안녕들 하시죠 !

이번시간에는 페이스북 사진유출 사건에 대해 알아보겠습니다.

올해만 벌써 2번째로 이쯤되면 페이스북은 동네북같이 느껴지는데요.

지난 주말, 페이스북은 공개하지 않은 사진에 접근할 수 있는 버그가 있었다는 발표를 했습니다.

유출 피해의 가능성이 있었던 사용자 수는 약 680만명이나 된다고 합니다.

이 취약점을 통해 사진을 유출시킨 기간은 9월 13일 ~ 25일까지 총 12일이고 비공개로 설정되어있던 사진까지 유출되었다고합니다.

페이스북은 실제 영향을 받은 것으로 보이는 사용자들에게 개별적인 경고를 보내고 있다고 합니다.

어떤 사용자들이 이 문제 때문에 영향을 받았는지 확인할 수 있게 해주는 개발자용 툴을 발표할 계획이라고 합니다.

이러한 버그를 찾고 조치하기위해 많은 돈을 투자했다고 알려져있지만 현실은 녹록치 않은 것 같습니다.

아래의 URL로 들어가 로그인을하게되면 어떤 앱이 내 사진에 접근할 수 있었는지에 대해 알 수 있습니다.

https://m.facebook.com/help/200632800873098?ref=photonotice

다행이 저는 영향을 받지 않았다고 나왔네요.

보안뉴스에 올라온 기사를 확인해보고 싶으시다면 아래의 URL로 가보시면 될 것 같습니다.

https://www.boannews.com/media/view.asp?idx=75517&kind=1

오늘은 여기까지입니다 감사합니다 !

참고 보안뉴스 「페이스북 사진 유출 사건, 나도 당했을까?」

안녕들 하시죠 !

이번에는 홍석천도 당했다는 '카톡 지인사칭 피싱'에 대해 알아보겠습니다.

손재주가 없어 이미지가 조금 저급하네요 ㅋㅋ;

얼마전, 제 어머니 친구분 카톡으로 메시지 하나가 도착했습니다.

'언니 바빠요 ?'

'미안한데 급전이 필요한데 어떻게 안될까 ?' 라는 식이였답니다.

어머니 친구분은 평소 알고지내던 동생의 카톡과 똑같으니 무슨일일까 걱정되어 전화를 해보셨답니다.

전화를 통해 사실이 아닌 것을 알게된 덕분에 피해를 막을 수 있었는데요.

연예인 홍석천 또한 이러한 피싱에 당했다고합니다.

이러한 지인 사칭 피싱은 '이미 다른 서비스를 통해 유출된 정보' 를 이용해 지인으로 위장하는 경우가 많다고 합니다.

또 이러한 피해를 막기위해서는 비밀번호를 정기적으로 바꿔주는 것도 중요합니다.

https://www.boannews.com/media/view.asp?idx=67937&kind=1&search=title&find=%C4%AB%C5%E5

오늘은 여기까지입니다 감사합니다 !

안녕들 하시죠 !

이번시간에는 바이러스와 웜의 차이점에 대해 알아보겠습니다.

위에 있는 아이콘은 바이러스입니다.

바이러스, 웜, 악성코드, 악성 프로그램 등등 헷갈리는 단어가 많아 알아보게됬습니다.

요새는 바이러스라는 말을 듣기가 어려운거 같습니다.

어렸을때 학교 선생님께서 20xx년 x월 x일에 컴퓨터를 키면 바이러스에 걸리니까 다들 조심해라 라는 말을 하셨던게 기억이나네요.

우선 악성코드와 바이러스에 대해 알아보겠습니다.

이 둘의 공통점은 공격자가 의도하는 특정 목적을 달성하기 위해 악의적인 행위를 하는 프로그램 입니다.

그러니 악성코드보다는 악성 프로그램이 더 맞는말이겠죠?

악성 프로그램의 범주에는 여러가지가 존재하는데 바이러스 또한 여기에 속합니다.

행위나 동작 방식에 따라 분류해 보겠습니다.

바이러스  

ㆍ 바이러스는 다른 대상(정상파일)을 감염시키는 형태로 실행된다.

      ㆍ 감염시킬 대상이 존재하지 않을 때에는 실행되지 않으며 다른정상파일로의 자기 복제 기능이 있다.

ㆍ 네트워크를 통해 전파되지 않으며 방식 및 위치에 따라 여러형태로 나뉜다.

웜

ㆍ 감염시킬 대상이 존재하지 않아도, 스스로 실행될 수 있다.

ㆍ 자가 복제 및 네트워크를 통한 전파도 가능하다.

* 바이러스와 웜은 자가복제기능의 공통점이 있지만, 바이러스는 파일을 통해 감염되고 파일을 옮겨야만 전파가 되어 PC의 시스템 및 파일을 손상시키지만 웜은 네트워크를 통해 스스로 전파되고 독립 실행이 되며 네트워크 성능을 저하시킨다.

2000년대 초반 유행했던 '님다 웜'에 관한 기사 

'님다 웜' 바이러스 주의보 http://www.etnews.com/200211040160?m=1

트로이목마

ㆍ 정상파일을 가장하거나, 정상 파일안에 삽입되어 실행된다.

ㆍ 사용자의 설치를 유도한 후, 사용자 PC에 자료를 업로드, 다운로드가 가능하다.

ㆍ 최근 발생하는 대부분의 악성코드는 트로이목마다.

백도어

ㆍ 말그대로 '뒷문'

ㆍ 항상 악의적인 목적으로 사용되지는 않지만, 해커의 경우 이미 장악한 PC의 접근을 편하게하기 위해 루트를 뚫어놓는것.

애드웨어

ㆍ 악의적인 행위를 하지는 않지만 불편함을 초래하는 광고 프로그램.

악성 봇

ㆍ 스스로 실행되지 못하고, 해커의 명령에 의해 원격에서 제어 또는 실행이 가능한 프로그램 혹은 코드.

ㆍ 주로 취약점이나 백도어 등을 이용하여 전파.

ㆍ '좀비PC'는 악성 봇에 의해 감염된 PC

익스플로잇

ㆍ 소프트웨어나 하드웨어의 버그, 보안 취약점, 프로그래밍 과정에서의 취약점 등 결함을 이용해 공격자의 의도된 동작을 수행하도록 하는 명령 또는 공격행위를 가리킨다.

ㆍ 백신프로그램이 있다 하더라도 프로그램에 관한 업데이트가 되어 있지 않으면 막을 수 없다.

ㆍ 사용하는 프로그램에 대한 지속적인 업데이트 필요.

요즘은 이러한 특징들이 결합된 악성코드들이 만들어지고 있으니 최신 이슈를 지속적으로 파악하고 대처하는게 중요할 것 같습니다.

오늘은 여기까지입니다 감사합니다 !

참고 EST security 「바이러스와 악성코드의 차이점」

안녕들 하시죠 !

어제 오후 ( 24일 ) 이메일 한통을 받았습니다.

엥?

생전 처음들어보는 윈윈소프트라는 곳에서 제 개인정보가 유출되었다고합니다.

2018.11.10일 경 성명불상의 해커가 침투하여 DB정보를 탈취했다고하네요 ?

이름, 아이디, 비밀번호, 이메일, 연락처, 주소가 유출이 되었고 현재는 수사를 진행중이라고 하네요.

완벽한 보안은 없겠지만 평소 취약점 점검과 보안조치에 소홀했던걸까요?

윈윈소프트 홈페이지를 들어가봐야겠습니다.

http://winwinsoft.co.kr/shop/sub.php?incurl=shopkiller_intro.html

윈윈소프트는 온라인 쇼핑몰에 웹 호스팅 및 DB 호스팅 서비스를 제공해주는 솔루션을 판매하는 회사인 것 같습니다.

윈윈소프트의 제품을 사용하는 회사의 쇼핑몰에 가입한 제 개인정보가 유출된것 같습니다.

아래의 URL에서 찾아보니 관련 회사정보들이 있어서 한번 구경해봤는데 대부분 PC 부품 쇼핑몰 인것 같습니다.

http://www.winwinprice.co.kr/adm_event/winwinprice.html#

윈윈소프트 홈페이지 게시판에는 문의글이 넘쳐나고있네요...

찾아보니 보안뉴스 주간기사 1위를 장식하고 있습니다.

https://www.boannews.com/media/view.asp?idx=74914&kind=1

유출사고를 인지한지 얼마 되지 않아서 그런지 정확히 어떤 경로로 어떤 정보가 빠져나간지 사건경위에 대해 알수 없어 답답하네요.

이러한 사건이 다시 반복되지 않게 정확한 사건경위를 후 대처하고 평소 취약점 점검 및 보안조치는 필수적인 것 같습니다.

오늘은 여기까지입니다 감사합니다 !

안녕들 하시죠 !

이번시간에는 Linux 취약점 진단 '패스워드 복잡성 설정'에 대해 알아보겠습니다.

1. 계정관리 > 1.2 패스워드 복잡성 설정 U-02 ( 상 )

1.2.1 점검내용 

ㆍ 시스템 정책에 사용자 계정 ( root 및 일반 계정 모두 해당 ) 패스워드 복잡성 관련 설정이 되어 있는지 점검

1.2.2 점검목적

ㆍ 패스워드 복잡성 관련 정책이 설정되어 있는지 점검하여 비인가자의 공격 ( 무작위 대입 공격, 사전 대입 공격 등 ) 에 대비가 되어 있는지 확인하기 위함

1.2.3 보안위협

ㆍ 패스워드 복잡성 설정이 되어 있지 않은 사용자 계정 패스워드 존재 시 비인가자가 각종 공격 ( 무작위 대입 공격, 사전 대입 공격 등 )을 통해 취약한 패스워드가 설정된 사용자 계정의 패스워드를 획득하여 획득한 사용자 계정정보를 통해 해당 사용자 계정의 시스템에 접근할 수 있는 위험이 존재함

1.2.4 판단기준

ㆍ 양호 : 영문, 숫자, 특수문자를 조합하여 2종류 조합 시 10자리 이상, 3종류 이상 조합 시 8자리 이상의 패스워드가 설정된 경우 ( 공공기관 9자리 이상 )

ㆍ 취약 : 영문, 숫자, 특수문자를 조합하지 않거나 2종류 조합 시 10자리 미만, 3종류이상 조합 시 8자리 미만의 길이가 패스워드로 설정된 경우 ( 공공기관 9자리 미만 )

1.2.5 조치방법

ㆍ 계정과 유사하지 않은 8자 이상의 영문, 숫자, 특수문자의 조합으로 암호 설정 및 패스워드 복잡성 옵션 설정

Step 2) /etc/pam.d/system-auth

수정 전)

수정 후)

Step 3) /etc/login.defs

수정 전)

PASS_MAX_DAYS : 비밀번호 사용가능 최대 기간

PASS_MIN_DAYS : 비밀번호를 변경하고 다시 변경할 때까지 최소 기간

PASS_MIN_LEN : 비밀번호 최소 길이

PASS_WARN_AGE : 비밀번호 만료 경고를 알리는 기간

수정 후)

안녕들 하시죠 !

이번시간에는 Linux 취약점 진단에서 'root 계정 원격 접속 제한'에 대해 알아보겠습니다.

1. 계정관리 > 1.1 root 계정 원격 접속 제한 U-01 ( 상 )

1.1.1 점검내용

ㆍ 시스템 정책에 root 계정의 원격 터미널 접속 차단 설정이 적용 되어 있는지 점검.

1.1.2 점검목적

ㆍ root 계정 원격 접속 차단 설정 여부를 점검하여 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하는지 확인하기 위함.

1.1.3 보안위협

ㆍ 각종 공격 ( 무작위 대입 공격, 사전 대입 공격 등 )을 통해 root 원격 접속 차단이 적용되지 않은 시스템의 root 계정 정보를 비인가자가 

      획득할 경우 시스템 계정 정보 유출, 파일 및 디렉터리 변조 등의 행위 침해사고가 발생할 수 있음.

1.1.4 판단기준

ㆍ 양호 : 원격 터미널 서비스를 이용하지 않거나, 사용시 root 직접 접속을 차단한 경우.

ㆍ 취약 : 원격 터미널 서비스 사용 시 root 직접 접속을 허용한 경우.

가이드의 내용을 살펴보겠습니다.

Step 1)

cat /etc/securetty pts/0 ~ pts/x 설정 존재하지 않음

Step 2)

vi /etc/pam.d/login

auth required /lib/security/pam_securetty.so 추가

안녕들 하시죠 !

오늘은 Linux 취약점 진단을 공부해보겠습니다.

진단 기준은 한국인터넷진흥원 ( KISA ) 에서 배포한 '주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드'를 참조하겠습니다.

아래에 올려놓은 파일이나 URL에서 다운로드 받으시면 됩니다.

한국인터넷진흥원_주요정보통신기반시설_기술적_취약점_분석_평가_상세_가이드_.pdf

https://www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=106&ST=T&SV=

날이갈수록 증가하는 해킹, 악성코드 유포 등 사이버 위협에 대응하기 위해 KISA에서는 전체 313개 기술적 점검항목에 대한 가이드를 발간하였습니다.

Windows 10, Windows server, DBMS, 네트워크 장비, 보안장비, 웹 등 주요정보통신기반시설 담당자들의 이해를 돕기위해 나온 가이드 입니다.  

가이드의 목적 및 구성 입니다.

UNIX서버 진단 가이드라고 써있지만 SOLARIS, LINUX, AIX, HP-UX 에서 진단하는 법도 도움을 주고있습니다.

KISA에서는 주요정보통신기반시설 담당자들의 이해를 돕기위해 가이드를 발간했다고 하지만, 저같은 정보보호를 공부하는 학생에게도 정말 도움이 많이되는 자료인 것 같습니다. 다음 게시물부터 본격적으로 취약점 점검을 해보겠습니다.

오늘은 여기까지입니다 감사합니다 !

1.3. add() 함수 파라미터 입력 및 add() 함수 호출

add() 함수에는 a, b 2개의 파라미터가 존재합니다.

401034 ~ 40103B 주소의 명령어들은 변수 a, b 를 스택에 저장하고 있습니다.

[EBP-8]에는 2가 [EBP-4]에는 1이 저장되게 되는데 C언어의 입력 순서와는 반대로 2부터 저장이 되고있습니다.

1.3.1 복귀주소

CALL 명령어( 40103C )가 실행되어 해당 함수로 들어가기 전에 CPU는 무조건 해당 함수가 종료될 때 복귀할 주소를 스택에 저장합니다.

CALL 명령어 ( 40103C )를 실행한 직후 스택에는 복귀주소가 저장되어 있습니다.

1.4. add() 함수 시작 & 스택 프레임 생성

① StackFrame 게시물의 Main() 함수 부분과 동일합니다.

원래의 EBP 값을 스택에 저장 후 현재의 ESP를 EBP에 넣습니다.

1.5. add() 함수의 로컬 변수( x, y )세팅

① : 스택 메모리 영역 ( 8 byte ) 확보

② : [ EBP + 8 ] = a

③ : [ EBP - 8 ] = x

④ : [ EBP + C ] = b

⑤ : [ EBP - 4 ] = y

1.6. ADD 연산

① : EBP-8에 있는 변수 x의 값 1을 MOV명령어를 통해 EAX로 넣는다.

② : EBP-4에 있는 변수 y의 값 2를 ADD명령어를 통해 EAX의 값 1과 더한다 = 3

1.7. add() 함수의 스택 프레임 해제 & 함수 종료 ( 리턴 )

이제 add() 함수의 스택 프레임을 해제 시키고 함수를 리턴시킬 차례입니다.

앞선 MOV EBP, ESP에 대응하는 명령어입니다.

add() 함수가 시작할 때 ESP값을 EBP에 넣어 보존했다가 함수가 종료될 때 ESP값을 복원시키는 겁니다.

앞선 PUSH EBP에 대응하는 명령어입니다.

add() 함수가 시작되면서 스택에 백업한 EBP값을 복원하고 스텍프레임을 해제시킵니다.

이제, RETN명령어를 실행시키게되면 스택에 저장된 복귀 주소로 리턴하게됩니다.

add() 함수를 호출하기 전의 스택상태로 돌아왔습니다.

1.8. add() 함수 파라미터 제거 ( 스택 정리 )

add() 함수가 완전히 종료되었기 떄문에 파라미터 a,b가 필요 없습니다.

따라서 ESP에 8을 더하여 스택을 정리하는 부분입니다.

1.9. printf() 함수 호출

자, 이제 프로그래밍 공부를하며 늘 써왔고 궁금했던 printf() 에 대해 알아보겠습니다.

이전의 과정에서 EAX에 1과 2를 더한 3을 넣어놨었습니다.

PUSH 40B384에는 %d가 들어있고 CALL 401067 명령어는 printf() 함수입니다.

printf() 안에 2개의 파라미터가 있기 때문에 ADD ESP, 8 로 정리해줍니다.

1.10. 리턴 값 세팅

'XOR' Exclusive OR bit 연산은 같은값 끼리 XOR하면 0이 되는 연산입니다.

MOV EAX, 0 명령어보다 실행속도가 빨라 자주 사용된다고합니다.

XOR 아래의 코드들은 나머지 부분은 앞에서했던 MOV, POP RETN 으로 같은 동작을 하며 메인 함수가 종료됩니다.

이번 실습을 진행하면서 막히는 부분도 많았고 꽤 어려웠습니다.

하지만 스택 프레임을 어설프게나마 공부해보니 실력이 많이 향상된 것 같고 리버싱 공부 의지가 더욱 불타는 것 같습니다.

오늘은 여기까지입니다 감사합니다 !

참고서적 이승원 「리버싱 핵심원리」 인사이트(2018) p82~91