Posts for year: 2016

Comparing Pentest Certificates

September 27 / 2016
บทความนี้ขอพูดถึง Certificate ยอดนิยมที่เกี่ยวข้องกับการทดสอบเจาะระบบ (Pentest) เพื่อ ให้คนที่สนใจจะเรียนมีข้อมูลเพิ่มขึ้นเพื่อใช้ในการตัดสินใจ สำหรับ HR ที่กำลังต้องการหาคนด้านนี้อยู่ก็คงจะมีประโยชน์เพิ่มมากขึ้นไม่ใช่หาแต่ CEH หน่วยงานหรือองค์กรต่างๆที่ขาดความเข้าใจในเรื่องของ Certificate เข้าใจว่า Certificate ด้าน Pentest เหมือนกันเอามาทดแทนกันได้ แต่ Certificate บางอันนั้นไม่ควรเอามาเปรียบเทียบกัน เพราะ level มันต่างชั้นกันมากครับ เราจะพูดถึง 4 Certificates จาก 4 สถาบัน GIAC GPEN จาก SANS eCPPT จาก eLearnSecurity OSCP จาก Offensive-Security CEH จาก EC-Council ทั้ง 4 Certificate นี้มีข้อดีข้อเสียแตกต่างกันไป โดยจะเปรียบเทียบตามตารางด้านล่าง สรุป SANS สอนดีมากๆ Certificate เป็นที่ยอมรับในระดับโลก แน่นอนว่าของดีราคาต้องสูง eLearnSecurity สอนดีเช่นกัน Lab ที่ให้ใช้ก็เป็น Dedicated สอนใน Topic ที่สำคัญๆได้ดี แต่…

Types of Company

July 30 / 2016
“เพราะเราไม่ได้ทำ Security แบบเล่นๆ ดังนั้นบริษัทที่เราทำงานนั้น Security ต้องเป็น Core Business”  บทความก่อนๆเคยพูดถึงประเภทงานไปแล้ว (http://incognitolab.com/th/thailand-it-security-career/) คราวนี้มาพูดเรื่องประเภทบริษัทดีกว่า ขอแบ่งง่ายๆเป็น 2 ประเภทครับ 1.บริษัทที่ไม่ได้มี Core Business เป็นเรื่อง Security บริษัทในกลุ่มนี้ก็คือบริษัททั่วๆไปที่ งาน IT หรืองาน Security เป็นงาน Support ธุรกิจหลักของบริษัท เช่น กลุ่มธุรกิจการเงิน (ธนาคาร, ประกัน, หลักทรัพย์, ปล่อยกู้เช่า-ซื้อ) กลุ่มโรงงานอุตสาหกรรม กลุ่มปิโตรเลียม หน่วยงานราชการ และอื่นๆอีกมากมาย เรียกว่าเกือบทุกบริษัทล่ะครับ ซึ่งกลุ่มนี้ถ้ามีงาน Security เปิดรับล่ะก็ จะต้องเป็นบริษัทที่ค่อนข้างใหญ่ เป็นที่รู้จัก ถ้าได้ทำงานที่นี่คนรู้จักรอบข้างคงจะเห็นดีเห็นงามด้วย เพราะว่าเป็นบริษัทขนาดใหญ่ ใครๆก็รู้จัก รวมถึงมีความมั่นคงสูง “แต่ Security ไม่ใช่ Core Business เท่านั้นเอง” อีกทั้งในบางครั้งบริษัทที่แกร่งมาก พอมีการ Reorganisation ก็จะมีการแยกงานด้าน IT ออกมาจากบริษัทแม่แล้วตั้งเป็นบริษัทลูก ซึ่งบริษัทประเภทนี้ก็เหมือนจะเป็นบริษัททำ IT อย่างเดียว…

Basic Covert Channel

April 6 / 2016
Covert (adj.) = Hidden or Secret คำว่า Covert Channel ในเรื่องของ Security หมายถึง การส่งข้อมูลโดยใช้ช่องทางที่ไม่ได้ถูกออกแบบมาให้ส่งข้อมูลนั้นๆ ใครที่งงแนะนำว่าอ่าน Definition ภาษาอังกฤษ จะเข้าใจง่ายกว่า “A covert channel is a path for the illegal flow of information between subjects within a system, utilizing system resources that were not designed to be used for inter-subject communication” คำที่ตรงข้ามกับ Covert Channel คือ Overt Channel นะครับ ซึ่ง Overt แปลว่า เปิดเผย (Public) การส่งข้อมูลทั่วๆไปนั้นเป็นลักษณะ…

Industrial Control System (ICS) part 2

March 23 / 2016
ในตอนนี้มาทำความรู้จักกับ Protocol Modbus TCP ซึ่งเป็น Protocol ที่นิยมใช้กันในระบบ ICS หรือ SCADA นะครับ เริ่มจากการดักจับข้อมูลบน Network ในวีดีโอจะเห็นว่าจะมีการรับส่ง Packet ของข้อมูลตลอดเวลา โดยส่วนใหญ่จะเป็น Read เนื่องจากว่า HMI (Human Machine Interface) มีการเรียกข้อมูลจาก PLC เพื่อทำการ Update หน้าจอแสดงผลตลอดเวลา จะมีการ Write ค่ากลับไปเฉพาะช่วงที่ผมกดเลือก Blinking เพื่อสั่งให้ไฟเหลืองกระพริบเท่านั้น ใน Wireshark เรา Filter โดยใช้คำว่า mbtcp ซึ่งหมายถึง Protocol Modbus TCP นั่นเอง โดย Format ของ Modbus TCP นั้นเป็นไปตามรูปด้านล่าง ซึ่งถ้าเทียบกับข้อมูลใน Wireshark ก็จะเห็นได้ว่าเป็นไปตาม Format เดียวกัน โดยการสั่งให้ Read หรือ Write นั้นจะขึ้นอยู่กับ Function Code…

Lan Turtle – A cool gadget from Hak5

March 22 / 2016
หลังจากเคย Post เรื่องเกี่ยวกับเจ้าเป็ดน้อย  USB Rubber Ducky ไปเมื่อนานมาแล้ว (http://incognitolab.com/2014/09/18/rubber-ducky-in-action/) วันนี้ทางทีมเพิ่งได้รับอุปกรณ์ที่สั่งไว้ตั้งแต่ก่อนปีใหม่ ซึ่งอุปกรณ์ครั้งนี้ก็คือเจ้าเต่าน้อย Lan Turtle ก็มาจาก Hak5 เช่นเดิม เช่นเดียวกับ Rubber Ducky เจ้า Lan Turtle นี่ไม่ได้น่ารักใสซื่อเหมือน Logo ที่ใช้เลย หน้าที่ของเจ้าเต่าน้อยนี้ก็คือทำตัวเป็น Network Backdoor ให้ Hacker สามารถ Connect เข้าไปถึง shell ของ Lan Turtle ได้เลยไม่ว่าจะต่ออยู่ที่ Network ไหน การใช้งานก็ไม่ต้องทำไรวุ่นวายเพราะเพียงแค่เอาไปเสียบ USB ที่เครื่องแล้วเอาสาย LAN ต่อเข้ากับ Lan Turtle ก็เรียบร้อย เดี๋ยวมาลองทดสอบกันโดยในวีดีโอทดสอบนี้จะทำสองส่วนคือ ให้ Lan Turtle connect back กลับมาที่ meterpreter shell ของเครื่องที่ตั้งไว้ ใช้ URLsnarf เพื่อดู website…