English
ไทย (Thai)

Security

ทำไมโดรนบ้านๆ ไม่ควรนำไปใช้ในสนามรบ: บทเรียนจากความขัดแย้งไทย-กัมพูชา

MAYASEVEN Team
Case Study, Security
No Comments
ช่วงที่ชายแดนไทย-กัมพูชาตึงเครียดกันใหม่ ๆ เราเห็นข่าวว่าฝ่ายไทยได้มีข่าวการนำโดรน DJI ไปบินลาดตระเวนด้วย ซึ่งถ้ามองในมุมคนชอบเทคโนโลยี มันก็เป็นไอเดียที่ดีนะครับ โดรนราคาไม่ถึงแสน บินได้นิ่ง ถ่ายภาพชัด แถมซื้อหาง่ายอีกต่างหาก แต่ปัญหาคือ “ของบ้านๆ” แบบนี้มันไม่ถูกออกแบบมาสำหรับสนามรบจริง ๆ สุดท้ายก็มีผู้เชี่ยวชาญเปิดประเด็นขึ้นมาว่า โดรนพวกนี้เสี่ยงต่อการถูกฝ่ายตรงข้ามจับตำแหน่งได้แบบเรียลไทม์ แล้วถ้ารู้ตำแหน่งนักบินเมื่อไหร่ ก็เหมือนการชี้เป้าให้ยิงกลับมาหาเราเองเลยครับ เพราะอะไรโดรนบ้านๆ ถึงอันตรายในสนามรบ? โดรนพลเรือนอย่าง DJI ถูกออกแบบให้มีระบบ Remote ID หรือบางคนเรียก DroneID ทำหน้าที่เหมือน “ป้ายทะเบียนบินได้”…
MAS and IMDA

สิงคโปร์ประกาศให้ธนาคารและบริษัทโทรคมนาคมรับผิดชอบร่วมกันถ้าลูกค้าถูกหลอกลวงผ่านอินเทอร์เน็ต

MAYASEVEN Team
Security
No Comments
สิงคโปร์ประกาศให้ธนาคารและบริษัทโทรคมนาคมรับผิดชอบร่วมกัน ถ้าลูกค้าถูกหลอกลวงผ่านอินเทอร์เน็ต มีผลบังคับใช้ 16 ธันวาคมนี้ ธนาคารและบริษัทโทรคมนาคมรับผิดชอบร่วมกันในกรณีไหนบ้าง ? เมื่อวันที่ 25 ตุลาคม ที่ผ่านมานี้ทาง Monetary Authority of Singapore (MAS) และ Infocomm Media Development Authority (IMDA) ซึ่งเป็นหน่วยงานกำกับดูแลเรื่องการเงินและเรื่องสื่อของสิงคโปร์ร่วมมือกันออก Shared Responsibility Framework (SRF) หรือข้อกำหนดและแนวปฏิบัติมาให้ทาง bank และ…
What is secure coding?

Secure Coding คืออะไร ทำไมถึงสำคัญกับองค์กร

MAYASEVEN Team
Programming, Secure Coding, Security
pentest, secure application development workshop, secure coding
No Comments
ในโลกธุรกิจยุคดิจิทัล แอปพลิเคชันกลายเป็นหัวใจสำคัญของการแข่งขัน แต่พร้อมๆ กับโอกาส ก็มาพร้อมความเสี่ยงที่หลายคนมองข้าม นั่นคือภัยคุกคามทางไซเบอร์ที่แฝงตัวอยู่ในทุกบรรทัดของโค้ด ลองนึกภาพดูว่า ข้อมูลสำคัญของลูกค้าที่คุณเก็บไว้ถูกขโมยไปเพียงชั่วข้ามคืน ชื่อเสียงที่สั่งสมมาอาจพังทลายในพริบตา แล้วคุณจะทำอย่างไร? คำตอบอยู่ที่การป้องกันตั้งแต่จุดเริ่มต้น นั่นคือการเขียนโค้ดให้ปลอดภัย หรือที่เรียกว่า Secure Coding นั่นเอง มาทำความรู้จักกับแนวคิดนี้ที่นักพัฒนายุคใหม่ไม่ควรพลาด และทำไมมันถึงสำคัญกับธุรกิจของคุณ Secure Coding คืออะไร? ถ้าคุณเป็นนักพัฒนาซอฟต์แวร์ คำว่า “Secure Coding” คงไม่ใช่เรื่องแปลกหูสำหรับคุณ แต่หลายคนอาจยังไม่เข้าใจความสำคัญของมันอย่างถ่องแท้ วันนี้เราจะมาไขข้อข้องใจกันว่า Secure Coding…
CrowdStrike ล่ม BSOD

Crowdstrike ทำล่มทั่วโลก Windows จอฟ้า BSOD

MAYASEVEN Team
Security
bsod, crowdstrike, windows
No Comments
บริษัท CrowdStrike ผู้ให้บริการด้านความปลอดภัยไซเบอร์ ประสบปัญหาขัดข้องครั้งใหญ่ ส่งผลกระทบต่อธุรกิจมากมายทั่วโลก สาเหตุของปัญหาดังกล่าวเกิดจากการอัปเดตซอฟต์แวร์ล่าสุดของบริษัท ซึ่งขณะนี้ทาง CrowdStrike กำลังพยายามแก้ไขด้วยการย้อนกลับการอัปเดตนั้นเพื่อให้ระบบกลับมาทำได้เป็นปกติ ปัญหาการอัปเดตของ CrowdStrike ส่งผลโดยตรงให้ระบบ Windows ทั่วโลกมีอาการผิดปกติ โดยแล็ปท็อปจำนวนมากแสดงหน้าจอ “blue screen of death” ซึ่งเป็นสัญญาณของข้อผิดพลาดร้ายแรง นอกจากนี้ ยังมีรายงานปัญหาจากธุรกิจหลากหลายประเภท ทั้งสายการบิน ผู้ให้บริการโทรคมนาคม และธนาคาร แต่ยังไม่ชัดเจนว่าปัญหาของแต่ละแห่งมีสาเหตุเดียวกันหรือไม่ มีรายงานจากผู้ใช้ Crowstrike ทั่วโลก เกิดปัญหา…

Pentest คืออะไร? ในปี 2024 ยังจำเป็นอยู่ไหม?

MAYASEVEN Team
Hacking, Secure Coding, Security
No Comments
บริการ Pentest คืออะไร? ในปี 2024 ยังจำเป็นอยู่ไหม? บริการ pentest หรือการทดสอบเจาะระบบ คือกระบวนการที่มีจุดมุ่งหมายเพื่อระบุ, ประเมิน, และทดสอบความเสี่ยงความปลอดภัยในระบบขององค์กรโดยการจำลองการโจมตีจากผู้ไม่ประสงค์ดี แต่ในปี 2024, ด้วยการพัฒนาอย่างรวดเร็วของเทคโนโลยี, มี cybersecurity products ใหม่ๆออกมามากมาย, การทดสอบเจาะระบบยังคงมีความจำเป็นอย่างไร? Pentest คืออะไร? Pentest หรือ Penetration Testing คือกระบวนการตรวจสอบและทดสอบความปลอดภัยของระบบเครือข่าย, แอปพลิเคชัน, หรืออินฟราสตรักเจอร์ทางเทคโนโลยีขององค์กร เพื่อค้นหาช่องโหว่หรือจุดอ่อนที่อาจถูกผู้โจมตีใช้ประโยชน์ในการเข้าถึง,…

พาดูหลังบ้านแอปดูดเงิน และการสูญพันธ์ของแอปดูดเงิน

MAYASEVEN Team
Hacking, Programming, Security
No Comments
เมื่อสัปดาห์ที่แล้วทาง MAYASEVEN ได้ live บน youtube ในหัวข้อ ” ลองเป็นเหยื่อแอปดูดเงิน โจรเอาเงินออกจากแอปธนาคารยังไง? ” พร้อมโชว์หลังบ้านของโจรที่เราสร้างเลียนแบบขึ้นมา ในขณะเดียวกันทางธนาคารแห่งประเทศไทย ก็ได้ออกแนวปฏิบัติในการปรับปรุงแอปธนาคารให้สามารถป้องกันแอปดูดเงินได้ออกมา เราจะเห็นว่าแอปธนาคารเริ่มไม่ยอมให้ทำรายการ ถ้าเราอยู่ใน environment ที่ไม่ปลอดภัย เช่น ในเครื่องเรามีแอปนอก Google Play Store ที่ใช้สิทธิ์ accessibility หรือมีแอปสำหรับ remote control หรือมีการเรียกใช้ Android…

Penetration Testing Methodology ที่ MAYASEVEN เลือกใช้

MAYASEVEN Team
Security, Uncategorized
hack, hacker, methodology, penetration testing, pentest, วิธีการเจาะระบบ, แฮค
No Comments
เริ่มจากคำถามที่ว่าเราจะทำ penetration testing อย่างไรให้ได้คุณภาพและรักษาคุณภาพงานให้มีความสม่ำเสมอได้ทุก project คือไม่ว่า project ไหนหรือใครเป็นคนทำถ้าเป็นผลงานจากบริษัท MAYASEVEN งานจะต้องออกมามีคุณภาพเหมือนกันทุก project  จากคำถามนั้น ทีมเราได้ช่วยกัน research พวกกระบวนการทดสอบเจาะระบบ, หลักการ, มาตรฐาน, คู่มือ ที่เกี่ยวกับการทำ penetration testing methodology ที่มีอยู่ในปัจจุบันเฉพาะตัวที่มีชื่อเสียงและเป็นที่ยอมรับ เพื่อศึกษาว่าเราจะใช้ตัวไหนดีในงานทดสอบเจาะระบบของเรา ปรากฏว่าหลังจากศึกษาเราเริ่มเห็นข้อจำกัดของ penetration testing methodology ของค่ายต่างๆ เช่น เก่าและขาดการปรับปรุงให้ทันสมัย,…

วิธีดูเว็บจริงเว็บปลอมใน 5 วินาทีและประเภทของ SSL Certificates

MAYASEVEN Team
Security
dv, ev, ov, paypal, phishing, ssl certificate
No Comments
เรื่องนี้ผู้ใช้อินเทอร์เน็ตทุกท่านควรรู้ครับเวลา login หรือใช้บัตรเครดิต จะได้รู้ว่าเว็บไหนจริงเว็บไหนปลอม เว็บไหนเป็น phishing page ทำมาหลอกเอาข้อมูล password, credit card ของเรา ยป;มอ (ยาวไป;ไม่อ่าน) เราไม่สามารถดูว่าเว็บนั้นจริงหรือปลอมจากการดูหน้าตาหน้าเว็บได้เลย เพราะของปลอมมันก๊อปได้เหมือนยิ่งกว่าของก็อปแบรนด์เนมเกรด AAAA ซะอีก และไม่ใช่ว่าเว็บนั้นเป็น HTTPS แล้วจะแปลว่าเป็นเว็บของจริงเสมอไปนะครับ ในความเป็น HTTPS มีความ SSL Certificates อยู่หลายแบบ แบ่งแบบบ้านๆ สำหรับผู้ใช้ทั่วไปดูแล้วรู้เลย คือแบบที่มีชื่อองค์กรอยู่บน…