มาเล่น OSSEC กัน

OSSEC เป็น HIDS (Host Based Intrusion Detection System) เอาไว้คอยดูเหตุการณ์ต่างๆ ในเครื่องเซิร์ฟเวอร์, ตรวจสอบการเปลี่ยนแปลงไฟล์, ตรวจสอบ rootkit, แจ้งเตือน และทำ active response กับเหตุการณ์ต่างๆ ที่เกิดขึ้น

มาลองเล่นกัน OSSEC จะประกอบด้วย 2 ส่วนคือ OSSEC server และ OSSEC agent ตัว server จะทำหน้าที่ประมวลผลและทำ corelation, alert ฯลฯ ส่วน agent จะทำหน้าที่ส่งข้อมูลมาให้ server หากต้องการ monitor เครื่องใดๆ ก็เอา agent ไปติดตั้งไว้ครับ ง่ายๆ แค่นี้ มาลงมือกัน

Continue reading

เก็บตกงาน eAuthentication Day

ผมได้มีโอกาสไปงาน eAuthentication Day จัดโดย ETDA ไปถึงงานสายสักหน่อย เลยไม่ทราบว่าเค้าพูดเรื่องอะไรกันตอนเช้า มาถึงก็เจอ ดร.ศักดิ์ บรรยายพอดี ก็เลยทราบว่ารัฐบาลกำลังขับเคลื่อนเรื่อง Digital Government และ Digital Economy อย่างจริงจังมาก มีโครงการจากหลายกระทรวงตอบรับ นโยบาย Digital Economy พอสมควร เห็นว่าจะมี E-Payment ของกระทรวงการคลังเพิ่มเข้ามาอีก อีกหน่อยเราคงได้เห็นเงินงบประมาณในรูปแบบ Credit ถึงเวลาก็ไปตัดยอดที่สำนักงบประมาณ หรือประมูลงานจ้างงานภาครัฐบนเว็บไซต์ได้ผลลัพธ์ได้เลย

ในงานมี Demo การ Authentication โดยใช้ SIM Card ที่มี Feature Encryption จำชื่อไม่ได้ว่าเป็นแบบไหน แต่เพิ่มความปลอดภัยมากขึ้น เพราะการยืนยันตัวตนและการส่งข้อมูลทำโดยอัตโนมัติ ผู้ใช้แค่กด Pin Code เพื่อบอกว่าเป็นตัวเองเท่านั้น Demo มี 3 แบบ

  • แบบที่ 1 ยืนยันตัวตนผ่านหน้าเว็บไซต์และมือถือ คล้ายๆ กับการกด Facebook Login แต่อันนี้เป็น Mobile Login เมื่อกดแล้วที่มือถือ จะมี Notification ขึ้นมายืนยันว่าได้ทำรายการนั้นจริง แล้วให้กรอก Pin Code อีกรอบ
  • แบบที่ 2 ยืนยันตัวตนผ่านหน้าเว็บไซต์และมือถือโดยใช้ Generator คล้ายๆ กับ Google Generator แต่ต้องมี App ในเครื่อง
  • แบบที่ 3 ยืนยันตัวตนผ่านหน้าเว็บไซต์และมือถือโดยใช้ Mobile App ในการยืนยันตัวตนโดยตรง

ดู Demo แล้วรู้สึกตื่นเต้นดีครับ เพราะทำ Demo ออกมาจริงจังมาก เหมือนใช้งาน E-Commerce และ Internet Banking อยู่จริงๆ Lab ของ ETDA จะ release บริการแบบนี้ให้ทดลองใช้ประมาณปลายๆ ปีครับ
Continue reading

ตั้งรหัสผ่านให้ปลอดภัยง่ายนิดเดียว

แนะนำว่าให้ตั้งรหัสผ่านให้ยากเข้าไว้ ให้ยาวเข้าไว้ มีตัวอักษรเล็กใหญ่ มีเครื่องหมายสัญลักษณ์ ฯลฯ คำถามคือทำไปทำไม จำก็ยาก แถมห้ามจดแปะไว้ที่จออีกต่างหาก ทำไม ทำไม ทำไม ทำไมต้องทำให้ชีวิตลำบากด้วย เอ่อ… ผมว่าหลายคนอาจจะเคยเจอสถานการณ์แบบนี้ แหม… ก็อยากจะบอกว่าการเจาะรหัสผ่านมันง่ายมากๆ เครื่อง PC ธรรมดาๆ ใช้เวลาไม่ถึงวินาทีก็สามารถเจาะรหัสผ่านกันได้แล้ว วิธีการแบบธรรมดาๆ ที่ชอบใช้กันคือ Brute force โดยอาศัยฐานข้อมูลรหัสผ่านและการผสมอักษรเพื่อให้ได้ชุดรหัสผ่านแล้วค่อยๆ ยิงทดสอบไปเรื่อยๆ หากผู้ใช้ตั้งรหัสผ่านง่าย การเจาะก็จะทำได้ในเวลาอันสั้น

เทคนิคการเจาะแบบนี้ยังใช้ได้จนถึงปัจจุบัน เจาะได้ทุกช่องทางที่ใช้ username, password ไม่ว่าจะเป็น Desktop, Server, Web Application ใช้ได้หมด แตกต่างแค่ช่องทางและวิธีการเชื่อมต่อเท่านั้น สำนักด้านความปลอดภัยต่างก็ออกแนวทางการตั้งรหัสผ่านมาหลายแบบ ส่วนใหญ่ก็ให้ตั้งรหัสผ่านให้ยากเข้าไว้ ให้ยาวเข้าไว้ มีตัวอักษรเล็กใหญ่ มีเครื่องหมายสัญลักษณ์ ฯลฯ หรือ Password ยอดแย่ประจำปี เอ้ามาลองดูกันว่าตั้งง่ายตั้งยากใช้เวลาต่างกันหรือไม่
Continue reading

มาติดตั้ง Linux Server ปลอดภัยกัน

ผมมีโอกาสได้กลับมาดูเรื่อง Security ในรอบหลายปี ก็เลยคิดว่าน่าจะเขียนเนื้อหาอะไรเกี่ยวกับ Security บ้าง เนื้อหาก็คงหนีไม่พ้นเรื่องวิธีการที่ทำบ่อยและเครื่องมือที่ใช้ประจำ เนื้อหาจะไม่อิงมาตรฐานด้าน Security มากนัก คิดว่าเอาประสบการณ์มาแลกเปลี่ยนกัน สำหรับเนื้อหาเกี่ยวกับ Security ติดตามอ่านได้ที่ Tag Security ครับ

วิธีการทำให้ Linux Server ปลอดภัยนั้นมีหลายอย่างที่ต้องคำนึงถึง จะต้องวางแผนก่อนว่าเครื่อง Server นี้ให้บริการ Service อะไร ซอฟต์แวร์ที่ต้องใช้มีอะไนบ้าง ใครเป็นผู้ใช้บ้าง เข้าถึงเครื่อง Server ได้ทางไหนบ้าง เป็นต้น ดังนั้นการ Hardening จะเริ่มตั้งแต่ตอนติดตั้ง Linux กันเลย สิ่งที่ผมทำเป็นประจำคือ

  • แบ่ง partition แยกตามความต้องการของการใช้ service นั้นๆ
  • สั่ง encrypt partition ที่ต้องการ
  • ติดตั้ง service ที่ต้องใช้เท่านั้น และใช้ ssh สำหรับ remote เท่านั้น
  • ตั้งรหัสผ่านสำหรับผู้ใช้ให้ยากเข้าไว้ ตัวเล็ก ตัวใหญ่ ตัวเลข สัญลักษณ์ ความยาวมากกว่า 8 ตัวอักษร
  • ตั้งค่าเวลากับ ntp server

Continue reading

เก็บตก EGA Call for Partnership: Cloud Security

เนื่องจากถูกมอบหมายให้ไปงานของ EGA ก็เลยมา blog สักหน่อย งานนี้เป็นงาน EGA Call for Partnership: Cloud Security จัดโดย EGA มีวัตถุประสงค์การรวมกลุ่มคนที่เกี่ยวข้องกับ Cloud Security ออกแนวๆ focus group ให้มานำเสนอประสบการณ์และเทคโนโลยีที่ใช้จัดการในเรื่อง Cloud Security ซึ่งงานนี้มีผู้เข้าร่วมทั้งภาครัฐ, ภาคเอกชนและภาคการศึกษา งานนี้มีหลายเรื่องที่น่าสนใจ ในส่วนของ vender อย่าง Microsoft, VMWare, Cisco, Intel ก็มาเล่าเรื่อง Solutions ต่างๆ ที่มีให้เลือกใช้เลือกช็อป ซึ่งเน้นไปที่ virtualization เยอะมากๆ เลียบๆ เคียงๆ ไป Private Cloud อะไรอย่างนี้

สำหรับ NECTEC Cyber Security Lab มาเล่าเรื่องการจัดการด้าน security ใน software ที่ให้บริการใน NSTDA หลายตัว อย่างเช่น Data Encryption ใน Cloud Storage เป็นต้น หน่วยงานเอกชนอย่าง Seagate ก็มาเล่าเรื่อง Security ในเรื่อง Data Encryption ที่บริการใน Cloud Storage ที่ Seagate ให้บริการด้วย

สถาบันการบินพลเรือนมาเล่าเรื่อง Service API ในการให้บริการข้อมูลที่เกี่ยวข้องกับการบิน ข้อมูลสภาพแวดล้อมที่เกี่ยวข้องกับการบิน เช่น สัตว์ที่อาศัยอยู่ตามสนามบิน, สภาพเครื่องบิน, การซ่อมบำรุง เป็นต้น ข้อมูลเหล่านี้ควรมีการแลกเปลี่ยนหรือให้ข้อมูลกับภาครัฐ เพื่อพัฒนาการให้บริการด้านการบินที่ดีขึ้น

ม.วลัยลักษณ์ มาเล่าเรื่อง Smart Grid ที่ US และงานวิจัยที่ทำร่วมกับการไฟฟ้าในเรื่องการวิเคราะห์การใช้พลังงานในภาคครัวเรือน โดยทำ smart plug คุยกันผ่าน zigbee เอาข้อมูลการใช้พลังงานไปประมวลผล และแสดงข้อมูลผ่านทางหน้าจอ Dashboard แบบสัมผัส ซึ่งอาจารย์บอกว่าเดี๋ยวนี้คนที่ทำงานด้านวิศกรไฟฟ้าก็ต้องรู้เรื่อง Cloud, Open Source และ Big Data ด้วย

TNET มาเล่าเรื่อง CSA Star ว่าเป็นอย่างไร ถ้าจะให้บริการ Cloud ต้องใช้ CSA Star ใน Level ใดบ้าง ตรวจประเมิน CSA Star ทำอย่างไรการคิดคะแนนและการเตรียมตัวต้องทำอย่างไร ม.มหิดล มา wrap up ในเรื่องของ Cloud Security ในมุมมองของผู้ใช้และผู้ให้บริการและปิดงานโดยปริยาย สำหรับงานนี้สนุกนิดนึง ได้เจอคนใช้งาน Cloud นิดหน่อย ที่เน้นไปทาง vender มานำเสนอเทคโนโลยี ก็เลยทำให้รู้สึกแปลกๆ นิดหน่อยครับ คิดว่างาน Awesome Day น่าจะสนุกกว่านี้