Domain 8. Software Development Security -2

* Disadvantage of content-dependent => It increases processing overhead

- 객체지향

. 객체지향의 특징은 캡슐화(은닉화)->class, 추상화->class, 다형성->상속, 상속

- Encapsulation( 캡슐화) 

. Data와 Operation을 묶는것 -> Class

. 정보은닉: 내부의 구현부분을 숨기고 인터페이스를 통해서 접근, Client 는 Interface 만 통해서 메시지 전달 -> Send Message

. Interface

1)유지 보수용이 및 비용절감(=> 내부구현이 바뀌어도 영향이 없음 => 과정 절차의 추상화)

2) Service 를 정의 하는 Operation 의 집합

3) 작업 분업화 가능 

- Polymophism(다형성)

. 하나의 Interface 에 많은 다른 구현을 숨기는것=> 같은 이름의 Interface 를 허용 

. Overriding(=>재정의) : 계층적 Operation 의 중첩

- Malware- 1(악성코드/의심코드)

. Virus (바이러스) : 독자적 실행 불가 , 복제기능-> 자가증식

. Worm( 웜)         : 독자적 실행 가능 , 복제기능-> 자가증식

. Torjan Horse    : 내부의 중요 정보를 유출 하는 Malware

. RAT(Remote Access Trojan) : 원격에서 내부의 중요 정보를 유출하는 Malware

. 논리폭탄             : 특정조건에 부한하면 악의적인 행동을 하는 Malware(수작업, 불만이 많은 내부자)

. BackDoor         : 접근통제(인증) 을 우회 하는 경로 (Path), 로그남기지 않으며, 개발/관리 목적으로 사용

* 요소별 탐지 방안

. Virus              : 백신(교정통제), AV(탐지/예방통제)-> 무결성

. Worm            : N-IDS -> 가용성

. Trojan horse : H-IDS(Out bound contorol) -> 기밀성

. 논리폭탄         : 소스코드 리뷰 ->무결성

. Backdoor      : 소스코드 리뷰 , H-IDS -> 기밀성

- Malware-2

1) RootKit        : Hidden File/Process/Registry(Being absolutely invisible to os=>Kernel)

2) Bot        : Short fo "Robor", Remote Control

                  : Relaying Spam

                  : Hosting phishing site

                  : Deinial of Service

3) Backdor    : Trap Door, Worm Hole, Maintenance Hook

                       : Hidden mechanism to bypass protection measure

                       : Secure bypass : Undocumented access path

4) Worm        : Self-Propagation

                       : Spread per instruction , Self-contained program

5) Virus        : Self-Propagating

                       : Spread on content

                       : Infect, Parasitic(기생)

- Virus 증상/탐지

. 증상    : 파일 사이즈 증가

              : 갱신 타임스탬프 변경

              : 저장공간 급격히 변경

              : 디스크 i/o 증가

. 탐지    : 백신,AV, 체크섬 등

. Infect 후 작업

1) 네트워크 차단(격리) , 추가 영향을 줄이기 위한 데이터 백업

2) Reinitialize system, reboot, copy virus protection

3) Reinstall applicaiton software, data

* Virus = Parasitic

* Trojan Horse = Minic

* BackDoor = TrapDoor = WormHole = Maintenanace Hook

* RATs 의 흐름은 밖에서 안으로 , Trojjan Horse,Spyware 는 안에서 밖으로 

* Virus /Worm 은 Self-Propagation(자기복제) , Virus 의 감염대상은 FileBoot

- Mobile Code

. WWW 브라우저를 통하여 다운로드 되어 실행 되는 작은 어플리케이션

. JAVA applet, Active-X => 서버의 의도를 실행

. Mobile Code 의 소스는 서버에 있지만 , 코드의 실행은 Clie  nt 에 의해서 수행

Q) Mobile Code 위협대상은 ? => Client 의 위협

- Mobile Code(JAVA applet)

. SAND BOX : 실시간 가상환경을 제공 함으로 , 네트워크나 컴퓨터가 받아들이기 의심스러운 코드를 격리 -> 보안성

- Mobile Code(Active-X)

. Trusted-relationship

. 사용자인증코드(Authenticode)-> Codesign 수행 (무결성) 

* 악성실행코드의  Mobile Code 대응

1) SAND BOX( 실행중 보장-> 보안성 우수)

2) Authenticaticode (실행전 보장)

- 공격기술의 변화 

. 오늘날 과거에 비하여 침입자수/공격 기술은 높아지는거에 비해, 침입자의 지식이 낮아지는 것은?

=> 좋은 Tools발달로 인한 Script Kiddies

- 일반적인 공격의 과정

1) 정보수집(Foot Printing) 

2) scanning

3) 목록화(Enumeration) -> 취약점 열거 

4) 취약점공격( Vulerability Attack ) 

5) 권한획득 -> 대부분의 공격의 목적

6) 권한상승

7) BackDoor

8) Denial of Service

- Network Attack 의 유형

1) Sniffing       :  소극적인 공격, 훔쳐보기, 모니터링 ( 기밀성) 

2) Spoofing     :  적극적인 공격, 위변조 ( 무결성) 

- Hub 환경의 Sniffing

. 취약한 호스트를 점령한뒤 Promiscuous mode 로 변경 Sniffing 수행 

. 대응방안 : 암호화(IPsec,SSL,VPN) 

- SW 환경의 Sniffing(-> Spoofing) 

. 대응방안 : 암호화(IPsec, SSL, VPN)

- DOS-TCP Syn-flooding

. TCP 3-way handshaking 문제점을 이용 , 지속적인 half-open 유발

. IP Spoofing 과 함께 이용 

. 대응방안     : Packet Filtering

                      :  Back log que를 늘림

                      : connection time-out 을 줄임

                       : syn-cookie 이용

- Session Hijacking

. Session Hijacking = Kevin mitnic Attack  = IP spoofing 

. 대응방안 : 지속적인 인증, 시퀀스번호 복잡성 상승, 스니핑 방지

- IP spoofing 

. 대응방안 : 시퀀스 번호 복잡성 상승

- DOS-ICMP Smurf

. HOST IP 를 가장한뒤 , ICMP Broadcast 로 icmp request 전달, 전달 받은 호스트는 victim으로icmp reply 유발 

. 대응방안 : Router 에서 Direct Broadcast 차단 , ICMP reply 차단 

- DoS-UDP Storming

. UDP 포트에 IP주소를 속인 데이터그램을 보내서 Loop 유발=> 네트워크 트래픽/시스템 부하 증가

. 대응 방안 : 불필요한 UDP포트 제거

- IP Fragmentation - Ping of Death

. 큰 아이피 패킷을 보내서 DoS 유발

. 대응 방안 : OS stack vulnerability patch(예외처리 주체: OS)

- IP Fragmentation - Tear Drop, Bonk, Boink

. 서로 중첩되는 해더 조작

. 대응 방안 : TCP/IP stack 구현오류 패치 ( 예외처리 주체: OS)

- IP Fragmentation - Tiny Fragmentaion

. 첫번째 Fragment 를 아주 작게 보내서 패킷 필터링이나 방화벽 등을 우회 공격

. 대응 방안 : 패치 (예외처리 주체 : 패킷 필터링 장비)

- War Driving

. 차량 이동하면서 무선 보안이 취약한 지점을 찾아내는 행위

, 비인가 AP는 사내 랜이 공개 된것과 동일

. 대응 방안    : SSID Broadcating 방지 => 수동 SSID 입력 및 Hidden SSID 사용

         : 128bit 이상의 WEP 적용

                        : Mac Filtering

- Attack Tool Mapping

1) Filei Integrity checker          : AIDE, LANGuard, Trip wire

2) Network sniffer                       : snort, ethereal , sniffit, tcpdump,windump

3) Password cracker                  : john the ripper

4) Vulnerability assessment     : nessus, SATAN,SAiNT

5) DoS Tools                                 : Trinoo, Stacheldrant

6) War Dialing                            : telesweep, phonesweep, thc

7) IP Fragmentation Tool              : FragRouter

- Honey Pot

. 취약점 공개를 통한 취약점 점검

. 예방통제 및 zeroday 공격 탐지 

. honeypot network => honynet

- Port scan / Network mapping 

. 불필요한 port/service 제거 

. 운용/응용 프로그램의 배너 제거 => Banner Grabbing

. Banner Grabbing : 프로토콜의 정보, 웹서버 종류 등을 파악 할 수 있음

. NMAP : Port scanner

. TCP Wrapper : 프로그램 접근 통제 ( 시스템 사용자아이디기반  통제)