정보보안 스토리

Android 보안위협 1. 포렌식 공격 - 공격 시나리오 : 공격자는 피해자의 단말기를 탈쥐한 후 메모리와 디스크 정보를 덤프하여 주용 정보들을 탈취 - 설명 : 디바이스의 물리적인 저장소의 조사 / 폰 또는 테블릿 절도는 다른 컴퓨팅 장치를 훔치는 것보다 쉽고 빈번함 2. 코드 실행 공격 - 공격 시나리오 : 공격자가 피해자 단말기에서 실행 되는 앱의 입의 코드 실행 취약점을 이용해 피해자의 단말기에서 임의 코드를 실행하여 단말기를 장악 - 설명 : 단말기 혹은 단말기 앱의 임의 코드 실행 취약점을 이용해 공격자가 원하는 임의의 코드가 피해자의 단말기에서 실핼될 수 있음 3. 웹 기반 공격 - 공격 시나리오 : 공격자가 웹 뷰를 통해 만들어진 앱에서 웹 취약점을 통해 사용자 및 서버 공격 - 설명 :..

1. Chain Of Trust BootROM -> LLB(Low Level Boot) -> iBoot -> Kernel Signiture Check Signiture Check - iDevice 전원을 키는 순간 부터 부팅까지 모든 과정에 있어서 서명 검증을 하고 있음 - 시스템의 모든 구성 요소들이 애플에 의해 만들어지고 서명되었음을 보증 - 이 체인은 Bootstrap이 각각의 애플리케이션의 서명을 확인하는데 사용되며, 모든 애플리케이션은 직접적으로 혹은 간접적으로 애플에 의해 서명되어야함 2. 파일 데이터 보호 Software - file Encrption System : 파일 전체 암호화를 통한 데이터 보호 Hardware - Cypto Engine : 하드웨어에 내장된 전용 암호 엔진 - Se..

개요 Google의 보안 전문가들(Bodo Moller 외 2명)은 SSL 3.0의 설계상의 취약점과 이를 활용한 공격법 "POODLE (Padding Oracle On Downgraded Legacy Encryption)"에 대한 상세 보고서를 공개('14,10.14) "POODLE"은 TLS 연결 설정과정에서 하위버전인 SSL3.0으로 연결 수립을 유도한 뒤, 패딩 오라클 공격을 통해 암호화된 통신내용을 복호화하는 공격기법 ※ SSL/TLS : 통신 과정에서 보안과 데이터 무결성을 제공하는 보안 프로토콜. 넷스케이프사에서 SSL을 개발 하여 업계표준으로 사용되다가 수정을 거쳐 TLS로 명칭을 변경하고 국제표준으로 채택됨 ※ 패딩 오라클 공격 : 알고리즘 자체 취약성이 아니라 컴퓨터 동작 시간, 온도,..

쿠키란 쿠키(Cookie)란 서버가 브라우저에게 주는 정보이다. 주로 사용자의 로그인 결과 정보를 응답 헤더의 Set-Cookie에 담아 브라우저에게 전달하면, 브라우저는 해당 정보를 로컬에 저장하여 활용한다. 대개 브라우저를 종료하면 같이 소멸되는 짧은 수명의 쿠키를 가장 많이 사용하고, 브라우저를 종료해도 오랫동안 유지되는 긴 수명의 쿠키 또한 사용한다. secure 브라우저에서 쿠키는 기본적으로 HTTP, HTTPS 프로토콜에 관계없이 서버에 전달된다. 이 경우 HTTP 요청시 외부의 공격자에게 쿠키 정보를 탈취당할 수 있어 위험하다. secure를 명시하면 HTTPS 프로토콜일 경우에만 쿠키를 전달하여 외부의 공격자로부터 쿠키 정보를 보호할 수 있다. -> Secure attribute is mo..

4. 하이퍼바이저 정책 설정 33. 보안 패치 적용 가. 상세 설명 XenServer 및 XenCenter Patch는 Xen 시스템을 Citrix에서 출시하고 난 뒤 Xen과 관련된 응용프로그램, 서비스, 실행파일 등의 오류나 보안취약점 등을 수정하여 적용한 Update 파일이다. Update Patch 발표 후 취약성을 이용한 공격도구가 먼저 출현할 수 있으므로, Update Patch는 발표 후 가능한 빨리 설치할 것을 권장한다. 나. 진단기준 양호 : 패치 적용 정책을 수립하여 주기적으로 패치를 관리하고 있는 경우 취약 : 패치 적용 정책을 수립하여 주기적으로 패치를 관리하고 있지 않은 경우 다. 진단방법 ■ 인터뷰를 통해 주기적으로 보안 패치 적용 여부 확인 라. 조치방안 ■ 설정 기준 권고 (..

4. 하이퍼바이저 정책 설정 32. 로그 파일 권한 설정 가. 상세 설명 시스템의 기본 로깅 기록은 관리자 이외에 다른 일반 사용자에게 열람할 수 있는 권한을 부여할 필요가 없기 때문에 로깅 기록을 저장하는 파일의 소유자 및 읽기권한을 제한함으로써 보안을 강화하는 것이 필요하다. 아래의 로그 파일 권한은 시스템 사용자(root, adm, bin 등) 소유자의 타사용자 쓰기권한 제거를 설정한다. 나. 진단기준 양호 : 로그파일의 소유자가 root이고, 타사용자의 쓰기권한이 존재하지 않는 경우 취약 : 로그파일의 소유자가 root가 아니거나, 타사용자의 쓰기권한이 존재하는 경우 다. 진단방법 ■ 로그 파일 확인 1) # ls –alL [로그파일명] 보안강화적용 대상 로그파일 목록 로그파일 XenServer ..

4. 하이퍼바이저 정책 설정 31. 로깅 수준 설정 가. 상세 설명 기본적으로 시스템 운영 중 발생하는 Information 등에 대한 기록을 남기기 위한 로그 설정이 되었는지 점검한다. 시스템에 적절한 로그파일이 없을 경우, 침입자의 흔적이나 시스템 오류사항에 대해 분석할 수 없다. 나. 진단기준 양호 : "/etc/syslog.conf" 파일에 "info" 설정이 되어 있거나 XenCenter에서 [XenServer]를 선택한 후 [Logs] 메뉴에서 "Information" 로그가 설정되어 있는 경우 취약 : "/etc/syslog.conf" 파일에 "info" 설정이 되어 있지 않거나 XenCenter에서 [XenServer]를 선택한 후 [Logs] 메뉴에서 "Information" 로그가 설정..

4. 하이퍼바이저 정책 설정 30. syslog 전송 포트 차단 가. 상세 설명 UDP 514 Port는 Remote로 Syslog를 전송하는 Port로 사용되며, 사용 시 보안상 취약하며, 서비스 포트가 열려있으면 침해사고의 위험성이 있다. Remote Log 서버를 사용하지 않을 경우 Syslog 전송 Port 차단을 권고한다. 나. 진단기준 양호 : Remote Log 서버를 사용하지 않을 경우 Syslog 전송 Port 차단한 경우 취약 : Remote Log 서버를 사용하지 않고 UDP 514 Port를 사용 중인 경우 다. 진단방법 ■ syslog 전송 포트 차단 설정 확인 1) 인터뷰를 통해 Remote Log 서버 사용 유무 확인 2) udp514 포트 확인 # netstat -an | g..

5. 패치 및 로그관리 29. syslog 설정 가. 상세 설명 기본적으로 시스템 운영 중 발생하는 Info 및 alert등에 대한 기록을 남기기 위한 "syslog.co" 파일의 보안 설정이 되었는지 점검한다. syslog 데몬은 시스템의 로그를 기록하는 전용 데몬으로 원격 또는 로컬 시스템의 커널메시지 및 시스템 로그를 감시하는 역할을 한다. 이 설정이 제대로 되어 있지 않을 경우 적절한 로그가 시스템 로그파일에서 남지 않아 침입자의 흔적이나 시스템 오류사항에 대해 분석을 할 수 없다. 나. 진단기준 양호 : syslog에 중요 로그 정보에 대한 설정이 되어 있을 경우 취약 : syslog에 중요 로그 정보에 대한 설정이 되어 있지 않은 경우 다. 진단방법 ■ /etc/syslog.conf 파일을 점..

5. 패치 및 로그관리 28. SU 로그 설정 가. 상세 설명 기본적으로 일반 사용자에서 Super User로 사용되는 기록을 남기기 위해서 Su 사용로그를 남기도록 하는 보안 설정이 필요하다. 시스템의 가용성 및 무결성 등을 침해하는 사건이 발생할 경우, 일반적으로 Super User 권한으로 사건이 진행되기 때문에 Su의 로깅이 필요하다. Su 사용 로그를 기록하도록 syslog 설정 파일을 수정해야한다. Authpriv에 관련된 로그를 파일로 남기지 않고 있다면 아래와 같이 설정한다. 나. 진단기준 양호 : /var/log/secure 파일을 확인하여 su 기록이 남고 있는 경우 취약 : /var/log/secure 파일을 확인하여 su 기록이 남고 있지 않은 경우 다. 진단방법 ■ /etc/sys..