우키의 보안이야기

며칠씩 계속 되는 연휴는  보안상 헛점이 생기기 쉬운 때입니다.
이런때 공지메일을 통해서  주의를 환기시킨다면  적절한 보호조치를 취할 수 있게 됩니다.
설 연휴를 앞두고 보내는 보안공지이기도 하지만   장기출장, 휴가, 기타 연휴시에도 마찬가지로
이런 원칙에 입각하여 보안활동을 할 것을  권장하실 수 있습니다.
아래 관리자 메일은  임의로 가상으로 표시한 것입니다.

참조원문:  <<보안뉴스 >>
  뉴옥주는  소프트웨어 제조업체들이   납품하는 제품이 CWE/SANS의 ‘위험한 프로그래밍 에러 탑 25’에 열거된 코딩 에러와 무관하다는 것을 증명하도록 요구할 예정이라고 합니다.

  조달 표준 초안에 근거해 뉴욕 주 기관과 사업을 진행하는 소프트웨어 제조업체들은 그들이 에러 탑 25에 속하는 코드를 제거했음을 증명해야만 합니다.   뉴욕주 당국은 이번 주 작성된 새로운 정부 조달 언어를 통해  소프트웨어 개발자들의 코딩 에러 양산을 줄인다는 계획을 가지고 있습니다.  뉴욕 주는 CWE/SANS가 최근 발표한 ‘위험한 프로그래밍 에러 탑 25’ 리스트를 인용, 가장 위험한 코딩 취약점을 규정하고 소프트웨어 개발자들이 그러한 에러를 피하도록 하고 있다고 합니다.

  현재 초안이 SANS 인스티튜트 사이트에 “애플리케이션  보안 조달 언어(Application Security Procurement Language)”에 게시되어 있습니다.  SANS는 이는 가이드일 뿐 실제 약정 언어는 공인된 대리인을 통해 작성되어야 한다고 조언했습니다.  이와 관련해 이번 새 언어의 초안 작성자이기도 한 뉴욕주 CISO 윌리엄 펠그린(William Pelgrin)은 “인간의 에러는 항상 요소가 될 수 있다”며 “정부 조달 과정에 책임과 신뢰를 부여하고자 한다. 또한 에러 발견시 가능한 빨리 치료와 완화가 이루어질 수 있도록 하고자 함이다”라고 밝혔습니다.

애플리케이션 보안조달 언어(Application Security Procurement Language)에 대한 초안 
  http://www.sans.org/appseccontract/

 ‘위험한 프로그래밍 에러 탑 25’ 리스트
http://www.sans.org/top25errors/
http://cwe.mitre.org/top25/

며칠전에 개발자가 피해야 할 최악의 프로그래밍 에러 TOP25란 글을 포스팅한 적이 있으니 참고하세요
http://w-security.net/entry/TOP25-Most-Dangerous-Programming-Errors

ISA VPN설정시  윈도우즈 VPN 클라이언트가 도메인통신을 하기위해 오픈해야 하는 기본 포트들입니다.
타 방화벽을 설정하는데도  유용하게 쓰일 리스트라서.. 정리해봅니다.
아래 포트가 열리면 클라이언트를 도메인에 가입시킬 수 있으며  공유폴더에 접근하게 할수있습니다.
(아래 리스트는 ISA 서버에서 시스템 통신포트로 정리되어 있던 것입니다)

*Allow access to Directory Services for Authentication
LDAP (UDP)                              389  UDP Send Receive 
LDAP GC (Global Catalog)         3268 TCP  Out
LDAP                                        389  TCP  Out
LDAPS GC (Global Catalog)       3269 TCP  Out
LDAPS                                      636  TCP  Out

*Allow Microsoft CIFS
Microsoft CIFS (TCP)                445 TCP Out
Microsoft CIFS (UDP)                445 UDP Receive

* Allow Netbios & Wins
Netbios Datagram                      138  UDP Send
Netbios Name Service                137  UDP Send Receive
Netbios Name Service                137  TCP out
Netbios Session                       139  TCP Out
Wins                                      1512 TCP out
Wins                                      1512 UDP Send Receive  

* Allow RPC
RPC (all interfaces)                 135  TCP Out
RPC endpoint mapper              135 UDP Send Receive

* Allow Kerberos Authentication
Kerberos-sec (TCP)                 88  TCP Out
Kerberos-sec (UDP)                 88  UDP  Send Receive

원문: * http://www.boannews.com/media/view.asp?idx=13780&kind=0
        * http://www.boannews.com/media/view.asp?idx=13796&kind=0

▶ 포스코의 “정보보호실천 10대수칙” 강조 활동
    포스코 정보기획실은  노경협의회와 함께 직원들에 대한 정보보안 활동의 일환으로 “정보보호 실천 10대 수칙”이 인쇄된 마우스 패드를 나눠주는 활동을 전개했습니다.   사진은 14일 포스코 포항 본사에서 이인봉 정보기획실장(왼쪽) 및 노경협의회 백인규 대표(오른쪽)가 출근하는 직원들에게 ‘정보보호 실천 10대 수칙’이 인쇄된 마우스 패드를 나눠주고 있는 장면입니다.

▶ 포스코의 정보보안 노력
  포스코는 국가 기간산업을 대표하는 포스코의 핵심기술에 대한 정보유출시도를 효과적으로 차단하고, 적극적인 정보보안 활동을 통해 산업기술유출방지 및 보호활동을 전사적으로 전개하고 있습니다.  특히 지난해부터 포항 본사 사옥에 자동개폐식 출입통제 시스템인’스피드게이트’ 설치, 전사 차원의 노트북 반출입 프로세스 개선,  USB·팩스 같은 각종 사무기기 통제를 통한 문서관리 차원의 보안활동을 전개하는 등 한층 강화된 보안서비스를 전사적으로 확대 적용하며,회사의 핵심기술 및 정보유출 방지를 위한 높은 수준의 보안활동을 전개해 오고 있습니다.

▶ 포스코의 “정보보호실천 10대수칙”이란
  포스코에서 정한 정보보호 실천 10대 수칙은 크게 ‘직책 보임자’가 지켜야할 수칙과 ‘일반수칙’ 두가지로 나뉘어 만들어졌습니다.

               일반수칙

               직책보임자 수칙

원문링크: http://www.sans.org/top25errors/#cat1
              http://www.boannews.com/media/view.asp?idx=13727&kind=0
              http://cwe.mitre.org/top25/

  SANS와 미트리(MITRE Corp.)가 주관한 프로젝트 ‘에러 탑 25(The Top 25 Errors)’는 보안 버그로 이어지며 사이버 스파이 행위 및 사이버 범죄를 가능케 하는 프로그래밍 에러를 선정해 벤더들이 소프트웨어가 판매되거나 설치되기 전에 에러를 제거하고자 하는 목적으로 진행되었습니다.

PDF 문서 << 링크 >>
이 보고서는 프로그래밍 에러를 크게 세 부분으로 나누고 있습니다.
C1. Insecure Interaction Between Components:  (9 error)
CWE-20: Improper Input Validation
CWE-116: Improper Encoding or Escaping of Output
CWE-89: Failure to Preserve SQL Query Structure (aka ‘SQL Injection’)
CWE-79: Failure to Preserve Web Page Structure (aka ‘Cross-site Scripting’)
CWE-78: Failure to Preserve OS Command Structure (aka ‘OS Command Injection’)
CWE-319: Cleartext Transmission of Sensitive Information
CWE-352: Cross-Site Request Forgery (CSRF)
CWE-362: Race Condition
CWE-209: Error Message Information Leak

C2. Risky Resource Management:  (9 error)
CWE-119: Failure to Constrain Operations within the Bounds of a Memory Buffer
CWE-642: External Control of Critical State Data
CWE-73: External Control of File Name or Path
CWE-426: Untrusted Search Path
CWE-94: Failure to Control Generation of Code (aka ‘Code Injection’)
CWE-494: Download of Code Without Integrity Check
CWE-404: Improper Resource Shutdown or Release
CWE-665: Improper Initialization
CWE-682: Incorrect Calculation

C3. Porous Defenses (7 error)   (사용자 보안 확인과 인증 절차에서의 취약점)
CWE-285: Improper Access Control (Authorization)
CWE-327: Use of a Broken or Risky Cryptographic Algorithm
CWE-259: Hard-Coded Password
CWE-732: Insecure Permission Assignment for Critical Resource
CWE-330: Use of Insufficiently Random Values
CWE-250: Execution with Unnecessary Privileges
CWE-602: Client-Side Enforcement of Server-Side Security

이 번 조사의 공동 주관 단체인 SANS는 이 보고서가 취약점을 생성하는 개발자들에 의한 실제 프로그래밍 에러에 초점을 맞췄다고 언급했습니다.  SANS 소장 메이슨 브라운(Mason Brown)은 “이제 (프로그래밍 에러들을) 수정할 때가 왔다”며 “우선, 모든 프로그래머들이 에러 탑 25에서 벗어난 코드를 작성하는 법을 알아야만 하며, 모든 프로그래밍 팀은 문제를 발견하고 수정, 또는 피할 수 있는 프로세스를 갖추고 이러한 에러들로부터 벗어난 그들의 코드를 인증하기 위한 툴을 갖춰야만 한다”고  말했다고 합니다.

  2009년  해커들의 주요 공격목표는 무엇일까요? 
KISA에서는 인터넷익스플로러와 오피스 프로그램이  주요한 공격목표가 될 것이라고 전망했다고 합니다.   

출처: 지난  10일 발표된 KISA의 ‘2008년 침해사고 동향 및 2009년 전망’ 보고서
        “올해는 마이크로소프트의 인터넷 익스플로러 및 오피스 프로그램 관련 취약점이
         보안 위협의 주요 목표가 될 것”

Why: 무엇보다 많은 사용자가 이를 사용하는 데다가 주변 사람들의 의심을 크게 받지 않고
        쉽게 공격할 수 있기 때문입니다.

   사실 인터넷을 검색할때  무엇을 설치하라고 나온는 안내창에서 별 생각없이 Yes를 클릭하는 사람이 많습니다.  엑셀데이타등에 바이러스를 숨겨두어 다운로드 받도록 하는 경우  사용자들이 해당 내용을 보기위해서 오피스의 보안사항을 최소한으로 하거나  아예 MS오피스의 보안패치는 신경쓰지 않는 경우가 많아서  쉽게 공격당할수 있는 것이 현실입니다.  확실히 해커들의 공격목표가  시스템에서  어플리케이션으로 이전되는 것들이  여러가지로 발견되고 있는 상황이죠..    공격이  더 쉬우면서  성공률도 높은 방법이기 때문에  이런 추세가 계속 되고 있습니다.  이런 이유로 ..  결국은 인터넷 사용자의 보안의식의 제고가   중요한 보안대책이 될 것 같습니다.

▶ 대책:
1. 의심가는 인터넷 사이트 방문을 삼가한다.  
    (요즘의 추세는 악성코드를 웹사이트에 심어놓는것이기 때문입니다.)
2. 의심가는 메일이나 메신저의 링크를  클릭하지 않는다.
    (역시 웹상에 악성코드를 숨겨서 방문을 유도합니다.)
3. 인터넷익스플로러 관련 패치를 빼놓지 말고 설치한다.
3. 오피스 관련 보안패치를  모두 설치합니다.
     (윈도우 보안패치만으로는 충분하지 않습니다.)

뉴스출처: 안철수연구소
안철수연구소(대표 김홍선 www.ahnlab.com)는 이동식 디스크인 USB 등 다양한 경로로 전파돼 인터넷 장애를 유발하는 악성코드인 콘피커 웜 변형(Win32/Conficker.worm.173318)이 7일 오전부터 급속 확산되고 있다고 8일 경고했습니다.  조시행 안철수연구소 시큐리티대응센터 상무는 “현재 MS08-067 취약점을 이용한 악성코드는 현재 20개가 넘게 발견되었다. 주로 인터넷 장애를 유발하므로 피해 범위가 광범위하다. PC 사용자 모두 보안 패치 설치와 보안 제품 사용 등을 생활화해야 피해를 막을 수 있다”고 강조했습니다.
안철수연구소의 전용 백신 다운로드: (http://kr.ahnlab.com/dwVaccineView.ahn?num=80&cPage=1)

콘피커.173318 웜이란?
MS사의 운영체제인 윈도의 MS08-067 취약점을 악용한 악성코드로 원형은 지난해 10월에 발견되었습니다.
‘콘피커.173318 웜’에 감염되면 네트워크 트래픽에 과부하가 발생해 인터넷 속도가 느려지게 됩니다.
보안 업체나 MS사 등의 웹사이트 접속이 안 되기도 한다. 또한 백신의 진단·치료를 회피하기 위해 컴퓨터의 실행 프로세스를 변경하며, 웜 파일이 삭제되지 않도록 보안 설정을 변경해 일부 백신의 진단·치료 기능을 무력화시킵니다.

콘피커.173318 웜의 전파 경로
1. MS08-067 취약점이 있는 컴퓨터를 원격으로 찾아 감염시킵니다.
2. USB 사용을 통해 감염됩니다.
3. 특정 폴더(관리 목적의 공유 폴더)를 통해서도 전파됩니다.
    11111, abc123, admin 등 다양한 패스워드를 대입하는 방식으로 관리자 권한을 얻어 해당 폴더에 자신을 복사한다.

콘피커.173318 웜의 대응책
1. MS08-067에 대한 보안 패치를 설치해야 합니다.  보안패치 KB958644가 설치되어 있는지 점검해주세요
   제어판의 프로그램 추가/제거에 들어가시면 아래처럼 설치된 것을 확인할 수있습니다.
   혹 설치가 안되어 있다면 다음 링크에서 다운받아서 설치해주세요  << KB958644 다운로드 >>

2. PC 로그인 패스워드를 예상하기 어려운 복잡한 조합으로 설정해둡니다.
3. 네트워크 방화벽이나 PC 방화벽에서 445번 포트를 차단하는 것이 필요합니다.
4. USB 자동실행을 될수있으면 막아두는 것도 좋은 방법입니다.
   국정원에서 배포했던 USB바이러스 방지툴을 권해드립니다.
   전에 포스팅했던 소개글을 읽어보세요  <<  국정원에서 배포한 USB 바이러스 방지툴 >>

2009년도가 밝았습니다.  사실 패스워드 안바꾸고 쭈욱 사용하는 사람들이 많죠..
평소에 패스워드 바꾸라고 말하기 힘들죠…  이렇게 해가 바뀔때 주의를 환기하면 좀더 쉽게 바꿀수있습니다.
이번 기회를 놓치지 말고  전직원에게  패스워드 변경할 것을  권하는 공지메일을 보내세요
아래에 있는 wooricompany.co.kr 도메인은 실존하는 도메인이 아닙니다. 샘플링입니다.
오해가 없으시길 바랍니다.  ^^