Coderant의 보안과 전략

2012라는 영화 예고편으로 니비루 행성(NibIru Planet 또는 Planet X)가 지구에 근접하면서 지구가 엄청난 대 재앙으로 인해 멸망한다는 내용의 영화이며 그 속에 생존을 위한 사람들의 사투를 그린 영화다.
거대한 쓰나미(행성X와 중력차로 인해 거대한 쓰나미가 발생한다고 함)가 히말라야 산맥을 넘쳐흐르는 모습을 보니 두려움 그 자체다
이 거대 행성X는 원래 오르트 구름이라는 혜성지대에 있다가 3650년 공전주기로 태양계로 들어오는데 지구의 4배 크기, 질량이 24배에 달한 정도로 크기를 가지며 구성이 '산화철'로 되어 있어 대기가 붉고 자기장이 엄청 쎄다고 한다. 2012년 12월 경에 가장 가깝게 지구에 근접하면 엄청난 중력과 자장으로 인해 지구가 자전을 멈추고, 자전축이 23도 정도 기운다고 함.
일단, 우리 태양계 내로 들어오는 것만으로도 행성들 간에 엄청난 물리적 균형을 깨뜨린다고 한다.
이 거대한 행성이 태양계로 돌입하면 태양의 엄청난 흑점과 대폭발이 발생하면서 방사능 입자가 지구로 쏟아져 지구의 모든 위성들이 다 파괴되고 대량 정전사태가 나며 지구의 자체의 주파수(슈먼 공진주파수가)가 Zero가 되고 자전축이 기울면서 대륙이 쪼개지는 대 재앙이 발생하는 진도 9.0의 엄청난 지진과 화산의 폭발이 발생한다고 한다. 또한 지진으로 인한 어마어마한 쓰나미도.. 이 영화를 보면 땅이 갈라지고 그 속으로 사람이랑 차들이 꺼지는 장면이 나온다.





이 행성X(니비루)의 발견과정을 설명하는 동영상



현재까지 이 니비루 행성에 대한 진의는 정확하지 않다.(아래 그림처럼 니비루는 12번째 행성이라고 한다)




니비루 행성의 공전 궤도 모습




특히 지구와 이 니비루는 아래 그림처럼 공전 방향이 반대로 움직이며 충돌이 되지 않더라도 두 행성간의 인력차이로 인해 지구가 붕괴될수도 있다고 함





행성 X가 있을 것으로 추정되는 천체 사진(전 세계의 천체 과학자들이 이 행성을 열심히 찾고 있다고 함)
검게 보이는 것은 원래 있던 이미지가 이상하게 삭제된 거라고 함.




니비루 행성이라고 주장하는 구글 스카이 이미지 (붉은 별)
구글 스카이 상에서 좌표는 RA 9h47m56.0s   Dec(적위) 13도16'37.6" (저도 찾아봤습니다)




아래 사진은 제가 열심히 삽질해서 위에 좌표에 있는 사진을 찾아본 이미지임
첫번째 사진은 위와 같고 두번째 사진은 이 행성의 적외선 사진으로 고대 수메르인 석판에 나왔던 날개 달린 행성의 모습이다.


또다른 행성 X로 추정되는 사진(사진 소스는 SOHO라는 천체 위성 망원경에서 찍은 것)
새처럼 하고 있는 것이 바로 니비루 행성으로 추정한다고 함





고대의 니비루의 상징 모양

 

클릭 : http://www.youtube.com/watch?v=i5qED7mZ-4Y

그놈의 저작권땜시 우리나라 인터넷의 암흑시대가 도래하고 있으며 국내에서 만들어진 아까운 수많은 컨텐츠 소스가 구글 유트브등 해외 사이트로 엄청 빠져나가고 있습니다. 그 덕분에 해외에서 K-POP의 인기가 높아지고 있다네요
요즘 우리나라 아이돌 걸그룹 관련 자료를 찾아보면서 각종 뉴스, 동영상 보면 나도 모르게 뿌듯하다 왠지 뭐랄까 엔터테인먼트 콘텐츠의 퀄리티가 일본이나 미국에 못지 않은 우월함을 느낄수 있었다 

서기 1600년 10월 임진왜란 종전 후 일본의 역사를 바꾼 대 사건이 벌어진다. 바로 세키가하라 전투로서 이 동영상은 당시를 재연한 BBC 다큐멘터리의 한장면이다.
붉은 색 깃발이 도쿠가와이에야스의 동군이고 흰색이 미쓰나리의 서군으로 전 세계적으로 그 유래가 없는 대규모 전투였다.
동군의 병력 10만 4천, 서군 병력 8만 2천명 도합 18만명의 병력이 세키가하라에 집결하여 대규모 전투를 벌이지만 승패는 단 하루만에 결정나 버린다.
이 동영상에 보면 산위에서 전투 상황만 지켜보고 있는 장수가 바로 이 전투 승패에 있어서 결정적으로 동군의 승리를 안겨준 고바야카와 히데아키 인데 그는 처음에는 서군에 내응하기로 되어 있었지만 왠지 결정을 하지 못하고 머뭇거리는 모습이 과연 동군과 서군중 누가 이길것인가를 고민하고 있다가 도쿠가와이에야스의 대포 소리에 놀라 결국 동군(붉은 깃발)으로 참전하여 동군의 승리로 끝나게 된다.
사실 개전 초기 도쿠가와이에야스의 동군이 전황이 매우 불리했다. 동군에 가담을 하긴 했어도 다른 영주나 장군들 또한 상황에 따라서는 바로 배신할 수도 있는 매우 다급한 상황이었지만 이 전투의 승리로 도쿠가와이에스는 전국을 제패하게 된다.
당시 일본은 중앙집권체제의 왕 제도가 아니라 각 지방의 영주 가문이 지배하는 체제였기 때문에 각 병사들 마다 깃발에 문양(가문문장)이 다르게 해서 서로 구분했다. 도큐가와 이에야스의 가문문장은 3개의 잎사귀 모양이다.  
이 전투 한판에 모든 것을 걸어야 하는 지도자의 심정은 과연 어떠했을까?. 만약 나와 여러분이라면 이 상황에서 어떤 결정을 내렸을까 무척 궁금하다. 요즘 드라마 선덕여왕에 나온 대사중에 마음에 와 닿는것이 바로
"방법을 찾아내는 것이 수장이 할 일이다" 라는 말이 새삼 와 닿는다. 조직에서 책임자는 때로는 생과 사를 결정하는 선택을 해야하는 경우가 있다. 리더가 항상 올바른 선택을 내릴 수는 없다.
 리더는 권한에 준하는 책임이 따른다는 것이다. 밑에 직원 또는 부하들의 목숨이 리더의 결정 말 한마디에 따라 결정된다고 상상해 보라.
근데 이것도 저작권법에 걸릴라나 모르겠군요




세키가하라 전투의 상세한 내용을 담고 있는 위키피디아 주소

http://ko.wikipedia.org/wiki/%EC%84%B8%ED%82%A4%EA%B0%80%ED%95%98%EB%9D%BC_%EC%A0%84%ED%88%AC

유명한 보안연구자인 제레미 그로스만 웹 사이트에 올라와 있는 웹 보안 서비스/제품들 비교 차트입니다.

출처) http://jeremiahgrossman.blogspot.com/2009/08/website-va-vendor-comparison-chart.html

올해로 우리나라의 보안 역사도 거의 10년이 넘어갈 정도로 보안에 대한 생각과 사상은 보편화 되었습니다.
대부분의 회사 IT 조직에 정보보호팀이 없는 경우는 없습니다. 물론 규모가 작거나 공공쪽에는 전담 보안팀이 없는 경우도 있긴 하지만 약 80% 회사 조직이 어떤 형태로든 정보보안 조직을 갖추고 있습니다.
저는 정보보안팀에 위상에 대해서 이야기 하려고 합니다. 정보보안 조직은 회사 전사 및 IT 관련 서비스에 있어서 백혈구와 같은 역할을 수행하는 조직입니다. 백혈구의 임무는 체내에 들어온 각종 바이러스를 물리치는 항체를 생성하는 임무를 맡습니다.
백혈구의 존재는 사실 피부로 느끼지는 못합니다. 그러나 그 백혈구가 부족하거나 미숙하여 체내에 들어온 바이러스를 제거하지 못하는 백혈병에 걸린다면 생존은 장담할 수 없죠.
정보보안 조직은 바로 이러한 백혈구와 같은 중요한 역할을 하고 있는데도 아직은 뭔가 부족합니다.
현실을 이야기 하자면 제가 지인들로 부터 들은 국내의 정보보안 조직의 위상은 그리 높지 않습니다. 조직내애서 보안팀의 위상은 늘 위태하기만 합니다. 보안팀 인력은 늘 부족하고 하는 일은 많고, 그에 걸맞는 대접을 받는 것 같지는 않고 타 부서로 부터 집중적인 견재 비협조, 태클을 받는 등 여러가지 형태가 있죠. 대부분 보안팀에 부정적인 환경들 뿐입니다.

-. 보안팀은 서비스 부서에게는 이것 저것 하라고 하는 귀찮게 하는 존재로 느껴진다.
-. 보안팀에서 하는 말은 뭐든지 잔소리처럼 들린다
-. 보안팀에서 하자는 대로 하면 서비스를 하지 말라는 의미다. 너무 불편하다 등등
-. 보안팀은 IT 지원부서와 같은 일을 하는 조직처럼 느껴진다.
-. 보안 예산은 항상 우선순위가 맨 마지막에 주어진다.
-. 정보보안 관련 예산은 중장기 로드맵 보다는 주요 이슈발생 시 즉흥적으로 결정되는 경향이 많다.

대부분 보안팀에서 일하는 친구들 이야기를 들어보면 일하기 너무 힘들다고 합니다. 이것 저것 잡다한 일도 많고 경영진의 이해를 구하기도 어렵고, 보안 업무를 열심히 해도 그 성과가 눈에 보이지 않는다고 합니다. 일종에 보험처럼 말이죠

그럼 보안팀은 어떻게 기업 조직내에서 생존해야 할까요. 현재까지는 여러가지 방법이 있지만 제일 선택하기 쉬운 것은 보안과 관련된 인증 컨설팅을 통해서 보안팀이 이런 일을 한다라는 것을 알리는 방법이 있습니다. 외부 전문 컨설팅업체를 통해서 타 부서에 보안 인식도 좀 키우고 인증 획득하면 경영진에게 보도자료를 통해서 언론매체에 얼굴도 나오니 이것만큼 좋은 게 없죠. 문제는 이런 일이 1회성으로 끝날 가능성이 높다는 것입니다.
지속적으로 성과를 내야 하는 것을 고민해야 하는 것이 보안팀의 고민입니다. 보안 예산을 투자하여 다양한 솔루션을 도입했는데도 보안 문제는 여전히 나옵니다. 경영진의 신뢰 얻기가 넘 힘듭니다. 그렇다고 전문적이고 기술적인 내용을 경영진은 알 턱이 없죠 

참으로 보안팀의 위상을 끌어 올리기 위해서 무엇을 해야 할까요? 
사원일 때야 위에서 시키는 일만 하면 되지만 년차가 올라서 팀장이 되면 이러한 고민은 점점 쌓입니다. 보안조직이 살아남아야 하는 이유 
팀장급 직책자들의 고민은 점점 커져만 갑니다. 뭔가 새로운 것을 보여줘야 하는데 그게 잘 되지 않는 현실 여러분은 과연 어떤 고민들을 하고 계시나요?  

영국에 있는 Transmart라는 회사의 비즈니스 모델은 인터넷 상에서 사람을 찾아 주는 것입니다.
개인적인 사용자 또는 비즈니스 사용자 정보 검색엔진을 통해서 원하는 사람을 찾아주는 대표적인 소셜네트워크 서비스 회사입니다.
회원 가입시 일정 금액 이상을 지불해야 하는 모델입니다.
이런 서비스가 국내에서 제공된다면 어떤 결과가 올까요?  제일 큰 문제는 아마도 개인정보 문제일 것이고 개인 사생활 문제가 있을 거라 봅니다.
인터넷에서 통용되는 정보의 속성이 전문 지식, 기술, 제품에서 이제는 사람들의 일상적인 개인 사생활 정보가 유통되는 시대에 우리는 살고 있는 것입니다.

 

아래 문서는 바이오 메티릭스 시스템을 무력화시키는 내용입니다.
병에 뭍은 다른 사람의 지문을 추출하여 가짜 Fingerprint 하는 방법을 소개하고 있습니다. 아마도 과학수사대에서 지문 추출 방법과 동일한 방법일 거라 생각됩니다.
이외로 잘 알려지지 않아서 그렇지 바이오 메트릭스 시스템이 허점이 더 많습니다.

아무쪼록 지적 호기심으로만 보시고 실제로 이를 악용하는 사례는 없어야겠죠.

Make_Fake_Fingerprints.pdf

botnet의 경제적 가치에 대한 해외 관련 뉴스가 있어서 포스팅합니다. botnet owner들이 어떻게 botnet를 통해서 돈(money) 벌이하는 과정을 소개하고 있고 돈을 획득하기 위한 다양한 해킹 기법에 대해서 이야기하고 있습니다.
기술 발전을 위한 해킹은 더이상 존재하지 않는 것 같은 느낌이며 그저 돈을 벌기 위한 무차별 돈벌레(bad guy)들만이 세상에 난무하는 시대가 도래하고 있습니다. 해킹은 단지 돈을 벌기 위한 수단일 뿐 그들에게 더이상 순수한 목적은 없습니다.

출처) http://www.viruslist.com/en/analysis?pubid=204792068

In the course of the Windows 7 RTM release, the Security Research Lab would like to share some results on firewire/DMA based hacks and Windows 7, which is susceptible to such attacks.

While the attack vector itself is already known from previous Windows versions, we also describe the impact of Firewire-based Windows authentication bypassing on Microsoft's full-disk encryption solution BitLocker, the Encrypted File System (EFS) and Windows domains. A comprehensive section on countermeasures on different layers concludes this whitepaper, which can be downloaded from:

http://www.securityresearch.at/publications/windows7_firewire_physical_attacks.pdf

Moreover, we have developed a software solution to protect against Firewire-based physical security attacks on Windows systems which is discussed in a separate whitepaper:

http://www.securityresearch.at/publications/windows_firewire_blocker.pdf

The software can be downloaded here - use at your own risk:

http://www.securityresearch.at/publications/firewireblocker.zip

출처) http://www.derkeiler.com/Mailing-Lists/Full-Disclosure/2009-08/msg00173.html

네트워크 장비 보안진단 할 때 장비들 Configuraion이 필요하지요.
보안컨설팅 경험이 있으신 분들은 다들 공감하실 겁니다. 네트워크 장비 중에서도 유독 시스코 라우터/스위치 장비가 많죠. 그런데 요즘은 시스코 장비 말고 다른 벤더 제품들도 많아졌습니다. 
그래서 다양한 장비의 Configuration을 제공하는 사이트를 하나 소개할까 합니다.
아래 사이트에 가시면 다양한 네트워크 장비의 Configuration 파일을 다운로드 받아 보실 수 있습니다.

http://www.opus1.com/nac/lv07configs/