전체 글 썸네일형 리스트형 망중립성(network neutrality) 출처 및 참고 : http://hibssaki.blogspot.kr/2013/03/blog-post.html 더보기 토르(Tor) 네트워크 토르(Tor)는 온라인 상에서의 익명을 보장하고 검열을 피할 수 있게 해주는 자유 소프트웨어로 미국 해군 연구소에서 최초로 시작하여 현재는 EFF 프로젝트에서 관리되고 있다. EFF는 2005년 11월까지 Tor를 재정적으로 지원하였고, 현재도 웹 호스팅을 지원하고 있다. 토르는 트래픽 분석 공격으로부터 보호해 주며, 양파 라우터를 거쳐서 네트워크를 사용한다. 나가는 연결이 익명으로 처리되며, 숨겨진 서비스를 사용할 수 있다. 토르(TOR, The Onion Routing)는 네트워크 노드를 거칠 때마다 마치 양파처럼 데이터를 계속 암호화해 전송하는 기술이다. 트래픽 추적을 불가능하게 하여 네트워크상의 익명성을 보장할 수 있다. 미국 해군 연구소에서 시작해 현재는 전자프런티어재단(EFF)에서 관리하는 무.. 더보기 FIDO(Fast Identity Online) 삼성전자, 구글, 마이크로소프트 등 200여개 글로벌 기업들은 FIDO 연합체를 꾸리고 온라인 환경에서도 생체인식 기술을 활용한 안전하게 인증할 수 있는 ‘국제 인증 기술 표준 FIDO 1.0’을 2014년 12월 발표했다. FIDO(Fast Identity Online)는 아이디와 비밀번호 조합 대신 지문, 홍채, 얼굴 인식, 목소리, 정맥 등을 활용한 새로운 인증 시스템이다. 사용자가 잊을래야 잊을 수 없는 생체 정보를 활용한다. 기존 생체 인증에서 단점으로 지적된 안정성을 확보하기 위해 인증 프로토콜과 인증수단을 분리해 보안과 편리성을 챙겼다. FIDO 표준은 2가지 프로토콜을 제안하고 있다. 첫 번째는 UAF(Universal Authentication Framework) 프로토콜로, 사용자 기기.. 더보기 시도응답(challenge-response) 시도-응답 인증(challenge-Response Authentication) 기존 ID+PW 방식은 재전송 공격에 취약하다. challenge-Response Authentication은 이런 취약점을 보완하기 위해 대칭기 비반의 소지기반 보안을 추가한 인증 방법이다. challenge-Response Authentication에서 중요한 개념은 일회성 인증이다. 인행의 시크리트 카드보다 OTP가 보안성이 훨씬 좋은 것과 같은 맥락이다. 사용자가 인증을 원할 경우 서버에선 사용자에게 일회성 Challenge를 보낸다. 사용자는 이를 비밀키로 암호화하여 서버에 Response한다. Challenge는 일회성으로 난수로 예측할 수 없고 매번 다른 값으로 바뀌어야 한다. 이런 방식이라면 해커가 중간에 Res.. 더보기 크라임웨어 [Crimeware] 크라임웨어 개인정보 유출, 피싱 등 온라인 범죄행위를 용이하게 하는 소프트웨어, 크라임웨어 온라인상에서 불법활동을 조장하기 위해 만들어진 컴퓨터 프로그램. 공격용 툴킷이라고 불리며 보통 취약점을 이용하도록 미리 프로그램된 악성코드 등으로 구성돼, 원하는 형태로 공격을 감행하거나 공격을 자동화할 수 있다. 인터넷에서 곧바로 사용할 수 있으며 키로거를 은밀히 설치해 불법적으로 정보를 수집해 가는 경우도 있다. 더보기 워너크라이(WannaCry) 사용자의 중요 파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 랜섬웨어의 일종이다. 2016년 미국국가안보국(NSA)이 도난당한 해킹툴을 활용한 것이 특징이다. 2017년 5월 12일에 배포되기 시작해 순식간에 전세계 100여개국으로 확산되는 등역사상 전례가 없는 최악의 해킹으로 간주되고 있다. 워너크라이는 마이크로소프트(MS) 윈도 운영체제의 취약점을 파고들어 중요 파일을 암호화한 뒤 파일을 복구하는 조건으로 300∼600달러(한화 34만∼68만원)에 해당하는 비트코인(가상화폐)을 요구하고 있다. *전파 경로 및 배후 워너크라이는 인터넷 네트워크에 접속만 해도 감염된다. 윈도 파일 공유에 사용되는 서버 메시지 블록(SMB) 원격코드의 취약점을 악용해 네트워크를 통해 유포되기 때문에 취약한 컴퓨터는.. 더보기 OWASP Top10 2017 (2013 과 2017 비교) (변화된 내용 출처 : http://blog.naver.com/renucs/220981325968) A1. 익젝션 ○ 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부로 보내질때 발생하는 취약점 - SQL, LDAP, XPath, SSI 인젝션 A2. 인증 및 세션관리 취약점 ○ 취약한 암호, 키 또는 세션 토큰을 제공하여 다른 사용자의 권한이 노출되는 취약점 - 세션 예측, 불충분한 세션만료, 세션고정, 쿠기변조 A3. 크로스 사이트 스크립팅 ○ 적절한 유효성 검사 또는 이스케이프 처리 부재로 악의적인 스크립트를 삽입할 수 있는 취약점 - 악성콘텐츠, 크로스사이트스크립팅 A4. 취약한 접근 제어 ○ 인증된 사용자만이 수행할 수 있는 기능에 권한 제한이 부재하여 기능 조작이 .. 더보기 양자암호통신(Quantum) 양자암호화란? 양자암호학에는 두가지 채널이 사용된다. 광자 하나하나에 신호를 실어 보내서 통신하는 양자채널(quantum channel)과 기존의 통신망을 활용하는 퍼블릭채널(public channel)이 있다. 퍼블릭채널은 일반적으로 기존의 TCP/IP 프로토콜을 활용한다. 1984년 C. H. Bennet과 G. Brassard가 양자암호에 대한 논문을 발표하면서 같이 제안한 양자암호 통신 프로토콜이다. 송신자(엘리스)와 수신자(밥) 사이에 OTP를 생성하는 프로토콜이며, 표와 같이 0비트의 상태를 나타내는 편광 2가지와 1비트의 상태를 나타내는 편광 2가지를 정의 한 다음 십자필터와 대각필터를 통해 측정하게 된다. 이 프로토콜을 통해 엘리스와 밥은 임의의 난수를 생성할 수 있으며, 중간에 도청자(이.. 더보기 이전 1 ··· 6 7 8 9 10 11 12 ··· 17 다음
