การใช้งาน GAFE Email หรือ Gmail ก็ตาม วิธีที่จะแสดงเฉพาะ จดหมายที่ยังไม่ได้อ่าน (Unread) มี 3 วิธี 1. ในช่อง Search ใส่คำว่า label:unread แล้วกดปุ่ม Enter 2. ไป Gear > Setting > Inbox แล้วเปลี่ยนจาก Inbox type: Default เป็น Inbox type: Unread first แล้วกดปุ่ม Save Changes ผลที่ได้ 3. คลิก Dropdown ด้านข้าง Inbox และ สุดท้าย วิธีเลือกเฉพาะอีเมลที่ยังไม่ได้อ่าน ทำดังภาพ ผลที่ได้ จบ
ต่อไปนี้ GAFE จะเป็นคำย่อของ Google Apps For Education ก่อนที่เราจะก้าวสู่ Hybrid Cloud ที่วางแผนกันมานาน หลังจากได้เริ่มต้นลองใช้งาน ก็จะมีคำถามที่มีบ่อยมาก คือ “ตอนนี้มี Gmail อยู่แล้ว จะทำอย่างไรให้รวมกับ GAFE ของหมาวิทยาลัยได้ไม๊” คาดว่า คำว่า “รวม” กันนี้ หมายความว่า อยากได้ พื้นที่ email ของทั้ง Gmail 15 GB และ GAFE 30 GB รวมกัน คงต้องตอบว่า ไม่ได้ เพราะ Google คงไม่ได้เปิดให้ทำเช่นนั้น มันมีเหตุผล … ที่ผ่านมา Hotmail.com ซึ่งเปลี่ยนมาเป็น Outlook.com ก็เคยพยายามทำแบบว่า Linked Account ตั้งแต่ปี 2006 แต่ไม่สำเร็จดีนัก และได้ยกเลิกไปในเวลาต่อมา (ดูที่นี่เพิ่มเติม) แต่สิ่งที่ Microsoft ทำคือ ให้พื้นที่ขนาดใหญ่ แล้ว ดึง email จาก หลายๆ Account มารวมที่เดียวกัน หรือไม่ก็ใช้วิธีส่ง email ออกไปในนามอีก Account ซึ่งเป็นแนวคิดเดียวกันทั้ง Outlook.com และ Office365 มาดูวิธีการกัน ปัญหาคือ เรื่องงาน กับ เรื่องส่วนตัวก็จะปะปนกัน และในบางครั้ง เราอาจจะใช้ Email ของงาน ไปสมัครอะไรบางอย่างที่เป็นเรื่องส่วนตัวซึ่ง ในบางเรื่องก็อาจจะไม่เหมาะสม หรือในทางกับกัน การใช้ Email Address ที่เป็นส่วนตัว มาตอบหรือใช้งานในเรื่องงาน ก็เป็นเรื่องไม่เหมาะสม ทั้งเรื่องความ Professional และ เรื่องเกี่ยวกับความปลอดภัย การแสดงตัวตนอีกด้วย เป็นเรื่องของ Culture Change Management ที่เราในฐานะบุคลากร และการสื่อสารเรื่องนี้ไปยังอาจารย์ และนักศึกษาให้เข้าใจด้วย คราวนี้ มาดูสิ่งที่ Google ทำ คือ ทำให้สลับ Account ได้โดยไร้รอยต่อ แค่ Add Account เท่านี้ เราก็สามารถแยกเรื่องส่วนตัว และ่งานออกจากกัน และทั้งสอง Account สามารถเปิดใช้งานพร้อมกันได้ เปิดใน 2 Tab ก็ได้ ยังมี Feature ของ GAFE อีกมากมายในระบบ Enterprise ที่ยังไม่ได้อธิบาย เช่น การที่ผู้บริหารสามารถ Delegate ให้เลขา อ่านและตอบ Email และ Calendar แทนตนเองได้ โดยไม่ต้องบอกรหัสผ่าน หรือ การ Sharing แบบกลุ่มแปลกๆ ที่ใน Gmail ทั่วไปไม่มี รอพบกันตอนต่อๆไปนะ (อาจจะมาในรูปแบบ Youtube อิอิ) ขอคุณครับ
ในที่สุด Google ประเทศไทยก็เอาฟอนต์ราชการขึ้นไปให้ใช้ได้สำเร็จ ต่อจากนี้ เราก็สามารถลดการพึ่งพิง Microsoft Office ซึ่งผูกขาดมายาวนานได้ “บ้าง” แล้ว เพราะที่ผ่านมา เอกสาร .doc และ .docx ไม่สามารถใช้งานกับ Office Suite ค่ายอื่นได้อย่างราบรื่นเพราะคนไทยเราไม่ใช้ฟอนต์เดียวกัน ยังไปใช้ Angsana, Cordia ซึ่งเป็นลิขสิทธิ์ของ Microsoft ทำให้รูปแบบเอกสารที่จัดด้วย Microsoft Office จะเพี้ยนๆเมื่อไปเปิดกับค่ายอื่นๆ ตอนนี้ก็เหลือแต่ คนไทยเรานี่แหล่ะ ที่ต้องรณรงค์ใช้ฟอนต์แห่งชาติ เพื่อให้สามารถแลกเปลี่ยนกันได้อย่างเสรี สำหรับ Google Drive เองก็มี Office Suite ซึ่งทำงานได้บนเว็บโดยไม่ต้องติดตั้งอะไรในเครื่อง จากการทดลองใช้มายาวนาน พบว่า ถ้าเราเอาคำว่า “พอเพียง” ไว้ในใจได้แล้ว เครื่องมือชิ้นนี้ ดีเกินพอสำหรับงานสำนักงานทั่วไป และหากใครต้องการซื้อความสามารถเพิ่มก็สามารถซื้อแยกได้ ไม่ต้องถูกยัดเยียดสิ่งที่ไม่จำเป็นต้องใช้ มาในราคาซอฟต์แวร์ที่แพงลิ่ว หรือ สามารถพัฒนาเพิ่มเติมเองได้ผ่าน Add-Ons ครับ สำหรับการใช้งานภาษาไทย และฟอนต์ไทย TH SarabanPSK ก็ทำได้ง่ายโดย 1. สร้าง หรือ เปิดเอกสาร Google Docs 2. ไปที่เมนู File > Language แล้วเลื่อนมาด้านล่างๆ จะพบคำว่า ไทย 3. จากนั้น ฟอนต์ TH SarabanPSK ก็จะมีให้ใช้งานทันทีครับ 4. การเก็บไฟล์ในรูปแบบ Google Docs ทาง Google จะไม่คิดพื้นที่จัดเก็บครับ แสดงว่าเราสร้างได้มากเท่าที่ต้องการ แต่ถ้าเอา .docx ไปใส่ ก็จะกินเนื้อที่ที่มีให้ครับ หวังว่าจะเป็นประโยชน์ครับ
จาก วิธีตรวจสอบเว็บไซต์ที่โดน Hack #7 : การตรวจสอบ Windows Server ที่ถูก Hack ด้วย PowerShell ซึ่งเป็นกระบวนการตรวจสอบ Windows Server ซึ่งโดนเจาะด้วยช่องโหว่ JCE ของ Joomla ก็มีคนถามว่า จะมีกระบวนการแก้ไขป้องกัน เหมือนกับที่ทำกับ Apache ซึ่งแสดงใน วิธีตรวจสอบเว็บไซต์ที่โดน Hack #12 : เทคนิคการตั้งค่า Apache Web Server เพื่อให้ปลอดภัยจากช่องโหว่ ตอนนี้มีคำตอบแล้วครับ เทคนิคนี้ ใช้ผ่าน Internet Information Services (IIS) Manager โดยการแก้ไข Request Filtering ในระดับ Web Server เลย โดยดำเนินการตามวิธีการต่อไปนี้ เรียก Command ด้วย การกดปุ่ม Windows + R แล้ว พิมพ์ inetmgr แล้วกดปุ่ม Enter คลิกเว็บเซิร์ฟเวอร์ของเครื่องที่ต้องการใน Connection Tab (ตัวอย่างในภาพ คลิกที่ WUNCAWEBSEC) ต่อไป ภายใต้หัวข้อ IIS ให้ Double-Click ที่ Request Filtering คลิกที่ Rules tab เพิ่มกฏสำหรับ JCE Bot ซึ่ง ไม่ต้องการให้ PHP ทำงานภายใต้ URL ซึ่งมีข้อความว่า “images/stories” โดย ไปที่ Action ด้านขวามือ แล้ว คลิกที่ Add Filtering Rules … แล้วใส่ข้อมูลตามภาพ แล้วคลิกปุ่ม OK เพิ่มกฏสำหรับ Upload โฟลเดอร์ ซึ่ง ไม่ต้องการให้ PHP ทำงานภายใต้ URL ซึ่งมีข้อความว่า “upload” โดย ไปที่ Action ด้านขวามือ แล้ว คลิกที่ Add Filtering Rules … แล้วใส่ข้อมูลตามภาพ แล้วคลิกปุ่ม OK ผลที่ได้ใน Rules tab ทดสอบผลการทำงาน สมมุติเดิมโดนวางไฟล์ Backdoor ไว้ที่ http://localhost/corin/images/stories/backdoor.php แต่เมื่อตั้ง Rules ดังกล่าวแล้ว จะทำให้ Hacker ไม่สามารถเรียกใช้งาน PHP ที่วางไว้ใน images/stories ได้ โดยจะได้ Error เช่นนี้ วิธีนี้มีข้อดีคือ สามารถป้องกันการใช้งาน PHP ใน images/stories (และใน upload โฟลเดอร์) แต่ยังสามารถเรียกไฟล์ภาพและไฟล์อื่นๆได้ตามปรกติ เช่น http://localhost/corin/images/stories/clownspin.gif ลองใช้งานดูครับ 😉
บทความนี้ เสนอเรื่อง Heartbleed Bug (CVE-2014-0160) บน OpenSSL ในส่วนของ นิยาม, รู้เรา, รู้เขา และ ตัวอย่างการทดสอบ นิยาม Heartbleed เป็นช่องโหว่ของระบบ OpenSSL เรียกว่าเป็นบั๊ก (Bug) ก็ว่าได้ ตั้งชื่อเลียนแบบการออกเสียงคำว่า Heartbeat ซึ่งเป็นการตรวจสอบว่ายัง Alive หรือไม่ โดยเป็นจุดเริ่มต้นของช่องโหว่นี้ ซึ่งจำกัดอยู่เฉพาะ OpenSSL version ตั้งแต่ 1.0.1 ถึง 1.0.1f และได้รับการแก้ไขตั้งแต่ 1.0.1g เป็นต้นมา รายละเอียดอ่านเพิ่มเติมจาก [1], [2], [3] ส่วนเครื่องใดใช้เก่ากว่า หรือ ใหม่กว่านี้ รอดครับ “OpenSSL 1.0.1 สร้างตั้งแต่ปี 2012 แต่ค้นพบปี 2013 และประกาศ CVE ปี 2014 ถามทาง NSA บอกว่า ‘เรารู้ตั้งนานแล้วแต่ไม่บอก เอ๊า คุณไม่รู้เหรอ?’ ปล่อยให้ทาง Google, Facebook, Yahoo ใช้งานกันต่อไป ตั้งแต่ 2012 ถึงตอนนี้ ไม่รู้ Password หลุดไปถึงไหนต่อไหนแล้ว ส่วนรอบนี้ Microsoft รอดไป” … คุณเกรียงไกร กล่าว (งุงิงุงิ) ดังนั้น ก็น่าคิดว่า ตั้งแต่ ปี 2012 เป็นต้นมา ถึง ปัจจุบัน ใครบ้างที่ใช้ Website ดังกล่าว และ ไม่เคยเปลี่ยนรหัสผ่านเลย … ก็ควรจะเปลี่ยนได้แล้วหล่ะครับ และควรจะใช้ 2-step Authentication ร่วมด้วย เพื่อความปลอดภัยครับ รู้เรา ก่อนอื่น ดูก่อนว่า เราใช้ OpenSSL เวอร์ชั่นที่มีช่องโหว่หรือไม่ ด้วยคำสั่ง openssl version ถ้าผลลัพท์เป็น OpenSSL 1.0.1c 10 May 2012 หรืออะไรที่อยู่ระหว่าง 1.0.1, 1.0.1a ถึง 1.0.1f ก็แสดงว่า เครื่องนี้ เสี่ยงครับ นอกเหนือจากนั้น ไม่เข้าข่ายครับ ลองไปใช้คำสั่งนี้ดู รู้เขา มีคนเก่งๆ เขาทำสิ่งที่เรียกว่า Exploit หรือ เครื่องมือในการเจาะช่องโหว่ไว้แล้ว ในที่นี้จะใช้ของ Csaba Fitzl [4] พัฒนาด้วยภาษา python ซึ่งจุดเด่นคือ สามารถเลือก Port ที่จะโจมตีได้ และ สามารถโจมตี SSL/TLS ได้หลาย Version ในครั้งเดียว ต่อไปนี้ คือขั้นตอนการทดสอบช่องโหว่ แบบที่แฮ็คเกอร์ทำ 1. เปิด Terminal ของ Linux แล้ว ดาวน์โหลดไฟล์ ด้วยคำสั่งนี้ (ซึ่งมี python ติดตั้งพร้อมใช้งาน) wget http://www.exploit-db.com/download/32764 -O hbtest.py 2. ใช้คำสั่งต่อไปนี python hbtest.py localhost การทดสอบนี้ ทดสอบบนเครื่องนี้เท่านั้น และทำกับ HTTPS ที่พอร์ต 443 เท่านั้น ถ้าต้องการยิงพอร์ตอื่น ก็ใส่ -p 445 อะไรทำนองนั้นแทน ถ้าต้องการทดสอบเครื่องอื่นๆ ก็ใช้ ชื่อเครื่องนั้นๆ แทน localhost เท่าที่เข้าใจตอนนี้ ถ้าจะทดสอบเครื่องที่เป็น Web Hosting กล่าวคือ IP เดียว แต่มี Virtual Host ในนั้นจำนวนมาก ก็ต้องระบุเป็น URL ของเว็บไซต์ต่างๆ