블로그 이미지
Hey dude. jellypig

카테고리

분류 전체보기 (418)
small talk (188)
영화, 음반, 도서 (25)
사진 잘 찍기 (10)
여행 (40)
생활메모 (33)
Gadget, Software (33)
New York (42)
Tokyo Life (34)
Booze collection (1)
제주 (2)
SecNews (8)
Total372,422
Today55
Yesterday93

http://projects.nytimes.com/crime/homicides/map?ref=nyregion

내가 살던 (지도에서 Mahattan에 좀 가까운 퀸즈 아스토리아 지역)곳은 그나마 점이 들하지만 그래도 집 가가운 몇 블럭에도 점은 있더라..

하지만.. 지금은 안전하다고 할 수 있다.. 새벽에도 지하철 타고 쭐래쭐래 댕겼으니.. ㅎㅎ
Posted by jellypig
결론부터 말하면, 옵션에서 "환경설정"에서 "항상https를 사용" 옵션을 켜서 사용하세요.

사용자 삽입 이미지

Brian Krebs 라는 사람이 쓴 New Tool to Automate Cookie Stealing from Gmail, Others 이라는 포스팅을 보니..gmail은 기본옵션으로 패스워드 인증과정에서만 https를 적용하고 inbox 등에서는 일반 http 상태로 머물러 있다고 합니다. 가만 보히 정말 그러네요.. 난 무심결에 계속 https상태인 줄 알았는데.. gmail은 기본 옵션상태에서는 인증과정에서만 https를 사용하고 그 이후에는 세션 쿠키를 이용해서 사용자가 gmail 작업을 합니다.


그런데 무선환경과 같이 패킷을 쉽게 가로채서 볼 수 있는 환경에서는 이 세션쿠키를 잡아와서 다른 컴퓨터에서 이를 세팅하여 해당 사용자의 inbox도 쉽게 볼 수 있다고 합니다. (개인적으로도 무선환경 해킹을 경험해 본 바에 의하면 -_-;;; 쥐약..) 뭐 일반 랜 환경은 예전보다 패킷을 보는게 많이 힘들어 졌지만 무선은 비교적 쉽게 가능합니다. 따라서 출장 같은데 가서 제공하는 무선 랜 환경에서 gmail을 정말 안전하게 사용하려면 항상 https를 사용하게 옵션을 변경하세요. 느리더라도 안전이 우선.

Posted by jellypig

False Positive

SecNews / 2008.07.13 06:37
이번 V3의 Window XP SP3 오진에 관한 여러 글들을 보고 false positive가 원래는 공격이 아닌데.. 공격으로 간주하는 경우라서 false negative보다 시스템 입장에서는 다행이라고 할 수 있다. 뭔말이냐고? 의사가 병났다고 진단했는데 실제 병이 아닌 경우를 말한다. 그런데.. 이번 사례는 걍 파일 하나만 원래상태로 복구하면 끝나는데, 미처 알림을 받지 못한 사람들이 시스템을 포맷하거나 다른 방향의 조치를 취함으로 어떻게 보면 false positive도 잘못된 사후 복구에 의한 피해아닌 피해가 발생할 수 있다는 걸 알았다. 여기에서는 피해보다도 어떤 쓸데없는 비용 발생을 시킨거겠지.. 공격이 아닌데 노가다를 하게 했으니까.. whatever.. 물론 병원도 마찬가인 사례가 있겠다. 병이 아닌데 병으로 진단해서 쓸데없는 과잉 진료를 유도하여 비용을 발생시켰으니까..

아마 현실에서는 알게 모르게 false positive나 false negative가 그냥 보이지 않게 지나가는 것들도 있겠지.. 병원에서 감기 안걸렸는데 대충 감기 걸렸다고 작은 약 받아 먹고.. 뭐 사소한 거니까.. 크게 티나지도 않고.. (positive) 실제 컴퓨터 공격이 있는데.. 그게 사용자가 전혀 인지 못하는 경미한 사안이고 백신은 탐지 못했지만.. 피해가 경미하고 더이상 파급되지 않는 경우라 그냥 넘어가는 일도 있을테고.. (negative) (물론 알게 모르게 상당히 장시간 동안 자기의 데탑이 자랑스런 botnet의 오랜 멤버인줄도 모르는 사람도 많을거다.)

그래도 이번 안랩은.. 발생 직후 최대한 자기 노력은 많이 했으므로 안랩을 너무 비난 하는 건 좋지않다고 본다. 보안 detector 만드는데. 완벽하게 false positive/negative가 없는 것을 실용적으로 구현하는게.. 아마 이론으로 따져들면 패턴 알고리즘들의 NP 어쩌구 문제로 갈거 같고.. (기본적인 바이너리 패턴은 aho corasick 으로 하나? calmav뜯어보니 그거 쓰던데.. 다른 자체 휴리스틱들을 많이 쓰겠지.. 상용은..) 물론 1차적으로 배포전 테스팅이 완벽하게 되지 못한 책임은 있으므로.. 이미 쓴소리는 좀 들었을테니. 좋은 교훈이 될터이다.

나도 올해 초에 프로젝트 했던게 일종의 보안 detector인데.. false positive/negative가 상당히 작다고 알려진 방법이지만 대신.. 엄청나게 무겁다. -_-;; 일반 데탑에서는 프로세스 하나 감지하는 것도 벅차다. ㅎㅎㅎ 그래서 현재 최적화에 대한 연구도 많이 되고 있고..

아 누가 사회 과학전공 하는 사람들 이런 사회적 현상은 연구 안하나? False positive에 의한 사회적 비용 (보안업체를 중심으로,, 아니면 의료사례를 중심으로..) 이거 주제인데.. 이미 누가 했나? -_-;; 했으면 말고..

결론은.. 나처럼 리눅스 써라.. 우움하하하.. 물론 한국가면.. 다시 윈도우로 고백 할지도 모르지만.. -_-;; 농담인거 알지? 맥북 하나 사고 싶어 ㅜ.ㅜ --> 진짜 결론 -_-;;

오랫만에 전공이야기인가 -_-;;
Posted by jellypig
몇 달전에 연구실 메일링리스트에서 cold boot 공격이라는 것이 소개가 되어서 상당히 흥미로웠습니다. cold boot 공격이란 말 그대로 컴퓨터가 부팅시에 차갑게 해서 공격을 한다는 건데.. 이렇습니다. 보통 우리가 운영체제에서 어떤 암호기술을 사용하면 키 패스워드나 암호화 되기전 등의 데이터가 일단 메모리에 저장이 되는건 당연하겠지요. 그런데 컴퓨터를 종료시키면 우리가 실제로 메모리는 휘발성이다 라고 알고 있는데 사실 맞기는 맞는데 컴퓨터를 끈 후에도 몇 초 정도 동안에는 메모리에 남게 됩니다. 그런데 이 메모리를 아주 차갑게 해서 -58F 정도로 유지 시키면 프린스턴대학의 실험에서 10분 정도 데이터를 살려내어 덤프를 떠서 정보를 빼낼 수가 있었습니다. 아래 실험 동영상이 정말 재미있습니다. (마이크로소프트에서는 그런 공격이 unlikely 할거 같다고 했는데 프린스턴 대학 연구진이 실제 실험으로 증명해버렸네요)



cold boot 공격: http://citp.princeton.edu/memory/

그런데 오늘 신문기사에 이 cold boot에 대한 방어 솔루션을 상용으로 랜덤 데이터를 메모리에 덤프시키는 방법으로 데이터를 날려 버리는 방법이 나왔습니다. 이름이 Icy Encryption tool 로 분류되는 IceLock -_-;; 차갑게 해서 정보를 빼내니.. 그에 상응하는 이름을 붙였군요.. 노트북뿐만이 아니라 PDA같은 메모리를 사용하는 모든 기기에 적용이 되는 공격이니 그런 디바이스에도 출시가능 예정이고.. 이 소프트웨어는 컴퓨터의 어떤 이벤트 즉, 스왑, 하이버네이션, 로그오프, 스크린세이버 작동 등의 시점에서 해당 데이터를 삭제한다고 합니다.

http://www.networkworld.com/news/2008/051308-hyblue-cold-boot-encryption.html


이 또 개인의 정보보호를 위한 것이지만, 구린게 있는 사람들이 완벽한 증거인멸을 위해 사용하기도 참 좋겠다는 -_-;; 이젠 단순 파일 삭제는 대충 복구가 가능하다는 것 쯤은 근래 사건들을 통해서 국민들에게 알려졌으니 ㅋㅋ

Posted by jellypig
infosecurity 유럽 컨퍼런스의 일환으로 영국 런던 리버풀 거리에서 연구자들이 초콜렛을 주면서 이름, 생일, 컴퓨터 패스워드의 개인정보를 포함한 설문조사를 한 결과 남성의 10%, 여성의 45%가량이 설문지에 컴퓨터 패스워드를 기입했다고 합니다. -_-;;; 뭐 저 제목은 기사 관심을 끌고 싶어서 저렇게 붙인거겠지요. 주된 내용은 저게 아닌데.. 전체 설문자중 생일에 대해 정보를 제공한 사람이 60퍼센트 가량이 넘는데요.. 보통 생일 정보가 패스워드랑 연관되는 확률이 상당히 높기 때문에 저것도 조금 위험하지요.. 뜨끔 -_-;; (2년전까지 나도..) 일단 저렇게 이름, 생일 정보등을 알면 그다음 단계로 공격자가 좀더 개인 정보를 파고 (구글서치 -_-;만 해도 어느 기관에 속해 있는지 알기 쉽기 때문에)들어 어디 보험기관 같은 거를 사칭해서 접근할 수도 있기 때문에.. 위험할 수 도 있고 귀찮을 수도 있고..

하지만 작년과 비교해서 개인정보를 저렇게 설문을 통해 은근히 물어보았을 때 제공하는 확률이 10퍼센트 가량 줄었다고 합니다. 아마 점점 일반 사람들도 정보보안에 대한 심각한 뉴스들이 많아지니까.. 설문이나 아니면 서명요구에 이름, 주소같은거를 적는 확률이 점점 많아지고 있는건 당연한거 같습니다.

덕분에 점점 설문이 필요한 연구를 하는 인문 사회학 쪽 연구하시는 분들이 설문을 하기가 점점 까다로워질 수 있다는 거죠. 연구하기 힘들게 시리.. ㅋㅋ 아마 나중에 설문을 위한 Anomity 네트웍을 이용한 암호 프로토콜이 연구될 수 있지 않을까 합니다 (벌써 있나?) 설문 퀄리티를 높이기 위해서 특정 집단에 대해 설문을 해야 할 경우 해당 프로퍼티(소속정보)를 반영하지만 그것이 설문자가 수학적으로 확신은 할 수 있지만 구체적으로는 알수는 없게 설계가 되야 되겠지요.

원문 : http://www.darkreading.com/document.asp?doc_id=151248
Posted by jellypig
얼마전 학과 웹서버가 어느 사용자의 웹 앨범 cgi를 통해 로컬 계정을 얻고 vmsplice 공격을 통해 로컬 루트를 허용한 공격이 있었다. -_-;; 내 위키.. 패스워드가 걱정되었지만 허겁지겁 보니 암호화 되어 있어 다행이다. 위키 내용은 허접이라 유출되면 아무 건질 내용이 없다는게 더 쪽팔리지 ㅋㅋ

난 당연히 예전 학교 처럼 전체가 파이월 안에 있을 줄 알았는데.. 거의 네트웍 상태가 오픈인 상태이다. 이제야 파이월에 대한 논의가 있는데 의외로 반대하는 사람도 있음.. 하여간.. 나도 실험때문에 구형 리눅스 버전을 깔고 데탑으로 쓰는데... 물론 대담하게 stack randomization과 exec shield까지 꺼놓고.. 가끔 일부러 버그가 있는 아파치도 띄어 놓고 테스트를 하기도 한다. 완전 가관이었군.. 학과 네트웍이 보호 되는 줄 알았는데.. 각 개인이나 연구실들이 알아서 보호를 하는 거 같다.

하여간 좀 불안해져서 시스템 로그랑 여기저기 살펴보니 별건 없고.. 거의 매일 외부로부터 sshd 무차별 brute force 개정 대입 공격이 이루어지고 있었다. ssh brute force는 public 네트웍이면 거의 통상 시도된다고 보면 된다. 다행히 ssh 관련 패키지는 항상 최신이라 다행이다. 무차별 대입이 되는 계정을 보아하니.. oracle, postmaster, webmaster 같은 일반 서버에 있음직한 계정부터.. rainbow, tomas, boss, shsha 같은 영문으로 있음 직한 계정까지 정말 다양하게 대입공격이 되고 있었다.. 바로 보자마자 ssh 연결 다 떨궈내고.. (자식들..) 커널 파이워월 룰에 다른 연결은 외부 다 막고 ssh연결은 가끔 학과 내부에서 쓰니까 IP 범위를 지정해서 학과에서만 들어오게 해 놨다.

광주에 있을 땐 좀 네트웍 정책이 strict해서 불만도 많았지만 (주로 다운족들 ㅋㅋ) 보안 걱정은 없었는데.. 여긴 자유를 추구하는게 강한지.. 아니면 실험용으로 많이 쓰기때문에 그런지는 몰라도.. 내 데탑 컴이 이렇게 public 하게 노출되어 있을 줄은 몰랐다 -_-;;; 이제 부터 아주 쬐끔 신경을 써야겠다.

What a fuss!!
Posted by jellypig
6기가나 제공되는 GMail 지만 예전 몇 년간 백업한 메일도 CD에는 안들어가고 DVD라야 겨우 들어가던 터라, 현재 쓰고 있는 GMail 백업에 대해 관심이 많았습니다. 언제가 1-2년내로 백업은 해야겠지 하고요..

그런데.. 블로그 질 하다가 G-Archiver란 GMail 백업 프로그램 (하드로 백업 받아 줍니다.)이 스파이웨어의 일종이라고 하네요.. 그런 프로그램이 버젓이 공개 프로그램 인척 하며 다운로드 사이트 같은데서도 올라와 있었습니다. 어떤 사람이 프로그램 text를 분석해보니 웬 개발자의 Gmail id와 password가 하드코딩 되어 있었다고 합니다. 즉, G-Archiver에 백업할 계정을 추가하면 해당 계정으로 그 정보를 보낸다고 합니다.

생각컨데 네트웍 분석으로는 일단 트래픽이 GMail쪽으로 가니 아마 발견하기도 쉽지 않았을거라고 생각되네요. G-Archiver 측은 개발자 중 한명이 그런 코드를 디버그용으로 집어넣었다고 해명을 해 놓았습니다. 고의는 아니라고 ㅋㅋ (릴리즈에서 그 코드 삭제를 까먹었다고) 그런데 이미 신용을 잃은 터라 아마 커뮤니티의 대부분은 떠나가지 않을까요?

What happened with G-Archiver?

It has come to our attention that a flaw in the coding of G-Archiver may have revealed customer's Gmail account usernames and passwords.

It is urgent that you remove the current version of G-Archiver from your computer, and change your Gmail account password right away.

What happened was that a member of our development team had inserted coding used for testing G-Archiver in the debug version and forgot to delete it in the final release version.

We sincerely apologize and assure you that this coding mishap was in no way intentional.

We'll be releasing a new version that corrects the flaw in version 1.0. The new version will be available very soon.


공개용 프로그램을 사용할 때, (공개 아닌 프로그램은 일단 더 위험할 수도 ㅋㅋ) 개인정보에 민감한 프로그램들은 일단.. 평판을 살펴보던가 아니면 몇년에 걸친 안정된 프로그램을 사용하는게 좋겠지요.

저도 개인적으로 공개소스를 좋아하고 가끔씩은 개인적인 테스팅 방법을 사용해서 이것저것 뜯어보기도 하지만.. 정말 주의해야겠네요 :)

관련포스팅: http://blogs.zdnet.com/security/?p=936
G-Archiver 개발진의 해명 : http://www.garchiver.com/what-happened.htm

ps> 그런데 다른 포스팅을 보니 Mac OS X 의 Calculator (윈도우즈 계산기 같은 거) 프로그램도 Apple 쪽으로 어떤 데이터를 보낸다고 합니다. 도대체 왜 그런것일까요?? Mac OS X 쓰는 분들은 파이워월 같은걸로 함 살펴 보시길.. 뭐 통계조사하시나?? 아니면 사칙연산을 네트웍 통신으로 하나 -.,-;;
Posted by jellypig
미국에서 미국 밖으로 부터의 사이버 공격으로 여러 지역의 전력 공급이 중단된 사실을 CIA가 확인했다고 하는군요.

원문 :
SANS Institute 의 SANS NewsBites (sans.org)

Posted by jellypig
폴란드의 Lodz 라는 도시에서 14살 짜리 소년이 TV 리모트 컨트롤을 개조해서 트램(TRAM, 유럽에 가 보면 자주 보이는 교통 수단으로 일반 도로 근처로 다니는 작은 전차) 시스템을 조작해서 실제로 열차 4량이 탈선하고 12명이 부상을 당하는 사고가 일어났습니다. 이 소년은 트램 정차소에 몰래 들어가 리모트 컨트롤 조작을 위한 정보를 얻었다고 하네요. 이 소년은 장난감 유닛이 아닌 실제 열차를 조작하는 열차 세트를 가진거나 마찬가지지요. 결국 교통 시스템을 만드는 사람들이 보안에 대한 고려가 부족하기 때문에 발생한 사건입니다. 무선으로 전달되는 명령 인코딩을 보호하지 못하여 실제 보안문제가 물리적인 피해를 일으킨 사건이라고 할 수 있겠습니다.

기사원문: Schoolboy hacks into city's tram system

문제는 이런것이 세계 여러나라에서 임의로 조작될 수 있는 교통시스템이 많다는 겁니다. 이미 알려진 유명한 예가 MIRT(Mobile Infrared Transmitter)를 이용해서 신호등을 조작하는 것인데요.. 보통 엠뷸런스 같은 긴급 자동차가 신호등에 시그널 명령을 보내어 유사시 사용할 수 있도록 되어 있는 곳이 많습니다 (우리나라는 잘 모르겠네요). 실제 신호등을 조작하여 빨간색 등을 녹색등으로 장치설명을 한 사이트도 있구요.

물리적 피해를 야기할 수 있는 교통, 항공 시스템은 물론니거니와 발전 시스템 같이 사건이 터지면 피해가 클 수 밖에 없는 곳에 대한 보안 대책이 우리나라에는 있으리라 봅니다. (없나? -_-;;)

추가 ====================
방금 백곰군의 사이트에 가니깐 CES 2008에서 여러 종류의 TV를 꺼버릴 수 있는 TV-B-gone 이란 키트로 TV를 꺼버리는 장난을 친 사례에 대한 기사 링크가 있더군요. 이것도 위의 사례와 마찬가지로 IR(Infrared) 장치로 장난을 친거군요 ㅋㅋ 머 개인적인 집에서 보는 TV라면 상관없겠지만, 저런 중요한 전시장에서는 앞으로 무선 혹은 IR 장치에 반응하는 정보가전 제품들에 대한 보호에 긴장을 좀 해야할 듯

GIZMODO 사이트: CES 에서 TV 모니터를 꺼버린 장난에 대한 고백
Posted by jellypig

최근에 달린 댓글

글 보관함