Swensens Insecurity

August 24 / 2012
กินไอติม แล้วไม่ปลอดภัย ทำงานในระดับองค์กร คงเคยได้ยินกับ PPT Concept ซึ่งตัวอักษรแต่ละตัวประกอบไปด้วย People, Process, Technology โดยทั้ง 3 คำนี้เป็น Critical factor ที่ช่วยให้งานประสบความสำเร็จนั่นเอง เรื่อง IT Security ก็เป็นเรื่องที่ไม่ได้ถูกจำกัดอยู่ที่ Technology อย่างเดียว สำหรับเรื่องนี้ ขอยกตัวอย่าง Process ที่ไม่ดี โดยไม่อิงกับ Technology ตัวอย่างของเรื่องนี้คือ กรณีที่ไปใช้สิทธิของบัตร Debit ของธนาคารสีเขียวที่ Swensens เมื่อบอกพนักงานว่าจะใช้สิทธิ พนักงาน Swensens ก็จะนำเอกสารมาให้เราเขียน ซึ่งเอกสารที่ว่ามีหน้าตาตามด้านล่างนี่แหละ ถ้าคนที่เคยใช้สิทธิพิเศษนี้คงจะคุ้นกับหน้าตาของเอกสารที่มี Sensitive Data อันนี้ ซึ่งก็จะประกอบไปด้วยข้อมูลของลูกค้า ไม่ว่าจะเป็น เลขบัตร ชื่อ นามสกุล ปัญหาของเรื่องนี้อาจจะเกิดจาก Process ที่ Design มาไม่ดีที่เอาข้อมูลของลูกค้ามาแชร์ให้ลูกค้าดูกัน หรือ อาจจะเกิดจาก Process ที่มีดีอยู่แล้วแต่ People (พนักงาน) ไม่ยอมที่จะเป็นคนจดบันทึกรายละเอียดเองก็ได้ บางทีเรื่องเล็กๆที่ถูกมองข้ามก็อาจจะกลายเป็นปัญหาได้เหมือนกันนะเนี่ย

Company secret with Lotus Notes

August 20 / 2012
แนะนำกันก่อน    คือ software ของบริษัท IBM ซึ่งสามารถใช้งานได้หลากหลายไม่ว่าจะเป็นการรับ-ส่งเมล, ทำตารางนัดหมาย, address book, chat ก็ยังได้ สำหรับคนทำงานที่ใช้ notes คงพอจะเคยเล่นกัน ที่สำคัญสามารถพัฒนาโปรแกรมง่ายๆใช้งานบน Lotus Notes ได้อีกด้วย ปัจจุบัน version ล่าสุดจะเป็น ver 8.5.x แล้ว แล้วเกี่ยวไรกับความลับขององค์กร อย่างที่เล่าให้ฟังด้านบนว่า Lotus Notes คนทั้งองค์กรเอาข้อมูลไปฝากไว้อยู่บนนั้นมากเหลือเกิน ถ้าหากเกิดปัญหาเรื่องความปลอดภัยขึ้นมา ลองคิดดูว่าจะกระทบกับองค์กรขนาดไหน ลองดูว่าผมจะได้อะไรมาบ้าง ผมจะทำ Recon[1] อย่างเดียวครับงานนี้ ไม่มีความเสี่ยงและไม่ผิดพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.๒๕๕๐ ของไทยอย่างแน่นอน 1. เริ่มต้นด้วย google: ผมลอง search หาว่า มี file ประเภท Lotus Notes Database (ใช้ extension เป็น .nsf) อยู่หรือไม่โดย + URL ต้องมีคำว่า nsf +…

WhatsApp insecurity part 1

August 19 / 2012
ความปลอดภัยของ Whatsapp วันนี้เรามาดู Whatsapp ซึ่งเป็น chat application ที่ได้รับความนิยมสูงนั้นมีความปลอดภัยมากแค่ไหนกัน เมื่อประมาณเดือนพฤษภาคม ปี 2011 Whatsapp ได้ถูกประนามอย่างรุนแรงเรื่องความปลอดภัยในการรับ-ส่งข้อมูลที่ไม่มีการเข้ารหัส ซึ่งการที่ไม่เข้ารหัสนี้ทำให้ข้อมูลที่มีการรับส่งกันสามารถถูกแอบอ่านได้โดยบุคคลอื่นได้ ในทางวิชาการแล้ว เราเรียกว่าถูก compromise ในเรื่อง confidentiality (ความลับไม่เป็นความลับอีกต่อไป) ซึ่งเรื่องนี้ Whatsapp ก็เพิ่งได้ทำการแก้ไขช่องโหว่เสร็จ หลังจากปล่อยให้ user ใช้งาน version ที่มีช่องโหว่มานานประมาณ 1 ปี!!!!!  อ้าว ที่เรา chat กันผ่าน Whatsapp ใน 1 ปีที่ผ่านมาก็ไม่ปลอดภัยน่ะสิ “ใช่แล้วครับ” ซึ่งข้อมูลที่อยู่ระหว่างการรับ-ส่ง นี้เรียกว่า Data in motion ตาม concept ของ Data loss ก่อนที่จะเข้าประเด็นถัดไป ขอเข้าสรุปง่ายๆ สำหรับ concept เรื่อง Data loss ก่อนนะครับ Data Leakage หรือ…

Thailand IT Security Career

August 12 / 2012
งาน IT Security ในประเทศไทย คงปฏิเสธไม่ได้ว่าทุกวันนี้งานที่ถูกใจก็หายากเหลือเกิน ยิ่งเป็นเด็กจบใหม่ไม่รู้เรื่องเกี่ยวกับงานที่สมัคร โชคดีก็อาจได้ทำงานที่ตัวเองชอบมีอนาคตดี แต่ถ้าโชคร้ายล่ะก็……หึหึ ปัจจุบันงาน IT มีหลากหลาย เลือกไม่ค่อยถูก แต่วันนี้จะขอพูดถึงงานในสายที่เป็น Security ที่มีความต้องการมากขึ้นทุกวัน ทีนี้เรามาเริ่มต้นดูกันดีกว่าว่างานทางด้าน Security มีอะไรบ้าง โดยจะแบ่งเป็น 3 หมวดหมู่ดังนี้ 1. พวกขายของ กลุ่มงานที่จัดอยู่ในพวกขายของนั้นจะมีบริษัทอยู่ 3 ประเภทหลักคือ Vendor, Distributor และ System Integrator Vendorคือเจ้าของ Product นั่นเอง ซึ่ง Security Product ก็มีมากมายเช่น Cisco, Juniper, Checkpoint, Symantec, McAfee โดยคนที่ทำงานให้กับบริษัท Vendor ก็จะต้องเป็นผู้เชี่ยวชาญใน Product ของตัวเองอย่างมาก ชนิดที่ว่าถามอะไรมาต้องตอบได้หมด หน้าที่ที่ต้องทำคือ 1.ไป Present ความสุดยอดของ Product ของตัวเองให้ลูกค้าฟัง 2.Implement Product ให้ลูกค้าใช้งาน 3.แก้ปัญหาของ Product…