From Pentesters With Love @ MUT

เนื่องด้วยเมื่อวันเสาร์ที่ 2 พฤศจิกายน 2556 ที่ผ่านมา พวกเราได้รับโอกาสไปบรรยายให้กับนักศึกษาปริญญาโทในสาขา Information Technology และ Network Engineering ของมหาวิทยาลัยมหานคร ในหัวข้อ

“From Pentesters With Love”

From Pentesters With Love

Slide ด้านล่างนี้เป็น Slide บางส่วนที่ใช้ประกอบในบรรยาย และ ช่วยให้ทุกคนได้ทราบถึงแหล่งข้อมูลต่าง ๆ ที่มีประโยชน์ในการศึกษาหาความรู้เพิ่มเติมเกี่ยวกับสายงานด้าน Information Security ต่อไปในอนาคตครับ

Learn Kung Fu

Learn Kung Fu

Security Experts' Twitter

Security Experts’ Twitter

online training

Free online security training

สุดท้ายนี้หากอาจารย์มหาวิทยาลับท่านใดสนใจให้เราไปบรรยาย หัวข้อเกี่ยวกับ Security ในลักษณะนี้ เรายินดีเป็นอย่างยิ่ง เพื่อเป็นแนวทางให้กับนักศึกษาที่มีความสนใจในด้าน Security ครับ

Computer Security VS Information Security

หลายๆคนที่เพิ่งสนใจ Field ด้าน Security นี้อาจจะงงและสับสนกับ 2 คำนี้ ว่ามันเหมือนกันหรือแตกต่างกันอย่างไร

Computer Security นั้นจะเน้นไปเรื่องราวของ Security ที่เกี่ยวกับ Computer เป็นหลัก หรือเน้นอะไรที่เกี่ยวกับ Machine

แต่

Information Security นั้นจะกว้างกว่า เรียกได้ว่า Computer Security เป็นส่วนหนึ่งของ Information Security ก็ว่าได้ โดย Information Security นั้นจะเน้นไปถึงข้อมูลเป็นหลัก ไม่ว่าข้อมูลนั้นจะอยู่ในรูปแบบใดก็ตาม ไม่จำกัดว่าจะต้องเป็น File Electronic เช่น อาจจะครอบคลุมไปถึงความลับที่บอกกันทางวาจา

หากใครที่อยู่ใน Field นี้มาซักระยะคงจะเริ่มมีความรู้สึกว่ามองทุกอย่างรอบๆตัวเป็นเรื่อง Security ได้หมด ซึ่งแน่นอนมันไม่ครอบคลุมแค่ System แล้ว ตัวอย่างเช่น การที่เราใช้บริการรถไฟฟ้าใต้ดิน MRT จะมี Security Guard (ยาม) คอยยืนอยู่ที่ Gate พร้อมกับไฟฉาย ซึ่งบางครั้งก็เดินผ่านไปได้เลย หรือบางครั้งถ้ายามเรียก ยามก็จะให้ผู้ใช้บริการเปิดกระเป๋าพร้อมกับส่องไฟหาอะไรก็ไม่รู้

ซึ่งโดยความรู้สึกของผมคือ MRT หรือแม้แต่ตามห้างสรรพสินค้าต่างๆ ไม่ได้ผลักดันให้คนเหล่านี้ทำงานอย่างเต็มที่เลย มีไว้แค่ถือไฟฉายส่องไฟซ้ายทีขวาที อารมณ์เหมือนติดกล้องวงจรปิดปลอมๆ ซึ่งหากมีเหตุการณ์ไม่ปกติเกิดขึ้นเมื่อไร ยามก็จะถูกบังคับให้ปฏิบัติอย่างเคร่งครัดมากขึ้นเท่านั้นเอง

ดังคำกล่าวที่ว่า “Human is the weakest link” นั่นเอง เนื่องจากช่วงนี้เห็นมี Keyword ที่ Search เข้ามาเพื่อหา ประโยคเด็ดๆของ Security ไว้ในบทความหน้าจะมาเขียนให้อ่านกันนะครับ

สุดท้ายแล้วหากใครคิดว่าตัวเองเริ่มมีความรู้สึกว่าตัวเองเริ่มหายใจ เข้า-ออก นึกถึง Security แล้ว และ Security ไม่จำกัดแค่ในระบบ ขอแนะนำให้ไป Subscribe Crypto-Gram Newsletter ของ Bruce Schneier บุคคลซึ่งเป็น Idol ของผมในเรื่อง Security แล้วจะเริ่มเข้าใจถึง Big Picture ของ Security นะครับ

PS. หากใครไม่รู้จัก Bruce Schneier ซึ่งปัจจุบันรับหน้าที่ เป็น Chief Security Technology Officer ของ BT แนะนำให้ไปที่ http://www.schneier.com/about.html

Free Online Security Class

Information Security and Risk Management in Context

คลาสนี้มาจาก University of Washington และ Coursera ร่วมกัน  Register ได้ที่ www.coursera.org/course/inforiskman

สำหรับคนที่สนใจ IT Security นี่น่าจะเป็นอีกคลาสที่น่าสนใจนะครับ อาจจะไม่ได้เน้นไปทางเทคนิคมากนัก แต่การที่เรียนรู้ถึง Information Security ใน Context ต่างๆ น่าสนใจมาก เนื่องจากบางคนก็ไม่ได้มีโอกาสได้เห็นงาน Information Security ใน Sector อุตสาหกรรมอื่นๆ นอกจากที่ตัวเองทำงานอยู่เท่านั้น เราจะได้เห็นว่า Challenge ที่เกิดขึ้นของแต่ละที่นั้นไม่เหมือนกัน ยกตัวอย่างเช่น

การ Login เข้าระบบ (Authentication) สำหรับระบบงานในธนาคารนั้นจะต้องให้ความสำคัญสูง ใช้เวลา Login นานหน่อยก็ได้แต่ขอให้ปลอดภัย แต่ถ้าหากเป็นในโรงพยาบาล ขณะที่แพทย์กำลังช่วยคนไข้ และต้องการข้อมูลคนไข้จากในระบบ แต่ดันลืม Password สำหรับ Login ล่ะ เหตุการณ์อาจจะเลวร้ายบานปลายไปจนทำให้คนไช้เสียชีวิตได้เลยนะครับ

Free Online Cryptography Class

Cryptography = ศาสตร์แห่งการเข้ารหัส

ตาม Concept ของ Security นั้นประกอบไปด้วย CIA ซึ่งมาจากคำ 3 คำได้แก่

  1. Confidentiality
  2. Integrity
  3. Availability

Cryptography สามารถใช้เพื่อบรรลุ Confidentiality และ Integrity ได้ และ Cryptography เป็นสิ่งสำคัญมากใน Security และเราจะพบว่าเกือบทุกอย่างจะเกี่ยวโยงกับ Cryptography ซึ่งหากใครสนใจก็สามารถเข้า Class online จาก Stanford University ตาม link ด้านล่างได้เลยนะครับ

https://www.coursera.org/course/crypto