2012/09/26

Samsung smartphones vulnerable to remote data wipe

원래는 여러가지 스마트폰 위협요소에 대한 소식을 적으려고 했는데,
시간이 없어서 오늘 나온 아래 내용 하나만 포스팅을 했다.
그냥 publish 안하고 모아서 한꺼번에 올릴까 하다가, 조금씩이라도 빨리 올리는게 나을 것 같아서. 앞으로는 짧은 내용을 자주 올리는 방식으로 바꿀 예정.


삼성 스마트폰 원격 데이터 삭제 해킹 취약점 공개

Argentina에서 열린  Ekoparty security conference에서 해킹 시연 발표
 - 발견자 : Ravi Borgaonkar, Technical University Berlin.

 - 취약한 부분 삼성의 TouchWiz UI가 핸드셋의 키패드 명령어를 실행하는 과정에서 USSD(unstructured supplementary Service Data) command를 전송받는데, 다른 폰들은 send 버튼을 눌러야만 코드가 실행되지만, 삼성폰을 그렇지 않기 때문에 코드 실행이 가능함.
 - 이미 악성 exploit이 인터넷에서 돌고 있음(실행하면 공장초기화됨)
- 웹 링크, SMS, 근거리 무선통신(NFC), QR코드 등에 코드를 삽입하는 다양한 방법을  통해서 exploit될 수 있으며, 권한을 묻지 않고도 자동으로 공장초기화, 데이터를 모두 삭제하거나 스마트폰 내부 장착된 SIM카드를 못쓰게 할 수도 있음.
- 갤럭시S2, S3등 삼성의 안드로이드 스마트폰만 exploit이 되며, 구글 넥서스S는 안전.
- 대응책 :  NFC, QR코드를 끄거나 서비스 로딩기능을 off


  <시연 데모 동영상>
 


2012-09-27 Added.
Samsung offers up patch for Galaxy S3 remote wipe vulnerability (CNET news)
삼성이 갤S3의 취약점 패치를 제공해 패치를 진행한다고 한다. (근데 갤S2나 갤S는??)


Remote Wipe Flaw Present in Other Android Devices, Not Just Samsung
이 취약점을 시연하는데 삼성 갤S3를 가지고 했지만, 발표자 Borgaonkar가 트위터에 밝히기를 삼성폰 뿐 아니라 안드로이드 폰들에 영향을 미친다고 밝혔고, Dylan Reeve는 HTC의 몇몇 폰이나 Motorola에서도 이 문제가 있다는 것을 밝혔다고...

the cogwheel society

어렸을 때는 주로 혼자서 모든 것을 처리했다.
학생때 공부하는 것도 그렇고, 숙제를 하는 것도 그렇고...
회사원이 되어서도 Junior일때는 주로 시키는 일을 빠릿하게 처리하면 그 뿐이었다.

근데 점점 나이가 들고서 내가 속한 사회에 핵심 엔진 부품이 되어갈수록,
나는 그저 이 사회의 엄청나게 맞물려 있는 톱니바퀴중 하나라는 사실을 알게 되었다.
(아니, 오늘 아침 문득 깨달았다)

톱니바퀴는 혼자서 빨리 돈다고, 잘 돌아가는 것이 아니다.
모두 같이 같은 속도로 돌아야 한다.
그리고 내가 억지로 내 톱니바퀴 속도를 높이면, 맞물려 있는 어떤 톱니바퀴는 고장이 난다.
맞물려있는 작은 톱니바퀴 하나하나 다 제대로 돌아가는지 봐야 하는데,
나 이외의 다른 톱니바퀴들의 속도가 모두 다 느리다면...
빨리 돌려고 하는 내가 이상한게 아닐까 하는 생각이 문득 들었다.

그런고로,
빨리 더 빨리 돌리라는 엔진의 명령과
그러나 엄청 천천히 돌고 있는 맞물린 수없이 많은 작은 톱니바퀴들 사이에서
이제 더이상 스트레스 받지 않고....
그냥 작은 톱니바퀴들이 아주 조금  더 속도를 낼 수 있게 하는 정도 수준으로
진행하는게 좋겠다는 결론을 얻었다.

뭐, 그렇다구요...

2012/09/22

My Week Point?


오늘은 새벽 3시에 잠에서 깬 바람에...
오래간만에 내가 작성한 예전 블로그 글을 random하게 읽어보았는데,나름 흥미로웠다.

예전 블로그 글을 읽다 보니 2008년도에 내가 내 스스로 생각한 약점은
<인맥> , 그리고 <공신력>이었다.
그래서 그때에는 그런걸 키우기 위해 많은 고민을 했던 흔적들이 남아 있었다.

(사실 그런 이유로 다른 사회를, 다른 사람을 경험하기 위해 회사를 이직했던 것도 있었다..)

그런데 재미있는건 지금 현재 내가 속한 사회에서 저 두가지는 내 가장 큰 강점이 되어 있다는거.
(5년이 채 지나기 전에 약점을 잘 극복한건가;;;)

여기까지 생각이 들고 나니까...
내가 나의 약점이 무엇인지를 안다는게 얼마나 중요한 것인지를 알게 되었다.

발전을 위해서는 제일 먼저 자신의 약점을 인지하고 인정하는게 필요하다.
그리고 지금 현재 나의 약점은 무엇일까를 다시 생각해 보게 된다.

ㅎㅎㅎ Princess maker 게임을 수행하는 것 처럼,
나 자신도 뭔가 skill up 되면서 하나의 mission이 clear되고 level up 된 기분!

2012/09/20

개인정보보호법에 따른 개인정보 관리사항

요즘 개인정보 관련 업무를 하다보니, 직원들에게 어떻게 관리를 해야 하는지 설명 하는 일이 자주 있는데, 매번 물어보는 내용이 비슷해서 일부를 정리해서 블로그에 올린다.

아래 적은 내용들은 실제로 업무를 하면서 내가 여러가지 공개되어져 있는 개인정보보호법, 정보통신망이용촉진및정보보호등에 대한 법률(시행령 등)등을 읽고 개인적으로 판단한 내용들로, 실제 내용과(법률적으로 법조인이 판단하는 내용들과) 다를 수 있음은 이해하고 글을 읽어주길 바란다.

1. 개인정보란?
개인정보는 개인에 관한 정보 중 개인을 식별할 수 있는 정보,
또는 다른 정보들과 결합하여 개인을 알아 볼수 있는 정보이다.

예를들어 개인을 식별할 수 있는 주민등록번호 같은것은 당연히 개인정보에 포함되고,
하나만으로는 개인을 식별할 수 없지만 여러개가 결합되면 개인을 식별 할 수 있는 것,
예를들어 이름과 함께 전화번호, 주소 등이 묶여있다면 이 역시 개인정보가 된다.

개인정보라고 보기 어려운 부분들에 대해서도 개인정보라고 판단하는 판례들이 있는데,
예를들어 휴대폰의 IMEI값(단말기 고유 식별번호, 예를들자면 노트북 시리얼 번호 같은 것)도 휴대폰 번호 등과 함께 개인정보로 판단된 경우가 있었다.
따라서 아직 판례는 없으나 각 회사에서 고객에게 부여한 고객번호와 같은 값도 고객정보라고 판단될 수도 있다.

2. 개인정보 중 민감정보, 고유식별정보는 무엇?

개인정보에도 민감도에 따라 등급이 있는 셈인데,
노출되었을 때 현저한 사생활 침해의 우려가 있는 개인정보는 민감정보,
그리고 그 하나 노출만으로도 개인을 식별할 수 있는 개인정보를 고유 식별정보라 한다.

민감정보에는 사상/신념, 노동조합/정당 가입여부, 건강 정보, 성생활 정보 등이 있고
고유식별정보에는 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호가 포함된다.

민감정보와 고유식별정보는 저장하거나 전송시 암호화 등의 안전성 확보가 필요하다!


3. 관리해야 하는 개인정보는 무엇일까? 어디까지일까?

개인정보에 대해 언급하는 패턴들은 각 법률 상 조금씩 다르다.

(2010년 3월 22일, 정보통신망법) 주민번호, 카드번호, 계좌번호

 - 망법에 나온 내용으로 주로 개인을 구별할 수 있는 정보 및 해당 개인의 결제 등에 사용되는 금융정보를 주로 다룬다.
 (실제로 개인정보 유출은 이와 같은 개인 식별정보와 금융정보들이 주로 나간다)

개인정보 유출 사고가 뻥뻥 터진 이후 발효된....
(2010년 11월 22일, 개인정보 보호법) 주민번호, 여권번호, 운전면허 번호, 외국인 등록번호
 - 개인정보보호법이 새로 나오면서, 전체적으로 개인정보를 통칭할 수 있는 정보들에 대해서 언급되었다.
   또한 개인정보를 무언가 만으로 한정지을 수 없기에 커다란 '개인정보'라는 개념 역시 나왔다.

그러나 개인정보와 관련된 여러가지 사건사고가 나고 있다면, 이후에 보수적으로는 1번에서 통칭한 개인을 식별하는 모든 정보는 다 개인정보라고 보여지게 될 가능성이 높다. (관리하는 사람은 점점 광범위한 개인정보의 범위 때문에 힘들어질 것이다;;)


4. 개인정보 사고에 대처하는 자세

1) 개인정보 취급자
 - 사고 나면 5일 이내 유출 사항을 통보/통지하고 신고 해야 함 (1만명 이상인 경우)
   안하면 3천만원 이하 과태료

2) 유출 사고 희생자
 - 피해자가 50명 이상인 경우 개인정보 침해 신고센터 등에 집단 분쟁 조정 신청

5. 기타
1) 개인정보 수집 시 별도의 동의를 받아야 하며, 고유 식별정보는 암호화 해야만 함.

2) 개인정보 처리자는 그 원래 목적 의외의 이용 또는 제3자에게 제공 금지.
  --> 즉 내가 언젠가 무언가 이벤트에 동의 하게 될 때는, 내 정보를 다른곳에 팔아 넘기는지 아닌지 확인할것. 안그러면 스팸 전화나 문자가 와도 할 말이 없어짐. 만약 나는 동의한 적이 없는데 스팸등이 온다면, 신고! (어디서 내 개인정보를 동의 없이 팔아먹었는지 조사 의뢰가 가능함)

3) 수집한 개인정보를 처리할 때에는 수집 출처를 요청 시 알려야함
 --> 즉, 만약 스팸 관련 전화를 받는다면 내 정보를 어디에서 알게 되었는지 물어볼 수 있고 그때 출처를 말해주지 않으면 3천만원 이하 과태료 부과 가능함. (요구 거부시에는 그 근거와 사유를 3일 내에 통보해야만 함)

4) 개인정보가 불필요하게 되었을 때에는 지체없이 파기 해야만 함
--> 즉, 회원 탈퇴 등 이제 더이상 내 개인정보가 불필요하게 되었을 때 5일 이내에 파기해야만 함. (꼭 필요한 사유가 있다면 다른 개인정보와 분리하여 저장하고 관련 근거를 명시해야함) 위반시 3천만원 이하 과태료.

5) 사고 신고 및 기타 문의사항 응대처

 개인정보보호 종합 지원 포탈 : http://www.privacy.go.kr

미국, 중국 통신사업자 Huawei와 ZTE 스파이 혐의 조사


오늘 재미있는 뉴스를 하나 보았다.

미국 연방 의회에서 중국의 2大 통신사업자인 HUAWEI와 ZTE에 대해서 전수 조사를 하고 있는데... 그게 미국의 주요 국가 기반시설과 상업적인 보안에 대해 감청 등의 위협요인이 있는지 여부를 확인하기 위해서라는 내용이다.

즉, 해킹 공격 등을 받던 미국이 중국(정부가 조직적으로)이 미국의 산업 인프라, 그리고 취약점들에 대해서 사이버 공격을 하기 위한 기초 자료 수집(?)을 하는데 중국 제품이 뭔가 도움을 주는게 아닌가 하는 의심을 하게 된것 같다.

물론, HUAWEI와 ZTE는 전혀 그렇지 않다고 부인을 했다 (REUTERS와의 인터뷰)

자신들이 글로벌적인 상업 기반을 위태롭게 만들수 있는 행위는 전혀 하지 않았으며, 자신들의 고객 네트워크 관련 그 어떤 정보도 제 3자에게 제공하지 않을 것이며, 중국 정부에도 그 어떤 권한 위임도 하지 않을 거라는 점을 분명하게 밝힌 것이다.

그리고 미 연방의회패널이 의심하고 있는 백도어라 불리는 사안이 사실은 단순한 소프트웨어 상의 오류에 속하는 것으로, 다른 소프트웨어 사업자(MS같은)에서도 자신들의 소프트웨어 상의 취약성이 있으면 이를 규칙적으로 업데이트 해서 보안 패치를 하는데, 자기들도 단지 그런 이유로 업데이트를 시킨 것 뿐이라고 주장했다.

그러면서 반대로, 중국쪽에서는 미국 회사들(Cisco나 Motorola 등)에서 무역거래 등과 관련된 비밀 내용들을 미국 정부에서 암암리에 갈취하는게 아닌지 미국 내부적으로 돌아봐야 한다고 주장하고 있다.

어쨌거나,
개인적으로 거의 10년쯤 전 Cisco의 아류작 회사라고나 생각했던 HUAWEI의 초고속 성장도 놀랍게 지켜봐왔던 나로서는, 이와 같이 미국에서 HUAWEI 등에 Spy혐의를 내세울 만큼 미국 내에서의 시장도 엄청나게 확보하고 있었다는 점이 좀 놀라웠고, 또한 전 세계적으로, 미국 뿐 아니라 영국이나 호주 등 다른 서부시장 진출 시에도 전수조사를 받을 지도 모르는 상황에 처하게 되었다는 것이 재밌기도 하고 우습기도 했다.

그리고 무엇보다 조사 결과가 무척 궁금하다. 누구 말이 맞을까?

미국의 의심처럼 중국 정부는 두 회사를 이용했을까, 아니면 안했을까.
미국은 자신들네의 통신장비들을 이용해 몰래 정보를 갈취하고 있을까, 안하고 있을까.

어쨌거나 국가 안보에 큰 영향을 미치는 통신산업군, 전기/전자와 같은 기간 시설 인프라(SCADA) 산업군 같은 부분은 범 국가적인 비지니스 모델이고 향후 보안이 무척 중요하게 여겨지게 될 뿐 아니라, (바로 이런 보안적인 이유를 들어가며) 국가별 견제도 들어갈 수 있기 때문에 조심스럽게 접근해야 하는 게 아닌가 하는 생각이 들었다.

어쨌거나 이번 사건은 흥미롭다. ^-^

2012/09/19

Certified Ethical Hacking Toolkit


Linkedin에 있는 Pentesting그룹의 Niels Groeneveld 씨가 올려주신 자료인데...
자료가 엄청 잘 정리되어 있고 좋은 툴들도 많아서 공유한다.
자료들 중 내가 써보지 못한 해킹 툴들도 많이 있었는데.. 꽤 좋은 자료들인것 같다

[DIR]CEHv6 Additional Tools/03-Nov-2008 22:50-
[DIR]CEHv6 LAB GUIDE/13-Nov-2008 12:42-
[DIR]CEHv6 Module 00 - Miscellaneous/04-Nov-2008 10:42-
[DIR]CEHv6 Module 01 Introduction to Ethical Hacking/04-Nov-2008 10:45-
[DIR]CEHv6 Module 02 Hacking Laws/04-Nov-2008 11:00-
[DIR]CEHv6 Module 03 Footprinting/04-Nov-2008 11:41-
[DIR]CEHv6 Module 04 Google Hacking/04-Nov-2008 11:42-
[DIR]CEHv6 Module 05 Scanning/04-Nov-2008 16:12-
[DIR]CEHv6 Module 06 Enumeration/04-Nov-2008 16:37-
[DIR]CEHv6 Module 07 System Hacking/04-Nov-2008 18:37-
[DIR]CEHv6 Module 08 Trojans and Backdoors/04-Nov-2008 19:23-
[DIR]CEHv6 Module 09 Viruses and Worms/05-Nov-2008 11:36-
[DIR]CEHv6 Module 10 Sniffers/05-Nov-2008 12:43-
[DIR]CEHv6 Module 11 Social Engineering/05-Nov-2008 12:53-
[DIR]CEHv6 Module 12 Phishing/05-Nov-2008 12:59-
[DIR]CEHv6 Module 13 Hacking Email Accounts/05-Nov-2008 13:06-
[DIR]CEHv6 Module 14 Denial of Service/05-Nov-2008 19:21-
[DIR]CEHv6 Module 15 Session Hijacking/05-Nov-2008 13:23-
[DIR]CEHv6 Module 16 Hacking Webservers/05-Nov-2008 19:21-
[DIR]CEHv6 Module 17 Web Application Vulnerabilities/05-Nov-2008 19:21-
[DIR]CEHv6 Module 18 Web based Password Cracking Techniques/05-Nov-2008 16:46-
[DIR]CEHv6 Module 19 SQL Injection/05-Nov-2008 16:54-
[DIR]CEHv6 Module 20 Hacking Wireless Networks/05-Nov-2008 17:34-
[DIR]CEHv6 Module 21 Physical Security/05-Nov-2008 17:51-
[DIR]CEHv6 Module 22 Linux Hacking/05-Nov-2008 18:08-
[DIR]CEHv6 Module 23 Evading IDS Firewall and Honeypot/05-Nov-2008 19:02-
[DIR]CEHv6 Module 24 Buffer Overflows/05-Nov-2008 19:20-
[DIR]CEHv6 Module 25 Cryptography/05-Nov-2008 20:24-
[DIR]CEHv6 Module 26 Penetration Testing/07-Nov-2008 16:02-
[DIR]CEHv6 Module 27 Covert Hacking/07-Nov-2008 16:46-
[DIR]CEHv6 Module 28 Advanced Virus Writing Techniques/07-Nov-2008 17:25-
[DIR]CEHv6 Module 29 Assembly Language Tutorial/07-Nov-2008 17:26-
[DIR]CEHv6 Module 30-32 Exploit Writing Techniques/07-Nov-2008 17:26-
[DIR]CEHv6 Module 33 Reverse Engineering/07-Nov-2008 17:45-
[DIR]CEHv6 Module 34 MAC OS Hacking/12-Nov-2008 17:19-
[DIR]CEHv6 Module 35 Hacking Routers, Cable Modems and Firewalls/07-Nov-2008 19:19-
[DIR]CEHv6 Module 36 Hacking Mobile Phones, PDA and Handheld Devices/07-Nov-2008 19:50-
[DIR]CEHv6 Module 37 Bluetooth Hacking/07-Nov-2008 19:55-
[DIR]CEHv6 Module 38 VoIP Hacking/12-Nov-2008 17:01-
[DIR]CEHv6 Module 39 RFID Hacking/12-Nov-2008 17:22-
[DIR]CEHv6 Module 40 Spamming/12-Nov-2008 17:39-
[DIR]CEHv6 Module 41 Hacking USB Devices/13-Nov-2008 11:37-
[DIR]CEHv6 Module 42 Hacking Database Servers/13-Nov-2008 10:30-
[DIR]CEHv6 Module 43 Cyber Warfare- Hacking Al-Qaida and Terrorismg/13-Nov-2008 10:32-
[DIR]CEHv6 Module 44 Internet Content Filtering Techniques/13-Nov-2008 10:40-
[DIR]CEHv6 Module 45 Privacy on Internet-Anonymous/13-Nov-2008 11:00-
[DIR]CEHv6 Module 46 Securing Laptop Computers/13-Nov-2008 11:14-
[DIR]CEHv6 Module 47 Spying Technologies/13-Nov-2008 11:23-
[DIR]CEHv6 Module 48 Corporate Espionage by Insiders/13-Nov-2008 11:28-
[DIR]CEHv6 Module 49 Creating Security Policies/13-Nov-2008 11:29-
[DIR]CEHv6 Module 50 Software Piracy and Warez/13-Nov-2008 11:37-
[DIR]CEHv6 Module 51 Hacking and Cheating Online Games/13-Nov-2008 13:17-
[DIR]CEHv6 Module 52 Hacking RSS and Atom/13-Nov-2008 13:26-
[DIR]CEHv6 Module 53 Hacking Web Browsers/13-Nov-2008 13:29-
[DIR]CEHv6 Module 54 Proxy Server Technologies/13-Nov-2008 13:42-
[DIR]CEHv6 Module 55 Preventing Data Loss/13-Nov-2008 14:46-
[DIR]CEHv6 Module 56 Hacking Global Positioning System/13-Nov-2008 15:21-
[DIR]CEHv6 Module 57 Computer Forensics and Incident Handling/13-Nov-2008 16:27-
[DIR]CEHv6 Module 58 Credit Card Frauds/13-Nov-2008 16:30-
[DIR]CEHv6 Module 59 How to Steal Passwords/13-Nov-2008 16:30-
[DIR]CEHv6 Module 60 Firewall Technologies/13-Nov-2008 16:57-
[DIR]CEHv6 Module 62 Case Studies/13-Nov-2008 17:06-
[DIR]CEHv6 Videos/


http://hackerzvoice.net/ceh/
..