วันพฤหัสบดีที่ 19 พฤษภาคม พ.ศ. 2554
วันศุกร์ที่ 8 เมษายน พ.ศ. 2554
ปกป้องข้อมูลที่สำคัญบนฐานข้อมูลด้วยการทำ Data Masking
Data Masking
ในองค์กรใหญ่ ๆ นั้น การพัฒนาระบบสารสนเทศใด ๆ มักจะแยกระหว่างระบบที่เป็น Production และระบบที่เป็น Test Environment โดยเฉพาะอย่างยิ่งระบบที่ต้องทำงานเกี่ยวข้องกับเรื่องเงิน ๆ ทอง ๆ และข้อมูลของลูกค้านั้น ข้อมูลที่จะนำมาใช้งานบน Test Environment นั้นควรจะเป็นข้อมูลที่ใกล้เคียงกับข้อมูลที่อยู่บน Production กล่าวคือ องค์ประกอบของฐานข้อมูล เช่น databases, tables, relation รวมไปถึงฟิลด์ข้อมูลต่าง ๆ ที่อยู่บน Test Environment นั้นจะต้องเหมือนกัน สิ่งที่แตกต่างกันก็คือ ข้อมูลที่นำออกมานั้นจะต้อง ไม่ใช่ข้อมูลจริง ๆ ใน Production Database เนื่องจากข้อมูลเหล่านั้นเป็นข้อมูลที่ถือว่าเป็นความลับสุดยอดของลูกค้า ดังนั้น ในระบบที่เราใช้ทดสอบนั้นจะต้องนำข้อมูลออกจากฐานข้อมูลให้มีโครงสร้างเหมือนกับ Production เพื่อให้การทดสอบระบบจะได้ผลที่เหมือนกับการทำงานบนระบบจริง แต่ข้อมูลที่นำมานั้นจะต้องไม่ใช้ข้อมูลที่ใช้งานจริง ซึ่งกระบวนการเช่นนี้เราเรียกกว่า "Data Masking"
ความสำคัญของ Data Masking
Data Masking เป็นกระบวนการที่ช่วยปกป้องข้อมูลในระบบฐานข้อมูลที่มีความสำคัญที่ต้องการนำออกมาเพื่อใช้ใน Testing Process โดยจะมีลักษณะโครงสร้างฐานข้อมูลที่เหมือนกับระบบที่ใช้งานจริง แต่ข้อมูลที่นำมานั้นจะผ่านกระบวนการต่าง ๆ ซึ่งจะไม่เหมือนข้อมูลต้นฉบับ โดยกระบวนการดังกล่าว ได้แก่
- Encryption/Decryption (เข้ารหัส/ถอดรหัส)
- Masking (การสวมข้อมูลผู้อื่นเข้าไปแทน)
- Substitution (การแทนที่ด้วยข้อมูลหรืออักษรอื่น)
- Nulling (การแทนด้วยค่า NULL)
- Shuffling (การสลับข้อมูล)
- Custom algorithms based on unique requirements (การใช้ algorithm ที่กำหนดขึ้นมาเอง)
รูปที่ 1 ตัวอย่างการทำ Data Masking
จากรูปจะเห็นได้ว่าข้อมูลใน Non-Production นั้นจะถูกเปลี่ยนแปลงไป ซึ่งเมื่อ Tester นำข้อมูลดังกล่าวไปใช้ใน Testing Process นั้นจะไม่เห็นข้อมูลจริงของลูกค้า แต่กระบวนการ Test ก็ไม่เกิดปัญหา เนื่องจากลักษณะข้อมูลและโครงสร้างที่นำมาทดสอบนั้น เหมือนกับฐานข้อมูลจริงที่ใช้งานบน Production ซึ่งหากองค์กรที่จัดเก็บข้อมูลที่สำดัญของลูกค้ามีกระบวนการพัฒนาระบบสารสนเทศเช่นนี้แล้วนั้น ก็สามารถสร้างความมั่นใจให้แก่ลูกค้าได้ว่าข้อมูลที่เป็นข้อมูลส่วนบุคคลของลูกค้า ถูกจัดเก็บเป็นอย่างดีแม้แต่บุคลากรภายในที่ไม่มีส่วนเกี่ยวข้องก็ไม่มีโอกาสล่วงรู้ข้อมูลได้
วันพุธที่ 8 ธันวาคม พ.ศ. 2553
คุณรู้หรือไม่ว่า Social Networking อาจทำคุณตกงานได้
การใช้งานเครือข่ายสังคม (Social Networking) ซึ่งเป็นที่นิยมอย่างสูงในปัจจุบันหากเราใช้งานโดยการโพสต์ข้อความอย่างไม่ระวัง ไม่มีการตั้งค่าความเป็นส่วนตัวที่เหมาะสม รวมถึงรับ add friend จำนวนมากทั้งๆ ที่ไม่รู้จักบุคคลเหล่านั้นเลย อาจมีความเสี่ยงที่จะตกงานได้นะครับ หากคุณเป็นคนหนึ่งที่กำลังหางาน หรือมีงานอยู่แล้ว และนายจ้างของคุณก็เป็นคนที่รู้จักใช้เทคโนโลยีในการตรวจสอบลูกน้องซะด้วย นายจ้างอาจค้นหาข้อมูลของคุณแล้วบังเอิญไปพบข้อมูลที่คุณกล่าววาจาอันไม่เหมาะสมผ่านข้อความบนเครือข่ายสังคม หรือแอบเมาส์นินทาเจ้านายรวมไปถึงเพื่อนร่วมงานคนอื่นๆ ซึ่งสิ่งเหล่านี้หมายถึง เจตคติ และนิสัยส่วนตัวของคุณ หากเจ้านายรับได้ก็คงไม่เกิดปัญหาอะไร แต่ถ้าหากเค้าเกิดกลัวว่าซักวันมันก็คงไปวิจารณ์เราผ่านหน้าเว็บเหมือนกัน คุณอาจจะไม่ได้รับการพิจารณาเข้าร่วมงาน หรืออาจได้รับซองขาวก็เป็นได้นะครับ ฉะนั้น พึงระวังข้อความ และตรวจสอบก่อนการโพสต์ข้อความต่างๆ บนเว็บเครือข่ายสังคมด้วยนะครับ
วันศุกร์ที่ 3 ธันวาคม พ.ศ. 2553
เซิร์ฟเวอร์ ftp.proftpd.org ถูกบุกรุก
Server ftp.proftpd.org Compromised
ProFTPD ได้ออกมาประกาศขอโทษและแจ้งให้ผู้ใช้งานที่ได้ดาวน์โหลดซอร์สโค้ด proftpd เวอร์ชั่น 1.3.3c ระหว่างวันที่ 28 พฤศจิกายน 2553 ถึง 2 ธันวาคม 2553 ไปใช้งานว่า ให้ตรวจสอบความปลอดภัยระบบของตนด้วย เนื่องจากเซิร์ฟเวอร์ ftp.proftpd.org ที่ให้บริการดาวน์โหลดซอร์โค้ดนั้นถูกบุกรุก และผู้บุกรุกได้เข้าไปแก้ไขข้อมูลในซอร์สโค้ด ProFTPD เวอร์ชั่นดังกล่าว จึงขอให้ผู้ใช้งานที่ดาวน์โหลดระหว่างช่วงเวลานั้นให้ตรวจสอบระบบของตนเองด้วย และให้ตรวจสอบความถูกต้องของ source files โดยใช้ PGP Signatures จาก http://www.proftpd.org/md5_pgp.html ทั้งนี้การบุกรุกครั้งนี้ไม่มีผลกระทบต่อซอร์สโค้คที่อยู่ใน CVS
ที่มา: http://www.proftpd.org และ http://bit.ly/gyvoBe
ProFTPD ได้ออกมาประกาศขอโทษและแจ้งให้ผู้ใช้งานที่ได้ดาวน์โหลดซอร์สโค้ด proftpd เวอร์ชั่น 1.3.3c ระหว่างวันที่ 28 พฤศจิกายน 2553 ถึง 2 ธันวาคม 2553 ไปใช้งานว่า ให้ตรวจสอบความปลอดภัยระบบของตนด้วย เนื่องจากเซิร์ฟเวอร์ ftp.proftpd.org ที่ให้บริการดาวน์โหลดซอร์โค้ดนั้นถูกบุกรุก และผู้บุกรุกได้เข้าไปแก้ไขข้อมูลในซอร์สโค้ด ProFTPD เวอร์ชั่นดังกล่าว จึงขอให้ผู้ใช้งานที่ดาวน์โหลดระหว่างช่วงเวลานั้นให้ตรวจสอบระบบของตนเองด้วย และให้ตรวจสอบความถูกต้องของ source files โดยใช้ PGP Signatures จาก http://www.proftpd.org/md5_pgp.html ทั้งนี้การบุกรุกครั้งนี้ไม่มีผลกระทบต่อซอร์สโค้คที่อยู่ใน CVS
ที่มา: http://www.proftpd.org และ http://bit.ly/gyvoBe
วันพฤหัสบดีที่ 18 พฤศจิกายน พ.ศ. 2553
ปัญหาความปลอดภัยบนระบบ Virtualization
หลายๆ องค์กรได้หันมาทำ Server Consolidation กันมากขึ้นโดยใช้งานระบบ Virtualization เช่น VMWare และทำเป็น Server Farm ซึ่งมีประโยชน์หลายอย่างมาก แต่ปัญหาความปลอดภัยจากการใช้งาน virtualization ก็มีเช่นกัน ลองดูตัวอย่างที่ผมสรุปคร่าวๆ ดังนี้ครับ
ปัญหาความปลอดภัยบนระบบ Virtualization
1. โดยทั่วไปถ้าเราปิดการทำงานของระบบลง การบุกรุกหรือไวรัสก็ไม่สามารถเข้าถึงตัวเครื่องได้ แตในะรบบ virtualization ถึงแม้ว่าเราจะปิดการทำงานของระบบปฏิบัติการที่ทำงานอยู่บน virtualiztion ลง แต่ส่วนของระบบบริหารจัดการ (Hypervisor) ยังคงทำงานและมัความเสี่ยงในการถูกบุกรุกอยู่ ส่งผลให้ virtualization ที่ปิดไปก่อนหน้านั้น ไม่สามารถป้องกันตนเองได้
2. การทำการ scan บนระบบ virtualization โดยปกติที่ anti virus server นั้นเราจะตั้งเวลาให้เครื่องในระบบ scan พร้อมกัน แต่บนระบบ virtualization หาก server ตั้งเวลาให้ทุกเครื่อง scan พร้อมกัน จะเห็นได้ว่าการทำงานจะช้าลงอย่างเห็นได้ชัด เนื่องจากยังคงมีการใช้ทรัพยากรร่วมกันบน hypervisor เดียวกัน อาจจะทำให้ virtualization host หยุดการทำงานได้
3. การโคลน virtualization นั้น ช่วยให้ประหยัดเวลาในการทำงานได้มากก็จริง แต่หาก master image ที่นำมาโคลนนั้น ไม่ได้อัพเดท patch หรือติดไวรัส ช่องโหว่เหล่านั้นก็จะถูกส่งต่อไปยัง virtualization ที่ถูกโคลนมาด้วยเช่นกัน
4. ปัญหา Inter VM Traffice เนื่องจาก virtualization host ที่อยู่บน hypervisor เดียวกันจะติดต่อกันผ่าน vSwitch และ vmNIC บน hypervisor หากเครื่องใดเครื่องหนึ่งเกิดการแพร่กระจายของไวรัส ก็จะเกิดความเสี่ยงในการแพร่กระจายภายใน host ที่ใช้ hypervisor ร่วมกัน โดยอุปกรณ์ตรวจสอบเช่น IDS/IPS บนเครือข่ายจะไม่สามารถตรวจสอบได้ เนื่องจากข้อมูลไม่มีการส่งออกมายังระบบเครือข่ายภายนอก
ที่มา: Trend Micro Cloud Security
ปัญหาความปลอดภัยบนระบบ Virtualization
1. โดยทั่วไปถ้าเราปิดการทำงานของระบบลง การบุกรุกหรือไวรัสก็ไม่สามารถเข้าถึงตัวเครื่องได้ แตในะรบบ virtualization ถึงแม้ว่าเราจะปิดการทำงานของระบบปฏิบัติการที่ทำงานอยู่บน virtualiztion ลง แต่ส่วนของระบบบริหารจัดการ (Hypervisor) ยังคงทำงานและมัความเสี่ยงในการถูกบุกรุกอยู่ ส่งผลให้ virtualization ที่ปิดไปก่อนหน้านั้น ไม่สามารถป้องกันตนเองได้
2. การทำการ scan บนระบบ virtualization โดยปกติที่ anti virus server นั้นเราจะตั้งเวลาให้เครื่องในระบบ scan พร้อมกัน แต่บนระบบ virtualization หาก server ตั้งเวลาให้ทุกเครื่อง scan พร้อมกัน จะเห็นได้ว่าการทำงานจะช้าลงอย่างเห็นได้ชัด เนื่องจากยังคงมีการใช้ทรัพยากรร่วมกันบน hypervisor เดียวกัน อาจจะทำให้ virtualization host หยุดการทำงานได้
3. การโคลน virtualization นั้น ช่วยให้ประหยัดเวลาในการทำงานได้มากก็จริง แต่หาก master image ที่นำมาโคลนนั้น ไม่ได้อัพเดท patch หรือติดไวรัส ช่องโหว่เหล่านั้นก็จะถูกส่งต่อไปยัง virtualization ที่ถูกโคลนมาด้วยเช่นกัน
4. ปัญหา Inter VM Traffice เนื่องจาก virtualization host ที่อยู่บน hypervisor เดียวกันจะติดต่อกันผ่าน vSwitch และ vmNIC บน hypervisor หากเครื่องใดเครื่องหนึ่งเกิดการแพร่กระจายของไวรัส ก็จะเกิดความเสี่ยงในการแพร่กระจายภายใน host ที่ใช้ hypervisor ร่วมกัน โดยอุปกรณ์ตรวจสอบเช่น IDS/IPS บนเครือข่ายจะไม่สามารถตรวจสอบได้ เนื่องจากข้อมูลไม่มีการส่งออกมายังระบบเครือข่ายภายนอก
ที่มา: Trend Micro Cloud Security
วันอังคารที่ 16 พฤศจิกายน พ.ศ. 2553
กรณีตัวอย่างการบุกรุกผ่าน link บนเว็บ www.facebook.com
กรณีตัวอย่างที่ 1
โปรดระมัด ระวังในการคลิ้ก link ที่มาพร้อมกับเว็บ Social Network โดยเฉพาะอย่างยิ่ง link ที่มาจากบุคคลที่ท่านไม่รู้จัก ทั้งในและนอกรายชื่อเพื่อน (Friends) ของท่าน
กรณีตัวอย่างที่ 2
ผู้บุกรุกใช้วิธี การแพร่กระจายโปรแกรมบุกรุกผ่านโปรแกรมที่ใช้งานผ่าน social network โดยเมื่อท่านคลิ้กเข้าใช้งานโปรแกรม โปรแกรมบุกรุกจะถูกเรียกและติดตั้งลงบนเครื่องคอมพิวเตอร์ที่ใช้งานทันที
คำแนะนำ
โปรดระมัดระวังในการใช้งานโปรแกรม (applications) ต่างๆ ที่ทำงานอยู่บนเว็บ Social Networking โดยเฉพาะอย่างยิ่ง โปรแกรมต่างๆ ที่มาในรูปแบบที่ผู้ใช้ไม่สามารถอ่านและทำความเข้าใจคำแนะนำของโปรแกรมได้ การกดอนุญาต (allow) ให้ applications บนเว็บ social networking ทำงานได้นั้นหมายถึงการที่ผู้ใช้อนุญาตให้โปรแกรมบุกรุกเหล่านั้นเข้าถึง ข้อมูลต่างๆ บนเว็บ Social networking ได้ อาจทำให้ผู้ใช้สูญเสียข้อมูล และความเป็นส่วนตัวได้
โปรดระมัด ระวังในการคลิ้ก link ที่มาพร้อมกับเว็บ Social Network โดยเฉพาะอย่างยิ่ง link ที่มาจากบุคคลที่ท่านไม่รู้จัก ทั้งในและนอกรายชื่อเพื่อน (Friends) ของท่าน
กรณีตัวอย่างที่ 2
ผู้บุกรุกใช้วิธี การแพร่กระจายโปรแกรมบุกรุกผ่านโปรแกรมที่ใช้งานผ่าน social network โดยเมื่อท่านคลิ้กเข้าใช้งานโปรแกรม โปรแกรมบุกรุกจะถูกเรียกและติดตั้งลงบนเครื่องคอมพิวเตอร์ที่ใช้งานทันที
คำแนะนำ
โปรดระมัดระวังในการใช้งานโปรแกรม (applications) ต่างๆ ที่ทำงานอยู่บนเว็บ Social Networking โดยเฉพาะอย่างยิ่ง โปรแกรมต่างๆ ที่มาในรูปแบบที่ผู้ใช้ไม่สามารถอ่านและทำความเข้าใจคำแนะนำของโปรแกรมได้ การกดอนุญาต (allow) ให้ applications บนเว็บ social networking ทำงานได้นั้นหมายถึงการที่ผู้ใช้อนุญาตให้โปรแกรมบุกรุกเหล่านั้นเข้าถึง ข้อมูลต่างๆ บนเว็บ Social networking ได้ อาจทำให้ผู้ใช้สูญเสียข้อมูล และความเป็นส่วนตัวได้
วันพุธที่ 10 พฤศจิกายน พ.ศ. 2553
ภาษาไทย... วิบัติ
ห่างหายจากการเขียน blog ไปนานนะครับ วันนี้กลับมาเขียน แต่จะขอเขียนเรื่องราวที่ไม่ได้เกี่ยวข้องกับ IT โดยตรง แต่เกี่ยวกับการใช้ภาษาที่เราสื่อสารกันนะครับ สืบเนื่องมาจากวันนี้ได้ติดตามข่าวคราวว่ามีผู้หลักผู้ใหญ่ในบ้านเมืองเป็นห่วงเกี่ยวกับการใช้ภาษาไทยที่ผิดๆ และให้นับเป็นวาระแห่งชาติ ผมก็เห็นด้วยนะครับ
คำว่า "ภาษาวิบัติ" เป็นคำเรียกของการใช้ภาษาไทยที่มีการเปลี่ยนแปลง และไม่ตรงกับมาตรฐานตามหลักภาษาซึ่งเกิดจากการมิได้ตั้งใจทำให้รูปแบบการใช้งานของภาษาผิดไปจากเดิม แต่ในปัจจุบันการใช้งานเว็บไซต์เครือข่ายสังคม (Social Network) เช่น facebook และ twitter โดยเฉพาะอย่างยิ่งการใช้งาน twitter นั้นผู้ให้บริการจะกำหนดจำนวนตัวอักษรที่จะส่งข้อความขึ้นเว็บได้เพียง 140 ตัวอักษร จึงทำให้ผู้ใช้งานซึ่งโดยส่วนมากแล้วเป็นกลุ่มวัยรุ่นจะใช้ข้อความที่ไม่ถูกต้องตามหลักภาษาไทย นี่เป็นอีกปัจจัยหนึ่งที่ทำให้เกิดภาษาไทยวิบัติอย่างรุนแรงในปัจจุบัน เรามาดูตัวอย่างภาษาไทยที่มักจะมีการใช้งานผิดๆ กันในเครือข่ายสังคมกันนะครับ ซึ่งมีตัวอย่าง ดังต่อไปนี้
คำที่สะกดผิดเพื่อให้แปลกตา
- นู๋ (หนู)
- ชะมะ,ชิมิ (ใช่ไหม)
- ว้าววว (ว้าว)
- ป่าว (เปล่า)
การลดรูปคำ
เป็นรูปแบบของคำที่ลดรูปให้สั้นลง มีใช้ในภาษาพูด
- มหาลัย หรือ มหา'ลัย (มหาวิทยาลัย)
- วิดวะ (วิศวกรรม)
คำที่สะกดผิดเพื่อแสดงอารมณ์
- ไม่ → ม่าย
- ใช่ → ช่าย
- ใคร → คราย
- อะไร → อาราย
- เป็นอะไร → เปงราย
- ทำไม → ทามมาย
คำที่สะกดผิดเพื่อลดความหยาบของคำ
หรืออาจใช้หลีกเลี่ยงการกรองคำหยาบของซอฟต์แวร์
- กู → กรู
- ไอ้สัตว์ → ไอ้สาด
ข้อมูลดังกล่าวเป็นเพียงส่วนหนึ่งของการใช้ภาษาไทยผิดๆ ซึ่งยังไม่รวมถึงการใช้คำศัพท์บัญญัติใหม่ของกลุ่มวัยรุ่นที่มีอีกค่อนข้างมาก เช่น เกรียน, ติ่งหู, เมพ, กาก ฯลฯ ซึ่งหากเรายังใช้ภาษาไทยที่ไม่ถูกต้องตามหลักภาษาต่อไปนั้นเป็นที่น่าเป็นห่วงว่า วัยรุ่นยุคใหม่อาจไม่สามารถใช้ภาษาไทยได้อย่างมีประสิทธิภาพเท่าที่ควร
ข้อมูลอ้างอิง: http://th.wikipedia.org/wiki/%E0%B8%A0%E0%B8%B2%E0%B8%A9%E0%B8%B2%E0%B8%A7%E0%B8%B4%E0%B8%9A%E0%B8%B1%E0%B8%95%E0%B8%B4
คำว่า "ภาษาวิบัติ" เป็นคำเรียกของการใช้ภาษาไทยที่มีการเปลี่ยนแปลง และไม่ตรงกับมาตรฐานตามหลักภาษาซึ่งเกิดจากการมิได้ตั้งใจทำให้รูปแบบการใช้งานของภาษาผิดไปจากเดิม แต่ในปัจจุบันการใช้งานเว็บไซต์เครือข่ายสังคม (Social Network) เช่น facebook และ twitter โดยเฉพาะอย่างยิ่งการใช้งาน twitter นั้นผู้ให้บริการจะกำหนดจำนวนตัวอักษรที่จะส่งข้อความขึ้นเว็บได้เพียง 140 ตัวอักษร จึงทำให้ผู้ใช้งานซึ่งโดยส่วนมากแล้วเป็นกลุ่มวัยรุ่นจะใช้ข้อความที่ไม่ถูกต้องตามหลักภาษาไทย นี่เป็นอีกปัจจัยหนึ่งที่ทำให้เกิดภาษาไทยวิบัติอย่างรุนแรงในปัจจุบัน เรามาดูตัวอย่างภาษาไทยที่มักจะมีการใช้งานผิดๆ กันในเครือข่ายสังคมกันนะครับ ซึ่งมีตัวอย่าง ดังต่อไปนี้
คำที่สะกดผิดเพื่อให้แปลกตา
- นู๋ (หนู)
- ชะมะ,ชิมิ (ใช่ไหม)
- ว้าววว (ว้าว)
- ป่าว (เปล่า)
การลดรูปคำ
เป็นรูปแบบของคำที่ลดรูปให้สั้นลง มีใช้ในภาษาพูด
- มหาลัย หรือ มหา'ลัย (มหาวิทยาลัย)
- วิดวะ (วิศวกรรม)
คำที่สะกดผิดเพื่อแสดงอารมณ์
- ไม่ → ม่าย
- ใช่ → ช่าย
- ใคร → คราย
- อะไร → อาราย
- เป็นอะไร → เปงราย
- ทำไม → ทามมาย
คำที่สะกดผิดเพื่อลดความหยาบของคำ
หรืออาจใช้หลีกเลี่ยงการกรองคำหยาบของซอฟต์แวร์
- กู → กรู
- ไอ้สัตว์ → ไอ้สาด
ข้อมูลดังกล่าวเป็นเพียงส่วนหนึ่งของการใช้ภาษาไทยผิดๆ ซึ่งยังไม่รวมถึงการใช้คำศัพท์บัญญัติใหม่ของกลุ่มวัยรุ่นที่มีอีกค่อนข้างมาก เช่น เกรียน, ติ่งหู, เมพ, กาก ฯลฯ ซึ่งหากเรายังใช้ภาษาไทยที่ไม่ถูกต้องตามหลักภาษาต่อไปนั้นเป็นที่น่าเป็นห่วงว่า วัยรุ่นยุคใหม่อาจไม่สามารถใช้ภาษาไทยได้อย่างมีประสิทธิภาพเท่าที่ควร
ข้อมูลอ้างอิง: http://th.wikipedia.org/wiki/%E0%B8%A0%E0%B8%B2%E0%B8%A9%E0%B8%B2%E0%B8%A7%E0%B8%B4%E0%B8%9A%E0%B8%B1%E0%B8%95%E0%B8%B4
สมัครสมาชิก:
บทความ (Atom)