Study79 [뉴스 스터디] 기업에 설치된 CCTV와 생체인식 장비, ‘개인정보’는 안전할까? https://m.boannews.com/html/detail.html?mtype=6&tab_type=1&idx=111432 기업에 설치된 CCTV와 생체인식 장비, ‘개인정보’는 안전할까? 안전과 보안을 위해 CCTV나 지문인식 같은 생체인식 장비를 설치한 기업들이 늘어나면서 임직원들의 ‘개인정보’ 보호에 대한 논란이 지속되고 있다. 이에 개인정보보호위원회(위원장 고학수, m.boannews.com 요약 : 디지털 장치의 기술 발달과 다양화를 기반으로 근로자의 개인정보 처리도 가능하여 안전한 보안을 위해 CCTV나 지문인식 같은 생체인식 장비를 설치한 기업들이 늘어나고 있다. 이에 따라 디지털 기기를 활용하여 CCTV를 근로 감시 목적으로 활용하기 등과 같은 근로자의 개인정보를 침해하는 문제가 다양하게.. 2022. 11. 10. [소프트웨어보안] Stack buffer overflow 이론 Stack buffer overflow 이론 Stack 변수들의 악용 - 지역 변수들은 스택에 연속하여 위치 - 만약 특정 변수의 크기를 넘어서는 값이 쓰여지면 다른 영역에 corruption 발생 가능 다른 영역 ex) 다른 지역 변수, 이전 함수의 FP, 리턴 주소, Arguments 값, 다른 함수의 영역 지역 변수의 corruption - 지역 변수를 오염(corruption)시키는 상황은 변수의 위치가 알려지지 않고 효과가 응용코드의 동작에 의존적이라서 난해하다. 즉, 공격자가 원하는 목표를 달성하는 것이 쉽지 않다. - 좀 더 예측 가능하고 보편적인 공격을 위해서는 스택 프레임의 고정된 정보를 corrupt시키는 것이 좋다. - 해당 코드에서 authenticate()의 sprintf() 함수.. 2022. 11. 6. [뉴스 스터디] 수백 개의 미국 뉴스 사이트, 공급망 공격에 당해 https://www.boannews.com/media/view.asp?idx=111256&page=2&mkind=1&kind=1 수백 개의 미국 뉴스 사이트, 공급망 공격에 당해 사이버 공격자들이 미국의 뉴스 매체를 통해 멀웨어를 퍼트리고 있다고 IT 외신 블리핑컴퓨터가 보도했다. 이 기업과 관련된 뉴스 웹사이트는 수백 개가 넘는다고 하며, 따라서 각종 뉴스 사이 www.boannews.com 요약 : 사이버 공격자들이 각종 뉴스 사이트에 영상 및 광고 콘텐츠를 제공하는 회사를 공격하여 미국의 뉴스 매체를 통해 멀웨어를 퍼트리고 있다. 즉, 일종의 공급망 공격이 이루어진 것이다. 이로 인해 각종 뉴스 사이트에 접속한 독자들이 브라우저를 업데이트 하라는 안내를 받고, FakeUpdates라는 자바스크립트.. 2022. 11. 4. [뉴스 스터디] MS 윈도에서 발견된 두 가지 제로데이 취약점, 아직 패치는 없어 https://www.boannews.com/media/view.asp?idx=111005&page=1&mkind=1&kind=1 MS 윈도에서 발견된 두 가지 제로데이 취약점, 아직 패치는 없어 윈도의 여러 버전에서 두 개의 취약점이 발견됐다. MS의 MOTW라는 보안 기능을 우회하여 악성 첨부파일을 전송할 수 있도록 해주는 취약점들이다. 윈도 버전들마다 취약점 내포 현황이 조금씩 다 www.boannews.com 요약 : MS 윈도 여러 버전들에서 윈도의 방어 장치를 무력화시키는 제로데이 취약점 2개가 발견됐다. 윈도는 인터넷으로부터 다운로드 된 파일들에 일종의 표식을 '숨김 태그' 형태로 부착하는데 이것이 바로 MOTW다. MOTW는 사용자들이 수상한 곳에서 파일을 함부로 다운로드 받지 못하게 하는.. 2022. 10. 28. [소프트웨어보안] 컴퓨터의 구조 및 소프트웨어 실행 원리, C언어와 어셈블리어의 이해 컴퓨터의 구조 및 소프트웨어 실행 원리 1. 언어 별 실행 환경의 차이 ▶ Low-level programs은 메모리를 직접 다룬다. ▶ Low-level program의 장점: 효과적 / 정확한 제어 가능 ▶ Low-level program의 단점: 데이터의 추상화원칙 위배 가능! - 메모리의 임의 접근 - 포인터 및 포인터 연산 - 안전한 메모리 사용 실패 2. 안전한 메모리 사용 방법 ▶ 명확하게 지정된 메모리 영역만을 사용하도록 하기 위해 강력하게 지켜져야 하는 규칙 - 다른 프로그램의 메모리 영역 절대 접근 불가 - 현재 함수의 접근가능 메모리 영역 외의 영역의 접근 통제 3. 컴퓨터의 구조 - 코드와 데이터 ▶ 폰 노이만 모델 - 코드와 데이터를 동일 시 한다. ▶ 폰 노이만 컴퓨터 구조 - .. 2022. 10. 19. [소프트웨어보안] 소프트웨어의 정적 분석 방법 소프트웨어의 정적 분석 방법 이론 1. 정적 분석 vs 동적 분석 1) 정적 분석 - 소프트웨어의 소스코드가 있을 때 분석이 가능. 코드의 내용 속에서 취약성을 찾아낸다. - 중요한 점: 구문 에러 및 논리적 에러를 찾지는 못한다. 2) 동적 분석 - 소프트웨어를 실행하여 가능한 모든 경우를 실행하도록 하여 오류가 있는 지를 확인한다. - 소스코드를 갖고 있지 않은 경우가 많다. - 소프트웨어 개발자가 제시하지 않은 use case를 고려 할 때 도 있다. 2. 블랙 박스 테스트 vs 화이트 박스 테스트 1) 블랙 박스 Test - 소프트웨어의 내부 구조를 전혀 알지 못한다. (소스코드를 포함) - 소프트웨어를 다양한 각도로 실행하여 반응을 확인 하는 형태로 소프트웨어를 테스트한다. - Test 시나리오.. 2022. 10. 12. [소프트웨어보안] Security advisories, CVE Security advisories(어드버져리) 1. Security advisories(어드버져리)란? - Security advisories는 소프트웨어 개발사(Vendor)에 의해 발표 - Public 공개 원칙, 초기단계에 공개대상 제한 - 사전 안내의 경우 : 큰 고객, 보안기업을 대상 - 패치가 없는 상황이 있을 수 있다. - 대중공개를 할 경우 패치 혹은 update가 존재 - 소프트웨어 제공 회사와 공급 개발자 중심으로 구성함 - Advisories의 사용자는 SW의 User, 시스템관리자, 추가 개발자들 이 이용 - 각 개발사마다 자체 포맷이 있으나 공통적으로 지켜야 하는 최소한의 요구사항들이 있다. 1) 이름/날짜/구별을 위한 식별자 2) 위험도 (Criticality) 3) 영향을 받.. 2022. 10. 12. [뉴스 스터디] 인기 높은 유튜브 채널에서 악성 토르 브라우저 설치파일 유포돼 https://m.boannews.com/html/detail.html?mtype=6&tab_type=1&idx=110434 인기 높은 유튜브 채널에서 악성 토르 브라우저 설치파일 유포돼 보안 외신 해커뉴스에 의하면 인기 많은 중국어 유튜브 채널에서 악성 파일이 유포되고 있었다고 한다. 겉으로 보기에는 토르 브라우저 설치파일인데, 그 속에는 악성 코드가 포함되어 있다. 현 m.boannews.com 요약 : 인기가 많은 중국어 유튜브 채널에서 악성 파일이 유포되고 있다. 토르 브라우저가 금지되어 있는 중국은 이를 다운 받아 설치하기 위해선 비공식 채널을 이용해야 한다. 중국어로 유튜브에서 토르 브라우저를 검색하면 문제의 영상이 검색되고, 영상 설명에 첨부된 링크를 누르면 악성 파일이 다운로드 된다. 해당.. 2022. 10. 5. [소프트웨어보안] 소프트웨어의 개발 절차 및 보안관리, 취약점에 대한 Public Advisory 소프트웨어의 개발 절차 및 보안관리 - DevOps and DevSecOps 취약점 - 공격의 시간적 관계 DevOps - 응용 프로그램을 빠르게/높은 품질로 제공하기 위한 체 계 및 기술을 통칭 DevOps의 필요성 - 사용자의 요구가 빠르게 반영되기를 원한다. - 높은 품질의 소프트웨어에 대한 요구는 더 높아진다. DevOps의 추가 요구사항 - Threat Model - Secure Coding - Security as Code - SAST - DAST - Penetration Test - Digital Sign - Secure Transfer - Secure Config - Security Scan - Security Patch - Security Audit - Security Monitoring.. 2022. 10. 5. [소프트웨어보안] Argc/Argv Programming, sscanf Argc/Argv Programming #include int main (int argc, char *argv[]){ int count; printf ("This program was called with \"%s\".\n",argv[0]); if (argc > 1) { for (count = 1; count < argc; count++){ printf("argv[%d] = %s\n", count, argv[count]); } } else { printf("The command had no other arguments.\n"); } return 0; } sscanf의 활용 /* sscanf example */ #include int main () { char sentence []=“John is 12 y.. 2022. 10. 5. [뉴스 스터디] 랜섬웨어 그룹도 내부자 위협을 겪는다? 록빗 3.0 빌더 공개돼 https://m.boannews.com/html/detail.html?mtype=6&tab_type=1&idx=110121 랜섬웨어 그룹도 내부자 위협을 겪는다? 록빗 3.0 빌더 공개돼 랜섬웨어 조직들이 기업화 됨에 따라 보다 강력해지고 있기도 하지만 일반 기업들이 겪는 어려움을 똑같이 겪고 있기도 하다. 바로 불만을 품은 직원들이 일탈 행위를 하는 것이다. 우리는 그것 m.boannews.com 요약 록빗 랜섬웨어 단체는 현재 모든 랜섬웨어 그룹 중 손에 꼽히는 조직인데 이번 주에 이러한 록빗 내 개발자로 보이는 인물이 파일을 암호화하는 인크립터 코드를 깃허브에 공개했다. 심지어는 가장 최신 버전인 록빗 3.0(LockBit 3.0) 혹은 록빗블랙(LockBit Black)의 것이다. 보안 업계에는.. 2022. 9. 30. [뉴스 스터디] 클라우드에서 불법 채굴 1달러 할 때마다 피해자는 50달러 손해 https://m.boannews.com/html/detail.html?mtype=6&tab_type=1&idx=110321 클라우드에서 불법 채굴 1달러 할 때마다 피해자는 50달러 손해 이른 바 ‘클라우드 네이티브’라고 하는 인프라를 겨냥한 위협들이 꾸준히 증가하는 추세다. 특히 클라우드와 컨테이너 자원들을 활용해 암호화폐를 채굴하는 데에 공격자들은 꽤나 열심이다 m.boannews.com 요약 현재 소프트웨어 공급망 공격의 대부분은 암호화폐 채굴을 목적으로 진행된다. 악성 컨테이너 이미지름 만들어 도커허브와 같은 컨테이너 레지스트리에 유포하는 게 대표적인 공격 방법이다. 컨테이너 이미지에는 모든 소프트웨어가 미리 설치돼 있고 설정까지 완료돼 있기 때문에 공격자가 이를 이용해서 악성 페이로드를 준비할.. 2022. 9. 30. [소프트웨어보안] SW 보안의 5 요소 1. 소프트웨어보안 실무와 이론의 차이점 실무 - 안전하게 프로그래밍, 보안 이슈 진단 - 언어 사용의 실수, API 내 문제, 암호기술 및 통신 방법의 문제 - 매우 실무적이고 자세히 기술해야 하는 문제 이론 - 프로그램 실행 중단의 이유와 이의 해결 방법의 이해 - 자동화 도구를 포함한 최신 기술의 이해 - 개념과 방법론 2. 소프트웨어 보안의 일반적인 요소들 1) 위협 (Threats) - 공격자가 원하고 할 수 있는 것 - 악성코드의 종류: malware, spyware, worm - 어떻게 악성코드의 감염이 발생하나? (-> 접촉이 있어야 감염 발생!) - 취약점과 약점(weaknesses)의 분류 필요 (CVE and CWEs) 2) 취약점 (Vulnerabilities) - Overflows.. 2022. 9. 28. [JAVA] 13주차_컬렉션 프레임워크 (Queue, Set 컬렉션, Map 컬렉션, Iterator 인터페이스와 입출력 스트림)_자바 스터디 1차시 Queue, Set 컬렉션 컬렉션 프레임워크의 구조 - 컬렉션 프레임워크는 인터페이스와 클래스로 구성 - 인터페이스는 컬렉션에서 수행할 수 있는 각종 연산을 제네릭 타입으로 정의해 유사한 클래스에 일관성 있게 접근하게 한다 - 클래스는 컬렉션 프레임워크 인터페이스를 구현한 클래스 Queue 컬렉션 (Queue 인터페이스) - 선입선출(FIFO) 방식을 지원 - 항상 순차적! /* Queue 인터페이스의 활용 코드 */ import java.util.LinkedList; //큐를 할당할 때엔 연결 리스트 선언 해서도 사용 가능 import java.util.NoSuchElementException; import java.util.Queue; public class QueueDemo { public .. 2022. 5. 28. [뉴스 스터디] 우리는 랜섬웨어와 데이터 침해가 결합되는 시대에 살고 있다 https://www.boannews.com/media/view.asp?idx=107039&page=1&mkind=1&kind=1# 우리는 랜섬웨어와 데이터 침해가 결합되는 시대에 살고 있다 2021년 한 해 동안 랜섬웨어 사건은 깜짝 놀랄 정도로 증가했다. 모든 침해 사고의 25%가 랜섬웨어의 요소를 일부라도 포함하고 있을 정도라고 한다. 이는 올해 발표된 ‘버라이즌 데이터 침해 수 www.boannews.com 요약 현재 사이버 범죄 단체들의 도구와 전략들의 상업화로 공격의 효율성이 극대화 되고 있으며 누구나 사이버 공격에 쉽게 손을 댈 수 있게 됐다. 누구나 손쉽게 피해자의 네트워크에 침투하고 랜섬웨어 공격을 실시할 수 있으며, 구분 없이 어떤 조직이든 랜섬웨어의 표적이 되어 피해자가 될 수 있다... 2022. 5. 28. 이전 1 2 3 4 5 6 다음
