728x90 분류 전체보기426 기말고사 대비 기말고사 예상문제 1. 프라이버시(Privacy)란 무엇인가? Privacy는 개인의 데이터를 어디까지 누가 봐도 되는지 공개, 비공개를 결정할 수 있는 권리라고 볼 수 있다. 2. 클라우드 서비스의 보안상의 이점을 설명하라.Geographic diversity많은 클라우드 제공자가 서로 다른 지역에 데이터 센터를 운영하며 데이터를 여러 위치에 복제한다. 이는 자연 재해나 지역적 재난으로부터 데이터를 보호하는 데 도움을 준다.Platform and infrastructure diversity다양한 플랫폼과 인프라는 서로 다른 결함과 취약점을 가지므로, 단일 공격이나 오류로 인해 시스템 전체가 다운되는 가능성을 줄인다.클라우드 서비스를 더 큰 시스템의 일부로 활용하면 기술 스택의 다양성을 확보할 수 .. 2024. 12. 10. Emerging Topics in Information Security IoTIoT(Internet of Things)은 정보 보안에서 중요한 emerging topic 중 하나이다. IoT는 일상적인 기기를 인터넷에 연결하여 스마트 기기로 전환시키는 것을 의미한다. IoT의 주요 예시스마트 가전: 냉장고, 식기세척기 등스마트 홈: 온도 조절기, 알람 시스템 등스마트 헬스: 피트니스 모니터, 인슐린 펌프 등스마트 교통: 자율주행차 등스마트 엔터테인먼트: 비디오 레코더 등잠재적 문제점프라이버시 침해: 연결된 기기가 사용자의 민감한 정보를 수집할 가능성이 높음.데이터 통제 상실: 생성된 데이터가 사용자의 통제를 벗어날 가능성.악용 가능성: 기기의 보안 취약점을 이용한 공격.오식별: 잘못된 사용자 정보로 인한 문제 발생 가능성.무단 접근: 기기의 접근이 허가되지 않은 사용자에게 .. 2024. 12. 8. Legal Issues and Ethics Protecting Programs and Data보호하는 방법으로는 크게 세가지를 볼 수 있다.Copyrights (저작권): 저작권은 아이디어의 표현을 보호하기 위해 설계된 법적 장치이다. 저작권은 저자에게 해당 표현을 복제하고 대중에게 판매할 수 있는 독점권을 부여한다. 최종 결과물을 보호한다는 점이 특징이다.Patents (특허권): 특허는 발명, 물리적 객체 또는 그것을 만드는 방법을 보호하기 위해 설계되었다. 이는 과학, 기술 및 공학의 결과물에 적용되며, 예술 및 문학과는 차별화된다. 방법론과 같은 연구의 결과를 보호한다는 것이 특징이다. 또한 신규성이 있고 진보성이 있는 아이디어만 특허를 낼 수 있다. 아무거나 깃발을 먼저 꼽는다고 자신의 아이디어가 되는 것이 아니라는 것이다.Trade S.. 2024. 12. 8. Buffer-overflow attack lab (5) Task 4: Address Randomization우리는 버퍼오버플로우 대응책들을 비활성화 한 채로 시작했다. 이번에는 해당 대응책을 다시 활성화 한 후에 실험을 진행한다. 아래의 명령어를 가상머신에서 수행하여 Address SpaceLayout Randomization (ASLR)을 활성화 한다. 아래의 명령어는 global 하게 적용되기 때문에 컨테이너에도 적용되는 것을 알 수 있다.Server-1 에 hello 신호를 보내 보고, 서버의 아웃풋을 관측해라. 해당 신호를 여러 번 반복해서 보내 보아라. 어떠한 특징이 있는가. 이것이 우리의 공격을 어렵게 만드는 이유에 대해서 설명하라. 항상 하기전에 도커 서버를 켜야한다. 깜빡하고 있으면 나처럼 서버를 키지도 않고 30분동안 왜 안되는지 고민하는 불.. 2024. 12. 8. Buffer-overflow attack lab (4) Task 3: Level-2 Attack본 task 에서는 서버가 주요 정보를 출력하지 않게 하여 공격의 난이도를 높인다. 이번 공격의 타겟은 10.9.0.6 서버이다. (포트는 여전히 9090을 사용함) 이번에는 버퍼의 주소 값 만을 제공하는 것을 알 수 있다. 즉, bof값은 더 이상 제공하지 않는다. 즉, 버퍼의 크기는 더 이상 우리가 알 수 없는 값이다. 따라서 공격을 수행하기 어렵다. (물론 Makefile 을 확인하면 실제 버퍼의 크기를 알 수 있으나, 이 파일을 열어서 버퍼의 크기를 확인하지 않고 task 를 수행해야 한다. 왜냐하면 실제로 공격을 수행하는 공격자는 이러한 정보를 알 수 없기 때문이다.) 공격을 단순하게 하기 위하여 버퍼의 크기가 주어져 있는 상황을 상정한다. 또 다른 힌트로.. 2024. 12. 8. Cloud Computing Cloud Computing클라우드 컴퓨팅이 쓰이는 방식은 다음과 같다. On-demand self-service사용자가 필요에 따라 리소스를 추가하거나 제거할 수 있다. Broad network access모바일, 데스크톱, 메인프레임 등 다양한 장치를 통해 네트워크로 접근할 수 있다. Resource pooling여러 사용자가 리소스를 공유하며, 필요에 따라 리소스가 동적으로 재할당될 수 있다. 이 과정은 사용자에게 보이지 않게 이루어진다. Rapid elasticity고객의 요구에 따라 서비스가 자동으로 빠르게 확장되거나 축소될 수 있다. Measure service수도, 가스, 전화 서비스와 같이 사용량을 측정하여 요금을 청구할 수 있다.Service Models클라우드 컴퓨팅 서비스 모델은 다음.. 2024. 12. 8. Cryptography Method of CryptographyCryptanalysis는 암호 해독 또는 암호 알고리즘의 약점을 찾아내는 과정을 말한다. 주요 방법은 다음과 같다.단일 메시지의 해독 (Break a single message)암호화된 하나의 메시지를 해독하는 것을 목표로 한다.암호화된 메시지에서 패턴 인식 (Recognize patterns in encrypted messages)암호화된 메시지의 패턴을 찾아내어 의미 있는 정보를 추출한다.암호 해독 없이 의미 추론 (Infer some meaning without breaking the encryption)메시지의 길이나 빈도와 같은 정보를 기반으로 암호를 해독하지 않고도 의미를 유추한다.키 유추 (Easily deduce the key)한 메시지를 해독한 후.. 2024. 12. 7. Privacy What is PrivacyPrivacy는 내 데이터를 어디까지 누가 봐도 되는가를 결정할 수 있는 권리라고 볼 수 있다. Private하겨 여겨질 수 있는 다양한 종류의 데이터가 있다. 신원 (Identity): 이름, 주민등록번호 등 개인 식별 정보.재정 정보 (Finances): 은행 계좌, 신용 카드 정보 등.건강 정보 (Health): 의료 기록, 병력 등.생체 정보 (Biometrics): 지문, 홍채, 얼굴 인식 데이터 등.특권적 커뮤니케이션 (Privileged communications): 법적, 기밀 대화 내용.위치 정보 (Location data): GPS 데이터, 현재 위치 등최근들어 소프트웨어와 인터넷의 발전으로 인해 데이터의 주체 (Subject)와 데이터의 소유자 (Owner.. 2024. 12. 7. Buffer-overflow attack lab (3) Task 2: Level-1 attack제공된 docker-compose.yml 파일을 실행하여 컨테이너들을 실행하면, 네 개의 서로 다른 난이도를 갖는 네 개의 컨테이너가 수행된다. Task 2 에서는 level 1에 대한 공격을 수행한다.첫 번째 공격 대상은 10.9.0.5에서 port 9090으로 수행된다. 그리고 취약한 stack 프로그램은 32비트 프로그램이다. 우선, 정상적인 메시지를 서버에 전송해 보자. exploit.py 코드를 아래와 같이 수정해준다.그리고 코드를 실행하면 아래와 같이 작성 완료했다는 메세지가 뜬다.아래 처럼 Docker 컨테이너 내부에 접속하여 작업할 수 있도록 인터랙티브 쉘을 열어서 내부 프로세스를 확인하고 root의 권한으로 쉘이 열렸음을 확인할 수 있다. 위 모습이.. 2024. 12. 7. 이전 1 2 3 4 5 ··· 48 다음 728x90
