TEAMCR@K

개인정보의 기술적·관리적 보호조치 기준(090807 개정) 해설서 배포 및 책자 신청 받고 있습니다.

1000명만 책자 신청이 가능하니 필요하신분은 언넝 신청 바랍니다.^^)

해당 URL : http://www.nida.or.kr/kisa/notice/view.jsp?gubun=2&gubun2=2&brdId=090721164627001001&aSeq=090917204946001001

예전에도 좋은 강의였던걸로 생각나네요..^^) 너무 늦게 올린감이 있지만 관심있는분들은 참여하시면 좋을듯 합니다.

해당 URL : http://www.kosr.org/Contents/Lecture/SeminarContent.aspx?ser_no=32&page=1&mode=1&cls_cj=1&cls_cd=5&searchType=&searchKey=

초보자를 위한 WinDbg 사용법

[강의 목적]
WindDbg는 훌륭한 디버깅 도구임에는 틀림없습니다. 그러나 많은 개발자 분들께서 사용법이 어렵다고 생각하셔서 활용을 못하고 있는 것 통한 사실입니다.
이번 세미나에서는 WinDbg를 처음 사용한다고 가정하고 최대한 쉽고 자세하게 세미나를 진행할 예정입니다.세미나 내용은 크게 두 부분으로 나누어 집니다. WinDbg를 이용한 User-mode 디버깅과 Kernel-mode 디버깅입니다. WinDbg를 처음 사용하는 분들에게 포커스를 두기 때문에 가능한 한 WinDbg를 이용해서 디버깅 하는 모습을 보여 드릴려고 노력할 예정입니다. 이에 관심 있는 회원분들의 많은 참여 바랍니다.

[세부사항]

[강사 이력]

강사 : 신경준(닉네임 : 바람돌이)

       - (주) 현재 안철수 연구소 근무.
       - (주) YNK Games 근무
       - V3IS2007, V3Net 7.0 개발
       - MMORPG 게임 서버 개발
       - 그외 보안 프로그램 다수 개발
       - Microsoft DDK MVP (2007,2008,2009)
       - BLOG : http://www.minifilterdriver.com
       - Profile : https://mvp.support.microsoft.com/profile=D8CC1766-7AEB-4628-BC38-6FEB584A4D06

강사 : 황두환

http://www.sans.org/top-cyber-security-risks/

"The Top Cyber Security Risks"

최근 공격 성향 분석 자료로 티핑 포인트, 퀄리스의 통계자료이며, 그래프(역삼각형)를 보면 최근 취약점 성향이 OS 보다는 어플리케이션쪽이 많은 것을 확인 할 수있습니다. 이유는 현재 추세가 인기있는 어플리케이션을 타겟으로 공격하는 성향이 많고, 웹 사이트 안에서 악의적인 서버, 브라우저와 클라이언트 간의 어플리케이션 호출 등이 가능하여 계속적으로 브라우저 등의 어플리케이션이 타겟이 될 것이라는 내용 등이 있습니다.
 

ISEC 2009 컨퍼런스를 다녀온 후기를 남겨봅니다.

Day 1에서 제가 들었던 강연내용으로는 아래와 같습니다.

1. [해킹시연] Various Hacking - 박찬암(와우해커)
2. DB 암호화 구축 운영사례 (이글로벌 시스템) - NS농수산홈쇼핑
3. 일본의 정보보호 정책과 사이버대응 체계 - 일본 JP-CERT
4. 웹 보안 동향 분석-웹 공격 발전과 지능형 웹 방화벽 - 펜타시큐리티 시스템
5. DDOS 실전 보안기술 - 라드웨어코리아
6. 기업 내부망 침해 위협 요소 및 대응방안 - 엔씨소프트

처음으로 시작한 "[해킹시연] Various Hacking - 박찬암(와우해커)" 강연은 두 부분으로 나눠서 설명을 하였습니다.
첫째, "SQL INJECTION을 이용한 바이너리 실행" 부분으로  SQL INJECTION에서 DB 프로시저를 이용하여 HEX 값으로 인코딩된 Exploit 파일 업로드한 후, 같은 방법으로 system 명령으로 업로드된 Exploit 파일 압축을 풀고, 실행하도록 하는 php 파일을 업로드 합니다.

이 후 php 파일을 실행하여 중요한 시스템 파일을 열람할 수 있다는 내용을 다루었으며, 이에 관련된 상세 내용은 다음과 같습니다.

   - SQL : HEX('Exploit File'); 바이너리 파일
   - SQL INJECTION : -1 union select 'HEX 인코딩된 바이너리(Exploit File)' into dumpfile '저장경로';
     // 저장경로는 웹계정가 권한을 가지고 있어야 업로드가 가능합니다.
   - SQL INJECTION : -1 union select 'HEX 인코딩된 PHP 파일' info dumpfile '저장경로';
   - 업로드된 PHP 파일 실행
     // 코드내용 : <?php system('gzip -d '업로드된 바이너리 파일'; chmod 777 '업로드된 바이너리 파일'; '업로드된 바이너리 파일' ?>
     // gzip -d 가 포함된 이유는 업로드된 바이너리 파일의 용량을 최소화 시키기 위해 압축해서 올렸기 때문에 압축을 풀기위한 목적
   - Exploit File로 인해 중요한 시스템 파일이 웹 경로로 이동되었고, 이동된 파일을 열람합니다.
     // ex) http://www.VICTIM.com/UPFILE/shadow.txt

둘째, "Linux kernel Sock_sendpage() Vulnerablity" 부분은 박찬암씨가 첫번째 부분에 대한 설명이 길어져 시간을  5분정도 남아서  간단하게 설명하는 방식으로 진행되었습니다.
중요한 내용으로는 하나의 Exploit 이 또 다른 Exploit 의 근본이 될 수 있다는 것으로 예로는 최근에 발표된 "Linux kernel Sock_sendpage() Vulnerablity"이 최근 다른 0-day 취약점의 근본이 되어 나왔다는 것으로 설명을 진행하려고 하였으나, 시간상 하지 못했던 강연이였습니다.

부가적으로 "Linux kernel Sock_sendpage() Vulnerablity" 짧은 설명으로는 Linux 개발자가 실수로 특정변수 선언을 빠트린 부분으로 인해 NULL 참조 취약점이 발견되어 원하는 주소로 참조할 수 있는 취약점으로 다양한 범위에서 발생되었다는 내용이였습니다.

참고주소 - http://hkpco.kr/

"DB 암호화 구축 운영사례 (이글로벌 시스템) - NS농수산홈쇼핑" 강연은 기업의 DB를 암호화와 접근제어를 통해 새롭게 구축하였으며 구축결과 주민등록번호, 카드번호가 암호화 되어 사용자 DB 계정은 내용이 암호화된 내용이 출력되며, 관리자 DB 계정은 복호화된 내용을 확인 할 수 있다는 DB 암호화와 비인가 DB 계정에 대한 접근제어를 설정하여 운영한 사례에 대한 설명하였습니다.

상세 강연 목차는 다음과 같습니다.

 - 추진절차
 - DB 암호화 범위
 - 추진 이슈 현황
 - 구축 결과
 - 구축 효과

DB 암호화를 위한 추진절차로는 "환경분석 및 제품설치 > 암호화(개발서버) > 테스트 및 튜닝(개발서버) > 운영서버 암호화"  순으로 진행되고, 이를 통해 기밀성과 안정성을 강화 할 수 있었다는 설명입니다. DB 암호화 범위는 DB 암호화와 접근제어를 연동하여 시너지 효과를 기대할 수 있었고, 추진 이슈 현황은 DB 링크 에러, m-view, open후 장애 등이 발생하였으나 환경에 맞게 해결하였다는 설명과 구축결과 10/s DB쿼리 속도가 4/s DB쿼리 속도로 향상되었다는 내용이였습니다. 구축효과로는 문제적 추적의 어려움을 해결,  즉시성 해결, 성능 이슈 해결(부하 유발 SQL 추출), 중요 개인정보 보안 이 해결되었다는 내용입니다.

"DB 암호화 구축 운영사례" 강연 제목으로 DB 암호화 기법과 이에 따른 운영사례 강연으로 인지하고 청강을 하였습니다.
강연 내용안에서 관리자 DB 계정은 복호화로 통해 내용을 확인 할 수 있다는 설명을 하였는데 그렇다면 사용자 DB 계정으로도 암호화된 기법을 알게되었을 경우 복호화가 가능하지 않을까? 라는 의문이 들었습니다.

"일본의 정보보호 정책과 사이버대응 체계 - 일본 JP-CERT" 강연은 현재 일본의 정보보호 정책에 대한 설명이 주로 이루었습니다.
일본 JP-CERT는 사고이후 수습하는 형식보다는 사고를 미연에 예방하는 방식으로 이루어져 있으며, 각 나라의 CERT와 연계하여 서로간의 정보공유를 통해 공격을 막고 있다라는 강연을 하였고, 또한 다른 나라의 CERT 내용을 수집하여 일본의 네트워크 트래픽과 비교하여 일본내의 공격인지 외국의 공격인지를 판단할 수 있다는 내용을 설명하였습니다.

개인적으로 일본은 현재 각각의 공격기법에 대해서 어떻게 대응하고 있다는 내용을 기대하고 청강하였으나, 일본 조직의 대한 대략적인 정책, 조직구성, 조직 생성 연도 등에 대한 내용이 주로 이루었던 강연이였습니다.

"웹 보안 동향 분석-웹 공격 발전과 지능형 웹 방화벽 - 펜타시큐리티 시스템" 강연은 현재 웹 공격이 점점 발전하고 있으며, 웹 방화벽을 통해 방어가 가능하다는 내용이 주 내용으로, 현재 웹 공격 기법 중 SQL INJECTION 이 1위를 차지하고 있으며, MASS SQL INJECTION, COOKIE MASS SQL INJECTION 와 같이 발전하였고, 앞으로도 지속적으로 발전할 것이라는 내용을 설명하였습니다. 그리고 웹 공격 성향이 개인정보 단가가 낮아짐으로 따라서 대량 정보 수집을 목적으로하는 공격으로 발전하고 있다는 강연이였습니다.

"DDOS 실전 보안기술 - 라드웨어코리아" 강연은 현재 7.7 ddos의 간략한 설명과 DDOS 트랜드, 앞으로 DDOS 기법 발전 가능성, 공격자 입장에서 DDOS 공격 방법에 대한 설명을 다루었습니다. DDOS 트랜드는 자기과시, 정치적 목적, 금전적 목적으로 발전되었으며 앞으로는 복합적이고 다양한 공격 유형으로 발전할 것으로 예상된다는 것, 또한 현재 BotNet 증가하는 추세인데 이는 취득이 용이하여 위험하고 점점 대형화, 지능화되어 위험성이 크다는 것이 특징입니다.
앞으로 DDOS 기법 발전 가능성으로는 취약점과 비취약점 패킷을 복합적으로 공격하여 탐지가 힘듬, VOIP/IPTV 기반 SIP DDOS 공격이 증가될 예상을 하고 있으며, SSL 기반 DDOS 공격을 통하여 현재 DOS 솔루션은 SSL 패킷을 탐지 못하는 솔루션(라드웨어 코리아는 대응하고 있다는 설명 부가적으로 설명)이 많은데, 이를 이용한 공격이 증가할 것이라는 내용과 IPv6 기반 DDOS 공격이 증가할 것이라는 내용을 다루었습니다.

또한 공격자 입장에서 DDOS 공격 방법에 대한 설명을 하였는데 다음과 같습니다.

- 공격대상 정의
- PORT/IP 수집 공격
- 웹 페이지 스캐닝(404 page를 통해 OS, 어플리케이션 정보 획득)
  // 공격 유형 정의
- 회선 능력 시험을 위한 공격 시도
- DDOS 공격시도 (NETWORK)
- 어플리케이션과 NETWORK 복합적 DDOS 공격 시도

DDOS에 대한 추세, 공격 방법 등 많은 정보를 획득할 수 있었던 강연이였습니다.

"기업 내부망 침해 위협 요소 및 대응방안 - 엔씨소프트" 강연은 외부 -> 내부, 내부 -> 내부 에 대한 시나리오 기반을 통한 설명을 하였습니다.

공격 시나리오는
첫째, 웹 브라우저 확장 모듈을 이용한 공격(COM, ActiveX)
둘째, MAIL 공격(HTML 코드 삽입, 위장된 코드 실행 유도)
셋째, 메신저, P2P 등을 이용한 공격

이었으며 대응방안으로는 안티바이러스/솔루션, 사내망필터링 적용, 접근통제(네트워크 망 구분), 정기적 보안점검 수행을 설명하였습니다. 또한 무선 해킹 설명하였는데, 흥미로운 내용으로 AP의 펌웨어 개조를 통해 Fake AP을 만들어서 사용자가 접속유도하여 계정/비밀번호를 획득 할 수 있는 내용이었는데 무선 PT 업무와 관련하여 시도하면 재미있는 결과를 가질 수 있다는 예상을 해보았습니다. 

ISEC 2009 세미나는 전체적으로 상업적인 내용도 많았지만 순수 정보공유 목적을 한 내용과 흥미로운 강연을 들을 수 있어서 재미있고, 개인적으로 새로운 정보를 습득할 수 있도록 도움이 된 컨퍼런스였습니다.

원본 : http://www.nida.or.kr/kisa/notice/view.jsp?gubun=2&gubun2=2&brdId=090721164627001001&aSeq=090907143145001001

참가신청

한국인터넷진흥원은 웹에이전시, 호스팅 서비스 업체 등의 웹서비스 개발자 및 정보보호 담당자를 대상으로 안전한 홈페이지 및 웹서비스 개발 교육을 실시합니다. 각 기업의 웹서비스 개발자와 정보보호 담당자 및 정보보호에 관심이 있으신 분들의 많은 참여를 부탁드립니다.

가. 교육 개요

•교육명 : 안전한 홈페이지 및 웹서비스 개발 교육
•대상 : 웹호스팅, 웹에이전시 등 소규모 IT서비스 기업 웹서비스 개발자와 정보보호 실무자 및 관심있는 일반인
•일시 : 2009년 9월 11일(금), 09:30 ~ 17:30
•장소 : 강남 한국과학기술회관 지하 1층 중회의실
가능한 대중교통을 이용해주시길 바라며, 부득이한 경우 건물 내 주차장을 이용 바랍니다.(주차장 이용료 : 2시간 무료, 이후 10분당 500원)
•인원 : 70명
•비용 : 무료(교재 제공)
나. 교육 신청

•기간 : 2009년 9월 2일(수) ~ 2009년 9월 10일(목)
교육 인원이 한정되어 조기에 마감될 수 있습니다.
•문의 : 한국인터넷진흥원 정보보호본부 기업보안관리팀

 1. 스카이프 트로이목마
    신종 악성코드가 발견되었는데, 스카이프가 사용하는 오디오 입출력 관련된 여러 API를 후킹하는 방식으로 통화 내용을 감청할 수 있습니다. 이번에 발견된 트로이 목마는 비주얼 C++로 제작되었으며 1개의 EXE 파일과 1개의 DLL 파일로 구성이 되어 있으며 EXE 파일은 DLL 파일을 스카이프 프로그램의 프로세스인 skype.exe의 스레드(Thread)로 인젝션(Injection)을 시켜주는 기능을 수행합니다.
   해당 악성코드에 대해서 생각해보니 유저레벨의 API후킹 이외에도 커널 레벨에서 이와 같은 일이 일어나게 된다면, 조금 더 stealth하게 공격이 이루어 질 수 도 있습니다.

    가. 관련링크
(1) http://www.symantec.com/connect/blogs/trojanpeskyspy-listening-your-conversations
            (2) http://twitter.com/symantec/status/3605538220
            (3) http://www.internetnews.com/security/article.php/3836751

2. 비밀번호 복잡도
    방송통신위원회와 한국인터넷진흥원은 자신의 비밀번호를 타인이 얼마나 쉽게 유추해 낼 수 있는지 사용자 스스로 진단해 볼 수 있는 비밀번호 자가진단 도구를 배포한다고 28일 밝혔습니다.
    최근 개인정보 유출사고가 많이 일어나는데 계정 비밀번호를 강력하게 하는 것으로도 어느 정도 피해를 줄일 수 있습니다. 개인정보 유출사고나 메신저 피싱등이 일어나는 가장 큰 이유중 하나가 개인이 설정한 비밀번호가  ID와 같거나, 단순하게 설정되어 있기 때문입니다.
따라서 개인사용자는 계정 비밀번호를 점검을 해서 강력한 비밀번호를 사용하여 개인정보가 유출되지 않도록 노력해야겠습니다.

    가. 관련링크
(1) http://www.boannews.com/media/view.asp?idx=17591&kind=1


3. 블랙햇 USA 2009
     7월 25일 ~ 7월 30일 6일 동안 블랙햇 USA 2009가 열렸고, 그 ISSUSE 중 몇 개를 선정해 보았습니다.

    가. More Tricks For Defeating SSL
         요즘 SSL을 이용한 암호화 통신을 많이 사용하고 있고, 이를 너무 맹신하는 점이 있습니다. 이 발표는 SSL로 암호화되어
         통신하는 것을 무력화 할 수 있는 새로운 트릭에 관한 내용입니다. 

         (1) 관련링크
               (가) http://www.blackhat.com/presentations/bh-usa-09/MARLINSPIKE/BHUSA09-Marlinspike-DefeatSSL-SLIDES.pdf

    나. Reverse Engineering By Crayon: Game Changing Hypervisor Based Malware Analysis and       
         Visualization
         가상화 기술은 새로운 기술은 아니지만 다른 기술과 같이 혼합할 경우 그 파급효과가 커서 요즘 각광받는 기술입니다.
         이에 맞춰 가상화에서 리버싱을 할 수 있는 VERA라는 툴을 개발하였다는 내용입니다.
         VERA는 견고한 코드도 쉽게 unpacking가능하고 가상화 환경에서 사용할 수 있게 개발되었기 때문에 가상화 환경에서
         리버싱을 도와 줄 수 있는 툴입니다.

         (1) 관련링크
               (가) http://www.blackhat.com/presentations/bh-usa-09/QUIST/BHUSA09-Quist-RevEngCrayon-SLIDES.pdf

    다. Fast & Furious Reverse Engineering with TitanEngine
         리버싱은 바이너리코드를 분석하는 작업이지만 최근 10년 동안 이를 방해하는 packed, encrypt등 protection기법들이
         발전을 하였기 때문에 분석속도가 느려지고 있습니다. 이로부터 리버싱의 속도를 빠르게 하기위해 TitanEngine을 개발 
         하였다는 내용입니다.

         (1) 관련링크
               (가) http://www.blackhat.com/presentations/bh-usa-09/VUKSAN/BHUSA09-Vuksan-FastFurious-PAPER.pdf