취약점은 일상생활에서 나온다는 말이 최근 와 닿습니다. 평소에 나오는 에러가 어떤 원인에 의한 것인지, 이 에러를 의도적으로 나오게 할 수 있을 것인가에 대해 생각하다보면 프로그램의 취약점을 찾을 수 있게 됩니다. 


외국의 5살 남자아이가 연령제한이 설정된 게임을 할 수 없도록 설정된 비밀번호를 버그를 이용해 무력화 시켰다는 내용입니다. 보안 전문가와 같이 연구해서 나온 것이 아니라 우연히 발견한 것이여서 더욱 놀랍습니다. 마침 보안과 관련된 직업을 가지고 있는 아버지가 있어 MS에 이러한 사실을 통보하였고 MS에서는 버그를 발견한 보상을 해주었습니다. 


버그를 발견한 사용자 명단에 당당히 이름이 올라갔는데, 명단에는 전문 연구원들이 대다수 차지하고 있는 것을 보면 전문가도 알 수 없었던 버그를 어떻게 찾아냈는지 놀랍습니다. 


http://mcaf.ee/rf46v


윈도우에서는 일반적으로 파일 이름을 왼쪽에서 오른쪽으로 읽어나가고 확장자는 맨 오른쪽에 적혀있습니다. 하지만 오른쪽에서 왼쪽으로 읽도록 강제하는 유니코드가 있습니다. ( http://www.fileformat.info/info/unicode/char/202E/index.htm ) 

이 유니코드를 이용하여 파일이름을 거꾸로 읽도록 하면 확장자를 파일명 맨 앞에 두어도 됩니다. 윈도우에서는 이 유니코드가 나오는 순간부터 문자를 거꾸로 읽어 '파일\u202e pwh.exe' 를 '파일 exe.hwp' 로 사용자에게 표시하게 됩니다.


이렇게 되면 윈도우 상에서는 확장자에 맞게 한글 문서로 표시하게 되고, 사용자는 의심없이 파일을 실행합니다. 하지만 윈도우는 표시된 파일명과 별개로 실제 확장자인 exe 파일로 읽어 응용프로그램 형태로 실행합니다. 


이 유니코드는 윈도우는 물론 유니코드를 지원하는 각종 프로그램에는 모두 사용이 가능하기 때문에 파일 전송이 가능한 각종 메신저에서도 실제 파일명 대신에 변조된 파일명을 표시하게 됩니다. 


이를 악용한 악성코드 공격이 실제로도 있고 지금도 발생하고 있습니다. 이 공격기법에 대한 영어 PDF 파일입니다. 한글 PDF 파일을 찾아보려고 했지만 블로그 상에 기술적 내용이 포스팅 된 곳은 많았지만 PDF 파일은 결국 못 찾았습니다. 


관련 포스팅 : 

[주의]한글 이력서 문서파일로 위장한 표적형 공격 발견

http://erteam.nprotect.com/451


Unicode 를 이용한 윈도우 확장자 변조 가능 취약점을 이용한 악성코드 주의

http://viruslab.tistory.com/1986


 Right To Left Override (RLO) Unicode Can Be Used In Multiple Spoofing Cases.pdf



페이스북에서 사용자가 메세지를 주고받는 기능을 이용하여 광고를 제공하고 있다며 소송을 한 사례입니다. 최근 광고는 사용자 맞춤형 광고서비스를 위해 사용자의 여러 정보를 수집해왔는데요. 페이스북은 개개인이 주고받는 메세지 내용을 수집하여 광고에 이용하고 있다는 의혹을 받고 있습니다. 


블로터 기사에 따르면 메세지 상에 특정 링크를 삽입시 해당 링크의 좋아요 숫자가 늘어나는 것을 보면 페이스북 측에서 메세지 내용을 감시하고 있는 것 아니냐는 주장입니다. 야후와 구글도 비슷한 일로 소송을 당한 적이 있었죠.


최근 NSA 불법 정보수집으로 개인정보에 대한 인식이 고조된 가운데 나온 사건이라 어떻게 해결될지 궁금합니다. 


[보안뉴스] 집단소송 당한 페이스북, 국내 사용자들도 ‘들썩’ - http://mcaf.ee/dybnk

[블로터닷넷] “페이스북이 메신저 대화 엿봤다” - http://mcaf.ee/o51zl

+ Recent posts