우키의 보안이야기

  Microsoft에서 제공되는 VPN서버인 ISA서버를 운영하는 기업의 경우  외부에 나간 클라이언트로부터  접속이 잘 안된다는 연락을 받는 경우가 있습니다. IPsec방식의 vpn을 사용하는 것이 아니라  PPTP 또는 L2TP방식의 VPN터널을 사용하는  특성상  접속이 안되는 환경이 있을 수 있습니다.  

 vpn 접속이 안될 경우  아래의 정보를 이용하여 해당 네트웍의 관리자에게  포트 혹슨 서비스오픈을 요청해주시면 되겠습니다.    꼭 MS ISA VPN이 아니라도 PPTP 방식이나 L2TP방식의 vpn 연결방식을 쓴다면 마찬가지라고 생각이 됩니다.

 ISA Server  VPN에서 사용되어지는 포트 정보입니다. (MS에서 지정되어 사용되는 포트입니다.)

※ PPTP ( EL_VPN1)

TCP 1723 : PPTP 터널 유지 트래픽을 허용하기 위해
라우터에서 Protocol ID 47 : PPTP 터널 데이터를 허용하기 위해

※ L2TP over IPSec (EL_VPN_2 )

UDP 500 : IKE(인터넷 키 교환)를 허용하기 위해
UDP 5500 : IPSEC NAT을 허용하기 위해
UDP 1701 : L2TP 트래픽을 허용하기 위해 

원문출처: 보안뉴스 http://www.boannews.com/media/view.asp?idx=20488&kind=1

  컴퓨터사용자의 절반이 실시간 바이러스감지 프로그램이나 백신을 설치하지 않고 사용하는 것으로 나타나 바이러스 대비에 미흡한 것으로 나타났습니다.

  애프터서비스 전문업체 아이티스타(대표 안창주, 옛 삼보서비스)는 지난 3월 한달 동안 도시철도공사와 함께 실시한 무상점검행사를 통해 의뢰고객 1105명에게 아래 항목의 설문조사를 실시했다고 합니다.

1. PC에 백신을 설치했는가?
2. 공인인증서를 어디에 보관하는가?
3. PC를 남에게 맡길때 (수리,잠시 대여) 인증서를 지우는가?  이번 컴퓨터바이러스 등 보안과 관련된 설문조사를 실시한 최준호 아이티스타 이사는 “삼보서비스를 통해 최근 몇 년간 애프터서비스를 실시하면서 공인인증서를 지우지 않고 수리를 의뢰하는 고객들이 있어 설문을 실시하게 되었다”며  “최근에는 개인에게 무료로 제공되는 백신이 많이 있어 다운받아 사용하길 권하고, 공인인증서는 휴대용 저장장치 등을 이용해 철저하게 관리해야 불상사를 막을 수 있다”고 밝혔다.
 
 그래프를 넣을때 사용한 엑셀 sheet
9719346632.xls

  krcert에서 보안공지가 뜬 내역입니다. 요즘 자바런타임(JRE)을 사용하는 경우가 늘어나고 있습니다. 서버에서도 많이 쓰이고 있는 것이 현실이구요.   윈도우보안패치 말고도 이런 어플리케이션 취약점을 통해 시스템이 해킹되는 사례가 늘어나고있어서  사용자들의 주의가 요구되고 있습니다.  윈도우보안패치만 하면 안전하다고 생각하던 시대는 지난 느낌이 듭니다. ㅠㅠ   

인터넷 침해대응센타 (KrCert) 사이트:   htttp://www.krcert.or.kr/

▶ 개요
   o Java 개발 및 실행환경인 JDK/JRE 6 Update 10 이후 버전의 자바 배포 도구 (Java Deployment
      Toolkit) 플러그인과 ActiveX 컨트롤에서 매개변수로 전달되는 입력값 검증 오류 및
      Update 18 이후 버전의 자바 플러그인의 오류로 인해 원격코드실행 취약점이 발생 [1, 2, 4]
   o 공격자는 특수하게 조작된 웹 페이지로 사용자를 유도하여, 해당 시스템에서
      악의적인 Java 파일(JAR)을 실행할 수 있음 [2]
   o 해당 취약점을 이용하여 악성코드를 전파하는 사례[6]가 발견되어 주의가 요구됨
   o 관련취약점 :
     – Java Deployment Toolkit 취약점 (CVE-2010-0886)
     – New Java Plug-in 취약점 (CVE-2010-0887)

▶ 해당 시스템
   o 영향 받는 소프트웨어 [4]
     – Java SE JDK/JRE 6 Update 10 ~ Update 19
     – Java for Business JDK/JRE 6 Update 10 ~ Update 19
       ※ Windows, Solaris, Linux 플랫폼에 관계없이 32비트 웹 브라우저에서 동작하는
           Java 제품에서 영향을 받음

▶ 해결 방안
   o Java SE 또는 Java for Business JDK/JRE 6 Update 20을 설치 [3, 4]
     ※ Java 자동업데이트 설정권고: 제어판→Java→업데이트→”자동 업데이트 확인” 설정 [7]

    <<  자바업데이트 사이트 >>
 
▶ 용어 정리
   o Java : Sun Microsystems(現 Oracle)에서 개발한 플랫폼 독립적인 객체 지향 프로그래밍
      언어로, 해당 언어 기반의 제품을 통칭하는 의미로도 사용됨
   o Java Deployment Toolkit : Java 응용 프로그램을 쉽게 배포할 수 있는 기능을 제공하는
      Netscape 호환 플러그인과 ActiveX 컨트롤 [5]
   o JDK(Java Development Kit) : Java 응용 프로그램을 개발하기 위한 도구
   o JRE(Java Runtime Environment) : Java 언어로 개발된 응용 프로그램의 실행 플랫폼
   o JAR(Java ARchive) : Java 응용 프로그램 및 라이브러리를 배포하기 위해 사용되는 실행
      가능한 파일 포맷

▶ 문의처
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

▶ 참조 사이트
[1] http://lists.grok.org.uk/pipermail/full-disclosure/2010-April/074036.html
[2] http://www.kb.cert.org/vuls/id/886582
[3] http://www.java.com/ko/
[4] http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html
[5] http://java.sun.com/javase/6/6u10faq.jsp#DT
[6] http://blogs.zdnet.com/security/?p=6161
[7] http://www.java.com/ko/download/help/java_update.xml

  krcert에서 보안공지가 뜬 내역입니다. 제로보드XE로 홈페이지를 구성하여 서비스하는 사이트가 많죠…많은 사람이 쓰다보니  공격대상이 되기 쉽습니다. 이렇게 많이 쓰이는 공개웹게시판에서 발견된 취약점을  보완하지 않으면  해커의 공격에 희생양이 되는 것은 시간 문제라고 할 수 있겠죠?  제로보드XE를 사용하시는 사이트의 관리자님들은  빠른시간내에  취약점을  제거하시기 바랍니다.

인터넷 침해대응센타 (KrCert) 사이트:   htttp://www.krcert.or.kr/


▶ 개요
  – 최근 국내 PHP 기반의 공개 웹 게시판 제로보드 XE에 대한 XSS 및 CSRF 관련 보안 취약점이
     발견됨[1].
  – 해당 취약점을 이용한 홈페이지 변조 및 원격 실행 위협이 발생함에 따라, 사용자의 주의 및
     조속한 패치가 필요함

▶ 영향
  – 원격의 사용자가 제로보드 XE 관리자 권한 획득가능
  – 획득한 관리자 권한을 이용하여 시스템 내의 임의의 파일 읽기, PHP 명령실행 등이 가능하며,
     이를 이용한 웹 변조, 원격 실행 등이 발생할 수 있음

▶ 해당시스템
  – 제로보드 XE 1.4.0.10 이하 버전

▶ 해결방안
  – 업데이트된 파일만 적용하는 경우,
    * 공식사이트(www.xpressengine.com)에 취약점이 패치된 xe.1.4.0.11.changed.tgz 를 다운로드
       받아 압축을 해제하여 config.inc.php 파일과 func.inc.php 파일을 운영중인 XE의
      “./config” 디렉토리에 설치
    * communication.controller.php 파일은 운영 중인 XE의 “./modules/communication”
       디렉토리에 설치

  – 업데이트가 적용된 상위 버젼으로 업그레이드하는 경우,
    * 공식사이트(www.xpressengine.com)에 취약점이 패치된 xe.1.4.0.11.zip 파일을 다운로드
       받아 기존에 XE를 운영중인 디렉토리에 설치
     ※ 처음 사용하는 사용자일 경우, “Xpress Engine 사용자 안내서”[3]를 참고하여 설치할
         것을 권고

▶ 사용자 주의사항
   - 사용자들은 제로보드 XE의 공식 공지사항[2]을 주기적으로 확인하여 신규 취약점에 대한
      정보를 숙지하고 이에 따른 조치를 취해야함

▶ 용어정리
   - 제로보드(ZeroBoard) XE: PHP 언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임워크
   - XSS(Cross Site Scripting) 취약점 : 웹사이트 관리자가 아닌 이가 웹 페이지에 클라이언트
      사이드 스크립트를 삽입하여 다른 사용자가 이를 실행하게끔 허용하는 취약점
   - CSRF(Cross-Site Request Forgery) 취약점 : 취약한 웹페이지를 이용하여 권한을 도용하는
      가짜 요청문을 클라이언트의 웹브라우저상에서 실행되도록 유도하는 취약점
   - PHP: 동적인 웹사이트를 위한 서버 측 스크립트 언어

▶ 기타 문의사항
   - 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
      [1] http://www.xpressengine.com/18838863
      [2] http://www.xpressengine.com/notice

원문참조: 보안뉴스 http://www.boannews.com/media/view.asp?idx=20469&kind=0

  스마트폰 안드로이드 IEMI 정보를 갈취하는 전문 악성 바이러스가 돌고 있어 이용자들의 주의가 요구됩니다.  IEMI는 ‘The International Mobile Equipment Identity’의 약자로 휴대폰의 고유 정보를 나타내는 번호입니다. 아이폰이 처음 국내 도입될 때도 이 IEMI정보가 외부로 보여진다는 우려의 목소리가 컸었습니다.  현재는 도청이나 복제 위험이 어느 정도의 보안 장치로 막혀 있다고 하지만 여전히 IEMI의 정보는 휴대폰의 도청과 복제를 가능하게 해주는 하나의 키가 될 수 있습니다.

 쉬프트웍스(http://www.shiftworks.co.kr/) 홍동철 개발팀장은 “이러한 IEMI정보를 통해 사용자를 인증하고 저장·수집하는 악성 어플리케이션이 발견되었으며   이는 스마트폰 보안에서 사실상 가장 우려가 되었던 문제이기도 하다”고 경고했습니다.  홍 팀장은 “사용자들은 이러한 어플리케이션을 반드시 가려서 사용해야 한다”고 덧붙였습니다.

  쉬프트웍스는 이 악성 어플리케이션들의 명칭을 ‘IMEI.ASH 시리즈’로 이름 붙였으며 이용자들의 사용주의를 당부했습니다.  쉬프트웍스 측은 “이미 증권사나 은행권등을 통해서 탑재되어있는 VGUARD를 사용하고 있는 이용자라면 자동업데이트로 해당 취약점 업데이트 후 치료가 가능하다”고 말했습니다.

원문참조: http://www.boannews.com/media/view.asp?idx=20439&kind=0 

  썬마이크로시스템즈(이하 썬)의 자바 런타임 환경(JRE)에서 원격코드를 실행하는 제로데이 취약점이 발견돼 사용자들의 주의가 요구되고 있다. 공격자는 이 취약점을 이용해 악의적인 웹 페이지를 구축하고 방문자가 방문하도록 유도해 공유된 네트워크에 위치한 악의적인 파일을 실행시킬 수 있는 것으로 확인됐다.

  ‘Java Web Start (JWS)’는 자바 개발자들이 ‘Java Networking Launching Protocol(*.jnlp)’ 파일에 URL을 이용하여 응용 프로그램을 실행하고 설치할 수 있는 방법을 제공한다. 썬 사는 ‘자바 6 업데이트 10 버전(Java 6 Update 10)’ 이후로 개발자들이 최종 사용자에게 응용 프로그램을 배포하기 쉽도록 ‘Java Deployment Toolkit(JDT)’이라 불리는 NPAPI 플러그인과 ActiveX 컨트롤을 배포했다. 이 툴 킷은 기본적으로 JRE에 의해 설치되며 스크립팅하기 안전한 것으로 표시돼있다.  흔히 ‘자바 런타임’이라고도 알려져 있는 JRE는 자바 응용프로그램 개발도구인 JDK의 일부이다. JRE는 자바 응용프로그램이 실행되는데 필요한 최소한의 요건을 제공하며, JVM과, 핵심적인 클래스들, 그리고 각종 지원 파일들로 구성된다. 그러나 보안업계에 따르면, 썬 사의 JDT 커맨드 라인 파라미터에 대한 적절한 검증을 수행하지 않아 임의의 명령 코드를 실행하는 것이 가능한 취약점이 존재하는 것으로 전해지고 있다. 외국에서는 이미 이 취약점을 이용해 악성코드를 전파하는 사례가 외국 유명 가사사이트에서 발견됐으며, 게다가 이 취약점을 이용한 악성코드 유포 키트도 발견돼 국내 유입도 오래 걸리지 않을 것이라는 것이 전문가들의 예상이다.

   한국CISSP협회는 2010년4월21일(수) 19:00-22:00에 서울 강남구 역삼동 소재 과학기술회관 국제회의장에서 ‘정보보안 거버넌스와 금전적 목적의 해킹 및 대응 동향’이라는 주제로 ‘제7회 정보보호리더십 세미나’를 개최한다고 합니다.  

   신수정 한국CISSP협회장은 “이번 세미나는 패널토의와 참석자 소그룹 모임 등을 통해 참여와 소통의 세미나로 패러다임을 전환한 6회 세미나의 방식을 더욱 확장했다”며 “단문 메시지 서비스(SMS)를 활용한 댓글 토론이라는 새로운 방식으로 참석자와의 소통을 시도할 예정”이라고 말했습니다.

  세미나 참가는 누구나 신청 가능하며 사전 등록은 한국CISSP협회 홈페이지(http://www.cisspkorea.or.kr/)에서 할 수 있으며, 유효한 CISSP 자격 소지자에게는 3CPE가 부여됩니다.

세미나 참석 신청페이지: https://www.cisspkorea.or.kr:500/cissp/seminar/registration.php?idx=15

==============  CISSP 협회의 안내사항  ======================
주제 : 정보보안 거버넌스와 금전적 목적의 해킹 및 대응책 동향
일시 : 2010년 4월 21일(수) 19:00 ~ 22:00
장소 : 한국과학기술회관 국제회의장 대회의실 (약도)
            * 주차안내 : 2시간 무료 이후 10분당 500원
혜택 : 3 CPE 부여
           * 세미나 사전등록 정보를 기준으로 (ISC)2에 통보하여 자동 입력됩니다.
사전등록 : 4/12(월) ~ 4/21(수), 협회 사이트를 통한 온라인 등록.
                   *  신청인원을 감안하여 조기마감 될 수 있음.
문의 : pr@cisspkorea.or.kr

Agenda
    19:00~19:05  – 공지사항 안내
    19:05~19:20  – 인사말 : 신 수정 / 한국CISSP협회장 / (주)인포섹 대표이사
    19:20~20:00  – 정보보안 거버넌스
            남 경식 / 연구분과 IT보안팀 간사 / 기술사 / 삼일회계법인 IT Center Manager
    20:00~20:10  – CSSLP 소개:  조희준 / 교육분과 이사 / (주)키삭 수석 컨설턴트
    20:10~20:40  – 스페인 Mariposa 봇넷 사건을 통해 바라본 금전적 목적의 해킹 동향
            이준호/연구분과 NewTech보안팀 팀장/기술사/Ernst & Young Advisory ITRA Senior 컨설턴트
    20:40~20:50  – 휴식
    20:50~21:20  – 해킹으로 인한 데이터 유실을 막기위한 DRM 개요 및 최근 동향
                         이 종호 / 연구분과 New Tech보안팀 간사 / 디지캡
    21:20~21:50 -  실시간 댓글 이벤트
                         (댓글 참여자중 5명을 선정하여 ‘IT거버넌스 프레임워크 코빗, COBIT 4.1을 중심으로’ 도서 증정)

 
 

   한국인터넷진흥원(KISA)은 방송통신위원회와 공동으로  2010.4.27(화) 13:00-18:00   코엑스 그랜드볼룸에서 기업 성공비지니스를 위한 정보보호 대응 전략이라는 주제로 “제2회 기업보안관리 전략 세미나”를 개최합니다.

신청 방법 
KISA 홈페이지에서 신청이 가능합니다. (해당 공지사항에 들어가시면 신청페이지가 있습니다.)
http://kisa.or.kr/jsp/notice/notice_list.jsp

프로그램

등록안내

• 제공사항 : 발표자료집 / 음료 및 다과


• 등록비용 : 무료


• 사전등록마감 : 2010년 4월 22일(목)까지..

▶ PDF 파일 오픈시  보안위협

   최근 Adobe Reader, Foxit Reader 등에서 PDF 파일을 열어볼 경우 임의의 코드를 실행시킬 수 있는 보안위협이 발견되었습니다.   이것은  PDF Reader 프로그램의 정상적인 기능을 이용한 것입니다.   향후 악용될 소지가 많으므로 사용자의 주의가 필요합니다.
 
▶ 정상적인 기능이 왜 보안위협이 되는가?
    PDF 문서 규격에서 정의하는 기능을 이용해 특정 실행코드가 실행되는 PDF 문서를 작성할 수 있음. 이 문서를 열어볼 경우 경고창이 뜨며, 확인(OK) 버튼을 클릭할 경우 해당 실행코드가 실행됩니다.   사회적인 이슈가되는 내용의 문서에 악성코드를 포함시켜 이메일이나 웹를 통해 배포할 가능성이 많아 보입니다.
    – PDF Reader의 /Launch /Action 명령어 등을 사용하였으며, Javascript 기능을 해제한 후에도 동작함
    – 경고창에 확인 버튼을 클릭하도록 유도하는 문구를 삽입할 수 있음
 

▶  연관되는 프로그램
  Adobe Reader, Foxit Reader 등 대부분의 PDF Reader 프로그램
    – Adobe Reader의 경우 실행코드 실행 전 경고창이 뜸
    – Foxit Reader의 경우 경고창 없이 실행코드가 실행되었으나, 최근 Foxit Reader 3.2.1.0401로 업데이트된 후에는 경고창이 뜸
    – 기타 PDF Reader들도 해당될 수 있음
 

▶ 사용자 주의사항
 1. 출처가 불분명한 PDF파일은 열어보지 말고 경고창이 뜰경우 주의하세요
  출처가 불분명한 PDF 파일의 경우 열어보는 것을 자제하고, 경고창이 뜰 경우 경고 내용을 파악하는 등의 사용자 주의 필요합니다.  이 보안위협은 PDF의 정상적인 기능을 이용하는 것이므로 최신 업데이트를 설치했다고 해서 사라지는 위협은 아니기 때문입니다.  
 2.  사용하는 PDF Reader의 최신 보안업데이트 설치
  PDF Reader 버전에 따라 경고창없이 바로 실행코드가 실행될 수 있으므로  최신으로 업데이트가 필요합니다.

화면캡춰가 포함된 영문문서: http://blog.didierstevens.com/2010/03/29/escape-from-pdf/
아래는 위 영문문서에서 링크시켜둔 PDF오픈시 실행파일이 어떻게 실행되는지 보여주는 동영상입니다.

  중소기업 기술보호 상담센타에서   아래와 같은  기술유출및 기술보호에 대한 무료진단및 상담을 진행하고 있습니다. 앞서 소개해드린  KISA의 지원사업이 시스템들에 대한 보안취약성진단이라면  이 부분은  전체적인 프로세스에 대한 진단도 가능할 것 같습니다.

중소기업 기술보호 상담센타: http://www.tpcc.or.kr


원문 참조: http://www.tpcc.or.kr/do/notice/notice/892 

중소기업의 기술유출 및 기술보호에 대해 무료로 상담, 지원해 드립니다.

- 기술보호상담센터에서는 82명의 보안전문가가 중소기업의 기술유출 및 기술보호에 대해 사전진단, 사후처리를 무료로 상담, 지원해 드리고 있습니다. 관심 있으신 중소기업은 누구나 언제든지 신청하여 상담 받으실 수 있으니 많은 신청 바랍니다.


○ 상담분야
- 보안진단(보안컨설팅)
- 기술유출 및 법률상담
- 보안기술(H/W, S/W)
- 기타

○ 신청방법
- 접수기간 : 수시 (9:00 ~18:00)
- 제출서류: 상담신청서  (관련양식http://www.tpcc.or.kr에서 다운로드)
7603102771.hwp


- 신청방법: 방문, 메일, 전화, 팩스
mail: tpcc@tipa.or.kr
전화: (02) 3787 – 0642/0479
fax : (02) 2168 – 0239

○ 비 용
- 전액무료

중소기업기술정보진흥원 기술보호상담센터