젯팩(Jetpack) 심각한 보안결함으로 즉시 업데이트 필요(4.0.3)

.

워드프레스에서 사용되는 젯팩 플러그인 업데이트 안내 및 워드프레스 플러그인 자동업데이트 방법에 대해서 오늘은 정리해보았습니다.

워드프유레스 기반 블로그에서 사용되는 젯팩(Jetpack) 플러그인에서 심각한 보안결함이 발견되었습니다.    젯팩(Jetpack)은 웹사이트의 최적화, 관리, 보안기능을 제공해주는 정말 유용한 플러그인이며 저도 사용하고 있으며  현재 전 세계적으로 100만개 이상의 홈페이지에서 사용되고 있는 유명한  플러그인 프로그램입니다.

■  Jetpack by WordPress.com 플러그인의 설명
워드프레스닷컴 클라우드의 능력을 워드프레스 사이트에 가져옵니다. 젯팩은 블로그를 워드프레스닷컴 계정과 연결하여 워드프레스닷컴 사용자만 가능한 강력한 기능을 사용하도록 합니다

이 Jetpack 플러그인에서 심각한 보안 결함이 발견되었다고 합니다.   Jetpack 플러그인의  ‘단축코드 임베드(Shortcode embeds)’ 모듈에서 발생한 보안결함으로서  2012년에 나온 2.0 버전 이후 모든 버전이 포함됩니다.

■ Jetpack 플러그인 보안결함내용:
단축코드 임베드 모듈은 사용자가 외부 비디오와 이미지, 문서, 트윗을 내장해 다른 리소스를 현재 콘텐츠에 삽입할 수 있도록 해주는 기능을 가지고 있는데  Shortcode embeds의 취약점을 이용하면 댓글에 악의적인 자바스크립트 코드를 넣을 수 있게 됩니다. 스크립트를 통해 사용자 인증쿠키등을 훔치거나, SEO 스팸을 추가하거나 방문자를 다른 곳으로 이동시키는  용도로도 사용될 수 있습니다.

현재 Jetpack 개발업체는 취약점을 해결한 4.0.3 버전을 배포하고 있으므로  워드프레스 블로그를 운영하고 있으면서 Jetapack 플러그인을 사용하지는 모든 분들은 4.0.3 버전으로 업데이트 하셔야 합니다.

■ 젯팩 플러그인 업데이트 하기

① 관리자 화면에서 업데이트 메뉴에 들어갑니다.
②  Jetpack 플러그인을 선택합니다.
③ 하단의 플러그인 업데이트 버튼을 클릭하시면 업데이트가 진행됩니다.

4.0.3으로 성공적으로 업데이트 되었습니다. 

 

■ 각종 플러그인을 자동으로 업데이트 하려면

일단 지금은 젯팩플로그인을 수동으로 업데이트했지만 매번 업데이트를 챙기는 것도 번거로운 작업입니다. 그래서 자동으로 업데이트 하기로 합니다.

① 관리자 화면에서  설치된 플러그인메뉴로 이동하여  Jetpack by wordpress.com 아래에 보이는 [젯팩]을 그림과 같이 클릭합니다.

② 젯팩 설정화면에서 화면 오른쪽 하단의 [워드프레스닷컴으로 이동] 버튼을 클릭합니다.

③ 여러분의 블로그가 워드프레스닷컴과 연결이 되어  워드프레스 닷컴의 관리화면이 열리게 됩니다. 여기에서  AUTOUPDATES 로 스위치를 옮겨줍니다.  하는 김에  jetpack외의 다른 플러그인들도 자동으로 업데이트하도록 설정합니다.

④ 제 블로그의 다수의 플러그인들이 자동업데이트 옵션이 활성화되었습니다.   워드프레스닷컴과 연결된 블로그는 더욱 향상된 인터페이스로 관리가 가능하게 되었으며  수동이 아닌 자동업데이트가 수행되게 됩니다.  이젠  플러그인 업데이트는 잊으셔도 될 것 같네요.. ^^

 

 

 

 

[워드프레스 보안1] 로그인페이지 변경하기

워드프레스의 관리자 페이지는 wp-admin이 기본 경로로 되어 있습니다.  워드프레스는 전세계적으로 가장 많이 쓰이는 블로그툴이니 만큼  공격자 입장에게  손쉬운 공격경로가 되고 있습니다.  워드프레스 블로그를 사용하고 계신다면 wp-admin으로 되어 있는 관리자페이지를  변경하시는 것이 가장 간단하면서 확실한 보안대책이 될 수 있습니다.

관리자 페이지를 변경하시면   기존 워드프레스 관리자 페이지인 wp-admin으로 접속하면 아래와 같이 로그인하라는 메시지를 출력해줍니다.

wp-admin_rn05

wp-admin은 여전히 블로그 관리 페이지로 사용됩니다.  관리자 로그인을 별도의 페이지로 분리하는 방식입니다.

■ 관리자 로그인 페이지 변경하는 방법
① 관리자페이지에서 플러그인/플러그인 추가 메뉴를 선택해줍니다.

wp-admin_rn011

 

② Rename wp-login 플러그인을 검색해주세요

 

wp-admin_rn01

 

 

③ Rename wp-login.php 플러그인을 설치해주세요
wp-admin_rn02

 

④ 설치된  Rename wp-login.php 플러그인을 활성화해주세요

wp-admin_rn03

 

⑤    Login url란에 새로운 로그인 페이지 명을 입력해주세요.
(관리자페이지의   설정> 고유주소 메뉴에  로그인페이지 변경창이 새로 생깁니다.)
    –> 이 로그인페이지는 즉시 기록해두세요.  기억을 못하시면 다시는 관리자페이지에 로그인을 할 수 없는 불상사가 발생하게 됩니다.  반드시 이 경로는 정확하게 기록해 두실 것을 다시 한번 강조해서 말씀드립니다.
물론 테마에 따라 로그인메뉴가 있는 경우는 예외입니다. ^^ 

개인적인 생각으로는 워드프레스 블로그스킨에서 로그인페이지 링크를 제거할 것을 권고합니다.  어떤 형태로든지 관리자페이지에 접근할 수 있는 링크를 남겨두는 것은 바람직하지 못합니다.

wp-admin_rn04

이제 모든 작업이 끝났습니다.   이제  여러분의 워드프레스 블로그는 좀더 안전해졌습니다.

향후에 관리자로그인 페이지를 변경하고 싶으시면  관리자페이지의   설정> 고유주소 메뉴에서 언제든 변경하실 수 있습니다.

미국에서IE6의 장례식이 거행된다고 합니다. 2010.3.4 pm7:00

  국의 애튼디자인그룹이란 곳에서 주도해서 IE6의 장례식이 준비되고 있다고 합니다.  사이트에서 보는것처럼  2010.3.4 (목) 오후7시에  거행된다는 군요…   이 장례식은 구글이 오는 3월 1일 구글 도큐멘트 등의 IE6 지원을 중단한다고 발표함에 따라 기획된 것이라네요…  최근 구글은 도큐멘트 이외에 지메일, 유튜브도 IE6 지원을 종료한다고 발표한바 있습니다.

  http://ie6funeral.com/ 

 례식 사이트는 위와 같습니다.  사이트에 보시면  아래처럼  IE6가 관에 들어가 있는 모습까지 재치있게 그려져있습니다.  이 사이트에서는 다음과 같은 조문으로  시작됩니다.

  “8년동안 인터넷의 주민이었던 IE6는  2010년3월1일아침   캘리포니아주 마운틴뷰에서 구글본사에서의 누적된 산업재해로 말미암아  운명했습니다.  친구들과 가족들에게  IE6라고 알려진 인터넷익스플로어6은 아들 IE7과 손녀 IE8를 슬하에 남겼습니다.”

  2001년부터 배포된 IE6는  웹표준을 지원하지 않아서 사이트구축에 부담을 주어왔으며  또한 ActiveX로 인한 보안취약점이 커서 수많은 PC들이 쉽게 공격받는 원인을 제공했습니다.  이제 IE6과 함께 했던 모든 분들은  IE7 또는 IE8로 브라우저를 업그레이드 하셔야겠습니다. 
사용자 삽입 이미지IE6 장례식 티 주문도 가능합니다.  ^^   가격은 25$ 입니다.
 주문 페이지: http://atendesigngroup.spreadshirt.com/ 
사용자 삽입 이미지IE6 장례식을 위한 트위터까지 있더군요..   follow해보았습니다. ^^
  http://twitter.com/ie6funeral사용자 삽입 이미지


14회 정보보호 심포지움이 6월11일 개최 (무료)

원래  “우키의 보안이야기”에 올린 글인데  접속자수가 적다 보니  잘 안 알려질듯하여 이곳에도 포스팅합니다.
사실 요즘은   “우키의 보안이야기”를 좀더 열심히 관리하고 있구요.. 이곳은 조금 소홀해진듯합니다.
둘다 잘하긴 힘들군여..   제가 하는 일이 보안이고  관심사가 보안이다보니…

================================================
좋은 무료보안 교육의 기회가 있어서 소개합니다.
KISA에서 메일로 소개자료가 와서 알게되었는데요…
보안업체들의 나와서  자신들의 제품소개를 하는 세미나와는 다른  유익한 교육의 장이 될듯합니다.


행사명:  제 14회 정보보호 심포지움
일시: 2009년 6월 11일 (목) 10:00-17:00 
장소: 롯데 호텔(잠실) 3층 크리스탈 볼룸

프로그램 다운로드 << 프로그램안내 (HWP) >>

행사안내및 참가신청 사이트:
     http://www.kisa.or.kr/sis2009/ 

등록접수기간: 5월 18일부터  6월 9일 (온라인 등록)  현장등록은 안된다고 합니다.
문의및 연락처:  SIS 2009 사무국 유지연대리 jamie@dreaminno.com  (02)405-5164

[AD에서 권한위임시키기] Taskpad 만들기

ActiveDirectory의 장점은  사용자관리를 현업에 있는 관리자들에게 위임할수있다는것입니다.
부서내에서 어떤 사람들이 특정부서에 이동되고 있는지  중앙의 AD관리자가 확인할수 없기때문에
위임이 가능하다는 것은 AD관리의 효율성을 높이는 동시에 보안수준도 높일수있게해줍니다.
불필요한 인원의 권한을 좀더 긴밀하게 관리할수있게 되니까요…
아래와 같은 프로그램창을  현업의 관리자에게 제공하여 직접 관리할수 있게 해줍니다.
Taskpad라고 하는데   어떻게 권한을 위임하고   툴을 현업에 제공할수있는지 알아보겠습니다.
사용자 삽입 이미지

▶ AD에서  부서관리자에게 권한을 위임하자
1. dsa.msc를 실행하여  AD상에  관리하고자 하는 부서의 OU를  만든다.
2. OU내에 관리자 그룹,사용자 그룹등을 만든다.
3. 관리자 그룹에  관리자 아이디를 소속시킨다.
4. 해당OU에서 마우스우클릭하여  제어위임메뉴를 실행한다.

사용자 삽입 이미지5. 제어위임 마법사에서  관리자 그룹을 추가해준다.
사용자 삽입 이미지
6. [다음 일반작업 을 위임] 옵션에서  [그룹의 구성원 변경]을 선택해주고   [다음], [마침]을 누른다.
    이렇게 하면 현업의 관리자가 자기부서의 사용자그룹을 직접 관리할수 있게 해줄수있다.사용자 삽입 이미지
▶ 부서관리자에게 권한을 관리할수있는 툴을 제작해보자
mmc를 이용하면 부서관리자가 직접 권한관리할수있는 툴을 제작할 수 있습니다.
1. 시작버튼/  실행창에서 mmc 라고 입력하고 엔터..  
사용자 삽입 이미지
2. 아래쪽의 [추가]버튼을 누르고  [Active Directory 사용자및 컴퓨터]를 클릭하고 아래쪽의 [추가]버튼을 클릭합니다.  그리고 닫기 버튼 클릭
사용자 삽입 이미지3. 스냅인 추가/제거 창에  [Active Directory 사용자및 컴퓨터]가 보이실 겁니다. 이때 확인을 눌러서 콘솔화면으로 나옵니다. 
사용자 삽입 이미지4. 콘솔창의 왼쪽 트리에서  관리하고자하는  부서OU로 이동합니다. 해당OU에서 마우스 우클릭하시고
   새 작업창 메뉴를 클릭해줍니다. 그럼 [새 작업창 보기 마법사]가 시작하는데  [다음]을 클릭해주세요
사용자 삽입 이미지5. 새 작업창 보기 마법사에서 아래 그림과 같이 옵션을 선택한후  마침을 눌러주세요
사용자 삽입 이미지사용자 삽입 이미지사용자 삽입 이미지사용자 삽입 이미지
6. 새 작업 마법사가 뜨는데  맨 처음과 두번째 화면에서 모두 default로 두고 [다음] 을 클릭해주세요
    바로가기 메뉴명령 창이 뜨는데 이때 명령원본에 [세부 정보창에 자세히]  사용가능한 명령에는 [등록정보]를 선택한후 다음을 클릭합니다.  그리고 이름및 설명을  입력해줍니다.  그리고 아이콘을 지정해주고 나면 비로서  우리가 만들고자 하는 작업창이  나타납니다.
사용자 삽입 이미지사용자 삽입 이미지사용자 삽입 이미지
불필요한 것들이 보이지 않도록  모양을 다듬어서   현업관리자가 쓸수있도록 해야합니다.
7. 콘솔메뉴에서 [옵션] 선택하여  콘솔모드를 사용자모드-제한된 권한,단일창으로 설정하며  변경된 내용을 이 콘솔에 저장안함을 체크해주세요..
사용자 삽입 이미지
사용자 삽입 이미지8. 콘솔루트의  보기메뉴에서 사용자정의 메뉴를 실행합니다. 그리고 보기사용자 정의의 모든 옵션을 꺼서 화면이 단순하게 보이도록 해줍니다.

사용자 삽입 이미지사용자 삽입 이미지

9. 만들어진 보안권한관리 MMC콘솔을 바탕화면에 저장합니다.
이 MMC콘솔파일을  해당 부서의 관리자에게 제공해주시면 됩니다.
사용자 삽입 이미지10. 만든 아이콘을 사용하기에 앞서서 협업 관리자에게 adminpak을 설치해주셔야 합니다.
     아이콘만으론 아무것도 실행할수 없으니깐요…
    MS사이트에서 adminpak 이라고 검색하셔서  다운로드 받으시면 되겠습니다.
http://www.microsoft.com/downloads/details.aspx?FamilyID=E487F885-F0C7-436A-A392-25793A25BAD7&displaylang=en

[Usbguard] USB바이러스 방지툴 (국가정보원 권고)

바이러스의 배포방법이 최근 많이 바뀌었습니다.
네트웍단의 여러가지 방호책들이 늘어나면서  사용자의 부주의나 호기심을 이용하여
사용자 스스로가 바이러스를 호출하는 방법으로 배포방법이 바뀌고있습니다.

때문에  reverse attack이라고 해야 할 것 같습니다.

최근 급증한 바이러스중 하나가 USB저장매체를 이용한  신종웜들입니다.
usb guard는 이 usb 바이러스의 확산을 저지 합니다.

요즘은 누구나 하나쯤 USB 메모리를 가지지 않는 사람이 없죠..
더우기 USB로 전염되는 웜은 네트웍으로 막는게 불가능합니다.
집이나 PC방에서 usb메모리를 사용하다 웜에 걸리고 그 메모리는 포켓에 담겨서
안전하게 회사내부로 들어와서  내부PC들에  확산되게 되는 것입니다.

usb메모리나 CD롬엔 autorun.inf 라는 파일을 들어가 있어서
윈도우시스템이 autorun.inf를 자동으로 호출하게 되고 
이때 autorun.inf는 진짜 바이러스를 실행하게 되는 것입니다.
autorun.inf 를 이용하는 바이러스는 변종도 너무 많아서  사실상 백신이 제대로 대처하지못하고있습니다.
때문에 일단 PC에서 autorun.inf 를 시스템이 호출하지않도록  막는게 급선무입니다.

국가정보원에서 권고하는 이 파일은 usb장치가 장착될때 autorun.inf를 호출하지않게 합니다
물론 이프로그램을 실행하면 cd롬을 넣었을때 자동실행하게 되는 기능도 같이 꺼집니다.
하지만 웜으로부터 보호가 더 될수 있기때문에 꼭 이 프로그램을 다운받으셔서 실행하시기 바랍니다.
▶ 다운로드
<< 국가 사이버 안전센타   usb guard 배포 페이지 >>

<<  다운로드: usb guard.exe >>    <<  다운로드: usb guard.zip >>
▶ 사용법
1. usb guard를 실행합니다.
사용자 삽입 이미지

2. 자동실행 차단 버튼을 클릭하세요..  (윈도우 시스템의 default 세팅은 ‘자동실행 허용’입니다.)
       허용하시려면.. 자동실행 허용 버튼을 클릭

백신이 못잡는 바이러스 어떻게 잡나?

백신이 있는데도 아무런 alert가 없었는데
네트웍이 매우 느려지거나 컴퓨터조작이 심하게 느려진다면…
뭔가 바이러스의 활동이 있을수있습니다.
요즘은 변형이 많아서 백신이 발견못하는 바이러스가 다수 존재한다고 할수있습니다.
이런 경우 어떻게 대처할 것인지  적어봅니다.

1. 네트웍을 공격하는 웜이 있는지 점검합니다.
Tcpview사용하면 네트웍을 나 모르게 접속중인 프로그램을 찾을수있습니다. 
작업관리자를 보시면 CPU의 부하상태와 부하를 주는 프로세스를 찾을수있습니다.
pslist를 사용하시면 감춰진 프로세스까지 보실수있습니다.
<< tcpview 에 대해 더 자세히 알아보기>>

2. (회사일 경우) 웜발견시 상단의 네트웍장비에 block하는 정책을 설정합니다.
 개인PC라면 모르지만 회사나 단체에선 추가적인 피해및 바이러스 확산을 방지하기위해
네트웍단에서 -스위치,방화벽- block정책을 세팅하는것이필수적입니다.)

3. 바이러스 프로세스를 kill합니다.
pslist로 process를 봐가면서 pskill을 이용하여 바이러스 프로세스를 kill합니다.
이때 한번에 안죽는 바이러스가 있어서 10회정도 반복을 해주면 좋습니다.
pskill은 윈도우시스템 실행파일까지도 kill할수있는 강력함을 보유하고있습니다.
바이러스 프로세스가 두개가 존재하는경우 하나가 죽었을때 다른 하나가 되살리는것을 봅니다.
pskill을 이용해 배치파일로 작성하여 모든 바이러스프로세스를 동시에 kill하는것이 좋습니다.
프로세스를 kill하고 나면 바이러스 실행파일을 삭제할수있습니다.
삭제하기전 실행파일의 확장자를 변경한후 별도의 장소(USB등에) 복사해둡니다.(나중에 필요)
원래의 .exe라고 된 확장자를  .ex_ 로 변경해두면 됩니다. 실행이 되지않죠..
<< pslist , pskill 알아보기 >>

 ProcessExplorer를 통해서 좀더 쉽게 바이러스 프로세스를 종료시킬수도 있습니다.
우키의 보안이야기‘에 포스팅한 아래 글을 참고하세요

http://w-security.net/entry/processexplorer-virus-delete

4. 바이러스가 연계된 dll을 unlock 합니다.
dll바이러스가 돌아가는 경우 백신이 발견했으면서도 삭제를 못하는 경우가 많습니다.
dll바이러스를 감지못하는 경우 processexplorer를 이용하여 dll을 찾을수있습니다.
시스템파일에 들러붙은 dll은 삭제하기가 매우 어렵습니다.
인터넷익스플로어, 탐색기, 백신프로그램등에 들러붙는 경우 삭제가 불가능합니다.
이때 먼저 기존에 연결된 관계를 unlock시키면 바로 삭제하는것 가능합니다.
unlocker를 추천합니다. 리부팅하지않고서도 잘 unlock시키는것을 확인하였습니다.
unlocker에 대한 자세한 설명은 옆의 링크를 클릭하세요…  << unlocker  >>

5. 시작프로그램상의 불필요한 프로세스/ 서비스 제거합니다.
msconfig나 regedit를 이용하여 불필요한 프로세스,서비스를 모두 제거합니다.
이를 위해선 평소에 자신의 컴터에 어떤 프로세스,서비스가 존재하는지 알고있어야합니다.
잘 모를경우 google검색을 이용하여 정보를 얻으셔야합니다.

6. 리부팅후 정상작동하는지 확인합니다.
tcpview와 pslist등을 이용하여 프로세스및 통신상태를 점검합니다.
삭제했던 바이러스파일이 다시 생성되지않았는지 확인합니다.
삭제했던 바이러스 실행파일이나 dll이 다시 리부팅후 생기는 경우가 있습니다.
일단 안전모드로 부팅하여 파일을 삭제하는것도 좋은 방법입니다.
안전모드삭제후 또 파일이 생길수있습니다. 그건 바이러스를 다 찾지못한것인데요…
정체를 다 파악하지못해도 편법으로 바이러스 파일이 다시 만들어지는것을 막는 방법을 소개합니다.
앞서의 3번부터 5번을 실행한후 해당
바이러스 파일이 있는위치에 파일이름과 동일한 폴더를
일부러 만듭니다. 바이러스가 만들려고 하는 파일과 동일한 폴더가 이미 자리를 차지하고있으면
바이러스의 파일 생성시도는 실패하게 됩니다.
(실제로 효과가 있더군요.. ^^; )

7. 발견된 바이러스 파일을 백신회사에 보내어 신규 패턴에 반영하게 합니다.
3번 4번에서 발견한 바이러스 파일을 별도로 보관했었습니다.
.ex_라고 확장자 변경해서 보관한 파일을 다시 압축프로그램을 이용하여 암호를 걸어서 압축 해주세요..
메일을 보낼때  메일서버에서 삭제되어서 전송되지않을수있으니까요..
백신회사에 보낼때 압축해제위한 암호는 알려줘야겠죠..
신규패턴이 1-2일이면 배포될거라고 봅니다.

MSN 피싱사이트가 여러분의 패스워드를 훔치고 있습니다.

MSN 메신저를 이용하여  여러분들의 패스워드를 노리는 피싱사이트가  전파되고있습니다.
아래의 내용을 잘 읽어보시고 피해를 보시는 일이 없도록 조심해주시기 바랍니다.

▶ 왜 MSN 메신저에 속으면 안되는가?
1. 여러분의 MSN 패스워드를 유출시킵니다. (매우 위험)
인터넷사이트에서 동일한 아이디/패스워드를 사용하는 경우가 많으니만큼 매우 위험합니다.
아이디/패스워드가 유출되면  바이러스에 걸리는 것보다 더 심각한 결과가 초래됩니다.
2. 여러분을 또다른 공격자로 만듭니다.
   msn바이러스나 피싱에 속아넘어간 순간 여러분은 의도하지않게 다른사람을 공격하게됩니다.
3. 여러분의 PC가 바이러스에 의해 제역할을 못하게 되어 업무에 지장을 받게됩니다.
이번에 전파되는 MSN피싱메시지의 경우엔  바이러스 기능은 없음을 먼저 알려드립니다. 하지만…
유사한 공격으로 인해 PC에 바이러스가 심겨지고 업무에 큰 지장을 받게되는 경우가 많습니다.

▶ 여러분은 속으셨습니까?
최근 아래와 같은 MSN메시지를 받으셨나요?  
그림에 보면 지인으로부터 msn메시지가 도착하여 뭔가를 알려줍니다. 
( 이미지는 인터넷에 이미 올라와있는것들을 조금씩 편집하여 올렸습니다  ^^; )
출처: http://link.allblog.net/5121177/http://shinyhappy.tistory.com/35 
사용자 삽입 이미지예전에는 영문으로 MSN바이러스 등을 유포되어서 무시해왔는데….
이번엔 MSN에 등록된 친구로부터 한글 메시지가 전송되었습니다.  속아넘어가기 쉽죠….
( 메신저에 뜬 링크엔 바이러스가 없고 단순히 아래의 사이트로 연결해주는 일만 합니다.)
–> 그런면에서 MSN바이러스라고는 할수없겠습니다. MSN피싱이라고.. ^^


링크로는 msn-live-scanner.tk  , messengerblockcheck3.tk , messenger-tips.tk 등이 걸립니다.
그외 url:
messenger-contacts.tk ,
여러가지 다른 이름의 URL이 사용되는것 같은데  IP는 대략 8개가 사용되고있더군요…
69.59.25.79 ,  81.29.204.106,   89.255.3.140,     193.33.61.2 
193.33.61.9,   209.172.59.193,  217.115.151.9,   217.119.57.19

발견 즉시 방화벽에서 block했답니다. ^^
사용자 삽입 이미지

어쨋든 계속 진도 나가겠습니다…… ^^
사용자 삽입 이미지사이트에선 누가 내 msn계정을 block했는지 알려준다며 MSN계정과 패스워드를 입력해달라고 합니다.
호기심에, 혹은 무심결에 아이디,패스워드를 입력했고 아래쪽의 오렌지색 아이콘을 클릭했습니다.
그순간 여러분의 MSN아이디와 패스워드는 유출되어  누군가의 손에 들어가게 되었습니다. 
뿐만 아니라 여러분의 모든 MSN 친구들에게  ‘그 메시지’가 자동으로 전송되게 됩니다

▶ 그렇다면 어떻게 해야 하나요?
1. 혹시 MSN 패스워드가 유출되었다면 즉시 패스워드를 변경하시기 바랍니다.
hotmail 사이트에 접속하셔서 즉시 패스워드를 변경해주세요
  (패스워드를 정기적으로 바꿀 것을 권해드립니다. MSN은 72일을 기본값으로 하는군요)
  길지만 안 바꾸는 20자의 패스워드보다 자주 바꾸는 8자 패스워드가 훨씬 강력한 패스워드입니다.
사용자 삽입 이미지
2. MSN으로 누군가 파일을 전송하거나 URL을 보낼 때 반드시 당사자가 보낸것인지 확인하세요
확인도 하지 않고 링크를 클릭하는 것은 매우 위험한 행동입니다.
영문뿐 아니라 이젠 한글 메시지로도 …. 여러분은 속을 수 있습니다.  
   인터넷은 Untrust의 세계라는 점, 잊지마세요 !
3. 항상 여러분의 PC의 윈도우 보안패치와 백신업데이트를 최신의 상태로 유지해주세요
윈도우 보안패치와 백신업데이트는 최소한의 방어책입니다.

Cisco 2950 S/W에서 특정mac drop시키기

최근에 mac spoofing하는 바이러스가 돌고있어서 대응방안을 찾던중에 가장 신속한 방법입니다.

바이러스에 걸린 PC가 자신의 mac을  다른 pc들의 ip에도  동일하게 대응되도록 spoofing 하더군요
그래서 네트웍에 동일한 MAC을 가지 PC가 30-40대가 존재하는 현상이 일어나게되고
그 30-40대의 PC에서 주고받는 데이타를 훔쳐보게되는 그런 위험스런 상황이 벌어지게 됩니다.
ARP의 취약한 구조때문에 가능한 방법이라고 생각이 되구요.. 어쨋든 이런현상이 있었습니다.

며칠전에 포스팅한 것처럼 문제되는 PC를 찾아서 offline시키고 치료하는것보다
네트웍장비 차원에서  좀더 빨리 조치할 필요가 있어서 알아보던중에  
함께 일하는 강과장님께서 자료를 찾아서 추천하셨습니다. 효과가 더 좋은듯합니다.

config모드에서 다음과 같이 명령합니다.
mac address-table static mac-addr vlan vlan-id drop

그러면 비정상적인 mac은 해당하는 vlan에서 거부되게 됩니다.
당연 오염된 mac은 사라지고 정상적인 mac만 남게됩니다.
그래서 피해를 받고있던 정상 pc들은 자신의 원래의 mac을 회복하게 됩니다.
바이러스 걸린 pc는 더이상 네트웍을 사용할수없게되죠…
인터넷이 안된다며 곧 네트웍관리자에게 연락이 오게됩니다.  ^^

모든 상황이 해제된후  원상태로 돌리기위해서는 아래와 같이 합니다. 
no mac address-table static mac-addr vlan vlan-id

switch ios가 12.1(19)EA1 이상이어야합니다.

<< cisco 2950 의 command references도 참고해보세요 >>

[바이러스] ARP spoofing

다수의 컴퓨터에서 인터넷 홈페이지를 연결시 이상한 문자가 뜨고 화면이 깨진다는 신고가 들어왔습니다.
웹페이지자체는 이상이 없는데 다수의 특정PC에서만 문제가 발생하고 있었습니다.
문제되는 pc에서 깨지는 웹페이지의 소스보이를 하면 특정 문자열이 들어가있는것이 보였구요
사용자 삽입 이미지
웹페이지로 전송되는 아이디/패스워드를 훔쳐내기위한 ARP spoofing형태의 malware로 추측되었습니다.
문제해결을 위해 다음과 같이 시행하였습니다.

1. 웹페이지가 정상적으로 보이지않는 클라이언트 ip확인
2. S/W에서 비정상 작동 클라이언트 ip의 mac 확인
   sh arp | inc ip_address
3. S/W에서 해당하는 mac 현황을 파악 (누가 또 같은 mac를 가지고있나?)
   sh arp | inc mac_address
4. 다수의 pc가 같은 mac을 가지고있는것으로 보였습니다.
5. 진짜 mac을 가진 pc를 찾기 시작했습니다.
6. DHCP서버에 접속해서 최초 mac을 받아간 pc를 찾았습니다.
7. 오염된 pc로 보이는 이 PC의 랜선을 뽑았습니다.
8. S/W에서 오염된 mac을 clear시킵니다.
   clear arp
9. 문제의 mac이 아직도 존재하는지 확인합니다.
    sh arp | inc mac_address
   아래 화면에서 보시듯 더이상 문제의 mac이 올라오지않습니다.
10. 이제 문제의 오염pc를 로컬로 접속해서  문제를 해결합니다.(malware제거)

이외의 방법으로는…  
(S/W에서 지원한다면) 해당mac을 거부하게 하고  clear arp 해도 될것 같습니다.

사용자 삽입 이미지

[CobiT모형] IS통제 모델

CobiTControl Objectives for Information and related Technology의 약자로서
기업의 IT지배와 통제의 개선을 지원할 목적으로 ISACA가 제시한 모형입니다.

아래보이는 그림은 전체 모델을 그려본것이구요…

역시 COSO와 마찬가지로 맘에 드는 그림이 인터넷에 없다보니 워드로 만들어보았습니다.
시간이 좀 걸리더군요…  ㅠㅠ

사용자 삽입 이미지

[COSO모형] 내부통제 모형

내부통제모형인 COSO모형입니다.
내부통제 (Internal control)란 기업자체에서 구현한 모든 통제를 포괄적으로 표현한 것입니다.
COSOCommittee of sponsoring Organizations of the Treadway Commission의 약자로…
AICPA산하 트레드웨이 과제후원추진위원회의 약자를 따서 명명한 것입니다.
COSO포괄적이고 경영지향적으로 개발된 모델이라고 할수있습니다.

인터넷에서 적절한 이미지를 찾지못해 아예 만들어보았습니다.
워드로…ㅋㅋ  (PDF로 내보내기한후 화면캡춰해서 만들었습니다.)

사용자 삽입 이미지

[보안] 코코넛보다는 복숭아처럼

사용자 삽입 이미지보안이란 단어는 ‘철통같은 경계’를 연상하게 합니다.
물샐틈 없이 철저하게 지켜야할것 같은 생각이 듭니다.

그런면에서 코코넛이 연상되게 됩니다.
풍부한 수분을 가지고 있지만 겉 표면은 매우 단단한 껍질로 보호되죠..
열매의 가장 바깥쪽에서 내부의 모든것을 보호해줍니다.
기업에서 코코넛처럼 보안을 한다면… 전부 보호하려한다면…
비용은 엄청나게 증대할것입니다.
 
한곳만 뚫려도 모든것이 새어나가죠..  들어간 막대한 비용도 무의미해지죠..

사용자 삽입 이미지그래서 보안은 복숭아처럼 하라고 하더군요.,..
복숭아는 모든것을 보호하지않습니다.
핵심을 보호하죠..
보호할 가치가 있는것을 선별하여  제대로 보호하는것…
그것이 기업 보안의 핵심이 아닌가 합니다
.
실제로 지나친 보안은 기업의 효율성은 떨어뜨리기도 합니다.
보안은 기업의 기밀을 유지하는것이라기 보다는
기업의 가치를 보호하는것이라고 할수있습니다..
비용대비 효과적인 보안을 하는것이 과제가 되는거죠…

보안은 코코넛보다는 복숭아처럼 하라고 한말은 제 말은 아니구요… 송태호님이 자주 하시던 말씀입니다.
보안에 대해 공부하고 자료를 모으고 시스템을 준비해가면서 그말이 더욱 새로와져서…
정리하는 마음으로 이글을 적어봤습니다. ^^
 

[WSUS 3.0] 강력한 리포트기능으로 무장한 WSUS

이번에 Forefront BMT를 진행하면서  그동안 미뤄왔던 WSUS 3.0 테스트도 함께 하는중입니다.
과거 SUS에서 WSUS로 올라가면서  윈도우즈업데이트에서 Office,SQL등 MS 보안업데이트로 진화했었죠
최근 WSUS 3.0으로 업그레이드되면서 그동안의 웹기반 관리를 버리고 콘솔기반 관리를 채택했더군요
SQL  Report service를 이용한 조금은 화려해보이는 (?) 리포트를 얻기위해서인 듯 합니다..
예전 WSUS 2.0의 약점이었던 Report기능을 크게 보완했습니다….
시스템 성능은 더 좋아야 되겠죠? MS SQL 2005도 필요하니깐요..
아래에 제가 적는것은 WSUS 3.0의 모든 기능이 아닙니다. 일주일정도 사용한후 느낀점을 정리해본거죠..^^
전체적으로 괜챦다는 느낌입니다. ㅋㅋ   Forefront와 WSUS3.0를 콤비로 하여 시험 운영중이랍니다.
Forefront client server console도 WSUS 3.0과 같은 리포트 시스템을 가지고있죠..
여타의 백신과 달리 취약점 리포트도 같이 해준답니다. (로컬계정의 취약점,미패치현황등….)
이건 추후에 따로 정리해보도록 하겠습니다.

1. 좀더 유연해진 보안업데이트 Auto approval 설정
처음 WSUS 3.0 화면에 들어와서 달라진 인터페이스때문에 조금 당황했었습니다.
모든 업데이트를 다 자동 설치승인할수는 없지만 일부라도 넣어두는것이 좋죠..
여기선 forefront제품에 관한 것은 자동업데이트 승인이 되도록 해보았습니다.
왼쪽 메뉴상의 Options에서 Automatic Approvals/ New Rule에서 카테고리별로 추가가 가능합니다
WSUS 2.0보다 유연한 approval이 가능합니다…
사용자 삽입 이미지

2. WSUS 서버의 관리사항을 메일로 받아볼수있습니다.
사용자 삽입 이미지
3. 보안 업데이트뷰를 작성하여 업데이트들을 유연하게 조회할수있습니다.
엄청나게 많은 보안업데이트를 어떻게 볼지 고민스럽더군요. 걸러서 봐야하니깐요..
업데이트카테고리및 심각도, 싱크된 시간들을 조합하여 여러가지 뷰를 만들어서 조회할수있습니다.
멀티로 선택후 마우스오른쪽 버튼을 이용하여 Approval 을 할수있습니다.
사용자 삽입 이미지
사용자 삽입 이미지
4. MS SQL Report service를 이용한 강력한 Report기능
Reports 메뉴를 클릭한후  New Report type을 고릅니다. (저는 Detailed report를 선택)
보고자하는 카테고리들을 선택한후 Run Report를 클릭하여 보고서를 생성합니다.
생성된 리포트를 봅니다. 다수의 페이지가 생성되므로 넘겨가면서 보시면 되겠습니다.
테스트 PC 8대가 있었는데 critical한 패치들은 100% 설치가 된것을 볼수있었습니다.
Critical 보안패치 설치가 되지않은것을 조회하려했는데 결과물이 없어서 설치된것을 조회했답니다. ^^
사용자 삽입 이미지사용자 삽입 이미지
5. 초기화면에서 전체적인 업데이트 상황을 비쥬얼하게 보여줍니다.
링크를 타고가면서 보다 구체적인 정보들을 계속 조회할수있습니다. 클릭하면 뭔가 열립니다.  ^^
사용자 삽입 이미지
▶ 필수설정 사항:  콘솔에서 지정해주셔야 AD의 그룹정책을 이용하여 패치를 배포할수있습니다.
WSUS2.0때는 별도의 설정이 없어도 도메인정책을 통해 되었었는데 이젠 콘솔에서 설정이 필요합니다.
잊지마세요..  저두 설치하고나서 도메인PC들이 붙질 않아서 궁금해했답니다. 며칠동안….

사용자 삽입 이미지

[Forefront client security] 가동시작하다

MS가 의욕적으로 내놓은 client security 프로그램이 forefront client security입니다.
일종의 백신인데..    client의 취약점점검까지 같이 할수있죠..
향후 롱혼서버의 NAP와 연동되면 강력한 AD기반의 보안프로그램이 될 가능성이 큽니다. (아직은 관망…)
여타의 백신과 다른점은 AD에 깊숙히 연결되어있다는거죠…
배포도 AD의 그룹정책을 이용하죠..  설치도 그렇고 패턴업데이트도 그렇고….
지난주부터 테스트하기 시작했는데요…  제 Vista 노트북에서 가동중입니다.

마침 아는 사람으로부터 바이러스 걸린 MSN 메시지가 오길래 의도적으로 허용해보았습니다.
바이러스인줄은 알았지만  forefront의 성능시험을 위해 제 노트북을 희생하기로.. ^^
결과는 잘 대응하는것을 관찰할수있었습니다.
사용자 삽입 이미지
그랬더니 일단 막히더군요.. 로컬로 파일저장을 시도했으나 실패했습니다.
트레이의 forefront client security 아이콘 색깔이 변해있어서 클릭해보았습니다.
사용자 삽입 이미지review링크를 눌러보니 구체적인 바이러스블락한 상황이 나오고…
MS의 바이러스정보가 링크된 페이지를 띄워서 바이러스의 좀더 상세한 정보도 볼수있었습니다.

사용자 삽입 이미지

[디스크폐기프로그램] Dp Secure Wiper 1.03

이 프로그램은 사용에 제한이 없는 Freeware입니다.

요즘은 회사에서 업무를 노트북이나 pc로 하지않는 사람은 없습니다.
회사의 중요한 데이타의 70%가 pc에 담겨있다고하죠..
하지만 PC의 폐기또는 외부반출은 허술하기 그지없습니다. 
예전엔 기업에서 나온 휴지통을 뒤지는 Dumpsterdiving이 중요한 정보획득이었다면..
요즘은 기업에서 흘러나온 PC의 Disk scavenging이 중요한 정보획득원이 될수있죠..

미국방성기준에 의하면 Disk를 7번 Overwrite해주면.. 데이타를 복구할수없다고 되어있습니다.
물론 특수기관에선 이것도 살릴수있다는 말도 있습니다만…. ^^
요는 기업의 PC의 마지막과정은 “Disk 7번 Overwrite”과정이 되어야한다는거죠..
디스크 폐기라기 보다는 데이타폐기라고 하는것이 맞는것일듯합니다. (디스크는 재사용이 가능) 
특히 PC를 리스하는 회사라면 반납전 반드시 Disk 7번 Overwrite해주어야합니다.
여러가지 쓸모없는 데이타로 디스크를 7번 채우면 되는것인데… 수동으로 하려면 어렵죠..
이 디스크폐기를 해주는 프로그램입니다.

▶ DP Secure WIPER는 4가지 삭제옵션을 제공해줍니다.
Non delete (not secure):  이건 쓸일이 없겠죠..
Single overwrite (1번 overwrite): 소프트웨어기반의 리커버리툴을 이용해서는 복구못한다고합니다.  
DoD Wipe (7번 overwrite): 미국방성기준의 7번 오버라이트입니다.
Gutmann’s Maximum security 35pass wiping (35번): 가장강력, 어떤툴로도 복구불가능….

아래로 내려갈수록 보안은 강력해집니다….  하지만 시간은 엄청 오래걸린다는거…
일반적인 경우엔 DoD, 임원이 사용하던 PC라면 35pass wiping .. 이렇게 하면 될듯합니다.
삭제한후 디렉토리 구조는 남겨져있지만 파일은 오버라이트되어서 복구불가능상태가 됩니다.

제작자 사이트: http://www.paehl.de 
프로그램 다운로드: << download ( DP WIPE 1.03) >>사용자 삽입 이미지

바이러스감염후 공유폴더에 접속하지못할때 조치

바이러스 감염후 컴퓨터의 모든 공유가 사라지고 다른 공유폴더에도 접근하지 못하는 현상이 있었습니다.
바이러스를 치료했지만 바이러스가 일부 레지스트리값을 바꾸는 것으로 보입니다.
C$  D$ RPC$등의 일체의 공유가 모두 사라져있는 현상을 보였구요..
공유폴더를 이용하여 서비스하는 모든 것들이 안되더군요..
협력업체의 모 엔지니어의 도움을 받아  복구할수있는 레지스트리 키값을 찾았습니다.

아래의 키값으로 변경하고 리부팅하면.. 정상적으로 공유가 올라오는것을 확인했습니다.
XP와 2000프로페셔널, 2000서버에서 테스트했습니다.

아래의 내역을  텍스트파일로 만들어서  저장할 때 .reg 파일로 만들고..
문제되는 pc에서 더블클릭하면 해당 레지스트리값이 시스템에 입력(import)됩니다.
리부팅후 서비스가 회복이 되었습니다.

=====   recover_share.reg  ================================================================
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]
“AutoShareWks”=dword:00000001
“AutoShareServer”=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters]
“TransportBindName”=”Device

==========================================================================================

[SIC tool 3.0] 바이러스의심 프로세스찾기툴

SIC (system information collector)는 바이러스들을 찾는데 도움을 주는 프로그램입니다.
치료기능을 가지고있지않습니다.  하지만 여기서 보여주는 시스템 정보는 정말 많습니다.
또한 뭐가 바이러스라고 알려주지않으니깐.. 시스템에 대한 사전 지식이 필요합니다.
정상적인 시스템에 대한 이해와 지식이있어야  비정상적인 프로세스들을 구분할수있답니다.

이 프로그램은 정상적이지않는 프로그램을 찾는데 근거를 마련해주는것이라고 할수있습니다.

▶ SIC가 보여주는 정보들…
User Information
System Information
Network Shares
AutoStart Programs
Scheduled Tasks Information
File Dump (host file)
LSP Chain Information
Network Status
Rootkit Information
Active Processes
Windows Services
Application Uninstall Information
Microsoft Patches Information
File Versions
AV Products
Disk drive(s) Boot Record

▶ 프로그램 사용법
1. Analyze 버튼을 클릭하면 시스템을 구석구석 검사해줍니다.
2. 로그파일을 봅니다.
특히 AutoStart Programs,Rootkit Information,Active Processes를 주의깊게 볼필요가 있습니다.
3. Retrieve files를 클릭합니다. 그러면 Select files for Analysis 창이 뜹니다.
4. include file창에 수상한 프로그램을 ,, exclude창에 정상적인 프로그램을 위치시킵니다.
(모르시면 include창에 그냥 두세요)
6. Compress and retrieve files를 클릭하여 파일압축
5. Send files to Trendlab을 누르시면 파일이 트렌드의 바이러스조사용 ftp로 올려집니다.
그러면 트렌드본사에서 전세계에서 올려진 파일들을 조사해서.. 바이러스치료패턴에 반영합니다.
하지만 보내준 사람에게 따로 연락이 오지않습니다 (ftp로 올렸기때문에 연락처정보가 없죠…)
**참고로 아래그림은 깨끗한 제pc에서 실행한 덕에 바이러스의심 프로세스가 없어서  ㅠㅠ
데몬툴이라는 정상 프로세스를 리스트해보았습니다.(뭐라도 넣어야 그림이 나와서…^^)

<< Download – SIC tool 3.0 >>

[RootkitBuster] 트렌드의 루트킷검색툴

트렌드에서 만든 루트킷 검색툴입니다.
연초부터 여러가지 신종바이러스들이 등장해 바쁘게 보내고있습니다.
수상한 프로세스는 있는데  실제 파일을 찾기힘든경우가 있더군요
dll형태로 등장해 윈도우시스템이 자신을 기동시키도록 하거나  실행파일을 깊숙히 숨겨놓습니다.
바이러스찾기를 시도할때는 반드시 시스템파일/숨김파일을 모두 볼수있게 미리 옵션조정해야합니다.

이름도  윈도우시스템에서 사용할것 같은 유사한 이름으로 위장하고 있어서 더욱 주의가 요구됩니다.
최근의 바이러스는 루트킷을 이용하는 경우가 늘고있기때문에.. 검색이 쉽지않습니다.
루트킷을 찾는데 도움을 받을 프로그램 하나를 소개해봅니다.

RootkitBuster는 루트킷을 검색해주는 프로그램입니다. (검색까지만 해준다는거….)
하지만 바이러스의 정체를 알면 일단 조치가 가능하기때문에.. 큰 도움이 됩니다.
사이트엔 아무런 설명도 없습니다. ㅠㅠ (사용법이 간단하기때문에..)
스캔버튼만 클릭하시면 작업이진행이 됩니다…
검색이 끝나면 검색로그를 보여줍니다..  

제작사 사이트: http://www.trendmicro.com/download/rbuster.asp
<< 다운로드 (RootKitBuster 1.6 beta) >>

<< 다운로드2 (RootkitBuster 1.6 beta) >>