Page 1

The First Computer and Network Security Magazine in Thailand

ISSUE 1/SEPTEMBER 2010


บริษัท ไซเทคอีโวลูชั่น จำกัด บรรณาธิการอำนวยการ วุฒิพงษ์ ชาติอนุลักษณ์ รองบรรณาธิการ วิศวัชร์ อัศวเมนะกุล ที่ปรึกษา สมญา พัฒนวรพันธุ์ พ.ต.ท. ดรัณ จาดเจริญ รศ.ดร. โชติพัชร์ ภรณวลัย ดร.สุภาภรณ์ เกียรติสิน ภีรพล คชาเจริญ ที่ปรึกษากฏหมาย อุบล ศรวิเชียร กองบรรณาธิการ สมสกุล วงษ์เสริมศรี กรินทร์ สุมังคะโยธิน เมธีกุล เจียร์วัฒนานนท์ สุทธาพงศ์ วราอัศวปติ ประธาน พงศ์ทิพย์ฤกษ์ วรวุฒิ สายบัว ผู้จัดการฝ่ายโฆษณา ทศพร แซ่ฉั่ว เลขาฯฝ่ายโฆษณา พัชรา ทำทอง ผู้จัดการฝ่ายอบรมสัมมนา ธนรัฐ ธนะสมบูรณ์ ผู้จัดการฝ่ายบัญชีและการเงิน นิภา กรอบรูป พิสูจน์อักษร เมธีกุล เจียร์วัฒนานนท์ CITEC Evolution Co., Ltd 12/51 ซ.อินทามะระ 33 ถ.วิภาวดีรังสิต แขวงดินแดง เขตดินแดง 10320 Tel: 0-2691-7908 Fax: 0-2691-7908 http://citecclub.org Email: http://citec.us/contact


EVOLUTION BEGUN HERE! วิวฒ ั นาการได้เกิดขึน้ แล้ว! ประโยคนีอ้ าจจะฟังดูเว่อร์ๆ บ้างนะครับ แต่ในมุมมองของทีมนักเขียนของเราทัง้ หมด รูส้ กึ เช่นนัน้ จริงๆ เพราะด้วยการทุม่ เทแรงกายและเวลา ในทีส่ ดุ Magazine ฉบับแรกของ CITEC ในนาม Hackazine ก็ได้คลอดเสียที กว่าจะเสร็จทำเอาผูอ้ า่ นหลายๆ ท่านตามลุน้ กันจนแทบลืมไปเลยว่า CITEC ยังมีโครงการนีอ้ ยูเ่ หรอ ด้วยความที่ว่า ทีมงานต้องการเซอร์ไพร์สแฟนๆ และสมาชิกผู้อ่านให้ได้ลุ้น เพื่อความตื่นเต้นเล่นๆ ว่า รูปแบบ Magazine ทีจ่ ะออกมานัน้ จะหน้าตาแบบใด เนือ้ หาน่าสนใจเพียงใด พวกเราจึงอุบข้อมูลต่างๆ พวกนีเ้ ป็นความลับทีส่ ดุ และกว่าจะมาเป็นรูปเล่ม หรือ ebook ให้ทุกท่านได้อ่านกันนี้ ต้องเจอปัญหาและอุปสรรคมากมาย ไม่ว่าจะเป็นบท ความที่ลงซึ่งยังไม่เยอะมากพอ การออกแบบ ค่าใช้จ่ายในการดำเนินการต่างๆ แต่อย่างไรก็ตาม ทางทีมงาน CITEC ก็ได้ฝา่ ฟัน และปรับปรุงผลงานทีค่ ดิ ว่าดีอยูแ่ ล้วให้ดที สี่ ดุ เท่าทีจ่ ะเป็นไปได้ จนในทีส่ ดุ ก็สามารถนำผลงานมานำเสนอท่านผูอ้ า่ นได้ในทีส่ ดุ และด้วยเหตุนเี้ อง จึงถือว่ามันคือ “วิวฒ ั นาการ” จริงๆ โดยเฉพาะสำหรับในวงการ Computer Security บ้านเรา ที่ยังไม่มีนิตยสารเล่มใดที่นำเสนอข้อมูลทางด้านนี้โดย เฉพาะ และไม่วา่ ผลการตอบรับครัง้ นีจ้ ะเป็นเช่นไร ทีมงาน CITEC ของเราจึงหวังเป็นอย่างยิง่ ว่า การเผยแพร่ความรู้ ในครั้งนี้ภายใต้ชื่อ Hackazine จะเป็นประโยชน์ต่อผู้อ่านบ้างไม่มากก็น้อย ขอเสริมอีกเลยน้อยว่าโครงการนี้ได้ริเริ่มกันมาตั้งกลางปี 2552 ที่ผ่านมา ถึงตอนนี้น่าจะครบปีเศษๆ ที่โครงการ Magazine ได้ดำเนินการมา ดังนัน้ เพือ่ ให้ผอู้ า่ นได้ประโยชน์สงู สุดจาก Magazine ฉบับนีอ้ ยากจะทำการชีแ้ จงดังนี้ 1. นิตยสารฉบับนี้มีเป้าหมายในการส่งเสริมให้ ผู้ใช้งาน Internet และ คอมพิวเตอร์ รวมถึงผู้ดูแลบริหารระบบ และผู้เกี่ยวข้อง ได้รับทราบถึงภัยอันตรายของช่องโหว่ต่างๆ ที่เหล่ามิจฉาชีพอาจนำไปใช้ฉ่อโกง ดังนั้น นิตยสาร ฉบับนี้จึงมีเพื่อให้ผู้อ่านได้รู้เท่าทันและป้องกันภัยต่างๆ เหล่านั้น 2. ช่องโหว่ใดๆ ที่นำเสนอในนิตยสารฉบับนี้ ล้วนได้มีการอุดรอยรั่วเหล่านั้นแล้วแทบทั้งสิ้น ดังนั้นจึงมั่นใจได้ ระดับหนึ่งว่า ข้อมูลเหล่านั้นจึงปลอดภัยในการเผยแพร่สู่สาธารณะ 3. หากมีเนื้อหาส่วนหนึ่งส่วนใด มีข้อความไม่เหมาะสมหรือเป็นอันตรายพาดพิงถึงหน่วยงานหรือองค์กรของ ท่านในทางที่ไม่เหมาะสม โปรดติดต่อทีมงานได้ที่ http://citecclub.org/contact 4. ทาง CITEC ขอปฏิเสธความรับผิดชอบใดๆ ที่จะเกิดขึ้น หากท่านนำข้อมูลส่วนใดหรือส่วนหนึ่งของนิตยสาร เล่มนี้ไปใช้ในทางที่ผิด 5. หากท่านสมาชิกต้องการเสนอแนะใดๆ เกี่ยวกับนิตยสาร สามารถแนะนำได้ที่ http://idea.citecclub.org สุดท้ายนี้ หวังเป็นอย่างยิง่ ว่า การร่วมแรงร่วมใจของทีมงาน CITEC ครัง้ นี้ จะมีสว่ นผลักดันให้วงการ Computer Security ของบ้านเรา มีมาตรฐานความปลอดภัยที่สูงขึ้น อันจะช่วยลดโอกาสที่เหล่ามิจฉาชีพจะก่อความเสียหาย ให้กับสังคมได้ไม่มากก็น้อย และแม้ว่านักเขียนและท่านได้ทุ่มเททั้งแรงกายและมันสมองทุ่มเทในผลงานชิ้นนี้มากเพียงใด ก็ คงอาจจะ มีข้อผิดพลาดใดๆ เกิดขึ้นบ้าง ดังนั้นทีมงาน CITEC จึงขอกราบขออภัยในความผิดพลาดดังกล่าวไว้ ณ. ที่นี้ด้วย Asylu3 บรรณาธิการบริหาร


CITEC SERVICES 1.

บริการจัดหลักสูตรอบรมและสัมมนาทางวิชาการด้าน IT และ Computer Security

2.

เผยแพร่ความรู้ทางด้าน Computer Security ทางนิตยสารภายใต้ชื่อ Hackazine

3.

บริการตรวจสอบช่องโหว่และออกแบบระบบความปลอดภัยของ Website และ Application ต่างๆ

4.

บริการติดตั้งและวางระบบเครือข่าย Internet ทั้งแบบมีสายและไร้สาย สำหรับอาคารสำนักงาน หรือที่พักอาศัยต่างๆ

5.

พัฒนาและออกแบบระบบ Website และ Application พร้อมทั้งบริการส่งเสริมทางการตลาด SEO

6.

บริการให้เช่าพื้นที่ในการทำเว็บไซต์ (Web hosting) และ ให้เช่าระบบ Server เสมือน (VPS Hosting)

7.

ออกแบบระบบโทรศัพท์แบบ VoIP และระบบตู้สาขาโทรศัพท์อัตโนมัติผ่าน Internet (IP-PBX)

8.

ให้บริการและติดตั้งระบบประชุมทางไกลผ่าน Internet

องค์กรยุคใหม่ ที่พร้อมจะคืนกำไรสู่สังคม CITEC Evolution Co., Ltd 12/51 ซ.อินทามะระ 33 ถ.วิภาวดีรังสิต แขวงดินแดง เขตดินแดง 10320 Tel: 0-2691-7908 Fax: 0-2691-7908 http://citecclub.org Email: http://citec.us/contact


Company Profile ::

Who are we? CITEC ได้ก่อตั้งครั้งแรกเมื่อปี 2543 ในฐานะชุมนุมคอมพิวเตอร์ ประจำภาควิ ช า โดยกลุ่ ม นั ก ศึ ก ษาภาควิ ช า วิ ท ยาการคอมพิ ว เตอร์ (หลักสูตรภาษาอังกฤษ) ณ คณะเทคโนโลยีสารสนเทศ มหาวิทยาลัย เทคโนโลยีพระจอมเกล้าธนบุรี โดยมีเป้าหมายคือ การเผยแพร่ความรู้ ทางด้าน Computer และได้ดำเนินกิจกรรมมาอย่างต่อเนื่องผ่านทางการ อบรม และเผยแพร่ความรู้ผ่านทางเว็บไซต์ CITEC ได้ แ ยกตั ว ออกมาดำเนิ น การโดยอิ ส ระในปี 2548 ซึ่ ง ปั จ จุ บั น ได้ มุ่ ง เน้ น การเผยแพร่ ค วามรู้ ท างด้ าน Computer Security เป็นพิเศษ โดยมีทีมวิทยากรผู้เชี่ยวชาญจากหลากหลายสถาบันเข้ามา ร่วมงาน อาทิเช่น จุฬาลงกรณ์, เกษตรศาสตร์, พระจอมเกล้าฯ ธนบุรี, พระจอมเกล้ า ฯพระนครเหนื อ , พระจอมเกล้ า ฯ ลาดกระบั ง และ ธรรมศาสตร์ ในปี 2553 ทางชุมนุม CITEC ได้ดำเนินการจดทะเบียนเป็นบริษทั จำกัด ภายใต้ชื่อ บริษัท CITEC Evolution จำกัด โดยมีเป้าหมายหลักในการ ดำเนินธุรกิจ ทีจ่ ะมุง่ มัน่ ส่งเสริมความรูแ้ ละทักษะให้กบั บุคคลากรทางด้าน IT ในประเทศไทย ให้มีความรู้ทางด้าน Computer Security ให้มากขึ้น ขณะเดียวกันก็ยังมีผลงานการตีพิมพ์ และบริการอื่นๆ ควบคู่ไปด้วยดังนี้

6


บริการอื่นๆ ของบริษัท

1. บริการจัดหลักสูตรอบรมและสัมมนาทางวิชาการด้าน IT และ Computer Security 2. เผยแพร่ความรู้ทางด้าน Computer Security ทางนิตยสารภายใต้ชื่อ Hackazine 3. บริการตรวจสอบช่องโหว่และออกแบบระบบความปลอดภัยของ Website และ Application ต่างๆ 4. บริการติดตั้งและวางระบบเครือข่าย Internet ทั้งแบบมีสายและไร้สาย สำหรับอาคารสำนักงาน หรือที่พักอาศัยต่างๆ 5. พัฒนาและออกแบบระบบ Website และ Application พร้อมทั้งบริการส่งเสริมทางการตลาด SEO 6. บริการให้เช่าพื้นที่ในการทำเว็บไซต์ (Web hosting) และ ให้เช่าระบบ Server เสมือน (VPS Hosting) 7. ออกแบบระบบโทรศัพท์แบบ VoIP และระบบตู้สาขาโทรศัพท์อัตโนมัติผ่าน Internet (IP-PBX) 8. ให้บริการและติดตั้งระบบประชุมทางไกลผ่าน Internet

ตัวอย่างพนักงานและนักศึกษาที่สังกัดบริษัทและหน่วยงานต่างๆ ที่เคยเข้าอบรมกับ CITEC 1. ธนาคารกรุงศรีอยุธยา 2. บริษัท PTT ICT 3. สถานีวิทยุโทรทัศน์แห่งประเทศไทย กรมประชาสัมพันธ์ 4. บริษัท บางกอกแอร์เวย์ 5. ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) 6. บริษัท แอดวาซ์อินโฟ เซอร์วิช (AIS) 7. บริษัท G-ABLE Co., Ltd 8. บริษัท แอ็ดวานซ์อินฟอร์เมชั่นเทคโนโลยี จำกัด (AIT ICT Solution) 9. บริษัท Thomson Reuters 10. บริษัท DST International 11. บริษัท OpenFace 12. บริษัท Mobilis Automata 13. บริษัท Mappoint Asia 14. บริษัท Hamoniuos 15. บริษัท Dotography 16. บริษัท Teleinfo Media 17. สำนักงานตำรวจแห่งชาติ 18. สำนักงานสาธารณะสุขจังหวัดสมุทรปราการ 19. Infomax System Solutions & Services Co., Ltd. 20. INET Co., Ltd

7


ภาพบรรยากาศการอบรมและสัมมนาที่สำคัญของ CITEC

27 สิงหาคม 2553 : บรรยายให้ความรู้ด้าน Computer Security (ณ. มหาวิทยาลัยราชภัฏจันทรเกษม)

26 สิงหาคม 2553 : ทีมงาน CITEC รับหน้าที่ออกแบบระบบการแข่งขัน Network Securiy ในงาน IT Open House 2010 (ภาควิชาเทคโนโลยีสารสนเทศ ณ. สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง)

8


14 พฤศจิกายน 2552 : Network Security Day ครัง้ ที่ 3 (คณะ วิศวกรรมคอมพิวเตอร์ ณ มหาวิทยาลัยเกษตรศาสตร์ วิทยาเขต ศรีราชา)

31 ตุลาคม 2552 : Top Hacker’s Secret 2009 ครั้งที่ 1 (ณ มหาวิทยาลัยหอการค้าไทย)

9


28 สิงหาคม 2552 : ทีมงาน CITEC รับหน้าที่ออกแบบระบบการแข่งขันการเจาะระบบ ในงาน IT Open House 2009 (ภาควิชาเทคโนโลยีสารสนเทศ ณ. สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง)

13 สิงหาคม 2552 : อบรมหลักสูตร Web Application (In) Security ครั้งที่ 3 ณ มหาวิทยาลัยหอการค้าไทย

10


26 กรกฎาคม 2552 : อบรมหลักสูตร Wireless Network (In) Security ครั้งที่ 2 ณ มหาวิทยาลัยหอการค้าไทย

20-21 มิถุนายน : หลักสูตร Reverse Code Engineering ครั้งที่ 1 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม

11


16 พฤศจิกายน : จัดสัมมนา CITEC-CON ครั้งที่ 2 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม

29 มีนาคม : จัดสัมมนา CITEC-CON ครั้งที่ 1 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม 12


ประวัติการจัดอบรมสัมมนา 2010

• 8 May : หลักสูตร Wireless Network (In) Security 101 ครั้งที่ 3 ณ มหาวิทยาลัยเกษตรศาสตร์ • 24-25 April : หลักสูตร Web Application (In) Security 101 ครั้งที่ 4 ณ มหาวิทยาลัยเกษตรศาสตร์ • 8,15, 20 Feb: หลักสูตร E-commerce สำหรับนักศึกษาภาควิชาการตลาด ณ มหาวิทยาลัยหอการค้าไทย • 12 Jan 2010: รับเชิญเป็นอาจารย์พิเศษ วิชา Advanced Operating System สำหรับนักศึกษาภาควิชาวิทยาการ คอมพิวเตอร์ มหาวิทยาลัยธรรมศาสตร์

2009

• 16 Nov: เข้าร่วมบรรยาย Network Security Day ครั้งที่ 2 ณ มหาวิทยาลัยเกษตรศาสตร์ วิทยาเขตศรีราชา • 28 Aug: ออกแบบระบบการแข่งขัน้ Hacking Competition for IT Day ณ สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง • 8-9 Aug: หลักสูตร Web Application (In) Security 101 ครั้งที่ 3 ณ มหาวิทยาลัยหอการค้าไทย • 26 July: หลักสูตร Wireless Network (In) Security 101 ครั้งที่ 2 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม • 20-21 June: หลักสูตร Reverse Code Engineering ครั้งที่ 1 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม • 22-23 May: เข้าร่วมบรรยายในงาน Barcamp BKK ครั้งที่ 3 ณ มหาวิทยาลัยศรีปทุม • 2 May: หลักสูตร Wireless Network (In) Security 101 ครั้งที่ 1 ณ มหาวิทยาลัยศรีปทุม • 21-22 Mar: จัดอบรม Web Application (In) Security 101 ครั้งที่ 2 ณ มหาวิทยาลัยศรีปทุม • 28 Feb: เข้าร่วมบรรยายในงาน Think Camp ณ จุฬาลงกรณ์มหาวิทยาลัย • 31 Jan - 1 Feb: จัดอบรม Web Application (In) Security 101 ครั้งที่ 1 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม

2008

• 18 Dec: จัดบรรยายเรือ่ ง Become a billionaire with Google Adsense ณ มหาวิทยาลัยเกษมบัณฑิต (วิทยาเขต พัฒนาการ) • 16 Nov: จัดสัมมนา CITEC-CON ครั้งที่ 2 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม • 17 Aug: เข้าร่วมบรรยาย Network Security Day 2008 ณ มหาวิทยาลัยเกษตรศาสตรศรีราชา • 29 Mar: จัดสัมมนา CITEC-CON ครั้งที่ 1 ณ ศูนย์อบรม NECTEC ตึกมหานครยิบซั่ม

13


2007

• 19-22 April: หลักสูตร Network and Router Configuration ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี

2006

• 17 Oct: หลักสูตร Introduction to Fedora ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี

2004

• 17 Oct: หลักสูตร Java Programming ครั้งที่ 1 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี • 16 Oct: หลักสูตร Python Programming ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี

2003

• 10 Dec: หลักสูตร Java Programming ครั้งที่ 3 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี • 23 Aug: หลักสูตร Java Programming ครั้งที่ 2 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี • 19 Apr: หลักสูตร Java Programming ครั้งที่ 4 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี • 17 Mar: หลักสูตร J2ME Programming ครั้งที่ 1 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี • 13 Jun: หลักสูตร Python Programming ครั้งที่ 1 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี

2002

• 30 Nov: หลักสูตร Web Design ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี • 15-19 May: หลักสูตร C++ Programming ครั้งที่ 2 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี

2001

• 18-19 May: หลักสูตร C++ Programming ครั้งที่ 1 ณ มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี *ปล. หลักสูตรและการสัมมนาอื่นๆ สามารถติดตามได้ทาง http://citecclub.org

14


รายละเอียดเพิ่มเติม Q: คำว่า CITEC หมายถึงอะไร? A: Computer and Information Technology Evolution Club

แปลเป็นไทยว่า ชุมนุมความก้าวหน้าทางวิทยาการคอมพิวเตอร์ และสารสนเทศ

Q: CITEC ออกเสียงว่าอย่างไร? A: ไซ-เทค Q: ให้บริการเผยแพร่ความรู้แก่ใครบ้าง? A: อดีต เราเริ่มต้นจากในรั้วมหาวิทยาลัย แต่จะเผยแพร่ความรู้

ไปสู่บุคคลภายนอกให้มากที่สุดเท่าที่กำลังของพวกเราจะทำได้ ไม่เกี่ยงสถาบัน อายุ เพศ และวัย ปัจจุบนั มุง่ หมายให้คน IT ในสังคมไทยได้รเู้ ท่าทันเล่หเ์ หลีย่ มต่างๆ ของผู้ไม่หวังดี ให้บริการทั้งคนไทยและต่างประเทศ

Q: เว็บหลักของ CITEC คืออะไร? A: http://citecclub.org Q: CITEC ดำเนินกิจกรรมเผยแพร่ความรู้หลักๆ อะไรบ้าง? A: CITEC ดำเนินกิจกรรมดังต่อไปนี้

1. เผยแพร่ความรู้ด้าน Computer ต่างผ่านทาง http://citecclub.org 2. จัดสัมมนาวิชาการภายใต้ชื่อ CITEC-CON (http://citecclub.org/citec_con) 3. จัดอบรม Workshop ด้าน computer security (http://citecclub.org/workshop) 4. เผยแพร่ความรู้ทางด้าน Computer Security ในรูปแบบ E-Magazine ภายใต้ชื่อ Hackazine

Q: สามารถชมภาพกิจกรรมต่างๆ ได้ที่ใด? A: http://citecclub.org/gallery Q: สามารถติดต่อ CITEC ได้ทางใด? A: ติดต่อบริษัทโดยตรงได้ที่ 02-6917908 สนทนาสด

หรือฝากข้อความได้ที่ http://citecclub.org/contact

CITEC Evolution Co., Ltd 12/51 ซ.อินทามะระ 33 ถ.วิภาวดีรังสิต แขวงดินแดง เขตดินแดง 10320 Tel: 0-2691-7908 Fax: 0-2691-7908 http://citecclub.org Email: http://citec.us/contact 15


Çѹ¹Õ้¼Á¨Ð¾Ù´¶Ö§àÃ×่ͧ·Õ่·‹Ò¹¼ÙŒÍ‹Ò¹ËÅÒÂæ ·‹Ò¹ ÍÒ¨¨ÐäÁ‹¤‹Í ¤ØŒ¹à¤Â ᵋÁÕ¡ÒÃ㪌§Ò¹¡Ñ¹Í‹ҧá¾Ã‹ËÅÒº¹âÅ¡Í͹䬏 ¹Ñ่¹¡็¤×Í àÃ×่ͧ¢Í§ä¿Å crossdomain.xml ¹Ñ่¹àͧ

Linux Security :: Wireless Security :: Wireless Security ::

·È¾Å ºØÞ¾ÅÍ | Oramunduot

Windows Security :: ¾ÕóѰ ÂÔ觾Ѳ¹Êع·Ã

ÊØàÁ¸ ¨ÔµÀÑ¡´Õº´Ô¹·Ã | Materaj

ปรับ

ÊÁÊ¡ØŠǧɏàÊÃÔÁÈÃÕ | LordBSD

ผมโดนคดีหมิน่ !

How To Catch สรางจากเรื á¡ÐÃÍ Hacker ´ŒÇÂWi-Fi Ha cke่อrงจริง Based on true story

Linux ใหปลอ

บทความนี้ผมเขียนเพื่อมือใหม เนื่องจากทุกวันนี้ เทคโนโลยี Wireless กำลังกลายเปน “เครื่องที่มีทุกบาน” เทานั้นไมพอ ยังมีระบบ 3G + Wireless Router แลวดวย ใสซิมมือถือเลนกันมันส ไปเลย เมื่อความสะดวกสบายมีมากขึ้น ใครจะฉุกคิดบางวา ก็อาจมี ใครสักคนขอแจมใชของเรา ซึ่งไมเปนไร เรามันก็คนมีน้ำใจ ของดีก็แบงกันใช แตมันไม ใชแคนั้น หากเขาใช ในทางทีเป่ ไมนชระบบที อบขึ่ ้นมาเมื่อไร เราอาจกลายเปนผูตองสงสัย คดีหมิ่น โดยไมรูตัว ระบบเครือขายไวรเลสหรือระบบเครือขายแบบไรสาย (Wireless Networks)

วิธีตรวจจับแฮกเกอรบนเครือขายไรสาย

40

พัฒนาขึ้นมาไดนาสนใจเปนอยางมากครับ เพราะชวยใหเราสามารถจัดการกับระบบเครือขาย ตางๆ ที่มีความยุงยากซับซอน ไดอยางงายดาย โดยไมตองมีการใชสายเลย แตอยางไรก็ตาม หากไมมีความระมัดระวังในขั้นตอนการติดตั้ง ก็อาจทำใหบุคคลอื่น สามารถแอบเขามาใชงาน ทั้งๆ ที่คุณไมตองการก็เปนไดครับ

46

Hac

ณ ชั่ ว โมงนี้ ค น IT หรื อ คนที่ ช อบติ ด ตามข า วสารเรื่ องราวต า งๆ อย า ง up-to-date นั้ น นอยคนนักที่จะไมรูจัก Twitter ซึ่งถาหากมีการเปรียบเทียบ Twitter แลวนั้น Twitter นั้นก็ เปรี ย บได เ หมื อ นกั บ เป น การตะโกนผ า นเว็ บ ตั ว เอง เพื่ อ ให ผู อื่ น หรื อ บุ ค คลที่ ไ ด รั บ อนุ ญ าต ไดรับรูนั่น เอง ซึ่งพูดไดวาเปนชองทางการสื่อสารแบบใหมชองทางหนึ่ง ซึ่งเหมาะสำหรับการ กระจายขาวดวยขอความสัน้ ๆ ไมเกิน 140 ตัวอักษร ซึง่ หากเปน Link URL ทีม่ ขี อ ความมากกวา 140 ตัวอักษร ก็จะมีการสราง Shorten URL ใหโดยอัตโนมัติเพื่อใหเหมาะตอการใชงานภายใน Twitter

40

เรื่อง Log เปนเรื่องใกลตัวที่หลายคนมองขาม จริงๆ แลวมันมีอะไร มากกวาขอความที่ถูกบันทึกไว เรากำลังโดน brute force หรือ ถูก remote control หรือผูไมประสงคดีกำลังพยายามปลอมตัว เปนเราอยูหรือไม เรามาดูกันวาตองดูอยางไรถึงจะรูเทาทันและปองกัน ตัวไดทันเวลา

§Ò¹µÔ´µÑ้§à«ÔÏ¿àÇÍ server, SQL Se µÑ้§¤‹Ò¤Í¹¿¡ãËŒÁ Performance ¡ÒÃÊÌҧÃкº¤Ç

46

58

64

58

ตี 4 ของวันหนึ่ง ดีเอสไอ (ตำรวจสืบสวนพิเศษ) ไดแบงทีมออกเปน 2 ชุด, ชุดแรกไปที่บานผม และชุดที่ 2 ไปที่ทำงานผม แตเผอิญวันนั้นผมไมอยูบาน และไมไดไปที่ทำงาน นองชายของผมจึงรีบโทรมาบอกใหผมรูตัว และอยาเพิ่งกลับบาน หึหึ ผมไดแตงงวา เกิดอะไรขึน้ หวา เราไมเคยไปโพสทีไ่ หน เราอาจจะเคยอาน แตกม็ เี มาทกบั เพือ่ นบาง หรือวาพวกตำรวจเขาแอบอาน MSN เรา *0* หลังจากไดเขาเจรจา ผมยอมใหทางตำรวจคนอยูนาน คนทุกซอกทุกมุม คุณตำรวจก็แจงวา Wireless ผม ไมไดปองกัน อะไรเลย *0* ซึ่งอาจเปนสาเหตุใหคนบริเวณนั้น แอบใชเน็ตของผมไปในทางผิดกฏหมาย ความซวยไมเขาใครออกใคร เนื่องจากผมใหความรวมมือ จึงไมตองไปนอนในคุก ดังนั้นแลว จึงอยากฝากบทความเรื่อง Wireless ใหอานกันนะครับ

70

86

64

70

Company Profile • ประวัติความเป็นมาของ CITEC 6

86

News • CITEC News 18

Web Security • เจาะ Facebook, myspace ด้วยไฟล์ flash 40 • เจาะรหัส Twitter ด้วย XSS 46

Wireless Security • วิธีตรวจับ Hacker บนเครือข่ายไร้สาย 58 • ผมโดนดคีหมิ่น 64

Window Security • แกะรอย Hacker ด้วย Window Log 70

Application Security • crack ก่อนโดน crack 82

Linux Security • ปรับแต่ง Linux Server ให้ปลอดภัยจาก Hacker 86


Malware & Virus ::

คุณโดนหลอก

àÁ¸Õ¡ØÅ à¨ÕÂÏÇѲ¹Ò¹¹· | Akira

ดวย Social Engineering รึเปลา? Social Engineering คืออะไร? ปจจุบันนี้ Hacker มีเทคนิควิธีการ หลอกเอาขอมูลจากคุณมาไดอยางไร? และองคกรของคุณ จะมีวิธีการ ปองกันกลอุบายเหลานี้อยางไร? บทความนี้ จะเปนการแนะนำวา “คุณ” จะหยุดยั้ง Social Engineering ไดดวยวิธี ใด

Security Stories ::

92

GRAY HAT ชื่อ : Kevin Mitnick ฉายา : หมวก : Gray Hat

122

เขาคือตัวอยางของบุคคลทีเ่ ปนทัง้ แฮกเกอร และ แครกเกอร ในคนๆ เดียวกัน ในชวงวัยรุน เขาไดกอ คดีเอาไวอยางมากมาย เชน การเจาะระบบโทรศัพท การสรางโปรแกรมขโมยรหัสผาน ดาวนโหลดซอฟแวรที่มีลิขสิทธิ์คุมครองอยางผิดกฎหมาย และปรับเปลีย่ นแกไขขอมูลอืน่ ๆ ซึง่ คิดเปนมูลคาความเสียหาย จำนวนหลายพันลานดอลลารสหรัฐ พฤติกรรมของเขาในวัย หนุมเปนพฤติกรรมอยากรูอยากเห็นและอยากศึกษาทดลอง โดยทีไ่ มคาดคิดวาเปนสิง่ ทีผ่ ดิ แตอยางใด จนกระทัง่ ในป 1995 ทาง FBI จึงสามารถตามจับเขาได โดยใชเวลานานกวา 3 ป และเขาตองโทษจำคุกเปนเวลา 5 ป

ÇÃÇØ²Ô ÊÒºÑÇ | Pearless

116

เสนทางสูสุดยอด INFOSEC Whitehat Hacker ÍÒªÕ¾·Õè Hacker 116

µÅÍ´ª‹½ Ò 10 »‚·Õ่¼‹Ò¹ÁÒ Ç§¡ÒÃÃкºÃÑ¡ÉÒ¤ÇÒÁ ã½ ˜¹130 › ǧÃÐÂÐàÇÅÒ¡Ç‹ »ÅÍ´ÀÑÂä´Œ¡ŒÒǼ‹Ò¹àÊŒ ¹·Ò§·Õ่àµ็Áä»´ŒÇ¼ٌ»ÃÐʧ¤ÃŒÒÂÃÒÂÃͺ

Ãкºà¤Ã× Í ¢‹ Ò Â äÁ‹ Ç‹ Ò ¨Ð໚ ¹ ͧ¤ ¡ â¹Ò´àÅ็ ¡ ·Õ่ ÁÕ à ¤Ã×่ Í §ã¹Ãкº

หลังจากที่เขาถูกปลอยตัวเปนอิสระในป 2000 เขายัทุงกถูคนมี ก ความกลัว ไมสิ่งใดก็สิ่งหนึ่ง à¤Ã×Í¢‹ÒÂà¾Õ§äÁ‹¡Õ่à¤Ã×่ͧ 仨¹¶Ö§Ãкºà¤Ã×Í¢‹Ò·Õ่ãËÞ‹·Õ่ÊØ´ã¹âÅ¡ ศาลสั่งทำทัณฑบน โดยการหามออนไลน และหามออกนอก อะไรจะเกิ ดขึ้นหากคุณ¹เปàµÍÏ นหัวหนàา¹็ ของหน 1 การส งอีเมล อบแฝงที เสมืàอÊŒนกั ขอ ่ ¤×ÍÃкºÍÔ µ ·Õวยงาน ่ÁÕ¼ÙŒ¤¹¼ÅÑ ´à»ÅÕ ่Âแ¹¡Ñ ¹à¢Œ่จัดÒทำให ÁÒ㪌 ¹บ·Ò§·Õ FBI และคุณเกือบตกเปนเหยื่อของการลอลวงแบบที่ ความที่นาเชื่อถือจากสถาบันการเงิน หรือ องคกร อาทิ เขตเซาธแคลิฟอรเนียสหรัฐอเมริกา เรียกวาàª× “Phishing” คุ·Ø ณคงถู กภรรยาสั ่งหามไม ใÂห§á¤‹ ใช »ÅÒÂ¹Ô เชน ธนาคาร หรือ บริษัทบัตรเครดิต Í ่ Á·Ñ Ç ่ ¡ ÁØ Á âÅ¡ä´Œ à ¾Õ Ç ้ Click!! ในป จ จุ บั น เขาได หั น กลั บ มาใส ห มวกขาว (WhiteInternet hatBanking และคุณคงนำทีม FBI ไปสูการสืบ 2 เนนขอความที่นากลัวและนาเปนหวง เพื่อใหผู สวนอาชญากรไซเบอรครั้งยิ่งใหญที่มีชื่อวา “Operation เสียหายรูสึกวามีเหตุการณนาวิตกเกิดขึ้น และจำเปน Hacker) แลว โดยเขามีบริษัทเปนของตัวเองชื่อ Defensive Phish Phry” เพื่อตามลาหาโจรที่สมควรรับผิดชอบ และ ตองดำเนินการทันที มิเชนนั้นอาจนำมาซึ่งความสูญเสีย ของทรัพยสินหรือบัญชี นั่นก็คือเรื่องจริงที่เกิดขึ้นกับหัวหนาหนวยงาน FBI Thinking ซึ่ ง ดำเนิ น ธุ ร กิ จ เกี่ ย วกั บ Security บนระบบ Mr. Robert Mueller เมื่อ Mr. Robert เผยถึงเหตุการณที่ คอมพิ ว เตอร และรั บ เผยแพร ค วามรู เ กี่ ย วกั บ ระบบรัเกิกดขึษา เรียนทานลูกคาคนสำคัญของธนาคาร xxxxx ้นกับตัวเขาเอง ผมไมแปลกใจเลยแมแตนอย ผม เนือ่ งจากธนาคารไดรบั แจงในระบบวาคุณพยายามจะ จะเตือนผูรวมงานอยูเสมอวาไมมีใครที่ภัยคุกคาม ความปลอดภัยตางๆ ใหกับหนวยงานที่ตองการ รวมถึมัของโลกไซเบอร งกการ ถอนเงินจากบัญชีสะสมทรัพย ในขณะอยูตางประเทศ จะเขาไมถึง ไมมีการยกเวนแมกระทั่ง เขียนหนังสือเกี่ยวกับการรักษาความปลอดภัยดวย บริษัทดาน IT Security องคกรเพื่อการกุศล หรือแม เปนจำนวนเงิน $ 135.25

136

กระทั่ง รัฐบาลเอง ซึ่งเหตุการณของ Mr. Robert คือ ตัวอยางที่ดี วาแตอะไรคือ Phishing Phishing คือวิธีการลอลวงที่ซับซอนและแยบยล โดยที่ผูไมประสงคดี ที่จะมาลอลวงใหคุณเปดเผยขอมูล สวนตัวตางๆ เชน ขอมูลบัตรเครดิต ขอมูล Login ของ บัญชีธนาคาร Pin Number และอื่นๆ โดยมีความ แตกตางจาก 419Scam ที่เปนเพียงการลอลวงใหเหยื่อ หลงเชื่อไปกับความฝนถึงเงินลาน Phishing จะใช กลยุทธในการสรางความกลัว เพื่อใหบรรลุถึงเปาหมาย รายละเอียดของ Phishing สามารถแจกแจงเปน 4 ขั้นตอนดังนี้

Malware & Virus

หากขอมูลดังกลาวไมถูกตอง อาจหมายถึงมีบุคคล ที่นาสงสัยพยายามเขาถึงบัญชีของคุณ เพื่อความ ปลอดภัย กรุณาตอบกลับทาง link ดานลางนี้เพื่อ ยืนยันขอมูล ในลำดับตอไป ธนาคารจะกระทำการ แกไขขอบกพรอง และขอผิดพลาดโดยดวน ทาง ธนาคารขอขอบคุณที่ทานใหความไววางใจในบริการ มาตลอด

140

ดวยความเคารพ ธนาคาร xxxxx

• 10 ขั้นตอนพิชิตไวรัสอย่างมืออาชีพ 92

WHITE HAT ชื่อ : Tsutomu Shimomura ฉายา : หมวก : White Hat

เมื่อCryptography

132

หนวยงานนี้มีหนาที่วางระบบเพื่อปกปองคุมครองระบบ สารสนเทศภายในองคกรใหปลอดภัยจากภัยคุกคามทุก รูปแบบ และจะตองรับผิดชอบในการตรวจจับแฮกเกอร และ กูระบบหากระบบสารสนเทศถูกโจมตี เพื่อใหกลับคืนสภาพ ขึ้นมาใหบริการไดตามปกติโดยเร็วที่สุด มีหลายคำถามจากนักเรียน นักศึกษา หรือบุคคลทั่วไปวา ผมกำลังแนะนำอาชีพดานไอทีอีกหนึ่งสาขาใหทุกทาน ตองการทำงานในสายงานดานความปลอดภัยระบบสารสนเทศ ได ร จ  ู ก ั เป น งานที ม ่ ภ ี ารกิ จ หลั ก ก็ ค อ ื ดู แ ลรั ก ษาความปลอดภั ย ควรจะเตรี กับ FBI ไลจบั Kevin Mitnick โดยใชการแกะรอยจากการดักจับยมตัวอยางไร เริ่มจากจุดไหน ในบทความนี้มี ใหกับระบบสารสนเทศขององคกร หนวยนี้เราเรียกสั้นๆ วา คำตอบสำหรับผูที่ตองการเตรียมตัวใหพรอมที่จะเริ่มตน สัญญาณโทรศั พทมอื ถือ ซึง่ ในตอนแรกเขาไดพบตำแหน งของ “INFOSEC” ซึ่งยอมาจากคำวา “Information Security” ทำงานในสายงานดังกลาว Mitnick ในบริเวณ136 Raleigh-Durham International Airport

ระบบสารสนเทศถือ เปนหัวใจสำคัญของ องคกร สวนแฮกเกอรคือภัยคุกคามรายแรง ที่ตองระวัง! และหนวยที่จะหยุดยั้งภัยคุกคาม ทั้งหลายไดก็คือ INFOSEC

ขั้นตอนพิชิตไวรัสอยางมืออาชีพ

• ย้อนรอยตำนานการเข้ารหัส 98

เขาคือสุดยอด White Hat Hacker สายเลือดเอเชียครับ เขาไดรบั ชือ่ เสียงอยางโดงดัง ในฐานะทีเ่ ขาไดรว มมือกับ John Markoff ในการชวยเหลือ FBI เพื่อไลจับสุดยอดแฮกเกอร 140 ชื่อกองโลกในยุคนั้น นั่นคือ Kevin Mitnick นั่นเอง Tsutomu หลังจากนั้น เขาไดทำการแกะรอยของ Mitnick จากสัญญาณ ทำงานเปนนักวิจัยอยูที่ SDSC (San Diego Supercomputer โทรศัพทตอมาจนกระทั่งพบตำแหนง Laptop ของ Kevin ที่ ซึ่งจริงๆ แลวสาเหตุที่เขาไดรวมมือกับ Markoff และ Apartment แหงหนึ่ง หลังจากที่ Kevin ถูกจับได เขาไดเขียน ÊÔCenter) ่§ÊÓ¤Ñ Þ»ÃСÒÃáá·Õ่¨Ðª‹Ç»‡Í§¡Ñ¹¡ÒõԴäÇÃÑʤÍÁ¾ÔÇàµÍÏãËŒÊÑÁÄ·¸Ô์¼Å ¡็¤×Í ¡ÒÃÁØ‹§ãËŒ¤ÇÒÁÃÙŒ FBI ก็เนื่องมาจาก Kevin ไดเขามาเจาะระบบเอาโปรแกรม หนังสือที่เปนเรื่องราวของการไลจับ Kevin Mitnick ซึ่งตอมา และอีเมลสำคัÒญã¨·Õ ของเขาไป วยความแค อ ไดáÅÐÀÑ ถูกนำมาสร ภาพยนตรÒเ§æ รื่อง Take Down´ดËÅÑ วย ¡Ç‹Ò µŒÍ§ãªŒ¡ÒÃÊ×่ÍÊÒ÷Õ่ࢌÒ㨧‹Ò ¤ÇÒÁࢌ ่¶Ù¡ดัµŒงนัÍน้ ด§à¡Õ ่ÂÇ¡Ñนเขาจึ ºÁÑงÅรวมมื áÇÏ ¤Øางเป¡น¤ÒÁµ‹ â´ÂÂÖ

Hackatips

• Hackintosh จับ Mac ลง PC 104

Security Stories

• คุ125 ณ ว¹ยáÅÐá¡Œ Social หรือเปล่า 116 áÅÐࢌҶ֧䴌·Ø¡¡ÅØ‹Á à¾×่ÍãËŒáÁŒáµ‹¤¹·Õ่àÃÔ่Á㪌¤ÍÁ¾ÔÇàµÍÏ ãËÁ‹โดนหลอกด้ æ ¡็ÊÒÁÒö»‡Í§¡Ñ »Þ ˜ ËÒäÇÃÑNetwork Êä´Œ ´ŒÇµ¹àͧ Å´ÀÒÃÐãËŒ¼´ ŒÙ áÙ ÅÃкºä´ŒÍ¡ Õ ´ŒÇ • คุณคือ Hacker แบบไหน? 122 92

• ความโลภความกลัวและความไม่เอาใจใส่ 130 • Infosec อาชีพที่ Hacker ใฝ่ฝัน 136 • เส้นทางสู่สุดยอด WhiteHat 140

Security Persons • ปัญหาภัยคุกคามทาง Internet ในมุมมองของตำรวจไซเบอร์ (ตอนที่ 1) 146

Citec Comics • เอา Facebook หนูคืนมา 156


Web Security ::

วิศวัชร์ อัศวเมนะกุล | Gen0type

เจาะ Facebook, Myspace ดวé ยไฟลì Flash วันนี้ผมจะพูดถึงเรื่องที่ท่านผู้อ่านหลายๆ ท่าน อาจจะไม่ค่อย คุ้นเคย แต่มีการใช้งานกันอย่างแพร่หลายบนโลกออนไลน์ นั่นก็คือ เรื่องของไฟล์ crossdomain.xml นั่นเอง

40


Web Security ::

สุเมธ จิจิตภักดีบดินทร์ | Materaj Materaj

ณ ชั่ ว โมงนี้ ค น IT หรื อ คนที่ ช อบติ ด ตามข่ า วสารเรื่ องราวต่ า งๆ อย่ า ง up-to-date นั้ น น้อยคนนักที่จะไม่รู้จัก Twitter ซึ่งถ้าหากมีการเปรียบเทียบ Twitter แล้วนั้น Twitter นั้นก็ เปรี ย บได้ เ หมื อ นกั บ เป็ น การตะโกนผ่ า นเว็ บ ตั ว เอง เพื่ อ ให้ ผู้ อื่ น หรื อ บุ ค คลที่ ไ ด้ รั บ อนุ ญ าต ได้รับรู้นั่น เอง ซึ่งพูดได้ว่าเป็นช่องทางการสื่อสารแบบใหม่ช่องทางหนึ่ง ซึ่งเหมาะสำหรับการ กระจายข่าวด้วยข้อความสัน้ ๆ ไม่เกิน 140 ตัวอักษร ซึง่ หากเป็น Link URL ทีม่ ขี อ้ ความมากกว่า 140 ตัวอักษร ก็จะมีการสร้าง Shorten URL ให้โดยอัตโนมัติเพื่อให้เหมาะต่อการใช้งานภายใน Twitter 46


Wireless Security ::

ทศพล บุญพลอย | Oramunduot

How To Catch Wi-Fi Hacker วิธีตรวจจับแฮกเกอร์บนเครือข่ายไร้สาย ระบบเครือข่ายไวร์เลสหรือระบบเครือข่ายแบบไร้สาย (Wireless Networks) เป็นระบบที่ พัฒนาขึ้นมาได้น่าสนใจเป็นอย่างมากครับ เพราะช่วยให้เราสามารถจัดการกับระบบเครือข่าย ต่างๆ ที่มีความยุ่งยากซับซ้อน ได้อย่างง่ายดาย โดยไม่ต้องมีการใช้สายเลย แต่อย่างไรก็ตาม หากไม่มีความระมัดระวังในขั้นตอนการติดตั้ง ก็อาจทำให้บุคคลอื่น สามารถแอบเข้ามาใช้งาน ทั้งๆ ที่คุณไม่ต้องการก็เป็นได้ครับ

58


Wireless Security ::

สมสกุล วงษ์เสริมศรี | LordBSD

ผมโดนคดีหมิน่ ! สร้างจากเรื่องจริง Based on true story

บทความนี้ผมเขียนเพื่อมือใหม่ เนื่องจากทุกวันนี้ เทคโนโลยี Wireless กำลังกลายเป็น “เครื่องที่มีทุกบ้าน” เท่านั้นไม่พอ ยังมีระบบ 3G + Wireless Router แล้วด้วย ใส่ซิมมือถือเล่นกันมันส์ ไปเลย เมื่อความสะดวกสบายมีมากขึ้น ใครจะฉุกคิดบ้างว่า ก็อาจมี ใครสักคนขอแจมใช้ของเรา ซึ่งไม่เป็นไร เรามันก็คนมีน้ำใจ ของดีก็แบ่งกันใช้ แต่มันไม่ ใช่แค่นั้น หากเขาใช้ ในทางที่ ไม่ชอบขึ้นมาเมื่อไร เราอาจกลายเป็นผู้ต้องสงสัย คดีหมิ่น โดยไม่รู้ตัว

ตี 4 ของวันหนึ่ง ดีเอสไอ (ตำรวจสืบสวนพิเศษ) ได้แบ่งทีมออกเป็น 2 ชุด, ชุดแรกไปที่บ้านผม และชุดที่ 2 ไปที่ทำงานผม แต่เผอิญวันนั้นผมไม่อยู่บ้าน และไม่ได้ไปที่ทำงาน น้องชายของผมจึงรีบโทรมาบอกให้ผมรู้ตัว และอย่าเพิ่งกลับบ้าน หึหึ ผมได้แต่งงว่า เกิดอะไรขึน้ หว่า เราไม่เคยไปโพสทีไ่ หน เราอาจจะเคยอ่าน แต่กม็ เี ม้าท์กบั เพือ่ นบ้าง หรือว่าพวกตำรวจเขาแอบอ่าน MSN เรา *0* หลังจากได้เข้าเจรจา ผมยอมให้ทางตำรวจค้นอยู่นาน ค้นทุกซอกทุกมุม คุณตำรวจก็แจ้งว่า Wireless ผม ไม่ได้ป้องกัน อะไรเลย *0* ซึ่งอาจเป็นสาเหตุให้คนบริเวณนั้น แอบใช้เน็ตของผมไปในทางผิดกฏหมาย ความซวยไม่เข้าใครออกใคร เนื่องจากผมให้ความร่วมมือ จึงไม่ต้องไปนอนในคุก ดังนั้นแล้ว จึงอยากฝากบทความเรื่อง Wireless ให้อ่านกันนะครับ 64


Windows Security :: พีรณัฐ ยิ่งพัฒนสุนทร

แกะรอย Hacker ด้วย

เรื่อง Log เป็นเรื่องใกล้ตัวที่หลายคนมองข้าม จริงๆ แล้วมันมีอะไร มากกว่าข้อความที่ถูกบันทึกไว้ เรากำลังโดน brute force หรือ ถูก remote control หรือผู้ไม่ประสงค์ดีกำลังพยายามปลอมตัว เป็นเราอยู่หรือไม่ เรามาดูกันว่าต้องดูอย่างไรถึงจะรู้เท่าทันและป้องกัน ตัวได้ทันเวลา

70


Application Security ::

กรินทร์ สุมังคะโยธิน | Tummy

ก่ อ นโดน “Serial Number”, “KeyGen” หรือ “Crack” เกิ ด มาเพื่ อ ปลดล็ อ กซอฟท์ แ วร์ ลิ ข สิ ท ธิ์ ให้ ใ ช้ ไ ด้ ฟ รี ๆ คำถามคือ ใครทำ? คำตอบคือ จะรู้ไปทำไม รู้แต่ว่า คนพวกนี้มีความรู้ทางด้าน Reverse Engineer เป็ น อย่ า งดี ฉะนั้ น หากคุ ณ เป็ น ผู้ ผ ลิ ต ซอฟท์ แ วร์ หรือนักพัฒนาโปรแกรมแล้วล่ะก็ ห้ามพลาดเรื่องนี้ เด็ดขาด

“นิยามขำๆ ของ Reverse Engineer ก็คือ วิศวกรรมส้มตำอร่อยเหาะ”

82

Reverse Engineer เรื่องนี้ตŒองขยาย

หลายๆ คนคงเคยได้ยนิ ประโยคว่า Reverse Engineering มาไม่มากก็น้อยนะครับ และก็คงมีจำนวนไม่น้อยเช่นกันที่ ไม่รวู้ า่ ไอ้ประโยคๆ นีม้ นั มีความหมายว่าอะไร และมีประโยชน์ อย่างไร Reverse Engineer หรือที่เรียกอีกอย่างหนึ่งว่า วิศวกรรม ย้อนกลับ, วิศวกรรมย้อนรอย, วิศวกรรมผันกลับ บลาๆๆ ตามแต่จะเรียกกันไป เป็นแขนงความรูท้ น่ี ำมาใช้ในการค้นหา โครงสร้าง หรือองค์ประกอบของสิ่งของสิ่งใดสิ่งหนึ่งที่ทำ ออกมาเสร็จสิ้นสมบูรณ์เรียบร้อยแล้วว่า มันทำจากอะไร ใช้อะไรทำออกมา และประกอบไปด้วยองค์ประกอบอะไร บ้าง ดังนั้น คำว่า Reverse Engineer นั้นจึงไม่ได้จำกัด อยู่ในแวดวงของซอฟท์แวร์เท่านั้น ยกตัวอย่างเช่น วันนึง ผมไปกินส้มตำซึ่งอร่อยอย่างแรง ผมจึงซื้อกลับมาวิเคราะห์ ที่บ้านหาองค์ประกอบจนได้ว่า ไอ้ส้มตำเจ้านี้ใส่ ปูเค็ม 2 ตัว พริก 3 เม็ด น้ำตาลปี๊บ 2 ช้อน น้ำปลา มะนาวอีกอย่างละ ช้อน อย่างนี้ก็เป็น Reverse Engineer ได้เช่นกัน (ฮา)


Linux Security ::

สุเมธ จิตภักดีบดินทร์ | Materaj

ปรับแต่ง

Linux Server ให้ปลอดภัยจาก

Hacker

งานติดตั้งเซิร์ฟเวอร์ต่างๆ ไม่ว่าจะเป็น Web Server, Mail server, SQL Server ฯลฯ เมื่อเสร็จภารกิจทางด้านการ ตั้งค่าคอนฟิกให้มันทำงานได้แล้ว ต่อด้วยการ Tuning Performance และภารกิจสุดท้ายที่สำคัญยิ่ง นั่นก็คือ การสร้างระบบความปลอดภัยให้กับเซิร์ฟเวอร์ครับ

86


Malware & Virus ::

เมธีกุล เจียร์วัฒนานนท์ | Akira

ขั้นตอนพิชิตไวรัสอย่างมืออาชีพ สิ่งสำคัญประการแรกที่จะช่วยป้องกันการติดไวรัสคอมพิวเตอร์ให้สัมฤทธิ์ผล ก็คือ การมุ่งให้ความรู้ ความเข้าใจที่ถูกต้องเกี่ยวกับมัลแวร์ และภัยคุกคามต่างๆ โดยยึดหลักว่า ต้องใช้การสื่อสารที่เข้าใจง่าย และเข้าถึงได้ทุกกลุ่ม เพื่อให้แม้แต่คนที่เริ่มใช้คอมพิวเตอร์ใหม่ๆ ก็สามารถป้องกันและแก้ปญ ั หาไวรัสได้ ด้วยตนเอง ลดภาระให้ผด ู้ แู ลระบบได้อกี ด้วย 92


Cryptography ::

สุทธาพงศ์ วราอัศวปติ | Retool2

ย้ตำนานการเ อ นรอย ขา้ รหัส

A cipher to encrypt a message เมื่อโลกแห่งนี้เต็มไปด้วยความลับ จึงก่อกำเนิดวิธีที่แยบยลในการ เก็ บ ข้ อ มู ล ในชั้ น ความลั บ นี้ ไ ว้ ด้ ว ยการเข้ า รหั ส เพื่ อ ปกปิ ด ความ หมายที่แท้จริง พร้อมซ่อนกุญแจไขรหัสไว้อย่างดี รหัสยิ่งซับซ้อน ข้ อ มูลก็ยิ่งปลอดภัย บทความนี้ผมจะพาทุกท่านย้อนรอยไปดู วิทยาการรหัสลับกันครับ

98


Hackatips ::

ชาติชาย ตัญญะเกตุ | Maxma

Hackintosh จับ Mac ลง PC เมื่อ Windows OS ยังสามารถติดตั้งลงบน เครื่อง Mac ได้ แล้วทำไม Mac OS จะติดตั้งบน PC ไม่ได้ล่ะครับพี่น้อง ประโยชน์นะหรือ หากรัน Windows OS บนเครื่อง Mac มัน Save security ในขณะที่การรัน Mac OS บน PC มัน Save money เวิร์คโครตๆ อย่างนี้ต้องลอง

104


Security Stories ::

ทศพล บุญพลอย

คุณ โดนหลอก Social Engineering

ด้วย

รึเปล่า?

Social Engineering คืออะไร? ปัจจุบันนี้ Hacker มีเทคนิควิธีการ หลอกเอาข้อมูลจากคุณมาได้อย่างไร? และองค์กรของคุณ จะมีวิธีการ ป้องกันกลอุบายเหล่านี้อย่างไร? บทความนี้ จะเป็นการแนะนำว่า “คุณ” จะหยุดยั้ง Social Engineering ได้ด้วยวิธี ใด

116


วรวุฒิ สายบัว | Pearless

คุณจะมั่นใจได้อย่างไร ว่าใครซักคน ที่นั่งเล่นเกมส์อยู่เก้าอี้ข้างๆ คุณ กำลังเล่นเกมส์ปลูกผักอยู่จริง ? คุณจะมั่นใจได้อย่างไร ว่าเพื่อนคุณ ที่กำลังหาข้อมูลรายชื่อหนังสือในห้องสมุดจากคอมพิวเตอร์ กำลังหาข้อมูลนั้นอยู่จริง ? คุณจะมั่นใจได้อย่างไร ว่าคนที่นั่งพิมพ์งานใต้ตึกเรียนในเย็นวันหนึ่ง กำลังตั้งใจพิมพ์งานนั้นอยู่จริง ? คุณจะมั่นใจได้อย่างไร ว่า Roommate ที่ดาวน์โหลดโปรแกรมเสริมมาติดตั้งในคอมพิวเตอร์นั้น เป็นโปรแกรมที่นำมาใช้ทำรายงานส่งอาจารย์จริงๆ ? ถ้าคุณเริ่มมีความไม่มั่นใจ เริ่มเกิดความหวาดหวั่นกับ พฤติกรรมของใครหลายคน รอบกายคุณ !

พวกเขาเหล่านั้น เป็นใคร? พวกเขาเหล่านั้น ทำอะไร? พวกเขาเหล่านั้น ทำไปเพื่ออะไร? ทุกบรรทัดต่อจากนี้ ! จะบอกกล่าว! ตีแผ่! ทุกเรื่องราว เกี่ยวกับตัวตนที่แท้จริงของพวกเขา ทุกอย่าง! ทุกการกระทำ! ทุกสิ่งที่พวกเขาทำ! เป้าหมายอันซ่อนเร้น! ลึกลับ ซับซ้อน! ในฉากหลังอันยุ่งเหยิง! กับคุณ !! นับถอยหลังสู่ความจริง ที่ใครหลายคนยังไม่รู้ จากวินาทีนี้ 122

ในโลกของระบบรักษาความปลอดภัยอันกว้างใหญ่ไพศาล ที่เกือบจะหาขอบเขตไม่ได้ มีบุคคลมากมายเข้ามาจับจอง เพื่อสร้างผลประโยชน์จากแหล่งขุมทรัพย์อันมหาศาลนี้ ใครบางคน? ทำเพื่ออยากจะทำให้ตัวเองเป็นผู้โด่งดังใน โลกไซเบอร์! ใครบางคน? มีเป้าหมายซ่อนเร้นในการกระทำการบาง อย่าง ? ใครบางคน? พยายามทุกวิถีทางเพื่อที่จะป้องกันการ กระทำของผู้โจมตีบนเครือข่ายใยแมงมุมอันกว้างใหญ่นี้ ! และนับจากตัวอักษรนี้ไป เราจะมาทำความรู้จักกับบุคคล ผู้ มี ตั ว ตนอยู่ เ บื้ อ งหลั ง อุ ป กรณ์ อิ เ ล็ ก ทรอนิ ก ส์ สุ ด อั จ ฉริ ย ะ แห่ ง ยุ ค อย่ า งคอมพิ ว เตอร์ ว่ า กลุ่ ม คนเหล่ า นี้ ที่ จ ริ ง แล้ ว เขาคือใครกัน ? และเขาทำอย่างนั้นไปเพราะ เหตุผล? หรือ แรงจูงใจอะไร?


ความโลภ ความกลัว และความไม่ เ อ าใจใส่ = ศัตรูตัวร้ายของความปลอดภัยในโลกไซเบอร์ เขียน : Phuong Nguyen แปลเรียบเรียง : ภูมิ สุขะมงคล, CISSP E-cqurity (Thailand) Co., Ltd.

บท

ความนี้อาจจะเป็นชิ้นสุดท้ายที่ผู้อ่านจะ ได้รับจากผม เพราะชีวิตผมเปลี่ยนไปใน ชั่วเวลาข้ามคืน ผมเป็นเศรษฐีแล้ว เมื่อเช้านี้ขณะที่ อ่านอีเมล์ต่างๆ ผมได้รับแจ้งให้ทราบว่า ถูกเลือก ให้เป็นผู้รับมรดกจากนักธุรกิจน้ำมันในรัสเซียชื่อ Stoitekov Huroni

ดูเหมือนว่าผู้ใจดีท่านนี้ ซึ่งผมยังไม่เคยรู้จักหรือ ได้ยินมาก่อน ได้เสียชีวิตลงและได้ทิ้งมรดกไว้ให้ผม เป็นจำนวนเงิน 38 ล้านเหรียญสหรัฐ สิ่งที่ผมต้องทำ ก็เพียงแค่ส่งอีเมล์ไปยืนยันกับทนายความของคุณ Stoitekov ที่ luke_lawyer@hotmail.com ซึ่งแน่นอน ผมต้องการให้เงินจำนวน 38 ล้านเหรียญมาอยู่ในบัญชี ผมในวันรุ่งขึ้น เท่านี้ผมก็คงจะจากไปช้อปปิ้งเรือยอร์ช ซักลำ และเชิญเพื่อนๆ มาร่วมงานปาร์ตี้สุดหรูของปี อาจฟังดูเป็นเรื่องเกินความเป็นจริง ซึ่งถูกแล้วครับ มันเกินความเป็นจริงแน่นอน ผมมั่นใจว่ามีหลายท่านที่ได้รับข้อความลักษณะนี้ ทางอีเมล์ ซึ่งจากการหยิบยื่นข้อเสนอที่ดึงดูดใจและ เกี่ยวโยงกับเงินมหาศาล สำหรับคนที่โง่เขลาอย่างผม ก็คงจะกระโดดจนตัวลอย และทำตามทุกขั้นตอนที่ถูก บอกมาทางอีเมล์ โดยหารู้ไม่ว่า เบื้องหลังเรื่องราวข้อ เสนอที่ดูไม่เป็นพิษเป็นภัย คือ แผนการโกงที่แยบยล ที่ถูกดำเนินโดยนักต้มตุ๋นมืออาชีพสุดไฮเทค ยุคของอินเทอร์เน็ตและเทคโนโลยี ทำให้โลกของเรา พบกับการฉ้อโกงแบบใหม่ๆ ที่ซับซ้อนและไม่เคยพบ มาก่อน มักประกอบไปด้วย การสื่อสารผ่านช่องทาง 130

อินเทอร์เน็ตที่มีประสิทธิภาพสูง อุปกรณ์ไฮเทคต่างๆ และความรู้ทางคอมพิวเตอร์ โจรกลุ่มนี้จะขยายอาณา จักรโดยการโปรยโลกไซเบอร์ ให้เต็มไปด้วยการแอบ แฝง พัวพัน ไม่ว่าจะเป็นการปลอมแปลงข้อมูลส่วน บุคคล กระจายไวรัส และมัลแวร์ เพื่อใช้ในการบังคับ คอมพิวเตอร์นับล้านเครื่อง เจาะเข้าระบบ Network ของรัฐบาลหรือโหลดข้อมูลทางบัญชีของ Robert Mueller ซึ่งเป็น Director ของ FBI ก็เป็นอีกส่วนหนึ่ง ในตัวอย่างที่ไม่น่าเกิดขึ้นได้เช่นกัน สิ่งที่น่าคิดก็คือ ถึงแม้อาชญากรรมทางไซเบอร์และการเจาะเข้าระบบ ในลักษณะนี้นั้นเป็นที่รู้จักกันดี แต่ก็ยังมีรายงานจาก ผู้ที่ตกเป็นเหยื่อให้พบได้อยู่ทุกวัน และก็ไม่น่าแปลก ใจว่าทำไม เพราะข้อบกพร่องหรือช่องโหว่ของซอฟท์แวร์์และ เทคโนโลยีทม่ี มี ากกว่า 30,000 รายการ ณ วันนีค้ อื ตัวแปร สำคัญอย่างหนึ่งที่เปิดโอกาสให้อาชญากรโลกไซเบอร์ สร้างความเสียหายได้อย่างง่ายดาย ถึงกระนั้นหากรวม การโจมตีเข้ากับความอ่อนแอหรือความหละหลวมของ มนุษย์ ความโลภ ความกลัว และความละเลย ผู้โจมตี จะมีโอกาสมากขึ้นที่จะสร้างความเสียหายได้สำเร็จ ต่อกลุ่มเป้าหมายที่มีอยู่มากมายหลายกลุ่ม การโจมตีส่วนใหญ่ที่เกิดขึ้นในปี 2009 คือตัวอย่าง ที่ชัดเจน และจุดประสงค์ของบทความนี้ ก็เพื่อให้ผู้อ่าน ได้เห็นภาพที่ชัดเจนขึ้น ว่าขั้นตอนการโจมตีต่างๆ นั้น เป็นไปอย่างไร เพื่อให้คุณทราบถึงวิธีหลีกเลี่ยงไม่ให้ ตัวเองเป็นหนึ่งในผู้เคราะห์ร้าย


INFOSEC อาชีพที่ Hacker ใฝ›ฝัน

เมื่อ

ระบบสารสนเทศถือ เป็นหัวใจสำคัญของ องค์กร ส่วนแฮกเกอร์คือภัยคุกคามร้ายแรง ที่ต้องระวัง! และหน่วยที่จะหยุดยั้งภัยคุกคาม ทั้งหลายได้ก็คือ INFOSEC ผมกำลังแนะนำอาชีพด้านไอทีอีกหนึ่งสาขาให้ทุกท่าน ได้รจู้ กั เป็นงานทีม่ ภี ารกิจหลักก็คอื ดูแลรักษาความปลอดภัย ให้กับระบบสารสนเทศขององค์กร หน่วยนี้เราเรียกสั้นๆ ว่า “INFOSEC” ซึ่งย่อมาจากคำว่า “Information Security” 136

หน่วยงานนี้มีหน้าที่วางระบบเพื่อปกป้องคุ้มครองระบบ สารสนเทศภายในองค์กรให้ปลอดภัยจากภัยคุกคามทุก รูปแบบ และจะต้องรับผิดชอบในการตรวจจับแฮกเกอร์ และ กู้ระบบหากระบบสารสนเทศถูกโจมตี เพื่อให้กลับคืนสภาพ ขึ้นมาให้บริการได้ตามปกติโดยเร็วที่สุด มีหลายคำถามจากนักเรียน นักศึกษา หรือบุคคลทั่วไปว่า ต้องการทำงานในสายงานด้านความปลอดภัยระบบสารสนเทศ ควรจะเตรียมตัวอย่างไร เริ่มจากจุดไหน ในบทความนี้มี คำตอบสำหรับผู้ที่ต้องการเตรียมตัวให้พร้อมที่จะเริ่มต้น ทำงานในสายงานดังกล่าว


Security Stories ::

วรวุฒิ สายบัว | Pearless

เส้นทางสู่สุดยอด Whitehat Hacker ตลอดช่วงระยะเวลากว่า 10 ปีที่ผ่านมา วงการระบบรักษาความ ปลอดภัยได้ก้าวผ่านเส้นทางที่เต็มไปด้วยผู้ประสงค์ร้ายรายรอบ ระบบเครื อ ข่ า ย ไม่ ว่ า จะเป็ น องค์ ก รขนาดเล็ ก ที่ มี เ ครื่ อ งในระบบ เครือข่ายเพียงไม่กี่เครื่อง ไปจนถึงระบบเครือข่ายที่ใหญ่ที่สุดในโลก คือระบบอินเตอร์เน็ต ที่มีผู้คนผลัดเปลี่ยนกันเข้ามาใช้เส้นทางที่ เชื่อมทั่วทุกมุมโลกได้เพียงแค่ปลายนิ้ว Click!!

140


Security Persons ::

Kross

ม า ค ุ ก ค ั ย ภ t า e ห n r ั ญ ป Inte ง ง อ า ข ท ม ง อ ์ ม ร ุ อ ม บ เ น ใ ซ ไ จ ว ร ตำ ในยุคแห่ง IT ที่ข้อมูลข่าวสารทุกอย่าง วิ่งเข้ามาในชีวิตของพวกเราอย่างรวดเร็ว ปัญหาต่างๆ ย่อมเกิดขึ้นตามมามากมาย เช่นเดียวกัน ซึ่งปัญหาเหล่านี้ก็มีหลายระดับ ตั้งแต่ความขัดแย้งของบุคคลทั่วไป จนกระทั่ง ถึงการโจมตีโดยตรงจากเหล่านักเจาะระบบ เพื่อหวังผลต่างๆ

146


Citec Comics ::

ศิรปรัชญ์ ประเสริฐยิ่ง | Aerris

CITEC CARTOON CLUB

เอา Facebook หนูคืนมา ãËŒµÒÂÊÔ à´ÕëÂǹÕ颋ÒÇ ¡çÁÕᵋ¡ÒÃàÁ×ͧ¹‹Ò »Ç´ËÑǪÐÁÑ´àÅÂ

Ë×Á? áͧ¨Õé? à¢ŒÒ MSN à¹Õè¹Ð...

á»Å¡áÎÐ á‹áÅŒÇæ Ẻ¹Õé Farmsville, HotelCity, Zoo World ©Ñ¹á‹ṋæ Êൻª‹Ç·Õä´ŒäËÁ!?

ã¨àÂç¹æáͧ¨Õé...à¡Ô´ÍÐäà ¢Ö鹡ѹ¹‹Ð àÅ‹ÒãËŒ¿˜§¡‹Í¹ ä´ŒäËÁ?

¡çà¿ÊºØ¤¢Í§áͧ¨ÕéÁѹÁÕ»˜ÞËÒà¢ŒÒ äÁ‹ä´ŒÍ‹ÐÁѹ¢Öé¹ timeoutæ ÍÐäùÕèáËÅÐ

ʧÊÑÂâ´¹áΤà¡ÍÏ à¨ÒÐáÅŒÇÁÑé§... ¢Ð... ¢Íâ·É 156

àÍŽ..áÅŒÇ ·Óä§Í‹Ð à´ÕëÂǵÒÁ ¤¹ÁÒª‹Ç à¸Í¡çáŌǡѹ


Hackazine_Preview2  

Computer Security Magazine

Advertisement
Read more
Read more
Similar to
Popular now
Just for you