Coderant IT 보안과 컨설팅

재무제표상의 부정(Fraud)를 적발하기 위한 체크리스트 자료입니다.

--> FinancialStatementFraudChecklist.doc 

재무제표상의 사기, 부정 적발에 대한 설명

--> http://blog.paran.com/bitnet/28332528

현재 CFE 자격은  

 

일정 요건 (점수제에 의하여 50점) 이상을 갖춘 전문가가 CFE 자격시험을 합격할 경우 인증합니다.  

 

CFE 협회와 협의한 결과 한국에서 CFE 자격시험 응시자가 많고 정부 등 각종 기관의 협조요청이 있을 경우, 한국형 CFE 자격시험제도 실시의 가능성에 대해 긍정적 반응을 얻었습니다.  

  

CFE 자격 조건

  - 도덕성을 갖춘 사람
  - 일정한 수준 이상의 교육과 경험을 갖춘 사람 (특정학위는 필요하지 않음)
  - 최소한 2년 이상의 직접, 간접적인 Fraud의 적발과 방지에 관련된 경력
  - 준회원에 가입한 자
  - CFE 자격시험을 통과한 자 혹은 자격시험면제를 인정받은 자
  - 매년 직무연수를 수료 (CPE)
  - 연회비를 납부
  - CFE협회의 내규와 직업윤리규정을 준수  

 

  경력 해당 분야

  - 회계 및 감사: 공인회계사, 공인정보시스템감사사, 공인내부감사사 등
  - 범죄학 및 사회학: 사기와 화이트칼라 범죄/사회학에 관한 연구자나 교육 전문가
  - Fraud 조사: 경찰, 형사, 변호사 등 사기범죄 사건 조사 경험자 등
  - 손실 방지: 보안 전문가, 보안 컨설턴트 등
  - 법: 검찰, 변호사 등

   
  만약 위의 어느 곳에도 해당되지 않으나, 하시는 일이 Fraud의 조사, 적발, 방지에 관련 된 것이라면, 해당 경력을 상세하게 기술한 내용을 함께 보내주시기 바랍니다.  

 

  CFE 자격시험 (Uniform Examination)

 

CFE 자격시험 신청비는 미화 250달러입니다.  신청자는 CD-ROM으로 된 CFE 매뉴얼 제3판과 시험준비자료목록을 받게되면, 자동적으로 1년간 자격증서을 받게됩니다. CFE자격시험를 신청하기 위해서는 점수제에 의한 평가점수 최소 50점이 요구됩니다  시험준비가 끝나서 시험신청을 하면 협회는 시험문제를 CD-ROM을 보내드립니다.

 

CFE 자격시험신청서

　

CFE 자격시험은 4가지 분야인데 (Fraudulent Financial Transactions, Legal Elements of Fraud, Fraud Investigation, Criminology and Ethics), 각 분야별로 125문제, 총 500문제가 출제되며, 각 분야별로 75점 이상을 획득하여야 시험을 합격합니다. 시험은 2년 내에 3번의 기회가 주어지며, 실패한 분야만 재시험을 치르면 됩니다.

 

시험시간을 각 분야별 2.5시간, 총 10시간이며, CD-ROM을 최초로 읽은 날로부터 30일 내에 시험을 완료하여야 합니다.  미국 전문가를 기준으로 최소한 100시간의 시험준비 기간이 필요하다는 것이 협회의 견해입니다.

 

직무연수 (CPE 학점)

 

모든 CFE는 협회나 Korea Chapter의 각종 교육 프로그램을 통하여 매년 CPE 20학점을 얻어야 자격이 유지됩니다.

 Korea Chapter에서 주관하는 프로그램으로 매년 20 CPE 학점을 취득할 수 있습니다

　

본인의 CFE 자격점수

　

10점은 다음에게 주어집니다.  

1년간의 공식적인 대학교육 (예를 들어, 학사학위는 40점, 최대 40점)
공인된 자격 (CPA, CIA, CPP)*
박사학위 혹은 동등한 학력 (Ph.D, JD) 

5점은 다음에게 주어집니다.  

1년간의 Fraud에 관련된 분야에서 일한 경력 혹은 동등한 경력
석사학위 혹은 동등학력  

* 자격은 공인회계사, 변호사, 공인세무사,변리사 등 사회에서 일반적으로 전문성이 인정되어야 함
*  경력은 회계, 감사, 범죄-수사관련업무, 부정-사기 관련업무, 부정-사기 관련법 업무만 해당
 예) 4년 대학졸업자, 관련업무 9년차 차장의 경우, 40점+5점*9년=85점    
            석사학위소지자, 회계파트3년, 감사실 3년근무한 감사실장의 경우, 40점+5점+5*6년=75점
      4년 대학졸업자 공인회계사 경력 6년의 경우, 40점+10점+30점=80점

Social Engineering 기법의 Non IT 해킹기술에 대한 간략한 소개입니다.
이 분야 전문가 중에 한 사람인 Johnney Long이 저술한 2007년 Defcon 15 'No Tech Hacking' 섹션에서 발표한 내용을 위주로 만들어 봤습니다.
이 외에도 다양한 내용이 있지만, 가장 재미난 파트만 뽑아봤습니다.

--> No_Tech_Hacking.ppt

먼저, 대포폰으로 자주 이용되는 선불폰의 국번을 알려 드리겠습니다.

각 통신사별로 알아보겠습니다.

이건 선불폰 고유 번호라 100% 확실합니다.

01x - 국번 형식 입니다.

011 - 9280, 9670~9673, 9680~9699

016 - 660, 798, 799, 872~874, 891~893, 895, 896, 898, 9214, 9215, 9217~9219, 9294~9298, 9301~9309, 9314~9319

017 - 797~799, 389

018 - 870~875, 850~869, 876~893, 894~899

019 - 780~789, 801~850

거래 상대방이 위 국번일 경우 거래시 주의하시기 바랍니다.

선불폰은 대포폰과는 비슷한 개념으로 일정금액을 선불로 지불하고 그 금액만큼 단기간 사용하는 핸드폰입니다. 대포폰보다 훨씬 쉽고 간단하게 구할 수 있어서 더욱 조심하셔야 할 겁니다.


[출처]
http://club.cyworld.com/club/main/club_main.asp?club_id=51708806

1. D.N.S.
Pronounced just like Robb Van Dam says his name. Good ole Dan Kaminsky discovered a major league set of vulns in DNS that had folks scrambling to patch servers all over the place. It gets even better then the CNAME record attack, now I can send a querying name server fake info that can then be used to query other name servers. Now I am not limited to a single cache entry, ALL queries may be forwarded to the attackers name server! Ouch!

2. Apple quietly recommends antivirus software for Macs.
Hey, consider it a compliment! Your devices are getting so popular, hackers are taking notice and see the value in Mac-based computing.

3. Drive-by attacks with Java.
JavaScript has been used to infect thousands of legitimate web pages to insert a trojan to visitors! Sound like a National Enquirer headline? No way! This attack method has been very successful and nearly transparent to users. This launches a new age in hacking.

4. WPA cracked
Elcomsoft has improved it Distributed Password Recovery tool so much that WPAv1-v2 password are cracked tons faster. Many wireless security folks are moving to WPA but wrapping it in a VPN encrypted package. Small story, HUGE news!

5. Mac users get a dose of Windows hacks
In January, I got a notice for free-trial antispyware. No surprise except that it was on my Mac! I did a little sandboxing on MacSweeper and sure enough, it was crapware. Of course it found problems that could only be solved by purchasing the full version. PayPal or credit card? And I thought all I had to worry about was OSX.RSPlug.A on my Mac!

6. Laptop Lojack!
Laptops are being ripped off at an alarming rate. Two companies plus an open source alternative have introduced tracking packages to track down your hardware and hopeful return it to you or zero out the data. Read about it in this blog post.

7. Private Investigator, your next career cert?
An increase in hackers has dramatically lead to an increase in computer forensic analysts. Are you ready for a career change? Not so fast! You may need to be a Private Investigator first. Read about it here.

8. Don't like your current security software? Write your own and get Cisco to pay you for it!
The Cisco AXP contest is a chance to show off your coding skills and the chance to win 50K, 30K or 20K USD for your efforts. The best part is Cisco is giving away ISO so you can practice on with out purchasing an actual AXP module. Read more here.

9. NMAP 4.75 adds graphic mapping feature!
Not only did NMAP update tons of OS signatures, BUT it added a Zenmap GUI feature. Maps are laid out based upon distance from (hops) the scanning node, different map markers for nodes, network devices, grouping rules. Fyodor must have had an interesting Summer vacation...

10. The Last HOPE
For my fellow 2600's out there, I thought this was the last HOPE conference. Come to find out that was just the title. Whatever. 2600 must have got a marketing department. Last one for me, OK most likely not because they are mega cool and I always have a blast!

Have a great New Year Y'all! Thank you so much for reading this blog. I am very grateful for y'all.

Trivia File Transfer Protocol
A very large percentage of the movie budget for Monty Python and the Holy Grail actually came from donations by members of Pink Floyd and Led Zeppelin.

Jimmy Ray Purser

혹시 .NET Framework 2.0 설치 시 에러가 다음과 같이 나는 경우가 있다.
그런 경우 간단하게 해결할 수 있다.

Error 25007.FuSion 초기화 오류 LoadLibraryShim() 

해결방법은 
%Windir\WinSXS\Polices 디렉터리를 삭제하고 재설치하면 된다.

MS SQL 2005 서버가 점점 많아지면서 진단시 기존의 2000과 쿼리명에 약간의 변경이 있습니다.

1. 테이블의 모든 계산 열(Computed Column) 찾기

1) SQL SERVER 2000
select name from syscolumns where id =object_id('TableName') and iscomputed=1

2) SQL SERVER 2005
select name from sys.computed_columns where object_id =object_id('TableName')

[참고]

SQL Server 2005에서는 계산된 열을 지속형(Persisited)으로 설정할 수 있습니다. 따라서, 지속형(Persisted)으로 설정되지 않은 계산된 열을 확인하기 위해서 다음과 같이 조건을 추가할 수 있습니다.:

select * from sys.computed_columns where is_persisted=0

2. ID열이 있는 테이블 목록 조사하기

1) SQL SERVER 2000
select object_name(id),name from syscolumns where columnproperty(id,name,'IsIdentity')=1

2) SQL SERVER 2005
select object_name(object_id),name from sys.identity_columns

[참고]
SQL Server 2005 에서는 id열의 가장 마지막 값을 별도로 저장합니다. 다음과 같은 쿼리를 이용해서 이를 확인할 수 있습니다..

select name,last_value from sys.identity_columns

3. 현재 Instance의 모든 데이터베이스 알아내기

1) SQL SERVER 2000
select name from master..sysdatabases

2) SQL SERVER 2005
select name from sys.databases

4. 데이터베이스의 모든 저장 프로시저 리스트 알아내기

1) SQL SERVER 2000
select name from sysobjects where type='P'

2) SQL SERVER 2005
select name from sys.procedures

[참고]
다음과 같은 조건으로 저장 프로시저가 복제에서 이용되는지 여부와 SQL Server가 시작할 때 자동으로 시작하는지의 여부를 확인할 수 있습니다.
select name from sys.procedures where is_execution_replicated=1
select name from sys.procedures where is_auto_executed=0

5. 데이터베이스의 모든 테이블 리스트 알아내기

1) SQL SERVER 2000
select name from sysobjects where type='U'

2) SQL SERVER 2005
select name from sys.tables

[참고] : 다음과 같은 조건으로 복제되는 테이블의 리스트를 확인할 수 있습니다.
select * from sys.tables  where is_replicated =1

6. 데이터베이스의 모든 뷰 리스트 알아내기

1) SQL SERVER 2000
select name from sysobjects where type='V'

2) SQL SERVER 2005
select name from sys.views

7. 데이터베이스의 모든 트리거 리스트 알아내기

1) SQL SERVER 2000
select name from sysobjects where type='TR'

2) SQL SERVER 2005
select name from sys.triggers where parent_class=1

[참고]
다음과 같은 조건으로 어셈블리(CLR) 트리거와 SQL 트리거를 구분할 수 있습니다. (TA : 어셈블리 트리거, TR : SQL 트리거) 또한 After 트리거인지 Instead Of 트리거인지도 구분 가능합니다.
select name from sys.triggers where type='TA'
select name from sys.triggers where type='TR'
select name from sys.triggers where is_instead_of_trigger=1

8. 서버의 모든 로그인 리스트 알아내기

1) SQL SERVER 2000
select * from master..syslogins where isntgroup=0 and isntname=0

2) SQL SERVER 2005
select * from sys.sql_logins

9. 데이터베이스의 모든 SQL 개체에 대한 종속성 확인하기

1) SQL SERVER 2000
select * from sysdepends

2) SQL SERVER 2005
select * from sys.sql_dependencies

10. SQL Server의 모든 데이터 유형 확인하기

1) SQL SERVER 2000
select * from systypes

2) SQL SERVER 2005
select * from sys.systypes

11. SQL Server의 모든 에러 메시지 확인하기

1) SQL SERVER 2000
select * from master..sysmessages

2) SQL SERVER 2005
select * from sys.messages

12. 현재 데이터베이스의 데이터 파일 확인하기

1) SQL SERVER 2000
select name,filename from sysfiles

2) SQL SERVER 2005
select name, physical_name from sys.database_files 

13. 현재 데이터베이스의 모든 인덱스의 유형 확인하기

1) SQL SERVER 2000
sysindexes 테이블의 indid 열을 이용해서 구분

2) SQL SERVER 2005
select object_name(object_id),name, type_desc  from sys.indexes where type_desc ='CLUSTERED'
select object_name(object_id),name, type_desc  from sys.indexes where type_desc ='HEAP'
select object_name(object_id),name, type_desc  from sys.indexes where type_desc ='NONCLUSTERED'
select object_name(object_id),name, type_desc  from sys.indexes where type_desc ='XML'

[출처] SQL 2000 시스템 테이블 vs 2005 카탈로그 뷰|작성자 우주정복

SYS.Link$ stores password!

Version 10.1.0.2 (tested on 9i version also)
OS Windows (tested on Unix versions also)

1) DB link를 생성(다른 유저로 접속)

SQL> connect / as sysdba 
Connected.

SQL> create public database link test connect to sac identified by arora using
2 'sac';

Database link created.

2) 이 테이블에 Select 할 수 있는 SYS 권한이 필요
SQL> desc sys.link$ 
Name Null? Type
----------------------------------------- -------- ----------------------------
OWNER# NOT NULL NUMBER
NAME NOT NULL VARCHAR2(128)
CTIME NOT NULL DATE
HOST VARCHAR2(2000)
USERID VARCHAR2(30)
PASSWORD VARCHAR2(30)
FLAG NUMBER
AUTHUSR VARCHAR2(30)
AUTHPWD VARCHAR2(30)

SQL> select name,userid,password from link$ where name='TEST';

NAME USERID PASSWORD
------------------------------ ---------- ------------------------------
TEST SAC ARORA

3) SAC 유저의 패스워드 암호화되지 않은 상태로 저장되어 있음

SQL> select * from v$version;
BANNER
----------------------------------------------------------------
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Prod
PL/SQL Release 10.2.0.1.0 - Production
CORE 10.2.0.1.0 Production
TNS for 32-bit Windows: Version 10.2.0.1.0 - Production
NLSRTL Version 10.2.0.1.0 - Production

SQL> create database link ora10gr2db1 connect to scott identified by tiger using 'ora10gr2db1';
Database link created.

SQL> select userid,nvl(password,'unknown'),passwordx from sys.link$ where name='ORA10GR2DB1';

SCOTT unknown
05C3927784FDCD5589D74B88E1E1D4D777

귀찮아서 대충 내용을 적으면 Malicious swf를 메일로 보내서 자동적으로 피싱사이트로 유도하는 기법

1단계) iframe 태그로 유인하기

automatically redirects the user to a location of the malicious attacker's choice.

automatically redirects the user to a location of the malicious attacker's choice.

2단계) Open Redirector

redirection script.

                                             gure 2: open redirector example

3단계) Flash 리다이렉터



Figure 3: Example spam using a link to a malicious SWF Flash file

4단계) 플래쉬의 실제 코드 내용은 다음과 같다

 

Figure 6: swfdump tool run against malicious SWF Flash file

실제 Actionscript 내용은 

5단계) 자동적으로 피싱사이트로 유인됨(만약 여기에 악성코드가 있다면 바로 감염되겠죠)



Figure 8: Resulting Phishing page that users are automatically redirected to upon clicing on malicious Flash redirector

SWF 파일 포맷을 분석해 놓은 사이트입니다.

참고)
http://www.m2osw.com/en/swf_alexref.html#swf_action