NSA와 회사가 당신을 엿보는 방법
글쓴이: cleansugar / 작성시간: 월, 2013/06/24 - 2:18오전
NSA와 회사가 당신을 엿보는 방법
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=092&aid=0002025385
"미 국가안보국(NSA)의 사찰논란이 불 붙은 가운데, 정보기관과 기업들이 네트워크 상의 데이터를 가로채는 기술도 주목받고 있다.
8일(현지시간) 미국 지디넷은 NSA, 혹은 기업의 보안팀이 네트워크 상을 오가는 데이터를 가로채고, SSL VPN 접속에 따른 암호화를 무력화시키는 방법을 소개했다.
NSA가 네트워크 상의 데이터를 가로채려면 시큐어소켓레이어(SSL)를 공략하게 된다. 그러나 이때 SSL 인증이나, 인증서, 혹은 특별한 해킹 기술은 필요하지 않다. 오직 SSL 인터셉트를 위한 프록시만 있으면 된다. 블루코트 시스템의 프록시SG나 네트로놈 SSL 어플라이언스 같은 것이다.
인터셉션 프록시란 장치는 클라이언트와 서버 사이에 위치한다. 클라이언트가 보내는 SSL 접속인증신호를 이 프록시가 서버 대신 받아 SSL 작동절차와 똑같은 작업을 수행한다. 프록시는 또한 서버와 통신하면서 자신이 클라이언트인 것처럼 행세한다.
클라이언트 사용자는 인터셉션 프록시의 존재여부를 전혀 눈치챌 수 없다. 인터셉션 프록시는 사용자와 서버 사이에 오가는 모든 데이터를 들여다보게 해준다."
SSL은 안전하지 않습니다.
Forums:
SSL은 안전합니다.
SSL은 안전합니다. 안전하지 않은것은 이런 기사 쓰는 사람이나 그걸 믿는 사람들이죠. 비판하려면 좀 제대로 알아보고 비판을 해야죠. SSL이 사용하는 암호체계는 개인키가 털리지 않는 이상 (양자컴퓨터가 나오기 전에는) 해독할 방법이 없다는것은 수학적으로 증명된 사실입니다.
그런데 예를들어 제가 지메일에 접속하려고 https로 접속을 하려는데 이 패킷을 훔쳐보는게 가능하다?? 이게 어떻게 된걸까요? 둘중 하나겠죠:
1) 구글 지메일의 개인키가 털렸거나 구글이 정부에 개인키를 정부에 제공했다,
2) 누군가 구글 지메일인척 하는 가짜 개인키로 나를 속이려했다.
네트로놈 SSL 어플라이언스 라던가 하는 SSL프록시들은 바로 2)를 수행할겁니다. 그런데 개인키는 항상 누가 인증해줬는지가 적혀있습니다. 그리고 브라우저는 Verisign 등 몇몇곳에서 인증해주는 개인키만 신뢰하며, 이외의 개인키를 사용하려 할 경우에는 경고를 줍니다. 문제는 SSL프록시가 만든 개인키를 브라우저가 허용할 경우이죠. 예를들어 감청이 가능하게끔 고안된 브라우저를 사용한다거나 할 경우입니다(오픈소스 브라우저의 경우 해쉬키로 소스나 바이너리의 위조 여부를 검증할 수 있기때문에, 이런 문제에 대해 더 안전하다고 할 수 있겠네요). 하지만 이 경우에도 사용자가 직접 개인키의 인증자를 확인해보면 본인의 패킷이 감청당하고 있는지(=피싱 당하고 있는지) 아닌지 확인할 수 있습니다.
따라서 Verisign이나 구글등이 정부에 협력하기 전에는 사용자 몰래 SSL 패킷감청 하는것은 불가능합니다. SSL에 대해 무지한 사용자를 속이는것은 가능할 수도 있겠지만요. 원래 보안에 무지한 사람을 속이는것은 쉽습니다. 보안은 보통 기술적인 기법이 아니라 인간적인 기법으로 뚫립니다. 사용자에 대한 고려가 없는 보안은 항상 불완전합니다. 보안 교육이 중요한 이유입니다.
맞습니다. 인간적인 기법으로
맞습니다. 인간적인 기법으로 뚫리죠.
"Verisign이나 구글등이 정부에 협력하기 전에는"
(SSL 인증서 위조에 협조했다는 사실이 드러난 건 아니지만) 구글이나 페이스북 같은 대기업이 정부에 협력하고 있다는 건 이미 드러난 사실이고, MS와 NSA의 연관 의혹이 제기된 것도 이미 오래전 얘기죠. 프라이버시 문제로 정보인권단체들로부터 늘 감시와 견제를 당하고 있는 구글과 페이스북이 이 모양인데, 자 브라우져 인증서 창 열면 나오는 수십개의 Root CA 중 우리가 몇개나 신뢰할 수 있을지 생각해봅시다. CA에 의존하는 보안 모델에 근본적 결함이 있으므로 정보운동진영에선 대안 모델을 모색해온 것도 전혀 새로운 뉴스는 아니죠?
시장에선 이미 SSL 감청장비가 국가기관들 상대로 팔리고 있다는 사실만 봐도 뻔하지요. 어디서 새고 있는지는 몰라도, 새고 있는 겁니다.
수학적 안전성 하나 갖고 SSL이 안전하다고 말하는 건 참.. 보안 분야의 기본 상식은 대문에 걸린 자물쇠 하나의 안전성이 아니라 전체 시스템을 봐야한다는 것 아닌가요?
----
2010년자 슈나이어 글에서 인용합니다. http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html
"By scouring the Net for certificates, security researchers have uncovered more than 600 groups who, through such delegation, are now also automatically trusted by most browsers, including the Department of Homeland Security, Google, and Ford Motorsand a UAE mobile phone company called Etisalat."
베리사인까지 갈 것도 없이 미 국토안보부, 구글, 포드 같은데가 웹브라우져들이 신뢰하는 CA로 delegation되어 있다네요. MS윈도우에는 국내 KISA 루트 인증서가 탑재되어있죠? KISA야 늘 국정원이랑 공조하는데고. 대선 개입도 하는 국정원이 KISA한테 인증서 키 하나 못얻어올까 싶네요.
하물며 끝판왕 NSA야 뭐..
KISA는 국정원에서 정보통신쪽이 분사한 시다바리
KISA는 국정원에서 정보통신쪽이 분사한 시다바리 조직입니다.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
2번에 SSL이 안전하지 않다고 설명해놓고 제목을
2번에 SSL이 안전하지 않다고 설명해놓고 제목을 안전하다고 쓴 건 앞뒤가 안 맞네요.
기사에 나와있고 말씀하신대로 프록시가 사용자를 대신하고 사용자는 프록시를 진짜로 착각하게 할 수 있다는 게 요지입니다.
그리고 사용자 브라우저도 가짜 SSL을 진짜처럼 보이게 바꿔치기할 수 있고요.
보안은 서버와 사용자간 고리의 연속 중에 하나만 깨지면 깨지는 겁니다.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
2)에서 SSL이 안전하지 않다고 설명 한적 없는데요?
2)에서 SSL이 안전하지 않다고 설명 한적 없는데요? 속이려 해봤자 SSL에 대해 무지한 사용자만을 속일 수 있을뿐이라고 했습니다. 보안키를 누가 인증해줬는지 확인만 해도 속을래야 속을수가 없다고 했는데 뭘 읽으신건가요? 의심될경우 지폐가 위조 지폐인지 확인해보는것이 상식이듯이, SSL보안키의 인증기관을 확인하는게 상식이 될 필요가 있다는겁니다. 만역 페이스북 사이트에 접속하는데 페이스북 보안키의 인증기관이 베리사인이 아닐 경우, 이것이 어떤 의미를 가지는지 알아야 한다는 것이죠.
위폐 방지 기술이 아무리 뛰어나도 사람이 확인을 안하면 위폐 사기 사건이 나올 수 있습니다. 위폐에 속은 사례가 생겼으면 이것이 지폐의 위폐 방지 장치마저도 복제한 위폐가 나와서 그런것인지, 그런것은 아닌데 사람이 확인을 안해서 위폐에 속은것인지를 명확히 해야죠. 그래야 생산적인 토론을 통해 올바른 개선책을 이끌어낼 수 있을겁니다.
마찬가지로 SSL이 기술적으로 보안결함이 있는가와, 전체적인 보안 시스템이 안전한가는 명확히 구분해서 말을 해야죠. SSL은 전체 시스템의 한 구성요소일 뿐이니까요. 삼류 언론처럼 자극적인 말로 사람을 낚으려고 해서는 안됩니다.
"의심될 경우 지폐가 위조 지폐인지 확인해보는 것이
"의심될 경우 지폐가 위조 지폐인지 확인해보는 것이 상식이듯이 SSL보안키의 인증기관을 확인하는게 상식이 될 필요"
가령 페이스북 사용자들은 페이스북에 매번 접속할때마다 따로 적어놓은 인증서 핑거프린트 대조해보고, 인증기관 키 확인해보고 그러면 되겠죠. 네 그러면 SSL 안전하겠네요.
도청 당한 사람들은 "보안키를 누가 인증해줬는지 확인만 해도 속을래야 속을수가 없"는데, "SSL에 무지해서" 속은, 자기 탓 하면 되겠고요.
네, "삼류"들이 참 문제입니다.
필요이상으로 흥분하시는 것 같은데요,원글에
필요이상으로 흥분하시는 것 같은데요,
원글에 "SSL은 안전하지 않습니다"라는 주장이 있고, (1)
처음 답글 다신 분은 "SSL은 안전하다" 라는 말을 하는거고, (2)
님은 "SSL을 포함하는 시스템이 안전하지 않다" 라는 말을 하는거죠. (3)
(2)를 주장하는 것이 (3)의 주장을 부정하는 것은 아닙니다.
오히려 처음 답글 다신 분은 어느 부분이 문제인지 명확히 가려서 생산적인 토론을 하자고 하고 있는데요..
적어도 원글자분은 "SSL"과 "SSL을 이용하는 전체 보안시스템"을 혼용해서 쓰고 있습니다.
생산적 토론을 위해서 그런걸 하지 말자나는 거죠.
주장 (1)은 기술적으로는 잘못된 이야기임에는 틀림없죠. 적어도 현재까지는.
"안전하지 않은것은 이런 기사 쓰는 사람이나 그걸
"안전하지 않은것은 이런 기사 쓰는 사람이나 그걸 믿는 사람들이죠"
저 기사의 어디가 잘못되었고, 저 내용을 믿는 게 왜 안전하지 않을까요? 이런 말이야말로 SSL의 한계를 제대로 직시하지 못하게 만들고, "생산적인 토론"을 가로막지 않을까요?
SSL로 보호된다는 채널들 역시 국가기구들이 감청한다는 정황이 갈수록 확실해지고 있고, 그것을 가능하게 하는 기술들이 구체적으로 제시되고 있는 이상, 'SSL은 안전하지 않다'는 경고는 비록 엄밀하게 표현되지는 못했더라도, 그리 틀린 말은 아닙니다. (1) 역시 (3)의 의미를 배제하는 것이 아니니까요. (2)야말로 (1)의 의미를 굳이 좁게 해석하면서, 사실상 (3)을 은폐하는 효과를 낳습니다.
PKI 시스템은 CA에 대한 과도한 의존이라는 약점을 가지고 있고, 실제로 CA가 약한 고리라는 건 안그래도 루트키 유출 사고 등으로 입증되고 있는데, 인증기관이 베리사인인지 확인해야한다는 처방이 과연 "안전"할까요. 글쎄요. 이런 소리하면서, 언론이나 문제제기자를 '사람들을 낚는'다고 공박할 수 있을까요.
국가기관이 SSL마저 감청하는거 아니냐는 얘기는 이미
국가기관이 SSL마저 감청하는거 아니냐는 얘기는 이미 2010년부터 나왔습니다. 그런데 그런 뉴스가 국내에 소개되거나 하면, 보안에 대해 좀 안다는 전문가들은 그런 경고 하는 사람들을 음모론자 취급하거나 언론, 기자를 뭘 모르면서 사람들 선동하는 삼류 취급해왔죠. 몇몇 전제가 충족되면 SSL은 안전하다는 원론적인 얘기만 반복하면서요.
바로 그런 사람들이 SSL에 대한 false sense of security를 확산해온 겁니다.
그 전제들이 충족되면 SSL이 안전하다는거 누가 모르나요. 하지만 그것이 실제 시스템에서 사용될 때, 정말로 안전하기 위해서는 충족되어야 하는 전제들이 실제로는 얼마나 취약한지에 대해, 솔직하게 진단하고 대안을 제시할 수 있는 것이 보안 전문가들의 역할 아닐까요. 컴맹에 가까운 개별 사용자들에게 인증기관이 어떻고 베리사인이 어떻고를 알아야한다고-그것도 필요는 하지요-만 얘기하는 것이 아니라요.
IT업계, 정보기관과 은밀한
IT업계, 정보기관과 은밀한 공생관계
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=004&oid=030&aid=0002227178
"정보기관은 사이버보안 연구에 돈을 대고 스타트업에 투자해 첨단 기술을 얻는다. 자금이 필요한 스타트업에 매우 달콤한 제안이다.
정보기관이 외국 고객이 주문한 단말기에 도청 칩을 넣으라며 5만달러를 준 사건이 있었다고 밝혔다.
“최근 정보기관은 제3의 기업을 활용해 잘 알려진 대형 IT기업과 관계를 유지한다”고 설명했다.
과거 정보기관은 비밀리에 아시아 정부에 노트북을 파는 유통 회사를 세웠다. 이 회사는 테드폴컴퓨터라는 곳에서 노트북을 구입해 미 정보기관이 원격에서 조정할 수 있는 소프트웨어를 몰래 설치한 후 고객에게 공급한다. 테드폴컴퓨터는 선 마이크로시스템 프로세서로 노트북을 만들었는데 2005년 방위산업체인 제너럴다이나믹스에 인수됐다.
마이크로소프트가 2007년 9월 가장 먼저 정보를 제공했고 야후, 구글, 페이스북, 스카이프, AOL, 애플이 참여했다고 고발했다. IT기업은 이메일, 비디오와 음성 채팅, 영상 파일, 데이터, 로그인, 알람, 소셜네트워킹(SNS) 등 거의 모든 정보를 정부에 제공했다."
방금 전에 이 기사를 보고 제가 big data brother란 낱말을 만들었습니다.
스노든처럼 ‘흔적 없이 사라지는 법’
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=104&oid=081&aid=0002345913
"미국 최고의 개인정보 보호 전문가인 프랭크 에이헌이 최근 미국 내셔널지오그래픽뉴스를 통해 다음과 같이 답을 내놓았다. 그는 수사 경력 20년을 자랑하는 베테랑으로 지난해 ‘흔적 없이 사라지는 법: 실전 잠적의 기술’이란 저서를 발간했다."
'빅브라더' 미 정부, 구글·페북 서버 바로 접속했다
http://www.bloter.net/archives/157301
"우선 프리즘 프로젝트는 정부 기관이 마이크로소프트, 야후, 구글, 페이스북, 유튜브, 스카이프, AOL, 애플과 같은 IT 기업 서버에 '프리즘'이라는 프로그램을 심는 걸 시작으로 운영된다. 그 다음 기업 서버에 저장된 사용자 기록과 FBI가 가진 기록을 대조해 자국민 사용자를 추려낸다. 감시 또는 분석 대상이 정해지면, 해당 사용자의 인터넷 통신 기록이나 e메일을 주고 받는 기록, 통화 기록, 메시지 전송 기록 등을 실시간으로 수집해 분석한다. NSA와 FBI, CIA는 언제든지 프리즘 프로그램에 접속해 사용자 데이터를 살펴볼 수 있다. 맘만 먹으면 온국민 감찰이 가능하다는 얘기다.
프리즘 프로젝트가 공개된 이후 구글, 애플, 페이스북 등은 수사에 제공할 수 있는 수준에서 법적으로 문제되지 않는 선에서 정보를 제공했다고 밝혀왔었다. 그러나 이번에 공개된 자료를 보면, e메일, 비티오 채팅 또는 음성 채팅, 영상 파일, 사진, 저장된 데이터, 비디오 컨퍼런싱, 로그인과 같은 알림 서비스, 온라인 소셜 네트워킹 활동 등 다양한 정보를 제공한 것으로 드러났다. 사실상 사용자 개인정보를 모두 정부에 제공한 셈이다. "
스노든, 고교 졸업도 못한 경비원서 '大폭로자'로…6가지 궁금증
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=104&oid=023&aid=0002538244
"CIA의 첩보원들은 스위스 은행업자에게 비밀 은행정보를 얻기 위해 의도적으로 술을 먹였고, 그가 음주운전으로 걸리면 도움을 주는 척하면서 정보를 빼냈다. 스노든은 당시에도 CIA에 대해서 폭로하려고 했지만 곧 접었다."
'스노든 특종' 놓친 미 언론, 오바마 정부 '물 심부름'중?
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=104&oid=047&aid=0002027956
미래부는 정보유출부?…지메일 사용 '충격'
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=417&aid=0000008142
"美, 中 통신사 해킹해 문자 메시지 감시"
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=031&aid=0000295016
워즈니악 "정보수집 폭로 스노든에 죄의식 느껴"
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=104&oid=001&aid=0006329436
무한 사이버 국가정보 역량
http://www.kado.net/news/articleView.html?idxno=632038
[김익현]가디언의 美정부 사찰 특종이 주는 교훈
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=004&oid=031&aid=0000294960
영웅인가 반역자인가…역사를 바꾼 기술자 출신 내부 고발자 10인
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=004&oid=030&aid=0002225325
FBI “미국인 사찰에 드론 사용했다”
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=104&oid=022&aid=0002543805
"미국 첩보수집 제한"…유럽의회 최대정당 입법 추진
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=104&oid=001&aid=0006325515
노동자 죽음 부른 ‘빅 브라더’ KT
http://www.gjdream.com/v2/column/view.html?news_type=502&uid=446947
“미국, 주미 한·일 대사관 등 38개국 도청” 의혹
http://www.vop.co.kr/A00000651178.html
우방 끼리도 자국 내 대사관들은 기본적으로 도청한다는 게 상식인 듯 합니다. 그래서 서로 비판을 못 하는 상황이죠. 따라서 깨끗한 전 세계 시민단체와 정당들이 연대해서 공동대응해야 합니다.
진보당 “美 도청 공작에 ‘굴종’ 참담···공식사과 요구해야”
http://www.vop.co.kr/A00000651581.html
"진보당 홍성규 대변인은 이날 국회 브리핑에서 "각국 대사관이 본국과 통신할 때 사용하는 팩스에 도청장치를 심어놓거나 전화선을 가로채는 것은 물론 컴퓨터 저장장치의 모든 자료를 몰래 복사하는 시스템까지 이용했다고 하니 가히 전방위적인 '도청 공작'"이라며 "이 충격적인 사실보다 더 참담한 것은 우리 정부당국의 태도"라고 지적했다. "
문 따고 들어와서 하드디스크 복사기로 복사하면 수 분 내로 됩니다.
네이버에서 검색된 미국의 소리 웹사이트에 올라온 기사는 오자가 있네요.
"EU,미 NAS 도청 의혹 관련 ,강력한 해명요구"
칼럼리스트, ‘세계적 특종’ 하다
http://www.mediatoday.co.kr/news/articleView.html?idxno=110105
스노든, “NSA의 중국 해킹 입증할 IP주소 가지고 있다”
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=112&aid=0002437603
SCMP에 공개된 자료에서는 사이버 공격의 진행상황에 대해 상세한 내용이 담겨있으며 75%의 해킹 성공률을 보인 것
영웅인가 반역자인가…역사를 바꾼 기술자 출신 내부 고발자 10인
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=004&oid=030&aid=0002225325
구글 "美 정부에 건넨 정보건수 공표 허용하라" 소송
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=104&oid=096&aid=0000246278
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
"각국 정부, 컴퓨터 코드 결함 구매에 혈안"<
"각국 정부, 컴퓨터 코드 결함 구매에 혈안"< IHT>
http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=105&oid=001&aid=0006371908
"헐값에 거래되다 고가에 판매돼…미국뿐 아니라 남·북한도 연루
(서울=연합뉴스) 김성진 기자 = 컴퓨터 보안 시스템의 취약점이라고 할 수 있는 코드 결함을 각국 정부가 너도나도 고가에 사들이고 있다고 인터내셔널헤럴드트리뷴(IHT) 인터넷판이 15일 보도했다.
한 IT 업계 소식통에 따르면 코드 결함의 평균 가격은 3만5천∼16만 달러(약 3천900만∼1억8천만원)다."
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
SSL 의 경우 양 끝단이 연결되어야 한다는 전제가 있는데 그것을 무너 뜨렸군요.
보안 지식이 짧아 맞는지 모르겠지만
SSL 기반 기술중 하나가 세션키(session key) 라고 알고 있는데,
세션키라는것이 상대방 공개키로 받아 동작하는 방식이기때문에,
양 끝단이 연결되어 공개키를 교환을 해야 성립된다고 알고 있습니다.
어떻게 양 끝단 연결을 막고 중간자 역활을 할 수 있는지 모르겠지만 난감하군요.
그래서 생각을 본것이 실현 가능성 0 % 이지만,
은행 같은 곳에서 인터넷을 통한 거래를 원하는 고객한테
공개키가 담긴 CD를 배포해 주면
고객은 CD 에 담긴 공개키로 은행 웹 서버에 접속을 할려고 하면
중간자(=인터셉션 프록시) 가 장난을 못치지 않을까요?
美NSA, 휴대폰암호 무력화...맘대로 도청
美NSA, 휴대폰암호 무력화...맘대로 도청
http://news.naver.com/main/ranking/read.nhn?mid=etc&sid1=111&rankingType=popular_day&oid=092&aid=0002033771&date=20130906&type=1&rankingSeq=7&rankingSectionId=105
"미국 국가안보국(NSA)이 인터넷, 휴대폰 등에 활용되고 있는 모든 암호화 기능을 무력화시키는 프로젝트를 가동해 관련 기술을 확보하고 있는 것으로 나타났다. 단순히 테러나 적국의 동태를 파악하기 위한 모니터링이 아니라 적극적으로 정보를 빼가기 위한 기술을 개발해 온 것이다.
5일(현지시간) 외신은 NSA가 기존에 인터넷 통신과정에서 정보보호를 위해 사용되는 SSL 암호화 통신, 가상사설망(VPN)은 물론 4G 스마트폰에 사용되는 암호화 기술까지 무력화 시킬 수 있다고 보도했다. 이메일에서부터 금융, 의료기록까지 모두 훔쳐보는 일이 가능해지는 것이다. 이 방식은 우리나라를 포함한 전 세계에서 가장 보편적으로 사용되고 있는 암호화 기술이다. "
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
paypal이나 다른 인터넷거래
paypal이나 다른 인터넷거래도 모두 HTTPS즉 SSL을 사용하고 있는것 아닌가요?
---------------------------------------------------------------------------------
C(++)과 php 펄등을 공부하고있습니다.
반갑습니다! 리눅스 :-)
빅브라더 NSA, 스마트폰도
빅브라더 NSA, 스마트폰도 도·감청
http://www.bloter.net/archives/163574
"슈피겔이 전한 자료에 따르면 NSA는 iOS와 안드로이드OS는 물론, 비교적 보안이 안전하다고 알려진 블랙베리OS까지 해킹해 불법 감청을 시도할 수 있다. 이 기술을 이용하면 스마트폰에 담긴 e메일, 문자메시지, 연락처, 위치정보가 고스란히 NSA 요원 손에 담긴다.
NSA는 각 운영체제별 연락처, 문자메시지, 위치정보 같은 디지털 데이터를 추출하기 위해 운영체제별 전담 팀을 꾸려 운영한 것으로 알려졌다. 내부 문서에 따르면 NSA는 아이폰 동기화 프로그램이 PC를 해킹하는 방법으로 iOS에서 최소 38개 내부 콘텐츠에 접근해 파일을 추출할 수 있다. 블랙베리OS엔 백도어를 구축하는 방식으로 e메일 시스템을 해킹했다."
Privacy Scandal: NSA Can Spy on Smart Phone Data
http://www.spiegel.de/international/world/privacy-scandal-nsa-can-spy-on-smart-phone-data-a-920971.html#ref=rss
iSpy: How the NSA Accesses Smartphone Data
http://www.spiegel.de/international/world/how-the-nsa-spies-on-smartphones-including-the-blackberry-a-921161.html
오바마 대통령, 암호화로 도배된 3,300달러 짜리 스마트폰 쓴다
http://www.kbench.com/digital/?no=114195&sc=1
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
말씀하신건 SSL Proxy인데 이건 의외로 쉽게
말씀하신건 SSL Proxy인데 이건 의외로 쉽게 들통납니다.
SSL Proxy로 통신하게 되면 원래 서버 인증서가 아닌 Proxy 서버 인증서가 뜨기 때문에
인증서 확인하면 바뀐거 금방 알아요. 물론 베리사인같은 인증서 업체가 뒷돈받고 협력하는 경우라면 모를 수 있겠습니다만.
NSA에서는 인증서 교환 알고리즘에 허점을 일부러 만들어 놓고 이걸 이용한다는 소문이 파다합니다.
Written By the Black Knight of Destruction
“미 NSA, 구글·야후 내부망 침투…데이터 통째
“미 NSA, 구글·야후 내부망 침투…데이터 통째 복사”
http://www.hani.co.kr/arti/international/america/609362.html
<워싱턴 포스트>는 31일(현지시각) 미 국가안보국 외주직원인 에드워드 스노든이 제공한 기밀문서를 토대로 “국가안보국이 전세계에 분산 배치된 구글과 야후의 데이터센터들을 연결하는 내부 광섬유망이 암호화 처리가 되지 않은 허점을 이용해 고객 정보를 대량으로 빼냈다”고 보도했다.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
"美·英 정보당국, 온라인 게임도
"美·英 정보당국, 온라인 게임도 사찰했다"
http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=104&oid=001&aid=0006641094
"英가디언…NSA "테러리스트 색출 위해"
(샌프란시스코=연합뉴스) 임화섭 특파원 = 미국·영국 정보기관들이 '월드 오브 워크래프트', 'X박스 라이브', '세컨드 라이프' 등 온라인 게임도 사찰했다고 영국 더 가디언이 9일(현지시간) 보도했다.
가디언은 전직 미국 중앙정보국(CIA) 요원 에드워드 스노든이 전달한 문건을 공개하며 이렇게 전했다.
미국 국가안보국(NSA)이 2008년 작성한 것으로 돼 있는 82쪽 분량의 문건에 따르면 NSA와 영국의 정부통신본부(GCHQ)는 캐릭터와 계정을 만들어 온라인 게임 사찰 작업을 했다."
전에 여기에 적었듯이 리그오브레전드 까니까 미군기지 오라는 엉클 샘 그림 아이콘이 제 캐릭터 디폴트 아이콘인가로 뜨더라고요.
다른 분이 깔아도 그런지 아직도 모르겠습니다.
잠깐 해보고 다시 지웠습니다.
국내 게임이나 포털 프로그램에도 국정원 백도어 있는 지 궁금합니다.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
"美 NSA, 주요 장비사 HDD 등에 스파이웨어
"美 NSA, 주요 장비사 HDD 등에 스파이웨어 심어"
http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=105&oid=030&aid=0002253149
"미국 국가안보국(NSA)이 시스코, 화웨이, 삼성, 델, 웨스턴디지털, 시게이트, 맥스터 등 컴퓨터 하드디스크드라이브(HDD)와 라우터 등에 스파이웨어를 심어 국가 수반의 컴퓨터를 염탐한 것으로 드러났다.
슈피겔은 30일 미국 NSA가 보안회사 RSA의 도움을 받아 전 세계 국가수반의 컴퓨터와 통신장비에 스파이 활동용 비밀통로를 만들고 스파이웨어를 심어 염탐 활동을 해왔다고 보도했다."
올 해 나온 기사 중 제일 중요한 기사 중 하나입니다.
독점 소프트웨어의 한계고 자유오픈소스를 써야 할 이유입니다.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
NSA’s ANT Division Catalog of
NSA’s ANT Division Catalog of Exploits for Nearly Every Major Software/Hardware/Firmware
http://leaksource.wordpress.com/2013/12/30/nsas-ant-division-catalog-of-exploits-for-nearly-every-major-software-hardware-firmware/
NSA QUANTUM Files
http://leaksource.wordpress.com/2013/12/30/nsa-quantum-files/?relatedposts_exclude=20139
NSA Intercepts Computer Shipping Deliveries of Targets to Install Malware/Backdoors
http://leaksource.wordpress.com/2013/12/30/nsa-intercepts-computer-shipping-deliveries-of-targets-to-install-malware-backdoors/?relatedposts_exclude=20139
NSA’s “Tailored Access Operations” Elite Hacking Unit Revealed
http://leaksource.wordpress.com/2013/12/30/nsas-tailored-access-operations-elite-hacking-unit-revealed/?relatedposts_exclude=20139
"NSA, iOS도 손 안에서 주물렀다"
http://www.bloter.net/archives/175716
"미국 국가안보국(NSA)이 빅브라더를 뛰어넘는 정보 수집 능력을 보여주고 있다. 마이크로소프트, 야후, 구글과 같은 인터넷 서비스 기업 데이터센터에 몰래 소프트웨어를 심고 자료를 수집한 데 이어 스마트폰에도 스파이웨어를 심어 사용자 정보를 수집한 것으로 드러났다.
독일 슈피겔을 비롯한 외신은 12월30일 에드워드 스노든이 폭로한 자료를 인용해 NSA가 비교적 해킹에 안전하다고 알려진 iOS에도 스파이웨어를 심어 정보를 수집한다고 밝혔다. 이 자료에 따르면 NSA는 스파이웨어를 이용해 아이폰에서 전송된 문자메시지, 통화 내역, 사진첩에 저장된 사진 정보를 사용자 몰래 가로챘다.
NSA는 ‘드롭아웃지프(DROPOUTJEEP)’하는 우회(백도어) 프로그램을 이용해 아이폰에 저장된 정보를 수집했다. 이 프로그램을 이용하면 원격에서 아이폰에 저장된 정보를 탈취할 수 있음은 물론 조작까지 할 수 있다. 원격으로 카메라와 마이크를 실행해 사용자가 현재 무엇을 하고 있는지 감시도 할 수 있다는 얘기다. "
Inside TAO: Documents Reveal Top NSA Hacking Unit
http://www.spiegel.de/international/world/the-nsa-uses-powerful-toolbox-in-effort-to-spy-on-global-networks-a-940969.html
http://www.spiegel.de/international/world/the-nsa-uses-powerful-toolbox-in-effort-to-spy-on-global-networks-a-940969-2.html
http://www.spiegel.de/international/world/the-nsa-uses-powerful-toolbox-in-effort-to-spy-on-global-networks-a-940969-3.html
[News] The NSA Has a Backdoor Called 'DROPOUTJEEP' for Nearly Complete Access to the Apple iPhone *VIDEO*
http://www.hackphone.co.il/singlepost-id-14871.htm
NSA has top-secret catalog of 'keys' into world's security architecture
http://www.dailydot.com/news/nsa-backdoor-spying-ant-bios-cisco-huawei-juniper/
That laptop you ordered online might have NSA spyware on it
http://www.dailydot.com/news/nsa-malware-laptops-tao-der-spiegel/
시스코 "NSA 감청용 통로 연 적 없어"
http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=105&oid=092&aid=0002043490
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com