2016.08.03

블랙햇 컨퍼런스 2016에서 선보이는 무료 보안 도구 9가지

Tim Greene | Network World
블랙햇에 참석할 몇몇 전문가가 해킹 방법을 시연하고 자신이 사용했던 도구를 소개할 예정이다.



미국 라스베가스 7월 30일부터 8월 4일까지 개최되는 블랙햇(Black Hat) 컨퍼런스에서 방어와 취약점 공격에 사용되는 여러 도구들이 소개될 예정이다. 다음은 보안 교육의 자료 일부와 무료 도구를 소개한 내용이다.

HTTP/2 & QUIC - 나쁜 일을 할 수 있는 좋은 프로토콜을 교육
- 발표자: 시스코 수석 보안 컨설턴트 칼 빈센트와 캐더린 피어스

이 두 전문가는 다중화 연결(Multiplex connections)에 이용되는 웹 프로토콜 2종인 HTTP/2와 QUIC를 다룬다. 두 사람은 데자뷔를 경험했다고 말했다. 두 프로토콜에서 발견한 취약점이 2년전 멀티패스 TCP(MPTCP)에서 발견한 취약점과 유사하기 때문이다.

당시 두 사람은 MPTCP가 세션 동안 경로와 엔드포인트를 변경시켜, 트래픽을 안전하게 만들기 힘들며, 이로 인해 침해 위험이 발생한다는 점을 발견했었다.

강연 설명문에 따르면, 이 강연은 MPTCP 외의 멀티플렉싱 공격을 다루며, 이들 기법을 QUIC 및 HTTP/2에 이용하는 방법, 네트워크에서 H2/QUIC 트래픽에 대한 공격을 방어하는 방법을 소개한다. 두 사람은 이 기법과 관련된 도구들을 제공할 계획이다.

머신러닝을 이용해 데이터를 유출하는 방법과 기타 흥미로운 소재
- 발표자: 실란스(Cylance)의 수석 보안 연구원 브라이언 월레스와 최고 데이터 사이언티스트 매트 울프, 데이터 사이언티스트 슈안 자오

이 팀은 머신러닝을 보안 데이터에 적용, 애널리스트들이 네트워크가 실제 사고에 직면했는지 결정을 내릴 수 있도록 돕는다. 이들은 머신러닝에 대한 이해가 부족하면 문제를 분석할 때 불리하다고 설명한다.

이들은 강연 설명문에서 "우리는 개념에서 일부 다양한 보안 관련 문제에 효과가 있는 도구 등 전체 파이프라인을 다룰 예정이다. 머신러닝과 관련된 공격 및 방어 사례도 포함된다고 밝혔다.

이들은 연구에 이용한 데이터 세트, 소스 코드, 도구 일체를 공개할 계획이다. 데이터 유출용 난독화 도구, 네트워크 매핑 도구, C&C 패널 식별 모듈도 포함되어 있다.

GATTacking 블루투스 스마트 장치 - 새 BLE 프록시 도구 소개
- 발표자: 시큐링(SecuRing)의 IT 보안 컨설턴트 슬로미르 자세크

BLE(Bluetooth Low Energy)를 이용하는 사물인터넷 장치가 많이 보급되고 있지만, 이 기술의 보안 기능이 전달하는 이점을 십분 활용하지 못하는 경우가 많다.

슬로미르 자세크는 강연 설명문에서 "이런 메카니즘을 이용하지 않는 장치가 놀랄 만큼 많다(활용 상황때문에 이용할 수 없는 경우 포함). 대신 IoT 장치와 휴대폰 같은 제어 장치간 통신 보호에 고수준의 GATT(Generic Attribute) 프로필이 제공하는 보안을 이용한다"고 말했다. 자세크는 쉽게 IoT 장치를 가장하고, 스마트폰을 속여 연결한 후, MITM(중간자) 공격을 준비한다고 설명했다.

자세크는 설명문에서 "BLE 통신을 가로채는 방법으로 수행할 수 있는 공격이 정말 많다"고 강조했다. 그는 IoT 장치 익스플로잇, 리버싱, 디버깅에 새로운 '장'을 열 BLE MITM 프록시 도구를 공개할 계획이다.

보안 침입 테스트: 학습 자료와 도구의 취약점
- 발표자: HORNE 사이버의 사이버 운영 담당 책임자 웨슬리 맥그루

웨슬리 맥그루 발표자에 따르면, 침입 테스트 담당자는 널리 사용되는 자료로 배우는 데 고객 데이터 보호와 침입 테스트 절차가 잘못된 자료가 많다.

맥그루는 "악의적인 위협을 초래하는 행위자가 유리한 위치에서 공격을 수행하고, 테스트 담당자를 위태롭게 만들 수 있다. 현재 관행을 감안하면, 아주 쉽게 큰 영향을 초래할 수 있다"고 설명했다. 맥그루는 테스트 담당자의 절차를 가로채는 기법을 시연하고, 여기에 이용한 도구들을 공개할 계획이다.

주차장 등에 USB 드라이브를 놓고 가는 방법이 진짜 효과가 있을까?
- 발표자: 구글의 Anti-fraud 및 Abuse 조사 책임자 엘리 버스차인

주차장에 USB 플래시 메모리 카드를 떨어뜨리면, 누군가 집어들고 집으로 가서, 이를 컴퓨터에 연결할 확률이 높다. 버스차인은 한 주차장에 USB 메모리 카드 300개를 방치하는 테스트를 했다. 이를 집어 든 사람이 98%, 컴퓨터에 연결해 열어본 사람이 48%에 달했다. 버스차인은 사람들이 USB 메모리 카드를 집어드는 이유를 분석해 설명하고, 이런 공격을 경감할 수 있는 도구들을 공개할 예정이다.

압축 해제 폭탄 공격: 압축 알고리즘 무기화 캐시 감사
- 발표자: NCC 그룹의 수석 보안 컨설턴트 카라 마리

압축 해제 폭탄(Decompression bomb) 공격에는 압축이 해제됐을 때, 특정 애플리케이션과 연동되어 충돌을 일으키는 특별하게 제작된 압축 아카이브 파일이 이용된다.

그러나 모든 알고리즘이 이런 작업에 동등하게 적합한 것은 아니다. 마리는 많은 알고리즘을 감사했다. 폭탄 생성에 가장 적합한 알고리즘을 찾기 위해서이다. 그리고 컨퍼런스 동안 이를 공개할 계획이다. 연구원들은 이를 애플리케이션의 취약점 테스트에 이용할 수 있다.

취약점 직렬화 해제로 자바 메시징을 푸닝(Pwning)
- 발표자: 코드 화이트(Code White)의 취약점 연구 책임자 매티어스 카이저

자바 환경의 메시징은 객체를 여러 바이트로 변환하는 직렬화(Serialization)를 이용한다. 비직렬화(직렬 해제)란 이를 다시 객체로 변환시키는 것이다.

자바 비직렬화 익스플로잇이 계속 발전하고 있다. 자바 메시징을 이용하는 애플리케이션을 공격할 수 있을 정도다. 카이저는 취약한 기술 구현에 대해 설명하고, 사용자가 이런 시스템을 찾고, 익스플로잇 할 수 있는 자바 메시징 익스플로잇(Java Messaging Exploitation) 도구를 공개할 예정이다.

비밀번호를 제거하기 전에 사용자를 제거하는 액세스 키
- 발표자: 로이크 사이먼

발표자인 로이크 사이먼(Loic Simon)에 따르면, 아마존 웹 서비스에 이용되는 키를 암호화 하지 않은 상태로 저장하고, 개발자들이 이를 공유하면서 보안 취약점이 발생하는 사례가 많다.

일부 사용자가 번거로움 때문에 이용을 꺼리는 이중 인증을 이용해 이런 문제를 해결할 수 있다. 사이몬은 이용하고 있는 인증 방법에 상관 없이 다중 인증을 이용하는 방법을 소개하고, AWS 계정에서 의무 다중 인증 API 액세스를 제공할 수 있는 도구들을 공개할 계획이다.

동영상 변환 도구의 SSFR 익스플로잇 공격
- 발표자: Mail.ru 그룹의 소프트웨어 개발자인 맥심 안드레브와 보안 애널리스트인 니콜라이 에르민슈킨

무료 FFmpeg 라이브러리에는 다른 파일 링크 연결 등 플레이리스트 변환 기능을 비롯해 많은 멀티미디어 형식 변환 도구가 들어 있다. 이 강연은 이런 플레이리스트 처리 때, 서버 요청을 위조해 공격하는 방법에 대해 설명한다.

또 클라우드 기반 서버를 대상으로 하는 SSRF가 아마존 웹 서비스, 페이스북, 텔레그램, 마이크로소프트 애저, 플리커, 트위터 서비스, Imgur 등에 액세스할 수 있도록 만드는 과정을 설명한다. 발표자들은 이런 취약점을 감지 또는 익스플로잇 할 수 있는 도구를 공개할 계획이다. editor@itworld.co.kr



2016.08.03

블랙햇 컨퍼런스 2016에서 선보이는 무료 보안 도구 9가지

Tim Greene | Network World
블랙햇에 참석할 몇몇 전문가가 해킹 방법을 시연하고 자신이 사용했던 도구를 소개할 예정이다.



미국 라스베가스 7월 30일부터 8월 4일까지 개최되는 블랙햇(Black Hat) 컨퍼런스에서 방어와 취약점 공격에 사용되는 여러 도구들이 소개될 예정이다. 다음은 보안 교육의 자료 일부와 무료 도구를 소개한 내용이다.

HTTP/2 & QUIC - 나쁜 일을 할 수 있는 좋은 프로토콜을 교육
- 발표자: 시스코 수석 보안 컨설턴트 칼 빈센트와 캐더린 피어스

이 두 전문가는 다중화 연결(Multiplex connections)에 이용되는 웹 프로토콜 2종인 HTTP/2와 QUIC를 다룬다. 두 사람은 데자뷔를 경험했다고 말했다. 두 프로토콜에서 발견한 취약점이 2년전 멀티패스 TCP(MPTCP)에서 발견한 취약점과 유사하기 때문이다.

당시 두 사람은 MPTCP가 세션 동안 경로와 엔드포인트를 변경시켜, 트래픽을 안전하게 만들기 힘들며, 이로 인해 침해 위험이 발생한다는 점을 발견했었다.

강연 설명문에 따르면, 이 강연은 MPTCP 외의 멀티플렉싱 공격을 다루며, 이들 기법을 QUIC 및 HTTP/2에 이용하는 방법, 네트워크에서 H2/QUIC 트래픽에 대한 공격을 방어하는 방법을 소개한다. 두 사람은 이 기법과 관련된 도구들을 제공할 계획이다.

머신러닝을 이용해 데이터를 유출하는 방법과 기타 흥미로운 소재
- 발표자: 실란스(Cylance)의 수석 보안 연구원 브라이언 월레스와 최고 데이터 사이언티스트 매트 울프, 데이터 사이언티스트 슈안 자오

이 팀은 머신러닝을 보안 데이터에 적용, 애널리스트들이 네트워크가 실제 사고에 직면했는지 결정을 내릴 수 있도록 돕는다. 이들은 머신러닝에 대한 이해가 부족하면 문제를 분석할 때 불리하다고 설명한다.

이들은 강연 설명문에서 "우리는 개념에서 일부 다양한 보안 관련 문제에 효과가 있는 도구 등 전체 파이프라인을 다룰 예정이다. 머신러닝과 관련된 공격 및 방어 사례도 포함된다고 밝혔다.

이들은 연구에 이용한 데이터 세트, 소스 코드, 도구 일체를 공개할 계획이다. 데이터 유출용 난독화 도구, 네트워크 매핑 도구, C&C 패널 식별 모듈도 포함되어 있다.

GATTacking 블루투스 스마트 장치 - 새 BLE 프록시 도구 소개
- 발표자: 시큐링(SecuRing)의 IT 보안 컨설턴트 슬로미르 자세크

BLE(Bluetooth Low Energy)를 이용하는 사물인터넷 장치가 많이 보급되고 있지만, 이 기술의 보안 기능이 전달하는 이점을 십분 활용하지 못하는 경우가 많다.

슬로미르 자세크는 강연 설명문에서 "이런 메카니즘을 이용하지 않는 장치가 놀랄 만큼 많다(활용 상황때문에 이용할 수 없는 경우 포함). 대신 IoT 장치와 휴대폰 같은 제어 장치간 통신 보호에 고수준의 GATT(Generic Attribute) 프로필이 제공하는 보안을 이용한다"고 말했다. 자세크는 쉽게 IoT 장치를 가장하고, 스마트폰을 속여 연결한 후, MITM(중간자) 공격을 준비한다고 설명했다.

자세크는 설명문에서 "BLE 통신을 가로채는 방법으로 수행할 수 있는 공격이 정말 많다"고 강조했다. 그는 IoT 장치 익스플로잇, 리버싱, 디버깅에 새로운 '장'을 열 BLE MITM 프록시 도구를 공개할 계획이다.

보안 침입 테스트: 학습 자료와 도구의 취약점
- 발표자: HORNE 사이버의 사이버 운영 담당 책임자 웨슬리 맥그루

웨슬리 맥그루 발표자에 따르면, 침입 테스트 담당자는 널리 사용되는 자료로 배우는 데 고객 데이터 보호와 침입 테스트 절차가 잘못된 자료가 많다.

맥그루는 "악의적인 위협을 초래하는 행위자가 유리한 위치에서 공격을 수행하고, 테스트 담당자를 위태롭게 만들 수 있다. 현재 관행을 감안하면, 아주 쉽게 큰 영향을 초래할 수 있다"고 설명했다. 맥그루는 테스트 담당자의 절차를 가로채는 기법을 시연하고, 여기에 이용한 도구들을 공개할 계획이다.

주차장 등에 USB 드라이브를 놓고 가는 방법이 진짜 효과가 있을까?
- 발표자: 구글의 Anti-fraud 및 Abuse 조사 책임자 엘리 버스차인

주차장에 USB 플래시 메모리 카드를 떨어뜨리면, 누군가 집어들고 집으로 가서, 이를 컴퓨터에 연결할 확률이 높다. 버스차인은 한 주차장에 USB 메모리 카드 300개를 방치하는 테스트를 했다. 이를 집어 든 사람이 98%, 컴퓨터에 연결해 열어본 사람이 48%에 달했다. 버스차인은 사람들이 USB 메모리 카드를 집어드는 이유를 분석해 설명하고, 이런 공격을 경감할 수 있는 도구들을 공개할 예정이다.

압축 해제 폭탄 공격: 압축 알고리즘 무기화 캐시 감사
- 발표자: NCC 그룹의 수석 보안 컨설턴트 카라 마리

압축 해제 폭탄(Decompression bomb) 공격에는 압축이 해제됐을 때, 특정 애플리케이션과 연동되어 충돌을 일으키는 특별하게 제작된 압축 아카이브 파일이 이용된다.

그러나 모든 알고리즘이 이런 작업에 동등하게 적합한 것은 아니다. 마리는 많은 알고리즘을 감사했다. 폭탄 생성에 가장 적합한 알고리즘을 찾기 위해서이다. 그리고 컨퍼런스 동안 이를 공개할 계획이다. 연구원들은 이를 애플리케이션의 취약점 테스트에 이용할 수 있다.

취약점 직렬화 해제로 자바 메시징을 푸닝(Pwning)
- 발표자: 코드 화이트(Code White)의 취약점 연구 책임자 매티어스 카이저

자바 환경의 메시징은 객체를 여러 바이트로 변환하는 직렬화(Serialization)를 이용한다. 비직렬화(직렬 해제)란 이를 다시 객체로 변환시키는 것이다.

자바 비직렬화 익스플로잇이 계속 발전하고 있다. 자바 메시징을 이용하는 애플리케이션을 공격할 수 있을 정도다. 카이저는 취약한 기술 구현에 대해 설명하고, 사용자가 이런 시스템을 찾고, 익스플로잇 할 수 있는 자바 메시징 익스플로잇(Java Messaging Exploitation) 도구를 공개할 예정이다.

비밀번호를 제거하기 전에 사용자를 제거하는 액세스 키
- 발표자: 로이크 사이먼

발표자인 로이크 사이먼(Loic Simon)에 따르면, 아마존 웹 서비스에 이용되는 키를 암호화 하지 않은 상태로 저장하고, 개발자들이 이를 공유하면서 보안 취약점이 발생하는 사례가 많다.

일부 사용자가 번거로움 때문에 이용을 꺼리는 이중 인증을 이용해 이런 문제를 해결할 수 있다. 사이몬은 이용하고 있는 인증 방법에 상관 없이 다중 인증을 이용하는 방법을 소개하고, AWS 계정에서 의무 다중 인증 API 액세스를 제공할 수 있는 도구들을 공개할 계획이다.

동영상 변환 도구의 SSFR 익스플로잇 공격
- 발표자: Mail.ru 그룹의 소프트웨어 개발자인 맥심 안드레브와 보안 애널리스트인 니콜라이 에르민슈킨

무료 FFmpeg 라이브러리에는 다른 파일 링크 연결 등 플레이리스트 변환 기능을 비롯해 많은 멀티미디어 형식 변환 도구가 들어 있다. 이 강연은 이런 플레이리스트 처리 때, 서버 요청을 위조해 공격하는 방법에 대해 설명한다.

또 클라우드 기반 서버를 대상으로 하는 SSRF가 아마존 웹 서비스, 페이스북, 텔레그램, 마이크로소프트 애저, 플리커, 트위터 서비스, Imgur 등에 액세스할 수 있도록 만드는 과정을 설명한다. 발표자들은 이런 취약점을 감지 또는 익스플로잇 할 수 있는 도구를 공개할 계획이다. editor@itworld.co.kr

X