Red × Blue Pill 2019

ช่วงสองวันที่ผ่านมา (18–19 พ.ค. 2562) ได้ไปร่วมงานสัมมนา Red × Blue Pill 2019 ของกลุ่ม 2600 Thailand รู้สึกว่าได้เปิดหูเปิดตาด้าน Cybersecurity ขึ้นอีกเยอะมากกกก เลยอยากจดบันทึกไว้เผื่อย้อนมาอ่านวันหลัง

แต่เนื่องจากทางผู้จัดค่อนข้างซีเรียสกับเรื่องการเผยแพร่ sensitive information (ตอนวิทยากรบรรยาย ห้ามถ่ายรูป ถ่ายวิดีโอ หรืออัดเสียง) เลยจะเขียนแค่เกร็ดเล็กเกร็ดน้อยที่พอจะสรุปมาได้ และคิดว่าไม่น่าจะเป็น sensitive information โดยไล่ตามแต่ละหัวข้อครับ (ตอนท้ายมี feedback เล็กน้อย)

Your Smart Home, My Smart Home

session แรก มาสายตามระเบียบ 😑 แต่เหมือนวิทยากรเพิ่งเริ่มบรรยายได้ไม่นาน ไม่น่าจะพลาดอะไรไปมาก

  • การทดลองแฮกทั้งหมด Johnny เป็นคนทำ แล้วมาเล่าให้วิทยากรฟัง 😆
  • อุปกรณ์ smart home ทั้งหลายที่ใช้คลื่นวิทยุ สามารถโดนแฮกได้หมด ตั้งแต่ smart doorbell, smart lock, webcam, smart bulb, ฯลฯ
  • อุปกรณ์ที่ใช้ในการแฮกคลื่นวิทยุ และเครื่องอ่าน/เขียน RFID card หาได้ทั่วไปจากร้านค้าออนไลน์ที่คุณชอบ
  • smart lock มี default password นอกเหนือจาก password ที่เราตั้งเองด้วย ให้ดูวิธีการเปลี่ยนในคู่มือ (แล้วเปลี่ยนซะ)
  • webcam มี default Telnet password (เปลี่ยนซะ อีกเช่นกัน)
  • webcam ส่วนใหญ่จะรันซอฟต์แวร์ของ Shenzhen Yunni Technology ซึ่งมีช่องโหว่ตาม CVE-2019-11219 และ CVE-2019-11220 รายละเอียดลองอ่านจากบล็อกของ Brian Krebs
  • ถ้าบังเอิญได้การ์ดคอนโดมา สามารถเข้าไปลองใช้ได้ง่ายๆ โดยการเดินเข้าไป เพราะคอนโดส่วนใหญ่จะไม่บังคับให้คนที่เดินเข้าต้องแลกบัตร
  • การป้องกันการแฮกด้วยคลื่นวิทยุยังทำได้ยาก ถ้าจะใช้ก็ต้องยอมรับความเสี่ยง หรือสูงสุดคืนสู่สามัญ ใช้ระบบ manual lock ร่วมด้วย อะไรทำนองนี้

Circumventing Cryptographic Deniability with Remote Attestation

session นี้ไม่กล้าสรุปใดๆ ความรู้ยังไม่ถึง 😂 จำได้อย่างเดียวคือวิทยากรแนะนำให้ใช้ online-deniable protocol เช่น ZXDH หรือ OTRv4 (ซึ่งคืออะไรก็ยังไม่รู้อีกเหมือนกัน 🙄)

  • ลอง google ดูพบว่ามี paper ของหัวข้อนี้อยู่ ไว้ความรู้มากกว่านี้จะลองกลับมาศึกษาอีกที

อัพเดต: มีคนสรุปให้แล้ว ขอบคุณครับ 😙

Breaking SCADA and Anti-Virus for Fun & Profit

session นี้ค่อนข้างอินเป็นพิเศษ เพราะเกี่ยวข้องกับงานที่ทำโดยตรง ชอบตรงที่วิทยากรบรรยายลักษณะระบบ SCADA ได้เห็นภาพ และค่อนข้างตรงกับความเป็นจริง ซึ่งหาคนแบบนี้ได้ยากมากเวลาฟังบรรยายเกี่ยวกับ SCADA/ICS Cybersecurity 🙏

  • ICS ต่างกับ SCADA ตรงที่ ICS จะทำงานของมันไปเรื่อยๆ ตามที่โปรแกรมไว้ โดยปกติจะไม่มีคนไปยุ่ง ส่วนระบบ SCADA จะมีคนเข้ามาเกี่ยวข้องกับการอ่านข้อมูลและการสั่งการควบคุมตลอดเวลา
  • อุปกรณ์ที่สำคัญที่สุดในระบบ SCADA คือ HMI (Human-Machine Interface) เพราะสามารถใช้สั่งการควบคุมอุปกรณ์ได้
  • รองลงมาคือ Engineering Workstation เพราะสามารถใช้เปลี่ยนค่า settings และ limits ต่างๆ ในระบบ SCADA ได้
  • ตอนนี้มีการโจมตีแบบที่ฝังมากับไฟล์ เมื่อสั่งให้ antivirus สแกนไฟล์นั้นจะไม่พบความผิดปกติ แต่ OS จะโดน compromise แบบเงียบๆ ไปเรียบร้อย
  • มีการ demo ให้ดูกันสดๆ รู้สึกประทับใจและหลอนมาก ขอยกคำพูดวิทยากรมาเป็น quote

If you want to be safer, remove antivirus.

  • สาเหตุที่แฮกเกอร์หันมาโจมตี antivirus เพราะว่าเป็นโปรแกรมที่ติดตั้งอยู่บนแทบจะทุกเครื่อง และจะถูกรันโดยสิทธิ์สูงสุดของระบบเสมอ
  • เท่าที่ฟังจากวิทยากร มี antivirus อย่างน้อย 3 ยี่ห้อ ที่สามารถถูกโจมตีด้วยวิธีการนี้ได้
  • ถ้าอยากรู้ว่าองค์กรไหนใช้ antivirus ยี่ห้ออะไร (เพื่อจะหาช่องโหว่โจมตี) ให้โทรไปถาม IT 😱
  • ขยายความจากข้างบน วิทยากรยกตัวอย่างว่า ลองโทรไปบอกว่าเป็น vendor จะขอมานำเสนอ antivirus ยี่ห้ออะไรก็ได้ คนส่วนใหญ่จะเผลอบอกยี่ห้อ antivirus ที่องค์กรกำลังใช้อยู่ออกมาเอง
  • ขยายความเพิ่มอีก ถ้าให้จินตนาการคงอารมณ์ประมาณ “อ๋อ… จาก Mxxxxx เหรอครับ ที่นี่ใช้อยู่แล้วน่ะครับ” หรือไม่ก็ “อ๋อ… ตอนนี้ที่นี่ใช้ Nxxxxx อยู่ครับ ยังไม่มีนโยบายจะเปลี่ยนเร็วๆ นี้” 🤣
  • วิทยากรยกเคสตัวอย่างการโจมตี antivirus โดยแค่ส่งเมลพร้อมไฟล์แนบเข้าไป ถ้ามีการสแกน attachment บน mail server ก็อาจจะโดน compromise ได้ทันที โดยไม่ต้องรอให้ผู้รับโหลดไฟล์ลงเครื่องด้วยซ้ำ

ไม่ได้มีส่วน contribute ใน session นี้ เพราะตอนนั้นนึกไม่ออกว่าจะพูดอะไร แต่มานึกได้ทีหลังว่าอยากจะถามว่า “Can we assume that a SCADA system would be a little bit safer if it doesn’t run on Windows?” เพราะ demo นั้นทำบนวินโดวส์ เลยไม่แน่ใจว่าถ้าเป็นบนลินุกซ์/ยูนิกซ์ จะมีช่องโหว่แบบนี้เหมือนกันไหม

แล้วก็อีกอย่างคือ วิทยากรบอกประมาณว่าไม่ค่อยมีข่าว/ข้อมูลด้าน Cybersecurity ของระบบ SCADA/ICS และแนะนำให้ติดตามจาก US-CERT เลยอยากเสนอว่ามีอีกที่ที่น่าสนใจคือ SANS ICS Community ที่เป็นฟอรัมสำหรับคนที่ทำงานกับระบบ SCADA/ICS, vendor, และ security researcher มารวมตัวกันเพื่อคุยเรื่อง SCADA/ICS Cybersecurity โดยเฉพาะ 😃

Take a Lead in Cyberwar with Empowered OSINT (Maltego)

session นี้ก็เป็นเรื่องที่ไม่มีประสบการณ์อีกแล้ว ก็ได้แต่นั่งดู demo แล้วคงต้องมาลองหัดเล่นเอง

  • OSINT = Open Source INTelligence = intelligence ที่มาจากแหล่งข้อมูลที่เป็น public เช่น social media และ website ต่างๆ
  • ตัวอย่าง OSINT สำหรับสาย offensive ก็เช่น CVE, Google Hacking Database, Collection #1
  • Maltego เป็นหนึ่งใน tools มาตรฐานที่มีอยู่ใน Kali Linux
  • Maltego เป็นซอฟต์แวร์ที่ใช้ข้อมูลจาก open source intelligence หลายๆ แหล่ง มาหาความเชื่อมโยง แล้วสร้างเป็นกราฟความสัมพันธ์ให้เราดูได้แบบง่ายๆ
  • สามารถ filter เลือกดูเฉพาะข้อมูลที่เราสนใจได้
  • สามารถเขียนอะไรคล้ายๆ script เพื่อให้มันกรอง/ค้นหาข้อมูลตามที่เราต้องการ โดยเริ่มจาก input ง่ายๆ เช่น domain name ขององค์กร และค่อยเจาะลึกลงไปตามกราฟความสัมพันธ์ จนถึงข้อมูลของคนที่เป็นเป้าหมายของเราอีกที

RO Mobile (In) Security

session นี้ค่อนข้างเฮฮามาก และเป็นหัวข้อที่ใกล้ตัวพอสมควร เพราะผมก็เล่น Ragnarok Mobile อยู่เหมือนกัน แต่พอดีเล่นแต่ใน emulator บน PC เลยอาจจะไม่ค่อยเสี่ยงเท่าไร 🤣

  • วิทยากรได้ลอง reverse engineering ไฟล์ .apk ของเกม Ragnarok Mobile แล้วพบว่า
    • Ragnarok Mobile เก็บข้อมูล logic เกมไว้ในไฟล์ที่อยู่ใน external storage
    • Ragnarok Mobile เก็บคีย์ที่ใช้เข้ารหัสข้อมูลต่างๆ ไว้ในซอร์สโค้ด
  • วิทยากรมีแอพ PoC ให้ลองดาวน์โหลดมาลง แล้วแอพจะทำการแก้ไขข้อมูล logic ของเกม Ragnarok Mobile ที่เก็บอยู่ใน external storage แล้ววิทยากรก็ลองรันตัว client ให้เราเห็นว่ามันแก้ไขได้จริงๆ
  • แปลว่าแอพอะไรก็ตามที่มีสิทธิ์อ่าน/เขียน external storage จะสามารถเข้าไปเปลี่ยนแปลง logic ของเกม รวมทั้งอ่าน/แก้ไข traffic ต่างๆ ที่ client กับ server คุยกันได้
  • key takeaway ก็คือ ถ้าจะใช้ cryptography ห้ามเก็บ key ไว้ในโค้ด และควรพัฒนาซอฟต์แวร์ให้เป็นไปตามหลักการของ secure coding และทำตาม best practice ในการพัฒนาซอฟต์แวร์บน platform นั้นๆ ด้วย

MAYASEVEN’s Hacking Diary

session นี้จะเน้นเกี่ยวกับ secure coding อีกเช่นกัน โดยส่วนใหญ่เป็นเรื่อง logic การทำงานของเว็บ ที่หากใช้แค่ tools สแกนก็อาจจะไม่พบช่องโหว่พวกนี้ วิทยากรได้จำลองระบบเป็นเว็บไซต์สำหรับแลกเปลี่ยน cryptocurrency ที่มีการสมัครสมาชิก แล้วใส่ช่องโหว่ที่ทาง MAYASEVEN เคยตรวจสอบเจอจริงๆ เข้าไป และ demo วิธีการทำงานให้เราดู ว่าทำไมมันถึงกลายเป็นช่องโหว่ และเราจะป้องกันได้ยังไง

  • key takeaway ก็น่าจะเป็น “จงทำตาม OWASP Top 10”

Threat Hunting with Cyber Kill Chain

มาต่อวันที่สองก็เริ่มด้วยการมาสายอีกเช่นเคย 😅 แต่ดูเหมือนว่าวันนี้จะเริ่มช้ากว่ากำหนดการนิดหน่อย สำหรับ session นี้วิทยากรบรรยายได้ละเอียดดี แต่ผมไม่ค่อยได้ตั้งใจฟังเท่าไร เหมือนวิญญาณยังไม่เข้าร่าง 👻

  • Cyber Kill Chain เป็น concept/framework ที่สร้างโดยบริษัท Lockheed Martin
  • เอาไว้อธิบายขั้นตอนการทำงานของคนที่ต้องการจะโจมตีระบบใดๆ ก็ตาม โดยประกอบด้วย 7 ขั้นตอน (ไม่จดละเอียดละกัน รอดู slide น่าจะง่ายกว่า)
  • โดยปกติเราจะไม่เห็นทุกขั้นตอน ถ้ามีการเตรียมการรับมือที่ดี อาจจะโผล่มาให้จับได้ตั้งแต่ตอน delivery หรืออาจจะมาจับได้อีกทีตอน malware กำลังติดต่อ C2 แล้วก็ได้
  • นอกจากนี้ยังมีโมเดลของค่ายอื่น เช่น
  • เพิ่งรู้ว่า AlienVault โดน AT&T ซื้อไปแล้ว 😆
  • ได้ความรู้เพิ่มเติมจากพิธีกรว่า ATT&CK ดีกว่า Cyber Kill Chain ตรงที่มีรายละเอียดมากกว่า ทำให้ actionable ได้ง่าย โดยใน framework จะบอกเลยว่า แต่ละขั้นตอนมีวิธีการโจมตีแบบไหนบ้าง และการจะป้องกันการโจมตีรูปแบบนั้นๆ ต้องทำยังไง
  • Cyber Kill Chain จะมีประโยชน์มากกับทีม SOC ในการรับมือ และ identify โดยเราสามารถเอาสิ่งที่ตรวจพบมา map กับขั้นตอนใน Cyber Kill Chain เพื่อวิเคราะห์ว่าใครเป็นผู้มาโจมตีเรา เพราะกลุ่ม hacker ต่างๆ ก็จะมี tools หรือรูปแบบการโจมตีที่กลุ่มตัวเองชอบใช้ อะไรทำนองนี้

Threat Hunting in the Dark Side of Internet (Darknet)

session นี้นั่งฟังเพลินๆ วิทยากรมาเล่าให้ฟังว่า threat hunting คืออะไร และมีอะไรอยู่ใน Darknet บ้าง และวิธีการหาข้อมูลเพื่อเอามาใช้ด้าน defensive ควรจะทำยังไง 😈

  • traditional security model คือการวิเคราะห์ภัยคุกคาม เอาเทคโนโลยีมาวาง แล้วหาคนมาใช้งานระบบนั้นๆ
    • เป็นการทำงานแบบ reactive
    • ส่วนใหญ่ใช้ข้อมูลที่เข้ามาในระบบ เช่น firewall logs
  • threat hunting security model คือการหาคนที่มีความสามารถ แล้วให้เค้าใช้เทคโนโลยีอะไรก็ได้ เพื่อบรรลุเป้าหมายในการป้องกันภัยคุกคามต่างๆ
    • เป็นการทำงานแบบ proactive
    • เน้นการหาข้อมูลจากทั้งภายในและภายนอก (intelligence gathering)
  • threat hunter ต้องมีสกิลทั้งด้าน offensive และ defensive (ฟังดูหล่อมาก 🤘)
  • 96% ของข้อมูลบนโลกอยู่ใน Deep Web และ Darknet ส่วนข้อมูลที่เราเห็นบน Internet คิดเป็นสัดส่วนแค่ประมาณ 4% เท่านั้น
  • Deep Web คือส่วนที่เข้าถึงไม่ได้แบบ public จาก Internet และเราใช้ข้อมูลจาก Deep Web กันเป็นปกติอยู่แล้ว เช่น
    • email service
    • paywalled service เช่น Netflix
    • cloud hosting
    • private forums
  • Darknet คือส่วนที่เข้าถึงไม่ได้จาก Internet โดยตรง (โดยปกติต้องเข้าผ่าน TOR network) และการทำ index ของเว็บต่างๆ ที่อยู่บน Darknet นั้นทำได้ยากเพราะ URL สามารถเปลี่ยนไปได้เรื่อยๆ
    • 70% ของผู้ใช้บน Darknet คือกลุ่ม law enforcement
    • สามารถใช้เพื่อ recruit บุคลากรด้าน Cybersecurity (เช่น ลองจ้างแฮกเพื่อดูฝีมือก่อนทาบทาม)
    • มีเว็บเกี่ยวกับ literature & research ด้วย เช่น Sci-Hub
  • ใน Darknet จะแบ่งเป็น network ย่อยๆ อีก 😵 ยังนึกภาพไม่ออก ไว้คงต้องลองเข้าไปท่องดูสักที
  • ใน Darknet “trust” เป็นเรื่องสำคัญมาก เพราะเราไม่มีทางรู้เลยว่ากำลังคุยกับใคร เป็นแฮกเกอร์จริงไหม หรือเป็นตำรวจปลอมตัวมา
  • การใช้งาน Darknet ควรมี alias และมี backstory ที่น่าเชื่อถือ สรุปว่าปลอมให้หมด แต่ให้ดูสมจริง เพื่อความปลอดภัยของตัวเอง
  • ปิดท้ายด้วย quote จากวิทยากร

Blue is the new Red

The Typical Attack Vectors of National Cyber Espionage Groups

session นี้วิทยากรเป็น hacker ชาวเกาหลีใต้ มาเล่าให้ฟังถึงรูปแบบการโจมตีแบบ APT จากเกาหลีเหนือ ว่ามาทางไหนบ้าง ใช้ tools อะไร หลักๆ ก็ประมาณนี้

  • มากับไฟล์ที่เปิดด้วยโปรแกรม office ที่ใช้ในหน่วยงานรัฐบาล ถ้าเทียบกับไทยก็อารมณ์ประมาณ Microsoft Word
  • โจมตีไปที่ patch server อันนี้โหด เพราะถ้าโจมตีสำเร็จ malware จะกระจายไปทุกเครื่องที่ใช้บริการอัพเดตจาก server นั้นทันที
  • ที่โหดกว่าคือในเว็บของผู้ผลิต patch server มีรายชื่อ porfolio ลูกค้าอยู่ด้วย บริษัทไหนใช้ patch server ยี่ห้อนี้ คนโจมตีหาข้อมูลได้ง่ายมาก 😂
  • นอกจากนี้ก็มีผ่านทาง RAT (Remote Access Tool) ที่ผู้ดูแลระบบใช้กันทั่วไป เช่น TeamViewer, VNC, RDP ซึ่งทำให้ตรวจจับได้ยาก
  • และวิธีการยอดฮิตที่ขาดไม่ได้ก็คือ spear phishing

Botnet Detection Just from Firewall Traffic Logs

session นี้เปิดตัวด้วยหนังสือ เที่ยวญี่ปุ่น Kansai ที่วิทยากรเป็น co-author ในเรื่องอาหารการกิน 😝 (เดี๋ยวจะไปอุดหนุนนะครับ)

กลับมาเข้าเรื่องว่าปกติ botnet มีการทำงานยังไง และถ้าเราไม่มี tools ระดับ advanced ที่ใช้ machine learning เราจะสามารถตรวจจับพฤติกรรมของมันโดยใช้เครื่องมือและข้อมูลที่มีอยู่ โดยไม่ต้องจัดซื้อ หรือรอพึ่ง solution จาก vendor ได้ไหม

โดยทางวิทยากรได้พัฒนาซอฟต์แวร์เพื่อดักจับพฤติกรรมการทำงานของ botnet ภายใต้สมมติฐานที่ว่า

  • เป็น botnet ที่ทำงานแบบ client-server ไม่ใช่แบบ peer-to-peer
  • botnet จะมีการติดต่อ C2 server เป็นระยะๆ (keepalive/heartbeat)
  • ลักษณะ message จะมีขนาดเล็กๆ เช่น ไม่เกิน 1 kB
  • ช่วงเวลาในการติดต่อกลับมีค่าแน่นอน เช่น ทุกๆ 5 นาที

จากนั้นก็ลงรายละเอียดเรื่องแนวคิดในการพัฒนาซอฟต์แวร์ การ reduce ปัญหา เพื่อสร้าง algorithm ในการตรวจจับ สุดท้ายก็ได้ออกมาเป็นซอฟต์แวร์ที่สามารถตรวจจับพฤติกรรมตามสมมติฐานได้ แต่สิ่งที่เจอไม่ใช่ botnet แต่กลายเป็น UPS ที่พยายามติดต่อไปหาบริษัทผู้ผลิตที่ไต้หวัน 😱

อย่างไรก็ตาม botnet ในปัจจุบันจะไม่ติดต่อกลับไปหา C2 server ตามรอบเป๊ะๆ แบบตัวเก่าๆ ในอดีตแล้ว แต่จะมีรอบช่วงเวลาการติดต่อที่ไม่แน่นอน ทำให้ใช้ algorithm นี้ในการตรวจจับไม่ได้ อาจจะต้องใช้วิธีอื่นๆ แทน เช่น machine learning

ตอนช่วงถาม-ตอบ มีคนถามวิทยากรว่าเอา algorithm สำหรับหา sequence ใน firewall logs มาจากไหน วิทยากรตอบว่า ทีมงานที่จบทางด้านคณิตศาสตร์เป็นคนหา/คิดให้

อาจตีความได้ว่าคนที่ทำงานด้าน cybersecurity โดยเฉพาะสาย blue team นั้น ไม่จำเป็นต้องจบด้าน cybersecurity โดยตรง แต่ต้องเป็นคนที่มีความเข้าใจในกระบวนการทำงานของระบบต่างๆ รวมทั้งข้อมูลที่มีอยู่ในมือ สามารถตั้งโจทย์ที่มีเป้าหมายชัดเจน และหาคำตอบของโจทย์ที่ว่าได้ อาจจะโดยการออกแบบ algorithm + เขียนโปรแกรม หรือการใช้ tools ต่างๆ ช่วย เพื่อให้ได้มาซึ่งคำตอบหรือผลลัพธ์ที่ต้องการ

ปิดท้ายด้วย quote จากวิทยากร

คนทำงานด้าน cybersecurity ควรเรียนรู้เรื่อง machine learning แต่ไม่ควรซื้ออุปกรณ์ที่บอกว่ามีระบบ machine learning มาใช้ (ถ้าเราไม่เข้าใจว่ามันทำงานยังไง) เพราะบางทีขนาด vendor เองยังตอบไม่ได้ว่าอุปกรณ์ของเค้าใช้ learning model แบบไหนในการทำงาน

คาดว่าคงได้เวลาที่ควรจะอ่าน Machine Learning Yearning ซักที 🤓

สำหรับ 2 session สุดท้ายคือ “Load Wow64 Process Inside Loader and Logging Kernel Call in Ring3” และ “Securing the Entire Container Stack” ไม่มีรายละเอียด เพราะผมหนีออกมาทำธุระข้างนอกก่อน 😆

Feedback

ก่อนอื่นขอขอบคุณทีมงาน 2600 Thailand, สมาคมโปรแกรมเมอร์ไทย, และสปอนเซอร์ใจดี ครับ ที่จัดให้มีงานสัมมนาดีๆ แบบนี้ สำหรับผมอาจจะเป็น once-in-a-lifetime เลยทีเดียว ที่จะได้ฟังบรรยายจาก “แฮกเกอร์” และ “ผู้เชี่ยวชาญด้านความปลอดภัยระบบคอมพิวเตอร์” ระดับโลก ที่ไปบรรยายในงาน Black Hat มาแล้ว แถมยังฟรีอีกต่างหาก เอาจริงๆ ถ้าจัดแบบขายบัตรก็จะไม่ลังเลเลยเหมือนกัน 🤩

สำหรับภาพรวมของการจัดงานก็ขอให้ feedback ตามนี้ครับ

  • การจัดงานสองวัน ดีมาก ทำให้ได้ฟังเนื้อหาแต่ละหัวข้ออย่างเต็มที่ ไม่ถูกจำกัดด้วยเวลา และทำให้คนฟังไม่ล้าจนเกินไป 😊
  • สถานที่จัดงานดี เดินทางสะดวก จุคนได้เยอะ
  • ห้องสัมมนา ที่นั่งดี ไม่บังกัน ระบบการฉายภาพ และระบบเสียง ดี
  • การลงทะเบียนหน้างาน งงๆ หน่อย เพราะถ้ามาช้าจะไม่มีคนอยู่ที่จุดลงทะเบียนแล้ว เข้าใจว่าทีมงานก็อยากเข้าไปฟังกันทุกคน แต่จะดีกว่านี้ถ้ามีคนรอรับลงทะเบียนอยู่ด้วย
  • ของว่าง เครื่องดื่ม อร่อยดีครับ
  • อาหารกลางวันก็อร่อย
  • พิธีกรดีมาก มีการเล่าเกร็ดความรู้ต่างๆ เสริมระหว่างการบรรยายแต่ละหัวข้อ ได้ความรู้ใหม่ๆ จากพิธีกรเยอะเลย ขอบคุณครับ 👍
  • อยากให้แจกเสื้อ หรือทำขายก็ได้ครับ ลายเสื้อปีนี้สวยดี ❤️