Posts tagged security testing
Security Testing
Jul 2nd
สวัสดี พี่น้องชาว Welovebug ทุกท่านค่ะ วันนี้แอบอู๋งานมาเขียนเรื่อง พอดีมีโอกาศ ได้ไปร่วม งาน Security Testing ,Second Priority ? Thing againt ! ได้ทั้งความรู้และ ข้อสงสัยอยู่เหมือนกัน กลับมานั่งเขียน ก่อนอื่นขอขอบคุณ คุณ ณัฐดนัย เวียงวัง และคุณ กรองรัตน์ คามตะศิลา ที่ให้ความรู้เกี่ยวกับ Security Testing ซึ่งหัวข้อที่ได้พูดคุยกันหลักๆ ในช่วงแรกจะแยกเป็นส่วนของ Security และ Testing ซึ่งในช่วงแรกของการพูดคุยจะเป็นการพูดถึงหลักการเบื้องต้นของ Security ว่าประกอบไปด้วยอะไรบ้าง ซึ่งเริ่มต้นด้วยหัวข้อ และส่วนของ Software Testing และในตอนท้ายเป็นการนำ 2 ส่วนมาร่วมกัน ซึ่งเริ่มต้นด้วยเรื่องของ Security ค่ะ โดย คุณ กรองรัตน์ เริ่มอธิบายคำต่างๆ ที่ควรรู้ก่อน
Security Objectives
- Confidentiality : การรักษาความลับของข้อมูล
- Integrity : การรักษาสภาพของข้อมูลเมื่อบันทึกลง System แล้ว เมื่อเวลาเปลี่ยนไปข้อมูลจะไมถูกแก้ไข หรือเปลี่ยนแปลง จากบุคคลที่ไม่ได้รับอนุญาติ
- Availability : สภาพของข้อมูลที่พร้อมใช้
โดยทั้ง 3 คำนี้เป็นเรียกย่อๆว่า CIA ซึ่งเป็น Requirement พึ้นฐานที่ต้องมีกับระบบ ซึ่งทางคุณ กรองรัตน์ อธิบายเพิ่มโดยยก ตัวอย่าง Incident ของร้าน TJX ซึ่งเป็นร้านค้าคล้ายๆกับ Lotus บ้านเราโดยมีการ Hack ระบบผ่าน Wirless Network โดย Hack Wirless Point แล้วก็ทำการ setup server และทำการต่อ VPN ระหว่างร้าน TJX และต่อมาที่บ้านตัวเองเป็น Host โดย Hack ผ่าน Transaction การใช้บัตรเครดิตของลูกค้า
โดยอีกเรื่องที่ยกมาคือ เรื่อง การส่งเมล์ Spam ของสายการบิน British Airway ที่มีการส่ง E-Mail ออกไปจากระบบว่าถ้าส่งเมล์นี้ไปหาเพื่อนอีก 10 คนคุณจะได้ตั๋วเครื่องบินฟรี
ต่อมาเป็นการอธิบายเพิ่มเติมส่วนของ Defense Indepth Concept เป็นการป้องกันโดยแบ่งเป็น Layer และอธิบายเพิ่มเรื่องของ Security ว่ามีส่วนไหนบ้าง
Security Testing… Second Priority?? Think Again
May 25th
วันนี้ขอเอา Seminar มาบอกเล่าเก้าสิบกันครับ ซึ่งคนที่ไปร่วมพูดในวันนั้นคนนึงก็คือผมนี่เอง 55 เอามาเกริ่นไว้ก่อนนะครับเนื่องจากมีบางคนร้องขอมาหลังไมค์หลังจากได้เห็น Ad อันนี้แล้ว แต่เนื่องจากอยู่ไกลมาก (ตรัง) จึงไม่สามารถมาร่วมได้แต่อยากรู้เนื้อหาที่คุยกันอย่างละเอียด (เน้นว่า ขอละเอียดๆ นะคะ)
