Hacking&Security Workshop

ตอนนี้ MaYaSeVeN ได้ย้าย Blog ไปที่ http://blog.mayaseven.com


Friday, April 1, 2011

แบ่งปันประสบการณ์ในการอบรบ Design Security

สำหรับบทความนี้ก็จะมาเล่าประสบการหลังจากที่ได้ไปเข้าร่วมงานประชุมวิชาการของ thaiadmin โดยหัวข้อที่ผมได้เข้าอบรบคือ
Design Security ผู้บรรยายคือ อ.เกรียง(คนนี้อยู่ในวงการ Securityมากว่า 20ปี) ผมประทับใจเพื่อนสมาชิก+ทีมงาน thaiadmin
มากๆที่แต่ละคนล้วนมีหน้าที่การงานใหญ่โตกันพอสมควรแต่ไม่ถือตัวเลยและยังช่วยแนะนำตอบคำถามผมที่เป็นเพียงแค่นักศึกษา
ตาดำๆ ^^ และก็รู้ศึกอบอุ่นที่ได้ Meeting กัน และสิ่งสำคัญคือขอบคุณ Admin CITEC ที่ได้สนับสนุนค่าอบรมให้ ^^
สำหรับเนื้อหาส่วนใหญ่ในการการอบรมก็คือ

0.)ประสบการณ์ของผู้สอน เช่น case study ต่างๆที่น่าสนใจ(เน้นในส่วนของผู้ใช้เป็นหลักเพราะว่าต่อให้ระบบปลอดภัยแค่ไหนถ้า
ผู้ใช้ไม่มีความเข้าใจและไม่รู้ว่าตัวเองเสี่ยงอะไรสุดท้ายคนก็คือจุดอ่อนของระบบอยู่ดี)



สำหรับในส่วนของผู้ใช้ระบบ 4 สี่งอันตรายที่ผู้ใช้ไม่รู้
1.การ Download file จาก Internet แหล่งที่Download มีความน่าเชื่อถือแค่ไหน
2.Social Engineering การพูดคุยง่ายๆที่คนไทยมักตกเป็นเหยื่อของ Cracker
3.การ Share file สิ่งนี้ไม่ปลอดภัยอาจจะเป็นแหล่งช่วยแพร่ Malware หรือแม้กระทั้งเปิดช่องโหว่ให้ Cracker โจมตี
อย่างที่ได้ Demo ใน CITEC-CON #3
4.USB สิ่งนี้คือตัวแพร่ Malware อันดับต้นๆเสียบปุ๊บติดปับ Game Over

Case study : วันหนึ่งเวลา 20.00 ขณะนายสมชายทำงาน OT อยู่ในบริษัทก็ได้มีความคิดว่าตอนนี้ไม่มีพนักงานคนอื่นใช้
Internet ทำให้ Internet มีความเร็วสูงจึงได้โหลดเกมส์ที่ Crack แล้วเกมส์หนึ่งมาเล่น(โดยที่บริษัทมีนโยบายชัดเจนในการห้าม
โหลดไฟล์) หลังจากโหลดเส็รจติดตั้งแล้วเล่นไปได้สักระยะจนถึงเวลาเลิกงานแล้วก็กลับบ้านหลังจากนั้น 7 วันนายสมชายถูกหัวหน้า
เรียกไปสอบถามเนื่องจากระบบของบริษัทล่ม+ข้อมูลของบริษัทถูกทำลายเสียหายโดยตามจาก log แล้วเห็นว่านายสมชายละเมิด
นโยบายของบริษัทเนื่องจากโหลดไฟล์มาติดตั้งและยังเห็น user ของนายสมชายเป็นคนทำลายข้อมูลและทำให้ระบบล่ม ต่อมา
บริษัทถูกลูกค้าฟ้องล้มละลายและนายสมชายถูกไล่ออก ......"เหตุเกิดจากแค่โหลดเกมส์มาเล่นแค่นั้น" Case study นี้เป็นเรื่อง
จริง(อ.เกรียงว่างั้น ^^)โดยผมได้เอาหลายๆ Case study ที่ได้อบรมมารวมเอาไว้ใน Case เดียว

1.)ทำให้องค์กร+พนักงานตะหนักถึงความปลอดภัยของระบบ IT เพราะถ้าเขาไม่รู้ว่าเขาเสี่ยงอะไรนั้นคือวิกฤต

2.)การทำตาราง + กราฟประเมินความเสี่ยงตามมาตรฐาน ISO:27001 เพื่อนำเสนอผู้บริหารองค์กร

3.)รูปแบบการเขียนโครงการเสนอผู้บริหารองค์กรในหัวข้อ Security ว่ามีรูปแบบในการเขียนแบบไหนแล้วเขียนอย่างไรเพราะผู้
บริหารสนใจในเรื่องความคุ้มค่าต่อความเสี่ยงเป็นหลัก(เขาไม่สนใจในเรื่อง tehchnical)

4.)แบ่งกลุ่มฝึกเขียนโครงการนำเสนอผู้บริหารตามมาตรฐาน ISO:27001

สำหรับผู้ที่สนใจในงาน Security มีหลายบริษัทที่ทำด้านนี้ในไทยและเทศมีแนวโน้วที่จะมากขึ้นตามความต้องการขององค์กรต่างๆ
โดย อ.เกรียง ได้บอกว่า Skill ที่เราควรมีในการทำจะทำงานด้านนี้คือ
1.Application << เขียนโปรแกรมได้หา bug ได้รู้ว่าเขียนอย่างไรจะไม่เกิด Buffer Overflow ,Stack Overflow
2.Database << รู้การทำงานของDatabase ต่างๆ เช่น Oracle,MS-SQL,MySQL เพราะว่าData ส่วนใหญ่ขององค์กรมัก
ถูกเก็บไว้ในรูปแบบ Database แน่นอนถ้าเราไม่รู้การทำงานของมันเราจะทำให้มันปลอดภัยได้อย่างไร
3.Network << อันนี้พื้นฐานสำคัญเพราะส่วนใหญ่การโจมตีจะเป็นการโจมตีผ่าน Network ทั้ง local และ global
4.OS << เราก็ควรที่จะใช้งาน OS ค่ายต่างๆให้เป็น Windows(2003,2008),Linux
(Fedora,Debian,SUSE,Redhat),Unix(FreeBSD,OpenBSD),Solarise,IBM แน่นอนเครื่อง Server ส่วนใหญ่คงไม่ใช่
Windows หรอกนะเพราะมันไม่ปลอดภัยเอาซะเลยจริงๆ โหว่กระจาย =="

ทิ้งท้ายด้วยคำคม
case 1:ไม่รู้ว่าตัวเองเสี่ยงอะไร และคิดว่าทำแล้วไม่น่าจะมีอะไร
case 2:รู้ว่าตัวเองเสี่ยงอะไร แต่คิดว่าไม่น่าจะเป็นอะไร
case 3:รู้ว่าตัวเองกำลังจะทำอะไร และต้องการที่จะทำลายระบบ

สุดท้ายผลมันก็เหมือนกัน
#เขียนโดย MaYaSeVeN http://mayaseven.blogspot.com
#อนุญาติให้ Copy ไปโพสที่ไหนก็ได้แต่ต้องแนบเครดิตด้วยนะครับ