정보보안-이론
정보보안 문서의 분류에 대하여
정보보안에는 여러가지 문서가 있다. 기업 정보보안에서 정책이 존재하는 이유는 무엇일까? 당연히 신뢰할 수 있는 반복적인 결과를 만들기 위함일 것이다. 표준화된 정책을 통해서 조직은 반복가능한 output을 생성할 것이고, 이는 품질의 항상성 상승과 신뢰도(Level of Confidence) 향상이라는 선기능의 체인을 만들게 된다. 이 정책은 one-size-fit이 될 수 없다. 그니까 만능정책은 존재하지 않는다. 쓰임에 따라, 분류에 따라, 적용대상에 따라 수많은 정책의 종류가 존재하며, 같은 정책임에도 불구하고 강제성의 유무, 세분화된 수준에 따라서 명칭이 달라진다. 이번시간에는 이에 대해서 갈피를 잡을 수 있도록 흔히 사용하는 정보보안 문서의 분류에 대해서 이야기를 해보도록 하겠다. 분류할 대상은..
[보안렉카] Apache Log4j 2.15, 2.16 업데이트에 따른 DOS? CVE-2021-45046, 45105
요며칠 Apache Log4J의 RCE 취약점인 CVE-2021-44228이 기승을 부리고 있다. Apahce사가 바쁠만도 하다. 발빠른 대처로 이에대한 패치인 2.15를 issue했지만, 2.15에 재미있는 취약점이 하나 발견되었다고 한다. CVE-2021-45046으로 명명된 요놈은 Thread Context Map와 관련된 공격이다. 공격자가 JNDI를 이용해서(44228도 요 JNDI가 문제였다.) DOS를 일으킬 수 있는 취약점인데, mitre에 CVE에 등록된것이 21년 12월 14일인데, Apache사가 바로 2.16버전을 발표하였다. 문제는 이 2.16에서도 DOS가 발견되었다는 것인데, 요점은 특정한 문자대치가 발생할 때 에이전트가 무한루프에 들어간다는 점이다. 해당 취약점의 String..
[보안렉카] 역사상 최약의 보안취약점? Apache Log4j 2 CVE-2021-44228
10점짜리 CVSS가 나왔다. 세상에나, 최근에 CVE Scrapper를 만든 필자로는 흥분되는 일이 아닐 수 없다. 우선 취약점에 대한 개요부터 이야기를 해보자 CVE ID : CVE-2021-44228 통제 : Version update ( 2.15이상으로) 타겟 : Apache Log 4j 2(Verison : 2.2.0 ~ 2.14.1) CVSS가 무엇이냐 하는 사람이 있을 것이다. 이게 무엇인지 알아보자 CVSS(Common Vulnerability Scoring System) 자... 취약점은 무엇인가, 취약점은 "정보시스템 내에서 손실 / 손상을 줄 수 있는 보안상의 구성적 약점"을 의미한다. 시스템을 개발하는 사람은 완벽하지 않고, 컴퓨터또한 완벽한 존재가 아니다. 따라서 무엇인가의 허점이..
위험평가 분석기법(SLE / ALE)에 대하여
숱한 보안시험에서 국내외를 안가리고 출시되는 분야는 위험관리이다. 위험의 식별, BIA의 진행, 위험 관리 프레임워크, 정성적 / 정량적 분석방법, 위험 핸들링등 IT관련된 위험과, 비 IT적 위험(이건 국내시험에 안나오는거 같다. CGEIT시험에서 이거떄문에 혼났다.)을 구분하여 심도깊은 이야기를 나누는 생각보다 깊은 분야다. 이번시간에는 그 심도싶은 분야에서 공짜점수를 제공해주는 효자지표 SLE와 ALE의 대한 이야기를 나누겠다. 일반상식 SLE를 계산하는 이유는 위험분석이다. 위험분석에는 정량적 / 정성적 분석방법이 있고, 특정한 자산 A가 어떠한 위험R에 노출되어 있는 경우, 이 자산에대한 위험의 수치를 정량적(재정적)으로 계산하기위한 방법이다. 용어정리 AV(Asset Value) : 자산가치(..
테스트하네스(Test - Harness) 에 대하여
소프트웨어 공학을 공부하며 Test-Driver나 Stub에 대해서 공부를 하고 있었다. 그러던 중 Test-Harness라는 용어를 보았는데, 실물로 보지는 못했지만, 여러군데 돌아다니면서 확인한 이론적인 정보를 아는만큼 정리해두려고한다.(대부분의 정보출처가 위키백과이다) 여담으로 하네스가 무엇일까 해서 검색하니 다음과 같은 결과가 나왔다.... 소프트웨어공학의 뒷모습인가? 더보기 테스트하네스란? 테스트하네스란 자동화된 테스트 지원도구 이며 프로그램을 유닛단위로 테스팅하고 여러가지 조건에 따른 프로그램의 행동과 결과를 모니터링하기위해 만들어진 소프트웨어의 구성이다. 테스트하네스의 목적? - 테스트 프로세스의 자동 - 테스트케이스의 실행 - 연관된 테스트보고서를 생성 테스트하네스의 장점? - 테스트 프로..
Robots.txt에 대하여
크롤링이라.... 심란한 분야이다. 전 세계 트래픽의 절반 이상이 Bots으로 이루어져 있다는 사실은 이미 유명할 것이다.(어라 조금 더 있었던 거 같은데?) 사실 이러한 크롤링이 순기능만을 가지고 있는 것은 아니라고 본다. "아니 정보의 바다에서 필요한 정보만을 가져오는게 뭐가 불만이에요!" 이렇게 생각하는게 당연하다. 물론 그렇고 말고 단, bots의 크롤링을 필터링 없이 무분별하게 허용하는 순간 많은 위험에 빠지는 것은 당연하다. 기본적인 취약점 스캐닝 도구인 Nikto나 Nessus 등 여러 가지 Explotable 한 요점을 뽑아낼 수 있는 툴은(심지어 스크립트 엔진을 쓴 nmap까지)에 대해서 bots의 접근 차단하지 않으면 자신의 서버의 취약점을 open 하겠다는 선언과 다를 바 없으니 말이..