비교적 강력한 암호화 기술로 알려진 SHA-1이 더 이상 안전하지 않은 것 같습니다. 일반적으로 강력한 암호화 기술들은 해시값을 가지고 있어도 실제 평문을 알아내기 위해서는 브루트 포싱 방식을 사용해야 하며, 찾았다고 해도 충돌에 의해 실제 평문이 아니라 다른 평문값이 나올 수 있는 특징이 있습니다.


특히나, 평문을 찾아내기 위해서는 소요되는 시간이 너무나 오래 걸려 사실상 복호화가 불가능하다고 알고 있었습니다. 


하지만, 연구자들은 해시값 자체를 키 값으로 사용하는 기존 서명시스템에서는 기존의 평문이 어떻든, 동일한 해시값을 갖는 또 다른 평문을 찾아내기만 하면 도용이 충분히 가능하다는 것을 이용하였습니다. 


여기다가 아마존의 클라우드 컴퓨팅과 비트코인 채굴에나 쓰일법한 고속 연산이 가능한 그래픽카드까지 활용해 평문을 찾아내기 위한 시간을 획기적으로 단축하였습니다. 기술이 발전하면서 기존의 예상했던 교체 예상시기를 훨씬 앞당겼다고 하네요. 


범죄자 입장에서는 서명 도용을 통해 상당한 돈을 벌 수 있다는 점으로 볼 때 추후 악용될 가능성이 매우 높습니다. 


다행히 SHA-2, 3에는 해당되지 않는다고 하니 기존의 교체 권고기간을 앞당겨 서서히 교체해 나가야 겠습니다. 


[보안뉴스] 각종 인증서 기본이 되는 SHA-1에 충돌 공격 비상 - http://mcaf.ee/urc2h7


XE 1.7.3.2의 LFI(Local File Inclusion)에 사용된 기술 입니다. (참고 : http://webhackerkhuti.blogspot.kr/2013/10/xe-1732-lfi.html)

PNG의 IDAT 부분에 웹셀코드를 삽입한 뒤, 나중에 PHP 형식으로 로드하면 웹쉘로 사용할 수 있습니다. 


정상적인 사진파일처럼 인식하기 때문에 이미지 라이브러리에서도 에러없이 사용 가능합니다.

웹쉘 코드를 이미지 코드속에 숨기고 싶을 때 참고하시기 바랍니다. 



원본 : https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/


Encoding Web Shells in PNG IDAT chunks.pdf


레노버에서 노트북에 설치한 기본 탑재 SW 중에 슈퍼피시(Superfish)가 보안상 심각한 위험을 초래할 수 있는 애드웨어로 판단되어 논란이 일었습니다. 레노버 사용자 포럼에서 레노버 노트북 사용 중에 자꾸 광고가 나타나고, 슈퍼피시 라고 하는 루트 인증서가 컴퓨터내 설치되어 있다는 게시물이 등록되면서 부터 슈퍼피시의 존재가 알려졌습니다. 


보안전문가가 슈퍼피시에 대한 조사를 해 본 결과 사용자의 데이터를 훔쳐보면서 광고를 띄우고 SSL 연결을 변조하는 형태의 위험한 애드웨어 종류인 것으로 밝혀졌습니다. 특히나 가짜 인증서를 생성하여 올바른 SSL 연결이 이루어지지 않아 MITM(중간자 공격)에 취약할 수 있다고 합니다. 이 경우 사용자가 주고받는 데이터를 외부에서 감시할 수 있고 공인인증서와 암호를 알아내 금전적 피해까지 발생할 수 있습니다. 


레노버는 이 사실을 인정하고 15년 1월 분 부터 슈퍼피시의 선탑재를 중단하였으며, 이전 기종에 대한 슈퍼피시 제거 프로그램을 배포하고 있습니다. 


SW 선 탑재는 PC 제조사의 수익을 위해 SW 회사와 계약을 맺는 방식으로써 주변에서 흔히 사용하는 방법입니다만, 해당 SW가 보안 취약점이 존재하거나 사용자가 인지하지 못한 상황에서 악성코드와 별 차이없는 행동을 수행한다면 단순 유틸리티 프로그램을 넘어서 해커에게는 악성 유포경로도 사용할 수 있다는 것을 단적으로 보여주는 예입니다. 


특히 상당 수 레노버 노트북 기종이 영향을 받는 것으로 나타나 후폭풍도 상당할 것이라 예상됩니다. 


슈퍼피시 설치 여부를 확인하는 웹사이트 


[블로터닷넷] 레노버, 노트북에 악성 SW 깔아 팔다 덜미 - http://mcaf.ee/d7hqt

[전자신문] 분노한 레노버 PC 고객들...'슈퍼피시' 후폭풍 - http://mcaf.ee/4xrzf


해킹대회의 문제 중 실제 운영중인 병원의 CCTV를 해킹하는 문제가 출제되어 논란이 되고 있습니다. 이 문제의 의도는 SCADA 해킹과 쇼단(Shodan)의 위험성을 알리고자 함이였으며, 예산이 적은 대학교에서 주최한 해킹대회다 보니 모의 CCTV 시스템을 구축하기 어려워 실제 CCTV 시스템를 공격하였다고 합니다. 


하지만 현재 참가자들이 이번 문제로 인해 법적 문제가 발생할 수 있다는 점, 실제 병원의 허락이 없었다면 이번 대회로 인해 피해를 입을 환자들과 병원에 대한 대책이 없다면 사회적으로 용납되기 힘들 것입니다. 


[보안뉴스] 해킹방어대회서 실제 CCTV 해킹문제 출제 ‘충격’ - http://mcaf.ee/acoi8

  1. 2015.07.16 12:42

    비밀댓글입니다

줌인터넷에서 개발한 스윙브라우저를 통해 해킹, 피싱피해가 발생한 경우 최대 100만원까지 피해를 보상해준다고 합니다. 지금까지의 브라우저 제작사로써는 파격적인 정책입니다. 

(단, 100만원 이하인 경우에는 피해부담금 10만원이 제한다고 하네요. 사용자의 과실도 어느정도 있기 때문인 것으로 보입니다. )


스윙브라우저를 실행 할 경우 줌인터넷 서버에 실행시간이 기록되기 때문에 이 실행기록을 이용하여 브라우저를 통한 해킹이 맞는지 확인하게 되며, PC의 브라우저 취약점으로 인한 피해 뿐만 아니라 스미싱으로 인한 피해까지도 보상이 되기 때문에 모바일에서도 보상이 적용됩니다.


기간은 최초 설치 후 1년 간 보장되며, 피해 횟수에 상관없이 피해 건수 별로 최대 100만원씩 보상합니다. 


기사 내용에는 없으나, 법적으로 강제성이 없는 업체 정책이기 때문에 보상액수가 커질 경우 회사 재정상 정책이 갑작스럽게 종료될 수 있으니 참고하시기 바랍니다.



[보안뉴스] 브라우저에 발생한 해킹·피싱 피해를 보상한다? - http://mcaf.ee/gsd1f

[ZDNet] 스윙브라우저 해킹당하면 100만원 보상 - http://mcaf.ee/ltb3r

  1. park 2014.11.29 00:29

    안녕하세여 페이스북을해킹하는게 가능한가여?

취약점은 일상생활에서 나온다는 말이 최근 와 닿습니다. 평소에 나오는 에러가 어떤 원인에 의한 것인지, 이 에러를 의도적으로 나오게 할 수 있을 것인가에 대해 생각하다보면 프로그램의 취약점을 찾을 수 있게 됩니다. 


외국의 5살 남자아이가 연령제한이 설정된 게임을 할 수 없도록 설정된 비밀번호를 버그를 이용해 무력화 시켰다는 내용입니다. 보안 전문가와 같이 연구해서 나온 것이 아니라 우연히 발견한 것이여서 더욱 놀랍습니다. 마침 보안과 관련된 직업을 가지고 있는 아버지가 있어 MS에 이러한 사실을 통보하였고 MS에서는 버그를 발견한 보상을 해주었습니다. 


버그를 발견한 사용자 명단에 당당히 이름이 올라갔는데, 명단에는 전문 연구원들이 대다수 차지하고 있는 것을 보면 전문가도 알 수 없었던 버그를 어떻게 찾아냈는지 놀랍습니다. 


http://mcaf.ee/rf46v


  1. thrun 2014.04.14 23:04

    네이버 쪽지확인부탁합니다 ^ㅁ^

  2. 2014.09.16 12:05

    비밀댓글입니다

윈도우에서는 일반적으로 파일 이름을 왼쪽에서 오른쪽으로 읽어나가고 확장자는 맨 오른쪽에 적혀있습니다. 하지만 오른쪽에서 왼쪽으로 읽도록 강제하는 유니코드가 있습니다. ( http://www.fileformat.info/info/unicode/char/202E/index.htm ) 

이 유니코드를 이용하여 파일이름을 거꾸로 읽도록 하면 확장자를 파일명 맨 앞에 두어도 됩니다. 윈도우에서는 이 유니코드가 나오는 순간부터 문자를 거꾸로 읽어 '파일\u202e pwh.exe' 를 '파일 exe.hwp' 로 사용자에게 표시하게 됩니다.


이렇게 되면 윈도우 상에서는 확장자에 맞게 한글 문서로 표시하게 되고, 사용자는 의심없이 파일을 실행합니다. 하지만 윈도우는 표시된 파일명과 별개로 실제 확장자인 exe 파일로 읽어 응용프로그램 형태로 실행합니다. 


이 유니코드는 윈도우는 물론 유니코드를 지원하는 각종 프로그램에는 모두 사용이 가능하기 때문에 파일 전송이 가능한 각종 메신저에서도 실제 파일명 대신에 변조된 파일명을 표시하게 됩니다. 


이를 악용한 악성코드 공격이 실제로도 있고 지금도 발생하고 있습니다. 이 공격기법에 대한 영어 PDF 파일입니다. 한글 PDF 파일을 찾아보려고 했지만 블로그 상에 기술적 내용이 포스팅 된 곳은 많았지만 PDF 파일은 결국 못 찾았습니다. 


관련 포스팅 : 

[주의]한글 이력서 문서파일로 위장한 표적형 공격 발견

http://erteam.nprotect.com/451


Unicode 를 이용한 윈도우 확장자 변조 가능 취약점을 이용한 악성코드 주의

http://viruslab.tistory.com/1986


 Right To Left Override (RLO) Unicode Can Be Used In Multiple Spoofing Cases.pdf



페이스북에서 사용자가 메세지를 주고받는 기능을 이용하여 광고를 제공하고 있다며 소송을 한 사례입니다. 최근 광고는 사용자 맞춤형 광고서비스를 위해 사용자의 여러 정보를 수집해왔는데요. 페이스북은 개개인이 주고받는 메세지 내용을 수집하여 광고에 이용하고 있다는 의혹을 받고 있습니다. 


블로터 기사에 따르면 메세지 상에 특정 링크를 삽입시 해당 링크의 좋아요 숫자가 늘어나는 것을 보면 페이스북 측에서 메세지 내용을 감시하고 있는 것 아니냐는 주장입니다. 야후와 구글도 비슷한 일로 소송을 당한 적이 있었죠.


최근 NSA 불법 정보수집으로 개인정보에 대한 인식이 고조된 가운데 나온 사건이라 어떻게 해결될지 궁금합니다. 


[보안뉴스] 집단소송 당한 페이스북, 국내 사용자들도 ‘들썩’ - http://mcaf.ee/dybnk

[블로터닷넷] “페이스북이 메신저 대화 엿봤다” - http://mcaf.ee/o51zl

미국 한 대학에서 대학 생활을 하였던 한인 학생이 부모님의 직업인 '의사' 를 하기 위해 4년간 7차례의 의대 입학 시험을 쳤으나, 번번히 떨어지자 자신의 대학생활 점수 및 의대 입학 시험 성적을 전문 해커를 고용해서 해킹을 시도했다가 적발되었다는 기사입니다. 징역형, 보호관찰과 함께 손해배상을 하라는 선고가 내려졌습니다.


의사를 하지 못하는 것에 대한 중압감에 시달린 것으로 추정된다고 하는데, 불법적인 방법을 동원해서 까지 입학을 시도한 것이 안타깝습니다. 위조 문서까지 사들였다고 하는데 자신을 어필할 만한 다른 스펙을 만들어보는 것은 어땠을까 싶습니다. 


대학에서는 수상한 아이피를 탐지하여 바로 조치취하여 다행히 다른 시험자들에게는 피해가 없었던 것 같습니다. 대학에서 적절하게 대응한 부분에 대해서는 칭찬해야 될 부분이 아닌가 싶고, 또 해킹이 한 사람의 인생을 바꿀 수 있다는 것에 대해서 보안의 중요성을 다시금 깨닫게 됩니다.


http://mcaf.ee/giy3a

  1. 2014.02.06 09:44

    비밀댓글입니다

안드로이드에서는 플래시 SMS(또는 Class 0 SMS) 기능을 제공하여, 마치 앱에서 경고창이 나타날 경우와 비슷한 UI 를 SMS로 사용할 수 있도록 API를 제공하고 있습니다. 플래시 SMS는 경고창과 같이 작동하기 때문에 사용자가 어떠한 작업을 하는 것과는 별개로 항상 화면 최 상단에 노출되어 저장 혹은 삭제 등의 명령을 입력해주지 않으면 다른 작업을 할 수 없습니다. 


넥서스폰의 경우 이러한 플래시 SMS가 수신될 경우 모든 작업이 백그라운드로 흐릿하게 표시되고 SMS창이 작업화면을 덮어씌워 최 상단에 나타나 명령을 기다리게 됩니다. 제 때 명령을 입력하지 않아 미처 창이 닫히기 전에 다시 새 플래시 SMS가 수신 될 경우에는 기존 SMS창 위에 또 다시 새롭게 수신된 SMS 창이 나타나게 되는데


이런 방식으로 약 30개 이상의 SMS 창이 중첩되어 나타날 경우에는 스마트폰 상의 오류로 재부팅이 되는 것입니다. 가장 큰 문제는 스마트폰이 재부팅 될 때 까지 플래시 SMS가 수신되더라도 어떠한 수신음이 들리지 않기 때문에 사용자는 알아채지 못할 수 있습니다. 


재부팅이 될 경우에는 재부팅 음이 나타나기 때문에 바로 휴대폰을 복구할 수 있습니다. 하지만 가장 큰 문제는 간헐적으로 오류는 발생하였으나 재부팅이 되지 않는 경우가 있는데, 마치 기본 탑재된 기능인 "비행기 모드" 와 같이 모든 데이터, 통신 수신이 불가능상태가 되며, 어떠한 경고음도 나타나지 않기 때문에 사용자는 직접 수신환경을 테스트 하기 전까지는 통신이 되지 않고 있다는 사실을 모르게 됩니다. 전화, 문자, 데이터가 모두 되지 않기 때문에 중요한 전화, 문자, 카카오톡 등을 수신 받지 못하여 큰 피해를 보실 수도 있습니다. 


해당 취약점을 구글측에 통보하였으나 아직까지 패치되지 않았다고 하니 평소에 스마트폰 수신상태를 수시점검해보는 것이 좋을 것 같습니다.


[전자신문] 넥서스폰 대상 서비스거부 공격 이렇게? - http://mcaf.ee/y9tj8

[ZDnet] 넥서스5서 SMS 폭탄 전송 취약점 발견 - http://mcaf.ee/b2z97

[examiner.com] Google Nexus smartphones susceptible to SMS-based DOS attack - http://mcaf.ee/a46iw




+ Recent posts