Archive for 11월, 2008
FCS (Forefront Client Security) 최신 패턴 다운로드받기
by wookie on 11.28, 2008, under 보안운영
최근 FCS를 테스트하고 있는 중인데요.. FCS는 AD인프라를 통해 업데이트가 되기때문에 설치후 최신패턴으로 업데이트되는데 사실상 하루가 필요합니다. 왜냐하면 SUS를 통해 엔진및 패턴이 업데이트되기 때문입니다. SUS의 특성상 하루에 한번씩 업데이트하게 되어 있는데 이 업데이트 타임에 FCS업데이트도 이루어지게 됩니다.
결국 설치 직후 하루정도는 안전하지 않다는 것이죠.. 그래서 FCS 설치 후 즉시 패턴 업데이트를 수동으로 해주어야 합니다. 최초 배포될때 최신의 엔진으로 설치될수있도록 자동화해주는 작업이 필수적인데 … 말이죠 아쉬운 부분입니다. 바이러스 진단을 우수한 편이라는 생각이 듭니다. 제가 사용하던 T사의 O제품에서 치료못하던 USB바이러스를 즉각 치료하더군요…
최신 FCS 패턴을 다운로드 할수있는 URL을 소개합니다.
http://www.microsoft.com/security/portal/encyclopedia.aspx
MS 서버서비스의 취약성[MS08-067]를 악용하는 웜 확산중
by wookie on 11.26, 2008, under 보안취약성
11.24
TROJ_AGENT.AKX 11.25
WORM_DOWNAD.A로 이름변경 MS08-067 패치가 적용되지 않은 시스템을 대상으로 원격코드 실행 가능 11. 26
WORM_NETWORM.C.
랜덤한 IP주소의 부지런히 패치를 하신 분이었다면 지난달 말에 이 패치가 되어 있을것입니다.
상기 웜은
및 악의적인 파일 다운로드를 받게 합니다.
445 포트오픈을 시도 이로 인한 과다 트래픽증가
Microsoft 보안 공지 MS08-067 – 긴급
서버 서비스의 취약점으로 인한 원격 코드 실행 문제점 (958644)
http://www.microsoft.com/korea/technet/security/bulletin/ms08-067.mspx
제 경우 지난달 24일에 했었네요.. ^^ 노트북이긴 했지만요.. 
보안은 브레이크와 같다
by wookie on 11.25, 2008, under 보안교육
보안이란 기업의 많은 사용자들에게 어떤 인상을 줄까 생각해 보았습니다. 많은 경우 “보안은 우리를 어렵게 ~ 해”라고 하고 싶은 사람이 많은 것이 현실입니다. 보안부서에서 근무하는 제가 최근 사내메신저 도입을 진행하면서 테스트를 요청하는데.. 자세히 듣기도 전에 직원들의 반응이 “이거 깔면 뭐가 또 차단되는건가요?”라고 나오더군요..
사실 보안이란 회사가 가진 정보자산을 보호함으로써 회사의 비즈니스 성공에 기여하고자 하는 것입니다. 보안이 많은 직원들에게 부정적인 이미지를 주고 있는 것이 현실이긴 하지만 어쨋든 보안에 대해서 바로 알려야 할 책임이 보안부서에게는 있는것 같다는 생각을 갖습니다.
보안은 브레이크와 같습니다. 브레이크가 작동하지 않는 차를 운행할 사람은 아무도 없을 것입니다. 브레이크는 자동차를 가지 못하게 하기위해 존재하는 것이 아닙니다. 자동차를 안전하게 목적지까지 가게 하기 위해 존재하는 것입니다. 브레이크가 없는 차는 생각할수조차 없을 것입니다. 보안은 기업에 있어서 브레이크와 같은 존재입니다. 때로는 속도를 늦추게도 하지만 결국은 기업의 비즈니스가 성공할수있도록 안전하게 이끌어주는 필수적인 것이라는것을 임직원들에게 설명하고 이해시키는것이 보안부서가 제일 먼저 할 일인듯합니다.
씽씽이와 자전거와 스포츠카의 차이를 생각해보도록 하겠습니다. 크기와 스피드에 있어서 차이가 나죠.. 씽씽이는 사실 브레이크가 필요없습니다. 자전거는 손으로 잡는 약한 브레이크가 필요하구요… 스포츠카는 성능이 매우 좋은 브레이크가 필요합니다. 때로는 급하게 브레이크를 잡아야 할 때가 있을 수 있습니다. 앞 차가 사고가 나서 문제가 생겼다면 브레이크를 잡고 서행해야 할
것입니다. 빨간불이 켜지면 멈추고 위험요소가 있어서 주황색 불이 깜박거리면 다소 서행을 하면서 주변을 살펴야 할 것입니다.
회사가 작았을 때, 비즈니스의 정보의존도가 작았을 때는 보안이 그리 중요하지 않을수 있지만 회사가 커지고 비즈니스의 중요도가 커질수록 그에 걸맞는 보안을 갖추어야 합니다. 대부분의 회사에서는 비즈니스의 위험에 대비하기 위한 충분한 제동장치 즉 보안시스템을 갖추지 못하고있는것이 현실입니다. 보안이 불필요한 비용으로 인식되기도 합니다. 하지만 이제 돌아보아야 할때입니다. 내가 운영하고 있는 또는 몸담고 있는 이 회사가 브레이크없이 질주하는 자동차가 되어 있지는 않은지 말입니다.
보안을 도입할때는 우리 회사의 위험요소를 잘 분석하여 그에 걸맞는 보안수준을 목표로 삼아야 합니다. 자전거에 스포츠카에 필요한 브레이크를 장착하면 자전거는 쓰러지고 말 것입니다. 보안부서에서 너무 이상적인 계획을 갖고서 보안을 도입하려고 하는것은 기업에 도움이 되지않을수도 있습니다. 보안시스템을 도입하려고 하는 기업은 처음부터 완벽한 수준을 욕심내려 하지 말고 단계별 진행 계획을 가지고 현재 기업이 처한 위험요소에 대응할수있는 적정한 수준의 보안을 진행해야 할 것입니다.
‘정보보호 교육 워크숍 2008’ 개최
by wookie on 11.20, 2008, under 보안일반
‘제 7회 정보보호교육워크숍(WISE) 2008’이 내일 21일 서울교육문화회관 동강 A홀에서 개최됩니다.
이 웍크샵은 현장등록에 의해 참가할수있다고 합니다. 1만원이 필요합니다.
일시: 2008.11.21(금) 09-18
장소: 서울 교육문화회관 동강 A홀
주최: 한국정보진흥원 (KISA)
주관: 한국정보학회 (KIISC) 홈페이지: http://www.kiisc.or.kr
홈페이지 : http://is.hoseo.ac.kr/wise/
프로그램 내역
|
시간 |
내용 |
|
|
09:00 |
09:30 |
등록 |
|
09:30 |
10:10 |
정보보호 |
|
09:30 |
09:50 |
서울여자대학교 |
|
09:50 |
10:10 |
정보보호 |
|
10:10 |
11:00 |
초청강연1 |
|
10:10 |
11:00 |
안철수연구소의 |
|
11:00 |
11:10 |
휴식 |
|
11:10 |
11:30 |
개회식 |
|
11:10 |
11:30 |
개회사: 축사: 한국정보보호산업협회 |
|
11:30 |
12:00 |
초청강연2 |
|
11:30 |
12:00 |
교육기관 |
|
12:00 |
13:00 |
점심식사 |
|
13:00 |
14:00 |
정보보호와 |
|
13:00 |
13:20 |
Capstone |
|
13:20 |
13:40 |
종합설계 |
|
13:40 |
14:00 |
공학교육인증 |
|
14:00 |
14:10 |
휴식 |
|
14:10 |
15:30 |
정보보호 |
|
14:10 |
14:30 |
가상화 |
|
14:30 |
14:50 |
산학협력형 |
|
14:50 |
15:10 |
산업계가 |
|
15:10 |
15:30 |
정보보호 |
|
15:30 |
15:40 |
휴식 |
|
15:40 |
17:00 |
정보보호 |
|
15:40 |
16:00 |
우리나라 |
|
16:00 |
16:20 |
정보보호 |
|
16:20 |
16:40 |
디지털 |
|
16:40 |
17:00 |
정보보호 |
|
17:00 |
17:10 |
휴식 |
|
17:10 |
18:00 |
전국정보보호대학협의회 |
스마트폰을 공격하는 새로운 웜 발견
by wookie on 11.18, 2008, under 보안일반
원문링크: http://www.boannews.com/media/view.asp?idx=12658&kind=1
공격대상: ARM 프로세서에 윈도우 CE 플랫폼을 구동하는 스마트폰
웜의 이름 : ‘WinCE.Pmcryptic.A’ (시만텍에서 명명)
스마트폰용 웜이 새로운 것은 아닙니다만.. 이번에 시만텍에서 경고한 ‘WinCE.Pmcryptic.A’라는 스마트폰용 웜은 더욱 교묘한 방법을 사용하여 전파되며 탐지를 피하기위해 Polymorphic 형태를 갖는다고 합니다.
Polymorphic은 다형성이라고 번역할수있는데 고정된 형태를 가지는것이 아니라 계속 변형한다는 뜻을 가지고 있습니다. 이 웜은 트래픽 유형을 기반으로 변형되어 전염되는데 이 웜이 스마트폰을 손상시키게 되면 스스로 복제본을 만들어 퍼져나가며 원치 않는 전화를 거는 등 장애를 유발할 수 있는 것으로 알려졌습니다
전파되는 방법도 교모한데 블루투스가 아니라 스토리지 카드를 통해 전염되며.. 웜 활동으로 인해 스마트폰의 배터리를 빠른 시간내에 방전시킨다고 합니다. 또한 결과적으로 스마트폰 용량에 과부하가 걸리게 한다는 것이 시만텍의 설명이다.
내부정보 유출방지가 산업경쟁력 될 것
by wookie on 11.18, 2008, under 보안일반
원문링크: http://www.boannews.com/media/view.asp?page=1&gpage=1&idx=12669&search=&find=&kind=0
최근의 일련의 정보유출사고로 인해 올해는 보안세미나가 유독 많은 듯합니다. ^^ 행안부 주최로 열린 공공기관의 개인정보 보호 컨퍼런스에서 있었던 발표내역입니다. 저는 가보지는 못했는데 보안뉴스를 통해 정보를 접하고 있습니다. 내부 정보 유출방지의 신뢰성과 그 성공여부가 결국은 산업경쟁력이 될거라는 내용의 세미나가 있어서 간략히 소개해봅니다.
내부정보 유출방지가 산업경쟁력 될 것
강연자: 신세계아이앤씨 김기환 파트장
강연제목: 내부정보 유출방지 방안
일시,장소: 11월 18일 서울교육문화회관
행사명: 제6회 공공기관 개인정보보호 컨퍼런스 (행안부 주최)
정보유출로 인한 경제적 피해 규모가 기하급수적으로 증가함에 따라 내부정보유출방지가 산업 경쟁력이 될 것이다. 인터넷의 급속한 발전으로 인해 각종 인터넷 사고가 급증하면서 개인정보 및 중요자원에 대한 보안대책에 대해 시급한 입장이다. 전자상거래 뿐만 아니라 포털 형태의 홈페이지 이용 시 정보활용을 하고자 해도 개인 PC에 대한 보안서비스가 제공되지 않아 해킹 및 바이러스로부터 개인들은 무방비로 노출되고 있는 상태다.
국내에서는 대부분의 기업에서 단발적인 솔루션이나 물리적인 시스템의 도입을 통해 외부에서의 공격을 차단하는 보안 방안이 주를 이루고 있다. 기업의 정보가 유출되는 경로는 주로 내부의 주요 데이터를 다루는 직원이나 협력 업체 등을 통해 빈번하게 일어나고 있다. 기업의 중요 데이터를 근본적으로 보호할 수 있는 방안 마련이 시급하다.
내부정보유출방지를 위해 정보보호컨설팅을 통한 분석 및 정책ㆍ지침 수립 후 적합한 보안솔루션 도입을 통한 안전한 보안체계 확립이 무엇보다도 필요하다
[세미나소식] 2008.11.25 HP 정보유출방지를 위한 보안전략
by wookie on 11.17, 2008, under 보안일반
HP에서 개인정보보호및 내부정보 유출방지를 위한 보안전략세미나가 있습니다.
중소기업용 파일보안/협업 솔루션 Enterprise Disk for SMB의 성공사례를 이야기하는 듯합니다.
어쨋든 도움이 될듯합니다. 관심있는 분들은 참석하시면 좋을듯해요.. ^^
▶ Agenda
|
Time |
Session |
|
14:00~14:10 |
인사말 |
|
14:10~14:30 |
유출사고에 사례 및 레퍼런스 소개 |
|
14:30~15:00 |
HP Proliant 서버 전략 |
|
15:00~15:50 |
내부정보유출 방지 보안 및 감시 기능 |
|
15:50~16:00 |
휴식 |
|
16:00~16:30 |
내부정보유출 방지 보안 관리기능 |
|
16:30~16:50 |
데모 시연 |
▶ 세미나 일시 및 장소
|
주 최 : |
(주)엑츠솔루션 |
|
후 원 : |
한국HP |
|
일 시 : |
2008년 11월 25일(화) 14:00~16:50 |
|
장 소 : |
▶ 세미나 신청 페이지:
http://seminar.eventservice.co.kr/HP_eKorea/
보안전문가에게 중요한 것은…
by wookie on 11.14, 2008, under 보안일반
보안뉴스를 보다 보니 강원영 인포섹 E-컨설팅수석의 글이 게재되어 있더군요.. 좋은 글이라는 생각에 정리할 겸해서 몇자 적어 봅니다.
원문링크: http://www.boannews.com/media/view.asp?idx=12592&kind=0
보안은 중요합니다. 보안 분야에서 의미있는 인재가 되기위해서 필요한 것이 무엇일까 생각해봅니다. 기술교육을 잘 받고 보안 라이센스등을 취득하는 것이 도움이 되긴 하겠지만 보안이란게 결국은 사람과 사람의 관계, 또 사람과 환경과의 문제이기 때문에 다른 것들이 더 중요하게 느껴집니다. 보안도 결국 보안의 수요자를 위해 공급되는 것이기 때문에 요구를 잘 파악하고 만족시킬 수 있는 것이 중요할 거라 생각됩니다.
내가 이상적으로 생각하는 보안을 하는 것이 아니라 고객에게 필요한 보안을 하는 것이죠.. 고객의 위험을 제대로 분석해서 고객에게 가장 적절한 수준의 보안을 하는것이 중요합니다. 보안이란 비용이 많이 들어가면서도 항상 위험이 남아 있습니다. 문제는 얼마만큼의 위험을 남길 것이냐 하는 것입니다. 고객을 설득하고 계획을 수립해서 단계별로 일정에 따라 업무를 진척시켜 나가서 고객이 만족할 만한 보안을 하는 것입니다. 보안도 결국은 고객의 만족을 위한 것이란 것을 잊어서는 안될 것 같습니다.
▶ 보안 전문가에게 중요한 것
1. 보안에 대한 기술적인 지식과 제반 환경을 잘 이해할 것
– 보안전문가는 IT환경 뿐 아니라 경영환경까지도 폭넓게 이해할 수있어야 합니다. 보안의 수요자는 사실상 기업의 CEO 이기 때문에 경영환경까지도 폭넒게 이해하고 철저히 비지니스 마인드를 가지고 접근해야 합니다.
2. 고객과의 협의및 미팅을 주관하고 원활하게 의사소통하기 위한 표현력 및 사고력 기를것
– 고객이 이해할수 있는 용어로 고객이 받아들일 수있는 근거를 가지고 접근해야 합니다. 이론적인 보안원칙에서 출발할 것이 아니라 고객의 입장에서 시작할 수 있는 사람이 되어야 합니다. 이를 위해 적절한 표현력과 사고력이 필요로 합니다.
3. 보안요구사항을 적절하게 분석하여 꼭 필요하면서 실행가능한 최선의 보안전략을 수립할 것
– 도출된 요구사항을 만족할수있도록 실행가능한 전략을 수립하고 단계별로 기간별로 보안 Task들을 완료해가며 고객이 만족할 만한 Report를 제출할 수 있어야 합니다.
FCS (Forefront Client Security ) 테스트 시작하다
by wookie on 11.13, 2008, under 보안운영
그동안 T모사의 백신을 사용했더랬습니다. 나름 관리하기에 수월하고 웜에 강한 면모를 보여 잘 사용했더랬습니다. 그런데 이게말이죠.. USB바이러스에 유독 약한 면모를 보이더니 몇달전엔 엑셀매크로 바이러스가 사내에 널리 퍼지는데도 조치가 잘 안되는 어려움을 당해야 했습니다.
새로운 백신을 테스트하고자 했고 최근 Microsoft의 FCS (Forefront Client Security) 를 사용해보기로 했습니다. Microsoft와 파트너사의 도움을 받아서 FCS를 몇달간 테스트하게 되었습니다. 외산 백신의 경우 국내에 연구인력이 없거나 매우 부족한 경우가 많고 국내 백신의 경우엔 다양한 해외의 변종바이러스들의 유입에 다소 약한 면이 있었기 때문에 많은 고민이 있었습니다.
Microsoft의 백신을 사용해보고자 한 것은 Microsoft의 풍부한 리소스 탓도 있었고 오탐의 최소화가 가능할 것이며 Abnormal한 바이러스 공격을 가장 잘 구분할수있을거라는 기대 때문이었습니다. 물론 실재로 그런지는 몇달후에 판단해야 할 것입니다.
FCS를 사용하는 동안 아래의 사항들을 점검해 보려고 합니다.
1. 중앙관리의 편리성과 정책 배포의 정확성
2. 백신패턴 업데이트의 신속성과 배포율
3. 백신클라이언트의 치료율
4. 신규 바이러스에 대한 대응의 신속성
5. 클라이언트의 수행 퍼포먼스
지금까지 느낀 FCS의 특징은 ?
1. 가볍다.
음 사용한지 얼마되지는 않았지만 매우 가벼운 편이라는 생각이 듭니다. 백신치고는 말이죠…
하지만 인터페이스는 매우 단순합니다. 어디서 많이 보던 인터페이스입니다. 비스타에도 들어있는 윈도우 디펜더가 바로 이 FCS입니다. 
2. 서버 관리콘솔이 일목요연해 보이지 않는다.
FCS 서버의 관리 콘솔입니다. 백신서버의 콘솔치고는 초기 대시화면이 좀 약해 보입니다. 뭔가 전체 상황을 직관적으로 모니터링하기엔 좀 약하다는 느낌이 듭니다. 개선이 필요한 부분입니다. 어떤 공격이 많이 들어오고 있는지 어떤 취약점이 있는지 한눈에 들어오지 않습니다.
3. 세부 항목에 들어가 보면 상당히 상세한 정보를 제공한다.
이 화면은 security summary화면입니다. MS SQL2005의 리포팅서비스를 이용하기 때문에 비쥬얼한 보고서를 보실수있습니다. 드릴다운 하시다보면 정말 많은 보고서를 접할 수 있습니다. 
4. 클라이언트 시스템들의 취약점 관리가 가능하다
FCS에는 MBSA구성요소도 포함되어 있기 때문에 기존의 다른 백신과 달리 윈도우 시스템 취약점을 중앙에서 모니터링하여 취약점을 줄이는 노력을 할수 있게 됩니다. 이건 점수를 잘 줄수 있는 부분이네요..
5. 배포가 간편하다.
이것은 Microsoft Active Directory를 사용했을 때의 이야기입니다. OU를 이용하여 간편하게 배포하는 것이 가능합니다. 사실 백신의 배포는 쉬운 일이 아니거든요.. AD를 사용하시는 기업이라면 충분히 메리트를 느낄만한 부분입니다. FCS 클라이언트는 WSUS서버로 부터 엔진및 패턴 업데이트를 받게 되는데 업데이트의 정확성및 신속성을 보장하기 위해 MOM에이전트까지 탑재되어 있습니다.
첫 인상이 나쁘지는 않습니다. ^^ 몇달간 충분히 테스트해보면서 향후 거취를 결정하려고 합니다.
US-CERT, 어도비 리더 취약성 경고
by wookie on 11.10, 2008, under 보안일반
공격이 점차 어플리케이션 취약점으로 옮겨가면서 윈도우즈 보안패치를 다 했다하더라도 안심할수가 없는 상황이 되었습니다. 이제 윈도우 보안패치 뿐 아니라 PC에 설치된 각종 응용 프로그램들의 보안패치를 골고루 해야 합니다. 올해 8월엔가도 경고된 바 있던 어도비 보안업데이트에 대해서 다시 이야기가 나오고 있습니다. 이젠 통합 보안패치 프로그램이 필요할 듯합니다. (윈도우뿐 아니라 어도비등의 각종 응용프로그램을 업데이트하는 툴 말입니다) 누군가 만들어 주었으면 하는 생각이 드는 까닭은 무엇 때문일까요?
▶ 어도비 리더의 취약성 경고
미(美) 국토안보부 산하 컴퓨터긴급대응팀(이하 US-CERT)가 어도비 리더의 최근 취약성에 대한 익스플로이트가 나타나고 있다고 경고했습니다. 해당 취약성에 대한 익스플로이트는 악의적으로 제작된 PDF 파일을 이용하는 형태로, 지난 11월 초에 배포된 어도비 보안 업데이트 APSB08-19에서 처리된 자바스크르립트 오버플로우 취약성을 익스플로이트하는 것으로 알려졌습니다. 해당 익스플로이트가 성공할 경우 공격자들은 아비터리 코드를 실행하거나 서비스 거부 공격을 유발할 수 있습니다. 또한 알려진 바에 따르면 해당 익스플로이트는 현재 일반적인 안티바이러스 애플리케이션으로는 탐지되지 않아 더욱 주의가 요구됩니다.
취약한 어도비 버전: (업데이트 필요)
* Adobe Reader 8.1.2
* Acrobat 8.1.2
안전한 어도비 버전
* Adobe Reader 9
* Acrobat 9
* Adobe Reader 8.1.3
* Acrobat 8.1.3
▶ 관련 자료
Adobe Reader Javascript Printf Buffer Overflow
http://www.coresecurity.com/content/adobe-reader-buffer-overflow
조작된 pdf 파일 파싱과정중에 스택버퍼오버플로우가 가능하며, 해당 문제점은 util.printf()함수내에 포함된 부동소수 포인트내에 포함된 포맷스트링 파싱과정중에 경계값 오류에 의한 것입니다. 결과적으로 조작된 PDF파일 오픈 시 원격지에서 시스템 권한을 획득할 수 있습니다.
▶ 방어방법은
1. 어도비 보안 업데이트 APS08-19 확인 후 어도비 보안업데이트 또는 버전 업데이트
adobe reader 8.1.1 update
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4084
adobe reader update :
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
adobe reader 최신버전 다운로드:
http://www.adobe.com/products/acrobat/readstep2.html
2. 정체 불명 파일을 열 경우, 주의 필요
3. 백신 최신으로 업데이트
