suppose

웹 서버 구성 상의 취약점 주의 사항 5 (1) 서버 루트와 도큐먼트 루트의 파일 접근 권한 (2) 자동 디렉토리 리스팅 (3) 심볼릭 링크 (4) 사용자 관리 디렉토리 (5) 웹 서버를 루트 권한으로 운영 웹은 여러 가지 웹 관련 서비스, 구성요소, 다른 서비스와의 연계 등을 통해 발생하는 복합적인 보안 취약점을 가지고 있다. 특히, 웹 서버는 패스워드 등을 이용한 인증 문제, 사용 프로토콜 문제, 도메인 이름이나 IP주소를 통한 접근 제어 문제, 사용자/그룹 이나 디렉토리 및 파일의 접근 문제, 구성파일 문제 등 잠재적인 취약점이 존재한다.

shadow password는 암호화된 /etc/passwd 파일 내의 패스워드 필드를 특별한 문자로 치환하여 표시하도 실제의 패스워드는 /etc/shadow 파일에 암호화하여 정상적인 사용자가 읽을 수 없는 파일에 저장된다. 해당 파일 구조는 총 9개의 필드로 구성된다. 계정명 : 암호화된 패스워드 : 최종 암호 변경일 : 암호변경 최소 일수 : 암호변경 유예기간 : 암호변경 경고 일수 : 계정 사용 불가 날짜 : 계정 만료일 : 예약

가입자 인증 모듈은 SIM, USIM, E-SIM 등이 있다. 유심칩이리고도 부르는 SIM카드는 가입자식별모듈(Subscriber Identification Module)을 구현한 IC카드로, GSM 단말기의 필수 요소이다. SIM카드는 각자의 고유한 번호가 있다. 고정된 번호인 ICCID(SIM카드 외부에 기록된 89로 시작하는 19자리 숫자)와 가입자 회선마다 달라지는 IMSI(450으로 시작하는 15자리 숫자)가 있으며, 가입자 정보를 가지고 있어서 이 카드만 꽂으면 자기 단말기처럼 쓸 수 있다. 참고로 eSIM(embedded SIM)은 문자 그대로 유심 속에 있는 칩이 기기 속에 내장, 마더보드에 부착된 SIM이다. SIM 트레이를 없애 기기를 더욱 경량화할 수 있다는 장점이 있다. 또한 모바일..

의도하지 않은 방식으로 정보를 이동하는 수단이다. 비밀 채널은 허용해야 하는 것을 거부할 수 없다는 것을 알고 있기 때문에 공격자들이 가장 좋아하는 채널이다. 이 용어는 원래 TCSEC 문서에서 상위 분류에서 하위분류로 정보를 전송하는 방법을 지칭하기 위해 사용되었다. 비밀 채널 공격은 크게 2가지 유형으로 나눌 수 있다. (1) 타이밍 채널 공격 : 구성요소를 변경하거나 리소스 타이밍을 수정하여 감지하기 어렵도록 한다. (2) 스토리지 채널 공격 : 하나의 프로세스를 사용하여 스토리지 영역에 데이터를 쓰고 다른 프로세스를 사용하여 데이터를 읽는다.

디지털 포렌식에서 아티팩트의 의미는 운영체제나 애플리케이션을 사용하면서 생성되는 ‘흔적’을 말한다. (흔적이라, 로그파일을 말하는건가?) 보통 시스템에서 생성되는 증거를 다음과 같이 생성 증거와 보관 증거로 분류하는데 ‘생성 증거’에 해당하는 것이 아티팩트이다. ’생성증거‘란 시스템이나 애플리케이션이 자동으로 생성한 데이터를 의미한다. 예를 들어, 윈도우 시스템의 생성 증거(아티팩트)로는 레지스트리, 프리/슈퍼 패치, 이벤트 로그 등. 디지털 포렌식 분석 시 매우 중요한 데이터. ’보관증거‘란 사람의 사상이나 감정을 표현하기 위해 작성한 데이터를 말한다. 보관증거로는 직접 작성한 메일 내용, 블로그 및 소셜 네트워크 작성 내용, 직접 작성한 문서 등이 있다. 보통 보관 증거의 경우, 고의가 들어간 데이터..

레지스트리는 대부분 하이브(Hive)라고 부르는 파일의 세트에 들어있다. 하이브는 바이너리 파일이기 때문에 ‘레지스트리 편집기’와 같은 특별한 에디터가 없으면 살펴볼 방법이 없다. 그러나 하이브는 레지스트리의 일부를 로드하거나 백업하기 쉽게 해준다. 대부분의 레지스트리는 하이브 파일에 저장되며 이 파일은 숨김, 시스템, 읽기전용 속성은 가지고 있지 않지만, 항상 열려 사용되고 있기 때문에 할 수 있는 일이 제한되어 있다. 컴퓨터 설정과 연관된 하이브 파일은 ₩Windows₩System32₩CONFIG 디렉토리에 들어있다. 그리고 사용자 설정에 관련된 하이브 파일은 ₩Document and Settings₩username 디렉토리에 들어있다. 사실 이는 로컬 사용자 설정인 경우이고, ‘이동 사용자 프로필’..

크게 사전준비, 증거수집, 증거포장 및 이송, 조사분석, 정밀검토, 보고서 작성의 6단계 절차에 따른다. 또한 전체 포렌식에 필요한 기술로는 크게 데이터를 수집하는 기술, 수집된 디지털 데이터를 분석하여 증거를 추출하는 기술로 나눌 수 있다. (데이터수집기술, 증거추출기술) 원본 데이터 수집 기술은 이미징, 이미지 인식, 네트워크 정보 수집, 메모리 기반 장치 복제, 휘발성 데이터 수집, 하드 디스크 복수, 메모리 복구, 삭제된 파일 복구, 암호 통신 내용 해독을 수행한다. 증거 분석 기술은 로그 및 레지스트리 분석, 영상 정보 분석, 데이터마이닝, 네트워크 시각화, 저장매체 사용 흔적 분석 든을 수행한다.

운영체제나 응용소프트웨어 등의 각종 컴퓨터 프로그램에서 소프트웨어 구성 요소 간에 발생하는 함수 호출, 메시지, 이벤트 등을 중간에서 바꾸거나 가로채는 명령, 방법, 기술이나 행위를 말한다. 이때 이러한 간섭된 함수 호출, 이벤트 또는 메시지를 처리하는 코드를 ’후크‘라고 한다. 즉, 후킹은 시스템의 호출되는 함수를 중간에 가로채서 입력값과 출력값을 제어하여 응용 프로그램에 활용하고 기능을 확장하는데 사용된다. 또한, 가장 고전적인 시스템 공격기법 중 하나이며, 사용자의 키보드나 마우스의 움직인 정보를 몰래 가로채는 공격으로 활용된다. 크래킹(불법적인 해킹)할 때 크래킹 대상 컴퓨터의 메모리 정보, 키보드 입력 정보 등을 빼돌리기 위해서 사용되기도 한다. 예를 들어 특정한 API를 후킹하면 해당 API의..

해시함수는 임의의 길이의 데이터를 고정된 길이의 데이터로 매핑하는 함수이다. 해시함수에 의해 얻어지는 값은 해시값, 해시코드, 해시 체크섬 또는 간단하게 해시라고 한다. 해시함수는 다음과 같은 특징이 존재한다. 다양한 가변길이의 입력에 적용될 수 있어야 하고, 고정된 길이의 출력을 생성하며, 해시 결과값으로 입력값을 계산하는 것은 불가능하다. 그리고 동일한 해시값을 갖는 서로 다른 메시지 쌍이 없다. 해시함수의 용도 중 하나는 ‘해시 테이블’이라는 ‘자료구조’에서 사용되며, 매우 빠른 데이터 검색을 위한 컴퓨터 소프트웨어에 널리 사용된다. 해시함수는 큰 파일에서 중복되는 레코드를 찾을 수 있기 때문에 데이터베이스 검색이나 테이블 검색의 속도를 올릴 수 있다. 예를 들어, DNA Sequence에서 유사한..

악성코드 탐지기법은 크게 (시그니처 탐지기법, 휴리스틱 탐지기법, 행위기반 탐지기법, 퍙판기반 탐지기법으로 분류할 수 있으며, 악성코드 분석방법은 정적 분석방법, 동적 분석방법, 자동화 분석방법으로 나눌 수 있다. 유형별 탐지기법의 상세 내용은 다음과 같다. (1) 시그니처 기법 : 다른 말로 ‘Misuse기반 탐지’ 혹은 'Knowledge 기반 탐지‘로 불린다. 이름에서 볼 수 있듯이 시그니처 기반 탐지기법은 이미 발견되고 정립된 공격 패턴을 미리 입력해두고, 입력된 패턴에 해당하는 트래픽을 발견하게 되었을 때 이를 감지하여 알려준다. 시그니처 탐지기법은 모니터링한 트래픽이 알려진 악성행위의 특징과 일치하면 이를 공격으로 탐지하여 알려주는 것이므로, 많이 알려지고 공격자가 자주 사용하는 공격, 혹은 ..