IDS NIDS HIDS คืออะไร

Intrusion Detection System (IDS) คือ? คือ Hardware, Software, และ Cloud ซึ่งเป็นระบบที่เอาไว้ตรวจสอบ การรับส่งข้อมูลเครือข่าย(network traffic) เพื่อหากิจกรรมที่น่าสงสัย(suspicious activity) และทำนายทายทัก เห้ยหนุ่มหน้าตาดูซีดๆ เป็นไข้แน่เลย(เป็นหมอดูหรือเปล่านะ?) จากนั้นจะทำการแจ้งเตือนเมื่อพบกิจกรรมดังกล่าว ไปยังผู้ดูแลโดยวิธีการต่างๆ ไม่ว่าจะเป็นหน้า console IDS, email, หรือถูกจัดเก็บจากระบบกวาด logs เอาไปอ่านอีกทีอย่าง SIEM เพื่อทำการวิเคราะห์อีกต่อยอดกันไป แต่ถ้าว่าเหรียญนั้นมี2ด้าน จริงอยู่ที่ระบบสามารถตรวจจับหาพวก Malware แต่ก็ไม่ได้เสมอไป เค้าอาจจะสบายดีแต่หน้าซีดเพราะโดยภรรยาริบเงินเดือนเอาไว้ก็เป็นได้ ดังนั้นระบบคุณจำเป็นต้องมีการ Tuning เมื่อทำการติดตั้ง ว่าโดยปกติแล้วระบบมีอะไรบ้าง บางที   IDS อาจจะมองว่าเป็น Malware ยกตัวอย่างเช่น task schedule ไป run script ต่างๆ เช่น Backup, Delete Logs เราต้องไปทำ exclude […]

Host Based Firewall คืออะไร?

Host-based Firewall คืออะไร? เชื่อว่าหลายๆ คนที่ทำงานด้าน IT อาจจะรู้จักกันดีกับ Firewall ที่เป็น Hardware เช่น Palo Alto, Juniper, Sonic Wall, Fortigate และอื่นๆ ที่ทำการจัดการ traffic ที่ต้องการ allow หรือ block จาก internet (WAN) ที่เราคุ้นเคยกัน ในส่วนของ host-based firewall จะเป็นการจัดการ traffic เหมือนกับ firewall hardware  ที่จะเข้ามายังเครื่อง PC, Server, หรือ Device นั้นๆ ว่าจะทำการเปิด port อะไร, allow หรือ deny ip ไหน (อ้าวแล้วเพื่อ? ก็เพราะตัวนี้ไม่ได้ต่อในโลก internet แต่มันก็จำเป็นต้องมีไว้กันใน LAN […]

Botnet คืออะไร

Botnet คือ? “botnet” เกิดจากคำว่า”robot” และ “network”คือเครือข่ายของคอมพิวเตอร์ที่รวบรวมมาจากการติดมัลแวร์ ซึ่งควบคุมจากศูนย์กลางโดยbot herder หรือ zombie master สามารถสั่งbot หรือ zombie computer ทุกเครื่องให้กระทำการต่างๆเช่น การโจมตี DDOS , Brute force , และอื่นๆโดยที่คอมพิวเตอร์ที่เป็น bot ไม่รู้ตัวหรือและไม่ได้รับความยินยอมมาก่อน   Botnet มีหลักการควบคุมอย่างไร? Bot herders ควบคุม botnet โดยใช้ Model มี 2 ประเภทคือ 1. Centralized, Client-Server Model ควบคุมโดยปกมี bot herder server เพียง 1 เครื่องไปยัง bot แต่ก็สามารถเพิ่มเครื่อง sub-herders, หรือ proxies ได้ อย่างไรก็ตามคำสั่งจะยังคงตาม […]

Rootkit คือ?

Rootkit Rootkit คือมัลแวร์ที่ฝังตัวเองอยู่ลึกเข้าไปในระบบปฏิบัติการ (OS) และมีสามารถเข้าควบคุมระบบได้ทั้งหมด บวกกับการซ่อนตัวเองอย่างแนบเนียนทำให้ OS มองว่าตัวมันคือส่วนองค์ประกอบหนึ่งในสารระบบและไม่สามารถตรวจพบได้ จากการหาใน task manager หรือ management tools ต่างๆ เนื่องจากพวกมันชอบฝังตัวอยู่ใน level ring0 ในระดับ kernel หรือต่ำกว่านั้น ซึ่งในระดับ user ใช้งานจะอยู่ที่ ring3 ตามภาพด้านล่าง Rootkit นอกจากการเข้าแทนที่ kernel OS, driver ใน OS, ยังสามารถแทรกซึม app library ได้อีกด้วย ที่ใช้ชื่อว่า Rootkit เพราะว่าแรกเริ่มใน Unix OS ในส่วนของ user ที่มีสิทธิ์การเข้าถึงมากที่สุดมีชื่อว่า root แม้แต่ใน window ก็ยังใช้ชื่อ window rootkit ถึงแม้ไม่มีก็ตาม ประเภทของ Rootkit Kernel […]

Spyware คือ?

สปายแวร์ (อังกฤษ: spyware) หมายถึง ประเภทซอฟต์แวร์ที่ออกแบบเพื่อสังเกตการณ์หรือดักจับข้อมูล หรือควบคุมเครื่องคอมพิวเตอร์ โดยที่ผู้ใช้ไม่รับทราบว่าได้ติดตั้งเอาไว้ หรือผู้ใช้ไม่ยอมรับ ซึ่งส่วนใหญ่แล้วเพื่อสร้างผลประโยชน์แก่ผู้อื่น ในความหมายทั่วไป สปายแวร์ คือ ประเภทโปรแกรมคอมพิวเตอร์ที่บันทึกการกระทำของผู้ใช้บนเครื่องคอมพิวเตอร์ และส่งผ่านอินเทอร์เน็ตโดยที่ผู้ใช้ไม่ได้รับทราบ โปรแกรมแอบดักข้อมูลนั้นสามารถรวบรวมข้อมูล สถิติการใช้งานจากผู้ใช้ได้หลายอย่างขึ้นอยู่กับการออกแบบของโปรแกรม ซึ่งส่วนใหญ่แล้วบันทึกเว็บไซต์ที่ผู้ใช้เข้าถึง และส่งไปยังบริษัทโฆษณาต่างๆ บางโปรแกรมอาจบันทึกว่าผู้ใช้พิมพ์อะไรบ้าง เพื่อพยายามค้นหารหัสผ่าน หรือเลขหมายบัตรเครดิต หรือ สปายแวร์ ก็คือ โปรแกรมเล็ก ๆ ที่ถูกเขียนขึ้นมาสอดส่อง (สปาย) การใช้งานเครื่องคอมพิวเตอร์ของคุณ อาจจะเพื่อโฆษณาสินค้าต่าง ๆ สปายแวร์บางตัวก็สร้างความรำคาญเพราะจะเปิดหน้าต่างโฆษณาบ่อย ๆ แต่บางตัวร้ายกว่านั้น คือ ทำให้คุณใช้อินเตอร์เน็ทไม่ได้เลย ไม่ว่าจะไปเวบไหน ก็จะโชว์หน้าต่างโฆษณา เพิ่มเติมคือ spyware บางตัวถึงขั้นสามารถจับภาพหน้าจอได้ และส่งอีเมล์เข้าไปหาคนสร้างได้ ตัวอย่างเช่น SAINT Spyware ที่สามารถดัก keyboard ตาม trigger ที่ตั้งไว้ เช่นพิมพ์ keyboard 10 ครั้ง spyware […]

13.2 ขั้นตอนและวิธีแกะรอย (Foot Printing Methodology)

13.2 ขั้นตอนและวิธีการแกะรอย (Foot Printing Methodology) คือกระบวนการหรือขั้นตอนการเก็บข้อมูลจากเหยื่อ เช่น URL, สถานที่ตั้งและข้อมูล, จำนวนพนักงาน, ข้อมูลติดต่อ และอื่นๆที่เกี่ยวข้อง โดยใช้เทคนิค 13.2.1 การแกะรอยโดยใช้ Footprinting Advance Google Hacking Technical เช่นการพิมพ์ชื่อบริษัทของเหยื่อ ใน google เช่นพิมพ์ค้นหา Microsoft ก็เจอหน้าเว็ปต่างๆ เช่นชื่อพนักงาน รหัสพนักงาน อีเมล์ ไฟล์มีเดีย ไฟล์รูปภาพ ในบางครั้งอาจจะมีข้อมูลที่สำคัญๆ ปรากฏอยู่เราสามารถในรูปแบบ แคชที่ยังคงเก็บไว้ในฐานข้อมูลของ search engine เราสามารถขอ request ให้ทาง google ลบได้   Operator ที่ใช้แกะรอย      a.Site: จำกัดการค้นหาเฉพาะsite หรือ domain ตัวอย่างเช่น  [malware site:sec2you.com] จะหาหน้าที่มีข้อมูลคำว่า malware อยู่ใน […]

13.1 Footprinting Concept

13.1 Footprinting Concept Ethical Hacking คือการการ hack ด้วยเหตุผลที่ดีและถูกกฎหมายในการดำเนินการประเมินความปลอดภัย ตามเป้าหมายของไอทีในองค์กร โดยได้รับความยินยอม, การแกะรอยเป็นขั้นตอนแรกคือผู้โจมตีพยามที่จะเก็บข้อมูลเกี่ยวกับเป้าหมายเพื่อเตรียมการโจมตี โดยจะเก็บข้อมูลว่ามีช่องทางใดบ้างในการโจมตีเป้าหมายในเครือข่าย ประเภทของการแกะรอย (Type of Footprinting) – Passive Footprinting  a. การเก็บเกี่ยวข้อมูลเกี่ยวกับเป้าหมาย โดยไม่มีปฏิสัมพันธ์โดยตรง ก็คือเป้าหมายจะไม่สามารถตรวจจับเราได้ เช่นหาข้อมูลบริษัท A จาก search engine อย่าง google, หาข้อมูลจาก Social Media ต่างๆ หรือจากเว็บที่ให้บริการ WEB SERVICES ต่างๆ เช่น DARKWEB เป็นต้น และอื่นๆ – Active Footprinting  a. การเก็บเกี่ยวข้อมูลเกี่ยวกับเป้าหมาย โดยมีปฎิสัมพันธ์ ก็คือจะเข้าไปเกี่ยวข้องกับเป้าหมายที่จะโจมตี เช่น การทำ traceroute เพื่อค้นหา, การ scan port,ทำ […]

13. การแกะรอย (Footprinting)

การแกะรอย (Footprinting)  คือขั้นตอนแรกในการประเมินความปลอดภัยของ IT Infrastructure การแกะรอยและการลาดตะเวน สามารถเก็บข้อมูลระบบคอมพิวเตอร์หรือ เครือข่ายรวมถึงเกี่ยวข้องกับทุก device ที่เชื่อมต่อกับ เครือข่ายอีกด้วย ในอีกมุมนึง Footprinting ก็คือการหาพิมพ์เขียว security ขององค์กรเลยก็ว่าได้ โดยหัวข้อในการเรียนรู้ Footprinting จะมีดังนี้ 1. Footprinting Concept 2. Footprinting Methodology 3. Foorprinting Tools (Coming Soon) 4. Footprinting Countermeasures (Coming Soon)

12.Ransomware คืออะไร? มาทำความเข้าใจและวิธีการป้องกันการโจมตีกันเถอะ ^^

ภาพตัวอย่าง: ขั้นตอนการเรียกค่าไถ่ของ Ransomware คำนิยามของ RansomwareRansomeware จัดอยู่ในประเภทมัลแวร์ (Malware) รูปแบบหนึ่ง ที่อาชญากรไซเบอร์ หรือเหล่าแฮคเกอร์ใช้โจมตีข้อมูลไม่ไฟล์ต่างๆ หรือว่าจะเป็นหน้าจอคอมพิวเตอร์ของผู้ใช้งานทั่วไปหรือภายในองค์กร โดยพฤติกรรมของ Ransomware มักจะทำการ Lock file, desktop หรือทำ encryption file เพื่อไม่ให้เหยื่อเข้าใช้งานไฟล์ที่ถูก Lock ไว้ได้ จากนั้นจะมีข้อความเพื่อทำการเรียกค่าไถ่ข้อมูลที่ได้ Lock ไว้หากเหยื่อยินยอมจ่ายค่าไถ่แฮกเกอร์ก็จะปลดล็อคให้ หากไม่จ่ายเงินข้อมูลดังกล่าวก็อาจจะหายไปตลอดการ! โดยส่วนใหญ่การที่จะตกเหยื่อของ Ransomware นั้นจะมีสาเหตุมาจากการที่ผู้ใช้งานดาวน์โหลดไฟล์ผ่านทางเว็บไซต์ที่ไม่น่าเชื่อถือและเป็นอันตราย เมื่อดาวน์โหลดมาแล้วกลับได้ Ransomware มาแทน ซึ่ง โดยหลักแล้ว Ransomware มักจะมุ่งเน้นโจมตีผ่านระบบปฏิบัติการ Microsoft Windows แต่ผลของการเข้า Lock ไฟล์นั้น สามารถกระจายไปยังที่เก็บข้อมูลต่างๆ ไม่ว่าจะเป็นใน PC, Servers, หรือ Cloud ก็โดนด้วยแม้ว่าจะมีรายงานว่าผู้ใช้งานคอมพิวเตอร์ทั่วไปโดนโจมตี ในระยะหลังๆ Ransomware ได้ทำการเน้นโจมตีระดับ องค์กรมากขึ้นเนื่องด้วยความสามารถกำลังเงินในการจ่ายแหละ ภาพตัวอย่าง: Ransomware […]

7 ที่ควรทำทุกวัน เมื่อคุณเป็นผู้ดูแลระบบ IT

IT Infrastructure มีความสำคัญอย่างยิ่ง ต่อการดำเนินธุรกิจในแต่ละวัน ถ้าวันนี้ IT ของคุณหยุดทำงาน ลองนึกถึงผลเสียที่ตามมาจะเกิดอะไรขึ้นบ้าง นั่นคือเหตุผล ทำไมจึงควรตรวจสอบระบบ IT ทุกวัน! ปัญหาดังกล่าวนั้นเราสามารถหยุดมันได้ หากเราพบปัญหานั้นโดยเร็ว สิ่งที่ควรตรวจสอบทุกวันมีดังนี้ 1.       ประสิทธิภาพ (Performance) –          Disk Space: พื้นที่ดิสก์ที่เหลืออยู่บนฮาร์ดไดรฟ์หรือpool ควรได้รับการตรวจสอบ หากจากพื้นที่ดิสก์เหลือน้อยอาจทำให้ เครื่องทำงานช้า โดยเฉพาะอย่างยิ่งเมื่อเปิดไฟล์ และหมั่นทำ Defragment ลบขยะ ที่ไม่ได้ใช้งาน –          CPU: ไม่ควรเกิน 50% ในขณะที่ไม่ได้ใช้งาน หากมีการใช้งานสูงเกิน 90% อาจจะทำให้เครื่องรวนและค้าง ดังนั้นควรเช็คว่าอะไรที่ทำให้ CPU สูงโดยตรวจสอบจาก Task Manager –          RAM: วิธีตรวจสอบเบื้องต้นก็ที่ Task Manager เช่นกัน ตรวจสอบว่าขณะที่เราไม่เปิดโปรแกรมใดๆ ใช้ ไปเท่าไหร่ เมื่อเราเปิดเกมส์ใช้ ไปเท่าไหร่ อาจจะใช้ […]