본문 바로가기

Security Indicator/Insight

(134)
1) Google online security 전략 - 개요 안녕하세요. 바다란입니다. 오랜만에 뵙습니다. 예고를 했었지만 쓰고 싶은 의지가 들지 않아서 오랫동안 포스트를 게재하지 않았습니다. 앞으로도 종종 마음 내키는 대로 게재 하도록 하겠습니다. 누구나 할 수 있는 말이나 분석 보다는 독자적인 시각으로 흐름과 동향을 보도록 하겠다는 마음이니 만큼 불규칙적인 게재에 대해 많은 이해를 구합니다. 오늘은 구글의 검색 보안과 관련된 흐름에 대한 내용을 간단하게 살펴 보겠습니다. 올해 들어 매우 빠른 행보를 보이고 있어서 한번쯤 분석을 해볼 필요성이 있을 것 같아서 해봅니다. 사실 구글 이라는 검색업체에서도 보안적인 이슈에 대해서는 자사의 서비스 부분의 보안적인 요소에 지금까지 신경을 써왔습니다. 그러나 현재의 흐름은 자신의 서비스뿐 아니라 불특정 다수를 겨냥한 공격이..
(3)-IT서비스 보호를 위한 제안 , 최종 좀 길어 졌습니다. 쓰다보니 중복되는 내용들도 다수 있지만 그냥 올립니다. 언제나 그렇듯이 블로그에 올리는 모든 의견들은 제 개인의 의견입니다. 이점 유념 하여 주셨으면 합니다. 이 긴글을 읽어낼 인내심이 당신과 함께 하기를.. -- 대응 변화를 보라. 변화를 볼 수 없고 느끼지 못하면 도태만이 있을 뿐이다. 작금의 변화는 언제부터였을까? 지금과 같은 상황은 언제 예견 되었을까? . 전략과 시대를 통찰하는 시각의 부족은 고대부터 항상 있어왔고 지금에도 마찬가지이다. 빠르게 변화하는 세상과 문화의 흐름을 예측하기는 어렵다. 더욱이 지금과 같은 직접교류와 인간과 인간과의 관계가 급속도로 가깝게 연결 되는 시대에는 더 어려울 수 밖에 없다. 현상도 이러할진대 현상에서 촉발되는 많은 문제들 중 IT서비스에 대한..
(2) IT 서비스 보호를 위한 제안- 위험요소들 p4ssion is never fade away. 눈에 보이지 않는다 하여 없다고 하는 것은 지혜와 노력의 부족함을 탓해야 할 것이다. 중국발 Abusing 오로지 금전적인 이득을 목적으로 하는 악의적인 크래킹에는 지금까지 관찰된 바에 의하면 크게 두 가지 유형이 존재한다. ( 권한 획득 및 개인정보 거래 등의 번외로 한다.) 하나는 악성코드 유포를 통한 개인정보의 획득이며 또 다른 하나는 DDos 공격 협박을 통한 금전적인 이득의 추구이다. 중국발 해킹은 본래 개인정보 ( ID/ Password) 확보를 목적으로 하였으며 그 목적을 달성 하기 위해 사용자가 많은 사이트를 해킹 ( Web Application의 취약성을 이용 : 80% , File upload 등의 일반적인 취약성 20% 정도로 예상 –..
(2) 상상하기 어려운 위협- digital pest 왜 상상하기 어려운 위협인가? - Digital pest! - 바다란 * 1편은 http://p4ssion.com/110여기를 참고 하세요. 왜 상상하기 어려운 위협인가? 상상하기 어려운 위협이라는 의미는 개별적인 서비스에 대한 공격에서 이제는 전역적인 대규모 서비스 공격으로 확산되고 있기 때문에 그러합니다. 더군다나 문제점들이 단기간에 개선될 가능성은 전혀 없으므로 앞으로도 전역적인 공격이 계속 될 것입니다. 상상하기 어려운 위협. 위협의 실현. 그리고 확산 그 동안 Web Application에 대한 공격은 지속적으로 되어 왔습니다. 그러나 최근에 발견된 공격 유형은 산발적인 공격이 아닌 대규모적인 공격을 의미합니다. 대규모적인 공격에 사용된 도구도 유추가 가능합니다. 아래 이미지 참고 하세요. 위의..
(1) IT서비스의 현재 위험과 Security 안녕하세요. 바다란입니다. 전체적인 이슈 사항이 의미있고 중차대한 부분을 지니고 있어서 올리게 되는 글입니다. 개인적인 의견이므로 개인적인 의견으로 참고하시고 의견 주시면 되겠습니다. IT 서비스 보호를 위한 개인 제안 -1 Write by p4ssion. 지금의 IT 서비스는 사회 전반에 걸쳐 많은 영향력을 끼치고 있으며 생활상에 있어 지대한 영향을 미치고 있다. 모든 공공서비스 및 생활 관련된 부분에 영향을 미치고 있으며 또한 시너지 효과를 냄으로 인해 사회의 발전과 프로세스의 개선, 국가의 발전에 큰 기여를 하고 있다고 볼 수 있다. 유형/ 무형의 IT 서비스 부분에서 지금까지 가장 크게 강조된 부분은 유형의 물리적인 장비 부분이 두각 되었으나 지금도 모습을 갖추고 있는 서비스로서의 발전 부분은 향..
(1) 상상하기 어려운 위협-디지털 페스트 예고드린 대로 상상하기 어려운 위협에 대한 내용입니다. 두편 입니다. 호러물 정도 될 것 같습니다. 일전에 중국발 해킹이 전 세계로 확산 될 것을 예상 하였고 관련 내용들을 여러 번 공유를 한 적이 있습니다. 이제 실제적인 위협으로 직접 출현을 하고 있습니다. 국내는 2005년부터 일반적으로 발생 하였고 세계적으로 확대된 시기는 2006년 하반기쯤으로 예상을 하고 있습니다. 2007년에도 세계적으로 많은 이슈들이 생산 되었습니다. 올해 들어서는 더욱 드라마틱한 증가를 보이고 있는데 특이한 사항들이 눈에 드러나고 있습니다. http://securitylabs.websense.com/content/Alerts/3070.aspx http://www.computerworld.com/action/article.d..
Web 2.0의 위험요소와 대비 문서 안녕하세요. 바다란입니다. 본 문서는 올해 상반기에 여러 컨퍼런스에서 발표한 자료입니다. 이미 공개적으로 문서화 되어서 배포가 된 내용인데 블로그에 올리는 것을 깜빡 했습니다. 제목은 Trustworthy web service for web 2.0 입니다. Web 2.0 서비스에서의 신뢰할만한 웹 서비스에 대해 정리한 내용입니다. 전체 내용은 다음과 같습니다. Web 2.0의 확산에 따른 UCC의 어뷰징 유형을 보이며 어떤 문제들이 있을 수 있는지를 짚어 봅니다. 더불어 Web service Application에 대한 Attack들을 보이며 근래에도 계속 문제가 되고 있는 URL 인자들의 필터링 관련된 문제도 다루고 있습니다. 문제들이 있다면 해결책을 제시하는 것은 당연합니다. 문제들을 해결 하기 위해..
DDoS 그리고 IT 서비스의 위험 http://blog.naver.com/p4ssion/50024269739 -> 여기의 첨부파일에 전체적인 내용들이 들어 있습니다. 2007년 11월에 본 블로그에 게시한 내용입니다. 현재 발생된 DDos 관련된 이슈도 동일선상에서 볼 수가 있습니다. 좀 더 상세한 내용들은 별도 컬럼으로 게재합니다. 지난 2년 가까운 시간동안 얼마나 아래 지적한 개선 방안들이 진행 되었는지 뼈저린 반성이 필요할 것입니다. DDos 관련된 내용 발췌 및 확인 된 내용, 추정, 그리고 예상들을 바탕으로 개인적인 컬럼을 곧 게재 하겠습니다. 첨부파일을 다운 받아서 보기 어려운 분들은 게시물 링크를 활용 하시면 순차적으로 볼 수 있습니다. 위험성이 높은 수준에 도달 하였음은 이미 일전에 파악된 내용입니다. http://blog..