บทความนี้ จะเปนการแนะนำวา “คุณ” จะหยุดยั้ง Social Engineering ไดดวยวิธี ใด
Security Stories ::
92
GRAY HAT ชื่อ : Kevin Mitnick ฉายา : หมวก : Gray Hat
122
เขาคือตัวอยางของบุคคลทีเ่ ปนทัง้ แฮกเกอร และ แครกเกอร ในคนๆ เดียวกัน ในชวงวัยรุน เขาไดกอ คดีเอาไวอยางมากมาย เชน การเจาะระบบโทรศัพท การสรางโปรแกรมขโมยรหัสผาน ดาวนโหลดซอฟแวรที่มีลิขสิทธิ์คุมครองอยางผิดกฎหมาย และปรับเปลีย่ นแกไขขอมูลอืน่ ๆ ซึง่ คิดเปนมูลคาความเสียหาย จำนวนหลายพันลานดอลลารสหรัฐ พฤติกรรมของเขาในวัย หนุมเปนพฤติกรรมอยากรูอยากเห็นและอยากศึกษาทดลอง โดยทีไ่ มคาดคิดวาเปนสิง่ ทีผ่ ดิ แตอยางใด จนกระทัง่ ในป 1995 ทาง FBI จึงสามารถตามจับเขาได โดยใชเวลานานกวา 3 ป และเขาตองโทษจำคุกเปนเวลา 5 ป
ÇÃÇØ²Ô ÊÒºÑÇ | Pearless
116
เสนทางสูสุดยอด INFOSEC Whitehat Hacker ÍÒªÕ¾·Õè Hacker 116
µÅÍ´ª‹½ Ò 10 »‚·Õ่¼‹Ò¹ÁÒ Ç§¡ÒÃÃкºÃÑ¡ÉÒ¤ÇÒÁ ã½ ˜¹130 › ǧÃÐÂÐàÇÅÒ¡Ç‹ »ÅÍ´ÀÑÂä´Œ¡ŒÒǼ‹Ò¹àÊŒ ¹·Ò§·Õ่àµ็Áä»´ŒÇ¼ٌ»ÃÐʧ¤ ÃŒÒÂÃÒÂÃͺ
Ãкºà¤Ã× Í ¢‹ Ò Â äÁ‹ Ç‹ Ò ¨Ð໚ ¹ ͧ¤ ¡ â¹Ò´àÅ็ ¡ ·Õ่ ÁÕ à ¤Ã×่ Í §ã¹Ãкº
หลังจากที่เขาถูกปลอยตัวเปนอิสระในป 2000 เขายัทุงกถูคนมี ก ความกลัว ไมสิ่งใดก็สิ่งหนึ่ง à¤Ã×Í¢‹ÒÂà¾Õ§äÁ‹¡Õ่à¤Ã×่ͧ 仨¹¶Ö§Ãкºà¤Ã×Í¢‹Ò·Õ่ãËÞ‹·Õ่ÊØ´ã¹âÅ¡ ศาลสั่งทำทัณฑบน โดยการหามออนไลน และหามออกนอก อะไรจะเกิ ดขึ้นหากคุณ¹เปàµÍà นหัวหนàา¹็ ของหน 1 การส งอีเมล อบแฝงที เสมืàอÊŒนกั ขอ ่ ¤×ÍÃкºÍÔ µ ·Õวยงาน ่ÁÕ¼ÙŒ¤¹¼ÅÑ ´à»ÅÕ ่Âแ¹¡Ñ ¹à¢Œ่จัดÒทำให ÁÒ㪌 ¹บ·Ò§·Õ FBI และคุณเกือบตกเปนเหยื่อของการลอลวงแบบที่ ความที่นาเชื่อถือจากสถาบันการเงิน หรือ องคกร อาทิ เขตเซาธแคลิฟอรเนียสหรัฐอเมริกา เรียกวาàª× “Phishing” คุ·Ø ณคงถู กภรรยาสั ่งหามไม ใÂห§á¤‹ ใช »ÅÒÂ¹Ô เชน ธนาคาร หรือ บริษัทบัตรเครดิต Í ่ Á·Ñ Ç ่ ¡ ÁØ Á âÅ¡ä´Œ à ¾Õ Ç ้ Click!! ในป จ จุ บั น เขาได หั น กลั บ มาใส ห มวกขาว (WhiteInternet hatBanking และคุณคงนำทีม FBI ไปสูการสืบ 2 เนนขอความที่นากลัวและนาเปนหวง เพื่อใหผู สวนอาชญากรไซเบอรครั้งยิ่งใหญที่มีชื่อวา “Operation เสียหายรูสึกวามีเหตุการณนาวิตกเกิดขึ้น และจำเปน Hacker) แลว โดยเขามีบริษัทเปนของตัวเองชื่อ Defensive Phish Phry” เพื่อตามลาหาโจรที่สมควรรับผิดชอบ และ ตองดำเนินการทันที มิเชนนั้นอาจนำมาซึ่งความสูญเสีย ของทรัพยสินหรือบัญชี นั่นก็คือเรื่องจริงที่เกิดขึ้นกับหัวหนาหนวยงาน FBI Thinking ซึ่ ง ดำเนิ น ธุ ร กิ จ เกี่ ย วกั บ Security บนระบบ Mr. Robert Mueller เมื่อ Mr. Robert เผยถึงเหตุการณที่ คอมพิ ว เตอร และรั บ เผยแพร ค วามรู เ กี่ ย วกั บ ระบบรัเกิกดขึษา เรียนทานลูกคาคนสำคัญของธนาคาร xxxxx ้นกับตัวเขาเอง ผมไมแปลกใจเลยแมแตนอย ผม เนือ่ งจากธนาคารไดรบั แจงในระบบวาคุณพยายามจะ จะเตือนผูรวมงานอยูเสมอวาไมมีใครที่ภัยคุกคาม ความปลอดภัยตางๆ ใหกับหนวยงานที่ตองการ รวมถึมัของโลกไซเบอร งกการ ถอนเงินจากบัญชีสะสมทรัพย ในขณะอยูตางประเทศ จะเขาไมถึง ไมมีการยกเวนแมกระทั่ง เขียนหนังสือเกี่ยวกับการรักษาความปลอดภัยดวย บริษัทดาน IT Security องคกรเพื่อการกุศล หรือแม เปนจำนวนเงิน $ 135.25
136
กระทั่ง รัฐบาลเอง ซึ่งเหตุการณของ Mr. Robert คือ ตัวอยางที่ดี วาแตอะไรคือ Phishing Phishing คือวิธีการลอลวงที่ซับซอนและแยบยล โดยที่ผูไมประสงคดี ที่จะมาลอลวงใหคุณเปดเผยขอมูล สวนตัวตางๆ เชน ขอมูลบัตรเครดิต ขอมูล Login ของ บัญชีธนาคาร Pin Number และอื่นๆ โดยมีความ แตกตางจาก 419Scam ที่เปนเพียงการลอลวงใหเหยื่อ หลงเชื่อไปกับความฝนถึงเงินลาน Phishing จะใช กลยุทธในการสรางความกลัว เพื่อใหบรรลุถึงเปาหมาย รายละเอียดของ Phishing สามารถแจกแจงเปน 4 ขั้นตอนดังนี้
Malware & Virus
หากขอมูลดังกลาวไมถูกตอง อาจหมายถึงมีบุคคล ที่นาสงสัยพยายามเขาถึงบัญชีของคุณ เพื่อความ ปลอดภัย กรุณาตอบกลับทาง link ดานลางนี้เพื่อ ยืนยันขอมูล ในลำดับตอไป ธนาคารจะกระทำการ แกไขขอบกพรอง และขอผิดพลาดโดยดวน ทาง ธนาคารขอขอบคุณที่ทานใหความไววางใจในบริการ มาตลอด
140
ดวยความเคารพ ธนาคาร xxxxx
• 10 ขั้นตอนพิชิตไวรัสอย่างมืออาชีพ 92
WHITE HAT ชื่อ : Tsutomu Shimomura ฉายา : หมวก : White Hat
เมื่อCryptography
132
หนวยงานนี้มีหนาที่วางระบบเพื่อปกปองคุมครองระบบ สารสนเทศภายในองคกรใหปลอดภัยจากภัยคุกคามทุก รูปแบบ และจะตองรับผิดชอบในการตรวจจับแฮกเกอร และ กูระบบหากระบบสารสนเทศถูกโจมตี เพื่อใหกลับคืนสภาพ ขึ้นมาใหบริการไดตามปกติโดยเร็วที่สุด มีหลายคำถามจากนักเรียน นักศึกษา หรือบุคคลทั่วไปวา ผมกำลังแนะนำอาชีพดานไอทีอีกหนึ่งสาขาใหทุกทาน ตองการทำงานในสายงานดานความปลอดภัยระบบสารสนเทศ ได ร จ ู ก ั เป น งานที ม ่ ภ ี ารกิ จ หลั ก ก็ ค อ ื ดู แ ลรั ก ษาความปลอดภั ย ควรจะเตรี กับ FBI ไลจบั Kevin Mitnick โดยใชการแกะรอยจากการดักจับยมตัวอยางไร เริ่มจากจุดไหน ในบทความนี้มี ใหกับระบบสารสนเทศขององคกร หนวยนี้เราเรียกสั้นๆ วา คำตอบสำหรับผูที่ตองการเตรียมตัวใหพรอมที่จะเริ่มตน สัญญาณโทรศั พทมอื ถือ ซึง่ ในตอนแรกเขาไดพบตำแหน งของ “INFOSEC” ซึ่งยอมาจากคำวา “Information Security” ทำงานในสายงานดังกลาว Mitnick ในบริเวณ136 Raleigh-Durham International Airport
ระบบสารสนเทศถือ เปนหัวใจสำคัญของ องคกร สวนแฮกเกอรคือภัยคุกคามรายแรง ที่ตองระวัง! และหนวยที่จะหยุดยั้งภัยคุกคาม ทั้งหลายไดก็คือ INFOSEC
ขั้นตอนพิชิตไวรัสอยางมืออาชีพ
• ย้อนรอยตำนานการเข้ารหัส 98
เขาคือสุดยอด White Hat Hacker สายเลือดเอเชียครับ เขาไดรบั ชือ่ เสียงอยางโดงดัง ในฐานะทีเ่ ขาไดรว มมือกับ John Markoff ในการชวยเหลือ FBI เพื่อไลจับสุดยอดแฮกเกอร 140 ชื่อกองโลกในยุคนั้น นั่นคือ Kevin Mitnick นั่นเอง Tsutomu หลังจากนั้น เขาไดทำการแกะรอยของ Mitnick จากสัญญาณ ทำงานเปนนักวิจัยอยูที่ SDSC (San Diego Supercomputer โทรศัพทตอมาจนกระทั่งพบตำแหนง Laptop ของ Kevin ที่ ซึ่งจริงๆ แลวสาเหตุที่เขาไดรวมมือกับ Markoff และ Apartment แหงหนึ่ง หลังจากที่ Kevin ถูกจับได เขาไดเขียน ÊÔCenter) ่§ÊÓ¤Ñ Þ»ÃСÒÃáá·Õ่¨Ðª‹Ç»‡Í§¡Ñ¹¡ÒõԴäÇÃÑʤÍÁ¾ÔÇàµÍà ãËŒÊÑÁÄ·¸Ô์¼Å ¡็¤×Í ¡ÒÃÁØ‹§ãËŒ¤ÇÒÁÃÙŒ FBI ก็เนื่องมาจาก Kevin ไดเขามาเจาะระบบเอาโปรแกรม หนังสือที่เปนเรื่องราวของการไลจับ Kevin Mitnick ซึ่งตอมา และอีเมลสำคัÒญã¨·Õ ของเขาไป วยความแค อ ไดáÅÐÀÑ ถูกนำมาสร ภาพยนตรÒเ§æ รื่อง Take Down´ดËÅÑ วย ¡Ç‹Ò µŒÍ§ãªŒ¡ÒÃÊ×่ÍÊÒ÷Õ่ࢌÒ㨧‹Ò ¤ÇÒÁࢌ ่¶Ù¡ดัµŒงนัÍน้ ด§à¡Õ ่ÂÇ¡Ñนเขาจึ ºÁÑงÅรวมมื áÇà ¤Øางเป¡น¤ÒÁµ‹ â´ÂÂÖ
Hackatips
• Hackintosh จับ Mac ลง PC 104
Security Stories
• คุ125 ณ ว¹ยáÅÐá¡Œ Social หรือเปล่า 116 áÅÐࢌҶ֧䴌·Ø¡¡ÅØ‹Á à¾×่ÍãËŒáÁŒáµ‹¤¹·Õ่àÃÔ่Á㪌¤ÍÁ¾ÔÇàµÍà ãËÁ‹โดนหลอกด้ æ ¡็ÊÒÁÒö»‡Í§¡Ñ »Þ ˜ ËÒäÇÃÑNetwork Êä´Œ ´ŒÇµ¹àͧ Å´ÀÒÃÐãËŒ¼´ ŒÙ áÙ ÅÃкºä´ŒÍ¡ Õ ´ŒÇ • คุณคือ Hacker แบบไหน? 122 92
• ความโลภความกลัวและความไม่เอาใจใส่ 130 • Infosec อาชีพที่ Hacker ใฝ่ฝัน 136 • เส้นทางสู่สุดยอด WhiteHat 140
Security Persons • ปัญหาภัยคุกคามทาง Internet ในมุมมองของตำรวจไซเบอร์ (ตอนที่ 1) 146
Citec Comics • เอา Facebook หนูคืนมา 156
Web Security ::
วิศวัชร์ อัศวเมนะกุล | Gen0type
เจาะ Facebook, Myspace ดวé ยไฟลì Flash วันนี้ผมจะพูดถึงเรื่องที่ท่านผู้อ่านหลายๆ ท่าน อาจจะไม่ค่อย คุ้นเคย แต่มีการใช้งานกันอย่างแพร่หลายบนโลกออนไลน์ นั่นก็คือ เรื่องของไฟล์ crossdomain.xml นั่นเอง
40
Web Security ::
สุเมธ จิจิตภักดีบดินทร์ | Materaj Materaj
ณ ชั่ ว โมงนี้ ค น IT หรื อ คนที่ ช อบติ ด ตามข่ า วสารเรื่ องราวต่ า งๆ อย่ า ง up-to-date นั้ น น้อยคนนักที่จะไม่รู้จัก Twitter ซึ่งถ้าหากมีการเปรียบเทียบ Twitter แล้วนั้น Twitter นั้นก็ เปรี ย บได้ เ หมื อ นกั บ เป็ น การตะโกนผ่ า นเว็ บ ตั ว เอง เพื่ อ ให้ ผู้ อื่ น หรื อ บุ ค คลที่ ไ ด้ รั บ อนุ ญ าต ได้รับรู้นั่น เอง ซึ่งพูดได้ว่าเป็นช่องทางการสื่อสารแบบใหม่ช่องทางหนึ่ง ซึ่งเหมาะสำหรับการ กระจายข่าวด้วยข้อความสัน้ ๆ ไม่เกิน 140 ตัวอักษร ซึง่ หากเป็น Link URL ทีม่ ขี อ้ ความมากกว่า 140 ตัวอักษร ก็จะมีการสร้าง Shorten URL ให้โดยอัตโนมัติเพื่อให้เหมาะต่อการใช้งานภายใน Twitter 46
Wireless Security ::
ทศพล บุญพลอย | Oramunduot
How To Catch Wi-Fi Hacker วิธีตรวจจับแฮกเกอร์บนเครือข่ายไร้สาย ระบบเครือข่ายไวร์เลสหรือระบบเครือข่ายแบบไร้สาย (Wireless Networks) เป็นระบบที่ พัฒนาขึ้นมาได้น่าสนใจเป็นอย่างมากครับ เพราะช่วยให้เราสามารถจัดการกับระบบเครือข่าย ต่างๆ ที่มีความยุ่งยากซับซ้อน ได้อย่างง่ายดาย โดยไม่ต้องมีการใช้สายเลย แต่อย่างไรก็ตาม หากไม่มีความระมัดระวังในขั้นตอนการติดตั้ง ก็อาจทำให้บุคคลอื่น สามารถแอบเข้ามาใช้งาน ทั้งๆ ที่คุณไม่ต้องการก็เป็นได้ครับ
58
Wireless Security ::
สมสกุล วงษ์เสริมศรี | LordBSD
ผมโดนคดีหมิน่ ! สร้างจากเรื่องจริง Based on true story
บทความนี้ผมเขียนเพื่อมือใหม่ เนื่องจากทุกวันนี้ เทคโนโลยี Wireless กำลังกลายเป็น “เครื่องที่มีทุกบ้าน” เท่านั้นไม่พอ ยังมีระบบ 3G + Wireless Router แล้วด้วย ใส่ซิมมือถือเล่นกันมันส์ ไปเลย เมื่อความสะดวกสบายมีมากขึ้น ใครจะฉุกคิดบ้างว่า ก็อาจมี ใครสักคนขอแจมใช้ของเรา ซึ่งไม่เป็นไร เรามันก็คนมีน้ำใจ ของดีก็แบ่งกันใช้ แต่มันไม่ ใช่แค่นั้น หากเขาใช้ ในทางที่ ไม่ชอบขึ้นมาเมื่อไร เราอาจกลายเป็นผู้ต้องสงสัย คดีหมิ่น โดยไม่รู้ตัว
ตี 4 ของวันหนึ่ง ดีเอสไอ (ตำรวจสืบสวนพิเศษ) ได้แบ่งทีมออกเป็น 2 ชุด, ชุดแรกไปที่บ้านผม และชุดที่ 2 ไปที่ทำงานผม แต่เผอิญวันนั้นผมไม่อยู่บ้าน และไม่ได้ไปที่ทำงาน น้องชายของผมจึงรีบโทรมาบอกให้ผมรู้ตัว และอย่าเพิ่งกลับบ้าน หึหึ ผมได้แต่งงว่า เกิดอะไรขึน้ หว่า เราไม่เคยไปโพสทีไ่ หน เราอาจจะเคยอ่าน แต่กม็ เี ม้าท์กบั เพือ่ นบ้าง หรือว่าพวกตำรวจเขาแอบอ่าน MSN เรา *0* หลังจากได้เข้าเจรจา ผมยอมให้ทางตำรวจค้นอยู่นาน ค้นทุกซอกทุกมุม คุณตำรวจก็แจ้งว่า Wireless ผม ไม่ได้ป้องกัน อะไรเลย *0* ซึ่งอาจเป็นสาเหตุให้คนบริเวณนั้น แอบใช้เน็ตของผมไปในทางผิดกฏหมาย ความซวยไม่เข้าใครออกใคร เนื่องจากผมให้ความร่วมมือ จึงไม่ต้องไปนอนในคุก ดังนั้นแล้ว จึงอยากฝากบทความเรื่อง Wireless ให้อ่านกันนะครับ 64
Windows Security :: พีรณัฐ ยิ่งพัฒนสุนทร
แกะรอย Hacker ด้วย
เรื่อง Log เป็นเรื่องใกล้ตัวที่หลายคนมองข้าม จริงๆ แล้วมันมีอะไร มากกว่าข้อความที่ถูกบันทึกไว้ เรากำลังโดน brute force หรือ ถูก remote control หรือผู้ไม่ประสงค์ดีกำลังพยายามปลอมตัว เป็นเราอยู่หรือไม่ เรามาดูกันว่าต้องดูอย่างไรถึงจะรู้เท่าทันและป้องกัน ตัวได้ทันเวลา
70
Application Security ::
กรินทร์ สุมังคะโยธิน | Tummy
ก่ อ นโดน “Serial Number”, “KeyGen” หรือ “Crack” เกิ ด มาเพื่ อ ปลดล็ อ กซอฟท์ แ วร์ ลิ ข สิ ท ธิ์ ให้ ใ ช้ ไ ด้ ฟ รี ๆ คำถามคือ ใครทำ? คำตอบคือ จะรู้ไปทำไม รู้แต่ว่า คนพวกนี้มีความรู้ทางด้าน Reverse Engineer เป็ น อย่ า งดี ฉะนั้ น หากคุ ณ เป็ น ผู้ ผ ลิ ต ซอฟท์ แ วร์ หรือนักพัฒนาโปรแกรมแล้วล่ะก็ ห้ามพลาดเรื่องนี้ เด็ดขาด
“นิยามขำๆ ของ Reverse Engineer ก็คือ วิศวกรรมส้มตำอร่อยเหาะ”
82
Reverse Engineer เรื่องนี้ตŒองขยาย
หลายๆ คนคงเคยได้ยนิ ประโยคว่า Reverse Engineering มาไม่มากก็น้อยนะครับ และก็คงมีจำนวนไม่น้อยเช่นกันที่ ไม่รวู้ า่ ไอ้ประโยคๆ นีม้ นั มีความหมายว่าอะไร และมีประโยชน์ อย่างไร Reverse Engineer หรือที่เรียกอีกอย่างหนึ่งว่า วิศวกรรม ย้อนกลับ, วิศวกรรมย้อนรอย, วิศวกรรมผันกลับ บลาๆๆ ตามแต่จะเรียกกันไป เป็นแขนงความรูท้ น่ี ำมาใช้ในการค้นหา โครงสร้าง หรือองค์ประกอบของสิ่งของสิ่งใดสิ่งหนึ่งที่ทำ ออกมาเสร็จสิ้นสมบูรณ์เรียบร้อยแล้วว่า มันทำจากอะไร ใช้อะไรทำออกมา และประกอบไปด้วยองค์ประกอบอะไร บ้าง ดังนั้น คำว่า Reverse Engineer นั้นจึงไม่ได้จำกัด อยู่ในแวดวงของซอฟท์แวร์เท่านั้น ยกตัวอย่างเช่น วันนึง ผมไปกินส้มตำซึ่งอร่อยอย่างแรง ผมจึงซื้อกลับมาวิเคราะห์ ที่บ้านหาองค์ประกอบจนได้ว่า ไอ้ส้มตำเจ้านี้ใส่ ปูเค็ม 2 ตัว พริก 3 เม็ด น้ำตาลปี๊บ 2 ช้อน น้ำปลา มะนาวอีกอย่างละ ช้อน อย่างนี้ก็เป็น Reverse Engineer ได้เช่นกัน (ฮา)
Linux Security ::
สุเมธ จิตภักดีบดินทร์ | Materaj
ปรับแต่ง
Linux Server ให้ปลอดภัยจาก
Hacker
งานติดตั้งเซิร์ฟเวอร์ต่างๆ ไม่ว่าจะเป็น Web Server, Mail server, SQL Server ฯลฯ เมื่อเสร็จภารกิจทางด้านการ ตั้งค่าคอนฟิกให้มันทำงานได้แล้ว ต่อด้วยการ Tuning Performance และภารกิจสุดท้ายที่สำคัญยิ่ง นั่นก็คือ การสร้างระบบความปลอดภัยให้กับเซิร์ฟเวอร์ครับ
86
Malware & Virus ::
เมธีกุล เจียร์วัฒนานนท์ | Akira
ขั้นตอนพิชิตไวรัสอย่างมืออาชีพ สิ่งสำคัญประการแรกที่จะช่วยป้องกันการติดไวรัสคอมพิวเตอร์ให้สัมฤทธิ์ผล ก็คือ การมุ่งให้ความรู้ ความเข้าใจที่ถูกต้องเกี่ยวกับมัลแวร์ และภัยคุกคามต่างๆ โดยยึดหลักว่า ต้องใช้การสื่อสารที่เข้าใจง่าย และเข้าถึงได้ทุกกลุ่ม เพื่อให้แม้แต่คนที่เริ่มใช้คอมพิวเตอร์ใหม่ๆ ก็สามารถป้องกันและแก้ปญ ั หาไวรัสได้ ด้วยตนเอง ลดภาระให้ผด ู้ แู ลระบบได้อกี ด้วย 92
Cryptography ::
สุทธาพงศ์ วราอัศวปติ | Retool2
ย้ตำนานการเ อ นรอย ขา้ รหัส
A cipher to encrypt a message เมื่อโลกแห่งนี้เต็มไปด้วยความลับ จึงก่อกำเนิดวิธีที่แยบยลในการ เก็ บ ข้ อ มู ล ในชั้ น ความลั บ นี้ ไ ว้ ด้ ว ยการเข้ า รหั ส เพื่ อ ปกปิ ด ความ หมายที่แท้จริง พร้อมซ่อนกุญแจไขรหัสไว้อย่างดี รหัสยิ่งซับซ้อน ข้ อ มูลก็ยิ่งปลอดภัย บทความนี้ผมจะพาทุกท่านย้อนรอยไปดู วิทยาการรหัสลับกันครับ
98
Hackatips ::
ชาติชาย ตัญญะเกตุ | Maxma
Hackintosh จับ Mac ลง PC เมื่อ Windows OS ยังสามารถติดตั้งลงบน เครื่อง Mac ได้ แล้วทำไม Mac OS จะติดตั้งบน PC ไม่ได้ล่ะครับพี่น้อง ประโยชน์นะหรือ หากรัน Windows OS บนเครื่อง Mac มัน Save security ในขณะที่การรัน Mac OS บน PC มัน Save money เวิร์คโครตๆ อย่างนี้ต้องลอง
104
Security Stories ::
ทศพล บุญพลอย
คุณ โดนหลอก Social Engineering
ด้วย
รึเปล่า?
Social Engineering คืออะไร? ปัจจุบันนี้ Hacker มีเทคนิควิธีการ หลอกเอาข้อมูลจากคุณมาได้อย่างไร? และองค์กรของคุณ จะมีวิธีการ ป้องกันกลอุบายเหล่านี้อย่างไร? บทความนี้ จะเป็นการแนะนำว่า “คุณ” จะหยุดยั้ง Social Engineering ได้ด้วยวิธี ใด
116
วรวุฒิ สายบัว | Pearless
คุณจะมั่นใจได้อย่างไร ว่าใครซักคน ที่นั่งเล่นเกมส์อยู่เก้าอี้ข้างๆ คุณ กำลังเล่นเกมส์ปลูกผักอยู่จริง ? คุณจะมั่นใจได้อย่างไร ว่าเพื่อนคุณ ที่กำลังหาข้อมูลรายชื่อหนังสือในห้องสมุดจากคอมพิวเตอร์ กำลังหาข้อมูลนั้นอยู่จริง ? คุณจะมั่นใจได้อย่างไร ว่าคนที่นั่งพิมพ์งานใต้ตึกเรียนในเย็นวันหนึ่ง กำลังตั้งใจพิมพ์งานนั้นอยู่จริง ? คุณจะมั่นใจได้อย่างไร ว่า Roommate ที่ดาวน์โหลดโปรแกรมเสริมมาติดตั้งในคอมพิวเตอร์นั้น เป็นโปรแกรมที่นำมาใช้ทำรายงานส่งอาจารย์จริงๆ ? ถ้าคุณเริ่มมีความไม่มั่นใจ เริ่มเกิดความหวาดหวั่นกับ พฤติกรรมของใครหลายคน รอบกายคุณ !
พวกเขาเหล่านั้น เป็นใคร? พวกเขาเหล่านั้น ทำอะไร? พวกเขาเหล่านั้น ทำไปเพื่ออะไร? ทุกบรรทัดต่อจากนี้ ! จะบอกกล่าว! ตีแผ่! ทุกเรื่องราว เกี่ยวกับตัวตนที่แท้จริงของพวกเขา ทุกอย่าง! ทุกการกระทำ! ทุกสิ่งที่พวกเขาทำ! เป้าหมายอันซ่อนเร้น! ลึกลับ ซับซ้อน! ในฉากหลังอันยุ่งเหยิง! กับคุณ !! นับถอยหลังสู่ความจริง ที่ใครหลายคนยังไม่รู้ จากวินาทีนี้ 122
ในโลกของระบบรักษาความปลอดภัยอันกว้างใหญ่ไพศาล ที่เกือบจะหาขอบเขตไม่ได้ มีบุคคลมากมายเข้ามาจับจอง เพื่อสร้างผลประโยชน์จากแหล่งขุมทรัพย์อันมหาศาลนี้ ใครบางคน? ทำเพื่ออยากจะทำให้ตัวเองเป็นผู้โด่งดังใน โลกไซเบอร์! ใครบางคน? มีเป้าหมายซ่อนเร้นในการกระทำการบาง อย่าง ? ใครบางคน? พยายามทุกวิถีทางเพื่อที่จะป้องกันการ กระทำของผู้โจมตีบนเครือข่ายใยแมงมุมอันกว้างใหญ่นี้ ! และนับจากตัวอักษรนี้ไป เราจะมาทำความรู้จักกับบุคคล ผู้ มี ตั ว ตนอยู่ เ บื้ อ งหลั ง อุ ป กรณ์ อิ เ ล็ ก ทรอนิ ก ส์ สุ ด อั จ ฉริ ย ะ แห่ ง ยุ ค อย่ า งคอมพิ ว เตอร์ ว่ า กลุ่ ม คนเหล่ า นี้ ที่ จ ริ ง แล้ ว เขาคือใครกัน ? และเขาทำอย่างนั้นไปเพราะ เหตุผล? หรือ แรงจูงใจอะไร?
ความโลภ ความกลัว และความไม่ เ อ าใจใส่ = ศัตรูตัวร้ายของความปลอดภัยในโลกไซเบอร์ เขียน : Phuong Nguyen แปลเรียบเรียง : ภูมิ สุขะมงคล, CISSP E-cqurity (Thailand) Co., Ltd.
บท
ความนี้อาจจะเป็นชิ้นสุดท้ายที่ผู้อ่านจะ ได้รับจากผม เพราะชีวิตผมเปลี่ยนไปใน ชั่วเวลาข้ามคืน ผมเป็นเศรษฐีแล้ว เมื่อเช้านี้ขณะที่ อ่านอีเมล์ต่างๆ ผมได้รับแจ้งให้ทราบว่า ถูกเลือก ให้เป็นผู้รับมรดกจากนักธุรกิจน้ำมันในรัสเซียชื่อ Stoitekov Huroni
ดูเหมือนว่าผู้ใจดีท่านนี้ ซึ่งผมยังไม่เคยรู้จักหรือ ได้ยินมาก่อน ได้เสียชีวิตลงและได้ทิ้งมรดกไว้ให้ผม เป็นจำนวนเงิน 38 ล้านเหรียญสหรัฐ สิ่งที่ผมต้องทำ ก็เพียงแค่ส่งอีเมล์ไปยืนยันกับทนายความของคุณ Stoitekov ที่ luke_lawyer@hotmail.com ซึ่งแน่นอน ผมต้องการให้เงินจำนวน 38 ล้านเหรียญมาอยู่ในบัญชี ผมในวันรุ่งขึ้น เท่านี้ผมก็คงจะจากไปช้อปปิ้งเรือยอร์ช ซักลำ และเชิญเพื่อนๆ มาร่วมงานปาร์ตี้สุดหรูของปี อาจฟังดูเป็นเรื่องเกินความเป็นจริง ซึ่งถูกแล้วครับ มันเกินความเป็นจริงแน่นอน ผมมั่นใจว่ามีหลายท่านที่ได้รับข้อความลักษณะนี้ ทางอีเมล์ ซึ่งจากการหยิบยื่นข้อเสนอที่ดึงดูดใจและ เกี่ยวโยงกับเงินมหาศาล สำหรับคนที่โง่เขลาอย่างผม ก็คงจะกระโดดจนตัวลอย และทำตามทุกขั้นตอนที่ถูก บอกมาทางอีเมล์ โดยหารู้ไม่ว่า เบื้องหลังเรื่องราวข้อ เสนอที่ดูไม่เป็นพิษเป็นภัย คือ แผนการโกงที่แยบยล ที่ถูกดำเนินโดยนักต้มตุ๋นมืออาชีพสุดไฮเทค ยุคของอินเทอร์เน็ตและเทคโนโลยี ทำให้โลกของเรา พบกับการฉ้อโกงแบบใหม่ๆ ที่ซับซ้อนและไม่เคยพบ มาก่อน มักประกอบไปด้วย การสื่อสารผ่านช่องทาง 130
อินเทอร์เน็ตที่มีประสิทธิภาพสูง อุปกรณ์ไฮเทคต่างๆ และความรู้ทางคอมพิวเตอร์ โจรกลุ่มนี้จะขยายอาณา จักรโดยการโปรยโลกไซเบอร์ ให้เต็มไปด้วยการแอบ แฝง พัวพัน ไม่ว่าจะเป็นการปลอมแปลงข้อมูลส่วน บุคคล กระจายไวรัส และมัลแวร์ เพื่อใช้ในการบังคับ คอมพิวเตอร์นับล้านเครื่อง เจาะเข้าระบบ Network ของรัฐบาลหรือโหลดข้อมูลทางบัญชีของ Robert Mueller ซึ่งเป็น Director ของ FBI ก็เป็นอีกส่วนหนึ่ง ในตัวอย่างที่ไม่น่าเกิดขึ้นได้เช่นกัน สิ่งที่น่าคิดก็คือ ถึงแม้อาชญากรรมทางไซเบอร์และการเจาะเข้าระบบ ในลักษณะนี้นั้นเป็นที่รู้จักกันดี แต่ก็ยังมีรายงานจาก ผู้ที่ตกเป็นเหยื่อให้พบได้อยู่ทุกวัน และก็ไม่น่าแปลก ใจว่าทำไม เพราะข้อบกพร่องหรือช่องโหว่ของซอฟท์แวร์์และ เทคโนโลยีทม่ี มี ากกว่า 30,000 รายการ ณ วันนีค้ อื ตัวแปร สำคัญอย่างหนึ่งที่เปิดโอกาสให้อาชญากรโลกไซเบอร์ สร้างความเสียหายได้อย่างง่ายดาย ถึงกระนั้นหากรวม การโจมตีเข้ากับความอ่อนแอหรือความหละหลวมของ มนุษย์ ความโลภ ความกลัว และความละเลย ผู้โจมตี จะมีโอกาสมากขึ้นที่จะสร้างความเสียหายได้สำเร็จ ต่อกลุ่มเป้าหมายที่มีอยู่มากมายหลายกลุ่ม การโจมตีส่วนใหญ่ที่เกิดขึ้นในปี 2009 คือตัวอย่าง ที่ชัดเจน และจุดประสงค์ของบทความนี้ ก็เพื่อให้ผู้อ่าน ได้เห็นภาพที่ชัดเจนขึ้น ว่าขั้นตอนการโจมตีต่างๆ นั้น เป็นไปอย่างไร เพื่อให้คุณทราบถึงวิธีหลีกเลี่ยงไม่ให้ ตัวเองเป็นหนึ่งในผู้เคราะห์ร้าย
INFOSEC อาชีพที่ Hacker ใฝ›ฝัน
เมื่อ
ระบบสารสนเทศถือ เป็นหัวใจสำคัญของ องค์กร ส่วนแฮกเกอร์คือภัยคุกคามร้ายแรง ที่ต้องระวัง! และหน่วยที่จะหยุดยั้งภัยคุกคาม ทั้งหลายได้ก็คือ INFOSEC ผมกำลังแนะนำอาชีพด้านไอทีอีกหนึ่งสาขาให้ทุกท่าน ได้รจู้ กั เป็นงานทีม่ ภี ารกิจหลักก็คอื ดูแลรักษาความปลอดภัย ให้กับระบบสารสนเทศขององค์กร หน่วยนี้เราเรียกสั้นๆ ว่า “INFOSEC” ซึ่งย่อมาจากคำว่า “Information Security” 136
หน่วยงานนี้มีหน้าที่วางระบบเพื่อปกป้องคุ้มครองระบบ สารสนเทศภายในองค์กรให้ปลอดภัยจากภัยคุกคามทุก รูปแบบ และจะต้องรับผิดชอบในการตรวจจับแฮกเกอร์ และ กู้ระบบหากระบบสารสนเทศถูกโจมตี เพื่อให้กลับคืนสภาพ ขึ้นมาให้บริการได้ตามปกติโดยเร็วที่สุด มีหลายคำถามจากนักเรียน นักศึกษา หรือบุคคลทั่วไปว่า ต้องการทำงานในสายงานด้านความปลอดภัยระบบสารสนเทศ ควรจะเตรียมตัวอย่างไร เริ่มจากจุดไหน ในบทความนี้มี คำตอบสำหรับผู้ที่ต้องการเตรียมตัวให้พร้อมที่จะเริ่มต้น ทำงานในสายงานดังกล่าว
Security Stories ::
วรวุฒิ สายบัว | Pearless
เส้นทางสู่สุดยอด Whitehat Hacker ตลอดช่วงระยะเวลากว่า 10 ปีที่ผ่านมา วงการระบบรักษาความ ปลอดภัยได้ก้าวผ่านเส้นทางที่เต็มไปด้วยผู้ประสงค์ร้ายรายรอบ ระบบเครื อ ข่ า ย ไม่ ว่ า จะเป็ น องค์ ก รขนาดเล็ ก ที่ มี เ ครื่ อ งในระบบ เครือข่ายเพียงไม่กี่เครื่อง ไปจนถึงระบบเครือข่ายที่ใหญ่ที่สุดในโลก คือระบบอินเตอร์เน็ต ที่มีผู้คนผลัดเปลี่ยนกันเข้ามาใช้เส้นทางที่ เชื่อมทั่วทุกมุมโลกได้เพียงแค่ปลายนิ้ว Click!!
140
Security Persons ::
Kross
ม า ค ุ ก ค ั ย ภ t า e ห n r ั ญ ป Inte ง ง อ า ข ท ม ง อ ์ ม ร ุ อ ม บ เ น ใ ซ ไ จ ว ร ตำ ในยุคแห่ง IT ที่ข้อมูลข่าวสารทุกอย่าง วิ่งเข้ามาในชีวิตของพวกเราอย่างรวดเร็ว ปัญหาต่างๆ ย่อมเกิดขึ้นตามมามากมาย เช่นเดียวกัน ซึ่งปัญหาเหล่านี้ก็มีหลายระดับ ตั้งแต่ความขัดแย้งของบุคคลทั่วไป จนกระทั่ง ถึงการโจมตีโดยตรงจากเหล่านักเจาะระบบ เพื่อหวังผลต่างๆ
146
Citec Comics ::
ศิรปรัชญ์ ประเสริฐยิ่ง | Aerris
CITEC CARTOON CLUB
เอา Facebook หนูคืนมา ãËŒµÒÂÊÔ à´ÕëÂǹÕ颋ÒÇ ¡çÁÕᵋ¡ÒÃàÁ×ͧ¹‹Ò »Ç´ËÑǪÐÁÑ´àÅÂ
Ë×Á? áͧ¨Õé? à¢ŒÒ MSN à¹Õè¹Ð...
á»Å¡áÎÐ á‹áÅŒÇæ Ẻ¹Õé Farmsville, HotelCity, Zoo World ©Ñ¹á‹ṋæ Êൻª‹Ç·Õä´ŒäËÁ!?
ã¨àÂç¹æáͧ¨Õé...à¡Ô´ÍÐäà ¢Ö鹡ѹ¹‹Ð àÅ‹ÒãËŒ¿˜§¡‹Í¹ ä´ŒäËÁ?
¡çà¿ÊºØ¤¢Í§áͧ¨ÕéÁѹÁÕ»˜ÞËÒà¢ŒÒ äÁ‹ä´ŒÍ‹ÐÁѹ¢Öé¹ timeoutæ ÍÐäùÕèáËÅÐ
ʧÊÑÂâ´¹áΤà¡Íà à¨ÒÐáÅŒÇÁÑé§... ¢Ð... ¢Íâ·É 156
àÍŽ..áÅŒÇ ·Óä§Í‹Ð à´ÕëÂǵÒÁ ¤¹ÁÒª‹Ç à¸Í¡çáŌǡѹ