분류 전체보기 (5)N
Life (1)
News (1)N
ISMS (1)N
Web (2)
OS (0)
Forensic (0)
System (0)
Network (0)
calendar
«   2014/09   »
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30        
tags archive link
ColorSwitch 00 01 02


    iCloud 아이폰 찾기 서비스에서 취약점을 갖고 있었습니다. 해당 서비스에서는 패스워드로 본인인증을 확인하고 있습니다. 과정에서 기초적인 실수인 틀린 횟수에 대한 제재 조치가 없었습니다. 그래서 해커들은 이러한 취약점을 이용하여 Bruteforce공격을 있었습니다. 심지어 해당 작업을 편하게 있는 툴인 아이브루트가 오픈소스 개발자 커뮤니티 허브 올라왔었습니다. 이번 헐리웃 유명 연예인 들의 사진이 유출된 사고또한 취약점을 통하여 유출된 것으로 추정하고 있다고 합니다.

또한, 해당 애플계정에서 패스워드 복잡도에 대해서 통제하지 않았기 때문에 많은 사용자들이 쉬운 비밀번호를 사용했고 그에따라 피해가 있었을 것이라고 예상됩니다. 미국내의 통계에 따르면 대부분의 사람들이 저 위의 그림에서 패스워드 부분에 보이듯 자주 쓰이는 암호들을 사용하기 때문에 쉽게 뚫렸다고도 합니다.


2012년에도 e메일을 통한 임시패스워드 전송방법과정에서 사회공학적인 방법으로 해킹사건이 있었던 것으로 알고 있습니다. 그 사건이 있었음에도 이러한 기초적인 보안설정이 되지 않는 점은 애플이라는 거대 기업에서 일어나기에는 정말 아이러니한 사건 같습니다.




비밀번호 복잡도

대부분의 사람들이 비밀번호 복잡도에 대해 소홀한 것으로 알고 있습니다. 같은 경우 모든 사이트와 모든 서비스에서 비밀번호가 다르며 특수문자 대문자 포함하여 12글자정도를 사용하고 있습니다. 비밀번호의 경우 icloud 취약점 같은 상황이 발생할 경우 복잡도에 따라 취약점이 있지만 공략 당하지 않을 있기 때문에 중요하다고 생각합니다. 가장 기본이지만 가장 지키지 않는 방법 같습니다.

OTP

비밀번호뿐만 아니라 2 인증수단으로 OTP 사용하면 좋겠다고 생각합니다. 아무래도 OTP 사용하게 되면 아이브루트처럼 단순한 툴로는 공격시도조차 불가능 것입니다. 또한 OTP 인증이 한시적이기 때문에 보안강도가 가장 강력한 것으로도 알고 있습니다. 이번 사고가 일어난 후에 애플 쪽에서 인증방법으로 패스워드 외에 OTP로서 4자리의 디지털 코드와 Long access code 추가한 것으로 알고 있습니다.

'News' 카테고리의 다른 글

[iCloud]내 아이폰 찾기 서비스  (0) 2014/09/14
Trackback Address :: http://jeremy.tistory.com/trackback/7 관련글 쓰기








▣  [CPPG] 합격수기 - ISMS - 2014/09/14 23:45


6월 부터 8월 까지 10차례 스터디를 참여하고 그 결과로 시험에 합격했다.

사실 시험 전날에도 컬러런에 다녀오고 공부도 그다지 못해서 걱정했는데 다행히도 ㅎㅎ

시험은 100문항인데 은근 정신없었다. 빨리 풀고 나오려는 마음이였는데 원래..

풀다보니 문제마다 글의 양이 많아서 읽고 이해하고 풀고 딱히 별로 고민하지도 않았는데 

다 풀고 보니 시간이 3분정도 남더라..


공략법이라고 할 건 따로 없지만

아무래도 가이드라인 많이 읽어보시고 ㅎㅎ

시중에 책이 두권 있는 걸로 아는데 딱히 구매할 필요는 없는것같고 평상시에 출퇴근길이나 등하교길에 2~3회 읽어보시는걸 추천

그리고 처음읽을때는 용어가 어려워서 막막하고 졸린데 단어같은거 체크해두셨다가 인터넷에서 찾아서 숙지하는게 중요할것 같고 그렇게 하고나시면 두번째 읽을때는 이해가 되서 머리에 숙지되는 느낌이였어요

'ISMS' 카테고리의 다른 글

[CPPG] 합격수기  (0) 2014/09/14
Trackback Address :: http://jeremy.tistory.com/trackback/6 관련글 쓰기










더보기


'Life' 카테고리의 다른 글

개인정보관리사(CPPG) STUDY #1기 in SUA  (0) 2014/08/13
Trackback Address :: http://jeremy.tistory.com/trackback/4 관련글 쓰기









티스토리 툴바