본문 바로가기
반응형

IT 이론/정보보호70

윈도우 레지스트리 루트키 HKEY_CURRENT_USER(HKCU)- 현재 시스템에 로그인하고 있는 사용자와 관련된 시스템 정보를 저장하고 있다.- HKEY_USERS 보다 우선순위가 높다.- HCU에서 업데이트 된 내용이 HKU로 동기화 된다. HKEY_LOCAL_MACHINE(HKLM)- 설치된 하드웨어를 구동시키는데 필요한 정보가 저장되어 있다. HKEY_USERS(HKU)- 시스템에 있는 모든 계정과 그룹에 관한 정보가 저장되어 있다.- HCU와 같은 내용이 저장되어 있으나, 모든 계정에 대해 있다. (계정이 하나일 경우 두 루트키의 내용이 완전 일치한다.) HKEY_CURRENT_CONFIG(HKCC)- 시스템이 시작할 때 사용하는 하드웨어 프로파일 정보가 저장되어 있다. 부팅시 참조하는 레지스트리(읽히는 순서대로)HK.. 2018. 3. 24.
패스워드 크래킹 툴 John the RipperWfuzzCain and AbelTHC HydraBrutusRainbowCrackMedusaL0phtCrack 2018. 3. 24.
버퍼 오버플로우(Buffer Overflow) 취약점 개요 프로세스 메모리 영역 중 버퍼에 초과값을 입력하여 시스템을 중지시키거나 원하는 동작을 하도록 조작할 수 있다. 종류 스택 버퍼 오버플로우(Stack Buffer Overflow)주로 SetUID가 설정된(루트 권한으로 실행되는) 프로그램들이 타겟이 된다. 입력값에 수용 가능한 버퍼보다 큰 값을 입력하여 임의의 공격코드를 루트 권한으로 실행시킬 수 있도록 한다. 힙 버퍼 오버플로우(Heap Buffer Overflow)할당된 힙 공간이 함수에 대한 포인터를 포함하고 있다면 공격자는 이 주소를 변경하여 겹쳐 쓴 버퍼에 있는 공격코드를 가리키도록 할 수 있다. 스택 오버플로우만큼 흔히 사용가능한 공격은 아니다. 방어 기업 스택가드(Stackguard)- 카나리(canary)라고 불리는 무결성 체크용 값을.. 2018. 3. 24.
FTP(File Transfer Protocol) 보안 1. 2개의 포트를 이용한다.- 21번포트는 제어 연결용 포트이다. 로그인 상태를 유지하고 제어 명령을 주고 받는다.- 20번 및 1024번 이후 랜덤 포트 하나 : 파일 전송을 위해 별도로 사용한다. 2. Active 모드와 Passive 모드- Active모드가 기본이나, Active모드의 문제점을 보완하기 위한 Passive모드가 등장- Active모드는 서버가 클라이언트에 접속 해야 하므로 클라이언트의 Inbound가 열려 있어야 함- 일반적으로 클라이언트는 Outbound만 열려 있는 경우가 많으므로 데이터 전송 불가- FTP때문에 보안 정책을 예외적으로 허용하기가 곤란하여 Passive모드 사용 3. Active 모드- 21번포트와 20번 및 1024번 이후 랜덤 포트 사용- 클라이언트 -> .. 2018. 3. 22.
OTP(One-Time Password)의 동기화 방법 비동기 방식- 서버에서 질의값을 1회용(One-Time)으로 생성해서 보여준다.- 사용자는 질의값을 OTP기기에 입력하고 반환값을 서버로 보낸다.- 서버는 반환값을 검증한다. 동기 방식 시간 동기화- 현재 시간을 이용하여 난수를 생성한다.- 서버 시간과 OTP기기에서 관리되는 시간이 일치해야 한다.- 시간의 지속적 동기화가 어려우므로 보통 30초 정도 간격으로 생성한다.- 현재 은행에서 사용하는 대부분의 OTP가 시간 동기화 방식이다. 이벤트 동기화- 서버와 OTP기기의 카운트값으로 난수를 생성한다.- OTP기기에서 번호를 생성한 카운트와 서버상의 카운트가 똑같이 올라가야 한다. 기타 방식 거래인증 OTP- 스마트 폰 등 거래가 가능한 기기에서 거래 정보와 연동된 인증번호 생성- 인증번호 값이 일치하는 .. 2018. 3. 21.
포트 스캔 분류 1. Sweep시스템 활성화 여부를 판단한다. 포트에 무관하게 돌아가고 있는 서비스가 있는지 판단한다. (1) ICMP Sweep : ping 응답이 있다 -> 살아있다.(2) TCP Sweep : 응답이 있다 -> 살아 있다.(3) UDP Sweep : ICMP Port Unreachable 받지 못했다 -> 살아있다. 2. Open 스캔시스템의 특정 Port에 대한 오픈 여부를 판단한다. (1) TCP Scan : RTS를 받은 경우 -> 서비스가 죽었다.(2) TCP Half Open : SYN을 보낸 후 SYN/ACK이 온 경우 -> 살아있다.(3) UDP Scan : ICMP Port Unreachable 받지 못했다 -> 살아있다. 3. Stealth 스캔정상적인 연결을 시도 하는것이 아니라 .. 2018. 3. 21.
전자지불시스템의 보안 요구사항 전자지불 시스템의 보안요건 4가지 상호인증(authentication) : 거래상대방의 신분을 확인할 수 있도록 하는 기능(인가된 사용자인지 확인)기밀성(confidentiality) : 거래의 내용이 제3자에게 노출되지 않도록 하는 기능(비밀 유지)무결성(integrity) : 송수신 메시지가 전송 도중 변조되지 않았다는 것을 증명(변조여부 확인)부인방지(non-repudiation) : 이미 성립된 거래에 대한 부당한 번복을 방지하는 기능(왜곡방지) 관련 기출문제(클릭) 2018. 3. 20.
워터마크와 핑커프린팅 DRM(Digital Right Management)의 대표적인 기술적 대책으로 워터마크와 핑커프린팅이 있다. (국내에서 DRM이라 하면 문서 암호화 솔루션을 의미하는 경우가 많으나 여기선 보안 개론에서 이야기하는 DRM에 관한 것이다. 의미 그대로 디지털 저작권을 관리하는 것을 말한다.) 워터마킹 업무적인 예로, 문서를 출력하면 하단에 누가 출력했는지 찍히는 것이다.실생황에서의 예로는, 웹사이트에 이미지를 올리면 자동으로 웹사이트의 로고나, 당신의 아이디가 찍히게 되는 것이다. 의도가 무엇일까? 크게 2가지로 볼 수 있다. 1. 자산의 출처/소유자를 식별한다.2. 자산을 유출한 사람을 식별한다. 문서나 사진이나 영상에 주인의 이름이나 로고를 박아 둠으로써 이건 내 것이다! 라고 못박아 두는 것이다. 그.. 2018. 3. 19.
대칭키 암호화 : 블록암호와 스트림암호 1. 블록 암호(Block Cipher) 특정 비트 묶음을 기준으로 전치, 또는 치환을 하여 암호를 만들어낸다. (1) P-박스(transPostion-Box) 전치(transposition)를 수행하는 모듈이다. 특정 블록에서 비트들끼리의 순서를 뒤바꾼다. (2) S-박스(Substitution-Box) 치환(substitution)을 수행하는 모듈이다. 특정 블록에서 비트들을 다른 비트들로 치환한다. (3) Confusion 과 Diffusion 암호 알고리즘의 성질이자 조건(요구사항)이다. - 혼란(confusion) : 암호문과 키의 관계를 숨김 - 흐림(diffusion) : 암호문과 평문의 관계를 숨김 (4) 합성 암호P-박스와 S-박스 등을 적절히 조합하여 Confusion과 Diffusio.. 2018. 3. 18.
암호 분석(암호 해독)의 공격 분류 각종 수험서에는 한글 번역되어서 나오나 한자어가 아주 가관이다. 차라리 영어로 보는 것이 이해하기가 쉽다. Plaintext : 평문Ciphertext : 암호문 해독이 어려운(공격자 입장에서 힘든 환경) 것 부터 쉬운 순으로 나열한다. 영어만 외우고 아래에 있는 약어나 한국어는 참고만 해 두자. 영여를 알고 있으면 한국어로 어떻게 번역되어서 나오든 약어로 나오든 매핑이 가능하다. Cipher-Text Only AttackCOA : 암호문 단독 공격 가진건 암호문 밖에 없다. 암호문을 가지고 평문을 추론해야 한다. 다빈치코드에 나오는 고전적인 치환 암호, 전치 암호 정도라면 가능 하겠지만 현대 암호학에선 현실적으로 불가능하다. Known Plain-Text AttackKPA : 기지 평문 공격 몇 가지 .. 2018. 3. 18.
종단간 암호화와 링크 암호화 종단간 암호화(End-to-End Encryption) 기밀성을 중요시하는 A씨는 B씨에게 편지를 보내는데 아무도 믿을 수 없어서 튼튼한 금고에다 편지를 넣고 B씨에게 보낸다. 배송과정이 어찌 되든 암호화 된 채로 움직이게 된다. 최초 출발지인 A에서 암호화하고 최종 도착지인 B에서 복호화 하는 것이 종단간 암호화이다. 내용은 철저히 보호되는 대신 전달 과정은 노출이 된다. 링크 암호화(Link Encryption) 기밀성을 중요시하는 C배송회사에서선 고객들의 정보를 보호하기 위해, 편지를 배달할 때 집결지마다 새로운 편지봉투를 씌운다. 편지봉투는 개봉할 수 없도록 되어 있으며 오로지 다음 집결지에 대한 정보만 나와있다. 최초로 보낸 A씨는 암호화를 하지 않았지만, 중간 전달 과정에서 각 링크마다 암호화.. 2018. 3. 18.
취약한 암호화 알고리즘 컴플라이언스를 하다 보면 암호화를 하되, 더불어 암호화엔 안전한 암호화 알고리즘을 사용해서 암호화 해야 한다는 말이 따라 온다. 여기서 "안전한 암호화 알고리즘"이란 무엇인가? 안전한 암호화 알고리즘이 무엇인지 명확히 말 해 줄 수 있는 사람은 없다. 난공불락이라 여겨졌던 이니그마가 튜링에 의해 정복 당하고, 일방향이라 이론적으로 매우 안전하다 여겨 널리 사용되면 해시 알고리즘도 일부 뚫렸다. 따라서 어떤 암호화 알고리즘이 안전하다고 말하기가 쉽지 않은 것이다. 그래서 일반적으론 널리 알려진 알고리즘 중 '안전하지 않다.' 내지는 '안전하지 않을 수 있다.'라고 알려진 암호화 알고리즘을 걸러내는 것을 1차적인 목표로 한다. 따라서 이 포스팅에선 안전하지 않거나, 안전하지 않을 수 있는 대표적인 알고리즘을.. 2018. 3. 18.
트래픽 분석 스니핑과 더불어 소극적 공격의 대표적인 예이다. 암호화되어 전송되는 메세지 트래픽을 감청하여 비록 메세지의 내용은 못 보더라도, 메세지의 송신자, 수신자를 파악하고 메세지가 송·수신되었다는 사실 자체를 통해 유의미한 결과를 도출 할 수 있다. 암호화된 메세지 트래픽에 관한 예는 아니지만, 트래픽 분석이라는 게 어떤 의미를 가지는지에 대한 적절한 예가 영화속에 있어서 간단히 언급하고 넘어간다. 영화 中 형사인 황정민이 어딘가 미심쩍은 류승범. 황정민의 통화기록을 검토한다. 건달 유해진과의 통화 기록이 다수 발견되고, 알수 없는 대포폰으로 통화한 기록도 다수 발견되는데 이 동선이 황정민의 동선과 거의 일치한다. 류승범은 이를 통해 황정민과 건달 간의 모종의 공모 관계가 있다는 사실을 파악하고 황정민을 압박하.. 2018. 3. 18.
정보보호에서의 위협(Threat)과 위험(Risk) 위협(Threat) 은 손실이나 손상의 원인이 될 가능성의 제공하는 환경을 말한다. 위협에 대한 예는, 취약점, 해커의 존재, 공격 대상이 될 수 있는 중요 자산등이 있다. 위험(Risk) 은 위협에 따라 생길 수 있는 손실에 대한 가능성이다. 위험에 대한 예는 취약점에 의한 정보 유출, 해커에 의한 실질적인 공격, 중요 자산에 대한 탈취 시도 등이 있다. 취약점(Vulnerability) 자산의 잠재적인 속성으로서 위협의 이용 대상이 되는 것 위험 = 자산 × 위협 × 취약점 으로 정의하기도 한다. 자산 위협 >> 위험 >> 손실 취약점 >> ▲ 자산의 손실로 이어지기까지 TVR Flow 2018. 3. 13.
보안의 3가지 대책, 기술적 관리적 물리적 대책 보안 대책을 크게 3가지로 구분 하자면 기술적, 관리적, 물리적으로 나눌 수 있다.한국의 ISMS도 그렇고 여러 국제 인증 기준들 또한 이 3가지로 구분하여 보안성을 검토한다. 기술적 보호대책은 접근통제, 암호화, 백업시스템 등이 포함된다. 관리적 보호대책은 보안계획, 결재·승인 절차, 관리대장 작성, 절차적 보안 등이 있다. 물리적 보호대책은 재해대비·대책, 출입통제 등이 해당된다. 이를 2가지로 줄인다면 기술적, 관리적 대책이 될 것이다. 물리적인 보호대책은 대부분 관리적인 관점에서 이루어지기 때문이다. 정보통신망법에서 구체적인 정보보호 대책을 다룬 고시 또한 "개인정보의 기술적, 관리적 보호조치 기준"이다. ISMS와 같은 큰 규모의 인증이 아니라 소규모의 점검에선 기술적, 관리적 대책으로 구분하여.. 2018. 3. 13.
보안 CIA Triad (CIA 삼각형) Triad는 '3개로 구성된' 이라는 뜻이다. 딱히 적절한 해석이 떠오르지 않아 CIA삼각형이라고 번역했다. 아래와 같은 3각형의 특징적인 모양을 가지기 때문이다. 보안은 3가지 원소로 균형을 맞출 수 있다. 1. 기밀성 Confidentiality 2. 무결성 Integrity 3. 가용성 Availability 기밀성은 데이터가 인가되지 않은 사람에게 새어나가지 않는 것이다.기밀성을 해치기 위한 공격은 스누핑(Snooping)과 트래픽 분석(Traffic Analysis)가 있다.무결성은 데이터가 변조되지 않는 것이다.무결성을 해치기 위한 공격은 변경(Modification), 가장(Masquerading), 재연(Replaying), 부인(Repudiation)이 있다.가용성은 둘을 충족 시키면서 .. 2018. 3. 12.
[정보보안기사] 각종 취약점, 공격 및 대응방안 DoS공격 1. Land Attack o Land Attack의 원리 이해 출발지와 목적지의 IP 주소를 공격자의 IP로 동일하게 만들어서 공격대상에게 보내는 공격으로 패킷을 받은 호스트는 응답을 위해서 수신한 패킷에서 출발 지 IP를 이용하여 패킷을 만들어 전송하더라도 자신의 IP이므로 외부로 전송 하지 못하고 자신의 컴퓨터에서 부하를 발생하게 된다. 즉, 루프 상태에 빠지 게 되어 IP 프로토콜 스택에 심각한 장애를 유발시킨다. o Land Attack의 대응 방안 라우터나 패킷필터링 도구를 이용하여 네트워크로 유입되는 패킷 중에서 source 주소가 내부 IP인 패킷 차단 2. Targa/NewTear/Nestea 공격 o Teardrop 공격 헤더가 조작된 일련의 IP 패킷조각(IP fragmen.. 2018. 3. 3.
방화벽의 동작 구분과 여러가지 구성 방법 주로 망과 망 사이에 설치되어 모든 트래픽들이 통과 하도록 설치된 시스템을 말한다. 하드웨어 장비일수도 있고 소프트웨어일수도 있다. 방화벽은 동작 원리로 아래외 같이 구분할 수 있다. 1. 패킷 필터링 : OSI7계층 중 3~4계층(네트워크, 트랜스포트 계층)에서 동작한다. 패킷 안의 주소와 포트를 보고 접근 허용여부를 결정한다. 어플리케이션에 무관하게 동작 가능하지만 일반적으로 세션 추적이 불가능하다. 일부 세션 추적 기능을 보완한 State Inspection 방식도 있다.2. 응용 케이트웨이 : 프록시 서버 방식이라고도 부른다. 어플리케이션 단에서 동작하는 방화벽으로, 미리 정의된 어플리케이션이나 포트만 제어가 가능하다.3. 하이브리드 게이트웨이 ; 패킷 필터링 + 응용 게이트웨이 기능을 모두 제공.. 2018. 2. 24.
반응형