NSA와 GCHQ같은 intelligence services에 의해 수행되는 대중 감시에 대한 공식 발표는 사람들이 그들의 인터넷 상의 대화에 대한 보안, 프라이버시를 위한 방안을 찾도록 했습니다. 페이스북이 WHATSAPP을 인수하고 보안 통신을 제공한다는 대체제들의 새로운 유저 유입은 상당히 증가했습니다. 많은 관심을 끈 메시지 어플리케이션중 하나가 TEXTSECURE입니다. TextSecure는 종단간 암호화를 이용해 기밀 메시지를 보낼 수 있습니다. 본 논문에서는 TEXTSECURE의 암호 프로토콜을 살펴볼 것입니다. Instant Messaging(IM), 문자메시지는 10년도 더 이전부터(논문 기준) 대화 형식으로 사용하기 편리한 점에서 많은 인기를 끌었습니다. 하지만 e-mail과 달리 PG..

http://codeengn.com/challenges/malware/02 Problem : This file is a source code of a malware. What the target of this malware ex ) ddos (Answer must be all in lowercase, with no spaces) 이번 문제는 공격 대상을 찾는 문제입니다. webserver, web, http, db 등을 해봤지만 정답은 webdav입니다. body에 있는 DAV를 통해 알 수 있었습니다. 좀 더 보면 Malware_L02_shellcode를 szShellBuf에 넣고 body를 szReqBuf에 넣은 다음에 그 이후에 szShellBuf를 복사하는걸 볼 수 있습니다. Malware_L02..

http://codeengn.com/challenges/malware/01 Problem : This file is a source code of a malware. What is the attack method of this malware ex ) ddos (Answer must be all in lowercase, with no spaces) 악성코드 분석 문제로 주어진 소스를 통해 무슨 공격인지 알아내야 합니다. 간단하게 주석을 달아봤습니다. 이 공격은 출발지 ip, port를 속여서 많은 수의 패킷을 보내는 것으로 tcp 프로토콜을 사용한 SYN Flooding으로 볼 수 있습니다. 보통은 하나의 목적 포트를 설정하여 해당 포트로 서비스를 제공하고 있는 것의 방해를 하는데 쓰입니다. 답은 synf..

모바일 클라이언트와 클라우드에서 보안 이슈를 해결하기 위한 데이터 보안 솔루션을 제안하는 논문입니다. 클라우드에서 보안 이슈를 해결하기 위해 searchable encryption, data deletion proving 등의 기술이 있지만 모바일 클라이언트에서는 성능 제한이 따릅니다. 하지만 Proxy based data security solution은 대부분의 부하를 proxy로 옮김으로서 성능 이슈를 해결합니다. 모바일 클라이언트에서 이런 솔루션들과 보안의 발전력은 아직 해결되지 않았습니다. 프록시는 가상 머신에서 모바일 유저에 의해 제어됩니다. Assumption 네트워크 구조에서 흔히 볼 수 있는 취약성입니다. 공격자는 사용자의 모바일에 멀웨어를 심을 수도 있고 인터넷상에 전송되는 데이터를 다..

이번에 루트킷을 하면서 드라이버 프로그래밍을 하게 되었습니다. 지난번에 NDIS, WFP 관련해서 개발 포스팅을 했었는데 네트워크 드라이버가 아닌 드라이버의 경우 어떻게 시작해야되는지에 대해 정리해보려합니다. 환경 구축은 이전 글을 참고하시면됩니다. 시작프로젝트는 WDF의 Kernel Mode Driver (KMDF)로 합니다. Driver.c 파일에 보면 DriverEntry이 있고 그 외 몇몇 파일이 만들어져 있습니다. 타겟 머신에 제대로 실행이 되는지 확인해볼 것이기 때문에 DriverEntry 함수 내에 DbgPrint()를 사용하여 로그를 찍어보도록 합니다. 또 한 군데, OnUnload()에서도 찍어보는데 이 함수는 기본값으로 만들어져있지 않습니다. DriverEntry()위에 다음과 같이 정..

이번엔 안드로이드 어플리케이션의 보안에 대해 자동적으로 판단하는 SCanDroid라는 툴에 대한 것입니다. 'Security Certifier for anDroid'의 줄임말입니다. 보통 안드로이드 어플리케이션에서 악성코드 여부를 판단할 때 권한을 우선적으로 보게됩니다. 툴들도 많이 있구요. 그 이상으로(코드나 동작수준에서) 어느정도의 분석을 하는지가 주요 관심영역이 될 것 같습니다. 기본적으로 SCanDroid도 manifests의 권한을 확인합니다. 그리고 권한에 맞게 데이터가 흐르는지 정적으로 체크합니다. 안드로이드에서는 권한을 통해 다른 어플리케이션의 데이터에 접근하는 것을 제어합니다. 이는 악성 어플리케이션을 제한하는데 어느정도 도움이 되지만 완벽한 해답은 될 수 없습니다. SCanDroid는 ..