POET vs ASP.NET: DotNetNuke

보안 소식/주간 이슈 2010. 10. 3. 20:53 Posted by TEAMCR@K

패딩 오라클 익스플로잇(Padding Oracle Exploit) 이라는 툴을 이용해서 ASP.NET오류처리 버그를 이용한 세션 공격에 대한 시연 동영상입니다.


관련 뉴스 : http://www.boannews.com/media/view.asp?idx=22972&kind=0

대응 방안은 아래 URL을 참고하시기 바랍니다.
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
트위터에서 발생했던 XSS 관한 영상입니다. 지금은 패치된 상태인지만 요런 형태로 공격이 이루어진다는 것은 확인할 수 있습니다.

관련 내용 : http://pandalabs.pandasecurity.com/onmouseover-xss-vulnerability-on-twitter/


100824_A3SECURITY SMS 2010 - MADE 人 SECURITY

그외 2010. 9. 3. 17:37 Posted by 알 수 없는 사용자

A3Security SMS 2010 세미나를 마치고

 

에이쓰리시큐리티 기획실 김춘곤


0. 준비하면서 기획 의도

 

무언가 행사를 한다는 것은 생각보다 훨씬 번거롭고 귀찮으면서 떨리는 일이 아닐 수 없습니다. 특히나 행사 당일 텅 빈 객석을 보면 이 자리가 제발 채워지기만 기도하게 됩니다.

회사의 위상을 높이고, 고객에게 필요한 정보를 제공함으로써 고객에게 쓸모 있는 기업이라는 이미지와 나아가서 향후 영업적인 소스로써 활용될 수 있도록 이 회사에게 무언가 일을 맡겨 보고 싶구나 라는 생각을 들도록 하는 것이 언제나 말처럼 쉬운 일은 아닙니다.

 

뭔가 행사에 앞서 기획을 하고, 이 행사에 참석시키고 싶은 사람이 누군지 생각하고 그 사람들에게 제공해 줄 수 있는 것이 무엇인지 고민하는 것은 참 어려운 일이라고 생각합니다.

 

기술이 발달하면서 다양한 보안 솔루션들이 넘쳐 나고 있는 데도 불구하고, 보다 안전한 IT 환경이 구현되고 있는지에 대한 물음표는 항상 남아 있습니다. 우리 에이쓰리시큐리티는 국내 최초 정보보호컨설팅 기업으로써 약간(?)의 사명감을 가지고 또한 좀 더 쉽게 보안이라는 분야에 접근하기를 바라는 마음과 이를 위하여 보안 관리자 분들이 조금 더 신경 써 주시고 노력해 주신다면 훨씬 더 안전한 환경의 구현이 가능할 것이라는 생각을 하면서 이번 행사를 준비하였습니다.



<그림1. 행사 시작 전 코엑스 그랜드 볼룸>

1. 환영사

한재호 대표님께서 준비하신 환영사 역시 우리의 이런 취지에서 벗어나지 않았습니다. 그리고 차후에는 좀 더 큰 행사로 발전하기 바란다는 말씀에 준비하는 입장에서 조금 찔끔(--;)하기도 하였지만, 에이쓰리시큐리티라는 기업에 대한 소개와 보안 관리자들이 왜, 어떤 것들을 준비해야 하는지에 대한 설명을 해 주시고 세미나 전반에 대한 소개를 잘 정리해서 해주셔서 다소 미진한 행사 준비를 채워주셨습니다.


<그림2/3. 한재호 대표이사님의 환영사(특별한 뜻이 있어서 사진이 2장인 건 아닙니다. 딸랑딸랑)>

2. 세션1 – 보안 컴플라이언스와 보안관리자의 역할

첫번째 세션은 한국인터넷진흥원(KISA) 이강신 단장님께서 "강화되는 보안 컴플라이언스에서 보안관리자의 역할"이라는 주제로 발표를 진행하여 주셨습니다. 사실 보안은 항상 컴플라이언스와 뗄래야 뗄 수 없는 관계에 있습니다. 특히나 저희가 보안 관리자 분들을 대상으로 진행하는 세미나인 만큼 꼭 알아야 하는 것이라고 생각해서 처음부터 제1세션에 내용은 확고하게 선정하고 시작하였습니다.

다만, 발표자가 단순히 우리 인원들이 하는 것보다는 아무래도 좀 더 공신력 있는 분이 해주시는 게 어떨까 해서 조심스럽게 이강신 단장님께 요청드렸는데, 흔쾌히 응해 주시고 좋은 발표 해주셔서 무척이나 감사했습니다.


<그림4. 세션1 - KISA 이강신 단장님>

3. 세션2 – 컴플라이언스 ESP 시스템 구축

두번째 세션은 앞선 세션에서 언급된 강화되는 보안 컴플라이언스 환경을 효율적으로 대처하기 위한 A3SECURITY RFinder ESP 대하여 전상미 ESP본부장님께서 발표하는 시간이었습니다.

정보보호의 중요성은 지속적으로 대두되고 있지만, 전체적인 업무 시스템 안에서 이를 적절하게 시행하기 위한 방법에 대해서는 실질적으로 이를 관리해야 하는 보안 관리자들에게 쉽지 않은 일입니다. 전상미 본부장님께서는 이러한 보안 관리에 보다 쉽고 편하게 접근 가능할 수 있도록 해주고, 경영진이나 관리자들이 현재의 상황을 일목요연하게 볼 수 있도록 해주며, 실무자들에게 어떻게 보안을 해야 하는지 방향을 제시해 주셨습니다.

준비한 것이 조금 더 있으셨는데, 짧은 발표 시간의 제한이 조금은 아쉬웠던 시간이었습니다.


<그림5/6. 세션2 - ESP사업본부 전상미 이사님>

4. 세션3 – 신한은행 조기대응시스템 구축 사례

1부 행사의 마지막 세션에서는 신한은행 김진섭 차장님께서 RFinder ESP의 기능 중 조기 경보/ 조기 대응을 중심으로 하여 구축한 신한은행의 조기대응시스템 AEGIS(아이기스)의 구축 사례를 설명하여 주셨습니다.

소프트웨어를 개발하여 공급함에 있어서 개발하는 벤더사의 입장에서 생각하는 활용 방법 보다는 실제로 이를 활용해야 하는 고객의 입장에서 바라봐야 한다는 것이 어떤 건지 보여주는 좋은 사례였으며, A3SECURITY RFinder ESP를 적절하게 사용하는 방안에 대한 설명의 자리이기도 했습니다.

<그림7. 세션3 - 신한은행 김진섭 차장님>

5. 휴식시간

휴식시간에는 부스를 통한 서비스와 제품을 소개하는 자리를 약소한 다과와 함께 진행하였습니다. 부스에서는 다양한 RFinder 솔루션 소개, 보안 관제 등 서비스 소개, 그리고 A3SECURITY의 최고의 품질과 서비스의 보안 컨설팅을 소개하는 자리를 마련하였습니다.


<그림8. 그날 무척이나 알흠다우셨던 윤대리님>

<그림9. 말씀나누고 계신 김형섭 이사님과 황철호 차장님>

<그림10. 등록대 모습>


6. 세션4 – 보안 관제 패러다임의 변화

다시 시작한 2부의 첫번째 세션 발표는 본래 스마트폰과 관련된 세션이었으나, 발표자이신 주세홍 팀장님이 일정 때문에 다소 늦어지셨고, 이 바람에 갑작스럽게 유훈상 팀장님께서 2010 A3SECURITY가 야심차게 준비하고 있는 차세대 보안 관제 서비스 AEGIS(이지스) 소개를 비롯하여, 최근 보안 관제 트렌드에 대해서 설명해 주시는 자리였습니다.

재미있었던 것은 현장에서 RFinder를 이용하여 구축한 신한은행 조기 경보 시스템의 명칭 역시 동일한 철자를 이용하는 AEGIS였으며, 다만 읽는 방법이 그리스어(아이기스)인가, 아니면 영어(이지스)인가의 차이만 있을 뿐이었습니다. 둘 다, 메두사의 머리가 각인된 방패로써 IT 자산을 안전하게 보호한다는 의미와 미해군의 최첨단 레이더함에서 그 의미를 따왔습니다.

<그림11. 세션4-유훈상 팀장님, 곽대리가 찍었는데 쓸만하게 얼굴 나온 사진이 한 장도 없는 건... 뭔가 음모가...>

7. 세션5 – 스마트폰 보안위협과 대응 전략

세미나 준비 전부터 가장 큰 관심을 끌었던 것은 역시 최근의 IT 화두라고 할 수 있는 "모바일"이었습니다. 우여곡절 끝에 시작한 세션5는 시작전부터 여러 언론사에서 미리 자료를 요청하는 등 반응이 꽤나 뜨거웠으며, 여러가지 사정으로 나가지는 못했지만, 실제로 공중파에서도 촬영 요청이 오곤 했습니다. 준비하는 저희 쪽에서도 발생할 수 있는 보안 위협 등을 고려해서 동영상과 해킹 시나리오의 경우에는 자료집에도 실을 수 없어서 현장에서만 보여드렸습니다.

동영상을 통한 해킹 시연은 먼저 악의적인 공격자가 사람을 혹하게 만들 수 있는 이메일을 스마트폰 사용자에게 보내서 악성코드가 삽입 된 앱 설치를 유도하고, 그렇게 설치된 앱은 한번만 실행해도 스마트폰을 일종의 "좀비폰"으로 만듭니다.

공격자는 i) 스마트폰에 들어 있는 주소록이나 통화 정보 등을 훔쳐갈 수 있습니다. ii) 현재 스마트폰의 위치 정보를 훔쳐서 스마트폰 사용자의 위치를 찾아낼 수 있습니다. iii) 마지막으로, 해커는 감염된 스마트폰을 이용해서 문자메시지를 발송할 수 있습니다. 특히, 특정 사용자에게 다량의 메시지를 발생할 경우에는 마치 DDoS 공격처럼 악용될 수도 있는 만큼 사용자들의 각별한 주의가 필요합니다.

<그림12/13. 세션5-주세홍 팀장님>


8. 세션6 – Security ROI

마지막 세션은 A3SECURITY와 여러가지로 인연이 깊으신 고려대학교 대학원 김휘강 교수님이 맡아 주셨습니다. 보안 관리자들의 가장 큰 고민인 예산 편성을 어떻게 하는 것이 합리적인 방법인지에 대해서 R.O.I(Return on Investment) 측면에서 설명해 주셨습니다.

행사의 마무리 주제로써 정말 좋은 주제였던 것 같습니다. 바쁘신 일정에도 흔쾌히 세션 발표를 맡아주신 김휘강 교수님, 이강신 단장님, 김진섭 차장님께 모두 감사의 말씀을 드리고 싶습니다.



<그림 14. 세션6 - 김휘강 교수님>


9. 마치며

모든 일이 그렇듯이 행사가 끝난 후에는 끝났다는 안도감과 함께 적지 않은 아쉬움이 남습니다. 조금 더 여유 있을 때 더 많이 준비했었으면 하는 생각이나, 더 많은 분들에게 홍보하고 더 많은 분들에게 조금 더 의미 있는 시간으로 만들었으면 하는 아쉬움은 결국 다음 번 행사로 미룰 수 밖에 없게 되었습니다.

다만, "A3SECURITY SMS 2010 – MADE SECURITY"은 제목이나 주제부터 그리고 세션 구성 등등에 예년보다는 조금 더 준비했고, 내년에는 더욱 멋진 행사로 만들어 갈 수 있을 것이라는 기대를 가질 수 있는 것으로 다소나마 위안을 삼아야 할 것 같습니다.

마지막으로, 세션 발표를 해 주신 이강신 단장님, 김진섭 차장님, 김휘강 교수님, 전상미 소장님, 유훈상 팀장님, 주세홍 팀장님께 진심으로 감사의 말씀을 드립니다. 또한 세션 발표를 위한 자료를 다듬고, 부스 운영을 위한 내용을 만드신 현업에 많은 분들 또한 고생하셨고 수고하셨다는 말씀을 남깁니다. 디자인 등의 협조와 당일 행사 진행을 도와주신 STAFF 분들, 그리고 많은 관심을 가져 주신 사장님 이하 임원분들께도 감사의 말씀을 드립니다.

행사 당일 참석해 주셨거나 이후라도 관심 가져주신 언론인 분들에게도 깊은 감사의 말씀을 드리며, 무엇보다도 부족한 행사지만 큰 관심으로 방문해 주신 고객분들께 좀 더 좋은 서비스와 제품으로 보답하고, 이후에 더욱 좋은 자리를 만들어 드리도록 준비하겠습니다.

 

끝으로, 가끔 발음도 꼬이고 어설픈 사회로 진행이 매끄럽지 못했던 점 사과드리고, 뒤풀이 참가도 못하시고 바삐 떠나신 분들 우리 K모 대리의 버라이어티한 모습을 못 보신 것에 심심한 유감을 보냅니다.

 

감사합니다.

:: 제 9회 2010 H.U.S.T Hacking_Festival ::

보안 소식/교육 및 세미나 2010. 8. 26. 11:11 Posted by 알 수 없는 사용자

이번년도에서 어김없이 10월중에서 H.U.S.T에서 개최하는 Hacking Festival 이 있습니다.

대회 참석에 관심 있는 분들은 참고 하시기 바랍니다.

 

:: 제 9회 2010 H.U.S.T Hacking_Festival ::


0x00 INTRO
안녕하세요.
홍익대학교 정보보안 동아리 H.U.S.T 입니다.
2010년 제 9회 H.U.S.T 해킹 대회를 개최합니다.
해킹에 관심 있는분 이라면 누구나 함께 즐길 수 있는
Hacking Festival에 여러분을 초대합니다.


0x01 Main_subject : H.U.S.T Hacking Festival - Absolute
0x02 The host organization : HONGIK UNIV(JOCHIWON)
0x03 Administer : 홍익대학교 조치원캠퍼스 동아리연합회 & 정보보안 동아리
H.U.S.T (Hongik University Security Team)
0x04 Whois Participants : All netizen (Korean or World)
0x05 Hacking_Festival_Meaning : H.U.S.T 해킹대회 축제를 통하여 해킹과 보안의 묘미를 즐기고,
해킹에 대한 경각심을 일깨우고, 정보보안 의식에 대한 관심과 흥미를 가지도록 한다.


0x06 Contents
A. 각 문제별 인증을 통해 레벨통과를 증명
B. 각 문제는 선행 문제를 풀었을 경우에 주어짐
C. 각 순위는 문제 풀이 후, 획득한 총 점수가 높은 순서를 통하여 정함(별도 공지)
D. 문제 규칙 미준수시 탈락(대회 규칙 참조)
E. 대회 운영의 자세한 내용은 별도 공지함


0x07. Date up
A. 대회 접수 : KST 2010. 10. 01 ~ 10. 12 [15 : 00] 마감
B. 대회 시작 : KST 2010. 10. 13 (수) [KST 18 : 00] 시작
C. 대회 마감 : KST 2010. 10. 15 (금) [KST 18 : 00] 마감. (총 48시간)
D. 수상자 발표 : KST 2010. 10. 29 (금) 홈페이지 공고

 

0x08. Stimpack
1위 : 인텔 코어 i7 860
2위 : LG전자 플래트론LCD W2261VP-PF
3위 : Seagate FreeAgent Go 2.0 블랙 320GB
4위 - 5위 : 삼성물산 PLEOMAX M80 4GB


#######################################################
# H.U.S.T URL #
# A : http://www.hust.net #
# B : http://hust.hongik.ac.kr #
# Festival URL #
# A : http://festival.hust.net #
#######################################################
대회 포스터 링크주소: http://clarus.tistory.com/entry/9thHackingFestival


ATM Hacking Demo a Hit at BlackHat

보안 소식/주간 이슈 2010. 7. 30. 09:46 Posted by TEAMCR@K
블랙헷에서 ATM Hacking 하는 시연 동영상입니다.

공격 코드(rootkit 포함) 를 이용해서 ATM 인증을 우회, 카드 정보를 획득하는 등의 시연이 있던거 같네요.

동영상에는 음악에 맞춰(??) ATM이 돈을 뿜어내는 것을 볼 수 있습니다-_-.

기사 내용(추가) : http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=62227

http://blogs.pcmag.com/securitywatch/2010/07/atm_hacking_demo_a_hit_at_blac.php

Sysinternals Tools 자동 업데이트 스크립트

그외 2010. 7. 30. 09:31 Posted by TEAMCR@K

Microsoft 의 Sysinternals 에서 제공되고 있는 Tool들은 취약점 점검할시에, 보안 점검할시에 매우 유용하게 사용되고 있습니다.
Tool 들이 워낙 많기 때문에 각각에 대한 버전 업데이트 정보를 얻는것도 쉽지 않죠.

아래는 Sysinternals 관련된 툴 (SysinternalSuite 라고 하지요) 들을 이전 다운로드 받은것과 비교해서 업데이트 된 부부분은 자동으로 교체해주는 배치 파일 스크립트 입니다.

URL  정보 : http://sysadmingeek.com/articles/batch-script-to-auto-update-sysinternals-tools/

 @ECHO OFF
TITLE Sysinternals Updater
ECHO Sysintenals Updater
ECHO Written by: Jason Faulkner
ECHO SysadminGeek.com
ECHO.
ECHO.

SETLOCAL ENABLEDELAYEDEXPANSION

SET SysInternalsTools="%Temp%\SysInternalsTools.tmp.txt"
SET CurrentTasks="%Temp%\CurrentTasks.tmp.txt"
SET StartWhenFinished="%Temp%\StartWhenFinished.tmp.txt"

ECHO Detected directory: %~dp0
%~d0
CD %~p0
ECHO.
ECHO.

ECHO Downloading current tool list...
SET LiveShare=\\live.sysinternals.com\tools
START /MIN %LiveShare%
DIR %LiveShare% /B > %SysInternalsTools%
TASKLIST > %CurrentTasks%
ECHO ;Terminated tools > %StartWhenFinished%

ECHO.
ECHO Updating installed SysInternals tools
FOR /F %%A IN ('DIR /B') DO (
 FOR /F "usebackq" %%B IN (%SysInternalsTools%) DO (
  IF /I [%%A]==[%%B] (
   ECHO Updating %%A
   FOR /F "usebackq" %%C IN (%CurrentTasks%) DO (
    IF /I [%%A]==[%%C] (
     ECHO %%C is currently running, killing process - queue restart
     ECHO %%C >> %StartWhenFinished%
     TASKKILL /IM %%A /T /F
    )
   )
   XCOPY %LiveShare%\%%B %%A /Y
   ECHO.
  )
 )
)

ECHO.
ECHO Resuming killed tasks
FOR /F "usebackq skip=1" %%A IN (%StartWhenFinished%) DO (
 ECHO Starting %%A
 START "Sysinternals Tool" "%%A"
)

IF EXIST %SysInternalsTools% DEL %SysInternalsTools%
IF EXIST %CurrentTasks% DEL %CurrentTasks%
IF EXIST %StartWhenFinished% DEL %StartWhenFinished%

ENDLOCAL

ECHO.
PAUSE





Windows ".LNK" zero-day 에 대해 아직 패치가 나오지 않은 상태에서, 해당 취약점을 차단시켜주는 도구 및 동영상이 소개되고 있습니다. 패치가 나오기전에 임시로 사용할 때 참고하시면 될거 같습니다.

http://www.sophos.com/products/free-tools/sophos-windows-shortcut-exploit-protection-tool.html



Windows ".LNK" zero-day 취약점 참고 URL
http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://hummingbird.tistory.com/2272  [울지않는 벌새님 블로그]
http://viruslab.tistory.com/1984  [viruslab님 블로그]

TeamCR@K 회식

CR@K 이야기 2010. 7. 20. 14:51 Posted by TEAMCR@K
팀원들이 모여 회식한것이 오랜만인듯 하다.

업무때문에 지치고 힘든(??) 생활에서 잠깐이라도 벗어나..

몸보신 할겸 누룽지 오리탕과 삼계탕, 시원한 술한잔과 함께~

숨어있는 사람들을 찾아라..(-_-)(-_-)


완샷~~~(/^^)/ 마셔마셔


TeamCR@K 팀장님과 막내 3인들....