Skip to main content

ทำไมต้องมีการทดสอบเจาะระบบ (Why Penetration Testing !!)


คุณเคยสงสัยหรือป่าว เวลามีคนบอกว่าทำงาน Pentest มันคืออะไร ทำไรวะ มีด้วยเหรอ ผมจะมาเล่าให้ฟังคร่าวๆ แบบคนทั่วไปฟังรู้เรื่อง

เหตุเกิดจากว่าผมจะเจอเป็นประจำเวลาเจอเพื่อน เจอคนรู้จักที่ไม่ได้ทำงานในสายนี้ มักมีคนถามว่า

"มึงทำงานไรวะ Pentest ไม่เคยได้ยิน"  หรือ
"เห็นบอกทำงานเจาะระบบช่วย hack เงินในเกมส์ให้หน่อย",
"เฮ้ย hack เงินแทงบอล ให้กูหน่อยดิ" ,

บางคนก็ถามว่า "ทำ pentest กรณีคนลืม password เหรอ" หรือ
"ทำไมต้องทำการทดสอบเจาะระบบ มันเป็นเรื่องผิดกฎหมายรึป่าว"

บางคนว่าเป็นงานโจรก็ยังมี ก็อธิบายกันไป ^^  ไม่ว่าอะไร เพราะผมก็ไม่ได้รู้มาก่อนเหมือนกัน

ก็เลยคิดว่าเขียน blog อันนี้ขึ้นมาเพื่อให้ผู้ที่ไม่รู้ได้ทราบแบบง่ายๆ เอาที่คนทั่วไปเข้าใจ

--------------------------------------------------------------------------------------------------------------------------
คือเมื่อ พูดถึงการรักษาความปลอดภัยทางคอมพิวเตอร์และเครือข่าย เกือบทุกคนน่าจะคุ้นเคยเฉพาะด้านการป้องกัน หรือ Defensive Security เช่นการใช้ไฟล์วอลล์, ips, ids, หรือการทำ ISO, policy อบรมให้ user มี awareness  อะไรประมาณนี้ 

แต่ในมุมกลับกัน ก็มีคนกลุ่มนึงที่ทำงานด้าน Offensive Security เป็นการทดสอบโจมตีระบบ แล้วเขาทำไปเพื่อ? ทำไมบริษัท องค์กรหลายแห่งต้องจ้างมาโจมตีระบบตัวเอง ก็เพราะว่า ทุกวันนี้ภัยร้ายหรือการโจมตีในโลก cyber มันเยอะขึ้นทุกวันนะสิ ยิ่งช่วงนี้ถ้าคุณเป็นคนติดตามข่าวหน่อยก็คงได้ยินเรื่องของ hacker บ่อยๆ ว่าไป hack กระทรวงนั่น องค์กรนี่ ทำให้บริษัทขาดทุน หรือเสียผลประโยชน์เป็นมูลค่ามหาศาล (อย่าง sony ไง ลองหาอ่านกันดู) 

 ทีนี้ถามว่าองค์กรที่โดน hack เนี่ยเขาไม่มีการป้องกันทางด้าน cyber ใช่ไหม ป่าวเลย จริงๆแล้วมีนะละ ทั้ง Firewall, IPS, IDS, Mail security gateway หรือพวก proxy ทั้งหลาย ก็ใช้กันมาตั้งนาน เหมือนเป็น best practice ว่าต้องมีนะเพื่อป้องกันการโจมตี แต่เอาเข้าจริงแล้ว พอเจอการโจมตีจากคนที่มีทักษะสูงหน่อย ก็พวก hacker นะละ มันก็ป้องกันได้ไม่หมด ก็ได้แค่ลดความเสี่ยงลง เพราะอุปกรณ์พวกนี้ถึงจะพัฒนามาฉลาดเพียงใด แต่มันก็ทำงานตาม signature, pattern ซะเป็นส่วนใหญ่ แล้ว hacker ที่ไหนจะโจมตีในแบบที่ป้องกันได้ละ 55^^ ไม่มีหรอก 

นั่นละ ถึงต้องมีการจ้างคนที่มีทักษะด้านการโจมตี มาลองเจาะระบบดูว่า องค์กรมีความเสี่ยง หรือช่องโหว่ที่ hacker หรือผู้ไม่หวังดีสามารถใช้ในการโจมตีได้หรือไม่ เมื่อได้รายงานจากการทดสอบ ก็นำไปปรับปรุงแก้ไขช่องโหว่ที่มีอยู่ก่อนที่จะโดนโจมตีจริงๆ 

คราวนี้ก็คงเข้าใจแล้วว่าทำไมต้องทำ Pentest สั้นดีป่ะ (เนื้อนิดเดียว น้ำเยอะมาก ^^)

แต่แอบบอกนิดนึงว่า บางองค์กรก็ไม่ได้จ้างทำ Pentest เพราะกลัวโดน hack อย่างเดียวหรอกนะ คือต้องบอกว่าเนื่องจากมันเหมือน trend ของ IT ด้วยละ และอีกอย่างคือถ้าบริษัทไหนมี IT Audit ละก็คงพอทราบว่าจะต้องมี report การทำ Pentest หรือ ตรวจสอบหาช่องโหว่แนบเพื่อปิด Audit task ด้วย ก็ว่ากันไป ยิ่งถ้าเป็นพวกสถาบันการเงิน หรือเกี่ยวกับเงินๆทองๆ หรือมีธุรกรรมบน Internet นิ จำเป็นมากๆ (ไม่กล่าวถึงต่อนะ ยาว)

โดยที่การทดสอบที่ดี ควรจะทำตั้งแต่เป็น develop phase คือก่อนจะนำ web หรือ app ตัวใดมา production แก่ผู้ใช้งานทั่วไปใน internet ก็ควรจะทดสอบก่อนเลย 

ขั้นตอนและรายละเอียดในการตรวจสอบก็มีพอสมควรแต่จะไม่กล่าวถึงในบทนี้เนาะ 

Labels:

Comments

Post a Comment

Popular posts from this blog

Patch Management และ Hardening คืออะไร/ ยังไง พร้อมวิธีการ ตอนที่ 2

ใครที่ยังไม่ได้อ่านตอนแรก สามารถอ่านได้ที่ Patch Management และ Hardening คืออะไร/ ยังไง พร้อมวิธีการ ตอนที่  1 4. การ Maintenance      หลังจากที่เราทำการ implement เสร็จแล้ว ไม่ใช่ว่าจะจบกันเท่านี้ มันแค่เริ่มต้น It's just the beginning. ก็ต้องมีขั้นตอนในการที่ดูแล และ up-to-date ให้อุปกรณ์ในระบบไม่มีช่องโหว่ต่อไป รวมถึงปรับปรุง template ในการ hardening เป็นประจำด้วย จะกล่าวถึงต่อไปนะ โดยปกติที่ผมเคยทำมา จะมีการกำหนดให้คนนึงที่อาจจะเป็น Security Consult ของแต่ละ platform แต่ละแผนก ในการทำ subscribe ไปยัง vendor ต่างๆ ตามอุปกรณ์ที่ดูแลอยู่เพื่อรับข่าวสาร และได้รับ notification เวลามี security update เพื่อจะนำมาวิเคราะห์ดูว่าระบบที่เราดูแลอยู่นั้นมีช่องโหว่ใหม่ๆ ที่เกี่ยวกับอุปกรณ์ของเราเกิดขึ้นหรือไม่ ถ้ามีก็ต้องนำมาเข้าสู่กระบวนการดังที่กล่าวไปข้างต้น มีคนแล้วก็ต้องมี policy องค์กรก็ต้องมีการกำหนด policy ขึ้นมาเพื่อใช้ควบคุมระยะเวลาที่องค์กรยอมรับความเสี่ยงต่อช่องโหว่ในระดับต่างๆได้ ยกตัวอย่างให้เห็นภาพ ที่ผู้เขียนเคยทำมา เช่น ถ้ามีช่องโหว่เกิดขึ้นใหม่...
Post a Comment
Read more

CesarFTP BOF Review / Review การทำ Buffer Overflow CesarFTP

version ภาษาไทย ไว้มีเวลาจะมา update ภายหลังครับ Today I would like to review my old one lesson about buffer overflow before I take the OSCP exam in 2015. I wish you learn basic BOF from this post. CesarFTP is the one ftp software which is vulnerabled to BOF (buffer overflow). 1. The first step I download vulnerabled software from internet and install on WinXP (vm) and then 2. Try to search for exploit in my kali linux  (No, I don't exploit by metasploit just find the start code and try to make it overflow) This original python 1906.py code is as picture below. I have to change "host" ip before do next step. ***Let's take a look at "buffer". That is something I have to modify later.*** but right now I begin with Fuzzing to find how many characters can crash this application ? 3. Control EIP address - try to replace character after  "\n" * 671 by "A" 350 characters and found that Cesar not be crashed. - Let...
Post a Comment
Read more

My OSCP Review <-> รีวิว ประสบการณ์การสอบ OSCP ( It is just the beginning)

เนื้อหาภาษาไทยสามารถดูได้ด้านล่างนะครับ About me I would like to tell you before that my english writing skill is not good, ^^", but I will try . I was Network Engineer and System Engineer with 10 years working experience and have CCNP, CCNP Security, CCDP, ITIL, MCP and I have experience in ISO27001 for 4 years. Right now I move to be a Penetration Tester in new company for 6 months. Inspiration Actually before getting a new job as pentester I would like to take CEH or ECSA certificate. But after do a new job, my three colleagues have OSCP and they are my model. All of them have an awesome skill. Then I try to find more information about OSCP and found that OSCP is very difficult to pass, no exam dump, no one answer you. Although I have a few experience on hacking but I think I can try and TRY HARDER. OSCP Course There are two course manual, pdf and video that are dependent. After I got them I tried to read from PDF only but not enough, many technics ar...
14 comments
Read more