Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.
  • General

    Citrix ត្រូវបានហេគ និងបាត់បង់ទិន្ន័យជាង ៦តេរ៉ាបៃ

    ក្រុមហ៊ុនកម្មវិធីកុំព្យូទ័រសហគ្រាសដ៏ពេញនិយមដែលគេស្គាល់ថា Citrix ដែលផ្តល់សេវាកម្មដល់យោធាអាមេរិក, FBI, សាជីវកម្មអាមេរិក និងទីភ្នាក់ងាររដ្ឋាភិបាលសហរដ្ឋអាមេរិកជាច្រើន បានបង្ហាញពីការជ្រាបចេញទិន្នន័យដ៏ធំនៃបណ្តាញផ្ទៃក្នុងរបស់ខ្លួនដោយ “ឧក្រិដ្ឋជនអ៊ិនធឺណិតអន្ដរជាតិ” ។ Citrix បាននិយាយថា ខ្លួនត្រូវបានព្រមានដោយ FBI កាលពីថ្ងៃពុធសប្តាហ៍មុនថា ពួក Hacker បរទេសបានវាយលុកប្រព័ន្ធ IT របស់ខ្លួននិងលួច “ឯកសារអាជីវកម្ម”…

    Read More »
  • General

    ធ្វើការអាប់ដេត Chrome ជាបន្ទាន់

    អ្នកស្រាវជ្រាវសន្តិសុខមានឈ្មោះថា Clement Lecigne មកពីក្រុមវិភាគការគំរាមកំហែងរបស់ ក្រុមហ៊ុន Google បានរកឃើញ និងរាយការណ៍ភាពងាយរងគ្រោះធ្ងន់ធ្ងរខ្លាំងនៅក្នុង Chrome កាលពីចុងខែមុនដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយធ្វើការប្រតិបត្តិកូដនិងគ្រប់គ្រងពេញលេញលើកុំព្យូទ័រ។ ភាពងាយរងគ្រោះ ឬចំនុចខ្សោយដែលបានកំណត់ជាលេខ CVE-2019-5786 ប៉ះពាល់ដល់កម្មវិធីរុករកអ៊ីនធឺណិតសម្រាប់ប្រព័ន្ធប្រតិបត្តិការសំខាន់ៗទាំងអស់រួមទាំង Microsoft Windows, MacOS និង Linux ។…

    Read More »
  • General

    ប្រទេសថៃអនុម័តច្បាប់សន្តិសុខ អ៊ិនធឺណិត (Cybersecurity Law)

    តាមព័ត៌មានពីកាសែត Straitstimes បានឱ្យដឹងថា រដ្ឋសភាថៃកាលពីពេលថ្មីៗនេះបានអនុម័តច្បាប់ស្តីពីសន្តិសុខតាមអ៊ីនធឺណិតដ៏ចម្រូងចម្រាសដែលផ្តល់អំណាចយ៉ាងច្រើនដល់ស្ថាប័នគ្រប់គ្រងអ៊ិនធឺណិតរបស់រដ្ឋាភិបាល ទោះបីជាមានការព្រួយបារម្ភពីក្រុមហ៊ុននិងសកម្មជនពាក់ព័ន្ធទៅនឹងការរំលោភបំពានលើអំណាច។ ច្បាប់ស្តីពីសន្តិសុខអ៊ិនធឺណិតដែលត្រូវបានអនុម័តជាឯកច្ឆ័យគឺជានិន្នាការចុងក្រោយបំផុតនៅក្នុងរលកនៃច្បាប់ថ្មីនៅក្នុងបណ្តាប្រទេសអាស៊ី ដែលអះអាងពីការគ្រប់គ្រងរបស់រដ្ឋាភិបាល លើអ៊ីនធឺណិត។ ក្រុមអ្នកតស៊ូមតិសេរីភាពស៊ីវិល, ក្រុមហ៊ុនអ៊ិនធឺណិត និងក្រុមជំនួញបានតវ៉ាប្រឆាំងនឹងច្បាប់ដោយនិយាយថាខ្លួននឹងលះបង់សិទ្ធិឯកជន និងនីតិរដ្ឋ ហើយព្រមានថាការដាក់បន្ទុកនៃអនុលោមភាពទៅតាមច្បាប់អាចជំរុញឱ្យក្រុមហ៊ុនបរទេសចេញពីប្រទេសថៃ។ រដ្ឋាភិបាលយោធាបានជំរុញឱ្យមានច្បាប់ជាច្រើនដែលខ្លួនបាននិយាយថានឹងគាំទ្រសេដ្ឋកិច្ចឌីជីថលរបស់ប្រទេសនេះ រួមទាំងការធ្វើវិសោធនកម្មច្បាប់កុំព្យូទ័រឧក្រិដ្ឋកម្មនៅឆ្នាំ 2017 ដែលត្រូវបានប្រើដើម្បីបង្ក្រាបអ្នកប្រឆាំង។ សកម្មជនសេរីភាពអ៊ីនធឺណិតបានហៅច្បាប់នេះថាជា “ច្បាប់អាជ្ញាសិកតាមអ៊ីនធឺណិត” ព្រោះវាគ្របដណ្ដប់គ្រប់នីតិវិធីទាំងអស់…

    Read More »
  • General

    ពិបាកចាំពាក្យសម្ងាត់៖ គួរចាប់ផ្តើមប្រើប្រាស់កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់

    តើអ្នកមានពាក្យសម្ងាត់ចំនួនប៉ុន្មាន? អ្នកទាំងអស់គ្នាអាចចាប់ផ្តើមធ្វើការរាប់ពាក្យសម្ងាត់របស់អ្នកលេងៗមើល នោះអ្នកប្រាកដជាមានការភ្ញាក់ផ្អើលជាមិនខាន។ នៅរាល់សេវាកម្មអនឡាញនិមួយៗ បើសិនជាអ្នកចង់ប្រើប្រាស់វា នោះអ្នកនឹងត្រូវការនូវ ឈ្មោះគណនី (username) និងពាក្យសម្ងាត់​ (password)។ ក្នុងខណៈពេលដែលសេវាអនឡាញមានការកើនឡើងជារៀងរាល់ថ្ងៃ នោះពាក្យសម្ងាត់ដែលអ្នកត្រូវប្រើប្រាស់ក៏នឹងមានច្រើនផងដែរ។ ដោយសារតែមានឧក្រិដ្ឋជនបច្ចេកវិទ្យាមានកើនឡើង នោះអ្នកត្រូវតែមានពាក្យសម្ងាត់ដែលខ្លាំងមិនអាចបំបែកបាន។ ពាក្យសម្ងាត់ដែលខ្លាំង គឺអាចត្រូវបានបង្កើតឡើងដោយសារមានការបញ្ចូលគ្នានៃលេខ, និមិ្មតសញ្ញា, តួអក្សរតូច, តួអក្សរធំ ហើយមិនត្រូវប្រើប្រាស់ពាក្យដែលមាននៅក្នុងវចនានុក្រមឡើយ។…

    Read More »
  • General

    តើក្រុមក្រហម និងខៀវផ្តល់អត្ថប្រយោជន៍យ៉ាងដូម្តេច?

    ក្រុមក្រហម និងក្រុមខៀវ គឺជាយុទ្ធសាស្ត្រពីរផ្សេងពីគ្នាសម្រាប់ធ្វើការវាយតម្លៃ​ (assessment) ទៅលើស្ថានភាពសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មានរបស់អង្គភាព។ នៅក្នុងអត្ថបទនេះ អ្នកនឹងស្វែងយល់ដឹងអំពីគុណសម្បត្តិធំៗនៃវិធីសាស្រ្តរបស់ក្រុមមួយៗ ហើយនឹងថាតើក្រុមទាំងពីរនេះអាចផ្តល់ផលវិបាកយ៉ាងដូចម្តេចខ្លះនៅពេលដែលយើងធ្វើការតេស្តទៅលើសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន (penetration testing)។ តើអ្វីទៅជា Red Team និង Blue Team? ក្រុមទាំងពីរខាងលើនេះគឺជាការប្រើប្រាស់អភិក្រម​ (approaches)…

    Read More »
  • General

    ប្រយ័ត្នបើឃើញមានពាក្យ​ ‘Invoice’ នៅក្នុងអ៊ីមែ៉ល ឬក៏ឯកសារភ្ជាប់ជាប្រភេទ MS- Office

    បើតាមរបាយការណ៍ចុងក្រោយស្តីអំពីការគំរាមគំហែងសន្តិសុខតាមប្រព័ន្ធអ៊ិនធឺណិតរបស់ក្រុមហ៊ុន Symantec បានបង្ហាញថា ១ ក្នុងចំណោមអ៊ីម៉ែល ៤១២ ដែលបានផ្ញើរក្នុងឆ្នាំ២០១៨ គឺជាមេរោគ។ បើសិនជាអ្នកទទួលបានអ៊ីម៉ែលដែលមានប្រធានបទ (subject) ថា​ “bill” ឬ “email delivery failure” ដែលមាន keywords ដូចជា “invoice”…

    Read More »
  • Cybersecurity Training

    Training: Basic Cyber Incident Analysis

    វគ្គបណ្តុះបណ្តាលស្តីពី “មូលដ្ឋានគ្រឹះនៃការវិភាគឧប្បទេវហេតុសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៍មាន” ក្រុមការងារ SecuDemy.com សហការណ៍ជាមួយនឹងវិទ្យាស្ថាន INSTINCT នឹងរៀបចំវគ្គបណ្តុះបណ្តាលមួយផ្តោតទៅលើចំណេះដឹង និងជំនាញជាមូលដ្ឋានក្នុងការវិភាគទៅលើឧប្បទេវហេតុសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន (Basic Cyber Indient Anaysis) នានា ដែលកើតមានឡើងនៅក្នុងអង្គភាពរបស់អ្នក។ គោលបំណងនៃវគ្គបណ្តុះបណ្តាលនេះ នឹងផ្តល់ឲ្យអ្នកសិក្សាទាំងអស់នូវជំនាញមូលដ្ឋានសម្រាប់ធ្វើការវិភាគស្វែងរកភស្តុតាងនានាដែលជាផ្នែកមួយនៃការស្រាវជ្រាវរកមូលហេតុនៃឧប្បទេវហេតុទាំងមូល ដែលនៅក្នុងនោះរួមមានៈ យល់ដឹងអំពីមុខងារជាមូលដ្ឋាននៃក្រុមការងារឆ្លើយតបឧប្បទេវេហតុសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍…

    Read More »
  • Documents

    សំណួរសាកល្បងសម្រាប់ប្រឡងយក CISSP

    ខាងក្រោមនេះគឺជាសំណួរសាកល្បងសម្រាប់ប្រឡងយកវិញ្ញាបនប័ត្រ CISSP ដែលអ្នកដែលចង់ធ្វើការប្រឡងគួរធ្វើការសាកល្បងឆ្លើយ CISSP_Baseline_Exam_V5.5Download

    Read More »
  • General

    ពាក្យសម្ងាត់ប្រវែង០៨តួៈ គួបញ្ឈប់ការប្រើប្រាស់

    វាដល់ពេលដែលយើងត្រូវធ្វើការបោះចោលពាក្យសម្ងាត់ដែលមានប្រវែងប្រាំបីតួ ឬតិចជាងនេះហើយ ដោយអ្នកត្រូវប្រើប្រាស់ពាក្យសម្ងាត់យ៉ាងហោចណាស់ប្រវែង១២តួវិញ។ ពាក្យសម្ងាត់ដែលមានប្រវែងប្រាំបីតួ ឬតិចជាងនេះ ត្រូវបានបំលែង “hashed” ដោយប្រើប្រាស់នូវបច្ចេកទេសទូលំទូលាយមួយគឺ NTLM algorithm របស់ Microsoft ហើយក្នុងពេលនេះត្រូវបានគេបំបែកបានហើយដោយប្រើប្រាស់ពេលវេលាស្មើនឹងខ្សែភាពយន្តមួយប៉ុណ្ណោះ។ បើតាមហេគឃ័រមានឈ្មោះថា “Tinker” បានប្រាប់ទៅដល់សារព័ត៌មាន The Register កាលពីពាក់កណ្តាលខែកុម្ភៈ បានឲ្យដឹងថា…

    Read More »
  • General

    ចំនុចទាំង5 នៃអ៊ីម៉ែលក្លែងបន្លំៈ សូមគិតអោយច្បាស់មុនពេលអ្នកចុច!

    ការចុចតែមួយម្តង អាចជាភាពខុសគ្នារវាងការថែរក្សាសុវត្ថិភាពទិន្នន័យ និងទទួលរងការបាត់បង់ហិរញ្ញវត្ថុដ៏ធំសម្បើម។ ចាប់ពីពេលដែលមានបុគ្គលិកម្នាក់ធ្លាក់ក្នុងអន្ទាក់អ៊ីម៉ែលក្លែងបន្លំហើយនោះ អាជីវកម្មរបស់អ្នកគឺងាយរងការលួចទិន្នន័យ និងការខាតបង់យ៉ាងធំ។ សូមមើលចំនុចទាំង ៥ ខាងក្រោម៖ ១. អក្ខរាវិរុទ្ធ និងវេយ្យាករណ៍មានការសរសេរខុសច្រើន ខណៈពេលដែលការប្រៀបធៀបនេះកើតឡើងម្តងម្កាលក៏ដោយ តែវាពិតជាល្អបំផុតសម្រាប់យើង ដែលថាអ៊ីម៉ែលដែលសរសេរមានកំហុសពាក្យពេជន៍ជាច្រើននោះគឺជាសញ្ញាព្រមានមួយសម្រាប់រឿងនេះ។ ក្រុមហ៊ុនជាច្រើនគឺមានយន្តការក្នុងការត្រួតពិនិត្យទៅលើអក្ខរាវិរុទ្ធ និងផ្ទៀងផ្ទាត់ពាក្យពេចន៍ច្រើនលើកច្រើនសារមុននឹងបញ្ជូនចេញ។ ហេតុដូច្នេះ សារដែលមានកំហុសឆ្គងពាក្យពេចន៍ គឺទំនងជាសារក្លែងបន្លំ។…

    Read More »
  • General

    តើអ្វីទៅជា Red Team? ហេតុអ្វីបានជាខ្ញុំត្រូវការវា?

    នៅក្នុងសង្គ្រាមតាមប្រព័ន្ធអ៊ីនធឺណិត អ្នកប្រហែលជាចង់ចូលទៅក្នុងក្រុមពណ៌ក្រហម (Red Team)។  នៅក្នុងអត្ថបទនេះ នឹងការពន្យល់ថាតើ Read Team មានន័យយ៉ាងដូចម្តេច? ហើយតើក្រុមមួយនេះអាចជួយដល់អង្គភាពគ្រប់ទំហំ គ្រប់ឧស្សាហកម្ម និងគ្រប់កម្រិតបច្ចេកទេសយ៉ាងណា? តើ Red Team ជាអ្វី? Red Team គឺជាការពិសោធន៏នៃការវាយប្រហារពហុស្រទាប់ដែលត្រូវបានរៀបចំឡើងដើម្បីធ្វើការវាស់វែង ថាតើមនុស្ស…

    Read More »
  • General

    ផលវិបាកជាច្រើននៃការចោរកម្ម (Piracy) ឬការលួចចំលងឌីជីថល

    មាតិកាឌីជីថល (Digital Content) អាចមានតម្លៃថ្លៃណាស់ ជាពិសេសគឺកញ្ចប់សូហ្វវែ៉រ (software packages)។ ពេលខ្លះ មាតិកានេះត្រូវចំណាយអស់ទឹកប្រាក់ជាច្រើនពាន់ដុល្លារ។ ប៉ុន្តែមិនមែនគ្រប់គ្នាសុទ្ធតែមានលទ្ធភាពទិញនៅក្នុងតម្លៃថ្លៃបែបនេះទេ។ ប្រសិនបើអ្នកចំណាយពេលខ្លះនៅលើអ៊ីនធឺណិតនោះ អ្នកអាចនឹងលឺអំពីការលួចចម្លង ឬចោរកម្មឌីជីថល។ ការលួចចម្លងឌីជីថលគឺជាទម្រង់មួយនៃការរំលោភបំពានច្បាប់រក្សាកម្មសិទ្ធិបញ្ញា។ ទោះជាយ៉ាងណាក៏ដោយ ការលួចចម្លងមិនត្រូវបានកំណត់ត្រឹមតែសូហ្វវែ៉រ នោះទេ។ ការលួចចម្លងរួមបញ្ចូលខ្សែភាពយន្ត សៀវភៅ និងហ្គេមជាច្រើនផងដែរ។…

    Read More »
  • General

    ជំនាញដែលល្អបំផុតសម្រាប់អាជីពការងារជាអ្នកធ្វើតេស្តសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន

    ក្រោយពីអានអត្ថបទ តើអ្នកចាប់យកអាជីពការងារផ្នែក PenTest យ៉ាងដូចម្តេចមក ខ្ញុំបានទទួលសំណួរជាច្រើនទាក់ទងទៅនឹងជំនាញដែលពាក់ព័ន្ធទៅនឹងអាជីពការងារនេះ។ ខ្ញុំបាទសូមលើកយកនូវជំនាញបឋមមួយចំនួនដែលអ្នកធ្វើតេស្តសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន (penentration tester) ទាំងអស់គួរតែមាន។ យើងនឹងពិភាក្សាគ្នាទៅលើជំនាញដែលដូចគ្នាៗ ដោយសារតែយើងមិនអាចរំពឹងថាមនុស្សម្នាក់ៗមានជំនាញដូចគ្នានោះទេ។ ១. យល់ឲ្យបានច្បាស់ពីប្រព័ន្ធប្រតិបត្តិការ។ ខ្ញុំមិនអាចសង្កត់ធ្ងន់ថា វាសំខាន់ប៉ុនណានោះទេ។ មនុស្សជាច្រើនចង់ក្លាយទៅជាអ្នកវាយប្រហារ (hackers) ឬជាអ្នកជំនាញសន្តិសុខប្រព័ន្ធ តែបែជាមិនដឹងអំពីប្រព័ន្ធទាំងនោះទៅវិញ។…

    Read More »
  • General

    ធនាគារកណ្តាលម៉ាឡេស៊ីនឹងដាក់ឲ្យដំណើរការគោលនយោបាយបច្ចេកវិទ្យាក្នុងការគ្រប់គ្រងហានិភ័យ

    ធនាគារកណ្តាលម៉ាឡេស៊ីនឹងដាក់ឲ្យប្រើប្រាស់នូវគោលនយោបាយបច្ចេកវិទ្យាគ្រប់គ្រងហានិភ័យ (Risk Managment in Technology Policy) នៅក្នុងខែមិថុនា ឆ្នាំ២០១៩ ខាងមុខនេះ ដើម្បីផ្តល់ជាគោលការណ៍ណែនាំទៅដល់ស្ថាប័នហិរញ្ញវត្ថុក្នុងការប្រយុទ្ធប្រឆាំងទៅនឹងការកើនឡើងឥតឈប់ឈរនៃឧក្រិដ្ឋកម្មតាមប្រព័ន្ធបច្ចេកវិទ្យា។ បើតាមការឱ្យដឹងពីនាយកប្រតិបត្តិនៃអង្គភាព CyberSecurity Malaysia លោក Amirudin បានឲ្យដឹងថាក្នុងឆ្នាំ ២០១៨ មានច្រើនជាង ១០,០០០ ករណីដែលត្រូវបានរាយការណ៍…

    Read More »
  • General

    តើអ្នកចាប់យកអាជីពការងារផ្នែក PenTest យ៉ាងដូចម្តេច?

    ១. ព័ត៌មានទូទៅ អាជីពការងារផ្នែកធ្វើតេស្តសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន (Pentesting) គឺជាការងារមួយមិនដូចការងារផ្សេងទៀតនៅក្នុងទម្រង់ច្រើនយ៉ាង។ វានឹងសាកល្បង​កម្រិតសមត្ថភាពរបស់អ្នកស្ទើរតែរាល់ថ្ងៃ ដែលជំរុញភាពច្នៃប្រឌិតនិងប្រទាក់ក្រឡា ដោយសារតែអ្នកធ្វើតេស្តដើម្បីស្វែងរកចំនុចខ្សោយ និងទម្រង់នៃការវាយប្រហារជាច្រើនបែបច្រើនយ៉ាង។ នៅក្នុងអាជីពនេះ អ្នកនឹងដើរតួនាទីជាហេគឃ័រដែលមានក្រមសីលធម៌​ (ethical hacker) ដែលត្រូវបានជួលដើម្បីពង្រឹងសន្តិសុខអ៊ិនធឺណិតនិងប្រព័ន្ធនៅក្នុងអង្គភាពមួយ។ ការងារនេះ​គឺរួមផ្សំទាំងកិច្ចការបច្ចេកទេស និងការសរសេររបាយការណ៍ពាក់ព័ន្ធផងដែរ។ ការស្វែងរក, ការធ្វើតេស្ត និងការជួសជុលចំនុចខ្សោយទាំងនោះត្រូវតែអមទៅដោយឯកសាររបាយការណ៍ដ៏ល្អ…

    Read More »
Back to top button