우키의 보안이야기

MS정품 윈도우를 쓰고있다면 누구나 무료로 사용할 수 있는 가볍고 성능좋은 백신이 있다는거 아시나요? 바로 Microsoft Security Essentials 라는 제품입니다.

제가  집에 있는 저의 개인PC와  공공장소에 있는 몇대의 pc에 직접 설치해서 사용해본 결과  꽤 쓸만하다고 느껴져서 여러분들에게도 추천해드립니다.  실제로 공공장소의 PC엔 상용 백신제품이 설치되어있었는데  삭제못하고있던 웜파일이있었고  Secrutiy Essentials 가 이 웜을 발견/치료 성공하는것을 확인할 수 있었습니다.

Microsoft Security Essentials의 장점

1.  실시간 보호 제공
2. 설치가 간편하며 무료입니다.
3. 시스템 리소스를 적게 사용하여 가볍습니다.

다운로드 사이트: http://www.microsoft.com/security_essentials/

▶ 외부의 공공장소에서 급하게 메일을 확인해야 한다면….
  이따금 외부의 공공장소에서   급하게 회사메일이나 개인메일을 열어보아야할 때가 있습니다. 공공장소에 설치된 PC에서  패스워드를 입력한다는 것은 매우 위험천만한 일인듯 싶습니다.   뭐가 깔려있을지 모르거든요.. 키보드 입력값을 후킹하는 키로거들이 숨어 있을수 있습니다. 요즘은 더욱 지능화되어서  발견이 더욱 힘들어 지고 있는 상황이죠..

  얼마전에 중소기업청에서 주관하는 교육때문에 외부에 나간 적이 있는데  회사메일을 확인해야 하는데.. 정말이지 불안하더군요.. 확인은 해야하는데 제 노트북은 가지고 오지도 않아서  교육장에 있는 PC를 사용해야만 했습니다. 어떻게 해야 안전해질 까 고민하다가 문득 생각난 것이 화상키보드 프로그램이었습니다.  안심하고 회사메일을 열어 볼 방법을 찾았다고 생각했는데  화상키보드 프로그램도   역시나 가상키보드 프로그램이었기 때문에  동일한 키보드가 눌리는 이벤트를 발생시키는 바,   키로거를 피할수없더군여..  초코님이 알려주셨답니다. ㅠㅠ  이 자리를 빌어서 감사..    그렇다고 실망할 제가 아니기에 키로거를 따돌릴 방법을 찾기 시작했습니다. 

▶ 키로거를 무력화 시키려면…
   키로거를 무력화 시키려면…  어떻게 해야 할지 조건을 생각해보았습니다.
    1) 키보드를 누르는 이벤트를  발생시키지 않아야 한다.
    2) 암호문자를 생성할때 암호화된 상태로 생성해야 한다.
    3) 입력받은 암호화문자열을 브라우저의 입력창까지 안전한 방법으로 이동시켜야 한다.
 
  이것을 만족시키는 프로그램을 드디어 찾았답니다. ㅋㅋ    다른 가상키보드 프로그램들은 보기도 좋고 사용하기도 쉬운 것에 비해서  Neo’s Safekeys 는 모양도 별로고 입력방법도 불편하기만 합니다. 그래도 비교적 안전한 듯합니다. 

▶ SafeKeys 의 장점
  1) 무료입니다.
  2) 달랑 실행파일 하나입니다.   (포터블로 사용이 가능하다는 이야기입니다)
      USB메모리등에 담고 다니면 되겠죠?
  3) 암호키를 생성할때부터  패스워드창에 입력할때가지 안전하게 지켜줍니다.
     (키로거가 끼어들 틈이 없음)
  3) Safekeys를 띄울때마다 입력기창의 위치및  크기가  바뀝니다.
     (커졌다, 작아졌다, 늘어났다, 줄어들었다..  왼쪽에 떴다  오른쪽에 떴다)
    처음에 프로그램 에러인줄 알았다는…  ^^   마우스 위치추적까지 피하기위한 배려랍니다.
     근데 입력기창이 너무 모양이 안예쁘다는 단점이 있습니다.

▶ SafeKeys 의 사용법
  1) 접속하기 원하는 웹사이트의 로그인 화면으로 이동한다.
  2) safekeys 실행파일을 실행시킨다.
  3) 상단의 키보드아이콘을 이용해서 원하는 암호를 입력한다.
  4) 아래쪽 창에 ***** 로 보이는 암호값이 생성된다.
  5) 마우스로 이 암호값을 선택해준다.
  6) 아래쪽 창에 선택된 암호문자열을 마우스를 이용하여 패스워드입력창으로 드래그 앤 드롭한다.
  7) 암호값이 ******로   패스워드 입력창에  정상적으로 옮겨진 것을 볼수있다.
  이제 로그인 버튼만 클릭하면  끝…  ^^


제작자 홈페이지: http://www.aplin.com.au/neos-safekeys-2008/neos-safekeys-2008-download
다운로드 페이지: << 다운로드 (portable version) (install version) >>
  
 

  웹쉘이란  “해커가  웹서버의 취약성을 틈타  웹서버상에 업로드한  웹페이지형태의  악의적인 코드”라고 할 수 있습니다.   웹쉘이 설치되어 있으면   해커는  원격에서  웹쉘이 설치된 웹서버의 파일/폴더를 마음대로 조작할 수 있으며  계정생성및 관리자권한획득, 시스템의 명령커맨드 조작등  대부분의 작업을 할 수있습니다. 

  이런 웹쉘이 설치되어 있는 것은 감지하기가 쉽지가 않지요..  KISA에선 공격자에 의해 생성된 웹쉘을 손쉽게 탐지하고 대응할 수 있도록   Whistl 이란 프로그램을 개발하여 보급하고 있습니다.   사용하고자 하는 회사에서는  사용신청서를 작성하여  email로  요청하면   설치파일과   인증파일/사용계정을  받을 수 있습니다.   

  신청하실 때  받는 메일이  실행파일을 수신할 수있게 설정되어 있어야 합니다.  제 경우 회사 메일로는 block되어서  파란메일을 통해서 받을 수 있었습니다.   최근엔  실행파일을 압축해서 보내도  메일서버에서 정책에 의해서 첨부파일을 삭제하는 경우가 많습니다.

<< WHISTL 소개및  사용신청 안내 >> 

문의 및 기술지원:   Tel : 02-405-5617, EMAIL : whistl@krcert.or.kr

▶ Whistl 사용신청서 양식입니다.
     적을거 정말 없습니다.  작성하는데 30초도 안걸리죠.. ^^

▶ Whistl 담당자로 부터 온 메일입니다.
    신청서를 보내면  며칠 걸린다고 되어있긴 했습니다만  제 경우 몇시간내에 받았네요…
     첨부파일로  설치프로그램 , 인증파일,  사용하는 아이디/패스워드 정보가 왔습니다.

▶ 그럼 지금부터 Whistl을 사용해보겠습니다.
  1) 일단 서비스하는 웹서버의 특정 폴더에  복사합니다.  아래처럼  실행파일과  인증파일을 같은 디렉토리에 넣어두어야 합니다. 
  2) 파일을 실행하면 로그인창이 뜨는데   부여받은 아이디/패스워드를 이용하여 로그인합니다.

  3)  먼저 패턴을 최신으로 업데이트해야 합니다.
      자동업데이트도 설정을 해두는것이 좋겠죠?

  4) 환경설정에서  검색대상 확장자를 지정해줍니다.   웹서버에 따라서 적합한 것을 체크해주세요

  5) 검색할 경로를 지정한 후  검사를 시작하면 되겠습니다.  검색된 웹쉘 파일이 있을 경우  파일보기를 하시면  수상한 부분을 표시해주는 것을 보실 수 있을 겁니다.

psinfo.exe는  서버의 보안관리에 매우 유용한 툴입니다.
psinfo를 이용해서  원격서버의 보안패치 설치여부및 리부팅 여부를 확인하는 방법을 적어봅니다.

Psinfo 다운로드:  http://technet.microsoft.com/en-us/sysinternals/bb897550.aspx

아래와 같은 패치파일을 만듭니다.
===========================================================
Remote_Patch_Check.bat
===========================================================
echo 192.168.1.11 >>patch_check_090821.txt
Psinfo -h  \\192.168.1.11 | find “958644″ >>patch_check.txt    –> 따옴표안에 패치넘버 입력
Psinfo -d  \\192.168.1.11 | find “Uptime:” >>patch_check.txt   –> 부팅된 이후 시간 (리부팅여부확인)
===========================================================
위 파일의 결과화면


psinfo 의 용례
psinfo  -Option [ \\computer_name| @file] -u  user_id  -p user_password

-s     설치된 application 내역을 확인할 수있습니다.
-h     설치된 핫픽스 내역을 확인할 수 있습니다.
-d     볼률정보등을 확인할 수있습니다.
@file  파일에 리스트된 컴퓨터들에 대해 조회된 결과를 출력할 수있습니다.

  백신이 모든 바이러스를 남김없이 잡아줄수 있다면 얼마나 좋을까요?

          그러면 각 프로세스의 실제적인 정체를 알수가 있습니다.    

        svchost.exe나 rundll32에 기생해서 활동하는 바이러스들의 실행위치와 파일명까지 나타납니다.

        이젠 바이러스가  만들어놓고 활동중인 프로세스를 식별하게 되었습니다.

    2) 바이러스가 사용중인 프로세스를 종료시킵니다.

        아래 그림에서 보는 것은 confiker변형바이러스의 특징인 수많은 바이러스작업스케쥴러들입니다.

        수많은 바이러스 프로세스중에 최상위 프로세스를 클릭하여 Kill Process Tree를 선택해줍니다.
              

3. 바이러스 파일및 레지스트리 항목 제거
      2번 항목까지 하면  PC에 설치된 백신들이  바이러스를 자동으로 잡는 경우가 많습니다.

    1) 바이러스 파일을 찾아서 삭제합니다.
        프로세스가 종료되었으므로 바이러스 파일을 쉽게 삭제할 수있습니다. 

    2) 시작프로그램에 삽입된 바이러스 레지스트리 항목 삭제합니다.
      실행창에서 msconfig라고 입력하시면 자동 시작되는 바이러스 프로세스들을 삭제할수있습니다.

 

예전에 ‘우키의 블로그’에 포스팅했던  아래 글을 참고하세요

http://jaewook.net/entry/unknown-virus-kill

항상 그렇지만 요즘들어 스팸이 더욱 기승을 부리고 있습니다.
회사 메일서버에서도 상당 부분 거르고 있는데도 불구하고 많은 스팸들이 여전히 들어오고 있습니다.
그래서 무료 스팸차단 프로그램을 알아보게 되었습니다.  ^^

스팸체커는 방송통신 심의위원회에서 배포하는 무료 스팸차단 프로그램입니다.
최근 많아진 스팸때문에 사용해보고 있는데  괜챦은듯합니다.
스팸체커는  음란스팸차단을 주목적으로 하고 있습니다.

▶스팸체커의 장점
1. 음란스팸 차단 (음란사이트 DB, 음란키워드,음란이미지등을 인식)
2. 다음,네이버,야후등 웹메일의 스팸 차단 기능
3. 아웃룩으로 수신되는 스팸 차단  (POP3서버 지원)
4. 별도의 프로그램형태로 제공하여 자동으로 스팸을 제거함
5. 제거된 스팸을 지정한 날동안 보관 가능

회사에서 거르지 못한 스팸도 추가로 걸러주는 모습을 볼수있습니다.
하지만 자세히 보면 스팸아닌것도 스팸으로 분류되기도 하기때문에 확인이 필요합니다.
저는 선별기준을 높게 가져갔더니   Cisco에서 온 행사 안내 메일도 스팸으로 들어갔더군요..  ^^
POP3메일서버들 뿐 아니라  유명 웹메일업체들도 지원한답니다.

여러 계정으로 들어온 스팸메일을 동시에 정리해줍니다. 회사메일 + 다수의 웹메일 등

아래 그림은 차단메일로 들어간 일반 메일을  eml포맷으로 저장하고 있는 장면입니다.

스팸체커 홈페이지:  http://spam.icec.or.kr
스팸체커 프로그램및 매뉴얼 다운로드:  http://spam.icec.or.kr/sub/down.html
스팸체커 동영상 매뉴얼: http://spam.icec.or.kr/sub/scenario.html
스팸체커 이용중 궁금한 사항은  아래의 연락처로 문의하면 된다고 합니다.
          콜센터:  1377         Email: spam@kocsc.or.kr

  노트북에 중요 데이타를 보관하고 있는 경우  이 노트북이 분실될 경우 매우 곤란해질수있습니다.  개인적인 중요데이타 일수도 있고  기업의 중요파일일수도 있을텐데요..  이런경우  TrueCrypt를 통해  안전하게 정보를 지킬수가 있습니다. TrueCrypt 는 무료라서 사용하는데도 제한이 없어서 매우 추전합니다.  무료인 암호화프로그램중에서 가장 추천할만 하여 소개합니다.

  최근 LG칼텍스건때문에  개인정보,고객정보를 암호화하지않고 PC에 보관하는것에 대한  회사차원에서의 감사를 실시하려고 생각중인데요..  법률적으로  고객정보를 암호화하지않은채로 PC에 보관하고 있다면  감사 시 문제가 될수 있고  또 정보유출사고가 생겼을때 큰 책임을 져야 한다는 것이죠..  ^^

  TrueCrypt는 파일 또는 파티션을 암호화해서  가상드라이브에 마운트하여 사용하는 형태의 PC암호화 프로그램입니다. 그래서 이 암호화된 드라이브에 중요 정보들을 보관하면  설령 노트북을 도난당한다 할지라도 안심할수 있습니다.  중요정보 (개인정보,고객정보)를 노트북에 꼭 보관해야 하시는 분들은 TrueCrypt를 사용하시길 권해드립니다. 사용법이 간단할 뿐 아니라  여러가지 설정으로 더욱 안전하게 암호화를 사용할수있게 해줍니다.

▶ TrueCrypt 의 장점
  – 윈도우, Mac OS X, 리눅스(우분투, OpenSuse)를 지원
  – real time 암호화 지원 (가상 암호화 드라이브 를 통한.. )   
  – 파일/ 파티션/ 디바이스 단위로 암호화 가능
  – OS가 인스톨된 파티션/드라이브도 암호화 가능
  – Dismount의 자동화옵션으로 보안속성 강화 가능
  – Hidden volume 사용가능 (보안강화 가능)
  – 다양한 암호화 알고리즘 지원

▶ 저의 암호화된 TrueCrypt 가상드라이브입니다. ^^
  저는 F:\sfolder\wistaf.tc 라는 파일을 생성하였으며  20글자 이상의 Pass phrase를 이용하여 AES-Twofish 암호화했습니다.  그리고 이것을 암호화 가상드라이브인 Q드라이브로 마운트하였습니다.  


▶ TrueCrypt로 암호화 가상드라이브 만들기.
  백문이 불여일견!   보안드라이브를 하나 만들어 보도록 하겠습니다.  어렵지않으니 잠시 들여다 봐주세요.. ^^
    1. TrueCrypt Volume Creation Wizard (암호화를 위한 Volume을 준비합니다.)
       저는 여기서 암호화를 위한 파일을 생성해보려고 합니다.

       2. Volume type을 설정합니다. 저는 standard로 …
       3. Volume 위치를 설정합니다.  select File 아이콘을 클릭해서 할수도 있지만
          그냥 디렉토리및 파일명을 바로 입력했습니다. 지정된 파일이 자동으로 생성됩니다..

       4. 암호화 옵션을 설정합니다. 저는 AES-Twofish로 설정했습니다.. ..
       5. Volume size을 설정합니다.  (가상 파일의 크기가 여기서 결정되죠)
       6. Volume password를 설정합니다. 20글자이상으로 하는 것을 권장합니다.
           key file를 지정해주어도 됩니다. 하지만 파일이 없어지거나 하면 다시는 암호화 파일을 열수없게되므로
           제가 개인적으로 보았을때는 비추천입니다. 암호는 없어질수 없지만 파일은 …. 
       7. Volume 을 포맷합니다.  Random pool이 계속 변화하는것이 보입니다. 아래쪽의 포맷버튼을 클릭하면
           포맷이 진행되고  이것이 끝나면 암호화파일 준비가 모두 끝나게됩니다.

▶ TrueCrypt 보안드라이브 마운트하기
  암호화된 파일을 이용하여 보안드라이브를 마운트해보겠습니다.  ^^  
     1. 먼저 사용할 드라이브를 선택해줍니다.
     2. 미리 만들어 둔 암호화 파일의 경로및 파일이름을 적어줍니다.
     3. Mount버튼을 클릭합니다.
     4. 패스워드를 물어보는데  미리 지정한 패스워드를 입력하고 OK버튼을 클릭합니다.
        key files를 사용했다면 아래쪽의 use key files를 선택해줍니다.


▶ TrueCrypt의 보안설정하기
  저는 보안드라이브를 꼭 필요할때만 사용하기위해  필요할때만 수동으로 사용하기로 하였습니다.
- Actions to perform upon log on to windows:
  윈도우 부팅시 TrueCrypt를 자동으로 실행하게 할수있습니다. (저는 사용하지않기로 했습니다.)
- Auto-Dismout :
  저는 로그오프 또는 전원절약모드에 들어갔을때 자동으로 Dismount되도록 설정했습니다.
  그리고 사용하지않는 시간이 30분이상이되었을때 자동으로 Dismount되도록 설정했습니다.
  자리를 비웠을때 자동으로 암호화된 드라이브가 사라지게 함으로서 보안수준을 높일수있습니다.
- Password cache:
  TrueCrypt를 나갈때 cache된 패스워드를 지우도록 설정하였습니다.

제작사 사이트: http://www.truecrypt.org/ 
다운로드 사이트: http://www.truecrypt.org/downloads.php

요즘 인터넷을 하다 보면 나도 모르게 설치되는 프로그램이 많습니다.
무단 설치되는 이들 프로그램은 개인PC의 정보를 빼갈수도 있으며 
컴퓨터의 성능을 많이 떨어뜨릴수도 있습니다.

WInpatrol은  이런 프로그램이 설치되는 것을 통지해주고  다시 쉽게 삭제할수있게 가이드해줍니다.
윈도우가 부팅될때부터  셧다운될때까지 항상 시스템에 상주하면서  어떤 프로그램이 설치되는지 감시해주고
이미 설치된 프로그램들을 검사해서 불필요한 프로그램들을 골라서 삭제할수있도록 도와줍니다.

아래 그림은 winpatrol을 실행한 화면입니다. 특히 ActiveX 들은 사용자의 의사와 상관없이 설치된 것들이 많습니다.  언제 winpatrol이 그 프로그램을 발견했는지 시간정보도 나오며  유용한 정보를 보여줍니다.
주로 보실것은 ActiveX 와 Startup Porgrams 라고 보여지는에 이곳에서 손쉽게  불필요한 프로그램들을 골라낼수있게 도와줍니다.

아래 탭에 보시면 PLUS란 탭이 보이실텐데 그건 유료버전에서 지원이 되는 메뉴입니다.
검출된 수상한 프로세스등을 파악하는데 도움이 되는 서비스인데요… 사실상 인터넷에서는
이런류의 서비스를 기존에 제공하는 것들이 있으니  그것을 참조하시면 되겠습니다.
아래 사이트는 잘 모르는 프로세스들을 확인하는데 사용할수있는 좋은 곳입니다.
http://www.liutilities.com/products/wintaskspro/processlibrary

아래 화면은 새로 프로그램이 설치된 것을 Find해서 알려주는 것을 캡춰한 것입니다.
문서보안 에이전트 프로그램을 설치했더니 아래와 같이 새로운 윈도우서비스가 발견되었다며 통지해주더군여


제작사 사이트: http://www.winpatrol.com/
프로그램 다운로드: Free Download – Install WinPatrol 2008