본문 바로가기

보안

(7)
인텔 게이트의 주역은 역시 인텔, 멜트다운과 스펙터. 2018년 초에 엄청난 사건중 하나라 하면 (아직 1월이 지나지도 않았지만) 바로 인텔 게이트라 불리는 근세대 대부분의 x86 및 ARM Cortex-A 설계를 가진 CPU 들이 가진 하드웨어적 문제인 멜트다운과 스펙터가 아닐까 합니다.Meltdown 에 대해Spectre 에 대해 먼저 멜트다운은 인텔의 경우 코어 2개 이상이 들어간 대부분 펜티엄 부터 Core2Duo 는 물론, 대부분의 Core-i 와 이름만 펜티엄이라 불리는 제품들 모두가 포함되는 문제점 입니다. 또한 일부 Cortex-A 계열 AP 들 역시 이 문제를 가지고 있습니다. 이 문제는 작년 말 부터 리눅스 커널에서 심상치 않은 움직임이 발생 하는 것들을 확인한 사용자들에 의해 거론이 되다가 공식적인 채널로 구글에서 올해 1월 9일날 발표..
구라 제거기 소개 (부제, 고객을 위한 인터넷 뱅킹 같은 소리 하고 있네) 예전에 저도 이런 툴을 만든 적이 있긴 합니다만, 아무래도 요즘은 이런 툴을 만들 시간이 없다 보니, 저나 이 글을 보는 분들이 간절히 바라던 병맛이 최고조로 돋는 각종 보안이 뭔지 모르는 것들이 만든 보안 프로그램 제거를 도와주는 '구라 제거기' 를 소개 해 드리고자 합니다.왜 구라인가 ? 여기서 '구라 제거기'란 프로그램의 구라(Hoax)는 아마 보안에 ㅂ 도 모르는 것들이 은행과 정부 등으로 부터 세금포함 돈 뜯어 먹으려고 만든 어처구니 없는 보안도 안되는 보안 프로그램이라고 만든 것들을 Windows PC 로 부터 제거 해 주는 프로그램 입니다.관련 기사 및 정보들 ...형편없는 한국의 인터넷뱅킹, 언제까지 참아야 하나 (무려 2013년 기사)공인인증서 커넥션: 재직 중 받으면 뇌물, 퇴임 후 받..
LG G3 V30K 업데이트! 주말동안 쓰지 않던 G3 를 출근 하면서 보니, 무슨 업데이트가 있었다고 떠 있었습니다. 아니 왠일로 ? 이미 LG G3 류는 LG 에서 버린줄 알았더니, 아직 지원을 해 주고 있었습니다! 심지어 OS 도 6.0.2 로 올려 주진 않지만 최소 gapps만 최신 보안패치 해서 올려 준거 보니 고맙기 까지 합니다. 집에 수많은 LG 기기 중 가장 최신? 이라 할 수 있는 G3 를 이렇게 까지 업데이트 해 주니 고마울 뿐 입니다만, D855 는 언제 해 줄지 또 모를 일 같습니다. 그러니 해외에서 무한 부팅으로 고소미나 먹으시는 건데 ... 아무쪼록 상관 없는 패치이긴 하지만, 만들어서 판 제품이라면 수명이 다되서 도저히 못쓰겠다 싶기 전 까진 소프트웨어 패치는 좀 내놔 주시면 감사 하겠습니다. 중국산 처럼 ..
Internet Explorer 나 써라는 아시아의 반도 Internet Explorer 를 쓴다면서 우리는 최상의 보안을 제공한다. 라는 말을 보안 전문가라고 하는 존재가 하면 어떤 기분이 들까요? 이건 코미디 이겠죠. Adobe flash 가 최고의 vector 기반 엔진이라고 믿는거와 동일 하고, flash 로는 어떤 문제도 생기지 않는다고 하는 헛소리와 동일 합니다. 그래서 보안에 최소한의 예의 갖춘다고 생각 된다면 FireFox 정도를 쓰거나, 아니면 메모리 낭비의 귀신인 Chrome 이라도 쓰는게 정석까진 아니라도 일반적인 방법일 겁니다. 이들이 사용하는 Sandboxing 은 최소한 Flash 의 털릴대로 털린 보안의 큰 구멍들을 브라우저 밖으로 까지 뚤리지 않게 해 주는 것들 중 하나 이기 때문 입니다. 요즘 흥행 하는 ransomeware 들이..
끊임 없는 안드로이드의 보안문제에 시달리며 ... 서론 Zimperium Labs 와 같은 보안 연구소 (업체) 와 같은 존재가 없었으면 크게 알려 지지도 않았을지 모르는 안드로이드의 오랜 묵힌 라이브러리인 libstagefright 나 libutils 결함이 안드로이드 초기 버젼 부터 5.1 까지도 여전히 존해 해 왔다는 것을 모를 수도 있었습니다만, 그나마 이것들이 구글과 많은 개발자들에 의해 해결이 되어 온 것이 그나마 전 세계에 퍼져 있는 수 많은 안드로이드 기기들 중 일부에만 이 심각한 문제가 해결이 되고 있는 것은 지금 이 순간에도 많은 문제점이 아닐수가 없습니다. 문제점 특히 위와 같이 기본적인 보안문제 ( stagefright 로 알려 져 있는 ) 는 단지 MMS 를 받기만 해도 그 안에 첨부된 JPG, 3GP, MP4 등 내부에 tag ..
Siswoo C55 Longbow Stagefright 버그 탈출 하기 Siswoo C55 Longbow 모델 역시 흔한 중국에서 쏟아져 나오는 5.5" 안드로이드 5.1 기반 기기 중 하나 입니다. 문제는 Siswoo 자체에서 마지막 릴리즈 2015년 10월 23일 자 이후로 이 제품에 대해 어떠한 패치도 나오지 않으므로 올바른 사용자로서는 이 문제점을 스스로 해결 해 나가야 겠다고 결심 할 수 밖에 없어 보입니다. Stagefright 문제란? 안드로이드 개발 초기 부터 MMS 를 처리 하기 위해 들어 가 있는 libstagefright*.so 라이브러리들이 가지고 있는 버그를 통해 공격자가 MMS 에 mp3 나 mp4 내에 tag 를 이용해서 buffer overflow 나 underflow 등으로 비정상 메모리 접근을 통해 kernel 에 직접 권한을 획득하여 기기를..
티스토리의 보안의 구멍인 플래쉬 문제점. 세상에 HTML5로 이미 기존의 보안의 구멍이던 어도브의 사의 플래쉬를 대체 할 수 있도록 대중 화 된지 벌써 오래 된거 같은데 아직도 다음 티스토리는 플래쉬가 없으면 이미지도, 파일도 올릴 수 없습니다. (그래서 이 글엔 이미지나 파일이 없습니다) 티스토리가 처음 만들어 졌을때 다양한 플랫폼과 브라우저에서 편리하게 파일을 업로드 할 수 있도록 선택 할 수 있었던 것은 바로 플래쉬를 이용한 업로드 였을 겁니다. (아니 POST 이런거 모르나 ... ?) 그게 2000년 중반때에나 쓰던건데 아직도 플래쉬를 이용한 업로드를 하고 있다니 ... 얼마전 터져서 요즘 계속 문제가 되는 플래쉬의 보안문제 중 랜섬웨어는 가장 큰 문제점중 하나일 것 입니다. 그래서 많은 브라우저는 물론, 어도브사 자체도 플래쉬 그만 ..