Mac OS X SOD(Screen Of Death)

분류없음 2009.01.07 01:04

그냥 재미 있을 것 같아서 올립니다. 커널 모듈 예제를 좀 손보다가 맛이 갔습니다.
 
블루는 아닙니다. 시스템 크래쉬 메시지도 정성들여서 만들었군요.
 
혹 맥 덤프 파일 디버깅이나 리모트 커널 디버깅에 대해서 아시는 분 계시나요?
 
 
 

Posted via email from bugtruck's posterous

신고

삼국지

리버스 엔지니어링 2008.12.01 12:43
유비가 치명적인 부상을 당한 것은 적의 진영을 향해 공격을 진행하는 중이었다. 사실 전세는 유비 진영에 유리하게 전개 되고 있었다. 하지만 그만 도중에 유비는 적병의 화살을 맞고 말았다. 그의 상태는 부하들에게는 비밀에 부쳐졌다. 오직 전속 의관과 장비와 관우만이 그 사실을 알고 있었다. 한눈에 보아도 출혈이 너무 심했고, 그의 목숨은 얼마 남지 않았음을 알 수 있었다. 이제 천하 통일의 꿈도 도원결의도 모두 물거품이 되어 버리는 것인가? 지난 수년간의 일들이 파노라마처럼 그의 뇌리를 스쳤다. 죽음 앞에서는 자신의 인생이 주마등처럼 스쳐 지나간다고 하지 않던가? 나는 이제 죽어 가는 것이다. 그날밤 그는 고통 속에서 헤맸다. 그러한 고통은 그의 생애에 단 한번도 느껴 보지 못한 그것이었다. "그러니까, ".text" 영역의 오프셋 0x3fef 의 4바이트를 원하는 능력치로 바꿔 주면 된다고?" "그렇다니까. 거기에 네가 원하는 값을 넣어 주고 프로그램을 다시 실행 시키면 돼" "알았어..." 다음날 새벽 갑자기 눈을 뜬 유비는 자신의 상처를 만져 보았다. 그것은 말끔히 치료 되어 있었고, 그곳에 상처가 있었는지 조차도 알 수가 없었다. 갑자기 몸이 가벼워짐을 느낀다. 이제 다시 공격이다.
신고

시링스를 회고하며...

분류없음 2008.11.14 18:13

chat with synrix
Originally uploaded by matt.

거의 7년전 시링스(Syrinx)라는 모임에 끼어서 해킹 대회에 참가한 적이 있었다.
마침 예비군 훈련과 겹쳐서 거의 밤을 새우면서 같이 해킹을 했던 기억이 난다.
"truefinder"라는 이상한 닉을 쓰는 나름대로 순수한 척하는 애가 주도가 되었던 모임이었다.

그리고, 그것이 내가 참여한 마지막 해킹 대회였다.
더 이상 무언가를 위해서 밤을 새우는 일은 그것이 끝이었다.
더 이상 밤을 지새우기 위해서는 가족이라는 짐이 너무 무거워진 것 같다.
하지만 나에게 해킹 대회와 가족을 택하라고 한다면 당연하게도 가족이 될것이다.

하지만, 그 옛날의 순수했던 친구들은 아직도 그립다.
"truefinder" 마저도 세상 속에서 결국 "truefrog"로 변질 되어 버렸다...

그들은 모두 어디에서 무엇을 하고 있을까?

신고

애플의 비난 받는 패치 행태

분류없음 2008.07.28 17:51

애플이 이번 DNS 이슈에서도 늦어진 패치로 인해서 욕을 먹고 있는듯 하다(Apple Still Has Not Patched the DNS Hole).

물론 일반 사용자도 문제이지만 더 큰 문제는 Mac OSX 서버의 패치이다. DNS 서버로 사용되고 있다면 모든 클라이언트들에 영향을 주므로 더더욱 시급한 문제이다. 이번 DNS 패치는 단지 소스포트 랜덤화만 구현하면 되기 때문에 기술적으로 크게 문제가 될 부분이 없어 보인다. 하지만 거의 3주가 다 되어 가는 시점에도 아직 애플의 패치가 나오지 않았다는 것은 의문이다.

iWoz에도 살짝 언급 되지만, 애플의 QA 프로세스는 엉망인듯 하다. 일반 사용자들도 이렇게 저렇게 유추하고 테스트해볼 수 있는 사안에 대해서 조차도 전혀 테스트를 하지 않는 경우도 있는 듯 하다. 애초 애플의 창립자였던 워즈니악은 맥용 “Internet Explorer”의 블루스크린 문제에 대해서 나름대로의 해법을 제시하면서 안타깝게 그러한 문제에 대해서 기술하고 있다.

eEye Digital Security사의 Marc Maiffret이 이미 오래전에 지적했듯이 마이크로소프트가 이미 지난 10여년간 행해 온 실수를 다른 회사들도 반복하고 있는 것으로 보인다. 코드 레드 웜등으로 보안과 관련해서는 수난기를 보내었던 마이크로소프트사는 초기에 자사 제품에서 아주 기초적인 보안 취약점들의 발견으로 인해서 많은 질타를 받았었다. 하지만 패치투스데이(Patch Tuesday)를 도입하여 매달 정기적으로 패치를 릴리즈하고, 그 권고문에 원 발견자에게 크레딧을 줌으로 인해서 더 많은 보안 취약점 연구자들이 자사 제품을 연구하도록 하는 효과를 가져 오게 되었다.

결국 자신의 문제를 인정하고, 그것을 적극적으로 고치려고 하는 자세가 마이크로소프트에 대한 비난의 시각을 바꾸게 만들었고, 이제는 적극적으로 보안 시장을 공략해 나가는 단게에까지 이르게 되었다. 자신의 문제를 제대로 본다면 자신의 문제만 해결하는 것이 아니라 덤으로 새로운 이득을 얻게 되는 경우도 생기는 것이다.

마이크로소프트보안과 관련해서 정반대의 행보를 보여 주는 회사가 있는데 바로 오라클사이다. 오라클데이타베이스 시장을 거의 점유하고 있는 정도의 회사로서 특히 한국에서의 영향력은 절대적이다. 하지만, 많은 보안 이슈들이 제기 되고 그를 이용한 실제로 익스플로잇이 나와도 오라클대응은 느리기 그지 없다. 1년씩 묵혀 두었다가 한번에 수백개의 보안 패치를 한꺼번에 올리기도 하고, 보안 연구자들에게 크레딧도 제대로 주지 않는 것으로 알려져 있고, 특히나 보안 연구자들의 취약점 보고에 대해서 침묵으로 일관한다는 소식이 있다.

최근 애플사 제품에 대한 보안 이슈들이 늘어 나고 있는데 이번을 기회로 애플사도 오라클이 아닌 마이크로소프트의 좋은 선례를 따라가기를 바란다.



신고

Itunes, Java등 소프트웨어 업데이트 과정의 취약점 공격툴 등장

분류없음 2008.07.28 17:51

오래 전부터 지속적으로 언급 되고 있는 사안 중의 하나가 바로 여러 제품들의 업데이트 과정의 안전성에 대한 것입니다. 제가 기억하기로는 이미 5-6년 이전부터 이런 취약점에 대해서 계속 언급이 되어 왔습니다. 취약점의 내용은 MITM(Man-In-The-Middle) 공격에 대한 것입니다. 업데이트를 수행하는 세션에 공격자가 끼어 들 수 있다면, 공격자가 중간에 끼워 넣은 악성 코드를 공격 대상자의 컴퓨터에서 실행할 수 있게 됩니다.

이를 방지하기 위해서 많은 벤더들에서는 업데이트 파일이 제대로 싸인 되어 있는지를 확인합니다. 그런데 아직도 이러한 기본적인 원칙도 지키지 않는 벤더들이 많은 가 봅니다. 다음은

ISR-evilgrade v1.0.0라는 가짜 업데이트 모듈이 지원하는 취약한 소프트웨어들의 목록입니다.


  • Java plugin

  • Winzip

  • Winamp

  • MacOS

  • OpenOffices

  • iTunes

  • linkedin toolbar

  • DAP (download accelerator)

  • notepad++

  • speedbit

ISR-evilgrade v1.0.0메타스플로잇의 모듈로 돌아 가는 공격 툴로서 위에 나열한 소프트웨어의 업데이트 과정을 가로채어 악성 코드를 주입하는 역할을 합니다. 최근에 발견된 DNS 취약점 과 연결하여 같이 사용하는 Demo도 이미 나와 있습니다.

자세한 내용은 ISR-evilgrade presentation slides를 참조하세요.



신고

64비트 윈도우즈에서 32비트 익스플로러를 사용해야 하는 이유

분류없음 2008.07.24 17:55

비스타 64비트 버전과 같은 64비트 윈도우즈에서는 64비트 응용프로그램들을 사용하면 퍼포먼스가 좋아지고, 메모리도 적게 차지하게 된다. “Task Manager”로 볼 경우 *32가 붙은 프로세스들은 32비트 에뮬레이션 모드로 돌아 가고 있는 프로세스들이다. iexplore.exe의 경우 에뮬레이션의 경우 더 많은 메모리를 사용하고 있는 것을 알 수 있다.

Illustration 1: 프로세스 리스트


하지만 결정적으로 64비트 익스플로러에서는 ActiveX가 제대로 돌지 않는다. 따라서 플래쉬도 보이지 않는다.

Illustration 2: 32비트 익스플로러


Illustration 3: 64비트 익스플로러

이러한 예 뿐만 아니라 매번 3rd party ActiveX 컨트롤들의 취약점 발견으로 얻어 맞고 있는 ActiveX 기술을 보자면, 인터넷 대중화 초창기 시절 COM 기술의 집합물이자 대단한 발명품이었던 ActiveX 기술이 이제는 여러가지로 기술의 발전을 따라 가지 못하는 지진아가 되어 버린 것이 아닌가 생각된다.

실버라이트(Silverlight)는 조금 나을까???


신고

보안 교육은 무의미하다?

분류없음 2008.07.24 17:43

얼마전 회사의 키친에 있는 책장에 다음과 같은 문귀를 누군가 붙여 놓았다.

"I've lost my faith in education. It never helps, people will never learn.... They will click on everything,"

  • Mikko Hypponen(F-Secure's antivirus research director)


그냥 직역해 보자면, “ 교육에 대한 신념을 잃었다. 교육은 절대 도움이 되지 않는다. 사람들은 절대 배우지 못한다. 그들은 아무것이나 마구 클릭해 댄다.”


F-Secure의 리서치 디렉터였던 이 분의 말씀에 공감하는 사람들이 한둘이 아닐 것으로 생각한다. 아무리 좋은 보안 장치를 만들어 놓고, 아무리 좋은 관리자가 있어도, 보안에 무심하거나 무식한 사용자 한명이면 전체 네트워크를 망쳐 놓기에 충분하다.


아무런 뛰어난 기술이 들어 가지 않은 무차별적 공격에도 당하는 사람들이 계속 생기는 것은 그 때문인 듯 하다.


결국 교육의 실패는 항상 더 통제된 시스템으로 전환을 의미한다.


신고

Windows 용 tcpdump

분류없음 2008.07.23 18:24

wireshark을 주로 사용하지만, 버전업이 될 수록 초기 구동에 시간이 너무 오래 걸려서 가끔 짜증 날 때가 많다. 그래서 윈도우즈의 tcpdump에 해당하는 툴을 찾아 보니 Windump라는 놈이 있다. 설치 과정도 필요 없이 단지 하나의 바이너리로 구동하면서, tcpdump와 명령어 옵션은 거의 같은 것 같고, 속도도 빠르다. 물론 WinPcap은 미리 설치 되어 있어야 한다.

문제는 -i 뒤에 interface 이름이 윈도우즈에서는 장난 아니게 길다는 것...

다행히 숫자를 입력할 수 있는데, wireshakr에 표시되는 인터페이스 순서대로 0부터 시작하는 것으로 보인다.


C:> windump -i 2 -n port 3306

windump: listening on \Device\NPF_{3AB52DA4-C7E0-4E63-85E8-B926F446075B}

15:34:31.036451 IP 192.168.1.29.3306 > 192.168.1.35.3204: P 36754:36775(21) ack

150404 win 65535

15:34:31.036583 IP 192.168.1.35.3204 > 192.168.1.29.3306: P 150404:150439(35) ac

k 36775 win 64403

15:34:31.036936 IP 192.168.1.29.3306 > 192.168.1.35.3204: P 36775:36855(80) ack

150439 win 65535

15:34:31.041136 IP 192.168.1.35.3204 > 192.168.1.29.3306: P 150439:150819(380) a

ck 36855 win 64323

15:34:31.042833 IP 192.168.1.29.3306 > 192.168.1.35.3204: P 36855:36876(21) ack

150819 win 65535


신고

카민스키의 DNS 취약점 발표 내용이 유출 되었습니다

분류없음 2008.07.23 18:20

이번 블랙햇에서 발표하려던 내용이 몇일전 유출 되었네요.

이번 패치 투스데이에 패치 된 내용 말고도 몇가지 치명적인 내용이 한가지 더 들어 있는 듯 합니다.

TXID, source port 추정은 이전에 제가 보내 드린 내용과 일치하고, 나머지 하나의 내용은 RR 레코드와 상관이 있습니다.



개인 사용자들은 할 수 있는 일이 없는 듯 하구요. ISP 등에서 해결해야 하는 문제인듯 합니다. 자신이 사용하는 DNS 서버가 TXID

추측 공격에 혹시 취약한지 꼭 체크해 보고 사용하시기 바랍니다. 만약 한 사용자가 공격에 휘말려서 DNS 캐쉬 서버를 오염 시키면, 이하

그 캐쉬 서버를 사용하는 모든 사용자가 영향을 받게 됩니다.



아 그리고, Metasploit용 exploit 도 발표 되었습니다.



Kaminsky's DNS Issue Accidentally Leaked?

Regarding The Post On Chargen Earlier Today

Kaminsky DNS Cache Poisoning Flaw Exploit

신고

웹사이트 취약점 공갈 협박 사기단과 새로운 시장

분류없음 2008.07.22 18:26

Wired 잡지 최신호에 나온 “Mr. Know-it-All” 컬럼에 “My site's held hostage Should I pay ransom?”라는 컬럼이 실렸다. 한국말로 번역하자면 “제 사이트가 인질로 잡혔습니다. 몸값을 지불해야 하나요?” 정도.

사이트에 취약점이 있는 것을 발견했는데, 공개하지 않는 것을 조건으로 1500불을 내놔라는 협박을 받은 모양이다. 그런데 “Mr. Know-it-All” 의 답변을 보면 흥미롭다. FBI의 조사에 의하면 대부분의 경우 80% 확률로 해당 협박은 공갈일 가능성이 있다는 것이다. 즉, 전혀 어떠한 보안 취약점도 발견하지 못한 범인들이 그냥 아무것도 없이 협박하고 겁을 준다고 한다.

뭐 나머지 20% 확률로 범인들이 뭔가를 가지고 있을 확률은 있지만 돈을 주게 되면, 같은 사건들에 대해서 계속 돈을 지불해야 하므로 차라리 보안 컨설팅을 받을 것을 권하고 있다.

개인적인 생각이지만, 조그마한 사립 탐정 사무실처럼 개인 보안 컨설턴트들이 조만간 나름대로 짭짤하게 수입을 올리면 활동하게 되는 시대가 되지 않을까 생각해 본다. 너무 큰 기업에 오랜 기간을 두고 컨설팅을 받기에는 뭐하고, 그냥 두자니 찜찜한 경우에 개인이나 소규모 기업에서 보안 컨설팅을 받는 일이 꽤 괜찮은 선택으로 보여진다. 물론 해당 컨설턴트들은 네임벨류나 신뢰성이 보장 되어야 하는 것은 물론이다.



신고