ENISA, 클라우드 컴퓨팅 보안의 구름을 걷어내다..

  ENISA는  유럽연합(EU)의 사이버보안기관입니다.  ENISA(European Network and Information Security Agency: 유럽 네트워크 및 정보보안 기구)    ENISA에서는 “Cloud Computing: Benefits, risks and recommendations for information security”라는 포괄적이고 새로운 보고서를 발표했다고 합니다.
  http://www.enisa.europa.eu/media/press-releases/enisa-clears-the-fog-on-cloud-computing-security-1

  최근 클라우드 컴퓨팅이 이슈가 되고 있습니다.  국내에서도 메일및 SCM을 클라우드서비스 방식으로 전환하는 사례가  발생하고 있기도 합니다.  클라우드 서비스는 분명 비용절감등의 많은 잇점을 가지고 있습니다. 그러나 동시에 보안때문에 불안하게 여겨지는 면이 많이 있습니다.  과연 클라우드 서비스업자를 얼마나 믿을 수 있는가?  또.. 네트웍단에서 전송간에 발생할 수있는 보안문제는 어떻게 해결할 것인가…등….  이런 궁금증들을 해결해줄 수있는 세부적인 123페이지 짜리 보고서를 읽어보시기 바랍니다  

  아래의 URL에서 클라우드 보안에 있어서 고려할 점들을 상세하게 풀어놓은 세부적인 PDF보고서를 다운로드 받으실 수 있습니다.  << PDF  보고서 다운로드 받기 >>

  사용자 삽입 이미지

IE 6, 7 사용시 원격코드 실행될 수있는 제로데이 취약점 발견

▶ 취약점 내용
MS Internet Explorer 6, 7 을  사용하는 PC
에서 특수하게 조작된 웹페이지에 방문할 경우 CSS/Style object 처리하는 과정에서  원격코드가 실행되는 취약점이 발견되었습니다.

▶ 대응책
 1) 신뢰할 수 없는 사이트에 방문자제:  
   
현재 해당 취약점에 대한 보안업데이트는 발표되지 않았기 때문에  신뢰할만한 사이트만 가세요..^^
 2) IE 8 로의 업그레이드 
 3) 백신의 패턴을 최신으로 유지
 4) IE 6,7 설정에 의해 임시적인 보호 가능
     –> 보안
업데이트가 발표되기 전까지 JavaScript 사용하지 않도록 설정 
  JavaScript 사용하지 않도록 설정할 경우 사이트가 정상적으로 동작하지 않을 있습니다.
      Internet Explorer > 도구 > 보안 > 인터넷 > 사용자 지정 수준
      “Active 스크립팅 사용 안함으로 설정

▶ 참조 사이트 
  o 한글 : http://www.krcert.or.kr 
           http://www.boannews.com/media/view.asp?idx=18645&kind=0
  o 영문 : http://www.securityfocus.com/bid/37085/info
  o 영문 : http://isc.sans.org/diary.html?storyid=7624

2009-11 보안패치가 발표되었습니다.

11월 Microsoft 보안패치가 발표되었습니다.  사실 12일에 나왔는데  올리는게 늦었습니다.   최근들어 가장 적은 보안패치가 나온 것 같습니다.  6개의 보안패치가  발표되었구요.. 그중에 긴급이 3개, 중요가 3개 되겠습니다. 또한  6개 모두가 리부팅이 필요합니다..      이번달에 나온 패치중에서  그래픽 드라이버와의 충돌현상이 발생된 것이 한건 있습니다. 

11월 보안패치중 주의가 필요한 사항 (에러 보고되었음)
1.
증상 : MS 11 정기 보안 패치 적용 일부 PC 정상적인 동작을 하지 않는 현상 발생

2. 원인 : 델이 지난해 3분기 출시한 PC 탑재한 ATI 드라이브(그래픽 카드) 충돌로 인한 현상

3. 패치 : ‘윈도 커널 모드 드라이버의 취약점으로 인해 발생한 원격 코드

            실행 문제점(MS09-065)’ 해결하기 위해 제공한 보안패치KB969947

3. 대응 방안 : KB969947보안 패치 적용 제외

11월 MS 정기 보안패치 요약

보안공지 번호

보안 패치 내역

최대 심각도,  영향

MS09-063

Web Services on Devices API의 취약점으로 인한 원격 코드 실행 문제점 (973565)

  이 보안 업데이트는 Windows 운영 체제의 WSDAPI(Web Services on Devices 응용 프로그래밍 인터페이스)에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 영향을 받는 Windows 시스템에서 특수하게 조작된 패킷을 받을 경우 이 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 로컬 서브넷에 있는 공격자만 이 취약점을 악용할 수 있습니다.

긴급, 리부팅 필요
원격 코드 실행

Vista,
Windows2008 server

MS09-064

라이센스 로깅 서버의 취약점으로 인한 원격 코드 실행 문제점 (974783)
 

이 보안 업데이트는 Microsoft Windows 2000에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 공격자가 특수하게 조작된 네트워크 메시지를 라이센스 로깅 서버를 실행하는 컴퓨터로 전송하면 이 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 최선의 방화벽 구성 방법과 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있습니다.

긴급, 리부팅 필요
원격 코드 실행


Windows 2000 server

MS09-065

Windows 커널 모드 드라이버의 취약점으로 인한 원격 코드 실행 문제점 (969947)

이 보안 업데이트는 Windows 커널에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 가장 위험한 취약점으로 인해 사용자가 특수하게 조작된 EOT(Embedded OpenType) 글꼴로 렌더링된 콘텐츠를 볼 경우 원격 코드 실행을 허용할 수 있습니다. 웹을 통한 공격의 경우 공격자는 이 취약점 악용 시도에 사용되는 특수하게 조작된 포함 글꼴을 포함한 웹 사이트를 호스팅해야 합니다. 또한 사용자가 제공한 콘텐츠를 허용하거나 호스팅하는 공격 당한 웹 사이트에는 이 취약점을 악용할 수 있는 특수하게 조작된 콘텐츠가 포함되어 있을 수 있습니다. 공격자는 강제로 사용자가 특수하게 조작된 웹 사이트를 방문하도록 만들 수 없습니다. 대신, 공격자는 사용자가 공격자의 사이트로 이동되는 전자 메일 메시지 또는 인스턴트 메신저 메시지의 링크를 클릭하도록 하여 웹 사이트를 방문하도록 만들어야 합니다.

**충돌 보고됨:**주의

Dell 제품 중 지난해 3분기 출시한 ATI드라이브과의 출동현상 보고됨

긴급, 리부팅 필요
원격 코드 실행

MS Windows,

MS09-066

Active Directory의 취약점으로 인한 서비스 거부 문제점 (973309)

이 보안 업데이트는 Active Directory 디렉터리 서비스, ADAM(Active Directory Application Mode) 및 AD LDS(Active Directory Lightweight Directory Service)에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다. 특정 유형의 LDAP 또는 LDAPS 요청을 실행하는 동안 스택 공간을 다 써버릴 경우 이 취약점으로 인해 서비스 거부가 발생할 수 있습니다. 이 취약점은 ADAM 또는 AD LDS를 실행하도록 구성된 도메인 컨트롤러와 시스템에만 영향을 줍니다.

중요, 리부팅 필요
서비스 거부

MS Windows,

MS09-067

Microsoft Office Excel의 취약점으로 인한 원격 코드 실행 문제점 (972652)

MS Office XP (973471)
MS Office 2003 (973475)
MS Office 2007 (973593)

이 보안 업데이트는 Microsoft Office Excel에서 발견되어 비공개적으로 보고된 여러 취약점을 해결합니다. 사용자가 특수하게 조작된 Excel 파일을 열면 이러한 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

중요, 리부팅 필요
원격 코드 실행

MS Office

MS09-068

Microsoft Office Word의 취약점으로 인한 원격 코드 실행 문제점 (976307)

MS Office XP (973444)
MS Office 2003 (973443)

이 보안 업데이트는 비공개적으로 보고된 취약점 1건을 해결합니다. 사용자가 특수하게 조작된 Word 파일을 열면 이러한 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

중요, 리부팅 필요
원격코드 실행


MS Office

산업보안진단전문가 양성과정 참여중입니다.

어제부터   산업보안진단전문가 양성과정에  참여중입니다.  총 23명의 인원이 교육에 참여하고 있는 중입니다.  교육대상이신 분들이  정보보호관련 전문가 분들이 대부분이더군요.. 현직 정보보호전문업체의 컨설턴트, ISO27001을 기 인증받은 회사의 관련 전문인력등이 참여하고 있습니다.    ISO27001에 입각한 정보보호 진단및 대안제시를 할 수있는 인력양성을 위한 목적으로 이 과정이 생긴 것이라고 합니다.

목 적 : 산업보안분야에 특화된 현장·프로세스진단 전문가 양성
일 시 : 2009. 11. 10(화) ~ 13(금) (3박4일, 합숙교육)
모집인원 : 25명 내외
교육장소 : 용인한화콘도
지원자격 :  4년이상 산업보안, 정보보호분야 업무경력 또는 산업보안·정보보호 석사학위 졸업 이상 또는 관련분야 전문자격소지자
주 최 : 지식경제부
주 관 : 한국인정원, 한국산업기술보호협회

□ 주요 내용
  – 산업보안에 대한 이해
  – 산업보안 진단 기법 
  – 산업보안 관리체계 진단(ISO/IEC 27001 국제표준)
  – 산업보안 진단 실습
  – 산업보안 보호대책에 대한 이해
  – 산업보안 취약점 진단 사례
  – 산업보안 위험분석 및 위험평가 Ⅰ
  – 산업보안 위험분석 및 위험평가 Ⅱ
  – 산업보안 위험통제 대책 및 전략수립 Ⅰ
  – 산업보안 위험통제 대책 및 전략수립 Ⅱ

거의 모든 과정이 진행되는 강의실입니다.사용자 삽입 이미지콘도 모습이죠…
사용자 삽입 이미지아침에 근처 산책로를 걸었습니다.
사용자 삽입 이미지

mbsacli 로 MBSA 자동화하기

  MBSA 2.1.1 최신버전이 나왔습니다.  매월  MBSA를 이용하여  자체적인 서버 보안감사를 실시하고 있습니다.  하지만 스캐닝하는데 시간도 많이 거리고 번거롭기도 해서  일부 서버를 대상으로 샘플링으로  MBSA 스캐닝을 하고 있는 중이지요..   하지만  보안취약점 점검을  소수의 서버만 한다는 것이 마음에 걸리더군요.. 

  그래서 MBSA로 서버 감사하는것을 자동화할 방법은 없을까 찾아보게 되었습니다.  MBSA프로그램을 설치하면 함께 제공되는 mbsacli.exe를 이용해서  배치작업을 돌리는 것이 가능하더군요… 배치작업을 돌리면  스캐닝하는 서버의 수를 크게 늘릴수가 있고 작업 시간도 빨라지게 됩니다.   사실 분석하는 것보다  스캐닝하는 시간이 대부분을 차지하기 때문에  어려움이 있었습니다.  이것을   배치작업으로 특정 공유폴더에   감사결과 report파일을 업로드하게 해두도면 시간과 노력을 크게 줄일수가 있게 되는거죠.. 

▶ MBSA의 설치

1.  일단 최신 MBSA 버전을 다운로드 받습니다.
    (OS버전에 맞는 것을 다운로드합니다 영문으로… 한글버전은 존재하지 않으니까요… )
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=b1e76bbe-71df-41e8-8b52-c871d012ba78

2. MBSA를 설치합니다.  배치작업을 편리하게 하기위해서  설치 디렉토리를 단순하게 하는것이 좋습니다.
   예) c:\mbsa2\

▶ MBSA 리포트업로드를 위한 공유폴더 생성

1.  Report 업로드를 위한 공유폴더를 생성합니다.
   예)  \\192.168.168.15\MBSA_Report\

2. 공유권한을 설정합니다. (이때 일반 사용자들은 접근이 안되도록 해야합니다.)–> 중요
    일반 사용자가 서버의 중요한 감사결과파일을 볼수있다면  정말 곤란한 노릇이지요…

▶ MBSA 리포트업로드를 위한 배치파일 생성
1.  배치파일을 작성합니다.
=====================================================
c:
cd c:\mbsa2\
mbsacli /target 127.0.0.1 /wi > \\192.168.168.15\mbsa_report\%COMPUTERNAME%-%date%.txt
 =====================================================
-> 위 배치파일은  공유폴더에  스캐닝한 컴퓨터이름과 날짜로된  report파일을 업로드하게 해줍니다.
    변수를 잘 몰라서  %hostname%을 넣고 안되어서 고민을 많이 했었습니다.
-> /wi 옵션은 모든 보안패치를 전체적으로 점검해주는 옵션입니다.
    세부 옵션은 mbsacli /? 라고 치시면 나오지요..
-> 배치파일에서 변수입력을 어떻게 받는지 연구하시면 유용한 작업을 많이 할 수있답니다.

2. 만들어진 배치파일이 잘 작동하는지 확인후에   스케쥴 작업을 걸어줍니다.
   매월 1회씩만 하면 되겠죠?  대략 20일 경에 스캐닝을 하면 좋을 것 같습니다.
  1-2일 정도 분석해서  25일내에 감사결과를 리포트로 작성해서 제출하려면 말이죠…

3. 위 과정을 다른 서버들에서도 동일하게 반복해줍니다.