Ubuntu OVAL Update2

จากโพสตั้งต้น เมื่อ 6 เดือนก่อนที่https://sysadmin.psu.ac.th/2023/02/14/ubuntu-oval/ มาดูว่ามีอะไรเปลี่ยนแปลงไปบ้างในรายงาน OVAL 1.1. v1.2.16 เมื่อวันที่ 6Feb2023@1632 สำหรับ Ubuntu 20.04 LTS1.2. v1.2.17 เมื่อวันที่ 18Aug2023@0234 สำหรับ Ubuntu 22.04 LTS 2.1. เมื่อวันที่ 6Feb2023@0635 มี 1049 Definitions, 2284 Tests, 2264 Variables สำหรับ Ubuntu 20.04 LTS2.2. เมื่อวันที่ 14Jul2023@0240 มี 513 Definitions, 1043 Tests, 735 Variables สำหรับ Ubuntu 22.04 LTS2.3. เมื่อวันที่ 16Aug2023@0037 มี 550 Definitions, 1123 Tests, … Read more

อย่าเชื่อเครื่องมือมากเกินไป …

เมื่อเดือนมีนาคม 2561 ผมได้ทำการทดสอบเครื่องมือเจาะระบบ “N”  (ใช้ทดสอบว่าระบบเป้าหมายมีช่องโหว่ใดให้โจมตีบ้าง) ภายใต้ภาระกิจ “Honeypot” เพื่อทดสอบว่า เครื่องมือดังกล่าว สามารถรับรองความปลอดภัยของระบบปฏิบัติการของเครื่องเซิร์ฟเวอร์ ก่อนที่จะอนุญาตให้เข้าถึงได้จากอินเตอร์เน็ตได้หรือไม่ *** การทดลองนี้อยู่ในสภาวะควบคุมที่รัดกุม เป็นระบบที่สร้างขึ้นมา แยกออกจากระบบอื่นที่อาจจะได้รับผลกระทบ และเป็นการทดลองเพื่อวัดความสามารถของเครื่องมือ ไม่ได้มุ่งโจมตีผู้ใด หรือระบบใด *** วิธีการทดสอบ จัดให้มีเครื่องทดสอบ ชื่อ honeypot.in.psu.ac.th อยู่บน VM และใช้เครื่องมือเจาะระบบ “N” ตรวจสอบ 2 ครั้ง โดยครั้งแรก (Baseline 01) เป็นการติดตั้งระบบปฏิบัติการ Ubuntu 16.04 LTS แบบ Default และ Update ให้เป็นปัจจุบันที่สุด แล้วรีบแจ้งให้ “N” ตรวจสอบ ครั้งที่ 2 (Baseline 02) ทำการติดตั้ง Web Server, PHP, MySQL และติดตั้งช่องโหว่อย่างง่ายที่พัฒนาขึ้นเอง … Read more

วิธีใช้งาน Kali Linux – OWASP Zap – Active Scan

ใน Kali Linux มีเครื่องมือ Web Application Security Scanner ที่น่าสนใจตัวหนึ่ง คือ OWASP Zap (Open Web Application Security Project) เหมาะสำหรับการใช้งานตั้งแต่การทดสอบเบื้องต้น ไปจนถึงการโจมตีขั้นสูงได้ *** คำเตือน : อย่าใช้เครื่องมือนี้กับระบบคอมพิวเตอร์ที่ท่านไม่ใช่เจ้าข้องเด็ดขาด *** ในบทความนี้ จะแสดงขั้นตอนการทดสอบ Web Application โดยใช้กระบวนการ Active Scan ใน Kali Linux เปิด Applications > 03 Web Application Analysis > owasp-zap เลือก No, I do not want to persist this session at this … Read more

การ Encrypt/Decrypt ข้อมูลในไฟล์ Web.config

การเข้ารหัส (Encrypt) ไฟล์ Web.config ถือเป็นวิธีการหนึ่งในการช่วยเพิ่มความปลอดภัยและช่วยป้องกันการถูกโจมตีจากผู้บุกรุกในการเชื่อมต่อกับฐานข้อมูล เนื่องจากไฟล์ web.config เป็นที่รวมการ config ค่าต่างๆ ของ web application ของเราไว้ เช่น ข้อมูลรหัสผ่านสำหรับการเชื่อมต่อฐานข้อมูล (ConnectionString), AppSetting, คีย์ API หรือข้อมูลสำคัญอื่นๆ ที่เกี่ยวกับการตั้งค่าต่างๆ โดยบทความนี้นำเสนอการเข้ารหัสและการถอดรหัส (Encrypt/Decrypt) ไฟล์ Web.config ด้วยคำสั่งผ่าน Command line โดยใช้ tools ที่มากับ .NET Framework ดังนั้นเครื่องคอมพิวเตอร์ของเราจะต้องมีการติดตั้ง .NET Framework ไว้อยู่ก่อนแล้ว สำหรับข้อมูลในไฟล์ Web.config จะถูกแบ่งออกเป็น section หลายๆ section ด้วยกัน โดยผู้เขียนจะขอยกตัวอย่างการ Encrypt/Decrypt ข้อมูลในส่วนของ section<connectionString>ดังนี้   ก่อนทำการ Encrypt Web.config ที่ section <connectionStrings> ซึ่งเก็บข้อมูล … Read more

นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ มหาวิทยาลัยสงขลานครินทร์ 23 มีนาคม 2561

นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ มหาวิทยาลัยสงขลานครินทร์  เมื่อวันที่ 27 เมษายน 2561 สำนักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ได้ผ่านความเห็นชอบการจัดทำแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของมหาวิทยาลัยสงขลานครินทร์ อ่านได้จากไฟล์ตามลิ้งค์นี้ https://www.cc.psu.ac.th/pdf/PSU_IT_Sec_Policy_23Mar2018.pdf ซึ่งฉบับแรกผ่านเมื่อวันที่ 27 เมษายน 2558 และล่าสุดทบทวนเมื่อวันที่ 23 มีนาคม 2561 โดยมหาวิทยาลัยสงขลานครินทร์อยู่ในบันทึกลำดับที่ 99 จากทั้งหมด 154 หน่วยงาน ตามประกาศ http://www.etcommission.go.th/etc-annoucement-sp-p1.html เป็นมหาวิทยาลัยแรกที่มีการทบทวนนโยบายตั้งแต่มีการเริ่มประกาศใช้ ผู้ใช้ไอทีทุกระดับควรได้เปิดอ่าน ทำความเข้าใจ และนำไปปฏิบัติความปลอดภัยไอที ม.อ. ทุกคนมีส่วนร่วมกันดูแล ครับ 😀 ก้าวต่อไปเพื่อเพิ่มความปลอดภัยข้อมูลส่วนบุคคลที่อยู่บนระบบไอที ม.อ. จะได้จัดทำแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐซึ่งตามข้อมูลเมื่อวันที่ 27 ธันวาคม 2560 มีเพียง 14 หน่วยงานที่ผ่านความเห็นชอบแล้วตามประกาศ http://www.etcommission.go.th/etc-annoucement-dp.html และมุ่งไปสู่ความปลอดภัยไอทีของ ม.อ. ที่มีการดูแลอย่างใกล้ชิดตามแนวทาง Center for Internet Security : CIS Control v7 ซึ่งผมได้เริ่มต้นแปลบางส่วน ให้ผู้สนใจเริ่มทำความคุ้นเคยได้จาก … Read more