CSCI530 20241025
Takeaways
pdf; set of instructions
jpeg; rendering program results in a buffer overflow (jpeg has a field how long the data is)
Virus vs Worms
Virus: It copies its program to another program
Worm: it inserts into a running program, so it runs right away. Modifying a memory and the code that is "already" running
ex) buffer overrun in the network ports
- lab 4 addresses? "Morris worm" was not intended.
- It overwhelm the whole internet network.
Q) botnet vs worm?
: worm could be the infection vector but the botnet is more like a payload (?)
Superfish
Superfish는 사용자의 웹 브라우징 경험을 맞춤화하기 위해 시각적인 검색 기능을 제공하는 소프트웨어이지만, 개인정보 침해와 보안 취약점 때문에 논란이 되었던 프로그램입니다. 특히 2015년에 **Lenovo 노트북에 사전 설치된 Superfish 광고 소프트웨어**가 큰 문제를 일으켰습니다. Lenovo는 사용자가 웹에서 본 이미지와 비슷한 상품을 자동으로 추천하기 위해 Superfish를 설치했으나, 이 프로그램은 몇 가지 심각한 문제를 유발했습니다. Superfish 보안 이슈 1. **중간자 공격(Man-in-the-Middle Attack)**: - Superfish는 **웹사이트 SSL 연결을 가로채기 위해 자체 인증서**를 설치해, HTTPS 보안을 해제하는 문제가 있었습니다. 이는 해커가 웹사이트와 사용자 사이에서 데이터를 가로챌 수 있는 취약점이었고, 로그인 정보나 민감한 데이터를 쉽게 탈취할 수 있었습니다. #2. **광고 및 프라이버시 문제**: - Superfish는 사용자의 검색 기록을 추적해 사용자의 관심사에 맞춘 광고를 제공했습니다. 이러한 트래킹과 광고 삽입 방식은 사용자들에게 불편을 초래했고, 개인정보 보호 측면에서도 비난을 받았습니다. 3. **사용자 비난과 리콜**: - Superfish로 인해 Lenovo는 사용자들로부터 큰 비난을 받았고, 결국 문제를 해결하기 위해 해당 소프트웨어를 비활성화 및 제거하는 방법을 안내했습니다. 또한, Lenovo는 신뢰 회복을 위해 사전 설치 소프트웨어 정책을 개선하겠다고 발표했습니다. Superfish는 이러한 보안 및 개인정보 침해 문제로 인해, 불필요한 사전 설치 소프트웨어(bloatware)와 보안에 대한 중요한 경고 사례로 자주 언급됩니다.Tripwire
Tripwire는 시스템의 무결성을 확인하고 보안을 강화하기 위한 **파일 무결성 검사 도구**입니다. 주로 기업이나 기관에서 시스템 파일의 변경 사항을 모니터링하고, 불법적인 접근이나 잠재적 공격을 탐지하는 데 사용됩니다. 이 도구는 보안 시스템의 중요한 구성 요소로, 운영 체제나 애플리케이션의 주요 파일이 변조되지 않도록 관리합니다.Tripwire의 주요 기능
-
파일 무결성 검사:
- Tripwire는 시스템의 중요한 파일과 디렉토리에 대해 해시값을 생성하여 기준으로 삼고, 파일에 변경이 발생하면 이를 탐지해 관리자에게 경고를 보냅니다.
-
정기적 검사:
- 스케줄링된 검사로, 주기적으로 시스템 무결성을 점검하여 보안에 위협이 되는 변경 사항을 조기에 발견할 수 있습니다.
-
로그 분석:
- Tripwire는 변경 사항과 관련된 정보를 로그에 기록하며, 파일이 언제, 어디서, 어떻게 변경되었는지 확인할 수 있습니다. 이 기능은 침입이 발생했을 경우, 포렌식 분석에 유용합니다.
-
정책 기반 관리:
- 특정 디렉토리나 파일에 대해 어떤 변경을 허용할지 설정할 수 있어, 예외 상황을 관리하고 보안 이벤트를 보다 효과적으로 추적합니다.
Tripwire의 활용 사례
- 침입 탐지: 중요한 시스템 파일의 변조나 삭제, 허가되지 않은 변경을 감지하여 관리자에게 경고를 보내는 등, 침입이 발생했을 가능성을 빠르게 파악할 수 있습니다.
- 규제 준수: Tripwire는 무결성 검사를 통해 PCI-DSS, HIPAA 등의 보안 규제를 준수하는 데 도움을 줍니다.
- 변경 관리: 시스템 관리자는 Tripwire를 통해 시스템 구성 파일의 변경 기록을 추적하여 문제 발생 시 빠르게 원인을 찾아 복구할 수 있습니다.
Tripwire는 오픈소스와 상용 버전이 모두 제공되며, 상용 버전은 보다 강화된 보안 및 관리 기능을 갖추고 있습니다.
Customer data: 각 customer가 접근한다는게 다르다.
intrusion 방지
zone: who is accessing, webpage는 core zone(most secure part)에 넣기 좀 그렇다. this question focuses only on webpage - but if we have other important things in the core, don't.
- read-only cd로 할수도?
- outsource하는데는 이유가 있다.
record는 public-facing web server에 있으면 안됨!
more control on the individual access.
Edge of my network인데, firewall로 걸러서 넣으면 된다.
(USC의 47k 학생?)
web server를 또 만들어서, auth된 유저가 접근할 때 배달해주는 식으로 한다.
General Purpose Computer 쓰지마라! Attack Surface가 넓음.