POC2008 첫째날 후기
양재역에서 택시를 못 잡아서 걸어가느라고 좀 늦게 도착하는 바람에 Stefan Esser씨의 발표 앞부분 30분 정도는 못 들었습니다. 오늘의 POC2008 세션 목록은 아래와 같습니다.
- Stefan Esser, 난독화 된 PHP 응용프로그램에서 취약점 찾기
- GilGil, VoIP 해킹
- Mudsplatter, 물리적 해킹
- Hasegawa, 문자 인코딩을 이용한 공격
- Ero Carerra, 팩커 분석
- Grugq, OS X 안티 포렌식 기법
오늘은 원론적인 이야기가 많아서 지루했습니다. Stefan Esser 씨와 Ero Carerra 씨의 발표가 이 부류에 들어가는 대표적인 예라고 할 수 있겠네요. 복잡한 내용을 짧은 시간에 설명하려니 원론적인 얘기만 나오고 데모도 없고 자세히 설명도 못 해주고 그런게 아닐까 합니다. 발표 때 언급했던 논문이나 나중에 시간나면 찾아서 읽어 볼 생각입니다. GilGil님 세션은 같은 주제(ARP 스푸핑, SIP)를 너무 오래 우려먹으시는게 아닌가 하는 느낌이 들던데요. :p
제가 가장 인상적으로 들었던 세션은 Hasegawa 씨의 발표입니다. Grugq 씨는 여전히 유머러스한 발표로 안티 포렌식을 개론적으로 설명해주셨고요. Mudsplatter 씨 발음은 정말 알아듣기가 힘들었지만, 비디오 준비를 아주 열심히 하셨던데요. 용어 정의를 전부 복사-붙여넣기 한 부분은 좀 압박이었지만, 아무튼 정말 재미있게 봤습니다. 제가 재미있게 들었던 세션들을 중심으로 몇 가지를 정리하겠습니다.
Hasegawa, 문자 인코딩을 이용한 공격
유니코드를 이용해서 필터를 우회하는 기법을 고생대 화석 정도로 생각하고 있었는데, 무려 IE 8 베타에 이르기까지 여전히 인코딩을 이용한 공격이 여러모로 유효하더군요. 가령 문자집합이 US-ASCII으로 지정된 경우 IE는 최상위 비트를 그냥 무시해버리기 때문에, 이를 이용하면 필터를 우회하여 스크립트를 삽입할 수 있습니다. 아웃룩도 동일한 버그를 가지고 있습니다. SMTP의 경우 여전히 7비트 인코딩이 많이 쓰이는데, 이 버그를 이용하는 경우 보안 장비가 있어도 악성 스크립트가 포함된 메일을 그냥 통과시킬 가능성이 높습니다.
또 다른 예로, 자바스크립트를 로딩할 때 charset을 UTF-7로 (저는 UTF-7 자체가 생소합니다만) 지정하면, IE의 경우 JSON을 응답하면서 헤더에서 인코딩이 UTF-8이라고 알려주어도 UTF-7로 인식하는 버그를 가지고 있습니다. 이 버그를 이용하면 필터를 우회해서 JSON에 스크립트를 삽입하는 것이 가능합니다.
나머지는 발표 자료를 직접 읽어보시기 바랍니다. 발표 자료에 예제가 다 있으니 제가 일일이 언급할 필요는 없으리라 생각합니다.
Grugq, OS X 안티 포렌식 기법
HFS+ 파일 시스템에서 데이터 숨기는 법을 배웠습니다. 개념적으로 슬랙 같은 것은 이미 잘 알려진 것이고, 일단 HFS Wrapper가 포인트겠죠. HFS Wrapper 파일 시스템 안에 HFS+가 들어가기 때문에 그 사이를 공략할 수 있다는 얘기였습니다. 그 뒤에는 주로 파일 수준에서 데이터를 숨기는 방법을 언급했습니다. 파일 시스템 종류는 몇 가지 안 되지만, 파일 포맷은 무궁무진하므로 앞으로는 이 쪽이 각광 받을 것이라고 얘기했습니다. 주로 커스텀 데이터베이스 포맷이 편리한 공략 대상이 될 수 있습니다. 모질라 쿠키 저장에 쓰이는 SQLite DB 파일이나, iTunes 데이터베이스 파일 같은 것들 말입니다.
당연한 이야기지만, 안 걸리려면 디스크에 가급적 안 쓰는게 최선입니다. 이미 디스크에 썼다면 필사적으로 지워야겠죠. 요새는 메모리 이미징이 발달하고 있으니 조만간 메모리만 써도 쉽지 않게 될 것 같지만, 관리자 교육이 문제가 될 겁니다. 시스템이 공격 당했다고 그냥 파워 내려버리면 중요한 휘발성 데이터는 다 날아갑니다. 중요한 비즈니스 데이터가 손상될 위험이 없다면, 랜선은 뽑더라도 전원은 내리지 마세요. ARP 캐시 등이 다 중요한 단서가 됩니다. 원래 현장 보존이 제일 중요합니다.
물리적 해킹
레이저 포인터로 가시광선 카메라를 다운시키는 비디오가 가장 강렬했네요. 저에겐 새로운 경험이었습니다. 그리고 아마 많은 분들이 충격받으셨을 IDC 비디오 말입니다. 비디오에 나온 IDC가 어디인지 한 눈에 알아볼 수 있었지만, 저도 어디인지 굳이 언급하진 않겠습니다. 사실 국내 IDC라면 거의 상황이 비슷하긴 한데 (저는 5~6군데 정도 가봤습니다.) 1층 화장실에 방범창이 없는 것은 좀 심했네요. 그동안 전혀 의식하지 못했습니다.
마무리
내일은 더 재미있는 이야기를 들었으면 좋겠습니다. : )
by xeraph | 2008-11-13 22:37:01 | 미분류 | 트랙백 (1) | 덧글 (8)
Tracked from nchovy's me2DAY 2008-11-13 22:43:30
POC2008 첫째날 후기, 발표 자료는 조만간 수집해서 올리겠습니다.
우왕 재밌겠다 ㅠ
IDC 비디오 정말 ㄷㄷㄷ 미국의 해킹은 이정도다(...)
UTF-7, UTF-8 문제가 아직도 먹히나요? 나온지 좀 됐는데 왜 아직 패치를 하지 않을까요. JSON 관련 버그는 우습네요.
물리적인 침투는.. 언제나 재미가.. 못봐서 궁금하네요~~
맞아요~ 물리적인 침투는 정말 그런 배짱이 있다는게 신기하기도 하고 ㅎㅎ
^^ 미친개................ 밖에 생각안남 - -
잘 보고 갑니다.
앞으로는 우려 먹지 않도록 하겠습니다. ^^
올해도 하는군요, 작년까지는 갔었는데...후훗,
작년엔 해킹하는방법과 그에대한 막는법까지 상당히잼었는데...
내일이 기대되시겠어요^^