GPS Attack part 2

September 13 / 2012
ตอนที่แล้วเราได้พูดถึงหลักการทำงานอย่างง่ายๆ คร่าวๆของระบบ GPS ไปเรียบร้อยแล้ว สำหรับ GPS ที่เราจะทำการโจมตีนั้น ผมจะทำการทดลองบนอุปกรณ์ smartphone ครับซึ่งหลักการทำงานของ GPS ของอุปกรณ์พวกนี้ มันมีความแตกต่างจาก GPS ทั่วไปอยู่บ้าง mobile phone ใช้ gps ยังไง เคยสังเกตมั้ยครับว่าเวลาเราใช้งาน GPS บนอุปกรณ์ smartphone จะพบว่าใช้เวลาไม่นานก็สามารถ locate ตำแหน่งของเราได้ ผิดกับ GPS receiver ทั่วไปที่ต้องใช้เวลาสักพัก ต้องอยู่ในที่ที่ไม่มีอะไรมาบดบังสัญญาณ และถ้าจะให้รับสัญญานได้รวดเร็วจำเป็นที่จะต้องอยู่กับที่ด้วย ด้วยข้อจำกัดดังกล่าวถ้าหากจะให้ smartphone ใช้วิธีเดียวกันกับ GPS receiver เลยก็จะพบว่ามันจะต้องใช้พลังงานสูง และใช้เวลานานกว่าจะหา location ได้พบ พวกโทรศัพท์ประเภท smartphone หรือ mobile device บางยี่ห้อจึงใช้เทคนิคที่เรียกว่า AGPS(Assisted GPS) แทน โดยที่จะนำข้อมูลต่อไปนี้ไปประมวลผล: 1. ข้อมูลจาก Cell Tower Station: โดยปกติพวกเสารับ ส่ง ขยาย…

GPS Attack part 1

September 4 / 2012
GPS ในความคิดของนักเจาะระบบ ลองคิดดูว่าหากระบบนำทางที่เราเรียกกันติดปากว่าระบบ GPS เกิดปัญหาขัดข้องขึ้น ไม่ว่าจะเป็นการบ่งบอกพิกัดผิดจากตำแหน่งจริง หรือสถานีควบคุมเห็นวัตถุกำลังเคลื่อนที่จากจุดใดไปจุดหนึ่งแต่จริงๆแล้วไม่มี จะเกิดอะไรขึ้น นี่เป็นปัญหาและภัยคุกคามระดับโลกเลยนะครับ หากจะอธิบายไปไกลกว่านี้ผมคงต้องปูพื้นหลักการทำงานของ GPS ให้ทุกคนทราบก่อนครับว่าเป็นยังไง GPS คืออะไร ระบบ GPS(Global Positioning System) เป็นระบบระบุตำแหน่งบนพื้นโลก โดยการทำงานของมันจะต้องประกอบด้วย 3 ส่วน 1. User segment: เป็นตัวรับสัญญาณจากดาวเทียม เรียกว่า GPS receiver equipment เช่นพวก GPS ติดเครื่องบิน เรือ รถยนตร์และพวก smartphone 2. Control segment: เป็นสถานีควบคุมดาวเทียม 3. Space segment: เป็นดาวเทียมที่มีวงโคจรอยู่รอบโลก ทำการการกระจายสัญญาณส่งข้อมูลที่เรียกว่า time and space ให้ส่วนที่เป็น user segment คำนวณตำแหน่ง ทำไมมันรู้ตำแหน่งเรา GPS receiver ต้องการข้อมูล time and space จากดาวเทียมมาคำนวณว่าตัวมันเองอยู่ห่างจากดาวเทียมเป็นระยะทางเท่าไร…

IT Security Certificate part 1

September 1 / 2012
IT Security Certificate มันสำคัญอย่างไร? จากบทความที่แล้วเรื่อง งาน IT Security ในประเทศไทย เรามาดูกันต่อว่าประเด็นเรื่อง Certificate มันสำคัญอย่างไร ประเด็นที่ต้องให้ความสำคัญในเรื่องของ Certificate คือ ใบเบิกทางในการหางาน เป็นการสร้างความน่าเชื่อถือให้กับคนที่ไม่รู้จักเรา การสมัครงานในปัจจุบันนั้นค่อนข้างทำได้ง่าย แค่คลิ๊กไม่กี่ทีก็ส่ง Email หรือกรอกข้อมูลผ่าน web ได้แล้ว แต่ด้วยเอกสาร Resume ความยาว 1-2 หน้าของแต่ละคน จะต้องทำอย่างไรให้ Resume ของเราโดดเด่นกว่าของคนอื่น หนึ่งในนั้นก็คือการใช้ Certificate บอกให้ผู้ที่คัดเลือก Resume นั้นทราบถึงมาตรฐานความรู้ ความสามารถของเรา รวมถึงแสดงให้เห็นว่าเรามีความมุ่งมั่นในด้านนี้ นั่นก็จะเป็นการเพิ่มโอกาสในการเรียกสัมภาษณ์งานของเราในที่สุด เมื่อมีงานทำแล้ว การมี Certificate นั้นคงไม่ใช่แค่มีไว้เขียนบนนามบัตร ว่าเรา Certified อะไร แต่การที่เราผ่านการสอบ Certificate นั้นแสดงว่าเราจะต้องมีพื้นความรู้ความสามารถที่เป็นมาตรฐาน ซึ่งคำว่ามีมาตรฐานนี้ไม่ได้บอกว่าทุกคนที่ Certified จะต้องเก่งนะ แต่เมื่อ Certified เรียบร้อยแล้ว จะทำอะไรก็จะได้รับความน่าเชื่อถือมากขึ้นนั่นเอง นอกจากนี้ในอนาคตอันใกล้นี้หากมีการเปิด AEC การมี Certificate…

WhatsApp insecurity part 2

August 28 / 2012
ความปลอดภัยของ Whatsapp ตอนที่ 2 หลังจากตอนแรกเราได้พูดกันถึง Concept ของ Data Leakage ไปแล้ว 2 ใน 3 ช่องทาง ในตอนนี้เราจะพูดถึงช่องทางที่ 3 กันซึ่งได้แก่ Data at rest หรือข้อมูลที่ถูกเก็บไว้ที่ Server นั่นเอง จากตัวอย่างเรื่อง Whatsapp การส่งรูปหากันใน Whatsapp จะมีการ upload รูปที่ต้องการส่งขึ้นไปไว้ที่ Server ของ Whatsapp ซึ่งรูปต่างๆใน Server นั้นเพียงแค่ทราบ URL​ ก็จะสามารถเข้าถึงได้ทันที ไม่มีการทำ Authentication ใดๆทั้งสิ้น แล้วทีนี้ความปลอดภัยอยู่ที่ไหนล่ะเนี่ย ด้านล่างเป็นตัวอย่างรูปที่ทดลองส่งผ่าน Whatsapp ก็จะพบว่าใน file Database ของ Whatsapp จะมี URL เก็บไว้ทั้งหมด ลองเข้าตาม URL ก็จะพบรูปที่ส่งหากันได้ทันที https://mms302.whatsapp.net/d7/25/11/7/0/7001274b04452bd0bb68eb7730ddf4ad.jpg เดี๋ยวนี้มีการใช้งาน Instant Messenger กันอย่างแพร่หลาย…

Swensens Insecurity

August 24 / 2012
กินไอติม แล้วไม่ปลอดภัย ทำงานในระดับองค์กร คงเคยได้ยินกับ PPT Concept ซึ่งตัวอักษรแต่ละตัวประกอบไปด้วย People, Process, Technology โดยทั้ง 3 คำนี้เป็น Critical factor ที่ช่วยให้งานประสบความสำเร็จนั่นเอง เรื่อง IT Security ก็เป็นเรื่องที่ไม่ได้ถูกจำกัดอยู่ที่ Technology อย่างเดียว สำหรับเรื่องนี้ ขอยกตัวอย่าง Process ที่ไม่ดี โดยไม่อิงกับ Technology ตัวอย่างของเรื่องนี้คือ กรณีที่ไปใช้สิทธิของบัตร Debit ของธนาคารสีเขียวที่ Swensens เมื่อบอกพนักงานว่าจะใช้สิทธิ พนักงาน Swensens ก็จะนำเอกสารมาให้เราเขียน ซึ่งเอกสารที่ว่ามีหน้าตาตามด้านล่างนี่แหละ ถ้าคนที่เคยใช้สิทธิพิเศษนี้คงจะคุ้นกับหน้าตาของเอกสารที่มี Sensitive Data อันนี้ ซึ่งก็จะประกอบไปด้วยข้อมูลของลูกค้า ไม่ว่าจะเป็น เลขบัตร ชื่อ นามสกุล ปัญหาของเรื่องนี้อาจจะเกิดจาก Process ที่ Design มาไม่ดีที่เอาข้อมูลของลูกค้ามาแชร์ให้ลูกค้าดูกัน หรือ อาจจะเกิดจาก Process ที่มีดีอยู่แล้วแต่ People (พนักงาน) ไม่ยอมที่จะเป็นคนจดบันทึกรายละเอียดเองก็ได้ บางทีเรื่องเล็กๆที่ถูกมองข้ามก็อาจจะกลายเป็นปัญหาได้เหมือนกันนะเนี่ย