citec-services and profile
DESCRIPTION
CITEC Company Profile and ServicesTRANSCRIPT
This document provides the detail content about our services, which can be categorized in following area.
• 1. Company Profile 2. Services 3. Portfolios
C I T E C E v o l u t i o n C o m p a n y L i m i t e d h t t p : / / c i t e c c l u b . o r g 1 2 / 5 1 I n t r a m a r a 3 3 V i b h a v a d e e R a n g s i t D i n d a e n g D i n g d a e n g 1 0 4 0 0 B a n g k o k T e l : 0 2 -‐ 6 9 1 7 9 0 8 E m a i l : w o r k s h o p @ c i t e c . u s
CITEC-‐Services
Company Profile
ในป 2543 CITEC ไดกอตั้งครั้งแรกในฐานะ ชุมนุมคอมพิวเตอรประจําภาควิชา โดยกลุมนักศึกษาภาควิชา วิทยาการคอมพิวเตอร
(หลักสูตรภาษาอังกฤษ) ณ. คณะเทคโนโลยีสารสนเทศ มหาวิทยาลัยเทคโนโลยีพระจอมเกลาธนบุรี โดยมีเปาหมายในการดําเนินกิจกรรม
เผยแพรความรูทางดาน Computer มาอยางตอเนื่องผานทางการอบรมและเผยแพรความรูผานทางเว็บไซต และไดแยกตัวออกมาดําเนินการ
โดยอิสระในป 2548
ซึ่งปจจุบันไดมุง เนนการเผยแพรความรูทางดาน Computer Security เปนพิเศษ โดยมีทีมวิทยากรผูเชี่ยวชาญรวมงานจากหลากหลาย
สถาบันอาทิเชน จุฬาลงกรณ, เกษตรศาสตร, ขอนแกน, เชียงใหม, พระจอมเกลาฯธนบุรี, พระจอมเกลาฯพระนครเหนือ, พระจอมเกลาฯลาดกระบัง
และ ธรรมศาสตร ในป 2553 ทางชุมนุม CITEC ไดดําเนินการจดทะเบียนเปนบริษัทจํากัดภายใตชื่อ บริษัท CITEC Evolution จํากัดโดยมีเปาหมาย
หลักในการดําเนินธุระกิจที่จะ มุงมั่นสงเสริมความความรูใหกับบุคคลากรทางดาน IT ในประเทศไทยมีความรูทางดาน Computer Security
ใหมากขึ้น ขณะเดียวกันก็ยังมีผลงานการตีพิมพ และบริการอื่นควบคูไปดวยดังนี้
บริการของบริษัท
1.บริการตรวจสอบชองโหวและออกแบบระบบความปลอดภัยของ Website และ Application ตางๆ
2. บริการ Outsourcing & Software Development
3. จัดทํารายการ IT varieties & Computer Security ภายใตชื่อ CITEC-Live
4. บริการดานจัดอบรมดาน IT และ Computer Security
5. เผยแพรความรูทางดาน Computer Security ทางนิตยสารภายใตชื่อ Hackazine และรายการ CITEC-Live
6. บริการติดตั้งและวางระบบเครือขาย Internet แบบ Lan/Wireless สําหรับอาคารสํานักงาน หรือที่พักอาศัยตางๆ
7. พัฒนาและออกแบบระบบ Website และ Application พรอมทั้งบริการสงเสริมทางการตลาด SEO
8. บริการใหเชาพ้ืนที่ในการทําเว็บไซต (Web hosting) และ ใหเชาระบบ Server เสมือน (VPS Hosting)
9. ออกแบบระบบโทรศัพทแบบ VoIPและระบบตูสาขาโทรศัพทอัตโนมัติผาน Internet (IP-PBX)
10. ใหบริการและติดตั้งระบบประชุมทางไกลผาน Internet
ขอมูลเพิ่มเติมเก่ียวกับ CITEC ในปจจุบัน
1. ผูดําเนินการจัดทํานิตยสารดานความปลอดภัยทางสารสนเทศรายแรกของประเทศไทย (Hackazine)
2. ชุมชนดานระบบรักษาความปลอดภัยทางสารสนเทศที่ใหญที่สุดในประเทศไทย
3. ประมวลภาพกิจกรรมตางของทางบริษัท
1. บริการ Penetration Testing และ Vulnerability Assessment
(ทดสอบความปลอดภัยและวิเคราะหความเสี่ยงของชองโหวบนระบบคอมพิวเตอรและเครือขาย)
ปจจุบันภัยการโจมตีเว็บไซต (Hacking) นั้นเปนภัยที่เพ่ิมมากขึ้นสูงมาก จากหลายปที่ผานมาอยางนาตกใจ สงผลกระทบมาก
มายตอชื่อเสียง, Credit ของบริษัท และโดยเฉพาะอยางย่ิงกับ ขอมูลอันมีคาของทางบริษัท ดวยเหตุนี้ทางบริษัทจึงมีบริการ รับตรวจสอบ
ระบบความปลอดภัยของเว็บไซต (Penetration Testing) เพ่ือใหทานไดรับทราบถึงชองโหวตางๆ ที่เกิดขึ้นกับเว็บไซตหรือระบบ Network ใน
หนวยงานของทาน
Vulnerability Assessment (VA)
คือบริการประเมินความเปนไปไดของชอง โหวของระบบสารสนเทศ แตไมไดยืนยันวาชองโหวเหลานั้นสามารถโดนโจมตีไดจริงหรือไม
ผลลัพธจากการทํา Vulnerability Assessment จะทําใหทราบชองโหวที่เปนไปไดของระบบ และวิธีการแกไขชองโหวเหลานั้น
Penetration Testing (Pen-Test)
คือ บริการสําหรับตรวจสอบชองโหวของระบบสารสนเทศและทดสอบโจมตีเพ่ือนยืนยันวา ชองโหวที่คนพบสามารถถูกโจมตีไดจริง
ผลลัพธจากการทํา Penetration testing จะทําใหทราบชองทางที่ผูไมหวังดีสามารถใชในการโจมตีระบบได
นอกจากนั้นยังสามารถประเมินผลกระทบที่อาจจากการถูกโจมตีไดจริง บริการ Penetration Testing ยังรวมไปถึงแนวทางการแกไขชองโหวตางๆ
ที่คนพบ เพ่ือพัฒนาระบบความปลอดภัยโดยรวมขององคกรอีกดวย
ความแตกตางระหวาง Vulnerability Assessment (VA) และ Penetration Testing (Pen-Test)
1. VA จะเปนขั้นตอนหนึ่งของ Pen-Test โดยการทํา Pen-Test ทุกครั้งจะรวมขั้นตอนการทํา VA ไปดวย
2. การทํา VA จะไมทราบผลกระทบจริงๆ ที่มีตอระบบ เพราะวาไมสามารถยืนยันไดวาชองโหวดังกลาวสามารถถูกโจมตีไดจริง
หรือไม และไมสามารถทราบไดวาสิทธ์ิที่ไดหลังจากโจมตีสําเร็จจะเปนเชนไร
3. VA จะตอบคําถามวา "ระบบที่สนใจมีชองโหวอะไรที่เปนไปไดบาง และจะมีแนวทางการแกไขอยางไร" สวน Pen-Test
จะตอบคําถามวา "ผูไมหวังดีมีโอกาสโจมตีระบบที่สนใจไดสําเร็จจริงหรือไม ผลกระทบจากการถูกโจมตีมีอะไรบาง
และสามารถแกไขอยางไรไดบาง"
4. Pen-Test มีการทํา Proof-of-Concept วาชองโหวสามารถถูกโจมตีไดจริง และโจมตีไดอยางไร แตกตางจาก VA
ที่ไมมีกระบวนการนี้เขามาเก่ียวของ
กลาวโดยสรุปวา การบริการทั้งสองรูปแบบนี้ มีจุดประสงคเพ่ือใหทราบถึงระดับความปลอดภัยโดยรวมของระบบเครือขายภายในองคกร
เพ่ือจะไดทําการปดชองโหวเหลานั้น ไมใหสงผลกระทบกับองคกรในดานตางๆ เชน การรั่วไหลของขอมูลภายใน (Information Leakage)
หรือจากการโจมตีระบบของผูไมประสงคดีในระยะยาวตอไป
Penetration Testing
Vulnerability Assessment
ประเภทของการใหบริการ (Type of Services)
การบริการทดสอบความปลอดภัยระบบคอมพิวเตอรและเครือขายแบงระดับการทดสอบออกเปน 2 รูปแบบดังตอไปนี้
ประเภทการใหบริการ (Service Type)
ความละเอียดในการตรวจสอบ (Coverage)
รายงานผลกระทบ (Impact)
วิธีการโจมตี (Methodology)
การแกไขชองโหว (Remedy)
Level-1 Penetration Testing Low ü û û
Level-2 Penetration Testing High ü ü ü
รายละเอียดการรับบริการ (Subscription Detail)
รับทราบเงื่อนไขการใหบริการ (Service Agreement) เพ่ือทําความเขาใจในรายละเอียดทั้งหมดกอนการใชบริการ และลงนาม
ยินยอมใหทําการทดสอบระบบเครือขายในเอกสารขอตงลงการใชบริการ
หากมีขอสงสัย หรือตองการทราบรายละเอียดเพ่ิมเติม ทานสามารถติดตอสอบถามกับเจาหนาที่ของบริษัท CITEC Evolution
ในเวลาทําการ วันจันทร-ศุกร เวลา 09.00 – 18.00 น.
2. CITEC-Live (รายการ IT Security รายการแรกของไทย) เปนรายการทางดาน IT varieties & Computer Security รายการของไทยมีเปาหมายคือเผยแพรความรูทางดาน IT และ Computer Security
ที่เขาใจงาย เพ่ือใหผูฟงไดรูเทาทันและระมัดระวังตัว กับภัยตางๆที่จะเกิดขึ้นในโลก Cyber พรอมๆไปกับการนําเสนอสาระบันเทิงที่ไมจําเจ
และมีประโยชน เพ่ือใหเยาวชนและบุคคลทั่วไปสามารถนําไปพัฒนาความรูความสามารถ รายการดังกลาวนี้สามารถเขาชมไดที่
http://youtube.com/citecclub.org
3. บริการดาน Outsourcing
นอกเหนือจากบริการดาน Computer Security แลวปจจุบันทาง CITEC ถือวาเปนกลุม Community ทางดาน Software Development
ที่ใหญที่สุดแหงหนึ่ง โดยมีสมาชิกที่มีความเชี่ยวชาญทางดาน IT อยูกวา 15,xxx คน ดวยเหตุนี้เองทางบริษัทจึงมีศํกยภาพในการคัดสรรค
บุคคลากรเพ่ือทําการ Outsourcing ใหกับบริษัทตางๆที่ตั้งการบุคคลากรทางดานนี้ ไดอยางมีประสิทธิภาพ
โดยฐานขอมูลบุคคลกรทางดาน IT ดังกลาวนี้กระจายอยูตามกลุมตางๆในระบบ FURU ( Facebook + GURU) ซึ่งเปนระบบที่พัฒนาขึ้น
มาเองของบริษัทดังสามารถเขาชมไดที่ http://citecclub.org/furu
ตวัอยางลูกคาบางสวนที่ใชบริการ Outsourcing และ Software Development ของ CITEC
Advanced Info Service (AIS) European Union (Information Center)
FAO (United Nation)
4. นิตยสารดาน Computer Security ฉบับแรกของไทย Hackazine
ปจจุบันทาง CITEC จะไดมีการเปดตัวนิตยสารความปลอดภัยทางสารสนเทศฉบับแรกของประเทศไทย ภายใตชื่อ "Hackazine"
ภายใตรูปแบบ หนังสือออนไลน (E-Magazine) ซึ่งเปนการแจกฟรีอยางไมจํากัดใหกับผูอานที่สนใจ โดยสามารถติดตามตัวอยางของนิตยสารนี้ไดที่
http://citecclub.org/hackazine ซึ่งเราสามารถนําเสนอตัวเต็มใหทางบริษัทพิจรณาไดถาตองการ
5. ชุมชนดานระบบรักษาความปลอดภัยทางสารสนเทศท่ีใหญท่ีสุดในประเทศไทย
อางอิงสถิติของเว็บ Truehit.net ในปจจุบันเว็บไซตของ CITEC มีผูเขาชมอยูระหวาง 14,xxx-16,xxx Unique Visitor /Day
และมีอัตราการเพ่ิมขึ้นอยางตอเนื่อง โดยมีการจัดลําดับอยูที่ 1 ใน 2 ในกลุมหัวขอคอมพิวเตอรเนทเวอรค และเปนอันดับ 1 ในหมวดหมู
Computer-Security
6. บรกิารดานจัดอบรมดาน IT และ Computer Security
เปนเวลามากกวา 5 ป ที่ทางCITEC ไดรับความไววางใจจากองคกร/สถาบันจํานวนมากให
จัดทําหลักสูตรดานตางๆเพ่ือเสริมสรางขีดความสามารถของบุคลากรในหนวยงานของตน ซึ่งมีตั้งแต
หลักสูตรทาง Application, Network โดยเฉพาะอยางย่ิงดานความปลอดภัยทางสารสนเทศที่มีตั้ง
แตระดับพ้ืนฐานจนถึงผูเชี่ยวชาญ ดวยวิทยากรที่มีความสามารถและมีผลงานเปนที่ยอมรับมาตลอด
รวมไปถึงการจัดกิจกรรม/สัมมนาใหกับสถาบันการศึกษาตางๆ โดยผูที่สนใจสามารถติดตามขอมูลของหลักสูตรตางๆไดที่
http://citecclub.org/citec-course
7. Training Service
ปจจุบันการโจมตีทางดานคอมพิวเตอรเกิดขึ้นอยางแพรหลายทั่วโลก การศึกษาเรียนรูเทคนิคการโจมตีระบบ และการตรวจจับการโจมตี
เปนสิ่งสําคัญสําหรับองคกรตางๆ ในปจจุบัน เพ่ือที่จะสามารถปองกันไดทันทวงที รวมทั้งในกรณีที่การโจมตีเกิดขึ้นแลว จะสามารถรับมือ
ไดอยางมีประสิทธิภาพ จํากัดขอบเขตความเสียหายใหนอยที่สุด อยางไรก็ตามทักษะความสามารถเหลานี้ ยังไมแพรหลายในประเทศไทย
รวมทั้งผูมีความรูความสามารถในสายงานเหลานี้ยังมีอยูอยางจํากัด การศึกษาหาความรูจึงเปนไปไดอยางยากลําบาก บริษัท CITEC Evolution
จํากัด จึงไดเปดหลักสูตรสําหรับเผยแพรความรูในสวนของการโจมตีระบบ และการตรวจจับการโจมตี
โดยหลักสูตรและเปาหมายของหลักสูตรตางๆ มีดังนี้
1. Introduction to Linux Administration
คอรส Introduction to Linux Administration เปนคอรสที่จะปูพ้ืนฐานเก่ียวกับการใชงานระบบปฏิบัติการ Linux รวมไปถึงการใชงาน
Linux เปน production server อยางปลอดภัย นอกจากนั้น ยังครอบคลุมถึงไฟลตางๆ ที่มีความสําคัญบนระบบปฎิบัติการ Linux
ที่ประโยชนสําหรับผูโจมตีระบบดวย
2. Web Application Security
คอรส Web Application Security มีเปาหมายเพ่ือใหผูเรียนมีความรูความเขาใจเก่ียวกับเทคนิคในการโจมตีเว็บไซต ซึ่งเปนชองทางที่
มีการโจมตีอยางแพรหลาย และเปนชองทางแรกที่ใชเพ่ือโจมตีระบบภายในตอ ในขั้นตอนถัดๆ ไป เมื่อคํานึงถึงความรูความสามารถ
ของ webmaster ในปจจุบัน ซึ่งไมคอยคํานึงถึงความปลอดภัยของเว็บไซตมากนัก ทําใหการโจมตีเว็บไซตหลายๆ
ครั้งทําไดอยางงายดาย
3. Introduction to Ethical Hacking
คอรส Introduction to Ethical Hacking มีเปาหมายเพ่ือใหผูเรียนไดรูถึงภาพรวมเบื้องตนของขั้นตอนที่ผูโจมตีระบบใช
รวมทั้งเพ่ือใหผูเรียนไดเห็นภาพเบื้องตนของการโจมตีระบบ รวมถึงการใช tool ที่มีการใชงานในการโจมตีระบบจริง เนื้อหาสําหรับ
คอรสนี้จะเนนไปที่การโจมตีระบบ network ซึ่งจะแตกตางจากการโจมตีเว็บไซตในที่กลาวถึงในคอรส Web Application Security
สําหรับการโจมตีระบบ network ที่จะกลาวถึงในคอรสนี้ จะทําใหผูเรียนเห็นวา การ implement ระบบ network
ที่ไมไดคํานึงถึงความปลอดภัยนั้น สามารถถูกโจมตีไดอยางงายดายเพียงใด
4. Mastering in Exploitation
คอรส Mastering in Exploitation มีเปาหมายเพ่ือสรางทักษะของขั้นตอน exploitation ซึ่งเปนหนึ่งในขั้นตอนที่ผูโจมต ี
ระบบใช และมีการกลาวขึ้นเบื้องตนในคอรส Introduction to Ethical Hacking เนื้อหาหลักจะเนนไปที่การใชงาน tool
ที่ใชสําหรับโจมตีชองโหวของระบบโดยเฉพาะ และเปน tool ที่มีการใชงานอยางแพรหลายในหมูผูโจมตีระบบ ไมวาจะเปนผูโจมตี
ระบบแบบถูกกฎหมาย (penetration tester) หรือผูโจมตีระบบแบบผิดกฎหมายก็ตาม การเรียนรูทักษะการใช tool สําหรับขั้น
ตอน exploitation ใหมีประสิทธิภาพนั้น จะชวยเพ่ิมความรุนแรงที่ผูโจมตีระบบสามารถกระทําตอระบบเปาหมายได และยังสามารถ
ชวยในการหลบหลีกระบบปองกันตางๆ เชน firewall, intrustion prevention หรือ antivirus ไดอีกดวย
5. Wireless Security
คอรส Wireless Security มีเปาหมายเพ่ือใหผูเรียนไดรับรูถึงเทคนิคตางๆ ที่ผูโจมตีระบบใชในการโจมตีระบบ wireless ซึ่งเปนระบบ
ที่มีการใชงานอยางแพรหลาย แตผูใชงานกลับไมทราบถึงภัยเหลานี้มากนัก นอกจากนั้นการโจมตีระบบ wireless network
ยังยากตอการตรวจจับ ทําใหการโจมตีประเภทนี้มีเกิดขึ้นอยางแพรหลาย การเรียนรูทักษะการโจมตีระบบ wireless network
จึงทําใหผูเรียนไดทราบถึงภัยที่อาจเกิดขึ้นกับตนเองและสามารถหาทางปองกันเพ่ือใหตนเองไมตกเปนเหย่ือของการโจมตีประเภทนี้ไดอี
กดวย
6. Network Forensics
คอรส network forensics จะกลาวถึงการตรวจจับการโจมตีระบบ network กอนที่การโจมตีจะประสบผลสําเร็จ
รวมถึงการตรวจจับหลังจากที่การโจมตีเกิดขึ้นแลว เพ่ือลดระดับความเสียหายตอระบบใหนอยที่สุด นอกจากนั้นยังรวบไป
ถึงความรูความเขาใจเก่ียวกับ malware ประเภทตางๆ ซึ่งถูกใชเปนเครื่องมือในการควบคุมระบบหลังจากการโจมตีสําเร็จ การตรวจจับ
malware อยางมีประสิทธิภาพจะชวยลดระดับความเสียหายแกระบบไดเปนอยางมาก
เนื้อหาในหลักสูตรตางๆ ทั้ง 5 หลักสูตรนี้ จะทําใหผูเรียนมีความรูความเขาใจเทคนิคตางๆ ที่ผูโจมตีระบบใช สามารถนําไปใชในการโจมตี
ระบบที่ตองการในกรณีที่จําเปน รวมถึงตรวจจับและปองกันการโจมตีไดอยางมีประสิทธิภาพ
ความรูพ้ืนฐานที่ผูเรียนควรมีกอนเรียนแตละหลักสูตร
1. Web Application Security
a. สามารถอาน code ภาษา PHP ได
b. สามารถอาน code SQL ได
2. Introduction to Ethical Hacking
a. มีพ้ืนฐานการใชงาน Linux
b. มีพ้ืนฐานดาน network เชน TCP/IP stack เปนอยางดี
3. Mastering in Exploitation
a. ผูเรียนหลักสูตรนี้ควรเรียนหลักสูตร Introduction to Ethical Hacking มากอน
b. หรือมีความรูเก่ียวกับการโจมตีระบบขั้นพ้ืนฐานอยูกอนแลว
c. มีพ้ืนฐานการใชงาน Linux
d. มีพ้ืนฐานดาน network เชน TCP/IP stack เปนอยางดี
4. Wireless Security
a. มีพ้ืนฐานการใชงาน Linux
b. มีพ้ืนฐานดาน network เชน TCP/IP stack เปนอยางดี
c. มีพ้ืนฐานเก่ียวกับ protocol 802.11 (wireless protocol)
5. Network Forensics
a. มีพ้ืนฐานเก่ียวกับการใชงาน Linux และ Windows
b. มีพ้ืนฐานดาน network เชน TCP/IP stack เปนอยางดี
c. ควรเรียนคอรส Web Application Security และ Introduction to Ethical Hacking มาแลว
Course Outlines
1. Introduction to Ethical Hacking
รายละเอียดหลักสูตรอบรม ระดับเนื้อหา: Basic ระยะเวลาอบรม: 7 ชั่วโมง เนื้อหาหลักสูตร Introduction to Ethical Hacking
1. พื้นฐานเก่ียวกับดานความปลอดภัย (Main Focus Of Security)
ความปลอดภัยทางดานกายภาพ ความปลอดภัยทางดานการทํางาน ความปลอดภัยทางดานการจัดการ 2. ปจจัยสําคัญของความปลอดภัย (Triangle Of Security)
ความลับ (Confidentiality) ความถูกตอง (Integrity) ความพรอมใช (Availability) ความรับผิดชอบ (Accountability) 3. เปาหมายของความปลอดภัย (Goal Of Security)
การปองกัน (Prevention) การตรวจจับ (Detection) การตอบโต (Response) 4. เปาหมายของการโจมตี (Goal Of Hacking)
การเขาถึง (Access Attack) การแกไขขอมูล (Modification And Repudiation) การหยุดการใหบริการ (Denial Of Services) 5. ชนิดการโจมตีท่ีเปนท่ีรูจัก (Recognizing Common Attacks)
การทําการสราง backdoor (Backdoor Attack) การปลอมแปลง (Spoofing Attack) การสงซ้ํา (Replay Attack) การดักจับขอมูล (Sniffing Attack) การโจมตีชองโหวของซอฟรแวร (Software Exploitation) การทายรหัสผาน (Password-Guesting Attack) 6. อะไรคือ Backtrack (What is Backtrack)7
7. การทดสอบเจาะระบบ (Phrase Of Penetration Testing) 78. การสอดสองและการคนหาแบบรางของระบบ(Reconnaissance & Footprinting)
Workshop 9. การตรวจสอบคนหา (Scanning)
การตรวจสอบคนหา Port (Port Scanning) การตรวจสอบคนหาระบบเครือขาย (Network Scanning)
การตรวจสอบชองโหว (Vulnerability Scanning) 10. การทำ Three-way Handshake711. การตรวจสอบคนหาในรูปแบบตางๆแบบเจาะลึก
TCP Connection Scanning SYN Scanning UDP Scanning FIN Scanning XMAS Scanning NULL Scanning 12. การถอดรหัส(Password Cracking)713. การดักจับขอมูล(Sniffing)714. การดักขอมูลตรงกลางระหวาง Client & Server (Man-In-The-Middle)715. การทำ Social Engineering
เครื่องมือท่ีทานจะไดทดลองใช
เครื่องมือ Backtrack OS เครื่องมือการสอดสอง (Reconnaissance & Footprinting) เครื่องมือการตรวจสอบคนหา (Scanning) เครื่องมือการถอดรหัส (Password Cracking) เครื่องมือการดักจับขอมูล (Sniffing) เครื่องมือการดักขอมูลตรงกลางระหวาง Client & Server (Man-In-The-Middle) เครื่องมือการทํา Social Engineering
2. Mastering In Exploitation รายละเอียดหลักสูตรอบรม
ระดับเนื้อหา: Intermediate ระยะเวลาอบรม: 7 ชั่วโมง เนื้อหาหลักสูตร
Introduction to Penetration Tester Black-Hat versus Penetration Tester Windows versus Unix/Linux Anatomy of a Hack
Advanced NMAP for Penetration Testing What's NMAP Command for Port Scanning Command for Pen-Test Automate NMAP with NSE (NMAP Script Engine) Break The system without Exploitation Introduction VA/PEN Tools VA using Nessus PEN using Metasploit Core Impact and CANVAS Automate Pen-Test with Opensource Tool
Mastering in Metasploit Framework Outstanding in Metasploit (What/How/Get) Advanced Metasploit Technique Exploit the Windows 2000 / XP2 / 2003 Exploit the Windows Vista / 2008 / Seven Client-Side Exploitation Vulnerability Assessment and Penetration Testing Automation Using Nexpose+Metasploit Requirement: 7- Vmware Workstation 6.5 or newer - Harddisk 30 GB7- Ram 2 GB
3. Wireless Network In Security 102 (WNS102) รายละเอียดหลักสูตรอบรม
ระดับเนื้อหา: Intermediate ระยะเวลาอบรม: 14 ชั่วโมง (2 วันวันละ 7 ชั่วโมง) สิ่งท่ีผูเขาอบรมจะตองเตรียม 1. เครื่อง Laptop RAM 2 GB ขึ้นไป 2. ติดตั้งโปรแกรม VMWare Workstation โดยเรียบรอย สิ่งที่ผูเขาอบรมจะไดรับ
• Wireless USB สําหรับใชในประกอบการอบรม 1 ตัว • เอกสารประกอบการอบรม • DVD Software ไฟลประกอบการอบรม • ใบ Certificate รับรองผล (หากสอบหลังการอบรมผาน) • สิทธิพิเศษในการเขาสอบเลื่อนขั้นเปนสมาชิกเต็มขั้นของ CITEC (หากสอบหลังการอบรมผาน) • สิทธิพิเศษในการเขาถึงในหมวดหมูพิเศษของ CITEC (Workshop Alumni section)
ประโยชนที่ไดรับ
• ทราบถึงเทคโนโลยีดานความปลอดถัยของระบบ Wireless Network • ทราบถึงเทคนิควิธีการตรวจสอบชองโหวของระบบ Wireless Network • ทราบถึงเทคนิคการปองกันการโจมตีจากชองโหวของ Wireless Network • สามารถ นำไปตรวจสอบ (Audit) ระบบ Wireless Network ในองคกรของทานเองได เพ่ือปรับแตใหมีความปลอดภัยมากย่ิงขึ้น
คุณสมบัติผูเขารวม:
• มีความสนใจทางดาน Computer Network • มีความสนใจทางดาน Computer Network Security • มีความขยัน และตั้งใจจริง
เนื้อหาที่ทําการอบรม (สอนเปนภาษาไทย)
Module 1: Wireless network fundamental
• OSI Model • Significant protocols • IEEE802.11 frame structure
Module 2: Wireless network discovery
• Active scanning • Passive scanning
Module 3: Simple wireless protections and how to bypass
• MAC filtering • Hidden SSID
Module 4: Dealing with WEP network
• Understand WEP mechanism & why it has been hacked • Analyze WEP packet • Understand and customize packet • Packet injection • WEP key recovery
Module 5: Dealing with WPA network
• Understand WPA/WPA2 • Understand WPA/WPA2 mechanism • WPA/WPA2 security problems • Key recovery • Countermeasure
Module 6: Dealing with Hotspot network (Or any unencrypted networks)
• Understand hotspot architecture • Identify vulnerable point • Various threats against hotspot users • Attacking methods against hotspot users • Consideration of using hotspot network
Module 7: Rouge AP
• What’s rouge AP • How to set up rouge AP • Credential information gathering • Exploit client vulnerability
Module 8: Analyze wireless network
• How to use analyzing tools • How to use tools to understand captured packets
Module 9: Tools for wireless penetration testers
4. Web Application In Security 101 (WAS101) รายละเอียดหลักสูตรอบรม
ระดับเนื้อหา: Basic ระยะเวลาอบรม: 14 ชั่วโมง (2 วันวันละ 7 ชั่วโมง)
เนื้อหาหลักสูตร
สิ่งที่ผูเขาอบรมจะไดรับ
• เอกสารประกอบการอบรม
• DVD บรรจุ Software, File ประกอบการอบรม
• ใบ Certificate รับรองผล (หากสอบหลังการอบรมผาน)
• เสื้อ CITEC Polo (กรณีของหมดหรือไมมีเบอรอาจจะตองรอผลิตรอบหนา)
• สิทธิพิเศษในการเขาสอบเลื่อนขั้นเปนสมาชิกเต็มขั้นของ CITEC
• สิทธิพิเศษในการเขาขอมูลในหมวดหมูพิเศษของ CITEC (Workshop Alumni section)
ประโยชนที่ไดรับ
• ทราบถึงเทคโนโลยีดานความปลอดถัยของเว็บแอพพลิเคชั่น
• ทราบถึงเทคนิควิธีการตรวจสอบชองโหวของเว็บแอพพลิเคชั่น
• ทราบถึงเทคนิคการปองกันการโจมตีจากชองโหวของเว็บแอพพลิเคชั่น
• สามารถ นําไปตรวจสอบ (Audit) ระบบเว็บแอพพลิเคชั่นในองคกรของทานเองได
หรือพัฒนาความสามารถในการเขียนเว็บโปรแกรมมิ่งใหมีความปลอดภัยมากยิ่งขึ้น
คุณสมบัติผูเขารวม:
• ควรมีพื้นฐานดาน Web Programming เชน PHP, ASP หรือ Linux/Unix จะดีมาก
เนื้อหาที่ทําการอบรม
1. Introduction to Web Application Security
• The Evolution of Web Applications
• Defense Mechanisms
• Web Application Technologies
• Web Proxy with Tor
• Open Web Application Security Project
2. Discovery and Identifying the Web Application
• Mapping the Application
• Web Spidering and Crawling
• Discovering Paths and Files
• Discovering Hidden content and parameter
• Bypass Client-Side Controls
3. Web Application Vulnerabilities
• Cross Site Scripting (XSS)
• SQL Injection Flaws
• Malicious File Execution
• Insecure Direct Object Reference
• Information Leakage and Improper Error Handling
• Broken Access Control
• Broken Authentication and Session Management
• Insecure Cryptographic Storage
• Ajax and Web Service Vulnerabilities
4. Exploit Web Application
• Fuzzing Web Application
• Using Web Exploit from Milw0rm
• LFI to RCE Exploit
• Writing LFI <> RCE Exploit with Perl Script
• How to Protect File Inclusion
5. Web Server Vulnerabilities
• Vulnerable Web Server Configuration
• Directory Listings
• Dangerous HTTP Methods
• Buffer Overflow Vulnerabilities
• Path Traversal Vulnerabilities
6. Google Hacking
• Introduction to Google Hacking
• Google Hacking Database (GHDB)
• Google Hacking Basic / Advance Operator
• Locating Exploits and Finding Targets
• Tracking Down Web Servers, Login Portals, etc
• Dirty Attack using Googlebot
• Google Hacking Tools
• How to Protect Google Hacking
7. Finding Bugs in Source Code
• Introduction to CMS
• Exploits and Vulnerabilities Disclosure
• Case Study For Find Bugs
• How to Protect CMS Hacking
• Tool for Automate Soure Code Review
8. Web Application Hacker's Toolkit
• Web Browser and OS for Hacker
• Integrated Testing Suites
• Vulnerabilities Scanners
5. Network Forensics
หลักสูตร Network Forensics ถูกออกแบบมาเพ่ือใหผูเรียนสามารถตรวจจับการโจมตีประเภทตางๆ รวมไปถึงการติดตามหาผูโจมตีระบบ
เนื้อหาจะประกอบดวยการทําความเขาใจลักษณะของ packet และ log ที่เกิดจากการโจมตีประเภทตางๆ
และการวิเคราะหขอมูลเหลานั้นเพ่ือใหผูเรียนสามารถดึงขอมูลเฉพาะสวนที่สําคัญ และจําเปนตองานมานําเสนอไดอยางมีประสิทธิภาพ
การเรียนการสอนจะประกอบดวยเนื้อหาทั้งสวนทฤษฎีและปฎิบัติ โดยจะมี lab สําหรับหัวขอยอยๆ และ lab ใหญหลังเรียนจบทุกหัวขอ
เพ่ือใหผูเรียนสามารถนําความรูที่เรียนมาในแตละหัวขอ มารวมเขาดวยกัน เพ่ือแกปญหา
Outline Topic
-‐ IDS/IPS
-‐ Tools
-‐ Understand characteristics of various attacks
-‐ Packet Analysis
o Detect Attacks
o Detect Anomaly
o Detect Tunneling
-‐ Log Analysis
o Web Server Logs
o Database Logs
o Windows Logs
o Linux Logs
-‐ Understand malware
-‐ Per-Topic Labs
-‐ Wrap up Lab
6. Introduction to Linux Administration
รายละเอียดหลักสูตรอบรม ระดับเนื้อหา: Basic ระยะเวลาอบรม: 21 ชั่วโมง(3 วันวันละ 7 ชั่วโมง) โครงสรางหลักสูตร: 1.Introduction to Linux
History Of Linux Compare Unix x Windows Server x Linux Server Distro Of Linux Structure Of Linux 772.File System Type
Differential of each file system type(NTFS,EXT3,EXT2) 773.Linux installation(With CentOS, Ubuntu , RHEL)7774.Command for use file
edit file(vi) view file(cat , head , tail) modify file(sed , awk) find file or content (find , grep),listfile(ls) 775.Run Level
Meaning of each run level how to config startup run level 7736.Package Of Linux
package(rpm,deb) command for install package(aptitude , yum) how to configure repository how to remove package how to compile package 777.Type of Device HDD
SATA,IDE(/dev/sda,/devhda) 778.Manage User
add / remove user/group modify attribute of user/group 779.File / Directory
Permission Of file how to calculate permission number What is link file? how to link File 7710.Command for manage file
change owner or permission of file 7711.Basic Command for Network and Process
ifconfig , ps , top , netstat , ping ,route , arp , nslookup , traceroute , telnet 7712.Type Of Stream Input, Output Direction
how to use input/output redirection(>,>>) 7713.Send result to command
| , xargs 7714.Regular Expression
Basic Regular Expression for character , symbol , number 7715.Shell Script
How to write shell script and syntax of shell script 7716.Automatic schedule command
crontab 7717.Mounting Point
Type Of Mounting Setting Of Mouting(/etc/fstab) mount command 7718.LVM(logical Volume Management)
What is LVM how to install lvm how to add/remove disk from lvm 7719.RAID(Redundant Array of Independent Disks)
What is RAID Type of RAID how to setup software RAID 7720.SSH
What is ssh how to setup ssh how to config ssh how to transfer file via ssh 7721.Cacti
What is Cacti How to setup host for monitoring with cacti Monitoring Server with cacti 22. Basic Linux Hardening 23. Log Analysis
5. ประมวลภาพกิจกรรมตางๆของบริษัท
1. อบรม Ethical Hacking ใหกับ DSI, ICT, สํานักงานตํารวจแหงชาติ และหนวยขาวกรอง
2. งานสัมมนาดาน Computer Security จัดโดย CITEC ภายใตชื่อ CITEC-CON #2
3. งานสัมมนาดาน Computer Security จัดโดย CITEC ภายใตชื่อ CITEC-CON #2
4. งานสัมมนา Network Security Day ครั้งที่ 1 ณ. มหาวิทยาลัยเกษตรศาสตรศรีราชาโดย วิทยากรจาก CITEC
4.1. งานสัมมนา Network Security Day ครั้งที่ 3 ณ. มหาวิทยาลยัเกษตรศาสตรศรีราชาโดย วิทยากรจาก CITEC
5. รางวัลศิษยเกาดีเดน จากผลงานของกิจกรรมตางๆของ CITEC
6. อบรม Web Application Security 101 โดย CITEC ณ. ตึกมหานครยิปซั่ม
7. อบรม Web Application Security 101 โดย CITEC ณ. มหาวิทยาลัยศรีปทุม
8. อบรม Web Application Security 101 โดย CITEC ณ. มหาวิทยาลัยหอการคาไทย
9. อบรม Wireless Network Security 101 โดย CITEC ณ. มหาวิทยาลัยหอการคาไทย
10. ออกแบบระบบแขงขันในกิจกรรม Network Security Competition ครั้งที่ 1 โดยทีมงาน CITEC ณ. สถาบันเทคโนโลยีพระจอมเกลาลาดกระบัง
11. ออกแบบระบบแขงขันในกิจกรรม Network Security Competition ครั้งที่ 2 โดยทีมงาน CITEC ณ. สถาบันเทคโนโลยีพระจอมเกลาลาดกระบัง
11. บรรยายใหความรูดาน Computer Security ใหกับนักศึกษา ณ. มหาวิทยาลัยจันทรเกษม
12. อบรมใหความรู C++ ใหกับนักศึกษา ป.ตรี และโท ม. เทคโนโลยีพระจอมเกลาธนบุรี
13. งานสัมมนา The Hacker Secret โดย CITEC ณ. ม. หอการคาไทย
14. อบรม Reverse Engineering โดย CITEC ณ. อาคารมหานครยิปซั่ม
15. งานสัมมนาดาน Computer Security โดย CITEC ภายใตชื่อ CITEC-CON #3
6. ประวัติผลงานท้ังหมดของ CITEC
2011
• 20 Aug: Ethical Hacking Workshop at Computer Engineering, KMUTT
• 21 Aug: Mastering In Exploitation Workshop at Computer Engineering, KMUTT
• 27-28 Aug: Web Application In Security Workshop at Computer Engineering, KMUTT
• 5 Aug: The Hacker Secret 2011.
• 1 July: Special Speaker about Security for IT student @ KMUTT
• 20 May: Computer Security training for ICT, DSI, Police (สตช.), NIA (สํานักขาวกรอง)
• Dec 2010 – Feb 2011: Provide Computer Security subject for CPE Student at University of the Thai Chamber of Commerce
• 19-20 Feb: Web Application In Security at Krasetsart University
• 12 Feb: Mastering In Exploitation at Krasetsart University
• 3 Feb: Special Speaker of Sec2U (Security to University) #4 at Rachabhat Suan Dusit University
• 31 Jan: Special Speaker of Sec2U (Security to University) #3 at King Monkut's Institute of North Bangkok (Prajean Buri)
• 12 Jan: Special Speaker of Sec2U (Security to University) #2 for Computer Science and Computer Engineering at
Khonkean University
2010
• 2 Dec: Special Speaker of Sec2U (Security to University) #1 @ Computer Science at King Mongkut's Institute of
Technology Ladkrabang
• 28 Nov: CITEC-CON #3's Event at University of the Thai Chamber of Commerce
• 27 Nov: The Hacker's Secret Event at University of the Thai Chamber of Commerce
• 23 Oct: Special Speaker at Barcamp Bangkok #4 at Sripratum University
• 16 Oct: Special Speaker at Barcamp Bangkhen at Kasetsart University.
• Aug – Dec: Head project manager of European Union’s website development.
• 27 Aug: Special Speaker in Computer Security Topic @ Junkasem University
• 26 Aug: Competition consultant of The network security competition at King Mongkut's Institute of Technology Ladkrabang
• 8,15,20 Feb: Trainer of E-commerce course for marketing student at University of the Thai Chamber of Commerce
2009
• 12, 22 Dec 2009 5, 12 Jan 2010: Special Lecturer for Advanced Operating System course for Computer Science student
at Thammasart University
• 16 Nov: Special Speaker of Network Security Day #2 at Kasetsart University (Sriracha)
• 28 Aug: Hacking Competition for IT Day at KMITL
• 8-9 Aug: Web Application (In) Security 101 #3 at University of the Thai Chamber of Commerce
• 26 July: Wireless Network (In) Security 101 #1 at Mahanakorn Yipsum Bld
• 20-21 June: Reverse Code Engineering #1 at
• 22-23 May: Special Speaker of Barcamp BKK #3 at Sripatum University
• 2 May: Wireless Network (In) Security 101 #1 at Sripatum University
• 21-22 Mar: Web Application (In) Security 101 #2 at Sripatum University
• 28 Feb: Special Speaker of Think Camp at Chulalongkorn University
• 31 Jan - 1 Feb: Head Organizer Web Application (In) Security 101 #1 at Mahanakorn Yipsum Bld
2008
• 18 Dec: Google Adsense topic at Kasembundit (Pattankarn) University
• 16 Nov: Head organizer and speaker at CITEC-CON #2 at Mahanakorn Yipsum Bld
• 17 Aug: Special Speaker at Network Security Day 2008 KU Sriracha
• 29 Mar: CITEC-CON #1 Organizer Mahanakorn Yipsum Bld.
2007
• 19-22 April: Network and Router Configuration Advisor KMUTT
2006
• Nov 2006 - Oct 2008: Software Developer at Reuters Software (Thailand)
• 17 Oct: Workshop Advisor for Introduction to Fedora at KMUTT
• July - Nov: Internship student supervisor at Reuters Software (Thailand)
2004
• 17 Oct: Java Programming #1 for CITEC at KMUTT
• 16 Oct: Python Programming #2 for CITEC at KMUTT
2003
• Outstanding Extracurricular Activities scholarship at KMUTT
• 10 Dec: Java Programming #3 for CITEC at KMUTT
• 23 Aug: Java Programming #2 for CITEC at KMUTT
• 19 Apr: Java Programming #4 for CITEC at KMUTT
• 17 Mar: J2ME Programming #1 for CITEC at KMUTT
• 13 Jun: Trainer of Python Programming #1 for CITEC at KMUTT
2002
• 30 Nov: Trainer of Web-Design for CITEC at KMUTT
• 15-19 May: Trainer of C++ Programming #2 for CITEC at KMUTT
2001
• 18-19 May: Trainer of C++ Programming #1 for CITEC at KMUTT
• Founding CITEC as the first computer club at the School of Information Technology at KMUTT