2013년 3월 27일 수요일

웹 필터링(Web Filtering)에 대해서...

각각에 컴퓨터에 웹필터링이 필요합니까?

웹필터링이란 웹사이트에 존재할수 있는 악성행위를 진단하는 정보를 웹필터링 기능에 적용하여 위험한 웹사이트에 대한 접근을 개인 차원에서 차단하는 기술입니다.

만약 DNS 단에서 이 일을 대신 한다고 생각한다면? 더욱 효율(효과)적이라 생각하지 않습니까?

통신사 및 관련된 기관에 보안에 대한 책임이 있다고 생각하지 않습니까?

우 리는 통신을 이용하면서 비용을 지불합니다. 무료로 이용하는 사람이 있나요? 그 지불 내용에는 안전하게 통신을 이용할수 있는것도 포함되리라 생각합니다. 예를 들어 고속도로를 이용하면서 통행료를 내고 있습니다. 이 비용에는 고속도로에 안전성을 요구하고 있습니다. 우리는 길거리를 걸어가면서도 안전을 보장 받고 있습니다. 그렇지 않습니까?

그렇다면 인터넷 주소와 통신 라인을 관리하는 기관 및 업체는 보안에 대해 얼마나 준비를 했으며 비용을 투자하고 책임을 지고 있을까요? (단순히 기관및 업체를 목표로한 직접적인 침입을 차단하는데에만 집중해야 할까요?)

예를들어

Antivirus에 웹필터링 기능을 포함시킨 보안 제품들이 보입니다. 많은 사용자들이 사용하고 있습니다. 저는 이것은 매우 비효율적이라 생각합니다. 몇억대의 컴퓨터가 이 기능을 적용시켜 시간,에너지등을 낭비하고 있는지 계산조차 안됩니다.

0Day exploit에 대해 생각해 보십시오.

0Day exploit은 Antivirus 업체에서도 감지 할수 없는 상태를 말합니다. 그렇다면 웹필터링을 사용하는 사용자에 컴퓨터 또한 보안에 취약점이 생긴다는 것입니다. Exploit에 대한 차단 정보를 가장 효과적으로 Client에 적용시킬수 있는 방법은?

취 약점에 대해 알고있는 보안업체는 DNS를 제공하는 업체 및 기관과 연계하여 웹필터링이란 기술을 서버에 집중시켜 사용자가 악성코드(피싱,파밍등)가 있는 웹사이트에 노출되는것을 미리 차단하는것입니다. 이는 고속도로에서 사고 위험이 있는곳을 미리 경고하거나 차단(제거)하는것을 말합니다.

웹서버 및 DNS 단에서 웹필터링 기술을 통해 미리 차단하고 필터링된 통신을 이용하는 사용자는 부족한 보안 부분을 Antivirus,HIPS,Sandbox,Snapshot Defense등의 기술을 제공하는 보안 제품을 사용함으로서 위험을 최소화 하는것입니다.

단, 사용자에게 필요한 꼭! 하나에 기능은 신고 기능이라 생각합니다. 이 신고에 대해서는 119(911)와 같은 긴급 대응 시스템으로 구성되어야 한다고 생각합니다. 사이버 119를 말합니다. (국내에 118이 있기는 하지만...)

어떠한 기술이 서버에 집중되어 있어야 한다고 생각하십니까?

웹필터링과 같은 기술은 업체간에 경쟁을 위해 인터넷을 이용하는 사용자들에게 희생을 요구하는 기술중에 하나라고 생각합니다.

예 를 들어 통신사를 통한 단체 문자나 SNS를 통해 유포를 이용한 악성행위에 대해 만약 이것을 선 검사 후 전송을 선택한다면? 또는 1천여개의 모바일 번호를 관제용으로 사용하여 문자,SNS등으로 도착되는 악성행위를 감시한다면? 사용자에게 피해를 최소화 하지 않겠습니까? 그리고 이와같은 정보는 공유하여 국가(기업)적차원에서 차단을 한다면?

여러분은 개개인의 컴퓨터에 웹필터링이란 기능을 사용해야 한다고 생각하십니까?

Google DNS, COMODO Secure DNS, Norton DNS등에 서비스를 보십시오.

nProtect KeyCrypt V6.0 에러코드 0x3505 "USB 구성 요소가 변조되었습니다"

nProtect KeyCrypt V6.0 설치를 요구하는 사이트에서 키보드 입력시 아래와 같은 메세지를 보여주는 것은 USB에 관련된 요소가 변조되었다는 내용입니다.


1. 실제 악성코드(Keylogger등)에 의해 USB에 관련된 요소가 변조되어 보이는 메세지일수 있습니다. 보안프로그램을 이용해 전체검사를 진행하십시오.

2. USB에 관련된 제품 중 비공식 패치를 사용하는 경우에도 보일수 있습니다.

예)

Mouse/USB polling rate (마우스 폴링률) 패치용도로 생성된 hidusbf.sys 드라이버로 인해 나타난 에러메세지 였습니다.

해결법은 위의 드라이버를 설치에 사용했던 패치 프로그램을 이용해 삭제한 후 사이트를 이용하면 됩니다.

----------------------------------------------------------------------------------------------------------

Mouse/USB polling rate (마우스 폴링률) 패치 프로그램 - How to Increase USB Sample Rate in Windows Vista/7

1. Download Driver Signature Enforcement Overrider from this link.
2. Download HIDUSBF (attached below as hidusbf.zip).
3. Run Driver Signature Enforcement Overrider and choose Enable Test Mode.
4. Extract HIDUSBF to some folder, right click on HIDUSBF.inf and choose Install.
5. Run Setup.exe from HIDUSBF’s folder, check the Filter on Device box and select your desired sample rate.
6. Run Driver Signature Enforcement Overrider again, choose Sign a System file and insert full path to the installed HIDUSBF.sys file (For example: C:\Windows\System32\Drivers\HIDUSBF.sys).
7. Restart your computer and enjoy.
8. Verify by using Mouse Rate or DirectInput Mouse Rate (attached below as mouserate.exe and dimr.exe)
9. If you would like to remove the test mode watermark, run Driver Signature Enforcement Overrider and choose Watermark removal.

----------------------------------------------------------------------------------------------------------

2013년 3월 23일 토요일

CIS의 Defense+ 과 File Rating에 파일 처리 이해도



COMODO Internet Security 6 설명 - http://4savit.blogspot.kr/2012/10/comodo-internet-security-6-beta.html

COMODO Internet Security 6 Help 문서 - http://help.comodo.com/topic-72-1-451-4685-Introduction-to-Comodo-Internet-Security.html

Behavior Blocker의 Auto-sandbox unknown applications as에 Fully Virtualized 메뉴 추가 방법

참고. COMODO CIS Help 문서 (영문) - http://help.comodo.com/topic-84-1-499-5616-Enabling-Full-Virtualization-for-Auto-Sandboxed-Applications.html

Registry (Regedit) 수정 프로그램을 이용해

HKEY_LOCAL_MACHINE\SYSTEM\Software\COMODO\Firewall Pro 에 'EnableDefaultVirtualization' 이름으로 DEWORD 값(Value) 생성 후 값데이트를 1 (16진수)로 수정합니다.

Advanced Settings / Defense+ / Behavior Blocker (BB) 에 Auto-sandbox unknown applications as에 스크롤 메뉴를 보시면 Fully Virtualized 가 추가되어 있습니다.

'Fully Virtualized 으로 설정 하면 Unrecognized Files에 등록된 파일이나 Behavior Blocker (BB)에 판단에 의해 Auto-Sandbox로 실행이 결정된 파일들은 Fully Virtualized 에서 실행이 됩니다.


* COMODO에서는 위 기능을 고급 사용자에게만 사용하기를 권하고 있습니다.

* Fully Virtualized 란 프로그램 활동에 제한을 두지 않는 가상화 영역입니다.

* Fully Virtualized 모드로 실행되는 프로그램에 테두리는 녹색으로 표시 됩니다.

2013년 3월 21일 목요일

SysTracer (Process 모니터링) v1.0.0.11

SysTracer v1.0.0.11 - http://www.sysreveal.com/category/systracer/

  • Windows XP
  • Windows Server 2003
  • Windows Vista
  • Windows 7
  • Windows Server 2008
64bit 운영체제에서는 사용할수 없습니다.

SysTracer는 프로세스에 행위(파일,레지스트리,네트워크등)를 모니터링 해주는 프로그램입니다.



Trace all running processes - 모든 프로세스를 모니터링 합니다.
Trace an existing process - 프로세스중 하나를 선택하여 모니터링 합니다.
Create and Trace a new process - 파일을 선택하여 실행한 후 모니터링 합니다.

모니터링후 기록(Log) 파일은 Systracer 폴더내에 파일(프로세스)이름으로 생성된 폴더에 저장이 됩니다. 모니터링 중인 프로세스가 생성한 파일은 백업형식으로 저장이 됩니다.

* Gmer Scan 화면




2013년 3월 20일 수요일

북마크, 즐겨찾기등 죽은 링크 정리하기

1. AM-DaedLink - http://www.aignes.com/deadlink.htm

Internet Explore, Firefox, Chrome, Opera에 즐겨찾기,북마크에 죽은 사이트를 제거해 줍니다.  Firefox는 링크 확인만 가능하며 제거는 할수 없습니다.

* 아래 '2. Firefox 북마크를 정리하는 방법' 참고

기본 폴더에 즐겨찾기, 북마크등이 저장되어 있다면 AM-DaedLink 를 실행하면 자동으로 읽어옵니다.

Portable 형태로 사용하거나 다른곳에 북마크 등이 저장되어 있다면 옵션/설정/책갈피 파일 에서 파일 위치를 지정해 준후 프로그램을 재시작하면 파일을 읽어옵니다.


 검사 속도를 변경하는것은 옵션/설정/검사 항목에서 수정을 하면 됩니다.


2. Firefox 북마크를 정리하는 방법

Transmute - http://www.gettransmute.com/

Transmute는 북마크,즐겨찾기등에 파일을 상호 변환 할수 있게 해줍니다. Firefox에 북마크(places.sqlite) 파일을 IE에 즐겨찾기 형태로 변환을 한 후 AM-DaedLink를 이용해 죽은 링크를 제거합니다. 정리된 즐겨찾기를 북마크 파일로 변환하면 됩니다.


* IE 10 + Firefox 19 에서 안전하게 변환 및 정리가 완료 되었습니다.

* 위의 프로그램들은 포터블(Portable)형태로 설치 및 실행이 가능합니다.

* 변환 및 제거 과정에서 문제가 발생할수 있으니 필요하다면 북마크,즐겨찾기등에 파일을 백업 한 후에 진행하십시오.

2013년 3월 12일 화요일

CIS Protocol Handlers 사용법


URLProtocolView : 윈도우에 등록된 Protocol에 대한 정보/관리 - http://www.nirsoft.net/utils/url_protocol_view.html

* 탐색기,웹브라어저 주소 입력란에서 실행할수 있습니다.


1. safe://www.google.com -URL 주소를 가상화 상태에 기본 웹브라우저를 이용해 열어줍니다. (COMODO의 가상화 상태로 실행되는 프로그램은 테두리가 녹색으로 표시됩니다.)

2. kiosk://www.google.com - URL 주소를 전체 가상화인 Kiosk 에서 기본 웹브라우저를 이용해 열어줍니다.

3. comodo://antivirus.Update - Antivirus에 DB를 업데이트 합니다.

4. comodo://antivirus.Scan?predefined=quick - Antivirus에 빠른 검사를 실행합니다.

5. comodo://antivirus.Scan?predefined=full - Antivirus에 전체 검사를 실행합니다.

2013년 3월 11일 월요일

ipTIME 유무선 공유기 CSRF 취약점 패치 (펌웨어 업데이트)

ipTIME 유무선 공유기 CSRF 취약점 주의 권고 2013.02.25 - http://4savit.blogspot.kr/2013/02/iptime-csrf-20130225.html

위의 취약점을 패치한 펌웨어가 배포중입니다. IPTime 공유기 사용자는 펌웨어 업데이트를 진행하십시오.

IPTime - http://www.iptime.co.kr/

* 제품별 설정 화면은 다를수 있으나 로그인 방식은 동일해 보입니다.

2013년 3월 5일 화요일

CrowdInspect 1.0


네트워크(TCP/UDP)에 연결된 프로세스에 대해 악성코드 여부를 알려주는 프로그램입니다. 악성코드에 대한 정보는 VirusTotal,WOT,Team Cymru's Malware Hash Registry에서 가져옵니다. 32/64bit, XP 및 상위 버전에 윈도우를 지원합니다.

CrowdInspect - http://www.crowdstrike.com/blog/free-community-tool-crowdinspect/index.html
Download - http://www.crowdstrike.com/community-tools/index.html

CrowdInspect : Host-based tool detects untrusted network-active processes.

CrowdInspect is a free community tool for Microsoft Windows systems from CrowdStrike aimed to help alert you to the presence of potential malware that communicates over the network that may exist on your computer. It is a host-based process inspection tool utilizing multiple sources of information, including VirusTotal, Web of Trust (WOT), and Team Cymru's Malware Hash Registry to detect untrusted or malicious network-active processes. CrowdInspect can be used during Incident Response process to rapidly identify potential malicious running processes on a machine.

The tool runs on both 32 bit and 64 bit versions of Windows from XP and above.