Basaaja ( 바사아자 닷컴 )

 옥션 사건의 여파인지는 모르겠지만 홈페이지 상의 아이디 / 비밀번호 찾기를 이용한

무작위 대입 후 패스워드 추출 공격이 증가하고 있다고 합니다. 즉 입수한 실명과

주민등록 번호로 아이디 찾기를 통하여 아이디를 알아 낸 후 또 알아낸 아이디를 통해서

비밀번호까지 알아 내는것이죠. 일종의 툴을 이용한 공격 같은데, 웹서버 로그등을

보시면 해당 페이지들이 여러번 로드 된 로그를 확인 하실 수 있을겁니다.


 예상 시나리오도 생각해볼 수 있는데, 타겟인물의 주민등록번호와 실명을 알고 있으면

사실상 비밀번호 알아내는것은 쉬울 수도 있습니다. 컴퓨터에 익숙하지 않으신분들은

하나의 비밀번호만 사용하는 경향이 있는데, 공격자가 타겟의 한메일 계정 내용을 탈취하고

싶다면 미리 입수한 실명과 주민등록번호로 타겟이 이용하는 다른 사이트의 아이디 비밀번호

찾기를 이용해서 (몇몇 사이트들은 주민등록 번호만 알면 아이디,비밀번호를 그냥 노출 하는

곳들이 있다죠 @_@ ) 아이디와 비밀번호를 알아 낸 후에 한메일에 로그인 하는 것도 가능

하다는 것이죠.

 시스템 관리자나 웹 개발자 분들은, 아이디 비밀번호 찾기란에 특정 이미지의 숫자를 사용

자가 직접 입력하게 한다던가, 아니면 특정 IP에서 몇회 이상은 아이디 비밀번호 찾기를

못하게 한더던지 하는 대책을 세워 툴을 이용한 대입 공격을 못하게 조취를 하는게

좋을듯합니다.

(저희 회사는 아이디/비밀번호 찾기에서 결과를 SMS로 알려주는데, 이 공격에 당하니깐

SMS 비용이 발생 되더군요 ㅠㅠ.)

 

심심해서 끄적 끄적 적어보는 모의 국방부 해킹하기.

우선 군대 내부의 공모자가 한명있어야 한다. 그의 임무는 무선 USB AP를 국방부 인트라넷

에 연결 시키기. 그냥 켜져있는 컴퓨터에 무선 USB AP를 꼽기만 하면 된다. 자 이제 시작해

볼까. 군부대 밖에 차량을 주차한다. 물론 우선 꼽아 놓은 무선 USB AP가 탐지가 되는 곳이

어야 한다. 자 이제 무선 인터넷 셋팅을 끝내고 국방부 홈페이지에 접속을 한다. 여기 저기

관련 사이트 돌아 다니면 상당수의 웹사이트 버그를 발견할 수 있다. 실제로 나는 국방부의

한 관련 사이트에서 SQL INJECTION 버그를 발견할 수 있었다. 그때 내가 건질 수 있는

데이터는 모든 군인들의 현 부대 위치와 전화번호등(간부급이상) 보안에 관련된 정보들이

였다. 물론 건들진 않았다. 자 이제 사단 이하 급 사이트들을 돌아 다녀 볼까? 여기저기

제로보드를 쓴 흔적들이 보인다. 물론 버전업이 안된채로 관리 되고 있는 홈페이지들.

파일 업로드를 이용한 해킹이 충분히 가능해 보인다. 그런데 해킹을 해서 얻을 수 있는것은?

해킹한 서버에서 얻을 수 있는것은 없을 것이다. 기껏해야 게시판 몇개 정도 있는곳에서

무슨 정보를 알아 낼 수 있겠는가. 중요한 것은 인트라넷에 연결된 하나의 서버를 점령하는

것 만으로도 실력있는 해커라면 국방망 해킹도 가능할 것이라는 것이다. 물론 국방부는

어렵다 치더라도, 이하 사단 아래의 부대들은 그리 어렵지 않을 것이다. 도전 해보실 분들은

해봐라 ! 헌병대에서 당신을 기다리고 있을 것이다 !