역사적 크래킹 사건, 네이트-싸이월드 35,000,000명 털렸습니다
사상 최대 크래킹 사건입니다.
젊은이 치고 싸이월드 등록 안한 사람은 거의 없습니다.
네이버는 아예 특집 섹션을 만들었습니다.
http://news.naver.com/main/hotissue/sectionList.nhn?mid=hot&sid1=105&cid=740912
네이트는 사과문을 올렸습니다.
http://www.nate.com/nateInfo/noticeInfo.aspx
주민번호 암호화되어 안전하다고 했는데, 새빨간 거짓말입니다.
주민번호는 유한개라서 역으로 대입해보면 되니까 알아내는 건 시간문제입니다.
암호도 짧거나 평범한 거면 위험합니다.
실명제 사이트라 거부감 있었는데 피해도 더 크게 됐습니다.
실명 정보가 없으면 관리 비용이 적게 들어갑니다.
집단 소송도 못 이긴다고 합니다.
" 2008년 '옥션 개인정보유출 소송'이다. 당시 13명의 변호사들이 인터넷 카페를 통해 집단소송을 제기했지만 지난해 1월 1심에서 패소했다. 재판부는 "옥션이 해킹을 제대로 막지 못한 아쉬움은 있으나,해킹 당시 옥션이 취한 조치 등을 고려했을 때 옥션 측에 전적인 잘못이 있다고 보기 어렵다"고 설명했다.
1125만명의 정보가 유출된 GS칼텍스 사건도 비슷한 결과다. 2만8000여명이 소송을 냈지만 지난해 9월 1심에서 패소한 데 이어,지난 6월 항소심에서도 졌다. "
실명제 후원하는 정부 탓도 큽니다.
은행도 뚫리고 옥션, 포털도 다 뚫리는 군요.
SK컴즈 주가 25, 26일에 떨어졌습니다.
http://finance.naver.com/item/main.nhn?code=066270
이번에도 또 북한 타령 나올지도 궁금합니다.
여기가 대표적 사이트니만큼 네이트 크래커가 이 글 꼭 보겠죠?
여기에 크래커한테 하고 싶은 말 써보는 것도 괜찮을 듯 합니다.
이렇게 수신인 없는 메시지 보내는 기술이 사실 쉽지 않습니다.
공개된 채널에서 은밀하게 수신자만 알게 하는 방법은 더 어렵습니다.
이번 경우에는 크래킹된 데이터를 키로 해서 크래커에게 메시지를 보낼 수 있겠군요.
벌써 예전에 다 털렸는데.. 또 털려도 뭐... 그냥
벌써 예전에 다 털렸는데.. 또 털려도 뭐... 그냥 그렇네요.
내부자가 돈받고 팔아먹기도 하던데... ㅎㅎㅎ 이 정도 털린 것 쯤이야 ㅎㅎㅎ
이미 저는 과거에 피해를 본 사람이라서. 무덤덤.
제 인뱅이나 해킹해주시면 좋겠네요. 저도 기사 함 나와보게요.
비밀번호, 주민번호에 어떤 암호화 방식을 사용했나요?
비밀번호, 주민번호에 어떤 암호화 방식을 사용했나요?
AES 방식은 아직 안전하지 않나요?
주민번호야 경우의 수가 워낙 작아서, 주민번호 만드는
주민번호야 경우의 수가 워낙 작아서, 주민번호 만드는 공식이 있으니까요.
짧은 시간안에 모든 복호화가 가능할거라고 생각하고요.
AES든 뭐든간에 경우의수가 작으면 그냥 뚫립니다.
비밀번호도 네이트 안내문에서 경고한것 처럼
생일이나 전화번호( 전화번호는 그냥 전부 유출 ), ID조합해서 한것만으로도
단어장 만들어서 쭉 돌리면
10~20%는 그냥 비번 다 털리지 않을까 싶네요.
참고로, AES는 복호화가 가능한 암호화 방식이라, 암호를 저장하는 방식에 유일하게 쓰이면 위험할수 있습니다.
단지, 복호화가 불가능한 알고리즘으로 암호화를 하고,
단어장 돌려서 매치하는걸 좀 훼방 놓을려고, 암호화된 키를 AES같은걸로 wrap up할수는 있겠죠.
하지만, 이 경우도 개발자나 내부인이 해당 AES 키를 유출시키면 별 효용성이..
.
생일, 성별 정보가 유출되었으니 주민번호 알아내기는 훨씬 더 쉬워지네요...
어떤 해시 알고리즘을 사용했는지 궁금해집니다.
그런데 사과문은 Image Replacement 기법을 사용하고 있어서,
소스에 plain text 사과문이 함께 들어 있어요.
엇, 텍스트였군요.
엇, 텍스트였군요.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
으흠.
크래커가 이 글 읽을려면 쭝쿡어로 쓰셔야 할껍니다.
짱깨들은 지금 혈안이 되어 있습니다. 어떻게 해서든 털어서 팔려구 ( 먹고 사는길 )
email 과 주민번호야 워낙에 털린지 오래되었구 여기저기 털린거 조합하면 ㅋ
네X트 보다 크면 컸지 작진 않다고 생각되고요
전국민 소송을 피해갈 길은 이번에도 역시 북한의 소행뿐이 없을 것 같네요 ㅋ
--------------- 절취선 ------------------------
하늘은 스스로 삽질하는 자를 삽으로 팬다.
http://glay.pe.kr
‘맞춤형 악성코드’ 해킹… 北소행여부 관심 : 사회
‘맞춤형 악성코드’ 해킹… 北소행여부 관심 : 사회 : 뉴스 : 동아닷컴
저는 예전에 구글에서 제 주민번호로 검색해 봤는데
저는 예전에 구글에서 제 주민번호로 검색해 봤는데 결과가 나와서 깜짝 놀랐습니다.
들어가 보니 중국어로 된 사이트인데 제 이름과 주민번호가 있었고 주변에 제가 아는 이름들도 있었습니다.
기억을 더듬어 보니 제가 고등학교때 나갔던 대회의 수상자 명단 이더군요.
교육청 컴퓨터에 엑셀 파일로 저장되 있다가 해킹당하지 않았을까 생각해 봅니다.
(물론 그 명단 외에도 수많은 이름과 주민번호가 있었습니다.)
그 웹페이지 위에는 '한국 신분증 번호'라고 한자로 쓰여 있었고
이러한 이름과 주민번호를 이용하여 한국의 웹사이트에 어떻게 가입하는지도 그림과 함께 설명이 되어 있었습니다.
나중에 행정안전부에서 였던가... 주민번호 도용 확인 서비스를 했는데
이때 제 주민번호를 도용한 여러 계정들을 찾아내서 없앴습니다...
(몇몇 게임 계정은 탈취를 해보았는데 좋은 아이템이 있다거나 레벨이 높다거나 게임머니가 많다거나 하는 경우는 없더군요... ㅋㅋ)
제 주민번호가 있던 웹페이지는 더이상 접근이 안되지만 제 이름과 주민번호는 전세계 각지에 있는 하드디스크와 기록가능한 DVD 따위에 저장되어 있겠죠...
옥션과 GS칼텍스 사건처럼 드러난 대규모 개인정보 유출 사건도 있었고
드러나지 않았거나 은폐된 크고 작은 사건들도 있었을 것입니다.
이러한 유출된 개인정보의 조각들은 누군가에 의해 모아져서 더 완전한 형태의 개인정보 suite가 되고 이러한 데이터베이스에서 주민번호는 primary key가 될것입니다.
제가 몇달간 외국에 머무를때 제 어머니한테 보이스 피싱 전화가 왔습니다. 제가 아프다고...
어머니는 전화를 끊고 저한테 직접 전화해서 다행히 피해를 보지는 않았습니다.
전화한 사람이 한 말로 미루어 보아 그 사람은 제가 외국에 나가있다는것을 알고 있었습니다.
우리들을 감시하는 것은 국가권력 뿐이 아닙니다. black hat hacker 들도 있습니다.
저도 이번 네이트, 사이월드 개인정보 유출사건의 피해자 이지만 무덤덤 하네요. 이미 버린 몸.... ㅋㅋㅋ
예전에 스펨신고를 하면, 신고 받은 메일을 인터넷이
예전에 스펨신고를 하면, 신고 받은 메일을 인터넷이 연결된 일반 브라우져에서 확인을 하는 사이트들이 있었죠.
보안 의식이 언제 쯤 개선되려는지.....
방어법
해킹에서 장유로워지고 싶으면 은행이나 관공서에 접속자전담 보안요원을 두어서 접속자마다 웹캠으로 주민증과 본인을 확인합니다
이것은 어차피 관공서에 접속할때 별도의 시디키를 확인하고 각종보안플그램을 설치하고 기동하는 시간이나 별반
시간차는 나지 않을겁니다
덤으로 복잡한 방화벽도 스비스 차원에서 설치할수도 있을거라고 봅니다
이렇게 하면
장점
1. 웹사이트들은 보안에 크게 신경쓸필요가 없다
2. 개인정보를 해커가 가져간다고 한들 관공서나 기타 공공기관에서
사용불능이다
3. 보안업체는 좀더 단순한 프로그램을 만들어 최소한의 작업으로 사용자의 컴의 성능을 최상으로 유지할수있다
기타 두말하면 잔소리
단점
1. 단점은 인건비가 별도로 소비된다
그러나 미래에 해킹을 당했을결과에 비하면 미미하다
2. 접속자들수에 비해 인정시간이 길어진다
이것은 보안요원을 늘리면 되겠죠
기타 두말하면 잔소리
copyright GPL
내부자 거래가 문제될 수 있습니다. 개인정보를 아예
내부자 거래가 문제될 수 있습니다.
개인정보를 아예 받지 않거나 필요한 경우에 한하여 최소로 받는 것이 현실적인 답입니다.
다른 나라들은 다 이렇게 하고 있는 것 같은데...
가장 문제가 되는 것은 방문 거부, 웹으로만 할 수 있도록 해놓은 것들이 있습니다.
아마도 행정 편의 주의와 비용 절감 때문에 그런 것 같은데...
수강 신청, 접수, 시험 신청, 접수 같은 것은 방문 접수도 가능하게 해 놓아야 겠지요.
오프라인 거부, 리눅스 거부, 맥 거부, "인터넷 + MS 제품 + 특정보안프로그램" 만으로만 특정 민원이 가능하다면 위헌적 소지가 커 보입니다. 시간적, 경제적, 여유되시는 분이 행정소송, 위헌소송을 통하여 국가기관이 바람직한 길로 갈 수 있도록 등대 역할을 해주시면 감사, 고맙. 신문에도 나오고 아마 유명해질 겁니다.
이런
편집기능이 없네요 알아서 번역 ㅠㅠ
뭐 어제 탈퇴하긴 했습니다.
뭐 어제 탈퇴하긴 했습니다.
이미 늦었죠
이미 늦었죠
피할 수 있을때 즐겨라! http://melotopia.net/b
속도문제보강
서버컴에 이미지 인식프로그램을 돌린다
사용자가 로그인을하면 자동 웹캠으로 접속을 한다
이미지 인식 프로그램
보안접속 절차
1. 사용자에게 주민등록증을 제시하라고 한다 서버컴에 저장중인 사용자의 주민등록증과 비교를 한다
2. 랜덤한 단어를 제시하여 음성을 읽게하다 이동작중에 이미지의 변화와 음성의 변화를 관찰하여
조작된 동영상이 아님을 다시한번 확인한다
3. 기타.
위의 결과에 100프로 만족하지 않을시에는 보안담당자에게 화상모니터로 알려 사용자를 다시한번 관찰한다
이렇게 함으로서 보안관리자의 인건비를 아낄수있고 대량의 접속자를 효율적이고 기존의 웹접속과 같은
효과를 기대할수 있다고 생각한다
문득 생각이 나서 올립니다
나중에 제서버에 설치 할건데
미래의 나의 서버택글 방지용입니다
copyright GPL
그냥 개인 정보를 최소한만 받으면 됩니다. 이름,
그냥 개인 정보를 최소한만 받으면 됩니다. 이름, 이메일 주소, 아이디, 비밀번호 정도요.
그게 좋겠죠
그러나 은행이나 관공서 같은경우는 불가능하죠
그렇게 믿었던 국보급이 뚫리는 시국에 이보다 더확실한 방법은 없겠죠
내부 반역자도 발생이 불가능 할거로 봐요
그게 가능하려면 별도의 프로그램을 덕지 덕지
그게 가능하려면 별도의 프로그램을 덕지 덕지 깔아야되는데...
CPU종류 * 운영체제종류 * 별도프로그램 개수
이 만큼의 프로그램이 필요하고... 카메라가 5천만개 가량 필요한데
공적인 서비스나 불특정 다수를 위한 서비스에 어울린다고 생각하시는지요.
특혜 시비 붙는 건 말할 것도 없고요.
과장되신 말씀입니다
사람들은 채팅을 하기위해 웹캠을 삽니다
놀기위해 웹캠을 산다구요
그런데 은행업무를 보기위해 웹캠을 사지 않겠읍니까
그리고 프로그램 인스톨러가 있잖아요
캠프로그램이 그렇게 무겁나요?
100줄내외로 제작이 가능하잖아요
왼만한 어플 기본 몇천줄 넘어 가잖아요
getversion
왜 문제인지 아래 댓글 참고
왜 문제인지 아래 댓글 참고 바람.
http://kldp.org/node/124686#comment-563744
은행권에서 깔으라고 하는 각종 액티브X 및
은행권에서 깔으라고 하는 각종 액티브X 및 보안프로그램들 어떤가요?
한마디로 개판입니다. UI 불편하고, 유지보수 제대로 안 되고요. 툭하면 충돌나고 리부팅, 다운...
별도의 프로그램들이 제대로 관리가 되리라 생각하시나요?
사업자 선정이 공정하게 이루어지리라 생각하시는지...
캠 프로그램을 사용자가 원하는 것을 받지 못하고 은행에서 주는 것을 사용해야 하는 문제점이 있죠.
안티바이러스, 방화벽도 마찬가지죠.
은행께서 가라사대.. 나를 믿고 내꺼를 깔으라.... 하면 깔아야 됩니다.
이게 정상적이라고 보시는지요.
그렇게 하면 정말 큰일납니다. 1. 동영상을
그렇게 하면 정말 큰일납니다.
1. 동영상을 녹화해서 공격자가 가지고 있으면 두고두고 로그인할 수 있습니다.
2. 프록시 사이트, 피싱 사이트가 문제가 됩니다.
3. 보안을 위해 별도의 프로그램을 인터넷상에서 다운받아서 보안을 보완하는 방법은 2번에서 말한 피싱 사이트, 프록시 사이트를 이용한 공격에 최적의 환경을 마련해 주게 됩니다. 결국, 현재처럼 악순환이 반복됩니다.
4. 엄청난 트래픽 발생. 그 트래픽을 처리하기 위한 천문학적인 비용 발생됨.
* 지문 인식 - 이것은 더욱 큰일납니다. 컴퓨터 세계에서는 데이터로 처리가 됩니다. 그 지문 데이터를 (공인인증서, 주민등록번호 입수하 듯) 해커가 입수하면 정말 큰일납니다. 지문 성형외과가 나오지 않는 한, 지문은 뜯어 고칠 수도 없습니다.
어떻게 입수하냐고요? 별도의 프로그램을 이메일 링크, 카페 액티브X 등으로 뿌려서 입수하죠.
현재와 같은 방법으로 입수하면 되요. 최적의 환경인 걸요.
웹에서 처리할 것이 따로 있고 오프라인에서 처리할 것이 따로 있습니다.
민감한 정보는 아예 인터넷에 올리면 안 되겠죠. 직접 방문하는 방법이 좋을 겁니다.
회사에서 중간에 외출할 수도 있고요. 인터넷으로 다 되는 세상이 되면... 밤낮으로 죽도록 일하다가 죽을 겁니다.
그다지 좋은 세상이 아닙니다.
흠
1. 랜덤한 명령을 내립니다 동영상이 녹하를 해서 랜덤 명령에 맞추어 전송할려면 픽셀이 끊기게 됩니다
녹화해서 어덯게 해본다는것은 저도 감안해서 올렸읍니다
2. 실시간입니다 그리고 프록시와 피싱같은경우 이미 배포되어 있는줄압니다
3. 이해가 잘..
4. 원격제어 어플 짜보셨으면 웹캠의 이미지사이즈와 일반컴의 이미지 사이즈를 비교하시고 다음에
전송알고리즘 알아보시고 트래픽 이야기를 하시기 바랍니다
죄송하지만 잘못된 질문입니다
2,3 프록시 서버가 실시간으로 돌아갑니다. 별도의
2,3 프록시 서버가 실시간으로 돌아갑니다.
별도의 프로그램을 사용하는 방식으로 보안하게 되면 피싱에 취약하게 됩니다.
공격자의 공격용 프록시 사이트로 유도하여 man-in-the-middle 처럼
PC ---> 공격자웹서버 ---> 은행,관공서
이런 방식으로 실시간으로 해킹이 될 수 있습니다.
4. 동영상으로 신분 확인을 하려면 화질이 좋아야겠죠. 트래픽 증가할 수밖에 없습니다. 서버측에서 '1:다'의 신분 확인용 동영상 트래픽과 파일을 처리하려면 천문학적인 비용이 소요됩니다.(보안 서버, 트래픽 처리, 감시 인력을 고려할 때 아마도 오프라인에서 처리하는 것보다 많은 비용 발생할 것)
네
방법은 여러가지입니다
꼭 프래픽문제라면 여러가로 해결할수 있지 않을까요
꼭 모든 사용자의 화상을전송을 하는게 아니라 로컬에서 어느정도 해결을
하고 물론 이때는 리버스 도사님이 로컬쪽 보안을 해결해주신다면
상호 보안아래 기존의 백신을 완벽하게 로컬쪽에서 완벽한 보안을 하리라고 기대를 해봅니다
예로 보안감시프로그램에서 사용자에게
왼손을 들어보세요 라고 말합니다
이와중에 손의 좌표를 감시합니다
그리고 눈동자의 초점을 감시합니다
어느정도 평균치를 감시합니다
그렇게 정밀할필요는 없읍니다
보안 프로그램은 눈손 그리고 몸체의 좌표를 추적합니다
그리고 주위 사물에 좌표도 추적합니다
여기서 녹화된 동영상이 개입할 여지가 없읍니다
녹화된 동영상이 개입할때에는 좌표값이 확연히
틀려지기 때문입니다
그리고 서버는 단한대가 아니고 성능도 우수하리라고 봅니다
자체적인 여유값을 주어 서버가 비지하면 로컬에게 어느정도 분담을 시켜버립니다
트래픽문제는 이외에도 생각을 조금만 하면 수많은 아이디어가 나올겁니다
물론 그런것즘은 생각하고 올렸읍니다
잘생각해보시면 그것은 문제가 되지를 않는다는 것을 알겁니다
저는 알고 있지만 이것은 고수님들이 많어셨어 이야기 하지를 않겠읍니다
시나리오
인터넷상에서 별도의 프로그램을 설치하는 방식을 사용하면 기존과 동일한 방법으로 뚫립니다.
공격자
* 액티브X, 공격자의 웹서버 링크, 보안 업데이트 안내를 이메일로 대량 유포
고객
* 액티브X 실행하여 DNS 캐시 변경, hosts 파일 변경
경로
고객의 동영상 스트리밍 ---실시간전송---> 공격자의 웹 서버 ---실시간전송---> 은행, 관공서의 웹서버
공인인증서, OTP, 지문인식, 동영상 등 어떠한 보안 수단이든간에 무력화됩니다.
그래서 피싱에 취약한 보안 설계를 하면 안 됩니다.
모든 관공서가 유튜브, 다음팟처럼 장비를 구성하려면 천문학적인 비용이 소요될 것입니다.
또한 운영체제*CPU 개수만큼의 프로그램이 필요하므로 유지보수 비용 핑계 삼아 현재처럼 플랫폼을 제한시키겠죠.
현재에도 제대로 관리가 되고 있지 않죠. 개판이죠.
왜 서버에 X윈도우 안 깔까요? 프로그램을 깔면 깔수록 알려지지 않은 취약점이 증가하기 때문입니다.
보안업계에서 운영체제*CPU 개수만큼의 보안프로그램을 제대로 관리하고 있을까요?
궁금하시면 역공학 해보세요.
요점:
보안을 위해 인터넷으로 별도의 프로그램을 다운받아서 보안하는 방법은
* 피싱에 취약한 컴퓨팅 환경 조성
* 공격자, 보안업자에게 유리한 환경 조성
* 사용자 보안 의식 약화
* 유지보수 비용 증가
* 점유율이 상대적으로 낮은 OS 사용자 소외
* 사고가 터질 경우 또다른 보안 프로그램을 설치하여 보안
위와 같은 문제점이 있습니다.
어차피 그런 거 구현할려면 결국 또 암호화해야
어차피 그런 거 구현할려면 결국 또 암호화해야 주민등록증 이미지 탈취 안 당하고 그래야 주민번호 탈취 안 당할 거고 윈도우즈용 그렇게 만들려면 또 ActiveX 써야 되겠조 아마...
자바 에플릿도 가능하지만, 자바 에플릿으로 하드웨어 제어가.. 음.. 가능한 거 같긴 한데, 잘 모르겠네요.
사람천사
플래시로 됩니다. 자바 애플릿 필요 없어요.
플래시로 됩니다. ActiveX나 자바 애플릿 필요 없어요.
----
블로그 / 위키 / 리눅스 스크린샷 갤러리
흠
그냥 다이렉트로 배포하면 안되나요
구지 엑티브를
..
그러고 보안어플은 랜덤으로 실물과 주민증 그리고 이미지상의
눈 그리고 지문 등 여러가지로
확인절차를 만들수 있읍니다
단지 화상이기 때문에 가능하다는 겁니다
별도의 지문인식기를 설치할필요 없잖아요
아니죠
이미지인식 자체가 실시간이란
캡쳐해간들 사용할수 없읍니다
이건 주민증을 들고 있는 사람의 행동과 실물을 대조 한다는겁니다 그자체도 감시를 하기 때문입니다
주위환경을 감시한다구요
주민증 원본을 가져간다해도 사용이 불가능하다는것 이게 포인트
중간에서 패킷을 캡쳐에서 조작을 실시간을 한다면 어쩔수 없지만
그런 멍청한분은 없을거라고 봅니다
사생활 침해 문제가 있습니다.
사생활 침해 문제가 있습니다.
별도의 프로그램을 설치해야만 보안이 되도록 보안
별도의 프로그램을 설치해야만 보안이 되도록 보안 설계를 했으니,
제가 공격자라면 별도의 프로그램을 설치하도록 유도(이메일, 이벤트 광고, 메신저 링크, 카페에서 액티브X 배포 등)를 하여
DNS 캐시나 hosts 조금 만져주면 공격자의 웹 서버로 접속하는 것은 어려운 일이 아닙니다.
불특정 다수 또는 특정인을 목표로 삼아 공략 가능합니다.
공격자의 웹 서버는 프록시 역할을 하는 프록시 서버이고
PC --> 공격자의 프록시 서버(실시간) ---> 관공서,은행 등
이러한 해킹 서비스(한국에 특화된 봇넷)가 가능합니다.
별도의 프로그램을 설치해야만 하는 한국의 특성 때문에 위의 방법이 어렵지 않게 먹힙니다.
충분히 가능한 시나리오이고 화상 전송이든, 지문 전송이든, 공인인증서, OTP 등의 보안 수단이 무력화됩니다.
그렇기 때문에 불특정 다수 서비스에서 별도의 프로그램을 이용한 보안 설계는 바람직하지 않습니다.
후에, 성지 순례하는 일이 있을 겁니다.
유투브에 올라온 각하의 동영상 입수. 각하의 동영상을
유투브에 올라온 각하의 동영상 입수.
각하의 동영상을 나의 동영상과 편집하여 나는 각하의 권한을 획득한다.
동영상 인증 방법에 대한 해킹 넘 쉽다...
ID, PASSWORD 보다도 해킹하기 쉽다.
마지막
보안담당자에게
오류를 보고 하면 5000만개의 캠이 필요하다는 말씀같은데
그것은 프로그램만 완벽하다면 단1대로도 가능하지요
프로그램이 완벽하지 않다는 가정하에
5000만개가 필요하다는뜻같읍니다
국가 차원에서는 천문학적인 비용이 소요됩니다. 국민
국가 차원에서는 천문학적인 비용이 소요됩니다.
국민 수만큼의 캠 필요,
트래픽 처리를 위한 기반 시설 비용,
인터넷에서 다운받은 별도의 프로그램으로 보안을 하는 것이므로 해킹 위험이 급증함.
전국민의 사생활 감시 체계 구축됨.
사생활 침해 문제.
피싱, 프록시 사이트를 통한 실시간 해킹 문제.
문제점이 상당히 많은데 바뻐서 여기까지.
방문하여 처리하면 되는 것을 왜 그렇게 어렵게들 하려 하는지.. ㅎㅎ
마지막: 웹캠을 이용한 동영상 인증에 대한 취약점
별도의 프로그램을 인터넷으로 다운받아서 보안하는 방법에 대한 일반적인 취약점은 그동안 죽 설명해서 다들 알고 있을 것이고,
유투브를 통하여 각하의 동영상을 입수하여 나의 동영상과 편집한 후 웹 사이트에 접속하여 나는 각하의 권한을 획득합니다.(권한 상승, elevation of privilege).
ID/PW 방식보다 취약하고 돈도 많이 들어가는 보안 방법입니다.
위와 같은 심각한 보안 취약점이 발견되었으므로
"불특정 다수를 위한 인터넷 서비스"에서 "웹캠을 이용한 방식"을 주장하는 사람은 앞으로 없어야 됩니다.
PS. 아무나 붙잡고 동영상 찍고 이름, 주민번호 알면 그 사람 행세를 할 수 있는 방식임. 일명, 데스노트 보안 방식.
제발
님아 제발 그이론은 랜덤이라는 가정하에는 불가능하다니까요
제가 지금 이거 만들시간없거든요
먹고사는거 만드느라
그리고 배포도 않할겁니다
안팔아 먹는다구요
그러니까 제발 좋다구 해주세요
글내용을 다시찬찬히 봐주세요
님의 논리가 지금 저의글을 전혀 보지도 않고 올리시는것 같아요
랜덤한 명령에서 어덯게 권한을 획득한다는건지
무조건 안된다만 하지말고
정말 참신한 아이디어이다라고
제발 칭찬좀 해주라구요 ㅠㅠ
렌덤한게 어떻게 만들어 질 수 있조? 그것도 어쨌든
렌덤한게 어떻게 만들어 질 수 있조? 그것도 어쨌든 명령을 입력해 놔야 되고 그 명령에 따르는지 아닌지를 판단할 수 있게 해 줘야 하는데... 그것도 다 입력해 놔야 됩니다. 결국 시간 문제입니다.
뭐.. 다른건 다른 분들이 충분히 말씀을 하셨으니.. 전 저 부분만 말씀 드렸습니다.
사람천사
조금만 생각을
서버에 접속하는 순간에서
랜덤한 명령은 서버에서
순간순간전달 됩니다
클라이언트는 알수 없다는겁니다
그리고 시간이랑 연동해서 하면 같은 변수가 나올확률이 없잖아요
그리고 풀로 로그인해서 계속 패킷을 주고 받는게 아니라
로그인 타임만 체킹해도 충분히 신분확인되니
중간에서 스닙을 하지않는이상은
힘들겁니다
스닙
스닙을 해도 뭐 다음변수값과 좌표값이 어덯게 변할지 모르니
그것도 불가능하겠네요
서로가 서로를 모르는데 어떻게 인증을
서로가 서로를 모르는데 어떻게 인증을 할까요.
클라이언트도 알고 서버도 알아야 인증이 가능합니다.
ID/PW, OTP, 보안카드, 공인인증서... 서로가 알아야 인증이 됩니다.
어느 한쪽에서 모르면 인증이 되지를 않습니다.
OTP 번호 잘못 입력해 보세요. 당연히 인증이 안 됩니다.
서버 또는 클라이언트가 모르는데도 인증이 되면 그건 보안이 안 되는거죠.
오해가 생길까봐 덧붙치는데... OTP 생성기에서
오해가 생길까봐 덧붙치는데... OTP 생성기에서 생성하는 모든 번호를 서버측이 알고 있어야 한다는 의미는 아닙니다.
바뻐서 오늘은 여기까지만요.
경찰은 해킹사건의 용의자가 이스트소프트의 프로그램에
경찰은 해킹사건의 용의자가 이스트소프트의 프로그램에 악성코드를 심은 뒤 유포해 SK컴즈 내부망 이용자의 PC를 감염시킨 뒤 회원정보를 해킹한 것으로 보고 있다.
http://news.naver.com/main/hotissue/read.nhn?mid=hot&sid1=105&cid=740912&iid=19680362&oid=079&aid=0002274960&ptype=011
그것이 사실이라면 정말로 무섭군요 ㅎㄷㄷ
from bzImage
It's blue paper
인터넷뱅킹, 공인인증에 관련된 프로그램들도 소스가
인터넷뱅킹, 공인인증에 관련된 프로그램들도 소스가 공개되지 않으면 믿지 못하겠음.
"해킹 이용당하고 포털 오픈?"…이스트소프트 `줌` 런칭 논란
"해킹 이용당하고 포털 오픈?"…이스트소프트 `줌` 런칭 논란
http://news.mk.co.kr/v3/view.php?sc=30000001&cm=%ED%97%A4%EB%93%9C%EB%9D%BC%EC%9D%B8&year=2011&no=506860&selFlag=&relatedcode=&wonNo=&sID=501
사견:
국산 보안 프로그램 과연 믿어도 될까...?
관공서,은행에서 내려주는 보안 프로그램 과연 믿어도 될까..?