구글 지메일도 국정원이 감청
글쓴이: 익명 사용자 / 작성시간: 금, 2011/09/16 - 9:38오전
기사 링크: http://bit.ly/py2WWo
구글 지메일을 국정원이 "패킷 감청" 했다고 하네요.
컨텐츠는 https로 보호되고 있을텐데,
어떻게 패킷을 엿봤을까요?
https도 안전하지 않은건지..아니면..
설마 지멜 서버 인증서가 저장되어있는곳에가서 강제적으로 인증서를 꺼내온것인가..
Forums:
심각하군요. 저게 저 정도면... 전자상거래,
심각하군요.
저게 저 정도면... 전자상거래, 인터넷뱅킹, 공인인증서, 보안3총사 액티브X 플러그인은?
백도어 없다는 확신을 할 수 없겠군요.
https의 패킷감청이 기술적으로 가능한가요? 제가
https의 패킷감청이 기술적으로 가능한가요?
제가 보기엔 다른 사회공학적 방법(암호를 알아내 접속한다던지...)을 이용했을 것 같은데...
저도 궁금합니다
낮은 수준으로 암호화된 내용을 직접 푼 것인지 (설마 AES를 풀어본 건 아니겠죠?)
아니면 MITM 공격을 한 것인지.
만약 MITM 공격이라면 이를 방어하려면 개인들 수준에선 어떤 방법을 강구할 수 있는지 궁금하네요.
파이어폭스 https에 AES 256비트 사용하기
기본 설치된 파이어폭스로 gmail 접속해보니까 RC4 128비트로 암호화된다고 나오네요. 좀 검색해서 보니까
https://support.mozilla.com/en-US/kb/Configuring%20Firefox%20for%20FIPS%20140-2
이렇게 하니까 AES 256비트로 접속하게 만들 수 있습니다.
이런 거 제대로 UI가 있거나 확장기능으로 나오면 좋겠는데 말이지요.
SSL Strip, hacking Facebook and GMail
http://www.youtube.com/watch?v=rdTZFiStECI&feature=related
전직 보안 전문가(?)가 보는 지메일 감청
http://clien.career.co.kr/cs2/bbs/board.php?bo_table=park&wr_id=8033492&sca=&sfl=wr_subject&stx=%EB%B3%B4%EC%95%88
글 쓰신 분이 강조하셨듯이 국정원이 이랬다..가 아니라 이런 공격 방법들을 생각해볼 수 있다..입니다. 일단 첫번째가 (KISA 등으로부터 발급된) 위조 인증서를 이용한 HTTPS-to-HTTPS proxy네요.
당국은 구글 로그인 페이지 자체를 겉모습만 같은 가짜
당국은 구글 로그인 페이지 자체를 겉모습만 같은 가짜 사이트로 바꿀 수 있습니다.
거기서 암호를 따면 됩니다.
안전한 방법을 원하면 GnuPG를 사용하시기 바랍니다.
소개하자면, GnuPG는 일반 이메일 안에서 내용을 암호화 하는 방법입니다.
http://ko.wikipedia.org/wiki/%EC%A7%80%EC%97%94%EC%9C%A0_%ED%94%84%EB%9D%BC%EC%9D%B4%EB%B2%84%EC%8B%9C_%EA%B0%80%EB%93%9C
중요 시민단체나 변호사, 기업인, 비밀요원은 실무에 요긴하게 사용하고 있습니다.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
GPG 썼다간 아마 대번에 국정원에서 연락올겁니다.
GPG 썼다간 아마 대번에 국정원에서 연락올겁니다. ^^;
요주 인물로 찍혀서 말이지요..
제가 아는 노조 간부께서 잘 쓰고
제가 아는 노조 간부께서 잘 쓰고 계십니다.
필터링은 되겠죠.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
MITM 공격이 있을 때, 혹시 웹서버 인증서의
MITM 공격이 있을 때, 혹시 웹서버 인증서의 발급자 및 fingerprint를 미리 알아놓고 대조하는 방식으로 알아차리는 건 불가능한가요?
가능하고 크롬은 이미 그런 상황에서 경고해요.
가능하고 크롬은 이미 그런 상황에서 경고해요.
http://act.jinbo.net/drupal/n
http://act.jinbo.net/drupal/node/6551
http://en.wikipedia.org/wiki/
http://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
이게 관련 정보인 것 같습니다.
사용자-브라우저-OS-DNS-라우터-ISP-인터넷-ISP-라우터-DNS-OS-서버
이 고리 중 하나라도 깨지면 변조되는 겁니다.
브루스 슈나이어의 디지털 보안의 비밀과 거짓말에 보면 PKI보다 Web of trust 방식의 PGP가 더 안전하다고 나와있습니다.
사용자-브라우저-서버가 가능하니까요.
P2P로 DNS 정보를 받거나 프리넷에서 정보를 받아오는 DNS가 있을까요?
추가하자면,
최고 위험한 상황에서는 정부가 인터넷을 끊어버리고 건물이나 집 전원까지 차단시킵니다.
무선 전화기도 끊고요.
위급한 순간에 구글이나 네이버에 접속했는데 첫화면 뉴스에 자기 얼굴이 피범이된 사진이 팍 뜬다고 해봅시다.
아니면 글씨가 깜빡인다고 해봅시다.
아니면 윈도우에 내장된 벨이 갑자기 울린다고 생각해 볼수도 있습니다.
캡처하거나 녹음하기도 어렵습니다.
그 충격이 얼마나 심할까 상상해보세요.
네이버 구글, 윈도우, QOOK 라우터가 살인도구가 될 수도 있는 겁니다.
그럼 건물에 갇혀서 죽는 일만 남습니다.
엄청 무서운 상황이죠.
제가 이런 경험을 해봤게요 안해봤게요?
전화기를 안 쓰는 스티븐킹의 영화 1408을 보시면 느낌이 오실 겁니다.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
별로 상관은 없을지도 모르겠는데.. 이런것도
별로 상관은 없을지도 모르겠는데.. 이런것도 있습니다.
광과민성 발작
http://ko.wikipedia.org/wiki/%EA%B4%91%EA%B3%BC%EB%AF%BC%EC%84%B1_%EB%B0%9C%EC%9E%91
실제 사례
http://ko.wikipedia.org/wiki/%ED%8F%AC%EC%BC%93%EB%AA%AC%EC%8A%A4%ED%84%B0#.EB.B0.9C.EC.9E.91_.EC.82.AC.EA.B1.B4
저게 정말 가능하면 구글은 비상걸리는 거고 세계적으로
저게 정말 가능하면 구글은 비상걸리는 거고 세계적으로 이슈화 되겠죠.
제가보기엔 그냥 뻥 수준...
뻥보다는 KISA에서 가짜 인증서 받고 ISP 통해서
뻥보다는 KISA에서 가짜 인증서 받고 ISP 통해서 MITM 했을 가능성이 높을 것 같아요. CA 체계 문제고, DigiNotar 건도 비슷했는데 이런 저런 해결책들 얘기가 나오는 중이고 일부 브라우져에선 이미 어떤 CA 통해서 사인된 인증서인지 확인하고 있구요. 근데 이렇든 저렇든 영장 받아서 합법적으로 도청하는 거 막는건 end-to-end 암호화하는 수밖에 없을 것 같아요.
저번에 누가 그러더군요..
사실은 대상자에게 억지로 ID/Password 알아내고.. 그걸 감청이라고 속이는 것 같다고..
진짜일까요?
실제에서는 복합적인 방법이 사용되겠죠
id/password를 알아내서 수색하는 기법도 분명 사용되는 것 같고요.
그런데 이번 사건의 경우, 회선감청(패킷감청)을 한 이유로 '대상자가 메일을 수발신 직후 바로 삭제하는 등의 행동을 보였기 때문'으로 들고 있습니다. 즉 (압수수색이든 ID/PASS를 알아내는 방식이든) 사후에 수색하는 방식으로는 한계가 있어서, 실시간으로 감청을 했다는 겁니다.