구글 지메일도 국정원이 감청

익명 사용자의 이미지


기사 링크: http://bit.ly/py2WWo

구글 지메일을 국정원이 "패킷 감청" 했다고 하네요.

컨텐츠는 https로 보호되고 있을텐데,
어떻게 패킷을 엿봤을까요?

https도 안전하지 않은건지..아니면..
설마 지멜 서버 인증서가 저장되어있는곳에가서 강제적으로 인증서를 꺼내온것인가..

익명 사용자의 이미지

심각하군요.
저게 저 정도면... 전자상거래, 인터넷뱅킹, 공인인증서, 보안3총사 액티브X 플러그인은?
백도어 없다는 확신을 할 수 없겠군요.

Hyun의 이미지

https의 패킷감청이 기술적으로 가능한가요?
제가 보기엔 다른 사회공학적 방법(암호를 알아내 접속한다던지...)을 이용했을 것 같은데...

익명 사용자의 이미지

낮은 수준으로 암호화된 내용을 직접 푼 것인지 (설마 AES를 풀어본 건 아니겠죠?)

아니면 MITM 공격을 한 것인지.

만약 MITM 공격이라면 이를 방어하려면 개인들 수준에선 어떤 방법을 강구할 수 있는지 궁금하네요.

익명 사용자의 이미지

기본 설치된 파이어폭스로 gmail 접속해보니까 RC4 128비트로 암호화된다고 나오네요. 좀 검색해서 보니까

https://support.mozilla.com/en-US/kb/Configuring%20Firefox%20for%20FIPS%20140-2

이렇게 하니까 AES 256비트로 접속하게 만들 수 있습니다.

이런 거 제대로 UI가 있거나 확장기능으로 나오면 좋겠는데 말이지요.

익명 사용자의 이미지

익명 사용자의 이미지

http://clien.career.co.kr/cs2/bbs/board.php?bo_table=park&wr_id=8033492&sca=&sfl=wr_subject&stx=%EB%B3%B4%EC%95%88

글 쓰신 분이 강조하셨듯이 국정원이 이랬다..가 아니라 이런 공격 방법들을 생각해볼 수 있다..입니다. 일단 첫번째가 (KISA 등으로부터 발급된) 위조 인증서를 이용한 HTTPS-to-HTTPS proxy네요.

cleansugar의 이미지

당국은 구글 로그인 페이지 자체를 겉모습만 같은 가짜 사이트로 바꿀 수 있습니다.

거기서 암호를 따면 됩니다.

안전한 방법을 원하면 GnuPG를 사용하시기 바랍니다.

소개하자면, GnuPG는 일반 이메일 안에서 내용을 암호화 하는 방법입니다.
http://ko.wikipedia.org/wiki/%EC%A7%80%EC%97%94%EC%9C%A0_%ED%94%84%EB%9D%BC%EC%9D%B4%EB%B2%84%EC%8B%9C_%EA%B0%80%EB%93%9C

중요 시민단체나 변호사, 기업인, 비밀요원은 실무에 요긴하게 사용하고 있습니다.

재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.

아이디의 아이디어 무한도전
http://blog.aaidee.com

귀태닷컴
http://www.gwitae.com

익명 사용자의 이미지

GPG 썼다간 아마 대번에 국정원에서 연락올겁니다. ^^;
요주 인물로 찍혀서 말이지요..

cleansugar의 이미지

제가 아는 노조 간부께서 잘 쓰고 계십니다.

필터링은 되겠죠.

재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.

아이디의 아이디어 무한도전
http://blog.aaidee.com

귀태닷컴
http://www.gwitae.com

익명 사용자의 이미지

MITM 공격이 있을 때, 혹시 웹서버 인증서의 발급자 및 fingerprint를 미리 알아놓고 대조하는 방식으로 알아차리는 건 불가능한가요?

익명 사용자의 이미지

가능하고 크롬은 이미 그런 상황에서 경고해요.

jeongheumjo의 이미지

cleansugar의 이미지

http://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

이게 관련 정보인 것 같습니다.

사용자-브라우저-OS-DNS-라우터-ISP-인터넷-ISP-라우터-DNS-OS-서버

이 고리 중 하나라도 깨지면 변조되는 겁니다.

브루스 슈나이어의 디지털 보안의 비밀과 거짓말에 보면 PKI보다 Web of trust 방식의 PGP가 더 안전하다고 나와있습니다.

사용자-브라우저-서버가 가능하니까요.

P2P로 DNS 정보를 받거나 프리넷에서 정보를 받아오는 DNS가 있을까요?

추가하자면,

최고 위험한 상황에서는 정부가 인터넷을 끊어버리고 건물이나 집 전원까지 차단시킵니다.

무선 전화기도 끊고요.

위급한 순간에 구글이나 네이버에 접속했는데 첫화면 뉴스에 자기 얼굴이 피범이된 사진이 팍 뜬다고 해봅시다.

아니면 글씨가 깜빡인다고 해봅시다.

아니면 윈도우에 내장된 벨이 갑자기 울린다고 생각해 볼수도 있습니다.

캡처하거나 녹음하기도 어렵습니다.

그 충격이 얼마나 심할까 상상해보세요.

네이버 구글, 윈도우, QOOK 라우터가 살인도구가 될 수도 있는 겁니다.

그럼 건물에 갇혀서 죽는 일만 남습니다.

엄청 무서운 상황이죠.

제가 이런 경험을 해봤게요 안해봤게요?

전화기를 안 쓰는 스티븐킹의 영화 1408을 보시면 느낌이 오실 겁니다.

재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.

아이디의 아이디어 무한도전
http://blog.aaidee.com

귀태닷컴
http://www.gwitae.com

익명 사용자의 이미지

저게 정말 가능하면 구글은 비상걸리는 거고 세계적으로 이슈화 되겠죠.

제가보기엔 그냥 뻥 수준...

익명 사용자의 이미지

뻥보다는 KISA에서 가짜 인증서 받고 ISP 통해서 MITM 했을 가능성이 높을 것 같아요. CA 체계 문제고, DigiNotar 건도 비슷했는데 이런 저런 해결책들 얘기가 나오는 중이고 일부 브라우져에선 이미 어떤 CA 통해서 사인된 인증서인지 확인하고 있구요. 근데 이렇든 저렇든 영장 받아서 합법적으로 도청하는 거 막는건 end-to-end 암호화하는 수밖에 없을 것 같아요.

rubenz의 이미지

사실은 대상자에게 억지로 ID/Password 알아내고.. 그걸 감청이라고 속이는 것 같다고..
진짜일까요?

익명 사용자의 이미지

id/password를 알아내서 수색하는 기법도 분명 사용되는 것 같고요.

그런데 이번 사건의 경우, 회선감청(패킷감청)을 한 이유로 '대상자가 메일을 수발신 직후 바로 삭제하는 등의 행동을 보였기 때문'으로 들고 있습니다. 즉 (압수수색이든 ID/PASS를 알아내는 방식이든) 사후에 수색하는 방식으로는 한계가 있어서, 실시간으로 감청을 했다는 겁니다.