해커스랩 프리해킹존에 오신걸 환영합니다.

- Errata

- Book Review

- Section

Vulnerabilities

야후 웹메일 취약점

IE 6.0 DoS 취약점

[HL2003-124]Microsoft Messenger 서비스 버퍼오버플로우 취약점

[HL2003-122]HP HP-UX dtprintinfo DISPLAY 환경변수 버퍼오버플로우 취약점

[HL2003-121]Sun Solaris aspppls의 임시화일 생성오류

Section Stories

머피의 법칙 그 유래를 찾아서 4부작 2편

지구상에서 가장 빠른 사나이(2편) 우리가 이제껏 알고 있는 머피에 법칙에 관한 모든 것은 잘못된 것이다. ...

얼음렌즈로 불 붙이기

호수나 샘에서 깨끗한 물을 퍼 온다. 물 속 가스가 제거되도록 약 10 분 간 끓인다. 그런 뒤 은박지 호일을 접어 약 ...

머피의 법칙, 그 유래를 찾아서 4부작 1편

"세상에 어떻게 이럴 수가... 나는 도대체 되는 일이 하나 없는지..." 머피의 법칙이 뭔지는 알면서도 막상 그 유래에 관해서� ...

[2003/07/01] Stealing The Network

[CheshireCat]"요즘은 다들 제 잘난 맛에 사는 세상인 것 같습니다. 신기술을 발견하면 혼자서만 알거나, 친한 몇몇만 공유하고 다른 사람에게는 절대 알리지 않죠. 시큐리티 포커스 같은데다가 어쩌다 올리는건 자기 이름 알리기 위해서고요... 책은 범죄를 막는답시고 정작 다뤄야 할 건 은슬슬쩍 빼버려 순진한 독자를 헷갈리게 하기 일수고... 정보공유로 다 함께 진화하는 시대는 끝난것 같습니다."

얼마전 만났던 doors가 들려준 말이다. 여러분도 doors와 마찬가지로, 해킹은 끼리끼리의 놀음이라고 생각하는가? 해킹 기술 정보는 극소수 사람들만 익스플로이트 할 수 있다고 생각하는가? 해커라면 누구든 전부 다 보여주지 않는 불문율을 준수할 것이라 생각하는가? 만일 그렇게 생각했다면 여러분은 이 책을 보고 분노할 것이다.

"이 책 혹시 불법 아닌가요? 이런 책이 나와도 좋은지 모르겠군요. 50달러만 주면 누구든 해킹에 관한 자세한 정보를 알 수 있으니 말입니다..." 이 책을 읽은 이의 서평은 한결같다. 어떻게 이런 책이 나올 수 있느냐는... 그러나 해킹의 도를 갈구하는 초심자라면 내심 이런 책이 한 권 쯤 나왔으면 하고 바라지 않았던가? 이 책은 익스플로이트를 어떻게 사용하는지를 실제로 보여주는 책이다. 해킹관련 책의 경우, 범죄에 악용되는 것을 방지하기 위해 구체적인 기법은 스리슬쩍 넘어가는 경우가 많지만, 내 말을 믿으시라, 이 책은 그렇지 않다!

2003년 5월 18일 출판. Wired가 올 여름 블록버스터라고 찬사를 아끼지 않은 이 책은 정보를 훔치고 파괴하는 해커들의 이야기를 담은 단편소설 모음집이다. 등장인물은 해커와 당하는 사람, 추적자. 10편의 시나리오는 작가들의 개성있는 스타일과 "목소리"로 전개된다.

스토리는 픽션이지만 극중 인물이 사용하는 테크놀로지와 툴은 현재 실제로 사용되는 것들이다. 시나리오 역시 당장 오늘 발생할 수 있는 "말이 되는" 것들이다. 이 점에서 이 책은 "HACKER'S CHALLENGE" 와 비슷한 형식이지만 스토리 전개는 더욱 치밀하고, 기술적 설명은 훨씬 상세하다. 10가지 사건에 328쪽을 할애한 것을 보면 짐작이 갈 것이다. 툴 사용법도 소개되어 있고, 사건을 벌이기까지의 심리적 갈등, 해킹, 방어, 추적, 검거 과정이 각 장에 걸쳐 재미나게 묘사되어 있다.

호화 작가진도 눈길을 끈다. 서문을 쓴 데프콘 운영자 The Dark Tangent(본명 제프 모스), 독일의 유명한 해커그룹 Phenoelit의 FX, 지금은 해체했지만 몇 년 전만 해도 미국 최고 해커 정예 그룹이었던 전 로프트(l0pht) 멤버이자 아이디어 스튜디오 창설자 조 그랜드 등 귀에 익은 반가운 이름이 눈에 띈다.

조 그랜드는 공항에서 탑승을 기다리는 동안 공항 네트워크 보안 취약점을 이용해 시간을 재미나게(?) 때우는 방법을 소개한다:

"나는 무선 네트워크로 인터넷에 연결할 수 있다. 일단 네트워크상에 있으면 무선 프로토콜을 가지고 표준 유선 네트워크인 양 놀 수 있다. 해커 입장에서 볼 때 이건 대단한 것이다. 스타벅스, 호프집에 무선 네트워크를 갖고 가서 해킹을 해도 들킬 염려가 거의 없다. 공공 무선 네트워크는 익명을 유지하기에 완벽하다... 30분 후 나는 안전한 웹메일 클라이언트로 이메일을 체크하고, 뉴스를 읽고 경매 사이트에서 물건을 골랐다. 다시 지루해진다. 비행기 탑승까지는 아직 30분 남았다. 무얼 할 것인가?..."(6장 중에서)
FX는 여자 블랙햇 해커가 화이트햇 해커를 공격해 한판 전쟁을 벌이는 시나리오를 들려준다. 전쟁판에는 HP 프린트, 라우터 사이의 GRE 터널, 기타 중요한 트릭들이 등장한다:

"네트워크나라의 h3X... h3X 는 여자 해커다. 최근 h3X는 프린터를 찾고 있다. h3X에 있어 프린터야말로 파일을 숨기고 다른 녀석들과 익명으로 공유하는 최상의 장소기 때문이다. h3X는 익스플로잇 코드와 다른 것들을 프린터에 모아놓기를 좋아한다. 그리고 친구들에게 프린터가 실행되는 웹서버를 가르쳐 준다. -(4장 중에서)
2000년 2월 큐레도라는 닉을 가진 한 십대 해커가 CDAnyWhere를 비롯한 여러 온라인 상거래 사이트를 해킹해 고객 크레딧카드 정보를 빼내 자신의 사이트에 올린 사건이 발생했다. 사연인즉 소년은 CDAnyWhere에서 CD를 구입했는데 CD는 아주 늦게, 그것도 파손된 상태로 도착했다. 환불을 요구한 소년에게 CDAnyWhere는 친절하지도, 조치를 취해주지 않았다. 그래서 소년은 복수를 하기로 결심했다. 이 실제 사건은 1장 시나리오로 등장한다:

"네트워크를 해킹하기에 가장 좋은 시간은? 크리스마스가 낀 연말 연시다. 나는 한 해 중 이 때를 가장 사랑한다. 주변에 인적이 드물고 모든 곳이 최소한의 직원으로 움직여진다. 만일 해킹을 잘, 그리고 올바르게 한다면 자동화 시스템에도 들키지 않을 것이다. 나는 이 전자 상거래 사이트에 침입, 크레디트 카드 번호를 빼내는데 연말연시가 가장 완벽한 시간이라고 생각했다. 이 사이트 운영자는 나를 화나게 했다. 나는 이 사이트에서 컴퓨터 하드웨어를 구입했는데 아주 오래 후에야 간신히 받았다. 그런데 물건은 파손된 채로 도착했다. 고객서비스센터에 전화해 반품이나 환불을 요구하자 그들은 그럴 수 없다고 했다. 재고정리 판매였다나... 그런 말은 구입시 일언반구도 없었다 말해도 들은척도 않았다. "규정은 규정입니다" "사이트를 잘 읽어보시지 그러셨어요?" 좋아, 정 그렇게 나온다면... " -(1장 중에서)
자유 보안 컨설턴트 마크 버네트는 "사회역공학"이라 불리는 예술을 다룬다. 버네트는 컴퓨터 엑스포에 가서 15군데의 부츠에 "판매 데이터"라 쓰인 라벨이 붙은 CD롬 디스크를 흘린다. CD를 발견한 사람들은 뭔가 하고 컴퓨터에 넣고 열어보려 할 것이다. 이 CD에는 트로이 목마가 들어있다.

"내가 제일 좋아하는 오락은 의심가지 않는 다른 사람들이 나를 위해 더러운 일을 하게 만드는 것. 나는 그것을 사회 역공학이라 부른다. 이 장을 통해 사회 역공학을 통해 무엇을 얻을 수 있는지를 알게 될 것이다... 인간은 믿기 어려울 만큼이나 예측가능한 존재다. " -(7장 중에서)
추적의 예술...

개심한 해커를 고용하는 보안회사가 많다. 그러나 관심을 다른데로 돌리고 돈을 준다고 해서 그들이 진정으로 바뀌었다고 생각하는가? 천만에! 바뀐건 아무것도 없다. 해커는 일종의 예술가다. 예술가는 풍경, 정물, 심지어는 누드까지도 그들이 원하는 건 무엇이든 그릴 수 있다. 예술가는 캔버스와 물감의 색도 원하는대로 사용할 수 있다. 그러던 어느날 예술가가 직장을 얻는다. 그는 이제 상업 예술가다. 순수 예술가와 상업 예술가의 유일한 차이점은 상업 예술가는 사람들이 원하는 것을 그린다는 것이다. -(10장 중에서)

[eliza]이 책을 판매하는 국내 온라인 서점은 몇 군데 안되는 것 같습니다. 우리말로 된 서평 역시 찾아보지 못했습니다. 책이 신간이라서일까요? 책값은 아주 비싸서 아마존에서 34.97 달러입니다. 꼭 외국 사이트에서 사야 제맛이라면 BookPool에서 구입할 것을 권합니다. 43% 할인된 가격 28.25 달러에 판매하고 있습니다. 신청하고 한달 가까이 기다리느니 차라리 돈 더주고 국내 사이트에서 구입하지 하고 생각하는 분들을 위해: 와우에서는 56,700원, 강컴에서는 50,400원에 판매하고 있습니다. 이 책을 출판한 Syngress 사이트에 가면 샘플 페이지(5장)을 무료로 볼 수 있습니다. 이 사이트에서는 eBook PDA 버전을 25달러에 판매합니다. 번역판은 언제쯤 나올까요...

[black]이 책은 초보를 위한 스텝바이스텝 가이드가 아니다. 보안에 대해 어느 정도 알고 있는 사람이라야만 이해할 수 있는 책이다. 참신한 시나리오는 훌륭하지만, 어느정도 아는 사람의 입장에서 볼 때... 역시나... 새롭고 눈에 번쩍 뜨이는 최신기법을 담은 책은 아닌것 같다... 구루라면 거의 다 아는 내용이고, 중급 이하라면 볼 만 한 내용이다. 전체적으로 목차와 구성은 잘 된 편이다. 그러나 이미 널리 알려진 주제들을 다루어 다양성이 부족해 보인다. 그러나 각각의 시나리오에는 아주 재미난 상황들이 많이 등장해 독자를 즐겁게 한다.

1장은 시스코 장비 해킹과 웹인증 우회, 룰셋을 우회한 터미널 서버 접근을 다룬다. 2장은 웜에 대한 흥미진진한 추적, 3장은 지문인식, 모바일, 무선, 4장은 프린터 서버를 이용한 파일은닉과 익스플로이트, 5장은 DNS 정보분석, login.asp 분석, sql injection 등을 다룬다. 6장은 무선랜, 넷스텀브러, openssh 공격, 7장은 리버스엔지니어링, 8장은 사회공학, 9장은 ... 10장은 추적의 예술을 다룬다.

마지막장은 보안의 법칙을 정리해 놓았다. 보안의 법칙이 뭐냐고? 예를 들어 "방화벽은 공격자로 부터 100퍼센트 보호할수 없다", "어떠한 침입탐지 시스템(IDS)도 우회할수 있다"는 등의 세월이 아무리 흘러도 변치않는 불변의 진리를 말한다.

이 책에 대한 나의 점수는 70-80 점이다. 아, 그리고 책값이 너무 비싸다...

◀ [18] [17] [16] [15] [14] [13] [12] [11] [10] [9] [8] ▶

F.H.Z Server 접속자

2010/09/04 07:44 AM

DRILL 23명 / IRC 6명

Errata

BBUWOO

시작하는 모든 사람들을 위한 필독서 "질문은 어떻게 하는것이 좋은가"로 "시원한데 긁어줬다", 혹은 "너 잘났다"는 등의 극에서 극을 달리는 반응으로 리눅스계에 일대 센세이션을 일으켰던 장본인, OOPS.ORG를 통해 약 1만 8천건의 질문에 답변을 한 대답맨. 덩치만 큰 레드햇에 좌절해 개발한 안녕 리눅스 릴리스로 "...

Book Review

Spidering Hacks

[Anonymous님 曰] 서핑만으로는 부족하다고 느껴질 때가 있는 법이다. 좋아하는 책이 판매순위 몇위인가를 체크하는 것도 지겹고, 다운로드하고 싶은 이미지나 미디어 파일을 찾아 다니는 것도... 매�...


Free Hacking Zone Copyright © 1999-2003 by (주)해커스랩 개인정보 보호 정책