TikTok Effect House

 สร้าง TikTok Effect บน Effect House



การสร้าง Effect บน  TikTok สามารถทำได้ทั้งแบบจากมือถือโดยตรง และทำจากโปรแกรม Effect House ซึ่งก็เป็นของ TikTok ข้อดีของการทำบน Effect House คือความยืดหยุ่นเราสามารถทำได้หลากหลายมากกว่า
และอีกอย่างคือเราสามารถสร้างรายได้จาก Effect ที่ทำด้วย ซึ่งปัจจุบันในหลายประเทศ (ยังไม่มีไทย  T T) คนสร้างเอฟเฟคที่มีผู้เล่นมากว่า 2แสนโพสจะเริ่มนับจำนวนคนเล่นล่ะได้รับรายได้  ตอนนี้ผมก็ยังเฝ้าให้มาเขาเปิดให้กับประเทศไทยได้ด้วย

แต่ถึงแม้จะยังไม่เปิดสร้างรายได้ แต่เขาก็จะมีสิ่งที่เรียกว่า ชาเลนจ์ เป็นการประกวดเอฟเฟคตามหัวข้อธีมที่เขากำหนด ซึ่งตอนนี้มีการจัดแข่งทุกเดือน สำหรับเดือนตุลาคม 2566 ก็มีการแข่งในธีมของ Minecraft ซึ่งผมก็ได้ส่งประกวดและได้รับรางวัลด้วย เป็นเงิน 1000$ (ณ เวลาตอนนี้น่าจะเป็นเงินไทย 34000บาท )เย้ๆๆ 


วันนี้ผมเลยมาเขียนบล็อกไว้เพื่อแนะนำเบื้องต้นสำหรับคนที่เริ่มสนใจทำเอฟเฟค 

1 ) ดาวโหลดโปรแกรมที่ https://effecthouse.tiktok.com/

2) เริ่มเรียนรู้ผ่าน Templetes




Effect House มีเทมเพลตให้เราลองเล่นมากมาย บางเอฟเฟคสามาถแค่เปลี่ยนรูปเปลี่ยนกราฟิกเล็กน้อยก็เป็นเอฟเฟตสวยได้เลย ใครไม่รู้จะเริ่มอันไหน ผมแนะนำ Critter Stickers ตัวนี้ทำง่ายแถมปังง่ายด้วย 
เปลี่ยนแค่รูปหรือตำแหน่งรูป เช่น เอฟเฟคกิ๊บแบบต่างๆ ที่มีคนเล่นเป็นล้าน ก็น่าจะใช้เทมเพลตตัวนี้


3) เริ่มสร้างเอฟเฟคเอง ,  Add Object ลองใช้วัตถุต่างๆ ลองไล่เล่นตั้งแต่อันแรกเลย จะได้รู้ความสามารถของโปรแกรม และใช้เวลาอ้างอิงตอนเรานึกไอเดียต่างๆจะได้เห็นว่าอันไหนน่าจะทำได้ ทำไม่ได้


4) ควบคุมเงื่อนไข Visual Script , เงื่อนไขต่างๆใน Effect House จะใช้ Visual Scrip ควบคุมทำให้คนที่เขียนโปรแกรมไม่เป็นก็สามารถเริ่มทำได้  สามารถลองดูตัวอย่างได้จากลิงค์ด้านล่าง




5) งานกราฟิกใช้เมนู Asset Library และ Asset Studio ช่วย

สำหรับคนที่ไม่เก่งงานด้านกราฟิก เราสามาถใช้ Asset Studio ในการให้ AI สร้าง หน้ากากต่างๆให้ หรือ โหลดของจาก  Asset Library ได้ ข้อแนะนำคือควรบันทึกแล้วออกเข้าโปรแกรมใหม่ก่อนค่อยไปโหลดของมา เพราะเหมือนจะมีบั๊คถ้ายังไม่เซฟตอนแรกแล้วโหลดเลย โมเดลที่โหลดจาก Skietchfab จะหายไป





6) Test performance และ เช็คขนาดเอฟเฟคเรื่อยๆ ขณะทำเอฟเฟค ,ขนาดเอฟเฟคต้องไม่เกิน 5mb และเฟรมเรท ต้องอยู่ในเกณฑ์ที่เขากำหนด โดนเราสามารถกดปุ่ม Test perfomance ที่บาร์บนขวาว่ายังผ่านไหม อย่าปล่อยไว้นานๆ เพราะถ้าทำไปจนเสร็จแต่สุดท้ายไม่ผ่านนี้ชิบหาย ไม่รู้ต้องลดอะไร ตัดอะไรออกขนาดไหนถึงจะผ่านเกณฑ์เขา






ทำโปรเจคจบยังไงให้ใช้สมัครงานได้

 Key

        พัฒนาซอฟแวร์โปรเจคจบอย่างเป็นระบบ ด้วย Software ที่บริษัทใช้กัน

                - Git

                - Docker Container

                - CI/CD (Jenkins)


ปัจจุบันการพัฒนาโปรแกรมหรือชอฟแวร์โปรเจคจบที่มีคุณภาพเพียงพอในการเอาไปใช้สมัครงาน แค่การทำซอฟแวร์ให้ออกมาสำเร็จใช้งานได้ไม่เพียงพออีกต่อไปแล้ว บริษัทชั้นนำไม่ได้ต้องการแค่คนที่สามารถพัฒนาเขียนซอฟแวร์ขึ้นมาได้ แต่ต้องรู้จักและใช้กระบวนการพัฒนาซอฟแวร์ที่ดีด้วย เพราะบริษัทชั้นนำต่างๆ ต้องการพัฒนาซอฟแวร์ที่สามารถนำไปใช้ต่อยอดในอนาคต หรือรองรับการขยายขนาด อีกทั้งยังต้องการลดเวลาการพัฒนาซอฟแวร์ให้สั้นและมีประสิทธิภาพที่สุดอีกด้วย เพราะฉะนั้น เราจึงต้องมาหัดใช้กระบวนการพัฒนาซอฟแวร์ที่ดีโดยเริ่มจากโปรเจคจบของเรา ก็จะช่วยให้เรามีแต้มนำคนอื่นในตอนสมัครงานได้

ภาพนี้คือตัวอย่างลักษณะของการพัฒนาซอฟแวร์โดยการนำ DevOps มาใช้


1 เริ่มตั้งแต่นักพัฒนาซอฟแวร์ เขียนโค๊ดขึ้นมา ในตอนแรกเน้นที่ทำยังไงก็ได้ให้มันทำงานได้ก่อน ตามฟรีเจอร์ที่ต้องการ จากนั้นทำการดูว่าเราสามารถ แก้ให้โค๊ดมันสวย อ่านง่ายขึ้น หรือมีประสิทธิภาพมากขึ้นได้ไหม (Code Refactoring)

2 จากนั้นทำการ Push เข้าไปบน Gitlab  โดยปกติการทำโปรเจคจบก็จะทำร่วมกัน 2-3 คน เราก็จะสามารถฝึกการพัฒนา Software ร่วมกันได้ ขอแนะนำคือแรกๆควรแบ่งการกันให้ชัดเจนก่อนรับผิดชอบคนล่ะฟรีเจอร์คนล่ะไฟล์ ค่อยเอามาประกอบกัน  ไม่อย่างนั้นจะเจอการทำงานที่ไฟล์เดียวกันแล้วเกิด Conflict แก้กันไม่ได้ สุดท้ายได้ลบโปรเจค Git มาสร้างใหม่กัน

การใช้ Git นอกจากจะได้ฝึกการทำงานแล้ว อาจารย์ก็ยังสามารถติดตามงานของนักศึกษา ดูการทำงานของแต่ล่ะคนผ่าน Git Commit ได้  ใครที่ไม่ถนัดเขียนโค๊ดก็สามารถมาเน้นที่การเขียนเอกสารอธิบายต่างๆในโปรเจคได้

3 เมื่อ Push ตัว Source Code แล้วจะเข้ากระบวนการของ CI/CD ต่อ ด้วยโปรแกรม Jenkins ในขั้นตอนนี้หลักๆ คือจะเป็นการบิ้วตัว Source Code ออกมาเป็น Artifacts หรือตัว Software หรือ Application ที่จะส่งมอบให้ลูกค้า

อันที่จริงในขั้นตอนนี้ จริงๆแล้วจะต้องมีการ Review Sourcecode ด้วย เช่นการใช้ Sonarqube ในการตรวจสอบว่าโค๊ดที่เราเขียนไปอีกแล้วหรือยัง มีช่องโหว่อันตรายไหม (White box testing)

4 การส่งมอบ Software ขึ้นไปบนระบบ โดยทั่วไปอย่างน้อยจะต้องมี Server ที่เป็น Dev Server และ Production Server ในขึ้นตอนนี้เราต้องฝึกการใช้งาน Docker Container ซึ่งบริษัทส่วนใหญ่ใช้ใน Product ของบริษัทกันแล้ว อย่างน้อยถ้าเราทำเสร็จต้องรู้คำสำคัญๆ Docker Image , Docker Container,  Docker Registry และก็อธิบายถึงคีย์ฟรีเจอร์ Build Ship Run ของ Docker ได้

แถม

การพัฒนาซอฟแวร์นอกจากเรื่องกระบวนการที่ดีแล้ว อีกอย่างที่ต้องเสริมเข้าไปคือ Security อย่างจากDevOps ตอนนี้ก็มีการเพิ่มเป็น DevSecOps คือการใช้กระบวนตรวจสอบเช็คความปลอดภัยของ Software ที่พัฒนาขึ้นมาด้วย เบื้องต้นสามารถเริ่มศึกษาจาก OWASP Top Ten ซึ่งถ้าเป็นการพัฒนาเว็บเบื้องต้นแนะนำว่า เป็น OWAP Top Ten 2017  เพราะพอเป็น OWAP Top Ten 2021 การโจมตีส่วนใหญ่นั้นจะเป็นไปทาง Infrastructure ภาพที่กว้างขึ้น คนทำ Software แรกๆอาจจะมองภาพตามไม่ออก ถ้าเป็น 2017 จะเห็นมีในส่วนของช่องโหว่ที่เกิดจากการพัฒนาเขียนโค๊ดที่ไม่ปลอดภัยมากกว่าทำให้ เราเห็นภาพและป้องกันโค๊ดที่เราเขียนไม่ให้มีช่องโหว่เหล่านั้น

แชร์ประสบการณ์ Cyber Security Bootcamp ของ KBTG

สรุปแบบรวดรัดเผื่อมีของปีต่อๆไป แล้วให้คนที่ตัดสินใจสมัคร 5000 บาท

คุ้ม 5000 เพราะ 

    1.1 ได้เรียน secplayground ที่จะตกเดือนล่ะ 1000 บาท 3 เดือนเดือนก็เท่ากับ 3000 แล้วได้เนื้อหาส่วน CVE ที่จะอยู่จากนอกเนื้อที่จ่าย 1000 บาทด้วย

    1.2 ได้คอร์สเรียน 4 วิชาจาก tcm ราคาประมาณ 3000 บาท แสดงว่าเราได้กำไรล่ะ 1000

    1.3 มีโค้ชให้ถามตลอดหลักสูตร เวลาติดปัญหาสามารถถามได้ตลอดใน Discord และมีการนัดพูดคุยกันทุกวันศุกร์ อันนี้ถ้าไม่เข้าโครงการจะไม่ได้เลย ส่วนนี้แระที่ผมว่าคุ้มสุด

มี Live Session คือไปเรียนสดๆที่ตึก KBTG อันนี้เขาก็จะเล่าส่วนต่างๆในองค์กร ได้เจอหน้ากันจริงๆ อาจจะได้ Connection ส่วนนี้คนที่อยู่ต่างจังหวัดก็จะต้องลงทุนเพิ่มเยอะหน่อย ค่าเครื่องบินไปกลับ แต่ล่ะรอบจะครึ่งวันบ่าย  ถ้ามีแบบเป็นถ่ายทอดสดจะดีกว่ามาก แต่ก็เข้าใจได้เพราะเนื้อหาบางส่วนมันเป็นข้อมูลในองค์กรเลยไม่น่าจะทำได้ แต่เสียใจคือผมพลาดวันที่เป็นเรื่อง Red Team เป็นโควิดเลยไม่ได้ไป ไม่งั้นน่าจะมาเล่าได้เยอะ

ปล. เรียนจบสามารถยื่นใบสมัครทำงานได้เลย ถ้าผ่านโปรจะได้เงิน 5000 คืนด้วยนะ แต่ถ้าไม่ได้อยากจะสมัครงานตอนนี้ จ่ายตัง 5000 เรียนผมว่าก็ยังคุ้มอยู่

----------------------------

สานฝันการอยากเป็นแฮคเกอร์นักเจาะระบบ 5555+ เมื่อได้เห็นเขามีประกาศ รับสมัครคนเข้าร่วมโครงการ  Cyber Security Bootcamp ของ KBTG โดยก่อนเข้าโครงการ ก็จะมีการสอบเข้าเข้าด้วย  เริ่มด้วยรอบแรกเป็นข้อสอบแบบตัวเลือกเนื้อหา เกี่ยวกับลพื้นฐานคอมพิวเตอร์ ผมเกือบตายตรง Network ทำไม่ค่อยได้เพราะพื้นฐานส่วนนี้น้อย แต่ไปทำได้ส่วนของ Programming Logic ตอนแรกก็นึกว่าจะไม่ผ่านรอบแรกเพราะไม่ค่อยได้ส่วน Network แต่ก็รอดมาได้ รอบสองจะเป็นการสัมภาษณ์ แบบตอบคำถามที่เขาลิสไว้ให้ เห็นว่าใช้บอทตรวจ คำถามก็มีตั้งแต่การเริ่มแนะนำตัวเบื้องต้น และก็จนไปถึงการถามถึงลักษณะนิสัยในการทำงาน การำงานร่วมกันคนอื่นเป็นยังไงบ้าง และก็ทัศนคติในการแบ่งปันความรู้ หลักคือเขามองหาคนที่มีแรงจูงใจในการเรียน และมีลักษณะที่ดีที่เหมาะแก่การทำงาน เพราะโครงการเขาอยากจะฝึกคนเพื่อที่จะไปทำงานด้วยจริงๆ พอผ่านรอบ 2 ก็จะเริ่มเรียน

    โดยช่วงแรกเขาจะให้เรียนในเว็บไซต์ https://play.secplayground.com ข้อดีคือเป็นเว็บภาษาไทย ทางโครงการก็จะเรียงเนื้อหาตั้งแต่พื้นๆไล่ขึ้นไปยากให้ 

    ในส่วนของเว็บนี้ใครที่ไม่ได้เข้าโครงการก็สามารถสมัครเรียนเองได้ ราคา 1000 บาทต่อเดือน แต่จุดเด่นของโครงการคือเราจะมีโค้ชที่เป็นพี่เลี้ยง ค่อยแนะนำ มีการพูดคุยกันทุกเย็นวันศุกร์ โค้ชก็จะเป็นคนที่ทำงานในสายงาน Cyber Security จริงๆ ส่วนใหญ่ผมก็จะพยายามหาคำถามที่ตัวเองสงสัยมาเตรียมไว้ถามวันศุกร์ สาวนนี้น่าจะเป็นความพิเศษของโครงการที่ผมชอบที่สุดเพราะเหมือนเราได้รับพลังจาก Hacker ตัวจริง เราจะได้แนวคิดในการทำงานทางด้านนี้จากคนที่ทำงานจริงๆ อย่างผมโชคดีที่ได้อยู่กลุ่มของโค้ชที่เป็น Red Team เน้นงานด้านการทดสอบเจาะระบบซึ่งเป็นทางที่ผมอยากทำพอดี 

    ข้อดีของ secplayground คือเป็นภาษาไทย แล้วโครงการเขาก็จัดชุด Labs เรียงตั้งแต่พื้นฐานแรกๆให้ ถือว่าเป็นจุดเริ่มต้นที่ดี อันนี้ผมชอบเพราะจากที่ผมอยากฝึกเจาะระบบมาหลายปี พยายามซื้อคอร์สต่างๆ มาเรียน บอกเลยว่าเยอะมาก แต่ด้วยพื้นฐานผมไม่ดี และอ่อนภาษาอังกฤษทำให้เริ่มต้นอะไรไม่ได้ ดองคอร์สทิ้งไว้เฉยๆ แต่พอมาเริ่มเล่นจาก secplayground ได้พื้นฐานมา พอกลับไปลองเรียนคอร์สที่ซื้อไว้ก็ต้องให้เข้าใจมากขึ้น

    ส่วนข้อเสียของ secplayground ตอนที่ผมเล่นนะ คือเฉลยไม่ตรง สำหรับผม ผมจะพยายามฝึกเล่น ไล่หาคำตอบจนถึงที่สุดก่อนไม่กดเฉลย แต่เมื่อข้อไหนมันติดนานๆ ไปต่อไม่ได้จริงๆ ก็จะกดเฉลยเพื่อดูวิธีการ แต่กลายเป็นว่า ทำตามเฉลยแล้วไม่ได้  อันนี้ผมว่าเว็บไซต์เขาควรแก้ไข ผมโชคดีหน่อยที่มาเล่นจากที่เข้าโครงการนี้ทำให้มีโค้ชให้ถาม และมีเพื่อนพี่ๆที่เขาเก่งทำได้เองมาแนะนำ

    ถ้าใครที่ติดปัญหาเจอเฉลยไม่ตรงเหมือนกัน ทาง secplayground เขาก็จะมี discord ให้เราสามารถเข้าไปแจ้งปัญหาได้ด้วยเหมือนกันนะครับ 

พอเรียนเนื้อหาใน secplayground ครบแล้วช่วงเดือนสุดท้ายจะเป็นวิชาเลือก https://academy.tcm-sec.com/ ซึ่งเขาก็จะซื้อคูปองเรีบนให้เราเลือก 4 วิชา แต่ผมยังไม่แน่ใจว่าจะเรียนอะไรบ้างบ้างดี เลยใช้ทริคซื้อคูปองอีกแบบที่จะเรียนได้ 1เดือนแต่ครบทุกวิชาในเว็บ ราคาจะเท่ากับซื้อ 1 วิชา แต่จำกัดเวลาเรียน ก็นั่งไล่เปิดดูแบบผ่านๆ เพื่อจะได้เห็นแนวแต่ล่ะวิชาก่อน บอกเลยว่าเข้าหัวน้อยมาก 555+ แล้วก็ไปนั่งเรียน Python101ก่อน  แรกๆก็จะเข้าใจได้เพราะเป็นพื้นฐาน pyhton ที่เราเคยเห็นมา แต่พอกลางๆจะเริ่มหนัก คนสอนจะเริ่มพาเอาไปใช้เขียนสร้าง tools ในการเจาะระบบขึ้นมา

พอจบคอร์สนี้แล้วก็ไปเรียน Forensics เพราะคิดว่าตัวเองชอบไล่จับโจร สืบสอนสอบสวน มันจะเหมือนที่เคยไปไล่ transacion ของ Ronin chain ที่ตามคนขโมยตัว Axieได้  ถือว่าเลือกเรียนวิชาไม่ผิดเพราะได้เห็นการไปหาวินโดว์มามาใช้ทดสอบแบบถูกลิขสิทธิ์ คือผมก็พึ่งรู้ว่าจะมีตัววินโดว์ตัวทดสอบ ให้เราเอามาจำลองทดสอบได้ จำได้ว่าเรียนเกือนครึ่งอยู่นะแต่ไปช้ามากๆ โครงการให้อย่างน้อยต้องเรียนให้ครบ 2 วิชา ผมเลยกระโดดไปเรียน Python201แทน เพราะเนื้อหาย่อยง่ายกว่า ถ้าเรียน Forensics ต่อไม่น่าทัน

เนื้อหาวิชาต่างๆที่ผมพอจำได้ เพื่อยากจะไปซื้อคอร์สจากเว็บนี้มาเรียน 

1 Practical Ethical Hacking อันนี้เหมือนจะเป็นคอร์สปูพื้นฐานโดยรวมทั้งหมด มี 25 ชั่วโมง ผมก็เก็บอันนี้ไว้เรียนยาว เป็นนึงในอันที่เลือก 1/4 ของคูปอง

2 Windows Privilege Escalation for Beginners เนื้อหาในวิชานี้เป็นการยกระดับสิทธิ์ ในเครื่องวินโดว์ คือเวลาที่เราสามารถแฮคคอมพิวเตอร์สักเครื่องได้ ตอนเริ่มต้นอาจจะได้สิทธิ์ในการใช้งานน้อย เขาก็จะสอนวิธีการยกระดับสิทธิ์เพื่อทำอะไรกับคอมเครื่องที่เราแฮคได้เยอะมากขึ้น 

3 Linux Privilege Escalation for Beginners จะเหมือนกับของวินโดว์ในเรื่องการยกระดับสิทธิ์เลย แต่เปลี่ยนมาเป็น Linux  วิชา 2,3 โชคดีว่ามีช่วงเขาแจกฟรี เลยไปกดได้ฟรีมาตั้ง 2 วิชา


4 Open-Source Intelligence (OSINT) Fundamentals วิชาเกี่ยวกับการหาข้อมูลที่เปิดเผยอยู่ เวลาเราจะแฮคใคร เราก็ต้องหาข้อมูล รวบรวมข้อมูลเกี่ยวกับคนๆนั้น หรือองกรค์นั้นมาให้เยอะที่สุด เผื่อจะได้เป็นโยชน์ในการใช้เข้าไปเจาะระบบเขา

5  The External Pentest Playbook เนื้อหาวิชานี้จะสอนขึ้นตอนการเจาะระบบที่เริ่มจากการด้านนอกขององค์กรเขา

6 Movement, Pivoting, and Persistence  เนื้อหาจะจะสำหรับเมื่อเขาเจาะระบบเขามาจากด้านนอกได้แล้ว เราก็จะเริ่มเคลื่อนไหวเพื่อให้ได้สิทธิ์ต่างๆเพิ่มมากขึ้น

7 Python101 , Python 201 For Hackers ทั้งสองวิชานี้ครึ่งแรกจะสอนพื้นฐานที่จำเป็นของ Python ก็จะคล้ายๆ Python Programming เบื้องต้น แต่พอครึ่งหลังจะเหมือนกะโดดย้ายมิติเลย พาทำเครื่องมือในการเจาะระบบ 101 เราจะได้เรียนการสร้างโปรแกรมในการ brute force  แบบต่างๆ จะได้เข้าใจว่าเครื่องมือที่เราโหลดๆมาใช้ ที่เขาใช้ python เขียนเขาทำมายังไง ส่วน 201 หลังๆนี้มึนหนักอยู่ ส่วนหลังๆจะเน้นการเอาใช้ ctypes ไลบราลี่ คือใช้ python เรียกใช้ ฟังก์ชันต่างๆใน windows ด้วย C มีการทำ keylogging และ buffer overflow เดี๋ยวต้องกลับไปเรียนอีกรอบจะมาเล่าให้ฟังอีกที

8 Linux 101 เรียนพื้นฐานต่างๆของลีนุ๊กซ์ อันนี้น่าจะเหมาะกับคนเริ่มต้น ถ้าไม่มีพื้นฐานลีนุ๊กซ์จะทำให้เวลาเราเรียนเจาะระบบบางส่วนจะไม่เข้าใจ

9  Practical Malware Analysis & Triage  อันนี้เป็นอีกวิชาที่ผมเลือกจากคูปองที่โครงการเขาให้ โค๊ชแนะนำว่าอย่าพึ่งเรียนเพราะมัน Advnace แต่ผมเลยเลือกเพราะมันยากก็น่าจะเหมาะกับการเก็บแบบตลอดชีพไว้  วิชานี้จะเป็นเนื้อหาสอนการแกะ Malware เพื่อให้เห็นการทำงานของมัน เดี๋ยวเรียนแล้วจะมาเล่าให้ฟังต่อ

10 Practical Web Application Security & Testing วิชานี้จะสอนเจาะระบบเว็บไซต์ต่าง ๆ

11 
Mobile Application Penetration Testing สอนเจาะระบบของมือถือ android และ  ios เนื้อหาจะพาเล่นคล้าย CTF ของฝั่งเว็บแค่เปลี่ยนเป็นทำบนมือถือ แต่มันต้องเตรียมอุปกรณ์เยอะ ผมนั่งเรียนวิชาแรกเลย เพราะอยากรู้ไว้เผื่อป้องกันแอปที่ตัวเองเขียนขึ้นมา แต่จำได้ว่าพักไว้เพราะต้องเตรียมอุปกรณ์เยอะนี้แระ ก็เลยกดเป็นอีก 1 วิชาที่เลือกจากคูปองไว้เรียน

12 Practical Windows Forensics อันนี้เป็นวิชาสืบสวน คือเขาจะพาเซตระบบคอมบนวินโดว์ แล้วจำลองการถูกแฮคขึ้น จากขึ้นเราก็จะทำการเอาข้อมูลในคอมพิวเตอร์เครื่องนั้นมาดูว่ามันเกิดอะไรขึ้นมา ผมเรียนได้สัก 60 70% นี้แระ ตอนแรกคิดว่าจะเรียนทันจากที่ซื้อแบบ รายเดือน แต่กลายเป็นว่าเนื้อหามันละเอียด ต้องทำตามที่ล่ะขั้นตอน เวลาในที่ซื้อไว้หมดก่อน 555+ คิดว่าวิชานี้จะไปซื้อแบบตลอดชีพมาเรียนต่อเพิ่มแทน

13 GRC Analyst Master Class วิชานี้เป็นวิชาใหม่ที่เขาเพิ่มเขามาเอาจริงๆ คือยังไม่ค่อยรู้เรื่องว่ามันคืออะไร แต่เห็นโค้ชๆว่ามันดี อีกทั้งเป็นวิชาใหม่ ผมก็เลยกดเลือกเป็นอันสุดท้ายของคูปอง 4 วิชาที่ได้มา

    สุดท้ายก็จะมีการแข่ง CTF (Capture The Flag)  โดยจะเป็นทางแข่งทางด้าน Blue Team ซึ่งจะใช้  https://www.splunk.com และ https://www.exabeam.com ในส่วนของ splunk มี https://bots.splunk.com/ ให้ไปลองเล่นได้ จะเหมือนของจริงที่ใช้ในการแข่งเลย ในตอนแรกกฏการแข่งจะแบ่งเป็น 1 กลุ่มจะมี 2 ทีม คือทีมหลัก และทีมรอง ทีมหลักมีหน้าที่ทำคะแนนให้สูงที่สุด ส่วนทีมรองก็จะมีหน้าที่หาคำตอบให้ทีมหลัก ผมก็เลยขอเพื่อนๆอยู่ที่รอง กะว่าไปค้นข้อมูลแล้วไล่หาคำตอบๆ มั่วๆ แล้วส่งให้ทีมหลัก  อ่อ ตอนแรกการแข่งจะให้ทุกคนไปแข่งที่จัดงาน แต่เปลี่ยนเป็นให้สามารถแข่งที่บ้านได้ด้วย ผมเลยทิ้งตั้วเครื่องบิน เล่นอยู่บ้านเพราะอุปกรณ์พร้อมกว่าใช้หลายจอได้ น่าจะได้ประโยชน์กว่า แถมเป็นคนขี้เกียจเดินทาง ช่วงนี้งานก็เยอะจะได้ไม่ต้องเสียเวลาเดินทาง

    พอกำลังจะเริ่มแข่งจริง เห็นว่ามีการเปลี่ยนกฎให้แข่งกันเลย ไม่มีทีมรองแล้ว ผิดแผนเลยที่ว่าจะมั่วได้ แล้วพอเริ่มแข่งเข้าไปดูโจทย์ คือโจทย์เยอะมากกกกกกกก  มี 5 Scenario แล้วแต่ล่ะอันน่าจะมีประมาณ 30 ข้อ อันนี้เฉพาะของ  splunk นะ ของ exabeam นี้ผมไม่ได้เปิดไปเล่นเลย ทีมแบ่งกัน ทีม 1 ได้ Scenario เลขคึ่ 1 3 5 ทีม 2 ที่ผมอยุ่ทำเลขคู่ 2 4 ผมก็ทำ google sheet google doc ไว้เผื่อบางข้อแต่ล่ะทีมได้โจทย์เหมือนกันจะได้แชร์คำตอบได้ ผมไปเล่นที่โจทย์ Scenario 4 บอกเลยว่าอ่านโจทย์แล้วมึนมาก ตายตั้งแต่การจะเลือก index ของข้อมูลแล้ว ลองหาคำตอบไปตอบดูคือผิดหมด บอกเลยว่าตอนนั้นนํ้าตาซึม ผมทำ Scenario 4 ไม่ได้สักข้อเลย เครียดมีต้องเดินไปเล่น สุดท้ายเลยหนีไปทำ Scenario 5 ซึ่งที่จริงเป็นของอีกทีม แต่ตอนนี้ไม่ได้ทำเลย พอโดดไปทำก็จะมีข้อที่ลองดูแล้วง่าย มันข้อล่ะ 100 คะแนน จำได้ว่าทำได้ข้อเดียวนี้แระ ก็เลยรอชั่วโมงสุดท้าย ที่จะมี hint เพิ่มให้ ก็เร่งทำได้มาอีก 3 ข้อ อย่างน้อยก็มีประโยชน์ขึ้นมาบ้าง พอถึงบ่ายสอง หมดเวลาปิดคอม หนีไปเล่นห้องนอนชวนแฟนไปดูหนัง Black Adam ไปซื้อของเข้าบ้าน นั่งจิบกินข้าวจิบเบียร์ฟังเพลง ซึ่งถ้าใครไปแข่งที่งานจริงๆ เขาก็จะมีกิจกรรมสังสรรค์ปิดงานด้วยนะครับ

    Splunk เขามาก็สอนวิธีเรียน 1 วัน แล้วใน https://bots.splunk.com ก็มีคลิปสอนด้วย ผมก็พยายามไปนั่งเรียน แล้วก็ลองเล่นตัวทดสอบ แต่หลักกระบวนการหาคำตอบผมยังไม่แม่น แค่นั่งเรียนผ่านๆ พิมคำสั่งตามเขา พอแข่งจริงไม่ได้เลย จริงๆถ้าแม่น Kill Chain น่าจะเริ่มต้นได้ถูกกว่านี้ เพราะคำถามเขาสลับไปมา ไม่ได้ไล่ข้อไล่กระกระบวนการให้ เราจะต้องมาจัดการเอง ซึ่งการแข่งนี้ก็ทำให้รู้ตัวยิ่งขึ้นว่าอ่อนมากทางด้านนี้ หรือ เราไม่เหมาะกับ Blue ทีม 555+  แต่ไงคิดว่าอยากจะหัดเพิ่มอยู่ เพราะว่ามีเว็บ bots.splunk.com ที่เขาจะมี event ให้มาลองเล่นเรื่อยๆอยู่แล้ว ก็เลยคิดว่าจะไปหัดแล้วเอามาแชร์ลงบล็อกอีกที

ในระหว่างช่วงที่เรียนผมก็จะมีคำถามที่เคยถามโค้ชไว้ก็จะได้ก็เลยจะเอามาแชร์

1 ช่วงแรกที่ทำ Lab จะเจอปัญหา Lab ไปสมัครดับ เหมือน Lab กับคำอธิบายไม่ตรงกัน (คล้ายๆกับว่าเขาเปิด Lab มาให้ผิดอัน บาง Lab ทำเองไม่ไหว กดเฉลยมานั่งทำดู ทำตามเป๊ะๆแต่ไม่ออก โค้ชก็บอกว่าเวลาการทำงานจริง มันก็จะเจอแบบนี้แระ เราต้องเจอกับระบบที่ไม่เสถียร ให้คิดไว้เสมอว่าโจทย์มันไม่ได้ผิด แต่ผิดเราสักอย่างนี้แระ ต้องฝึก tryhard ไว้

2 เวลาทำ Lab เขามีโจทย์กำหนดคร่าวๆมาให้เราต้องช่องโหว่อะไร แต่เวลาทำงานจริงมันไม่มี ข้อกำหนด เราต้องเริ่มยังไง  อันนี้โค้ชก็แนะนำว่าเวลาทำงานจริงก็ต้องอ้างอิงจาก Standard ต่างๆ เช่น OWASP Top 10 หรืออาจจะต้องลองทุกทางเท่าที่ทำได้นั้นแระ


มีถามเรื่องการทำงานในองค์กร KBTG คำตอบหลายๆอันทำให้ได้ข้อคิดเยอะเลย ที่จำได้นะเช่น 

1 ผมสงสัยว่าเวลาทำงาน แต่ล่ะคนเจอจุดที่ทำงานยากลำบากอะไรบ้าง แก้ยังไง คำถามนี้ผมอยากรู้จากปัญหาที่เคยเจอเวลาเข้าไปทำงานมันต้องมีแระที่เราต้องไปโดนงานที่เราไม่ถนัด เขามีวิธีการจัดการยังไง

คำตอบ เท่าที่ผมจำใจความได้นะ คือจะไม่ค่อยเจอ เพราะเขาจะให้เราทำงานที่ถนัด การทำงานเหมือนทีม avengers มันจะไม่ใช่ One Man Show ทุกคนจะได้แบ่งหน้าที่ทำในช่วงที่ตัวเองถนัดๆ ทุกคนตอนเริ่มทำงานจะมีพี่เลี้ยง คำตอบอันนี้มันเปิดโลกการทำงานเลยที่ผมไม่เคยเจอ เพราะผมเคยแต่ทำงานองค์กรขนาดไม่ใหญ่ เราจะต้องพยายามทำให้เป็นหลายๆอย่าง ซึ่งก็จะต้องเจออะไรที่เราไม่ถนัดด้วย แล้วต้องเริ่มตนเอง แต่ใน KBTG เขาจะมีพี่เลี้ยงคอยดูเราก่อน ให้เน้นทำอะไรที่ถนัด อันไหนไม่ถนัดถ้าจะได้ใช้ก็จะให้ค่อยๆเริ่มฝึกให้ได้ก่อน ส่วนสกิลการสือสาร ที่คนสายเดฟจะชอบมีปัญหาคือ ชอบพูดไม่รู้เรื่อง อันนี้เขาก็จะมีคอร์ส softskill ในองค์กรให้ฝึก 

2 ถ้าเวลาทำงานแล้วหมดไฟจะทำยังไงบ้าง
คำตอบ  เจอถามกลับว่าหมดไฟเพราะอะไร ถ้าหมดไฟการทำงาน เบื่อเจาะระบบแล้ว อยากลองด้านอื่น ก็สามารถลองไปสัมภาษณ์กับอีกทีมที่เราสนใจ ถ้าทีมเขาโอเคก็สามารถย้ายงานได้เลย แต่ถ้าหมดไฟจากการประชุมเยอะๆ เขาก็มีมิ้ตติ่ง มีคอนเสิร์ต

3 อันนี้เป็นคำถามที่พี่อีกคนถามว่า เวลาจะมาสัมภาษณ์งานควรเตรียมตัวยังไงบ้าง

คำตอบ คือเป็นตัวเองให้มากที่สุด การสัมภาษณ์งาน บริษัทหรือทีมก็อยากจะหาคนที่เหมาะกับองค์กร มีลักษณะนิสัยเข้ากับทีมได้ ดีกว่าการเฟคปั้นตัวเองมา ผ่านสัมภาษณ์แล้วมาทำงานไม่มีความสุข ทำไม่ได้ สุดท้ายไม่ผ่านโปรก็เสียเวลาทั้งสองฝ่าย อันนี้ตรงกับความคิดผมว่าการทำงานก็เหมือนกับการเลือกแฟน เราอาจจะต้องอยู่กับเขาไปตลอดชีวิต อาจจะเป็นคนที่เราแต่งงานด้วยก็ได้ ควรที่จะเลือกทำงานที่ๆเรามีความสุข สนุกกับมันที่สุด การที่เราไม่ผ่านสัมภาษณ์งานไม่ใช่เราไม่ดี แค่ยังไม่ใช่คู่ที่เหมาะกันเท่านั้นเอง ตกสัมภาษณ์จากที่นี้ อาจจะไปเจอบริษัทที่ใช้กว่าแทนได้


สิ่งที่สัมผัสได้ (จากที่ฟังเขาเล่านะๆ) คือข้อดีขององค์ใหญ่ๆ เขาจะพยายามสร้างคนก่อน แล้วให้ทำงานอย่างมีความสุขเผื่อให้อยู่ด้วยกันไปยาวๆ เวลาผมถามคำถามไปจากประสบการณ์ที่ผมเคยเจอ จะกลายเป็นว่า ปัญหานั้นไม่ค่อยมีกับเขา อย่างเรื่องการต้องทำงานที่เราไม่ถนัดจะทำไงดี แต่จริงๆคือของเขา เขาแบ่งงานตามความถนัดแต่ล่ะคนอยู่แล้ว  ถ้าอยากจะกลับไปทำงานแบบบริษัท บริษัทนี้ก็จะเป็นบริษัทแรกเลยที่ผมอยากจะไปสมัครทำงานด้วย 

เว็บ Lab นอกจาก secplaygound ที่เนื้อหาเป็นภาษาไทยแล้วเขายังมีเว็บนอกแนะนำให้ไปลองเล่นดู คือ

1 https://www.hackthebox.com/

2 https://tryhackme.com/

ยังไม่มีเวลาลองเล่นเลย เดี่ยวเล่นแล้วจะมาลองเล่าให้ฟัง แต่เขาว่าของดีจริง ต้องลอง

Blue Team Lab

https://bots.splunk.com/

    เอาไว้ฝึก search อ่าน log ในสถานะการณ์จำลองการถูกเจาะระบบต่างๆ


ช่อง Youtube ที่แนะนำ 

https://www.youtube.com/c/ippsec

    ช่องนี้เขาจะลองเล่น hackthebox  ให้เราดู จะได้ใช้เป็นแนวทางในการเล่น และแต่ล่ะ  Labs เขายังมีการลองเล่นซํ้า แต่เปลี่ยนวิธีใหม่ๆด้วย ทำให้เราได้ฝึกตามเขาไปด้วย


https://cyberdefenders.org/

    อันนี้โค้ชเขาก็แนะนำมาแต่ยังไม่ได้ลองเล่น



Vim เรามาใช้ กันเถอะ

 อย่างนึงที่ผมอยากที่จะพัฒนาตัวเองคือการฝึกใช้คีย์บอร์ดให้เทพอย่างกับแฮคเกอร์ในหนัง การฝึกพิมสัมผัสก็เป็นสิ่งที่จำเป็น ตอนนี้ก็กำลังหัดอยู่ แต่ก็ยังไม่ชำนาญ แต่อีกหนึ่งอย่างที่จะทำให้ดูโปรขึ้น (ไม่ได้สนประสิทธิภาพการทำงานที่จะเพิ่มขึ้นแบบที่ควรจะเป็น แต่เพราะมันดูเท่นี้แระ ฮาๆๆๆ ) คือการใช้ Vim

ซึ่งมันจะทำให้เราสามารถพิมใช้งานคอมพิวเตอร์เขียนโปรแกรมได้โดยที่จะไม่ต้องใช้เมาส์ 

สำหรับคนที่ใช้งาน MacOS สามารถใช้งาน Vim ผ่าน Terminal ได้เลย โดยเพิ่มคำสั่ง vim

Vim จะมีอยู่ 3 โหมด คือ


Normal Mode 

    โหมดนี้จะเป็นโหมดเริ่มต้นของโปรแกรม ใช้ในการเคลื่อนที่ไปยังตำแหน่งต่างๆ ในเอกสาร เมื่อเราอยู่โหมดอื่นสามารถกลับมา Normal Mode ได้โดยการกดปุ่ม Esc

ปุ่มคำสั่งใน Normal Mode

j เคลื่อนเคอร์เซอร์ ลง

k เคลื่อนเคอร์เซอร์ ขึ้น


h เคลื่อนเคอร์เซอร์ ไปทางซ้าย

l เคลื่อนเคอร์เซอร์ ไปทางทางขวา


โหมดนี้ยังมีคำสั่งอีกเยอะ แต่ผมก็ยังใช้ไม่เป็นเดี่ยวจะมาเขียนอธิบายอีกที


Insert Mode

     โหมดนี้จะใช้เมื่อเราต้องการแก้ไขเอกสาร จะไม่มีคำสั่งใช้ในโหมด แต่จะมีคำสั่งที่จะเข้าโหมดนี้ในแบบที่แตกต่างกัน

i แทรกข้อความที่ก่อนหน้าเคอร์เซอร์

I แทรกข้อความที่หน้าสุดของบรรทัด

a แทรกข้อความที่หน้าเคอร์เซอร์

A แทรกข้อความที่หลังสุดของบรรทัด

o สร้างบรรทัดใหม่ด้านล่าง

O สร้างบรรทัดใหม่ด้านบน

ea แทรกข้อความที่ท้ายสุดของข้อความ


Visual mode

หรือ Marking Text Mode ใช้ลากมาร์กข้อความ เราสามารถเข้าโมหดนี้ได้โดยใช้ปุ่ม v

โหมดนี้ถ้าชำนาญแล้วจะช่วยในการลากมาร์กข้อความแทนการใช้เมาส์ได้ดี แต่ตอนนี้ผมก็ยังทำไม่เป็น ฮาๆๆ เดี๋ยวพอเล่นเป็นสักหน่อยแล้วจะมาอัพเดทให้อ่านกันครับ



Exit

การออกโปรแกรม Vim เคยเป็นปัญหาระดับโลกถึงขนาดเคยติดอันดับการถามสูงๆบนเว็บ stackoverflow

:q ออกโปรแกรม คำสั่งนี้จะใช้ได้เมื่อไฟล์ถูกบันทึกแล้ว

:q! ออกแบบไม่บันทึก

:qw บันทึกแล้วก็ออกจากโปรแกรม

:w บันทึกไฟล์