ยกระดับศักยภาพของทีม IT Security องค์กรด้วยการเล่น CTF

พิชญะ โมริโมโต

หัวหน้าทีมทดสอบเจาะแฮกระบบ (lead penetration tester) ของบริษัท สยามถนัดแฮก, เป็นที่ปรึกษาด้านความปลอดภัยให้หน่วยงานเอกชน, เป็นที่รู้จักกันในฐานะ หนึ่งในแอดมินกลุ่ม 2600 Thailand และเป็นหนึ่งในคนเขียนบทความลงเพจ สอนแฮกเว็บแบบแมว ๆ

ก่อนทหารจะออกรบไปเจอศัตรูจริง ๆ ในสงครามหรือการก่อการร้าย แน่นอนว่า ก็ต้องมีการซ้อมยิงปืนก่อน ไม่ใช่ว่าอยู่ดี ๆ ไม่เคยยิงปืนเลยจะออกไปต่อสู้กับผู้ก่อการร้ายได้อย่างมีประสิทธิภาพ หรือคนทั่วไปที่ไม่ได้เป็นทหารก็อาจซ้อมยิงปืนได้ในสถานที่หรือโครงการอบรมที่มีการจัดอย่างเหมาะสม โดยไม่จำเป็นต้องเป็นทหารอาชีพก็ได้ เช่นเดียวกันกับในโลก Cybersecurity การซักซ้อมการโจมตีระบบหรือป้องกันระบบ ก็เป็นสิ่งที่สามารถทำได้ เพื่อเตรียมความพร้อมล่วงหน้า หรือเพิ่มพูนความรู้ก่อนไปเจอเหตุการณ์นั้นจริง ๆ

การซักซ้อมเตรียมความพร้อมทางด้าน Cybersecurity ก็มีหลากหลายวิธีไม่ว่าจะเป็นการทำ Cyber Drill* เพื่อจำลองเหตุการณ์ภัยคุกคาม ตามแผนปฎิบัติการรองรับภัยคุกคามขององค์กร, การทำ IT Training** ตามหลักสูตรอย่างเฉพาะเจาะจงเพื่ออบรมบุคคลกรให้มีความเป็นมืออาชีพตามมาตรฐานต่าง ๆ

* https://www.catcyfence.com/it-security/services/cyber-drill/
** https://www.catcyfence.com/it-security/services/it-professional-training/

นอกเหนือจากนั้นแล้ว ในบทความนี้ผู้เขียนจะนำทุกท่านมาทำความรู้จักกับอีกวิธีการหนึ่งคือการเล่น CTF

CTF คืออะไร

CTF ย่อมาจากคำว่า Capture The Flag เป็นเกมการแข่งขันชิงธง (Flag) โดยแต่ละทีมที่เข้าร่วมการแข่งขัน (อาจจะ 1 คนหรือมากกว่าก็ได้) จะต้องชิงธงให้ได้คะแนน มากที่สุดภายในเวลาที่กำหนด (ปกติแล้วอยู่ที่ 1-3 วัน) ยิ่งทีมไหนได้ธงเยอะก็ยิ่งได้คะแนนเยอะ และทีมที่ได้คะแนนเยอะที่สุดจะเป็นผู้ชนะการแข่งขัน ซึ่งการได้มาของธงในแต่ละการแข่งขันจะแตกต่างกันไป แล้วแต่รูปแบบการแข่งขัน โดยธงในทาง Cybersecurity หมายถึงข้อความลับหรือคำตอบที่ต้องไปชิงมาเพื่อเปลี่ยนธงเป็นคะแนน

รูปแบบการแข่งขัน CTF

การแข่งขัน CTF จะมีรูปแบบหลัก ๆ อยู่ 3 รูปแบบ

  1. Jeopardy การได้ Flag ของแต่ละข้อจะมาจากการแก้โจทย์ปัญหาต่าง ๆ ที่ต้องใช้ความรู้แตกต่างกันไป เช่น การใช้ความรู้ทางด้านการเจาะระบบแอปพลิเคชันเว็บ เพื่อทำการโจมตีเพื่อไปอ่าน Flag โดยรูปแบบ Jeopardy เป็นรูปแบบที่ได้รับความนิยมสูงสุด เนื่องจากความง่ายในการจัดการแข่งขันและการเข้าร่วมการแข่งขันในรูปแบบออนไลน์

    ตัวอย่างหน้าเว็บรวมโจทย์การแข่งขัน Google CTF ในรูปแบบออนไลน์
  2. Attack and Defense เป็นการแข่งขันที่แต่ละทีมจะต้องทำการโจมตีทีมอื่นเพื่อเอา Flag ของทีมอื่นมาเพิ่มคะแนนให้กับทีมเราในขณะเดียวกันก็ต้องทำการป้องกันการโจมตีไม่ให้ทีมอื่นมาชิง Flag ของเราไป โดยปกติแล้วหาก Flag ของทีมเราโดนชิงไปจะโดนหักคะแนน ในบางการแข่งขันหากคะแนนของทีมใดต่ำกว่าที่กำหนดจะโดนปรับแพ้และให้ออกจากการแข่งขันทันที
  3. King of the Hill ในการแข่งขันจะมีเครื่องที่ทุกทีมจะต้องแข่งกันทำการโจมตีและพยายามยึดครองเครื่องนั้นให้ได้นานที่สุดยิ่งทีมไหนทำการยึดเครื่องได้นานเท่าไรก็ยิ่งได้คะแนนเยอะ ในขณะเดียวกันต้องป้องกันไม่ให้ทีมอื่นมาทำการโจมตีเพื่อยึดเครื่องนั้นเช่นกัน

หมวดการแข่งขัน CTF

การแข่งขัน CTF จะต้องนำความรู้ต่าง ๆ ที่เกี่ยวข้องกับ Cybersecurity มาใช้ เพื่อชิงธงมาให้ได้มากที่สุด ซึ่งสามารถแบ่งเป็นหมวดต่าง ๆ แตกต่างกันในแต่ละการแข่งขัน ตัวอย่างหมวดที่พบเจอได้บ่อย ๆ มีดังนี้

  • Cryptography เป็นหมวดที่เกี่ยวกับการโจมตีการเข้ารหัสต่าง ๆ เพื่ออ่านหรือแก้ไขข้อความที่ถูกเข้ารหัสอยู่ ซึ่งอาจให้เป็นโค้ดโปรแกรม หรือแอปพลิเคชัน ที่มีการเข้ารหัสที่ไม่ปลอดภัยมาให้ทำการวิเคราะห์เพื่อหาคำตอบ
  • Web/Mobile Exploitation เป็นหมวดที่เกี่ยวกับการโจมตีช่องโหว่ต่าง ๆ ของแอปพลิเคชันเว็บ เช่น ใช้ช่องโหว่ SQL Injection เพื่อเข้าไปอ่าน Flag ที่อยู่ภายในฐานข้อมูลที่เชื่อมต่อกับเว็บอีกที

    ตัวอย่างโจทย์จากการแข่งขัน Google CTF ในรูปแบบออนไลน์
  • Reverse Engineering เป็นหมวดที่เกี่ยวข้องกับการทำความเข้าใจโปรแกรมเพื่อหา Flag ที่ซ่อนอยู่ โดยอาจอยู่ในรูปแบบไฟล์ Binary (.exe, .so, .dll, .dylib, ELF) ที่ผ่านการ Compile มาแล้ว ซึ่งอาจจะเป็นโปรแกรมที่มีกระบวนการเข้ารหัส หรือมีกลไกการทำงานที่มีจุดเชื่อมต่อไปยังข้อเท็จจริงบางอย่างที่เป็นคำตอบ
  • Binary Exploitation (Pwn) เป็นหมวดที่ต้องทำการโจมตีโปรแกรม Binary ที่มีช่องโหว่ ตัวอย่างช่องโหว่เช่น Buffer Overflow, Format String และ Use-After-Free
  • Forensics เป็นหมวดที่เกี่ยวกับการวิเคราะห์การโจมตีต่าง ๆ เช่น การวิเคราะห์ข้อมูลทางด้าน Network จากไฟล์ประเภท Pcap หรือ การวิเคราะห์​ Memory ของระบบปฏิบัติการจากไฟล์​ Memory Dump หรือการวิเคราะห์ไฟล์ Partition ของ Hard Disk เป็นต้น โดยปกติแล้ว หมวด Forensics จะเป็นหมวดเน้นการป้องกันและตรวจสอบระบบมากกว่าการโจมตี โดยอาจมีจุดประสงค์เพื่อสืบค้น หาหลักฐานภัยคุกคามต่าง ๆ จากข้อมูลที่โจทย์ให้มา
  • Programming เป็นหมวดที่ต้องใช้ความรู้ทางด้านการเขียนโปรแกรมเข้ามาใช้ในการแก้ปัญหา เช่น การคำนวณที่มนุษย์ไม่สามารถทำได้ในเวลาที่กำหนด ต้องเขียนโปรแกรมขึ้นมาทำงานแทน
  • Miscellaneous เป็นหมวดอื่น ๆ ที่ไม่เกี่ยวข้องกับหมวดด้านบน หรืออาจเป็นหมวดที่เกิดจากการรวมกันจากหลาย ๆ หมวดเข้าด้วยกัน ตัวอย่างเช่นการตามหาข้อมูลอะไรบางอย่างที่คนออกโจทย์ไปซ่อนไว้ในโลกออนไลน์จากคำค้นที่กำหนดให้

โจทย์ CTF ที่ดีควรมีการออกแบบอย่างรอบคอบ ให้เหมาะสมเช่น ควรเน้นการใช้ความรู้มากกว่าการให้เดาสุ่มอย่างไร้ทิศทาง (อย่างการซ่อน web path ลับที่ปกติแล้วไม่มีอยู่จริง), การป้องกันไม่ให้ผู้เข้าแข่งขันที่เอาชนะโจทย์ได้สามารถขัดขวางไม่ให้ผู้อื่นสามารถหาคำตอบได้, ควรมีการระบุรูปแบบของค่า Flag ให้ชัดเจนเช่น flag{มีตัวอักษร a-z0-9 ยาว 32 ตัวอักษร} เพื่อให้ผู้เข้าแข่งขันมีความเข้าใจที่ถูกต้องว่าได้ทำโจทย์สำเร็จแล้วจริง ๆ, การหลีกเลี่ยงโจทย์ที่ถ้าผู้เข้าแข่งขันผู้ใด ใช้คอมพิวเตอร์ที่มีการประมวลผลสูงจะได้เปรียบผู้อื่นอย่างมีนัยสำคัญ เป็นต้น

นอกจาก CTF ยังมีการแข่งขันที่เรียกว่า Wargame ซึ่งหากจะให้อธิบายง่าย ๆ Wargame คือ CTF ที่ไม่จำกัดเวลา เป็นโจทย์ที่มีไว้เพื่อฝึกพัฒนาตนเอง โดยอาจมีคะแนนแต่ไม่มีการจบการแข่งขันสามารถทำต่อได้เรื่อย ๆ เท่าที่ต้องการ

ตัวอย่าง Wargame จากเว็บ root-me.org

เล่น CTF เพื่ออะไร

มาถึงตรงนี้ผู้อ่านอาจมีคำถามว่าเราจะเล่น CTF ไปเพื่ออะไร?

  • เล่นเพื่อความบันเทิง มีหลาย ๆ คนที่เล่นเพื่อความบันเทิง เล่น CTF เป็นงานอดิเรก มองการเล่น CTF เหมือนการเล่นเกม (เหมือนเจอเพื่อนเพื่อเล่นบีบีกันหรือบอร์ดเกม) ที่ต้องใช้ความรู้ทางด้าน Cybersecurity เพื่อใช้ในการผ่านแต่ละด่าน ใช้ความสามารถในการเขียนโค้ดโจมตีระบบ (Exploit) เพื่อฆ่าบอสแต่ละตัวเท่านั้นเอง
  • เล่นเพื่อการเรียนรู้ โจทย์​ CTF ส่วนใหญ่จำเป็นต้องใช้ความรู้เกี่ยวกับ Cybersecurity ในการแก้โจทย์ ซึ่งหลาย ๆ ข้อเป็นการสร้างโจทย์ให้เสมือนสถานการณ์จริง แต่อาจถูกทำให้ง่ายขึ้นเพื่อให้ง่ายต่อการทำความเข้าใจและสามารถทำการโจมตี หรือวิเคราะห์ได้ภายในเวลาที่กำหนด
  • เล่นเพื่อสร้างชื่อเสียงและโอกาสในการได้งาน การเล่น CTF เป็นอีกหนึ่งวิธีในการเข้าสู่สายงานทางด้าน Cybersecurity โดยสามารถเริ่มได้ตั้งแต่ขณะกำลังเรียนมัธยมหรือมหาวิทยาลัย ในการสมัครงานของหลาย ๆ บริษัททางด้าน Cybersecurity ในประเทศไทย หากผู้สมัครมีประสบการณ์หรือชนะการแข่งขัน CTF จะได้รับการพิจารณาเป็นพิเศษ
การแข่งขัน HITB CTF ที่ทุกทีมต้องมาเจอกันในสถานที่จริง
ที่มา: https://www.helpnetsecurity.com/2019/09/19/hitb-pro-ctf/

กรณีศึกษาของการใช้ CTF

นอกจาก CTF จะถูกใช้ในการแข่งขันต่าง ๆ แล้วยังถูกใช้ที่ไหนอีก?

  1. การแข่งขัน CTF ภายในของเฟซบุ๊ก ชื่อว่า Hacktober Security Challenge เพื่อให้พนักงานภายในบริษัทมีความตระหนักถึงเทคนิคทางด้าน Cybersecurity เชิงลึกต่าง ๆ (เพราะเฟซบุ๊กบอกว่า Awareness Training น่าเบื่อมาทำอะไรสนุก ๆ กันแทนดีกว่า!)
  2. การซ้อมรบทางไซเบอร์ของโรงเรียนนายร้อย ที่สหรัฐอเมริกาและแคนาดา มีการจัดงานซ้อมรบไซเบอร์ประจำปีชื่อว่า Cyber Defense Exercise (CDX) ซึ่งจัดโดย NSA (National Security Agency) เพื่อซักซ้อมให้เจ้าพนักงานในกองทัพมีความรู้ความสามารถในการป้องกันและโจมตีทาง Cybersecurity
  1. ในการอบรมของบริษัท SANS ซึ่งเป็นการอบรมสำหรับหน่วยงานที่ต้องการความรู้เชิงลึก โดยมูลค่าการอบรม มีราคาอยู่ที่ ประมาณสองแสนบาท (7,340 USD) ต่อ 1 บุคคล/ครั้ง ได้เลือกนำ CTF มาใช้ในส่วนสุดท้ายของการอบรมในหลายหลักสูตร เพื่อเป็นการทดสอบว่า ตลอดระยะเวลาทั้งการอบรม ผู้เรียนมีความรู้และความเข้าใจกับการอบรมมาก-น้อย แค่ไหนและการทำ CTF เป็นอีกวิธีที่ทำให้ผู้เรียนนั้นได้ลงมือปฎิบัติจริง ๆ
  1. แพลตฟอร์ม Wargame ชื่อว่า Hack The Box หากผู้ใช้งานสมัครใช้งาน เมื่อทำการแก้โจทย์ในแพลตฟอร์มจะได้คะแนน CPE (Continuing Professional Education) ซึ่งสามารถนำไปต่ออายุใบรับรองในระดับสากลของ (ISC)² ได้

จับคู่ ศักยภาพทางด้าน Cybersecurity กับ CTF

ตัวอย่างตาราง หมวดของ CTF จับคู่กับ ศักยภาพ ที่ใช้ทำงานได้จริง

หมวด CTF ศักยภาพหรือความสามารถในการทำงาน
Web/Mobile Exploitation ทักษะในการตรวจสอบและวัดระดับความปลอดภัยระบบสารสนเทศ (Application Penetration Testing)
Reverse Engineering ทักษะในการวิเคราะห์ทำความเข้าใจ การทำงานของโปรแกรมโดยที่ไม่มีโค้ดประกอบ ซึ่งมีความสำคัญเป็นอย่างยิ่งในการตรวจสอบการทำงานของมัลแวร์ (Malware Analysis) หรือค้นหาช่องโหว่ในซอฟต์แวร์สำเร็จรูปต่าง ๆ (ที่ไม่เปิดเผยโค้ด) เช่น ช่องโหว่ของส่วนประกอบในระบบปฏิบัติการ Windows 10 เป็นต้น
Cryptography ทักษะการตรวจสอบว่าการใช้งานการเข้ารหัสมีการพัฒนาที่ถูกต้อง หรือมีการใช้ Algorithm ที่ไม่ปลอดภัยหรือไม่ และถ้าหากไม่ถูกต้องหรือไม่เหมาะสม จะมีวิธีการในการพิสูจน์อย่างไร
Binary Exploitation (Pwn) ทักษะในการทำความเข้าใจการทำงานของโปรแกรม เพื่อหาช่องโหว่และเขียนโค้ด เพื่อใช้ในการโจมตีโปรแกรมในรูปแบบ Binary และทำให้เข้าใจถึงกระบวนการโจมตีโปรแกรมต่าง ๆ เพื่อใช้ในการทดสอบความปลอดภัยหรือการดำเนินการป้องกันโปรแกรมต่อช่องโหว่เหล่านั้น
Forensics ทักษะการตรวจสอบและวิเคราะห์หาร่องรอยการโจมตีต่าง ๆ ในระบบสารสนเทศ เพื่อตรวจสอบเหตุการณ์ภัยคุกคามทาง Cybersecurity ภายในองค์กร
Programming ทักษะในการเขียนโปรแกรม โดยเฉพาะอย่างยิ่งเพื่อนำมาใช้ในงานที่ต้องทำซ้ำ ๆ ในการป้องกันระบบ หรือตรวจสอบความปลอดภัยระบบสารสนเทศ 

การเริ่มต้นกับ CTF

จากที่เล่ามาผู้อ่าน อาจจะอยากรู้แล้วว่า เราจะเริ่มต้นกับ CTF ได้อย่างไร? การแข่งขัน CTF สามารถดูกำหนดการ ของรายการการแข่งขันในอดีต ปัจจุบันหรือที่กำลังจะจัดในอนาคต ได้ที่เว็บไซต์ https://ctftime.org โดยบุคคลทั่วไปสามารถเข้าไปสมัคร ระบุชื่อทีม ประเทศ เพื่อสะสมคะแนนจากรายการแข่งขัน CTF ต่าง ๆ ได้ด้วย

สำหรับในประเทศไทยมีการแข่งขัน CTF ที่น่าสนใจและจัดเป็นประจำดังนี้

  1. Thailand CTF Competition จัดโดย สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)เคยจัดมาแล้ว 4 ครั้ง ครั้งแรกปี 2015, ครั้งที่ 2 ปี 2017, ครั้งที่ 3 ปี 2018, ครั้งที่ 4 ปี 2019 เพื่อคัดเลือกตัวแทนประเทศไทย เข้าร่วมการแข่งขัน Cyber Sea Game ร่วมกับกลุ่มประเทศอาเซี่ยนLink: https://www.thailand-ctf.org (ไม่สามารถเข้าได้หลังจบการแข่งขัน), และติดตามข้อมูลได้จากเฟซบุ๊กเพจ https://www.facebook.com/ETDA.Thailand
  2. Financial Cybersecurity Boot Camp
    จัดโดย ธนาคารแห่งประเทศไทย (ธปท.), สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.), สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.),  สมาคมธนาคารไทย และ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)เคยจัดมาแล้ว 4 ครั้ง ติดต่อกัน 4 ปี คือ ครั้งแรกปี 2017, ครั้งที่ 2 ปี 2018, ครั้งที่ 3 ปี 2019, ครั้งที่ 4 ปีนี้ (2020)Link: https://www.facebook.com/FincybersecThailand
  3. Thailand Network Security Contest
    จัดโดย บริษัท เดอะ คอมมูนิเคชั่น โซลูชั่น จำกัด (TCS) ร่วมกับ สำนักงานคณะกรรมการการอุดมศึกษา (สกอ.)

    เคยจัดมาแล้ว 10 ครั้ง คือ ครั้งแรก ปี 2006, ครั้งที่ 2 ปี 2007 ,ครั้งที่ 3 ปี 2008, ครั้งที่ 4 ปี 2009, ครั้งที่ 5 ปี 2010 ,ครั้งที่ 6 ปี 2011, ครั้งที่ 7 ปี 2012 ,ครั้งที่ 8 ปี 2013, ครั้งที่ 9 ปี 2016 และครั้งล่าสุดครั้งที่ 10 ในปี 2017
    Link: https://www.facebook.com/thailandnsc
  4. STDiO (Student in Offensive Security) CTF Competition
    จัดโดย คณะเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) มหาวิทยาลัยมหิดล และ ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)

    เคยจัด 1 ครั้ง ในปี 2020 เพื่อคัดเลือกนักศึกษาไปแข่งในรายการ Global Cybersecurity Camp (GCC) ในระดับนานาชาติ และมีแผนจะจัดอย่างต่อเนื่องในทุก ๆ ปีLink: https://www.facebook.com/STDiO-CTF-Competition-107647900663121/

และรายการอื่น ๆ อีกส่วนหนึ่ง ที่มีการจัดเฉพาะกิจตามวาระโอกาสของบริษัทหรือหน่วยงานต่าง ๆ

Wargame ฟรี

ในความเป็นจริงแล้ว CTF สาธารณะทั่วไปเป็นการแข่งขันที่ส่วนมาก อาจจะยากสำหรับผู้เริ่มต้น ผู้เขียนจึงแนะนำว่า ท่านที่สนใจสามารถลองเล่นกับระบบที่เป็นในรูปแบบ Wargame ก่อนได้ มีทั้งฟรีและเสียเงินโดยส่วนตัวผู้เขียนมองว่า Wargame ในรูปแบบฟรี ก็เพียงพอแล้วไม่จำเป็นต้องเสียเงินก็ได้ ในรูปแบบเสียเงินส่วนมากก็ไม่ได้มีอะไรแตกต่างกันอย่างมีนัยสำคัญ

  1. Root-me.org
    เป็นเว็บที่รวมโจทย์ Cybersecurity ไว้อย่างหลากหลาย หมวดหมู่ ในแต่ละข้อมีข้อมูลที่เกี่ยวข้อง พร้อมทั้งข้อแนะนำด้วยว่าควรอ่านในเรื่องอะไร
    Link: https://www.root-me.org/en/Challenges 
  2. Portswigger Web Security Academy
    เว็บที่ดูแลโดย บริษัท Portswigger ผู้พัฒนาโปรแกรม Burp Suite โดยเนื้อหาจะเกี่ยวกับ Web Exploitation พร้อมมี Lab ที่เกี่ยวข้องกับหัวข้อนั้น ๆ
    Link: https://portswigger.net/web-security/all-labs
  3. OverTheWire
    เป็นเว็บรวม Wargame มีหลายหมวดตั้งแต่ Basic Linux ไปจนถึง Web Exploitation โดยรูปแบบจะเป็น เส้นตรง คือต้องผ่านข้อก่อนหน้าถึงจะไปทำข้อต่อไปได้
    Link: https://overthewire.org/wargames
  4. CryptoHack และ Cryptopals
    เป็น Wargame เกี่ยวกับช่องโหว่ต่าง ๆ ของการเข้ารหัสและถอดรหัส
    Link: https://cryptohack.org, https://cryptopals.com
  5. Hack The Box
    เว็บรวมโจทย์จำลองการทดสอบเจาะระบบที่มีทั้งระบบปฎิบัติการ Windows และ Linux โดยผู้ใช้งานจะได้เริ่มตั้งแต่การหาช่องโหว่ไปจนถึงการโจมตี โดยจะมี 10 เครื่องล่าสุด ที่สามารถทดสอบเจาะระบบได้ฟรี (เครื่องเก่ากว่านั้นจะต้องเสียเงินรายเดือน/ปี)
    Link: https://www.hackthebox.eu
  6. Vulnhub
    เป็นเว็บที่รวบรวมไฟล์โจทย์ซึ่งเป็น Virtual Machine โดยสามารถโหลดมาลองแฮกกันได้แบบฟรี ๆ
    Link: https://www.vulnhub.com
  7. Microcorruption
    เป็นเว็บ Wargame ของโจทย์ Cybersecurity เกี่ยวกับการทำ Reverse Engineering ฉบับเริ่มต้น
    Link: https://microcorruption.com
  8. Vulhub
    เป็น git repository ที่รวม docker ของช่องโหว่ที่มี CVE ต่าง ๆ จำนวนมาก สามารถนำมาเปิดเล่นเพื่อทดสอบแฮกช่องโหว่ ที่เคยมีมาในอดีตได้บนเครื่องของตัวเอง ได้ง่าย ๆ
    https://github.com/vulhub/vulhub

เว็บอื่น ๆ ที่น่าสนใจอีก เช่น

ถ้าใครอ่านมาถึงตรงนี้เรื่องท้ายสุดที่ผู้เขียนอยากจะแบ่งปันก็คือ ความรู้ทางด้าน Cybersecurity มีการเปลี่ยนแปลงอยู่ตลอดเวลา ตามเทคโนโลยีใหม่ ๆ มากมาย หลาย ๆ คน หลาย ๆ องค์กรมักจะให้ความสนใจกับเรื่องใบรับรอง Certificate ต่าง ๆ ว่าต้องมีใบนั้นใบนี้ถึงจะทำงานได้ ตัวอย่างเช่นการทดสอบแอปพลิเคชันเว็บ หรือโทรศัพท์มือถือ แต่ในความเป็นจริง ความรู้เชิงการนำไปใช้งานจริงของ Certificate และการอบรมส่วนมากเป็นเพียงความรู้ขั้นพื้นฐาน (ต่อให้ชื่อใบรับรองนั้นจะเท่แค่ไหน) เพราะเทคโนโลยีที่เราจะต้องเอา Cybersecurity ไปจับในระบบสารสนเทศขององค์กร มันมียิบย่อยมาก เช่น องค์กรอาจจะใช้แอปฯ ที่เขียนด้วย Flutter ผูกกับข้อมูลเก็บใน Firebase และมี network infrastructure อยู่บน Google Cloud Platform (ตัวอย่างเฉย ๆ) ซึ่งถ้าหาก คนทำงานด้าน Cybersecurity มีเพียงความรู้ตาม IT Security Certificate ของการทดสอบความปลอดภัย แอปพลิเคชันโทรศัพท์เพียงอย่างเดียว ก็ไม่อาจให้คำแนะนำอย่างถูกต้องเหมาะสม ในการดูแลความปลอดภัยแอปฯ ดังกล่าวได้ ก็ต้องไปหาข้อมูลไปลองทำเพิ่มเติมใน ส่วนที่อาจนำมาเสริมได้ คือการฝึกซ้อมทางด้าน Cybersecurity อย่างการเล่น Wargame หรือ CTF ภายในองค์กร สามารถเข้ามาเป็นส่วนเติมเต็มจาก ความรู้พื้นฐานที่ใบรับรองต่าง ๆ ปูพื้นมาให้มีความเข้าใจในเชิงปฏิบัติมากยิ่งขึ้นพร้อมกับความสนุกด้วย เหมือนการเล่นเกมนั่นเอง

 

เขียนโดย : พิชญะ โมริโมโต

หัวหน้าทีมทดสอบเจาะแฮกระบบ (lead penetration tester) ของบริษัท สยามถนัดแฮก, เป็นที่ปรึกษาด้านความปลอดภัยให้หน่วยงานเอกชน, เป็นที่รู้จักกันในฐานะ หนึ่งในแอดมินกลุ่ม 2600 Thailand และเป็นหนึ่งในคนเขียนบทความลงเพจ สอนแฮกเว็บแบบแมว ๆ

Tagged on:


เนื้อหาที่เกี่ยวข้อง

1. 10 วิธีสังเกต Phishing Email เมลไหนหลอก ดูยังไง

2. น้ำหก กาแฟหก ใส่โน๊ตบุ๊ค ต้องทำยังไงบ้าง

3. ตัวตนบนโลกออนไลน์ ทำไมบางคนเลือกปกปิด

4. ทำความรู้จักกับ Cyber Resilience สิ่งที่ทำให้ไปต่อได้ ในทุกสถานการณ์

5. ภัยไซเบอร์ในปี 2021 ทิศทางจะเป็นอย่างไร