Boris's Lab

최근 편리함과 효율성을 앞세워 CCTV 에 랜기능을 탑재하고 있습니다. 이미 보편화되어 그 수가 무시할 수 없는 수준인데, 이를 악용해 DDoS 공격에 활용하고 있다고 합니다. 일반 PC처럼 OS가 탑재되어 있기 때문인데, 특히 리눅스 계열의 CCTV 900대 정도에서 DDoS 신호가 발생하는 것을 감지하였고, 실제 CCTV를 분석해본 결과 탤넷이나 SSH 기능이 활성화 되어있어 원격에서 조종할 수가 있었다고 합니다. 

초기 설정을 그대로 사용하는 행동이나 쉬운 비밀번호로 설정하는 행동이 이런 결과를 초래할 수 있다고 하는데, 실제로 CCTV 뿐만 아니라 NAS에서도 일부 패킷이 감지되었다고 합니다. 추측하기로는 무작위 대입법을 이용했을 것이라고 하네요. 

사실 이러한 문제는 과거에서 부터 계속 언급되어왔던 부분입니다. 앞으로 이러한 형태에 IoT 가전이 많이 증가할텐데, 기기마다 별도의 초기 비밀번호를 부여(현 통신사 공유기 정책)한다거나 자동 업데이트 기능 탑재 등의 보안 대책을 수립에 대해 진지하게 고민해 보아야 할 시점이 아닌가 싶습니다. 여기에는 무엇보다도 제조사나 유통사의 지속적인 지원이 바탕이 되어야 겠지요.

[IT World] CCTV 카메라도 DDoS 공격에 이용…기본값 설정 사용이 허점 - http://mcaf.ee/7bo9d8

비교적 강력한 암호화 기술로 알려진 SHA-1이 더 이상 안전하지 않은 것 같습니다. 일반적으로 강력한 암호화 기술들은 해시값을 가지고 있어도 실제 평문을 알아내기 위해서는 브루트 포싱 방식을 사용해야 하며, 찾았다고 해도 충돌에 의해 실제 평문이 아니라 다른 평문값이 나올 수 있는 특징이 있습니다.

특히나, 평문을 찾아내기 위해서는 소요되는 시간이 너무나 오래 걸려 사실상 복호화가 불가능하다고 알고 있었습니다. 

하지만, 연구자들은 해시값 자체를 키 값으로 사용하는 기존 서명시스템에서는 기존의 평문이 어떻든, 동일한 해시값을 갖는 또 다른 평문을 찾아내기만 하면 도용이 충분히 가능하다는 것을 이용하였습니다. 

여기다가 아마존의 클라우드 컴퓨팅과 비트코인 채굴에나 쓰일법한 고속 연산이 가능한 그래픽카드까지 활용해 평문을 찾아내기 위한 시간을 획기적으로 단축하였습니다. 기술이 발전하면서 기존의 예상했던 교체 예상시기를 훨씬 앞당겼다고 하네요. 

범죄자 입장에서는 서명 도용을 통해 상당한 돈을 벌 수 있다는 점으로 볼 때 추후 악용될 가능성이 매우 높습니다. 

다행히 SHA-2, 3에는 해당되지 않는다고 하니 기존의 교체 권고기간을 앞당겨 서서히 교체해 나가야 겠습니다. 

[보안뉴스] 각종 인증서 기본이 되는 SHA-1에 충돌 공격 비상 - http://mcaf.ee/urc2h7

XE 1.7.3.2의 LFI(Local File Inclusion)에 사용된 기술 입니다. (참고 : http://webhackerkhuti.blogspot.kr/2013/10/xe-1732-lfi.html)

PNG의 IDAT 부분에 웹셀코드를 삽입한 뒤, 나중에 PHP 형식으로 로드하면 웹쉘로 사용할 수 있습니다. 

정상적인 사진파일처럼 인식하기 때문에 이미지 라이브러리에서도 에러없이 사용 가능합니다.

웹쉘 코드를 이미지 코드속에 숨기고 싶을 때 참고하시기 바랍니다. 

원본 : https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

Encoding Web Shells in PNG IDAT chunks.pdf

레노버에서 노트북에 설치한 기본 탑재 SW 중에 슈퍼피시(Superfish)가 보안상 심각한 위험을 초래할 수 있는 애드웨어로 판단되어 논란이 일었습니다. 레노버 사용자 포럼에서 레노버 노트북 사용 중에 자꾸 광고가 나타나고, 슈퍼피시 라고 하는 루트 인증서가 컴퓨터내 설치되어 있다는 게시물이 등록되면서 부터 슈퍼피시의 존재가 알려졌습니다. 

보안전문가가 슈퍼피시에 대한 조사를 해 본 결과 사용자의 데이터를 훔쳐보면서 광고를 띄우고 SSL 연결을 변조하는 형태의 위험한 애드웨어 종류인 것으로 밝혀졌습니다. 특히나 가짜 인증서를 생성하여 올바른 SSL 연결이 이루어지지 않아 MITM(중간자 공격)에 취약할 수 있다고 합니다. 이 경우 사용자가 주고받는 데이터를 외부에서 감시할 수 있고 공인인증서와 암호를 알아내 금전적 피해까지 발생할 수 있습니다. 

레노버는 이 사실을 인정하고 15년 1월 분 부터 슈퍼피시의 선탑재를 중단하였으며, 이전 기종에 대한 슈퍼피시 제거 프로그램을 배포하고 있습니다. 

SW 선 탑재는 PC 제조사의 수익을 위해 SW 회사와 계약을 맺는 방식으로써 주변에서 흔히 사용하는 방법입니다만, 해당 SW가 보안 취약점이 존재하거나 사용자가 인지하지 못한 상황에서 악성코드와 별 차이없는 행동을 수행한다면 단순 유틸리티 프로그램을 넘어서 해커에게는 악성 유포경로도 사용할 수 있다는 것을 단적으로 보여주는 예입니다. 

특히 상당 수 레노버 노트북 기종이 영향을 받는 것으로 나타나 후폭풍도 상당할 것이라 예상됩니다. 

슈퍼피시 설치 여부를 확인하는 웹사이트 

[블로터닷넷] 레노버, 노트북에 악성 SW 깔아 팔다 덜미 - http://mcaf.ee/d7hqt

[전자신문] 분노한 레노버 PC 고객들...'슈퍼피시' 후폭풍 - http://mcaf.ee/4xrzf

해킹대회의 문제 중 실제 운영중인 병원의 CCTV를 해킹하는 문제가 출제되어 논란이 되고 있습니다. 이 문제의 의도는 SCADA 해킹과 쇼단(Shodan)의 위험성을 알리고자 함이였으며, 예산이 적은 대학교에서 주최한 해킹대회다 보니 모의 CCTV 시스템을 구축하기 어려워 실제 CCTV 시스템를 공격하였다고 합니다. 

하지만 현재 참가자들이 이번 문제로 인해 법적 문제가 발생할 수 있다는 점, 실제 병원의 허락이 없었다면 이번 대회로 인해 피해를 입을 환자들과 병원에 대한 대책이 없다면 사회적으로 용납되기 힘들 것입니다. 

[보안뉴스] 해킹방어대회서 실제 CCTV 해킹문제 출제 ‘충격’ - http://mcaf.ee/acoi8

줌인터넷에서 개발한 스윙브라우저를 통해 해킹, 피싱피해가 발생한 경우 최대 100만원까지 피해를 보상해준다고 합니다. 지금까지의 브라우저 제작사로써는 파격적인 정책입니다. 

(단, 100만원 이하인 경우에는 피해부담금 10만원이 제한다고 하네요. 사용자의 과실도 어느정도 있기 때문인 것으로 보입니다. )

스윙브라우저를 실행 할 경우 줌인터넷 서버에 실행시간이 기록되기 때문에 이 실행기록을 이용하여 브라우저를 통한 해킹이 맞는지 확인하게 되며, PC의 브라우저 취약점으로 인한 피해 뿐만 아니라 스미싱으로 인한 피해까지도 보상이 되기 때문에 모바일에서도 보상이 적용됩니다.

기간은 최초 설치 후 1년 간 보장되며, 피해 횟수에 상관없이 피해 건수 별로 최대 100만원씩 보상합니다. 

기사 내용에는 없으나, 법적으로 강제성이 없는 업체 정책이기 때문에 보상액수가 커질 경우 회사 재정상 정책이 갑작스럽게 종료될 수 있으니 참고하시기 바랍니다.

[보안뉴스] 브라우저에 발생한 해킹·피싱 피해를 보상한다? - http://mcaf.ee/gsd1f

[ZDNet] 스윙브라우저 해킹당하면 100만원 보상 - http://mcaf.ee/ltb3r

취약점은 일상생활에서 나온다는 말이 최근 와 닿습니다. 평소에 나오는 에러가 어떤 원인에 의한 것인지, 이 에러를 의도적으로 나오게 할 수 있을 것인가에 대해 생각하다보면 프로그램의 취약점을 찾을 수 있게 됩니다. 

외국의 5살 남자아이가 연령제한이 설정된 게임을 할 수 없도록 설정된 비밀번호를 버그를 이용해 무력화 시켰다는 내용입니다. 보안 전문가와 같이 연구해서 나온 것이 아니라 우연히 발견한 것이여서 더욱 놀랍습니다. 마침 보안과 관련된 직업을 가지고 있는 아버지가 있어 MS에 이러한 사실을 통보하였고 MS에서는 버그를 발견한 보상을 해주었습니다. 

버그를 발견한 사용자 명단에 당당히 이름이 올라갔는데, 명단에는 전문 연구원들이 대다수 차지하고 있는 것을 보면 전문가도 알 수 없었던 버그를 어떻게 찾아냈는지 놀랍습니다. 

http://mcaf.ee/rf46v

윈도우에서는 일반적으로 파일 이름을 왼쪽에서 오른쪽으로 읽어나가고 확장자는 맨 오른쪽에 적혀있습니다. 하지만 오른쪽에서 왼쪽으로 읽도록 강제하는 유니코드가 있습니다. ( http://www.fileformat.info/info/unicode/char/202E/index.htm ) 

이 유니코드를 이용하여 파일이름을 거꾸로 읽도록 하면 확장자를 파일명 맨 앞에 두어도 됩니다. 윈도우에서는 이 유니코드가 나오는 순간부터 문자를 거꾸로 읽어 '파일\u202e pwh.exe' 를 '파일 exe.hwp' 로 사용자에게 표시하게 됩니다.

이렇게 되면 윈도우 상에서는 확장자에 맞게 한글 문서로 표시하게 되고, 사용자는 의심없이 파일을 실행합니다. 하지만 윈도우는 표시된 파일명과 별개로 실제 확장자인 exe 파일로 읽어 응용프로그램 형태로 실행합니다. 

이 유니코드는 윈도우는 물론 유니코드를 지원하는 각종 프로그램에는 모두 사용이 가능하기 때문에 파일 전송이 가능한 각종 메신저에서도 실제 파일명 대신에 변조된 파일명을 표시하게 됩니다. 

이를 악용한 악성코드 공격이 실제로도 있고 지금도 발생하고 있습니다. 이 공격기법에 대한 영어 PDF 파일입니다. 한글 PDF 파일을 찾아보려고 했지만 블로그 상에 기술적 내용이 포스팅 된 곳은 많았지만 PDF 파일은 결국 못 찾았습니다. 

 Right To Left Override (RLO) Unicode Can Be Used In Multiple Spoofing Cases.pdf

페이스북에서 사용자가 메세지를 주고받는 기능을 이용하여 광고를 제공하고 있다며 소송을 한 사례입니다. 최근 광고는 사용자 맞춤형 광고서비스를 위해 사용자의 여러 정보를 수집해왔는데요. 페이스북은 개개인이 주고받는 메세지 내용을 수집하여 광고에 이용하고 있다는 의혹을 받고 있습니다. 

블로터 기사에 따르면 메세지 상에 특정 링크를 삽입시 해당 링크의 좋아요 숫자가 늘어나는 것을 보면 페이스북 측에서 메세지 내용을 감시하고 있는 것 아니냐는 주장입니다. 야후와 구글도 비슷한 일로 소송을 당한 적이 있었죠.

최근 NSA 불법 정보수집으로 개인정보에 대한 인식이 고조된 가운데 나온 사건이라 어떻게 해결될지 궁금합니다. 

[보안뉴스] 집단소송 당한 페이스북, 국내 사용자들도 ‘들썩’ - http://mcaf.ee/dybnk

[블로터닷넷] “페이스북이 메신저 대화 엿봤다” - http://mcaf.ee/o51zl

미국 한 대학에서 대학 생활을 하였던 한인 학생이 부모님의 직업인 '의사' 를 하기 위해 4년간 7차례의 의대 입학 시험을 쳤으나, 번번히 떨어지자 자신의 대학생활 점수 및 의대 입학 시험 성적을 전문 해커를 고용해서 해킹을 시도했다가 적발되었다는 기사입니다. 징역형, 보호관찰과 함께 손해배상을 하라는 선고가 내려졌습니다.

의사를 하지 못하는 것에 대한 중압감에 시달린 것으로 추정된다고 하는데, 불법적인 방법을 동원해서 까지 입학을 시도한 것이 안타깝습니다. 위조 문서까지 사들였다고 하는데 자신을 어필할 만한 다른 스펙을 만들어보는 것은 어땠을까 싶습니다. 

대학에서는 수상한 아이피를 탐지하여 바로 조치취하여 다행히 다른 시험자들에게는 피해가 없었던 것 같습니다. 대학에서 적절하게 대응한 부분에 대해서는 칭찬해야 될 부분이 아닌가 싶고, 또 해킹이 한 사람의 인생을 바꿀 수 있다는 것에 대해서 보안의 중요성을 다시금 깨닫게 됩니다.

http://mcaf.ee/giy3a