Vulnerability

취약점(vulnerability)은 공격자가 시스템의 정보 보증을 낮추는데 사용되는 약점이다. 취약점은 세 요소의 교집합이다. 시스템 민감성 또는 결함, 공격자가 결함에 대한 접근 그리고 공격자가 결함에 대한 익스플로잇 가능성. 취약점을 익스플로잇하기 위해서, 공격자는 반드시 시스템의 약점에 접속할 수 있는 적어도 하나의 툴이나 기법을 가져야 한다. 이 경우에, 취약점은 또한 공격 영역이라고도 불린다.

Intel Vulnerability

보안취약점 제보시 참고 파일 표준

security.txt: Proposed standard for defining security policies
IETF에 제출된 Draft
루트 또는 /.well-known/ 에 넣어두는 Robots.txt 의 Security 버전
필수 사항 : Contact (보안 담당자 이메일 연락처 또는 링크 ) / Expires
옵션 사항
- 링크 : Encryption (PGP-Key) / Acknowledgments(감사의 말) / Policy(보안 정책 상세) / Hiring(보안 관련 채용) / Canonical (다른 위치들)
- 그외 : Preferred-Languages

2018 Best Vulnerability

2018년, 해커들이 가장 많이 사용했던 취약점은 무엇일까?

화이트햇이 뽑은 2018년 가장 흔한 취약점은 다음과 같다.

jQuery File Upload RCE – CVE-2018-9206
Magecart
WordPress DoS – CVE-2018-6989
Drupalgeddon 2 – CVE-2018-7600
Drupalgeddon 3 – CVE-2018-7602
Telerik’s RadAsyncUpload
Spring Data Commons – CVE-2018-1273
Cross Site Scripting – CVE-2018-1999024
Flash Player Hack – CVE-2018-4878
Spring OAuth Approval – CVE-2018-1260

3줄 요약

2018년 해커들이 가장 많이 사용한 취약점 10개가 뽑히다.
여기에는 오래된 것들과 새로운 것들이 혼재되어 있었다.
취약점의 근간은 두 가지 : 오픈소스 활성화와 데브옵스.

막다른 골목에 다다른 한국의 온라인 보안 실태

막다른 골목에 다다른 한국의 온라인 보안 실태 | GeekNews
- [원문] South Korea’s online security dead end | Almost Secure

예로부터 한국의 온라인 뱅킹이나 전자정부 서비스는 각종 설치 프로그램으로 악명높습니다. 과거에는 ActiveX였고 요즘은 보안 플러그인 설치 파일로 바뀌었습니다만, 그 본질은 바뀌지 않았지요. 그래도 근래에는 공인인증서 대체 본인인증 수단도 생기고 exe 플러그인 설치 없이 온라인 서비스를 제공하는 곳도 등장하는 등 예전에 비하면 일부 사정이 개선된 편입니다만, 아직까지도 이런 것을 설치하라고 강요하는 웹사이트가 2023년 현재까지 버젓이 남아있는 현실은 참으로 통탄할 노릇입니다.

애드블록 플러스로 유명한 블라디미르 팔란트(Wladimir Palant)는 지난 9월부터 한국의 이러한 온라인 보안 실태에 관해 조사해오고 있었다며 자신의 블로그에 글을 올렸습니다. (영어) 1990년대 미국의 암호 알고리즘 수출 규제 때문에 한국에서 자체적으로 개발한 SEED 알고리즘으로 인터넷 뱅킹 서비스를 구현하기 위해 ActiveX를 사용하기 시작했다는 역사적 이유에서부터 시작하여, 한국에서 인터넷 뱅킹 써봤으면 누구나 다 아는 보안 플러그인 설치 실태, 그리고 이러한 “보안 소프트웨어”가 실제로는 보안에 아무런 도움이 되지 않는 가짜이지만 현 상황이 이해 관계 때문에 의도적으로 설계되었다는 점까지 정확하게 꿰뚫어보고 있습니다.

이 분은 조사 과정에서 보안 플러그인 제품의 보안 취약점을 여럿 찾아 보고한 모양이지만, 그것만으로는 실질적인 문제가 해결될 수 없다는 점도 당연히 이해하고 있습니다. 하여튼 발견한 취약점의 구체적인 내용은 보고 후 90일 뒤에 공개하는 관례에 따라 글쓴이의 블로그에서 오는 2023년 1월 9일, 1월 23일, 3월 6일에 각각 공개할 예정이라고 하네요.

그리고 보안 취약점을 찾는 과정에서 다음과 같은 소프트웨어 품질 문제도 발견했다고 합니다. 어째 다들 익숙하실 만한 내용입니다.

이걸 개발한 개발자는 C 언어를 사용하면서도 버퍼 오버플로우와 같은 메모리 안전 문제에 미숙한 것으로 보임
문제를 완화하는 다양한 메커니즘을 제공하는 최신 컴파일러 대신 15년 묵은 Visual Studio로 컴파일
명색이 보안 프로그램이면서 ASLR이나 DEP처럼 오래되고 기본적인 보안 기능마저 비활성화되어 있음
(경우에 따라 10년 이상) 오래된 버전의 오픈소스 라이브러리 사용
대부분의 경우, 암호화는 그저 리버스 엔지니어링을 방해하기 위한 난독화(obfuscation)를 위해 사용한 것으로 보임
암호 알고리즘 파라미터에 한참 전에 사용 중지(deprecated)된 내용을 아직까지 쓰고 있음

TouchEn nxKey 취약점 분석

TouchEn nxKey 항목 참조.

IPinside: 대한민국의 필수 설치 스파이웨어

IPinside 항목 참조.

TLS 보호 약화하기, 한국 스타일 - 블라디미르 팔란트

Weakening TLS protection, South Korean style | Almost Secure
- TLS 보호 약화하기, 한국 스타일 - 블라디미르 팔란트 | GeekNews
- [한글] KoreaSecurityApps/03_weakening_tls_protection.md at main · alanleedev/KoreaSecurityApps

요약:

한국 보안 프로그램들이 로컬 서버에서 TLS 사용을 위해 비공인 자체 인증기관을 PC에 설치한다.
이들 인증기관에서 사용하는 비밀키에 대해서는 보안상 잘 관리가 되야하지만 이것을 강제하는 법이나 외부 감참 등이 없기 때문에 이것을 설치한 업체가 보안 유지를 잘 하기를 믿어야 한다.
하지만 이전 글에서 보았듯이 과연 업체들이 얼마나 잘 보안을 유지할지는 의문이다.
만약 비밀키가 유출시에는 한국에 많은 사람들이 웹사이트 사칭위험에 노출될 수 있다.
자체 인증기관 설치시 좀 더 안전한 방법과 사례를 제시한다.