RSS

Monthly Archives: November 2006

ขอบคุณ ข้อคิดดีๆ อ่านแล้วรู้สึกดีขึ้นเยอะแหะ

ข้อคิดดี ๆ

 

ข้อคิดดี ๆ จากน้าเน๊ก เกตุเสพย์สวัสดิ์

บางคนแอบรักเขา ซุ่มเลิฟอยู่อย่างนั้น
ปล่อยให้ความรู้สึกที่ดีลอยไปหาคนอื่น
แต่กลับปล่อยให้ใจตัวเองเหลืออยู่แต่ความรู้สึกต่ำต้อยได้ทุกวัน ทุกวัน ทุกวัน

บางคนกินทิฐิเป็นอาหาร เก๊กใส่กันไปวัน ๆ
ต่างฝ่ายต่างรอให้อีกฝ่ายง้อ มึงแน่ กูแน่ งอนการกุศล
ประชดทำลายสถิติ เชิดหยิ่งชิงชนะเลิศ….ไอ้บ้า

และอีกหลายคนนิยมกิจกรรม "ฆ่าเวลา" ชีวิตมันว่างจัด
ขนาดต้องฆ่าเวลากันเลย
บอกตรง ๆ เห็นแล้วอยากตบกบาล
เอ็งกำลังทำลายทรัพย์สินที่มีค่าที่สุดที่มนุษย์ทุกคนพึงจะมี

อีกหน่อยเราก็ตายจากัน…แล้วนะ

ลองคิดแบบนี้บ้าง ใช่แล้ว….เราจะเกิดความเสียดาย
เพราะเหลืออีกหมื่นแสนล้านที่เรายังไม่ได้ทำ
ตายได้ไง หากฝันไม่สำเร็จ   ไม่ได้หมายความว่าเราจะไม่ยอมตาย
แต่ให้รีบทำทุกอย่าง ก่อนที่จะตาย … ซึ่งจะเป็นวันไหนก็ไม่รู้
และในเมื่อเราไม่รู้ว่าเมื่อไหร่
มาเตรียมการรอรับวาระสุดท้ายของเราดีกว่า
เอาแบบตายวันตายพรุ่งก็จะได้นอนตายตาหลับ

ใช้ชีวิตโดยคิดซะว่า……….พรุ่งนี้ฉันจะตายแล้ว
ทำงานในสิ่งที่เรารัก เสมือนว่าเราจะไม่ได้ทำมันอีก
ตามความฝันของเราไปสุดโต่ง…ต้องรีบแล้ว
เดี๋ยวตายนะ…เตือนแล้วไง
รักให้หมดใจ บอกเขาไปทั้งหมดที่ความรู้สึกมี
ส่วนจะรักหรือไม่รักกู
ไม่สนว้อย…เพราะพรุ่งนี้ชั้น(อาจจะ) ตายแล้ว
ใช้เวลา (ที่อาจจะ) สุดท้ายที่มีต่อกันไว้
กอดกันเหมือนว่านี่เป็นกอดครั้งสุดท้ายของเรา
นุ่มนวลที่สุดเท่าที่จะทำได้
เพราะอย่างน้อย ๆ เราจะได้มีสีหน้าที่ยิ้มแย้มตอนให้สัมภาษณ์ยมบาล

…………. คนข้างบ้านเดินแป้นแล้นมาบอกข่าวดี  ลูกสาววัย 23
กำลังจะแต่งงาน
ในมือมีซองสีชมพูพร้อมการ์ด ลูกสาวอยู่ต่างจังหวัดกับคู่หมั้น
แม่เลยต้องมาแจกการ์ดเอง
เมื่อกี๊ว่าที่เจ้าสาวเพิ่งโทรมาปรึกษาแม่เรื่องชุดแต่งงาน………

หลังจากนั้น 3 ชั่วโมง เธอตาย ……
แต่กว่าคนเป็นแม่จะรู้ข่าวร้าย ก็ปาไป 5 วัน
ซองในมือผม กลายเป็นเงินช่วยงานศพ  ช่อดอกไม้  กลายเป็นพวงหรีด
และทั้งหมดกลายเป็นแรงบันดาลใจ ที่อยากจะบอก
ว่าอีกหน่อยเราก็ตายจากกัน …. แล้วนะ
อ้าว….รู้งี้ยังจะมาอ้อยสร้อยอะไรกันอีก
รีบแยกย้ายไปใช้เวลาที่เราเหลืออยู่ไปทำทุกอย่างที่เรายังไม่ได้ทำ
เดี๋ยวตายซะก่อน….เสียดายแย่

โดย น้าเน๊ก …… เกตุเสพย์สวัสดิ์  ปาละกะวงศ์ ณ อยุธยา

 
==================================================
Reference :
 
         ขอบคุณ คุณกัน CP85 (นางนพ 85) สำหรับบทความนี้นะ
 
         ขอ copy จาก Blog ท่านกันอย่างด้านๆเลยนะ แบบว่าตอนนี้ยิ่งกำลังหมดหวังใน
หลายๆอย่างอยู่ อ่านแล้วรู้สึกดีกับชีวิตตัวเองขึ้นเยอะ เลย เลยถือโอกาสเอามาปะ ไว้หน่อย
เผื่อสักวันคงจะได้ผมคงจะได้กลับมาอ่านอีก….
(อ่อ ไม่มีนัยยะ กับเรื่องในอดีตนะแค่ ปัญหาหนักหัวนิดหน่อย)
 
 
Advertisements
 
Leave a comment

Posted by on November 30, 2006 in Misc

 

Just Note: My Blog Plan

============================================
Plan ที่จะเขียน Blog
– เปลี่ยนแปลงได้ทุกเมื่อตามอารมณ์เจ้าของ Blog
(เหมือนที่ผ่านๆมาใน Blog เดิมๆ ที่ไม่เสร็จสักที 555)
 
1. dot DjVu …ไฟล์หนังสือ ฟอร์แมตอนาคต
    ทำไมมันบีบได้มากกว่า JPEG 10 เท่า แต่ภาพยังชัดกว่า JPEG
    Wavelet Technic
 
2. Edit "MSN Messenger" in your own style ด้วย Resource Hacker (ResHack)
 
3. Basic Wireless LAN Hack …เทคนิคนี้ใช้ได้กับทุก ISP และ มหาลัยชื่อดังย่านสามย่าน
 
4. ทำไมทุน กพ. ได้ไม่ยากอย่างที่คิด  แต่จะยากกว่าสำหรับการตัดสินใจเซ็นรับ ระยะเวลา "10 ปี"
   (การันตีว่าแต่งโดยเด็กทุนชัวร์ ไม่มั่วนิ่ม 555)
    – ใครจะสอบเอาทุน กพ. อ่านซะ โดยเฉพาะ "ท่านหญิง" ทั้งหลาย คิดดีๆก่อนรับทุน
    – รายละเอียดทุกขั้นตอน เกี่ยวกับการดำเนินการหลังจากได้รับทุน (จะแต่งเก็บไว้ใช้บันทึก
       ความทรงจำเอง)
 
5. การเตรียมตัวเรียนต่อ ป.โท ที่ USA ทุกขั้นตอน 
    -ใครว่าเรียนต่อ USA (โท-เอก) เป็นเรื่องง่ายฟะ
 
6. ความไม่เท่าเทียมกันของ "โอกาส" สำหรับ ผู้ที่เก่งพระเจ้า และปกติชน
 
7. ปีแห่งการเปลี่ยน Logo เหรอไงฟะ …. Cisco, Huawei, Intel
 
8. เทคนิคตรวจสอบ Cisco Router รุ่น 1700 ปลอม : Side-by-Side !!! 
 
9. Professional Certifications
 
10. CAMFrog… โปรแกรมสะท้อนสภาพสังคมไทย?!?
      – บนพื้นฐานของเหตุผลเดียวกันว่าทำไมคนไทยถึงติด AF, BB, The Star
 
11. Bit Torrent’s Phenomenon Effects.
 
      – ตลาด Storage : HDD, DVD-Writer, แผ่น DVD
               + Price
               + Mass
               + Removable NB HDD
      – Pantip และ กลุ่มพลังมด
               + รายเก่า เสีย -> เปลี่ยนรูปแบบ
               + รายใหม่เกิดเร็วยิ่งกว่าดอกเห็ด
      – Colocation Server (Co-Lo)
      – Broadband HiSpeed Net & ISPs
               + True P2P Proxy Implementation
               + BuddyBB 2Mbps
               + IDC – Colo (Case iNet, ADC, CSLox, ProEn, )
      – Bandwidth Consumption Crisis (& Universitie’s Policy)
      – Life Style :
      – Electronic Gadget
               + MP3 Player
               + DVD+DivX Player
      – ปัญหาการละเมิดลิขสิทธิ์ ในรูปแบบใหม่ : Voice, Zoom,
               + Voice
               + Zoom
               + Worldwide Links
 
12. รวบรวมวิธีการ Access ระดับ Admin ของ โมเดมแต่ละรุ่น ที่ปิดไว้ ของทั้ง True และ Buddy
      True
      – Billion 5102S
      – Billion 5200SR2
      – Zyxel P-645
      – Zyxel P-660R-T1 (อันนี้กำลังทำอยู่)
      Buddy
      – Billion 5102G , 5102GR2 (ver1 & ver2)
      – Asus
      – Siemens Speedsteam 420
 
 
 
Leave a comment

Posted by on November 29, 2006 in Uncategorized

 

ใครว่า เล่น hispeed net ของ true ปลอดภัย (Final 7/12/06)

============================================
บทความนี้เป็นเพียงแค่บันทึกเรื่องราวที่ผู้เขียนได้ประสบมา และผู้เขียนจะไม่ขอแสดงความ
รับผิดชอบใดๆทั้งสิ้นกับความเสียหายที่เกิดขึ้นจากการกระทำอันเนื่องจากผู้อ่านได้นำไป
ลอกเลียน ดัดแปลง ประยุกต์ จากบทความนี้
 
ผู้เขียนมิได้มีจุดประสงค์ในการทำลายชื่อเสียง บิดเบือน หรือเปิดเผยความลับของบริการ
ของบริษัทที่กล่าวอ้างถึง หากแต่เป็นการให้ข้อมูลที่เป็นความจริงที่จะมีความเกี่ยวข้องและ
ส่งกระทบต่อผู้ใช้บริการทั้งโดยตรงและทางอ้อม อันที่พึงจะรับรู้ เพื่อที่จะนำไปป้องกัน
ความเสียหายของตนที่จะเกิดขึ้นได้ด้วยวิธีการดังกล่าว
 
บทความนี้ถือเป็นความคิดของผู้เขียนเท่านั้น มิได้มีส่วนเกี่ยวข้องใดๆกับบริษัทที่อ้างอิง
ดังกล่าว
 
ผู้เขียนขอสงวนสิทธิ์ ไม่ให้มีการคัดลอกข้อความ/วิธีการ/รูปภาพและข้อมูลใดๆ ในการ
ไปเผยแพร่ โดยไม่ได้รับคำอนุญาตอย่างเป็นลายลักษณ์อักษรจากผู้เขียน
============================================
True เป็นเครื่องหมายทางการค้าของ True Corporations
Buddy / Buddy Broadband 
       เป็นเครื่องหมายทางการค้าของ Advanced Datanetwork Communications
TOT เป็นเครื่องหมายทางการค้าของ TOT Public Limited.
บทนำ
 
จากประสบการณ์การใช้งานและทำงานในแวดวงทางด้าน Network ในบริษัทที่ดำเนินธุรกิจ
ดังกล่าว ผมมักพบว่า ผู้ใช้งาน ADSL / Hi-Speed Internet โดยส่วนใหญ่ มักจะขาดความรู้
เรื่องพื้นฐานทางด้าน Network, การสื่อสารข้อมูล และการรักษาความปลอดภัย ของตัวเอง
ซึ่งมักพบได้ในผู้ให้บริการดังกล่าวเกือบแทบทุกเจ้า ทั้ง True, Buddy และ TOT
 
สิ่งหนึ่งที่ยืนยันได้ถึงปัญหาดังกล่าว คือ ประเภท ลักษณะ และจำนวนของคำถามที่มักถูกถาม
บ่อยครั้งใน Website แลกเปลี่ยนข้อมูลข่าวสารของผู้ใช้งาน ADSL อย่าง
 
มันก็คงไม่ใช่ความผิดของ User ที่ไม่ได้มีความรู้ดังกล่าว และคงกล่าวได้ยากว่าเป็น
ความผิดของ ISP เพราะไม่ได้มีการระบุในสัญญาว่า ผู้ให้บริการจะต้องรักษาความ
ปลอดภัยของข้อมูลของผู้ใช้งาน หรือ ต้องให้ความรู้แก่ผู้ใช้งานอย่างเพียงพอ
 
แต่ทว่าสิ่งสำคัญที่ผู้ใช้บริการมักให้ความสำคัญกันมากที่สุดก่อนการเลือกใช้ คือ Speed,
ราคา, ความเสถียรภาพของสัญญาณ, นโยบายการ Block/Shape ทราฟฟิกของ Bit
Torrent Traffic แต่สิ่งหนึ่งที่ User ลืมคิดไป นั่นคือ ความปลอดภัย
 
เพราะเมื่อการสื่อสารมีความเร็วสูงขึ้น โอกาสของความเสี่ยงที่คุณจะติดไวรัส หรือโดนเจาะ
หรือ โดนขโมยข้อมูลสำคัญ ก็จะโดนง่ายขึ้นเร็วขึ้น เป็นเงาตามตัว
 
และบทความนี้ ก็เป็นอีกหนึ่งสิ่งที่ตอกย้ำความไม่ปลอดภัยดังกล่าว ที่ผู้ใช้งาน ADSL
ทุกคนพึงระวัง
 
Technical Brief
 
เนื่องจาก ISP (True, Buddy,TOT ไม่ได้มี Policy ในการ block traffic ข้าม
ข้ามวง LAN (Subnet) ภายใน network ของตัวเอง ทำให้เปิดช่องทางให้ user
ที่อยู่ต่าง network และ network เดียวสามารถโจมตีกันเองได้ ซึ่งมีทั้งโจมตีเนื่อง
จาก Virus, Worm, Trojan, DoS แล้ว Hacker ยังอาศัยช่องโหว่ทีเปิดไว้ทั้ง
Modem/Router รวมถึง PC เพื่อขโมย Username/Password, เจาะ PC
และเข้ายึดการใช้งานต่างๆของ User นั้น ได้
 
ด้วยเหตุผลดังกล่าว ประกอกับการที่ User ไม่มีความรู้ หรือไม่ได้เปลี่ยนแปลงค่า
ต่างๆทั้งใน modem/router และ PC ทั้งให้ผมสามรถประยุกต์เทคนิคขึ้นพื้นฐาน
ไปแสวงหาผลประโยชน์ โดยที่ผลกระทบดังกล่าวเกิดขึ้นได้ทั้งใน network ของทั้ง
Buddy, True และ TOT
 
ในกรณีของบทความนี้จะเน้นเฉพาะการได้มาของ Username/Password ของ
user
(สำหรับในครั้งต่อไปจะพูดถึง การประยุกต์ใช้ Port 139/445, Remote
Desktop ทั้ง ของ Windows และ VNC)
 
 
(ผมจะไม่อธิบายลงไปในรายละเอียดของการเชื่อมต่อมากนะครับ ในเรื่องของ PVC
1483 Bridged/Route, LLC-Mux, VC-Mux, การ Encapsulation อื่นๆ
เพราะเกรงว่าว่า จะยิ่งทำให้งงป่าวๆ)
 
พื้นฐานการเชื่อมต่อของ ADSL
 
ในบทความนี้ Modem/Router ที่ผมใช้ หมายถึง ตั้งแต่
– ADSL Modem
– ADSL Router Modem
– Wireless ADSL Router Modem
– Wireless AP/Router (with PPPoE function)
เขียนบทความเสร็จจะอธิบายให้ฟังว่ามันต่างกันยังไง
การเชื่อมต่อหลักๆ จะแบ่งเป็น 2 รูปแบบหลัก คือ
 
1. Bridge Mode
การเชื่อมต่อในลักษณะนี้ ผู้ใช้จะต้องสร้างการเชื่อมต่อ PPPoE จาก PC ของ
ผู้ใช้งาน ผ่าน modem/router ที่เปิดการใช้งานแบบ Bridge Mode สำหรับ
PVC นั้นๆ
 
เมื่อมีการเชื่อมต่อแล้ว PC เครื่องดังกล่าวจะได้รับ IP Address จะทาง ISP
ซึ่งโดยส่วนใหญ่มักจะเป็น IP จริง (IP ที่ไม่ได้มีการทำ NAT หรือ PAT)
2. Router Mode / Routing Mode.
การใช้งานนี้ ผู้ใช้จะกำหนดให้ Modem/Router ทำงานในลักษณะ Route mode
โดยให้ทำการสร้างการเชื่อมต่อ PPPoE กับทาง ISP แทน PC และทำการ Route
หรือ Forward Traffic ต่างๆมามาให้ PC หรืออุปกรณ์อื่นๆ อีกทอดหนึ่ง
 
เนื่องจากการทำ Routing เป็นการทำการสื่อสารในระดับ OSI Layer 3 : Network
Layer ตัว Modem/Router จำเป็นที่จะต้องมี IP Address เพื่อใช้ในการสื่อสาร
ทั้งในฝั่ง WAN และ LAN
 
IP ของฝั่งขา WAN จะได้รับจาก ISP จากการเชื่อมต่อ PPPoE Connection ซึ่งมัก
เป็น IP จริง ส่วนIP ขา LAN จะขึ้นอยู่กับที่เรา Set ในตัว modem
(ซึ่งโดยทั่วไปเราจะใช้วง 192.168.X.X หรือ 10.100.X.X)
 
ข้อดีของการใช้งานในลักษณะนี้ คือ เมื่อมีการแชร์การใช้งาน internet, User แต่ละ
คนไม่จำเป็นต้องสร้าง PPPoE Connection ของตัวเอง แต่ใช้แชร์ร่วมกันผ่าน
connection เดียวกัน (บาง ISP มีการ block การสร้าง PPPoE ด้วย user เดียวกัน
มากกว่า 1 connection ในเวลาเดียวกันด้วย เพื่อกัน ไม่ให้ต่อพ่วงคอมพิวเตอร์มาก
กว่า 1 เครื่อง)
 
ข้อดีอีกประการของการใช้ mode นี้คือ ถ้ามีการโจมตีโดย DoS, Worm และอื่นๆ
User ที่อยู่ภายส่วน LAN จะไม่ได้รับผลกระทบ ถ้าไม่มีการทำ Forward Port นั้นๆ
และโดยส่วนใหญ่ Router/Modem เกือบแทบทุกรุ่นในปัจจุบันมี Feature Firewall
ติดมาด้วย ซึ่งสามารถ drop packet บางประเภท ทิ้งได้ด้วย โดยไม่ส่งผลกระทบต่อ
user โดยตรง เหมือนกับ user ที่สร้าง PPPoE จาก PC ในลักษณะ Bridge Mode
 
อย่างไรก็ดี โมเดมโดยส่วนใหญ่ในตลาดนั้น ปัจจุบันสามารถทำงานได้ทั้ง Bridge และ
Route แต่ ISP อย่าง True และ Buddy ไม่ต้องการใช้ User ใช้งานต่อกับเครื่อง
คอมพิวเตอร์มากกว่า 1 เครื่อง Modem/Router ที่แถมหรือให้ยืมนั้น จึงมีการจำกัด
การทำงานให้เป็นได้เฉพาะ Bridge Mode เท่านั้น และให้สามารถสร้าง PPPoE
ได้เพียงแค่ connection เดียว
 
ด้วยข้อจำกัดและข้อเสียหลายๆประการของการทำงานแบบ Bridge Mode ทำให้มี
หลายคนพยายามที่จะ crack โมเดมของตนเพื่อให้สามารถใช้งานใน Route Mode ได้
แต่ทว่า การทำงานใน Route Mode นี้ย่อมมีความเสี่ยงที่บุคคลภายนอกสามารถที่
จะเข้ามาขโมย User/Password ที่ฝังอยู่ใน Modem/Router ไปใช้งานได้ เนื่อง
จากตัวมัน IP Address จากการ connect PPPoE โดยที่ความเสี่ยงที่เกิดขึ้นมี
สาเหตุหลักๆมาจากสิ่งต่อไปนี้
 
1. Modem/Router รุ่นดังกล่าว มี Backdoor อยู่
2. Modem/Router ใช้ค่า Username/Password เป็นค่า Default อยู่
3. Modem/Router ที่ให้โดย ISP นั้น ไม่มีได้มีการ Flash ทับ Firmware เฉพาะ
ทำให้ไม่สามารถเปลี่ยน Password ของ admin ได้
4. Modem/Router ดังกล่าวไม่ได้ปิดการ หรือตั้ง Policy การ Access จาก WAN
 
Hacking Procedures …. อันแสนง่ายและไม่มีอะไรเลย
1. Scan หา IP Address / Port / SNMP MIB Value/ ของเหยื่อ ด้วยโปรแกรม
    ทั่วๆไป (ลองไป search Google เอาเองครับ) หรือจะลอง Ping ไล่ด้วยมือเอง
    ก็ได้นะครับ สิ่งหนึ่งที่ต้องระวังไว้ในการใช้โปรแกรมพวกนี้ เพราะ พวก Antivirus
    อาจจะ Detect ว่าเป็น HackTool แล้วลบทิ้งก็ได้นะครับ
 
2. ตรวจสอบดูว่า IP Address เหล่านั้นเป็นของ PC, Network Equipement
    (switch, router, modem), Server หลังจากนั้นก็พิจารณาว่า คุณจะใช้
    ประโยชน์อะไรได้บ้าง
PC/Server (ไว้คราวหน้าแล้วกันนะ บอกแค่รายละเอียดก่อน)
  1. ตรวจสอบ Port ที่เปิดอยู่ ถ้ามี Port พวก 139,445, remote desktop
  2. ข้อมูลทั่วไปเช่น ชื่อของเครื่อง, วง Network และอื่นๆ
  3. SNMP MIB Value ต่างๆ เช่น OS, Users, Services และอื่นๆ

Network Device (ในกรณีนี้สนใจเฉพาะ Modem/Router)

  1. ตรวจสอบ ยี่ห้อ /รุ่น/ Details ต่างๆ
  2. ข้อมูลทั่วไปอื่นๆ เช่น Port, Routing Table, Port Forward
3. สำหรับ Modem/Router ทั่วไปนั้น แต่ละยี่ห้อจะมีสิ่งที่เรียกว่า Default Password
ก็ลองไปหา Search เองครับว่า Modem/Router ยอดฮิต ที่ใช้กันมากๆ อย่าง Billion
Zyxel, D-Link, SMC, Netgear, Linksys เนี่ย ใช้ Default Password อะไร
 
4. เนื่องจาก User โดยส่วนใหญ่ไม่ได้ระมัดระวัง หรือพูดง่ายๆ คือลืม เปลี่ยน password
นั่นเอง Default Password จึงสามารถทำมา deploy ใช้ได้ และผมพบว่า 70% ของ
ผู้ใช้งาน Hi-Speed ของ True จากการ Scan แค่ 4 Class C Subnet พบว่า User
ที่ใช้งานโหมด Routeนี้ เสี่ยงต่อการเข้าไปได้อย่างง่ายดายด้วย Default Password
พวกนี้ ด้วยสาเหตุหลายประการดังที่กล่าวไปแล้วข้างต้น  ส่วนที่เหลือ 20% แรกเป็นความ
โชคดีของผู้ใช้งานเนื่องจาก Modem/Router ถูก set กันการ access จาก WAN มา
ตั้งแต่ที่โรงงานแล้ว ส่วน 10% ที่เหลือ คือ User ได้เปลี่ยน Password เองไปแล้ว
 
5. หลังจากนั้น ก็ Access ผ่าน Web GUI ปกติ ของตัวโมเดม ด้วย Default Password
ดังกล่าว
 
6. สำหรับ Username/Password ในการ เชื่อมต่อ Internet แบบ PPPoE ถูกฝังไว้ใน
ตัวโมเดม และโมเดมโดยส่วนมาก จะมีทุกรุ่นนั้นมีระบบการแสดงผล User กับ Password
อยู่ 2 แบบ
6.1 เก็บเป็น Clear Text และดึงมาแสดงค่าใน Web GUI แต่ mask เป็น *
      เอาไว้
6.2 เข้ารหัสและเก็บไว้ใน ค่า Config และไม่แสดงผลใน Web GUI
7. Password จะเก็บไว้ในส่วนของ WAN Setting หรือ Internet Setting ให้เข้าไป
    ในหน้าดังกล่าว ซึ่งคุณจะเห็น Password เป็น mask * เอาไว้ ให้ทำการ view source
    ดู จะพบค่า password ที่ไม่ เข้ารหัสไว้
 
ข้อจำกัดของวิธีดังกล่าว
 
1. คุณจะต้องรู้ Port ที่มีการเปิด เข้าไป config ไว้ ซึ่งโดยส่วนใหญ่คือ 80 แต่ user บางคน
มีการ fwd port 80 ไป map กับ port ของ เครื่อง server ของตนในวง LAN ทำให้ไม่
สามารถ Access port 80 ของ modem ได้ ซึ่งแบบนี้เกิดขึ้นได้ 2 กรณีคือ user ได้เปลี่ยน
port ที่ใช้ access จาก WAN เป็น port อื่นแล้ว หรือไม่ได้มีการ set ไว้
 
แต่ไม่ว่าจะเป็นกรณีใดทั้ง 2 ก็สามารถทราบ หรือเข้าไปด้วยวิธีการอื่นได้ ซึ่งผมขอสงวนไว้ไม่บอก
ดังจุดประสงค์ที่ตั้งไว้ว่า นี่คือ การแจ้งเตือน ไม่ใช่ชี้โพรงให้กระรอก
 
2. Modem จะต้องไม่มีการ disable การ access จาก WAN แต่ แม้ว่าจะมีการ disable ไว้
ก็สามารถเข้าทางอื่นได้เช่นกัน
 
อันตรายซ้ำ 2-3-4….
1. เมื่อได้ Password แล้วมาสามารถทำได้เกือบทุกอย่างที่เจ้าของ User ทำได้ ตั้งแต่
การแจ้งยกเลิก การเพิ่ม Speed หรือ ขอเพิ่ม service ใหม่ แต่เดี่ยวจะคนถามอีกว่า อ้าว
มันจะทำได้เหรอ…. ทำได้แน่นอนครับ แต่คุณต้องทำ process ต่อไปอีก 2-3 ขั้น เพื่อ
ให้ได้ข้อมูลอื่นๆมากอีก ก็ทำได้ทุกอย่าง แล้วครับ
 
ซึ่งที่เหมือนจะถูกใจผมและน่าจะ hacker อีกหลายคน คือ การเปิด service ใหม่เพื่อใช้
งานอื่นๆเพิ่มเติม เช่น Wi-Fi Hotspot และ True NetDisk (>100MB ที่ต้องเสียเงิน)
…. เห็นหรือยังครับว่าโคตรอันตรายเลย
 
2. ข้อมูลในเครื่อง PC ในวง LAN จะเกิดอะไรขึ้น ถ้าผมเปลี่ยนการ fwd port บาง port
ของ PC ในวง LAN ออกมาที่ WAN ผ่านการ set ที่โมเดมที่เข้าถึงและตั้งค่าได้หมด
สมมติว่าเครื่อง PC ดังกล่าวมีการ share ผ่าน LAN กันอยู่แล้ว หรือ มีการเปิด Remote
Desktop เอาไว้ไม่ว่าจะด้วยของ Windows หรือ VNC ก็แล้วแต่ หรือ แม้แต่ ถ้าเครื่อง
ดังกล่าวมีการติด Trojan/Spyware ไว้ซึ่งมีการเปิด Port บาง Port ไว้ …..
คุณอยู่ในกลุ่มเสี่ยงหรือไม่?
 
( ในทุก ISP นะครับ ทั้ง True,Buddy และ TOT )
 
1. ผู้ใช้ True ทุกคนที่ใช้โมเดมที่ True แถมมาให้ รุ่นดังต่อไปนี้
– Billion 5102S
– Billion 5200SR2 ที่แก้โหมดเป็น Router แล้ว (เพราะโดนส่วนใหญ่จะไม่
  Flash Firmware เพราะมีคนรายงานว่า Flash แล้วมีปัญหา)
– Zyxel P-645A
2. โมเดมอื่นๆ ที่ไม่ได้ปิดการ Access จาก WAN ไว้ และยังเป็น Default Password
3. โมเดมที่ ผู้ใช้งานไม่ต้องกังวลเพราะปิดมาจากโรงงานแล้วคือ
– Billion 5102G / 5102GR2
– Zyxel P-66x Series (เช่น P-660HW, P-662HW, P-660R-T1)
  และรุ่นใหม่กว่า
– SMC เกือบทุกรุ่น
4. ผู้ใช้ที่ปลอดภัยจากวิธีการนี้ ได้แก่ทุกท่าน ที่ใช้โมเดมที่เปิด Bridge เอาไว้ และใช้ การ
dial-up จาก PC ไม่ว่าจะผ่านทางของ PPPoE ของ Windows เอง, Software ของ True,
Software ของ Buddy และปลอดภัยชัวร์แน่ๆ กับผู้ใช้โมเดมทุกชนิดที่เป็น USB ครับ
  
    แต่ผู้ใช้กลุ่มนี้จะเสี่ยงในกรณีที่เครื่อง PC คุณไม่ได้เปิด Firewall ไว้ หรือ เปิดไว้แบบ
ไม่ปลอดภัย ติด Spyware/Trojan และอื่นๆ เพราะ คราวนี้ Hacker ไม่ได้เล่นงานที่
Modem คุณแต่นั่นมันคือเครื่อง PC คุณทั้งเครื่องครับ
   
    อ่อ จากการลองเล่นภายใน network ของ True แล้วนั้น ผมพบ Server ที่ทำวิธีการ
ดังกล่าวอยู่ถึง 4 เครื่อง เป็นทั้งของบริษัทและของส่วนตัว……. หาเอาเองครับ อ่อ อีกอย่าง
พวก Server พวกนี้มันจะใช้ Feature พวก Dynamic DNS ทั้ง ของ no-ip, DynDNS
ด้วยล่ะ ดังนั้น มันง่ายไปอีกในการ Hack ครั้งต่อๆไป ไม่ต้อง scan หาแล้วครับ
 
How to Protect Youself
1. เริ่มต้นที่ เครื่องคอมพิวเตอร์ของท่าน… เปิด Firewall ไว้ ปิด Port ที่ไม่ได้ใช้งานทิ้ง
    ให้หมด
2. เปลี่ยน Password การ Access ตัวโมเดม
3. ปิดฟังกชั่น การ access จาก WAN เพื่อเข้าไป config ทุกประเภท
4. …. เปลี่ยนโมเดมไปใช้รุ่นที่มี Security ดีกว่าเดิมครับ แล้วก็ใช้มันด้วย
 
About Me?
– เคยเป็น Network Engineer ของบริษัท net แห่งหนึ่ง (ที่โดนด่ามากสุดด้วยมั้ง)
– สนใจ Hacking มาตั้งแต่ ม.3 แล้ว(ตั้งแต่อยู่ในโรงเรียนที่มีสีโรงเรียนสองสี 555)
  อ่อ ถ้าอยากรู้ว่านานขนาดไหน ก็สมัยที่ net 56K มันราคาถูกสุดชั่วโมงล่ะ 50 บาท
  อ่ะน้อง และใช้ได้เดือนละ 10 ชั่วโมงอ่ะ และสมัยนั้นยังเป็นยุค Dos6.22/Win3.11
  และ Windows 95 เพิ่งเปิดตัวไปไม่นานอ่ะ
– จบวิศวะไฟฟ้า แต่อยากสะเออะ อยากจะเรียนและทำงานด้านวิศวคอม/วิทยาคอม
– กำลังไปเรียนต่อ US เพราะ ทุนกพ. มันบังคับไป อ่อ จบแล้วต้องไปใช้แรงงานทาส
  ที่ NECTEC / สวทช อีก 10 ปี …. อ้วกแน่ๆล่ะ
– หลังจากเรียนจบ ใจจริง อยากทำงานกับบริษัท มากกว่านะ โดยเฉพาะฝ่ายพวก
  Research และ บริษัทในดวงใจคือ…แต่นแต้นแต๊น….  Cisco Systems 
             CISCO  SYSTEMS
                                               
             ..|||||...|||||..
 
     Logo เหมือนป่าววะ.. ทำเอากับมือเลยหน่า
 
  นั่นเอง ไม่ใช่เห่อ เป็น Trend น่ะ เหมือนใครหลายๆคน โดยเฉพาะพวกที่เรียนมากับ
  Cisco Academy น่ะ แต่หลังจากเล่นอุปกรณ์ Wireless เนี่ย พบว่ามันเจ๋งที่สุดใน
  ตลาดเลย ดังนั้น Lab มันคงไม่ใช่เรื่องเล่นๆ 
  (แม้ว่า Logo บริษัท ใหม่ตอนนี้ จะ *uck shit ก็ตาม)
=================================================
     [ ZONE กระดาษทด]
 
เปิด Blogไว้ก่อน เดี๋ยวมา up ต่อ เวลาว่างๆ และเบื่อ —-
 
ใครว่า เล่น hispeed net ของ true ปลอดภัย
 
– วิธีการได้เจาะ password ของ user ที่ใช้งาน True , Step-By-Step
(ไม่ต้องมาเจาะผมหรอก เดี๋ยวข้าพเจ้าจะหน้าแตก 555)
 
– ถ้าผมได้ password ของ คุณ ทำไมถึงคิดว่าจะใช้ประโยชน์มันต่อไม่ได้
เพราะว่ามันป็นบริการ ADSL นิ ลองคิดใหม่ได้ครับ เพราะนี่คือสิ่งที่ผมอาจจะทำ
 
– ใครบ้าง และ ISP ไหนบ้าง นอกเหนือจาก True ที่เสี่ยงกับวิธีการนี้
 
– วิธีการป้องกัน "ผม"และ Hacker รายอื่นๆ ในระดับ User และ ISP
 
3 Comments

Posted by on November 23, 2006 in Network Security

 

ไม่น่าเชื่อแหะ.. โอเค อ่ะอยากได้ Jonathan Job จัดให้ #1 (Last Updated 02/12/06)

วันนี้ผมนั่ง Tracking ดู ผู้เยี่ยมชม Blog แห่งนี้ คิดว่าคงจะไม่ค่อยมีคนเข้า Blog แห่งนี้แล้วสะอีก
เพราะเข้าใจว่าเพื่อนหลายคนคงจะเอือมแล้วเลิกเข้ามาแล้ว (เพราะแม่งกว่าจะอัพทีเนี่ย เป็นชาติ)
 
(พอดีช่วงนี้โดนตามล่าตัวจากไอ้อินเดียใจแคบตัวหนึ่งอยู่ เลย ต้องระวังตัวหน่อย 555 — เออ สงสัย
อย่างหนึ่งว่ะ แค่โปรแกรมที่เขียนโค้ด มาไม่ได้เรื่อง แล้วแค่ผมไป "แครก" เอา พาสเวิร์ดออกมาได้
เนี่ยผิดกฏหมายด้วยเหรอวะ)
 
และผมพบว่า
 
ทุกวันจะมีคน "หลง" เข้ามา Site ผม โดยใช้ Net เหล่านี้
 
>>> เฮ้ย ไม่ต้องตกใจ ผมไม่ได้ทำอะไร แค่อยากทักทายด้วย ไม่ใช่หนีหายกันหมดล่ะ 555
 
1. ม.เกษตร   — อันดับหนึ่งเลยมั้งเนี่ย เข้ามาบ่อยมาก… แกเป็นใครวะเนี่ย? คงไม่ใช่ RSS Feed นะ
                      เมื่อวานพูดยังไม่ทันขาดคำ วันนี้สูบ RSS ทั้ง web เลยโว้ย
2. TOT        — Net ห่วย อย่าไปใช้เลย สมัคร True กับ Buddy เล่นจะสบายใจกว่าครับ
3. CAT        — โอ้ ใช้ Colo เข้ามาเหรอท่าน
4. BuddyBB — สนใจจะใช้ BuddyBB ถามข้าพเจ้าได้…555 เคยทำงานอยู่ ตอนนี้ออกมาเตรียมเรียน
                     ต่อแล้วครับ
5. Tiscali , UK — เดี๋ยวนี้ Blog ข้าพเจ้า Go Inter แล้วหรือเนี่ย …. รู้นะ ว่าคุณน่าจะเป็นใครอ่ะ 555
6. Swedish University Network , Sweden — เฮ้ย ใครหว่า เรามีเพื่อนอยู่ Sweden ด้วยเหรอ?
7. True        — มีโผล่มาบ้าง…
8. Pacific Internet — นั่นแน่… Mr. TEST ชัวร์ๆ
9. ม.ธรรมศาสตร์ (26Nov) — ใครหว่า…. แถมมา search เรื่อง Cisco ด้วย มีไรก็ถามผมก็ได้นะเรื่อง config
                                     เนี่ย ตอบได้จะตอบ สงสัยท่าทางคุณจะค้น Blog ผมซะทั่วแล้วมั้ง บอกไว้ก่อนว่า
                                     มันไม่มีระเบียบอยู่นะ
10. CSLox / Loxley(26Nov)
11. ม.สงขลานครินทร์ (28 Nov)
12. University of Greenwich, London, United Kingdom (28 Nov)
13. Strato Rechenzentrum, Germany (30 Nov) — แชมป์เหรอ?
14. DION, Japan (1 Dec)— น่าจะเดาได้ว่าใคร
15. JPNIC, Japan (1 Dec) — นี่ก็น่าจะเดาได้อีกล่ะ 555
16. ChinaNet , China (1Dec) — เออ…. อันนี้หลงเข้ามาชัวร์ๆ
 
ไม่รู้ พวกคุณจะหลงเข้ามาเป็นครั้งที่ 2 อีกหรือเปล่านะ
 
ถ้าเข้ามาก็จะได้เห็นคำตอบที่อยากได้กันอ่ะ Jonathan Job ยินดีจัดให้ ตาม Referer นะ
 
Referer
 
1. Google : "การเปิดเสรีทางการค้า" (21/11/06)
ขอแสดงความเสียใจก่อนนะครับว่า …. ผมไม่ใช่นักวิชาการที่เขียนบทความแนวนั้นบ่อย
จริงๆ ผมจะเขียนในส่วนที่เกี่ยวข้องกับธุรกิจการสื่อสารอ่ะนะครับ และบทความเรื่องขายหุ้นชิน
เนี่ย พอดี ผมยังไม่ว่างเขียนต่อให้มันจบเลย แต่ตอนนี้ออกจากงานแล้ว ก็คงว่างอีกเยอะ
ไว้รอหลังผมสมัคร U ก่อนอ่ะ ช่วง กพ. น่าจะเริ่มว่าง แล้วจะได้เห็นตัวเต็มหลังจากนั้นล่ะ
 
อย่างที่รู้กันว่า ADC (Buddy) เนี่ย…. งานล้นคนครับ ไม่เหมือน AIS ที่คนล้นงาน 555
ไม่น่าเชื่อบริษัทลูกงานมันจะหนักกว่าบริษัทแม่

2. Google : "ข้อสอบ Cisco" (21/11/06)

ถ้าคุณหาพวกตระกูล Testking, Actualtest นะ ผมแนะนำ website จีนแห่งหนึ่ง
นั่นคือ http://www.net130.com มีทุกอย่างที่คุณอยากได้ตั้งแต่ CCNA, CCDA, CCNP
CCSP และ ก็ CCIE อ่ะ อ่อ มันมี eBook ของ Cisco Press เกือบทุกเล่มเลยล่ะ
 
สำหรับ จะหาที่คุย webboard พวกข้อสอบ Cisco เนี่ย ก็มีอย่าง http://www.thaifast.com
อ่ะ ถ้าจำไม่ผิดนะ นอกนั้น แนะว่าลองไปหาใน yahoo group หรือ ไม่ก็ Orkut ครับ
อ่อ สำหรับ thaifast มีของให้คุณโหลดผ่าน FTP เหมือนกัน ก็เยอะใช้ได้ครับ โดยเฉพาะ
พวกโปรแกรม RouterSim อ่อ ผมใช้ของ Boson NetSim 6.0 Beta3 อยู่นะ คิดว่า
ตอนนี้น่าจะมีใหม่กว่านี้แล้ว ไป search หาในพวก www.fixdown.com ดีกว่าครับถ้าอยากได้
พวก sotware แต่มีรุ่นน้องผมบอกว่า Boson เนี่ยมี bug เยอะ ประมาณ Function บางอย่าง
ดันที่รุ่นของจริงมันไม่มี มันมีให้ใช้ แต่ในขณะที่มันต้องมี ดันไม่มี ลองๆดูแล้วกัน
 
สำหรับ eBook อื่นๆ http://enfull.com และ http://www.kebook.com เนี่ย น่าจะมีเกิน
ความต้องการคุณเลยครับ
 
ลองดูแล้วกันครับ

3. Google : "เรียน GRE" (21/11/06)

ผมรู้ว่าคุณกำลังหาที่เรียน GRE อยู่อ่ะนะ สำหรับตัวผม ผมหาข้อมูลก่อนไปเรียนไว้ 3 ที่ คือ
Kaplan, สงวน และ Princeton Review 
 
ถ้าท่านคิดว่า ท่านเป็นห่วง Part Verbal มากกว่า Part อื่นล่ะก็ แนะนำ สงวนครับ เพราะผม
เคยเรียน TOEFL CBT ที่นี่ ผมบอกได้เลยว่า เขาอัดศัพท์ชนิดที่คุณท่องไปสอบ GRE ได้ครับ 
แต่สิ่งที่สงวนจะ ไม่มีให้คุณคือ Writing ตอน TOEFL เนี่ยผมก็ต้องไปลง Course Adv.
Writing ที่ BB&C เพิ่มเติมครับ
 
แต่ระหว่าง Kaplan และ Princeton เนี่ย ผมบอกได้เลยว่า Kaplan น่ะ คุ้มกว่าอยู่แล้ว เพราะ
สไตล์การสอนทั้งสองที่จะไม่เน้นทำโจทย์มากเท่าไร แต่สอนเทคนิคการทำโจทย์, Kaplan จะมี
Material ทั้ง หนังสือ, ข้อสอบ, Flashcard, หนังสือศัพท์ และข้อสอบ Online อีกอื้อเลยครับ
ชนิดที่ว่าคุณไม่มีทางทำหมด ส่วน Princeton เนี่ย Course มันราคาแพงหูฉี่เลย ถ้าจำไม่ผิดน่าจะ
28,000 นะครับ เพื่อนผมมันไม่แนะนำให้ลง เพราะมันเรียนมาก่อนแล้ว รู้สึกว่าไม่คุ้ม ไม่ได้อะไร
เท่าไร สำหรับ Kaplan ผมเรียนมาเนี่ย 22,000 ครับ เรียน 6 อาทิตย์ (วันธรรมดา 2 วัน วันละ 3
ชั่วโมง : 18.30-21.30 และวันหยุด 1 วัน วันละ 6 ชั่วโมง 9.00 – 16.00) 
 
ประเด็นสำคัญ ผมไม่อยากให้คุณมองว่าคุณจะได้อะไรจาก Course GRE หรอก เพราะมันจะไม่
ค่อยได้อะไรจริงๆ Quantitative Part เนี่ย ผมเชื่อว่าคุณคงทำได้ไม่ต่ำกว่า 770 อยู่แล้วครับ
เด็กไทยไม่ 800 เต็มเนี่ยเสียชื่อนะครับ เพราะมันเลข ม.3 ครับ นั่นคือ คุณจะไม่ได้อะไรมาก
เท่าไร นอกจากทำให้คุณคุ้นเคยกับข้อสอบกับเวลาที่จำกัดเท่านั้น ส่วน Verbal Part เนี่ย คุณ
ไปเรียน แค่2-3 เดือน ศัพท์คุณไม่ได้เพิ่มขึ้นเท่าไรหรอก พวกนี้มันต้องอาศัยท่องเองนอกเวลา
เรียนเท่านั้นครับ ถ้าหวังว่าจะไปท่องใน Class เนี่ย คิดผิดครับ เพราะศัพท์ที่คุณควรจะท่องให้ได้
อย่างน้อยก็ Kaplan 200 คำ, Barron 300 คำ, ศัพท์พื้นฐานอีกประมาณ 1000-1500 คำ
ท่องในห้องจึงเป็นเรื่องเป็นไปไม่ได้ครับ
 
Writing เนี่ย Kaplan คนที่สอนเป็นฝรั่ง ชื่อ Mathew Hunt เป็นคนที่ขยันสอนมากครับ แต่
ค่อนข้างน่าเบื่อ เขาสอนสไตล์ตะวันตกที่เน้นให้คิด แต่…. ไม่ค่อยเน้นให้ทำเท่าไร ผมรู้สึกว่า
ไม่ค่อยได้อะไรจาก Class นี้นอก จากว่า จะได้คนที่จะช่วยตรวจ essay ให้คุณอ่ะนะครับ แนะ
นำว่าไปลง BB&C คอร์ส Advance Writing ดี กว่าครับ ได้ผลชัวร์
 

4. Google : "เครือข่ายชั้นเซียน" (22/11/06)

จะหาโหลดหนังสือเล่มนี้ใน net เหรอครับ …. ผมว่าคุณเริ่มต้นหาจาก Google ก็ถือว่าผิดแหล่ง
ตั้งแต่แรกแล้วครับ เพราะ Se-ed ไม่ทำ eBook มาขาย และที่มีเกร่อกันตอนนี้คือ เขาไป scan
กันเองครับ และไฟล์มันใหญ่ขนาดประมาณ 150-200 MB ได้ (ทั้งเล่ม 1 และ2) ดังนั้น มันเป็น
ไปได้ยากที่จะมีคนยอม upload ให้ขึ้น web ครับ
 
จะหาจากไหนเหรอ… Bit Torrent ครับ ตอนนี้ยังมีปล่อยกันเกร่อ อยู่ตามเวบบิตชั้นนำของไทย
มีอยู่แน่นอนครับ ผมยังเห็นแวบๆอยู่เลย.. อ่อ สำหรับ web ไหนนั้น… หลังไมค์ครับ บอกอีกอย่าง
ตอนนี้ invite หมดครับ.. ฉะนั้นไม่สามารถจะเชิญไปใช้บริการ Bit ไหนได้นะครับ แต่ถ้ามันยัง
เปิดรับสมัครอยู่ ก็ถือว่าคุณโชคดีไปครับ 
 
แต่ถ้าจะถามว่า ว่าหนังสือเล่มนี้ดีไหมดีไหม…. เล่มแรก.. ห่วยครับ ไม่ต้องไปเสียเวลาโหลดหรอก
… แต่เล่ม2 เนี่ย ถ้าไม่ดีจริง ผมไม่ Recommend ไว้ใน Book List ผมหรอก ผมเคยวิจารณ์ไว้
ใน Blog แห่งนี้ ลองไปค้นดู Blog อันแรกๆที่นี่อ่ะ

5. Google : "ปัจจัย ข้อสอบ" (22/11/06)

เออ คุณเข้าผิดเวบเต็มๆแล้วล่ะครับ… ขอแสดงความเสียใจด้วย เพราะผมไม่ได้เขียนเกี่ยวกับข้อสอบ
และแนวทางการออกข้อสอบ หรือ ผลวิจัยด้านนั้นอ่ะ

6. Google : "ดร.วิรินทร์ เมฆประดิษฐ์สิน" (24/11/06)

คิดว่า จะมีใครบ้า Search ชื่ออาจารย์เขาตั้ง 2 ครั้งต่างเวลา แล้วดันเข้ามา Blog ผมด้วยเนี่ยนะ
เอ จงใจ หรือ บังเอิญล่ะหว่า
 
ผมไม่รู้ว่าคุณกำลังมองหา course ที่อาจารย์เขาสอนอยู่หรือเปล่า หรือว่า แค่ต้องการมาหาประวัติ
หรือ หาชื่อหนังสือ หรืออะไรก็ตาม ในฐานะที่ผมเคยเป็นลูกศิษย์อาจารย์เขาเหมือนกันนะ ก็ขอพูด
หน่อยแล้วกัน
 
อาจารย์เขาเป็น Pro ด้าน Network คนหนึ่งของประเทศเลยครับ เขียนบทความทางวิชาการบ่อย
โดยเฉพาะนิตยสาร Microcomputer มีผลงานหนังสือ ออกมาแล้ว 2 เล่ม ของ SE-ED อันหนึ่ง
เกี่ยวกับ hardware และอีกเล่มเกี่ยวกับ network และจากการพูดคุยส่วนตัว พี่ท่านกำลังแต่ง
เล่มที่ 3 อยู่เกี่ยวกับ การ Config Router ของ Cisco และการออกแบบ Network อ่ะนะครับ
แต่นับแต่วันนั้นถึงวันนี้ก็ 3 ปีแล้ว … อาจารย์ครับ ผมยังไม่เคยหนังสืออาจารย์มาปรากฏในท้อง
ตลาดเลย หรือเพราะว่า โดนคุณเอกสิทธิ์ เปิดซิงตลาดหนังสือ Cisco ภาษาไทยไปก่อนแล้ เมื่อ
ปีก่อนหรือครับ เลยรอให้มันซาก่อนแล้วค่อยเปิดตัวแบบดังๆ ไม่มีคู่แข่ง ใช่ไหมครับ…555
 
ด้านการสอน อาจารย์ วิรินทร์ เป็นคนที่ทุ่มเทกับการสอนมาก ผมเคย เรียนคอร์สหนึ่งเมื่อ 3 ปีมา
แล้ว จุดประสงค์ของการเรียนคือ ทำ Senior Project เพื่อจบป.ตรี ครับ ก็ถ้าไม่ได้อาจารย์มา
ผมก็คงสอบ Project ไม่ผ่านแล้วจริงๆนะครับ คอร์สที่เรียน เรียกได้ว่าดีกว่าที่เขาสอนในมหาลัย
ชื่อดังย่านสามย่านอีกครับ 555 แต่.. ความรู้สึกลึกๆนะ แม้ว่า อาจารย์จะสอนดี สอนเข้าใจ
ทุ่มเทกับการสอน มีความเป็นอาจารย์เปี่ยมล้น แต่ พี่แกก็หวงวิชาบ้างเหมือนกัน อย่างเช่น
โปรแกรมเด็ดๆ ในเครื่องที่โรงเรียนของท่านเนี่ย พี่ท่านก็ไม่ยอมให้เอา USB Drive ไป copy
โปรแกรมออกมา ชนิดว่าพอรู้ว่าผมจะ copy วันรุ่งขึ้นก็ Disable USB Port เลย บอกว่าจะแจก
ให้หลังจบคอร์ส เขาก็แจกอ่ะนะ แต่โปรแกรมที่ผมอยากได้… มันไม่มีอ่ะ
 
ที่น่าสังเกตอีกอย่างนะ ตอนที่ผมไปเรียนเนี่ยผมอยู่ ปี 4 … อายุน้อยที่สุดใน Class ที่นี้เลยล่ะ
ส่วนใหญ่จะเป็นพนักงานอายุ"อาวุโส"ของ TOT, CAT ที่แบบว่าได้มาเรียนฟรี (ไอ้พวกเนี้ยเนี่ย
ไม่ค่อยจะตั้งใจเรียนเท่าไร ว่ะและก็มีพนักงาน-Admin ของบริษัทต่างๆ เคยเจอก็อย่าง CP อ่ะนะ
ทุกคนก็ถามผมว่า "อ้าวน้อง นี่มาเรียนเนี่ยจ่ายตังค์เรียนเองเลยเหรอ" "ก็ใช่สิพี่ ผมยังเรียนอยู่นิ
 
โดยรวม ถ้าจะไปเรียนเพื่อปูพื้นฐานด้าน Network แนะนำครับ แพงหน่อย แต่คุ้ม อ่อ คอร์สที่ผมลง
ไปเนี่ยสนนราคาอยู่ที่ 9,500 บาท ครับ แต่ถ้าไปในนามบริษัทหรือศิษย์เก่าก็จะได้ลด 10% นะครับ
โรงเรียนแก ชื่อ American Information System (AIS ที่ไม่ใช่ AIS) อยู่ตึกทศพลแลนด์ 2
ชั้น 10  ถ้าหาไม่เจอ … มันอยู่แย้งๆกับ อาบ อบ นวด Poseidon ครับ… ไม่เจอเนี่ยให้มันรู้ไป
 
อ่อ website ของพี่ท่าน คือ http://www.cyberthai.com มีแผนที่และ ตารางเรียนคอร์สต่างๆ
ครับ
 

7. Google : "webboard config cisco" (26/11/06)

อืม ก็อย่างที่บอกไปแล้วว่า webboard ที่ discuss กันเกี่ยวกับทั้ง cer และ config ก็มีอย่าง
www.thaifast.com หรือจะมีอีกทีหนึ่ง แต่นั่นมันจะปนๆกันระหว่าง Equipment กับ Appนะ
คือ http://www.thaiadmin.org/board/ ลองหาๆดู ในส่วนของ Network Hardware อ่ะ
น่าจะมีคน พอจะช่วยเหลือคุณได้

8. Google : "ทำ bit colo" (30/11/06)

เออ การติดตั้ง server เพื่อทำ colo เนี่ย ผมไม่ทราบแฮะ ว่าต้องดำเนินการอย่างไรบ้าง แต่พอ
ที่จะทราบคร่าวๆ เนี่ย คือ คุณต้องไปติดต่อกับ ISP ที่คุณจะต้องการเอา Server ของคุณไปวาง
ในเรื่องของ การเชื่อมต่อ, พื้นที่, ค่าไฟฟ้า, ค่า Bandwidth, อาจจะรวมถึงค่าตั้งตู้ rack 19"ใหม่
ในกรณีที่ทาง ISP ไม่มีพื้นที่ว่างอ่ะนะ เขาอาจจะมีการกำหนดเรื่องเครื่อง server ที่จะมาวางว่า
ได้รับมาตรฐานเพียงพอที่จะไม่ทำเกิดการ short circuit หรือ ไฟไหม้ได้ประมาณนี้ …. พูดตาม
ความเข้าใจนะ
 
ส่วนเรื่องของ Software ที่จะต้องลง บน Server หรือ Web ที่จะให้ user up file .torrent
ไปให้เนี่ย คิดว่าน่าจะต้องเขียนเอง มั้ง
 
สำหรับพวก ISP ที่รับวาง Colo เนี่ย ก็มีอย่าง CSLox, ISSP, CAT, ADC (IDC), iNET, KSC
ลองติดต่อดูไปดูแล้วกัน

9. Google : "buddybb" (30/11/06)

อยากจะรู้ด้านไรล่ะ จะติดตั้งดีไหม เครือข่ายล่มบ่อยหรือเปล่า Block Bittorrent ขนาดไหน ความ
เร็วสูงตามที่โฆษณาจริงหรือเปล่า อ่านเอาเองแล้วกัน….. อยากจะได้ข้อมูลเพิ่มเติมก็เมล์มาหรือ
ทิ้ง comment ไว้ หรือว่า จะเข้าไปอ่าน webboard ของ Buddy ที่
 
ก่อนจะพูดขอบอกก่อนว่านี่คือ การอธิบายในฐานะของคนเขียน Blog ทั่วไป ไม่ใช่ในฐานะอดีต
วิศวกรในบริษัทดังกล่าวนะ
 
ข้อดี
1. Buddy ให้คุณแรง 2Mbps เริ่มที่ราคา 290 บาท ถูกกว่า True ตั้งหลายเท่า
 
2. Buddy ไม่มีการ block ทราฟฟิกประเภท Bit Torrent ภายในประเทศ นั่น
    คือ ถ้าสายโทรศัพท์คุณไม่มีปัญหาคุณจะสูบ Bit ได้ที่ความเร็ว 1.8 Mbps
    หมายความว่าคุณสูบหนัง 1 เรื่องจะใช้เวลาแค่ ชั่วโมงกว่าๆ
    มันคือสวรรค์ ของนักสูบ Bit เลยครับ
 
3. Buddy เหมาะอย่างยิ่ง ถ้าคุณอยู่ในโครงการ หมู่บ้าน และ คอนโด ที่ Buddy
    เอา DSLAM ไปตั้งแล้วลากสายเพื่อให้บริการเอง (แม้ว่าราคาจะแพงกว่า
    100 บาท จากราคาปกติ แต่ยังไงก็ถูกกว่า True) เพราะคุณไม่ต้องทนกับ
    สายคุณภาพต่ำจาก TOT
4. คุณจะไม่มีวัน/ไม่ค่อยได้เจอ "ดวงตาพญามาร" ครับ
 
5. ถ้าคุณสมัคร Buddy ในบางช่วง ถ้าคุณสมัครดีๆ คุณจะได้ส่วนลด คิดๆแล้วคุณ
    จ่ายเพียง 190 บาท/เดือน และบางกรณีได้ถึง 166 บาท/ เดือน
    งงละสิ …. ไม่บอกครับ
 
    แต่ใบ้ให้ว่าฝ่าย Marketing ของ Buddy มันห่วยครับ ไม่ได้ใช้หัวในการคิด
    Pro แต่ละ Pro ออกมาครับ …. อยากรู้เรื่องเพิ่มเติม… หลังไมค์
 
6. ถ้าคุณเจอปัญหา…. คุณก็จะมีผม หนึ่งคนที่ช่วยคุณแก้ปัญหา และถ้าหนักๆ
    ผมก็พอจะช่วยแจ้งตรงไปหา Manager หรือ Engineer ที่ดูแลโดยตรง
    ให้ได้…แต่ขอเป็นกรณีๆ และรายๆไป แต่ถ้าคุณมั่นใจว่า คุณเป็นผู้หญิงแท้
    อายุในช่วง 18-24ปี หน้าตาน่ารัก อัธยาศัยดีและที่สำคัญยังไม่มีแฟนเนี่ย
    หรือ สามารถแนะนำบุคคลตามลักษณะดังกล่าวได้….. 555 ผมยินดีให้
    การช่วยเหลือเป็นอย่างยิ่งครับ  เฮ้ย ล้อเล่นๆ มีปัญหาก็เมล์มาๆ ตาม ชื่อ
    ใน URL แล้ว (ad) hotmail (dot) com
    
ข้อเสีย
1. ถ้าคุณจะติด Buddy เพื่อเล่น Bit Inter เนี่ย…. คิดผิด เพราะมันเน่ามาก
    นอกเหนือจากนโยบายในการ block Bit จากต่างประเทศแล้ว คุณจะพบว่า
    มันเป็นเรื่องที่ลำบากในการที่คุณจะโหลดแค่ไฟล์ ".torrent" เพื่อเปิดใน
    Bit Comet หรือ Azureus
 
2. เนื่องจากในรูปแบบการให้บริการแบบปกติ Buddy จะใช้สายโทรศัพท์ของ
    TOT ซึ่งผมบอกได้เลยจากประสบการณ์การทำงานว่า "ห่วยและเน่า" ดังนั้น
    ผมเลยไม่แปลกใจเลยที่มี user หลายคนบ้านอยู่ห่างเพียง 2-3 km แต่เล่น
    แล้วหลุดบ่อยมากๆ อีกอย่าง TOT จะไม่ยอมรับผิดชอบในการเดินสายใหม่
    ด้วยนะครับ… รู้ๆกันอยู่ แต่ปัญหานี้จะหมดไป ถ้าคุณอยู่ในบางบริเวณ หรือ
    โครงการ Buddy หมู่บ้านและคอนโด
 
3. ถ้า โปรที่คุณเลือกคือ PC Only คุณจะได้โมเดม ยี่ห้อ Starnet ซึ่งเป็น
    โมเดมที่ถูกกล่าวขวัญกันมากที่สุดในตำนาน เพราะขึ้นอยู่กับดวงของคุณ
    จริงๆ ว่า มันจะใช้แล้วไม่เกิดอาการ "หลุดบ่อย" หรือ "ร้อนเหี้ย" เพราะ 80%
    ของผู้ที่ใช้งานบ่น เป็นเสียงเดียวกันว่า "_uck"
 
    และอย่าหวังว่า Buddy จะเปลี่ยนให้เพราะ มีการบ่นกันเป็นชาติแล้ว ก็ยังไม่
    ยอมดำเนินการสักที
  
    ถ้าคุณพบว่า เน็ตบ้านคุณหลุดบ่อยมากๆ ขอให้นึกถึงมันก่อนครับ… เปลี่ยน
    แล้ว โอกาสหายมี 80% ครับ คุณสามารถซื้อโมเดมยี่ห้ออื่นมาใช้งานได้
    หรืออาจจะนำของ Billion, Zyxel, Huawei ที่ได้มาจาก True มาแก้ค่า
    PVC (VPI/VCI) นิดหน่อยก็เล่นได้อย่างมีความสุขแล้วครับ
 
    หรือถ้าไปซื้อมาใช้เองก็ถ้าของ Billion 5102S, 5200SR2 ของ True
    เนี่ยซื้อมือสองมาก็ราคาอยู่ประมาณ 500-800 บาท ไปลองหาที่ชั้น 4 ด้าน
    หลัง ของ pantip ดูครับมีกองๆขายอยู่ หรือลองไปได้ใน
    thaisecondhand.com หรือพวก pramool.com ก็ได้ครับ น่าจะยังมี
    ขายอยู่
 
4. Call Center ที่เสียงเพราะ มีน้ำใจ อัธยาศัยดี แต่….. ไม่มีความรู้จริงๆใน
    การแก้ปัญหา แต่ก็ไม่แปลก เพราะของ True ก็เป็นอย่างนั้นเหมือนกัน มี
    อะไรๆก็สั่งให้ reboot เครื่อง, reset โมเดม
 
5. ถ้าคุณใช้ Check เมล์ สูบไฟล์จาก Inter เนี่ย บางครั้งคุณอาจโชคดีที่
    สามารถโหลดจากต่างประเทศได้เกือบเต็ม 2Mbps แต่ บ่อยครั้งที่มักจะอืด
    ด้วยสาเหตุหลายๆประการ
 
6. Buddy จะมีปัญหากับ DNS ค่อนข้างบ่อย ทำให้คุณเข้า website บางแห่ง
    ไม่ได้ แต่ก็เป็นแค่ชั่วคราว และมักจะได้รับการแก้ปัญหาเมื่อแจ้งไป
 
7. เกม Online ที่ Server อยู่ต่างประเทศ เพราะ Ping Time จะสูงจนคุณ
    เล่นไม่ สนุกแน่ๆ
สรุปว่า Buddy จะเหมาะสำหรับผู้ที่เน้นการใช้งานภายในประเทศเป็นหลัก โดยเฉพาะ
Bit Torrent แต่ไม่เหมาะสำหรับผู้ที่จะใช้งาน Inter โดยเฉพาะ Bit เล่นเกม Online
รวมถึงต้อง Upload ไฟล์ใหญ่ๆและบ่อยๆ ไปต่างประเทศ รวมถึงผู้ที่มีงบ น้อย แต่อยาก
ได้ net แรงๆ Buddy ก็เป็นอีกทางเลือกหนึ่งที่ดีครับ

10. Google : "ข้อสอบ เครือข่ายคอมพิวเตอร์" (1/12/06)

Scroll ขึ้นไปอ่านด้านบนครับ เขียนไว้แล้วใน "ข้อสอบ Cisco"

11. Google : "testking 445 ข้อสอบ" (1/12/06)

Scroll ขึ้นไปอ่านด้านบนครับ เขียนไว้แล้วใน "ข้อสอบ Cisco"

12. Google : "แก้ 660r-t1 " (1/12/06)

เข้าใจล่ะครับว่าคุณกำลังหาวิธีการ access เข้าไปใน Web GUI ของ ไอ้ Zyxel รุ่น
นี้ที่โดน True บังคับ ซื้อในราคา 1 บาท ใช่ป่ะ …..
 
เท่าที่ทราบตอนนี้ยังไม่มีใครได้ password หรือ access เป็น admin เข้าไปได้ครับ
นอกจากพนักงานของ True ครับ
 
สำหรับผมอยู่ในระหว่าง "เจาะ" มันอยู่ ได้ความคืบหน้าจะ up ไว้ใน Blog แห่งนี้
 

12. Google : "ดูผลคะแนน smart" (1/12/06)

เออ น้องเอ๋ย …. ก็เวบเดียวกันกับที่น้องไปลงทะเบียนสอบนั่นล่ะ  ตอนที่ลงทะเบียนสอบ
เนี่ยไม่ได้ bookmark ไว้เหรอ หรือว่า ฝากเพื่อนลงให้
 

 
ถึงทุกท่าน อยากได้ก็ Request มาก็ได้ ไม่ต้องแบบว่า ด้อมๆมองๆ แอบอ่านประมาณนี้ Comment มา
ก็ได้ ถ้าไม่ถูกใจก็โวยวายๆบ่นๆก็ได้ แต่ถ้าถูกใจ จะชมเนี่ย ข้าพเจ้าก็ขอน้อมรับด้วยความยินดีครับ
 
Comment ข้างล่างเนี่ยก็มีนะ ถ้าคุณ Search จาก Google แล้วเจอ Site ผมเนี่ย และมี Keyword ที่เกี่ยว
ข้อง ก็เขียนไว้ก็ได้ ผมยินดี Update ให้ใน Blog กระทู้นี้ครับ
 
Updated: Dec 2nd, 2006
Jonathan Job
 
1 Comment

Posted by on November 21, 2006 in Q&A

 

5 ปี แลก 10 ปี

ในที่สุด วันศุกร์ที่ 17 ที่ผ่านมาก็ตัดสินใจเป็นเซ็นสัญญาทุนเรียบร้อยแล้ว พร้อมกับเอาปะป๊า กับมะม้า ไปเซ็นสัญญา
ผู้ค้ำประกันนักเรียนทุนด้วย เฮ้อ มองอีกด้าน นอกจากจะเอาตัวไปลำบากแล้วเนี่ย ยังลากพ่อแม่ติดกับตามไปด้วย…
แย่จริงๆเรา
 
นับจากนี้ไป เราก็จะเปลี่ยนสถานภาพจากบุคคลธรรมดาเป็น "ทาส" แล้วล่ะ โฮ้ๆๆๆๆๆ – ภูมิใจดีไหมเนี่ย อ่อ สัญญา
ทาสเนี่ย ถ้าไม่มีอะไรผิดพลาด มันจะกินเวลา 10 ปี หรือพูดง่ายๆว่า ผมจะไป "ไท" ต่อเมื่อผมอายุ 39 ปี แต่นอก
จากข้อเสียมันก็เหมือนจะมีข้อดีติดมาบ้างนะ เพราะ ใน 5 ปี ก่อนหน้าทำงานชดใช้เนี่ย มันกำหนดให้ผมต้องไป
เก็บตำแหน่ง "ดร." จาก’เมกา มาด้วยสิ
 
ทุนที่ผมได้รับเป็นทุนรัฐบาล(กพ.) ที่สังกัด กระทรวงวิทยาศาสตร์และเทคโนโลยี ตามความต้องการของ ศูนย์
อิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) ให้ไปเรียนต่อทางด้าน Computer Science เน้น
Computer Network ในระดับปริญญาโท-เอก ที่ประเทศสหรัฐอเมริกา ญี่ปุ่น หรือ ยุโรป แต่ผมคงจะเลือก
สหรัฐแน่ๆล่ะ เตรียมตัวมาก็เยอะแล้ว
 
จุดเริ่มต้นมันเกิดมาจากความบังเอิญที่ คุณเจ๊วาวแห่งมหานครลอนดอน ได้ส่ง msg ผ่าน MSN มาให้เมื่อเมษา
ปีก่อนด้วยข้อความประมาณว่า "จ๊อบ ตอนนี้กพ.เปิดรับสมัครทุนแหละ ลองไปดูดิเผื่อสนใจ" ก็เลยถือโอกาสไป
ดูสะหน่อยเผื่อว่าจะมีอะไรน่าสนใจ สำหรับคนทั่วๆไป เข้าใจว่าอาจจะเลือกตามสาขาของตัวเองจบมา และจะ
พยายามเลือกกลุ่มที่มีทุนหลายๆหน่วย เพื่อเพิ่มโอกาสในการได้รับทุนมากขึ้น เหตุก็เพราะมันให้สมัครได้แค่
เพียงกลุ่มเดียวเท่านั้น แต่จะกี่หน่วยก็ได้แต่ผมจะต่างจากชาวบ้านที่สมัคร ไม่ตรงสาขาที่จบ พูดง่ายๆ จบไฟฟ้า
แต่จะสมัครคอม และ สมัครไปแค่กลุ่มเดียวหน่วยเดียวเท่านั้น เหตุผลก็เพราะ มันตรงกับสายที่ชอบมากที่สุด
ทั้งที่กลุ่มที่ผมสมัคร มันมีอีกหน่วยที่สมัครไปเรียน Parallel/Cluster Computing เพราะว่าคิดว่ายังไงๆ
ก็คิดว่าคงไม่น่าจะติดอยู่แล้ว หรือ ติดก็คงจะไม่เอา
 
แล้วเรื่องมันๆก็เกิดขึ้น
 
 
Leave a comment

Posted by on November 19, 2006 in My Life

 

SQL Injection อีกแล้ว

ไอ้ Technic นี้เนี่ย มันมีมาเป็นชาติแล้ว แต่ว่ายังไงๆมันก็ยังเป็นช่องโหว่ทางความปลอดภัยที่มักจะใช้โจมตี
ได้อย่างเสมอ เหตุก็เพราะมาจากความบกพร่องในการเขียนโปรแกรมของเจ้าของ web ดังกล่าวที่ไม่ได้ทำ
การตรวจสอบอักขระที่เป็น Symbol
 
2 ปีก่อน ตอนที่นั่งขอแอบเรียนวิชา Computer Security ของภาคคอมพิวเตอร์ (ทั้งๆที่ผมอยู่ภาคไฟนะ 555)
ผมได้ลองใช้เทคนิคดังกล่าว เพื่อที่จะพยายามเจาะไปยัง website ต่างๆ ซึ่งจะเน้นก็เฉพาะ website
ของไทยเท่านั้น แล้วพบว่า จำนวนที่ตรวจพบนั้นอยู่ในระดับน้อย เพียงประมาณ 10-15% ของ website ทั้งหมด
ประมาณ 200 แห่งที่ทดสอบ แต่ทว่า ระดับความวิกฤตของปัญหาดังกล่าวอยู่ในระดับ… สูง…
 
เหตุก็เพราะ ปัญหาที่พบนั้นสามารถส่งผลกระทบในระดับที่เรียกว่าร้ายแรง ไม่ใช่เพราะความปลอดภัยของ site
ต่างๆ หรือ อันตรายที่จะทำให้ site แห่งนั้นล่มได้ หรือ ข้อมูลความลับที่จะรั่วไหลไปสู่ Hacker หรือคนภายนอก
แต่เพราะ ผลกระทบที่สามารถเปลี่ยนแปลงชีวิตของบุคคล ผู้ที่เข้าใช้บริการเวบไซต์แห่งดังกล่าวได้ โดยเฉพาะอย่าง
ยิ่ง เรื่องของการเรียน/ การงาน หรือแม้กระทั่งการสอบเก็บคะแนนเพื่อศึกษาต่อในมหาวิทยาลัยชื่อดัง เพราะเวบไซต์
เหล่านั้นเปิดโอกาสให้ Hacker สามารถเจาะเข้าไปเปลี่ยน แก้ไข รวมถึงกระทั่งลบข้อมูลดังกล่าวทั้งหมดได้ โดย
ที่ยากต่อการตรวจจับ ลองคิดดูเล่นๆ ถ้ามีใครคนหนึ่งสามารถเข้าไปลบคะแนนในเวบไซต์คะแนนสอบ Entrance
ของคุณได้ คุณก็คงจะนั่งไม่ติดเก้าอี้ใช่ไหมครับ
 
จนกระทั่งเมื่อชั่วโมงก่อน มีน้องคนหนึ่งได้สอบถามผมเกี่ยวกับเรื่องเปิดไฟล์เฉลยข้อสอบ SMART ของ ธรรมศาสตร์
ซึ่งมีการใช้ Macro และต้องมีการปรับเปลี่ยนระดับของ security ไปที่ Low เพื่อที่สามารถใช้งาน macro ดังกล่าว
ได้โดยน้องเขาได้ส่ง link คือ http://smart.bus.tu.ac.th/MainPage.mht ด้วยความอยากรู้ว่า ไอ้ SMART
เนี่ยคืออะไร แล้วทดสอบอะไร ก็บังเอิญไปเจอ หน้าแรกของ website ที่มีให้ user สามารถ login เพื่อสมัครสอบ
ดูผลคะแนน จ่ายเงิน และอื่นๆ ก็เลยเอามุกเดิมๆ มองใช้อีกที … มันได้ผลแฮะ… ให้ตายสิ พระเจ้าจอร์จ ชีวิตของ
นักเรียนหลายร้อยคนต้องมาเสี่ยงกับการกระทำของ Hacker เนี่ยนะ
 
สิ่งหนึ่งที่ผมอยากทำคือการเขียนเมล์ไปแจ้งเตือนแก่ webmaster ของ website แต่นั่นหมายถึงการประกาศตัว
ว่าคือ hacker ผู้หนึ่งที่ได้ถลุง website นั้นมาแล้ว และนั่นคือความเสี่ยงของคุณที่จะโดนเล่นงานได้เพราะ
มันอาจจะผิดกฏหมาย แต่ในทางตรงข้าม ก็อาจจะได้รับคำสรรเสริญเช่นเดียวกัน ขึ้นอยู่กับความนึกคิดและเหตุผล
ของผู้ที่ได้รับข้อมูลข่าวสารนั้น และนี่ละคือจุดบอดของการหวังดีของใครหลายๆคนที่ มักจะลงเอยได้ไม่ดีเท่าไร
(เพราะล่าสุดเนี่ย ผมก็เพิ่งเจอไอ้แขกอินเดียตัวหนึ่งที่ไร้สมองกำลังเล่นงานเพราะจากความหวังดีเนี่ยล่ะ… เยี่ยมจริงๆ)
ซึ่งรวมถึงตัวผมด้วยว่า หากตราบใดที่ผู้แจ้งนั้นไม่ได้รับความยืนยันในสถานภาพ มันก็ไม่ควรที่จะเข้าไปเสี่ยงจะดีกว่า
เพราะการกระทำดังกล่าวแม้ว่าจะเป็นเหมือนการทำบุญ ให้ใครหลายคนได้รับผลบุญนี้ แต่สิ่งที่คุณจะได้รับคือไม่เสมอ
ก็เข้าตัว อย่างที่พระพุทธเจ้าเคยบอกไงว่า การทำบุญนั้น ต้องทำให้พอดีตัว ทำแล้วต้องไม่ทำให้ตัวเองเดือดร้อน สิ่งที่
ได้รับนั้นถึงจะเรียนกว่าบุญอย่างแท้จริง
 
อย่างน้อยสุด สิ่งที่ผมได้ก็คือ เอามาปะไว้ที่ Blog ผมดีกว่า หากสักวันหนึ่งผมตัดสินใจแจ้งไป ก็จะได้มีข้อมูลยืนยันถึง
จุดยืนดังกล่าวอันนี้ และถ้าโชคดีหน่อย webmaster อาจจะมาเจอเองก็ย่อมเป็นสิ่งที่ดี แต่ในทางตรงกันข้าม คือ
เป็น Hacker ล่ะที่มาเจอ…. ก็คงได้แต่หวังว่าคนที่เข้ามาอ่าน Blog ผม คงจะมีศีลธรรม/ จริยธรรม เพียงพอที่จะไม่เข้า
ไปเปลี่ยนแปลงข้อมูลของผู้ที่ไม่รู้อิโหน่อิเหน่ ในเวบไซต์ดังกลาวล่ะนะ
 
เวบไซต์ที่ยังตกอยู่ในสภาวะดังกล่าว มีดังต่อไปนี้
 
http://recruit.dtac.co.th/ – เวบไซต์สมัครงานของ DTAC
http://smart.bus.tu.ac.th/ – เวบไซต์ ศูนย์ทดสอบทักษะด้านการจัดการ แห่ง มหาวิทยาลัยธรรมศาสตร์
http://careercenter.acc.chula.ac.th/ – เวบไซต์ Career Center ของ คณะวิศวกรรมศาสตร์และการบัญชี
เอ้ย…ไม่ใช่ คณะพาณิชยการและการบัญชี จุฬา (ที่ช่องโหว่เยอะมากๆนอกหเนือจาก SQL Injection ด้วย)
 
 
Jonathan Job
 
 
 
Leave a comment

Posted by on November 18, 2006 in Network Security