Tech/Hacking
Android Security - 안드로이드 취약점 진단
안드로이드 앱 개발에서 취약점을 진단하고 공부합니다. 물리적(실제) 디바이스를 통한 안드로이드 앱 취약점 진단 연습을 진행하였다. 이 글은 제가 이 책을 보면서 실제 경험하고 책에 나온 사례들을 진행하면서 겪은 것과 어려움과 느낀점을 적고, 훗날 앱 보안진단을 할 때 참고하고자 기록합니다. apk 파일을 추출하는 방법 - apk extractor 앱을 통해서 앱을 받아낸다. - 이후, apk 파일을 pc에 연결해서 복사해서 가져온다. - apk파일을 java -jar apktool 을 통해서 파일형식으로 풀어준다. - 이렇게 하면 내부 파일을 볼수는 있지만, 딱히 형태를 구분하고 분석하기는 힘들다.(아직은) 준비 1. 디바이스를 컴퓨터와 연동한다. (개발자 모드 상태) 일단, 에뮬레이터든 실제 디바이스든..
![[보안] e프라이버시 클린서비스 :: 가입한 적이 없는데?](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FMCVmV%2FbtqE41TvVs6%2FLTCJhNXgsxhplpL4q7As2k%2Fimg.png)
[보안] e프라이버시 클린서비스 :: 가입한 적이 없는데?
가입한 적이 없는데, 메일이 오거나 문자가 오나요? 너튜브 영상을 보다 좋은 영상을 발견하여 글을 쓰게 되었습니다. 개인정보 보호에 관한 내용이었습니다. 앱과 웹이 활성화 되어있는 세상 속에서 우리는 살고 있습니다. 수많은 로그인, 회원가입 버튼을 누르며 살고 있죠. 오죽하면, 핸드폰에 암호를 기록해주는 공간이 생기고, 웹상에서도 내 아이디와 비밀번호를 대신 기억해줍니다. 수많은 로그인 정보가 있기 때문에, 기억을 못할 정도죠. 이러한 행위가 많아지면, 내 개인정보가 잘 보호되고 있는지 조차 확인이 불가합니다. 혹여나 누군가 내 개인정보를 알고 있어서 도용하거나 사용할 수도 있죠. 이러한 불안감을 조금이나마 완화하고 확인하는 습관을 들일 수 있는 방안이 있습니다. 바로 e프라이버시 클린 서비스입니다. 이..
#Security :: 북한 해킹 공격 활성화(20.08.04 작성)
북한 해킹 공격 활성화 , 앞으로 대규모 공격 예상 ? 서론 많은 사람들이 알다시피, 뉴스에서 요즘 북한의 개성 연락사무소 폭파 사건이 시끄럽다. 개인적으론, 이러한 상황이 북한의 쇼라고 생각하지만 한편으로는 현재 북한의 상황이 안정적이지 않다는 것을 입증한다고 생각한다. 북한의 자금 조달 수단은 2000년대에 비하면 많이 줄어든 것은 명백한 사실이다. 이를 충당하기 위한 수단 또한 다양해지고 과감해지기 시작했다는 것은 당연한 것으로 보인다. 예전부터 북한의 해킹 공격과 대규모 집단화는 잘 알려져있다. 최근 북한의 해킹 공격이 자주 뉴스에 오르기 시작했다. 이러한 북한의 해킹 공격의 방식과 그 대책에 대해 간략하게나마 정리하려 한다. 본론 먼저, 북한의 해킹 그룹 라자루스가 주동 집단으로 추정되고 있는듯..
![[보안] 공인 인증서 폐지 :: 사설 인증 시장의 시작](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbJqwi5%2FbtqEoTINLf3%2FHyKAOkHHxe3Yqo2wazzegk%2Fimg.png)
[보안] 공인 인증서 폐지 :: 사설 인증 시장의 시작
공인인증서의 폐지, 인증서 시장의 전쟁의 서막 공인 인증서의 지옥에서 드디어 벗어난다. 보안에 대해 공부를 하는 현재로 봤을때, 공인인증서는 오히려 보안에 취약하다. 굳이 보안 공부를 안하여도, 사용자라면 공인 인증서의 실효성에 대해 의문을 가지고 있다. 물론, 기업들과 정부도 이것을 인지하고 있었고, 2018년에 발의된 공인인증서 폐지 법안은 2년이 지난 2020년에 들어서 통과 되었다. 전자서명법 국회 본회의 통과...‘사설인증서’의 시대 온다 [속보] 전자서명법 국회 본회의 통과...‘사설인증서’의 시대 온다 지난 3월 5일 국회 과학기술정보방송통신위원회를 통과했던 ‘전자서명법 전부개정안’이 76일만인 5월 20일, 20대 국회 법제사법위원회와 국회 본회의를 통과했다. 이로서 2018년 3월 발의된..
해킹사회를 읽으며...05
해킹사회 찰스 아서 미래의 창 이 글 포스팅은 해킹사회라는 책을 읽고 생각과 내용을 요약 정리하는 글입니다. 자세한 내용은 책을 구매 혹은 대여하여 보시기 바랍니다. ^^ 구매 참고: (http://www.yes24.com/Product/Goods/71962870) 이 챕터의 목차 1. 의심스러운 보안 2. 업그레이드 중단 3. 용의자의 세계 4. 컴퓨터와 맞서다 5. 마이애미 한탕 6. 실마리를 찾다 7. 전문가의 한계 이번 챕터에서는 TJX 와이파이 해킹에 대해서 다루고 있습니다. 2007년 1월 미국의 대형 의류체인 TJX는 알 수 없는 컴퓨터 시스템 공격으로 고객 정보가 유출되는 사건이 발생합니다. TJX 이용 고객의 결제 카드 데이터를 포함한 최소 약 9,400만 건의 개인정보가 도난 당한 것입..
해킹사회를 읽으며...04
해킹사회 찰스 아서 미래의 창 이 글 포스팅은 해킹사회라는 책을 읽고 생각과 내용을 요약 정리하는 글입니다. 자세한 내용은 책을 구매 혹은 대여하여 보시기 바랍니다. ^^ 구매 참고: (http://www.yes24.com/Product/Goods/71962870) 이 챕터의 목차 1. 이메일이 도착했습니다. 2. 모든 것이 공개되다. 3. 그들만의 왕국 4. 배후는 북한? 5. 수입 추락 6. 정산의 시간 이번 챕터에서는 SONY픽처스 해킹사건을 다루고 있다. 기존의 해킹방식에서 완전히 벗어난 테러 성격의 해킹이었다. 이 챕터는 그에 대한 내용을 자세히 다루고 있다. 2014년 11월 24일 추수감사절 휴일전 해당 주의 월요일 이다. 아침 8:15분경.. 소니픽처스에 있는 모든 PC의 전원이 꺼진다. ..
해킹사회를 읽으며...03
해킹사회 찰스 아서 미래의 창 이 글 포스팅은 해킹사회라는 책을 읽고 생각과 내용을 요약 정리하는 글입니다. 자세한 내용은 책을 구매 혹은 대여하여 보시기 바랍니다. ^^ 구매 참고: (http://www.yes24.com/Product/Goods/71962870) 이 챕터의 목차 1. 벌집을 들추지 말라 2. 우연한 발견 3. 악당들의 등장 4. 재앙의 문이 열리다. 5. 위기에 대처하는 방법 6. 후유증 1. 벌집을 들추지 말라 이 장에서는 유명한 해커집단 어나니머스(Anonymous 이하 anon) 에 대해 다루고 있다. 어나니머스는 다양한 사이트에 침입하여 각종 영상을 유포하고 2010년 12월에는 페이팔과 비자 사이트까지 마비시켰던 해킹집단이다. (어나니머스의 공격으로 당시 비자와 페이팔은 약 ..
#Hacking::랜섬웨어란?
랜섬웨어란 Ransomware 몸값(Ransome)과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 금전을 요구하는 악성 프로그램을 말하며, 신뢰할 수 없는 사이트, 스팸메일, 파일공유 사이트, 네트워크망을 통해 유포 된다. 랜섬웨어 감염경로 신뢰할 수 없는 사이트 신뢰할 수 없는 사이트의 경우 단순한 홈페이지 방문만으로도 감염될 수 있으며, 드라이브 바이 다운로드 기법을 통해 유포된다. 이를 방지하기 위해서 사용하는 PC의 운영체계 및 각종 SW의 보안패치를 항상 최신으로 업데이트하는 것이 중요합니다. 또한 음란물, 무료 게임 사이트 등은 보안 관리가 미흡한 사이트로 이용 자체를 권고한다. 스팸메일 및 스피어피싱 출처가 불분명한 이메일 수..