정보보안 스토리

1. Activity 컴포넌트 취약점 - AndroidMainfest.xml -> exported 속성이 true일 경우, 다른 애플리케이션에서 activity 실행 가능하며, false일 경우, 동일한 애플리케이션 또는 UID를 가진 애플리케이션에서만 실행 가능 -> ADB의 am 옵션을 사용하여 Activity 실행 --> adb shell am start -n 패키지명/.Activity 경로 -> Drozer 활용 노출된 Activity 확인 : Adb는 단순 외부에 노출된 Activity를 실행하였다면, Drozer는 애플리케이션에 노출된 모든 Activity를 확인할 수 있음 --> rum app.activity.start --component 패키지명 패키지명.Activity명 2. Broad..

개인적으로 공부하기 위해 정리한 내용입니다. 두서없이 나열되어있으니.. 궁굼한점은 댓글.. Rooting : 안드로이드 운영체제를 탑재한 모바일 기기에서 관리자 권한을 획득하는것 루팅의 목적 1. 시스템 설정 변경 2. OS에대한 Root권한 3. File System 접근 ADB Tool : 안드로이드 장치와 통신하도록 연결 USIM을 사용하는 APP 진단 Wifi Detection - APP에서 Cellural Data와 Wifi Data 사용을 확인하여 Wifi 사용 시 더 이상 서비스를 이용하지 못하도록 App 및 서비스 기능 종료 - Wifi 탐지 기능을 우회하면 기존 Wifi 사용 시와 진단 환경 구축은 같음. - Wifi를 사용해야 진단 PC와 같은 네트워크에서 Network Proxy를 사..

Android 보안위협 1. 포렌식 공격 - 공격 시나리오 : 공격자는 피해자의 단말기를 탈쥐한 후 메모리와 디스크 정보를 덤프하여 주용 정보들을 탈취 - 설명 : 디바이스의 물리적인 저장소의 조사 / 폰 또는 테블릿 절도는 다른 컴퓨팅 장치를 훔치는 것보다 쉽고 빈번함 2. 코드 실행 공격 - 공격 시나리오 : 공격자가 피해자 단말기에서 실행 되는 앱의 입의 코드 실행 취약점을 이용해 피해자의 단말기에서 임의 코드를 실행하여 단말기를 장악 - 설명 : 단말기 혹은 단말기 앱의 임의 코드 실행 취약점을 이용해 공격자가 원하는 임의의 코드가 피해자의 단말기에서 실핼될 수 있음 3. 웹 기반 공격 - 공격 시나리오 : 공격자가 웹 뷰를 통해 만들어진 앱에서 웹 취약점을 통해 사용자 및 서버 공격 - 설명 :..

1. Chain Of Trust BootROM -> LLB(Low Level Boot) -> iBoot -> Kernel Signiture Check Signiture Check - iDevice 전원을 키는 순간 부터 부팅까지 모든 과정에 있어서 서명 검증을 하고 있음 - 시스템의 모든 구성 요소들이 애플에 의해 만들어지고 서명되었음을 보증 - 이 체인은 Bootstrap이 각각의 애플리케이션의 서명을 확인하는데 사용되며, 모든 애플리케이션은 직접적으로 혹은 간접적으로 애플에 의해 서명되어야함 2. 파일 데이터 보호 Software - file Encrption System : 파일 전체 암호화를 통한 데이터 보호 Hardware - Cypto Engine : 하드웨어에 내장된 전용 암호 엔진 - Se..

개요 Google의 보안 전문가들(Bodo Moller 외 2명)은 SSL 3.0의 설계상의 취약점과 이를 활용한 공격법 "POODLE (Padding Oracle On Downgraded Legacy Encryption)"에 대한 상세 보고서를 공개('14,10.14) "POODLE"은 TLS 연결 설정과정에서 하위버전인 SSL3.0으로 연결 수립을 유도한 뒤, 패딩 오라클 공격을 통해 암호화된 통신내용을 복호화하는 공격기법 ※ SSL/TLS : 통신 과정에서 보안과 데이터 무결성을 제공하는 보안 프로토콜. 넷스케이프사에서 SSL을 개발 하여 업계표준으로 사용되다가 수정을 거쳐 TLS로 명칭을 변경하고 국제표준으로 채택됨 ※ 패딩 오라클 공격 : 알고리즘 자체 취약성이 아니라 컴퓨터 동작 시간, 온도,..

쿠키란 쿠키(Cookie)란 서버가 브라우저에게 주는 정보이다. 주로 사용자의 로그인 결과 정보를 응답 헤더의 Set-Cookie에 담아 브라우저에게 전달하면, 브라우저는 해당 정보를 로컬에 저장하여 활용한다. 대개 브라우저를 종료하면 같이 소멸되는 짧은 수명의 쿠키를 가장 많이 사용하고, 브라우저를 종료해도 오랫동안 유지되는 긴 수명의 쿠키 또한 사용한다. secure 브라우저에서 쿠키는 기본적으로 HTTP, HTTPS 프로토콜에 관계없이 서버에 전달된다. 이 경우 HTTP 요청시 외부의 공격자에게 쿠키 정보를 탈취당할 수 있어 위험하다. secure를 명시하면 HTTPS 프로토콜일 경우에만 쿠키를 전달하여 외부의 공격자로부터 쿠키 정보를 보호할 수 있다. -> Secure attribute is mo..

4. 하이퍼바이저 정책 설정 33. 보안 패치 적용 가. 상세 설명 XenServer 및 XenCenter Patch는 Xen 시스템을 Citrix에서 출시하고 난 뒤 Xen과 관련된 응용프로그램, 서비스, 실행파일 등의 오류나 보안취약점 등을 수정하여 적용한 Update 파일이다. Update Patch 발표 후 취약성을 이용한 공격도구가 먼저 출현할 수 있으므로, Update Patch는 발표 후 가능한 빨리 설치할 것을 권장한다. 나. 진단기준 양호 : 패치 적용 정책을 수립하여 주기적으로 패치를 관리하고 있는 경우 취약 : 패치 적용 정책을 수립하여 주기적으로 패치를 관리하고 있지 않은 경우 다. 진단방법 ■ 인터뷰를 통해 주기적으로 보안 패치 적용 여부 확인 라. 조치방안 ■ 설정 기준 권고 (..

4. 하이퍼바이저 정책 설정 32. 로그 파일 권한 설정 가. 상세 설명 시스템의 기본 로깅 기록은 관리자 이외에 다른 일반 사용자에게 열람할 수 있는 권한을 부여할 필요가 없기 때문에 로깅 기록을 저장하는 파일의 소유자 및 읽기권한을 제한함으로써 보안을 강화하는 것이 필요하다. 아래의 로그 파일 권한은 시스템 사용자(root, adm, bin 등) 소유자의 타사용자 쓰기권한 제거를 설정한다. 나. 진단기준 양호 : 로그파일의 소유자가 root이고, 타사용자의 쓰기권한이 존재하지 않는 경우 취약 : 로그파일의 소유자가 root가 아니거나, 타사용자의 쓰기권한이 존재하는 경우 다. 진단방법 ■ 로그 파일 확인 1) # ls –alL [로그파일명] 보안강화적용 대상 로그파일 목록 로그파일 XenServer ..

4. 하이퍼바이저 정책 설정 31. 로깅 수준 설정 가. 상세 설명 기본적으로 시스템 운영 중 발생하는 Information 등에 대한 기록을 남기기 위한 로그 설정이 되었는지 점검한다. 시스템에 적절한 로그파일이 없을 경우, 침입자의 흔적이나 시스템 오류사항에 대해 분석할 수 없다. 나. 진단기준 양호 : "/etc/syslog.conf" 파일에 "info" 설정이 되어 있거나 XenCenter에서 [XenServer]를 선택한 후 [Logs] 메뉴에서 "Information" 로그가 설정되어 있는 경우 취약 : "/etc/syslog.conf" 파일에 "info" 설정이 되어 있지 않거나 XenCenter에서 [XenServer]를 선택한 후 [Logs] 메뉴에서 "Information" 로그가 설정..

4. 하이퍼바이저 정책 설정 30. syslog 전송 포트 차단 가. 상세 설명 UDP 514 Port는 Remote로 Syslog를 전송하는 Port로 사용되며, 사용 시 보안상 취약하며, 서비스 포트가 열려있으면 침해사고의 위험성이 있다. Remote Log 서버를 사용하지 않을 경우 Syslog 전송 Port 차단을 권고한다. 나. 진단기준 양호 : Remote Log 서버를 사용하지 않을 경우 Syslog 전송 Port 차단한 경우 취약 : Remote Log 서버를 사용하지 않고 UDP 514 Port를 사용 중인 경우 다. 진단방법 ■ syslog 전송 포트 차단 설정 확인 1) 인터뷰를 통해 Remote Log 서버 사용 유무 확인 2) udp514 포트 확인 # netstat -an | g..