รีวิวงาน: MiSSConf[SP5]

ตารางเวลางาน MiSSConf[SP5]

สวัสดีครับท่านผู้อ่านทุกท่าน เมื่อไม่นานมานี้ผมได้มีโอกาสไปงาน MiSSConf[SP5] ที่ Dtac House สำหรับท่านใดที่ไม่รู้จักงาน MiSSConf เราไปทำความรู้จักกันก่อนดีกว่า

MiSSConf คืออะไร

เอาจริง ๆ ผมก็ไม่แน่ใจเหมือนกันว่าย่อมาจากอะไร แต่ที่รู้ ๆ คือ MiSS ย่อมาจาก Master of Science in Information Systems Security ซึ่งเป็นสาขาหนึ่งของ ป. โท ที่มหาวิทยาลัยเทคโนโลยีมหานคร

โดยคร่าว ๆ ประมาณว่าเป็น ป. โท กลุ่มหนึ่งที่จบไปแล้ว (จบแล้วทุกคนรึเปล่าผมไม่แน่ใจ ใครรู้ช่วยบอกผมที) ได้สร้าง Community เพื่อแชร์ความรู้ทางด้าน Security โดยครั้งนี้มีการจัดเป็นครั้งที่ 5 แล้วครับ

วันจองตั๋ว

เริ่มเปิดจองตั๋วตอนเที่ยงครึ่ง ซึ่งผมได้บทเรียนอันแสนสำคัญจากครั้งก่อน คือตั๋วหมดภายใน 5 นาที!!! แล้วผมก็จองไม่ทัน แต่ยังโชคดีที่รอบที่แล้วมีตั๋วมาม่า… แต่ครั้งนี้มีการประกาศออกมาว่าตั๋วหมดแล้วหมดเลย ไม่มีการเปิดอีกรอบ ผมก็เลยนั่งจ้องหน้าโทรศัพท์ไปเรื่อย ๆ จนถึงเวลาปั๊บรีบกดทันที!!!

สำเร็จครับ!!! ภารกิจนี้จบไปได้ด้วยดี แล้วผมได้ข่าวมาว่ารอบนี้ตั๋วหมดภายใน 5 นาทีเหมือนกัน ออ… ผมลืมบอกไปงานนี้เป็นงานฟรีนะครับ ไม่มีค่าใช้จ่ายใด ๆ ทั้งสิ้น ภารกิจต่อไปคือการเดินทาง

การเดินทาง

Wristband MiSSConf[SP5]

รอบนี้งานจัดที่ Dtac House อยู่ตรง MRT สามย่านพอดี ถือว่าการเดินทางค่อนข้างสะดวกอยู่หาไม่ยาก พอเข้ามาในอาคารแล้วจะมีเจ้าหน้าที่รอรับ โดยมีการ Check-in QR Code จากนั้นจะมอบ Wristband มาอันหนึ่งให้สวมตลอดเวลา ไม่งั้น รปภ. จะไล่ท่านออกจากตึกได้…

บรรยากาศในงาน

ภายในงานมีโซนนั่งเล่น และบูทของเหล่า Sponsor ผมก็ได้มีโอกาสไปเยี่ยมชมเป็นบางบูท บางบูทไม่ได้เพียงบอก service ที่ตัวเองมีเพียงอย่างเดียว แต่ยังการให้ความรู้ต่าง ๆ อีกด้วยประทับใจมากครับ

ภายในห้องประชุม

พอเข้ามาในห้องประชุมจะมีลักษณะตามรูปภาพด้านบน Slide เห็นค่อนข้างชัด ระบบเสียงชัดเจนไม่มีปัญหา ภายในห้องประชุมห้ามนำอาหาร และเครื่องดื่ม เข้ามานะครับ

เนื้อหาแต่ละ Section

Opening

วิทยากรที่จัดงานมีการกล่าวกฎต่าง ๆ ที่ใช้ในงาน และห้องประชุม มีการกล่าวถึงความเป็นมาของงาน จุดประสงค์ของงาน จากนั้นก็เริ่ม Session แรก

Session 1: Thailand Understanding Thailand Cybersecurity Law/Data Protection Law and its unintended consequence

อ. ปริญญา ได้พูดถึงภาพรวมของกฎหมายไซเบอร์ เน้นเป็นภาพรวมยกตัวอย่างมาเป็นบางมาตรา ไม่ได้ลง Detail ลึกอะไรมากมาย อารมณ์ประมาณว่าทำไมเราต้องเข้าใจตัวกฎหมาย ถ้าไม่ทำตามใครรับผิดชอบ ในกรณีที่ข้อมูลลูกค้ารั่วไหล แล้วโดน track ได้ว่าข้อมูลที่รั่วไหลเป็นของใครบ้าง CEO จะมีความผิดอย่างไร

Session 2: Secure Software Design for Data Privacy

Session นี้เป็นหนึ่งใน Session โปรดของผมเลย

ใน Session นี้จะมีการพูดถึงหนังสือเที่ยวญี่ปุ่นของแก อะไม่ใช่… ใน Session นี้จะมีการอธิบายในเรื่องของออกแบบอย่างไร เมื่อมีเหตุการณ์ข้อมูลรั่วไหลแล้ว ขาของ CEO จะไม่เฉียดคุก

โดยก่อนที่จะไปพูดเรื่องเทคนิคต่าง ๆ พี่เอกได้กล่าว 2 ประโยค ที่ควรระลึกไว้เสมอ

อะไรไม่ต้องการ ไม่ต้องเก็บ อย่าไปเผื่อ

การดึงข้อมูลออกมาใช้งาน ไม่จำเป็นต้องเก็บข้อมูลเสมอไป

ผมคิดว่า 2 ประโยคนี้ มีประโยชน์มากเลยสำหรับ พรบ. คุ้มครองข้อมูลส่วนบุคคล

สุดท้ายค่อยพูดเรื่องเทคต่าง ๆ ในการจัดการ Data Anonymization เช่น Psuedonymization, Attribute Suppression, Record Suppression เป็นต้น

เนื่องจากเวลาค่อนข้างจำกัด พี่เอกเลยไม่ค่อยลง Detail อะไรเยอะมาก รู้สึกว่าพูดไม่หมดด้วย เอาเป็นว่าถ้าท่านใดสนใจ ท่านสามารถฟังได้อีกรอบที่งาน OWASP Chapter Thailand Meeting ที่จะถึงนี้นะครับ (ช่วยโปรโมทแล้วนะครับ อิ ๆ)

Session 3: MAYASEVEN’s Hacking Diary

ใน Session นี้สำหรับผู้ที่เคยไปงาน RedXBluePill 2019 คงรู้อยู่แล้วว่าพูดเรื่องอะไร สามารถอ่าน Review ของท่านนี้ได้เลยครับ https://suksit.com/post/red-x-blue-pill-2019/

พี่นพได้มีการพูดถึง Case ต่าง ๆ ที่เคยเจอตอนทำ Pentest ให้ลูกค้า โดยเอามาอยู่ในรูปแบบหน้าเว็บ Cryptocurrency Exchange เป็น Session ที่ค่อนข้างเหมาะกับ Dev มาก ๆ เลย ส่วนคนที่ทำ Pentest อยู่แล้วก็เหมาะ เพื่อใครไม่เคยเล่นท่าไหน ก็เอาไปประยุกต์ในงานของตัวเองได้ครับ

อีกเช่นเดิม เนื่องจากเวลาค่อนข้างจำกัด เลยทำให้พูดไปได้ไม่เยอะ ถ้าใครอยากฟังพี่นพเต็ม ๆ สามารถซื้อคอร์ส Training ของแกได้เช่นกันครับ (ช่วยโปรโมทอีกคน)

Session 4: Security Improvement with Infrastructure as Code

Session นี้ขอเชิญพบกับเจ้าของวลี “มูลค่าความสุข” พี่จุ๊บนั่นเองครับ

ที่จริงน่าจะเปลี่ยนชื่อเป็น Security Improvement with Infrastructure as Ansible (ฮา) โดยพี่จุ๊บได้พูดถึงการใช้ ANSIBLE ในการ config ที่ Endpoint แต่ละจุดอย่างไรให้ปลอดภัย และมีการพูดถึง AWX เอาเข้ามาประยุกต์ใช้ร่วมกับ ANSIBLE ด้วย เพื่อช่วยในเรื่องของ AAA

Session 5: APT-Based Security Assessment and Detection

Session นี้บรรยายโดยพี่ pe3z นั่นเอง (ขออนุญาตชูป้ายไฟแปปครับ) ในหัวข้อนี้ได้นำ Case ที่เกิดขึ้นจริงของธนาคารแห่งหนึ่งในประเทศไทยมาพูด ประเด็นคือหลังจากเหตุการณ์นี้เกิดขึ้น เราจะรู้ได้อย่างไรว่าใครเป็นคนทำ โดยถ้าดูตามหลัก PDC (Protection, Detection, Correction) จะมีการพูดถึง Detection เป็นหลัก เพราะถ้าไม่รู้ว่าโดนโจมตีอย่างไร โดยใคร ก็จะไม่สามารถแก้ไขปัญหาได้อย่างถูกต้องนั่นเอง

โดยสิ่งหนึ่งที่ผมสนใจมากคือ ATTRIBUTION (หาต้นตอว่าใครทำ) เป็นส่วนที่ผมสนใจมากเป็นพิเศษ หัวใจสำคัญของหัวข้อนี้ก็คือ “อย่ามีอคติ” ยกตัวอย่างง่าย ๆ ถ้ามีเหตุการณ์รัฐบาลเกาหลีใต้โดน hack ท่านคิดว่า ใครเป็นคนทำ? ถ้าท่านสันนิษฐานว่าเกาหลีเหนือเป็นคน hack แสดงว่าท่านมี Bias ถ้าตั้งแง่ไว้ก่อน ถ้าท่านทำแบบนั้นท่านจะไม่สามารถรู้ได้เลยว่าใครแท้จริงแล้วใครเป็นคนทำ

Session 6: Digital(?), Trust, and the Rule of Law

Session นี้เป็นหนึ่งในอีก Session ที่ผมประทับใจมากเช่นกัน

ขอเสียงปรบมือให้กับ ดร. ภูมิ เซเลบแห่งวงการ Security ครับ โชคดีมากที่ได้มาฟัง เพราะว่าแกจะไม่เอาหัวข้อนี้ไปพูดซ้ำในงานอื่น

โดยหลัก ๆ ของ Session นี้คือ ทำอย่างไรให้อะไรก็ตามที่มีคำว่า Digital น่าเชื่อถือ

หลักการง่าย ๆ เลยครับ อะไรที่เราไม่เข้าใจมันเราก็จะไม่เชื่อถือมัน เช่น พืช GMO ก็จะมีคนบางกลุ่มที่ไม่ OK ที่จะกินมัน แต่บางคนกลับ OK เพราะเขารู้กระบวนการตัดต่อพันธุกรรมอย่างลึกซึ้ง

IT ก็เช่นเดียวกัน ถ้าทำให้แม่คุณเข้าใจ IT ไม่ได้ แม่คุณก็จะปฏิเสธ IT

แต่แค่ทำให้คนเข้าใจอย่างเดียวไม่พอ การให้คน Trust เนี่ย ไม่ใช่แค่ว่าร่างกฎหมาย หรือทำให้คนเข้าใจเพียงอย่างเดียว มันต้องใช้องค์ประกอบ 4 อย่าง

1. People
2. Business
3. Technology
4. Government

จบด้วยการสรุปว่ากฎหมายล่าสุด Digital Cert ตัวไหนถึงจะรอด ท่านต้องซื้อผ่าน CA ครับ จบ…

เป็นอีก Session ที่ค่อนข้างรวบรัดในตอนกลางถึงท้ายเพราะเนื่องด้วยเวลาที่ค่อนข้างจำกัด

Session 7: Anti-Anti-Code Modification

ใน Session นี้จะเน้นไปทางตัว Application บนมือถือเป็นพิเศษ โดยจะพูดถึง App ที่มีการออกแบบโดยเน้นการ Check ฝั่ง Client ซึ่งอะไรก็ตามที่ Check ฝั่ง Client มักจะไม่ค่อยปลอดภัยอยู่แล้ว เพราะ Client สามารถแก้ไขฝั่งของตัวเองได้ เช่น App บาง App เพียงแค่แก้โค้ดก็ไม่จำเป็นต้องเสียเงินรายเดือน ก็สามารถใช้บริการนั้น ๆ ฟรีได้

ต่อให้คุณจะทำ Anti Root, Code Obfuscation, Anti Unpatch หรือวิธีการใด ๆ ก็ตามเป็นการทำฝั่ง Server ก็มีโอกาส Bypass ได้อยู่ดี จะให้ดีที่สุดคุณต้องทำการ Check ผ่าน Server

Session นี้ถือว่าเป็น Session ที่ Technical ที่สุดในบรรดาทุก Session ครับ มีการทำ Source Code Review และมีการทำ Reverse Engineering อีกด้วย

ถือว่าเป็น Session ที่เหมาะทั้ง Mobile App Developer และ Pentester เลยครับ

จบงาน

ในตอนสุดท้ายก็มีคำถามสำหรับขาประจำ MiSSConf ครับ มี 1 คำถามสำหรับผู้ที่ตอบถูกจะได้เสื้อ MiSSConf กับ Gift Voucher Linux+ ไปสอบกันฟรี ๆ เลยครับ

หลังจากนั้นก็มีการถ่ายรูปหมู่กันเป็นอันเสร็จพิธี

สรุปภาพรวมของงานในครั้งนี้

งานนี้เป็น Meeting ที่ค่อนข้างอบอุ่นจริง ๆ แต่ละ Session มีทั้งสาระในแบบของตัวเอง สนุกครับไม่เครียด เหมาะสำหรับผู้ฟังที่เป็นสาย Management และ Technical แต่เวลาอาจจะค่อนข้างจำกัดอยู่นิดหน่อย อาหารทั้งเวลาพักเบรค และพักเที่ยงของ IF-Else Cafe อร่อยมากครับ (ช่วยโปรโมทร้านซักหน่อย เพราะร้านเขาทำมาดีจริง ๆ)

อยากให้มีงานดี ๆ แบบนี้ต่อไปอีกเรื่อย ๆ ครับ ขอขอบคุณทีมงานและวิทยากรทุกท่าน ที่เสียสละมาจัดงานฟรี และมีคุณภาพแบบนี้ครับ

จบไปแล้วกับการรีวิว MiSSConf[SP5] ถ้าผิดพลาดอะไรต้องขออภัยมา ณ ที่นี้ด้วย ถ้า Session ไหนสรุปผิด สามารถแย้งได้เลยครับ ผมพร้อมที่จะแก้ไข เพื่อเป็นประโยชน์ต่อทุกท่านครับ และวันนี้ขอลาไปก่อนสวัสดีครับ

Edit เพื่มเติมนะครับ

ตอนนี้มี link slide ออกมาแล้วสามารถ download ข้างล่างนี้ได้เลยครับ

https://missconf.github.io/SP5?fbclid=IwAR3y16PoXAakBRnU9KafR3ZvSpKW-IvvROKThw6hMpm-s92XgVQ9z9a1rRY