.::{ xpack }::.

관련기사 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20120319091624 "PC 비밀번호 대신 키보드 입력 습관만으로 로그인할 수 있도록 하는 소프트웨어가 등장한다." 사견-----이런류의 소프트웨어를 제안도 받아보고 실제 보안성 테스트도 해본 결과, - 아이디어는 좋으나, 보안성이 그리 높지 않으며, (사용자 입력 패턴이 수집될 경우, 수집된 입력 패턴이 재생 가능하기 때문임. Replay Attack 가능) - FAR(오인식률)/FRR(오거부율) 설정 및 범위에 따라 다르긴 하겠지만, 일반적으로 FRR이 매우 높음 - 사용자가 입력하는 패턴을 검증하는 데이터가 많으면 많을수록 좋은데, 사용자 입력 패턴은 그 사람의 신체리듬, 환경 등에 따라 ..

각종 관공서 및 또는 단체에서 발표된 스마트폰 보안 가이드(안전수칙) 기준을 모아 보았네요. ()금융보안연구원 - 스마트폰 보안 고려사항 중 1. 스마트폰 시스템 보호방안 가. 플랫폼 변조여부 탐지 1-1. 변조된 플랫폼의 서비스 접근 차단 기술 적용 1-2. 어플리케이션 실행 시, 중요거래 접속시 변조 탐지절차 수행 1-3. 신규 변조기법 배포시 차단기술 업데이트 기능 나. 어플리케이션 변조 방지 1-1. 어플리케이션 소스코드 내 중요정보 제거 1-2. 변조된 어플리케이션 실행방지 방안 적용(파일 무결성 확인 등) 1-3. 어플리케이션 변조방지 방안 적용(디버깅 탐지 등 바이너리 보호 방안) 2. 이용자 중요정보 보호 방안 가. 중요 입력정보 보호 1-1. 입력정보 보호방안 적용(터치패드/키패드) 1-..

old한 자료지만... intel vpro chip에 대한 보안 취약성 내용이네요 (2009년 자료) 패치가 올라오긴 했지만, 의미 있는 문서라 생각되네요. 대충봐서 잘 모르겠지만,,, 디바이스 맵핑 테이블을 임의 리맵핑(remapping)하여 파일을 임의 코드를 삽입 할 수 있는 위협을 말하네요. 문서상으로 봤을때...DMA(Direct Memory Access)에 맵핑된 PCI PORT에 대한 억세스가 가능해 보입니다. I/O Port Access가 가능하다는 의미는, 예를 들면 키보드 장치에서 발생된 키보드 데이터 값, USB 장치에서 유입되는 각종 정보를 보안 모듈 이전에 데이터를 절취하고 가공할 수 있다는 의미이며, I/O Port를 가상화 하여도...힘들다는 것 뿐이지 불가능한 건 아닙니다. ..

OO사이트에 있는 2011년 white paper 중, 정리가 잘된 문서들을 선별해 봤습니다. (다른 좋은 문서도 있는데 상세한 테크니컬 레포트는 제외) 신기해서 넣어놨음 - A Guide to Facebook Security 좋은 문서임, 특히 오픈웹을 다룰때 유용할 듯 함 - Browser Security Comparison - A Quantitative Approach 보통, 그러나 동향 정도는 알 수 있으며, 보안QA 작업시 약간 유용할 듯 함 - Fuzzing Frameworks 일반적이긴 하나, 관점이 남다르고 구성이 괜찮음 - Hardware Involved Software Attacks 보통, 그러나 동향 정도는 알 수 있음 - TLS-SSL hardening and compatibilit..

대충 반 온거 같다. 틀린부분도 있는거 같고..일단 여기에..확장E2E..보안세션...js 무결성 서명 등등이 들어가면...@_@ 참고 1. R값이란 건 사업자번호, 개인은 주민번호를 압축 후 암호화한 값 2. 세션키란 client와 server의 세션을 유지하고 확인하기 위한 키 (통신의 개념임) (당연히 대칭키 사용, 비대칭키 쓰면 난리남) 2012.5.4 추가 > 현재 국내에서는 sha256을 사용하며, 2048bit를 사용http://m.itglobal.or.kr/m_board/m_board_view.asp?seq=3283&root_code=30020&c_type=s&board_idx=20&gotopage=1&key_value=&key_type= ◆ 주요 내용 o 미국 국립표준기술연구소(NIST)..

WPA/WPA2 PIN 평문을 얻어내는 도구가 공개되었습니다. (기사)http://threatpost.com/en_us/blogs/attack-tool-released-wps-pin-vulnerability-122911 (blog) http://www.tacnetsol.com/news/2011/12/28/cracking-wifi-protected-setup-with-reaver.html (code) https://code.google.com/p/reaver-wps/downloads/list 벌써 1.3 버전까지 개발이 된 것 같은데요. 문서에 따르면 적게는 4시간, 많게는 10시간 정도의 시간이 소요되며, 신뢰성은 약 95%를 보장한다고 합니다. 호기심이 발동하여 테스트 해봤습니다. 테스트는 BackTr..

-Android Forensics: Investigation, Analysis and Mobile Security for Google Android by Andrew Hoog -Hacker's Black Book: Important Hacking and Security Informations for Every Internet User +Linux Kernel Development (3rd Edition) [Paperback] +The Linux Programming Interface: A Linux and UNIX System Programming Handbook [Hardcover] +Mobile Application Security [Paperback] -Mobile Device Security: A..

이책을 강력추천드리고 싶습니다. 출간된지 10년이 훌쩍 넘은것 같습니다만...이만한 책이 없는것 같습니다. 오래된 책이라 e-book이 없구요. 제가 고이 모시고 있는 책 중에 하나이지요. The Undocumented PC: A Programmer's Guide to I/O, CPUs, and Fixed Memory Areas (2nd Edition)

다른 자료 찾다 우연히 발견한 건데요. 2011.2.28 발간된 "Guide to the Secure Configuration of Red Hat Enterprise Linux 5 " 입니다. 우리나라 IT 기술은 유행에 너무 민간하죠. 그래서 인기없었던 플랫폼이 어떤 계기로 다시 인기를 끌게 되면 관련 엔지니어를 수배하느라 정신없지요. 10년전쯤만 해도 linux 전문가 꽤 많았습니다. 그런제 지금? 글쎄요...그렇게 많지 않아요. 더욱이 linux 보안 전문가는 거의 씨가 말랐다고 봐야 합니다. 제 주위에 linux 잘 한다 하는 친구들 2~3명 밖에 없습니다.(제가 인맥이 짧은것일 수도....;;;;;) 그런데 요즘 모바일플랫폼이 linux kernel을 사용하면서 다시 linux 쪽을 공부하는 친..

(출처! : http://blog.naver.com/jspking?Redirect=Log&logNo=20121992546) 음영 처리된 2부분이 필요합니다. 실행방법은... am start -a android.intent.action.MAIN -n ex.ex/ex.ex.ExActivity 이렇게 하면 됩니다. 프로세스 종료는 stop 명령을 이용하던지 아니면 프로세스를 강제로 죽여도 되겠죠.