2015년 8월 26일 수요일

Snort 분석(DELETED WEB-IIS header field buffer overflow attempt)

지난 글에서 Snort가 버린 룰들을 재활용하는 과정을 소개했었는데, 특정 로그가 얼씨구나 발생하기 시작했다. 해당 로그를 발생시킨 룰의 상세 내역은 다음과 같다.

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS 
(msg:"DELETED WEB-IIS header field buffer overflow attempt"; 
flow:to_server,established; 
content:"|3A|"; 
content:"|0A|"; 
content:"|00|"; 
reference:bugtraq,4476; reference:cve,2002-0150; classtype:web-application-attack; sid:1768; rev:8;)

관련 취약점 정보들이 있지만 공격의 특징을 알기에는 좀 부실한 듯하다. 예전엔 snort.org에서 룰 추가 정보를 검색할 수 있었는데, cisco 인수 이후로 mysql 직접 연동도 안되고 이래저래 불편.

2015년 8월 24일 월요일

엘리트 정보보안

추억의 람보 형님
어릴 때 람보를 보고 그런 상상을 했었다. 전 국민이 람보라면 단숨에 북한 때려부수고 독도를 자꾸 자기네 땅이라 우기는 일본도 혼쭐을 내줄텐데(..)

전 국민이 람보가 될 수 있는지는 둘째치고, 과연 그랬다면 우리의 소원인 통일이 진작에 이뤄졌을까?

람보는 주요 시설을 파괴하거나 요충지 점거 등을 수행하는, 한마디로 '특수'한 임무를 수행하는 특수부대 출신이다.

그러나 '특수부대 사전 침투 > 대규모 공습 > 지상군 투입' 순으로 이루어진 이라크 전에서 알 수 있듯이 특수부대만으로는 전쟁을 수행할 수 없다.

더 설명이 필요할까마는 굳이 이유를 달자면 특수부대는 공격 전력의 일부분일 뿐이며, 공격만큼이나 방어 역시 전쟁에서 반드시 필요한 개념이기 때문. 아니었음 휴전선 지킬 자원으로 특수부대 늘렸겠지.

2015년 8월 20일 목요일

정보보호 패배주의?

구조적인 문제를 안고 있지 않은 조직이나 사회는 없으며, 상충하는 이해관계와 위계로 인해 그 해결은 지독히 어려울 수 밖에 없다.

결국 많은 조직은 언제 끝날지 알 수 없는 구조 개혁을 시도하는 것 보다는, 간편하다는 이유만으로 구조 문제를 개인 문제로 희석하면서 희생과 노력을 주문하는 선택을 하게 된다.

사상 최악이라는 청년 실업난 속에서 외국어 잘 하고, 전공 실력 출중한, 이른바 건국 이래 최고 스펙을 가졌다는 젊은이들의 '나약함'을 지적하는 현 세태는 그런 간편한 선택의 결과.

2015년 8월 16일 일요일

Snort 분석(deleted.rules)

Snort 룰 경로(C:\Snort\rules)를 보면 'deleted.rules' 란 파일이 있다. 오래된 취약점 등 위험이 없다고 판단되어 비활성화된 룰.


2015년 8월 9일 일요일

좋아하는 일을 한다는 것



'지식소매상'을 자처하는 유시민씨가 대학생들에게 전하는 말. 사실 (성공했다는) 많은 사람들이 비슷한 얘기, 좋아하는 일을 하라고 얘기한다.

크리에이티브 커먼즈 라이선스