Real Geeks

ISEC 2010 CTF 본선 운영본부 셋팅중

카테고리 없음
ISEC 2010 CTF 해킹대회 본선이 개최되는 코엑스입니다.

2층이 CTF해킹대회장이며, 와우해커와 쉬프트웍스는 뜬눈으로 아침을 맞으며 대회 본선 준비를

하고있습니다.

아.. 너무너무 졸리다. 하루종일 한숨도 못잤는데, 내일 또 못자는군..

오늘 아침 9시부터 낼아침 9시까지 풀로 달려야합니다.

한시간 후면 해킹대회 시작..



개인정보관련 다른 앱에 관한 이야기

카테고리 없음

제가 이 제 개인 블로그에 포스팅 한 아래에 2개의 포스팅 
때문에 회사까지 문의가 와서 업무처리 때문에 
일일이 답변하기 어려워, 또 
포스팅을 또 해봅니다.
더 이상 포스팅을 안하려 했지만, 증권통 앱말고 
어떻게 동의를 받는 
것인지 앱 개발 업체들도 문의를 하여서 가볍게 포스팅해봅니다. 

조금이나마 참고하시면 도움이 되실지 모르겠습니다.

아래 내용을 참고해주시면 좋겠습니다.

1. 앱을 검색합니다.

2. 다운로드 하기전 이 앱이 어디에 엑세스 하는지를 알려주는 내용을 보여줌과 동시에
   설치 버튼을 누르면서, 설치가 됩니다. 
   <이부분은 이 앱의 안드로이드에 대한 퍼미션을 말하는것 입니다.>
   엄밀히 말하면 구글 안드로이드가 제공하는 부분이구요. 마켓의 앱이 어떤 권한을 사용하는지를 
   말하는. 만약, 안드로이드 마켓에 휴대폰정보 억세스 관련된 부분이 당연히 보여지겠고요
   휴대폰 번호 수집하는 앱이 마켓에 있다면, 이것은 사용자가 동의하고 휴대폰 번호를 
   제공하는 것일까요? 그렇다면 모든 안드로이드 마켓에 올려진 앱을 이용한 개인정보 수집은 
   문제가 없다라는 말이되겠지요. 하지만 억세스만 하고 폰번호가 있는 실제 사용하는 폰이라는 
   것만 내부적으로 체크한다면 문제는 없을것 같은데요? 데이터의 유출이 없으니까요. 하지만 
   폰번호를 가져간다면, 동의를 받아야겠지요 

3. 고로, 억세스만 하는 것과 추출하여 앱개발사의 서버로 전송하는 것과는 다르다고 생각합니다.

4. 좋은 한 예를 들수있는 앱이 있어서 참고해봅니다. 
 
  프로그램 다운 설치 후 실행 전 모범적인 동의창을 보여주어, 사용자들에게 이 앱에 대한 위치사용
  권한을 물어보는 것 입니다. 사용자가 싫으면 거부하고 안하면 되니까요. 
   
  이런 동의를 말합니다. [스크린샷 참고]
   
   프로그램 실행 후 나오는 동의 창입니다.

                  동의하면 쓰는거고, 거부하면 안쓰는것이고..

5. 동의를 했으니 이제 사용을 하면 될 것 같습니다.


END

월말 업무 처리때문에 메일 답장 및 블로그 댓글을 잘 확인 하지 못할 수 있으니, 이점 양해 부탁드립니다. 



이토마토 증권통 앱 분석 및 쉬프트웍스 관련 보복성 공격 악성 기사 배포에 대한 생각

카테고리 없음
[추가1] 내용중에 최저가 입찰 어쩌고 저쩌고 해서, 몇몇 사람들이 최저가백신이라는 말을 하시는데,
금결원 입찰해보셨는지요?

1차 선정이 기술적인것과 제품 자체에 대한 평가를 하고 1차에서 선정된 제품중 가격점수와 제품점수로해서
최종적으로 선정하는것입니다. 일부 내용을 모르고 최저가 선정이라는 보도내용이 있는데 이는 잘못된것입니다.
1차선정에서 V3 모바일, 브이가드, 안심백신 이 1차 선정되었었으며, 안랩제품과 가격차이는 많이 없었습니다. 
이점은 알고 계셨으면 좋겠습니다. 참고로 저희는 빽도없고 영업망도 약한 회사입니다. 잘못된 내용을 뿌려버려서
그거에 대한 설명하기도 참 힘드내요. END

[추가2] 세마포어솔루션 이창원 대표님이 쓰신 공지글에 휴리스틱(행위기반의 탐지) 기능을 우리가 빼버렸다고  하셨는데, 엔진 기능이므로 빼지 않았습니다. 그부분은 참고해서 공지글로 작성해주셨으면 합니다. 그리고 서로 협조해서 증권통에 도움을 드리려고 하는중에 초저녁부터 공격성 보도자료로 먼저 공격한곳은 이토마토 측입니다. 괜히 우리가 블로그 포스팅하고 그러는건 아닌거 아실텐데요 참고부탁드립니다. 대표님.  저희 공격적이거나 나쁜사람들이 절대로 아닙니다. 부드러운것을 좋아합니다. END

----
혹시 이토마토 관계자분이 본다면 꼭 부회장님께 이 이야기 전달해주세요,

[이토마토 !! 제발 본래의 논쟁만 가지고 이야기 합시다. 브이가드 vs 증권통 앱] 
 
다른 이유들이 우리 두회사간에 관계가 있을지요? 로그인방식 바꾸시고, 보안성을 좀더
강화한다면 사용자들이 이용하기에도 더 좋은 앱이 될것입니다. 
이것이 우리가 이야기하는 이유입니다. 손바닦으로 하늘을 가리려고만 하시면 안된다고 배웠습니다.
사업하는 사람으로 나도 일을 해야하니, 월말이고 하니, 앞으로 해당 관련 포스팅은 없을것입니다. 일이나 해야겠지요 꼭 어르신과 장기나 바둑 두는 기분입니다. 굳이 상대하지 않아도 될일었다는 것을 인지하였내요. 휴가기간이라 좀 여유가 있었는데, 앞으론 일만 해야할것 같내요.  이상 젊은 경영자가 연장자이신 경영 선배님이신 이토마토의 부회장님께 감히 말씀 드렸습니다.
-----

상세한 내용을 적어서 포스팅을 당일날 했었지만, 똑같은 행동을 하면 똑같이 저급 취급을 받을것 같아서, 
비공개로 돌려놨지만, 다시 포스팅해봅니다. 어디까지나 개인블로그이며, 제 생각을 담았습니다.
우리의 유일한 대화창구입니다. 

이토마토측은 쉬프트웍스 관련 뉴스 기사들이 참 어처구니가 없는 사실들임이 분명함과 관련된 자료들을 대거 확보하고 있고 매체사를 가지고 있다는 이유로, 자신들의 앱이 잘못된 점을 수정할 생각은 안하고, 지속적으로 공격을 하고 있습니다. 

"자신들의 앱에 대한 구체적 해명이나 주장이 아닌 여기저기 사람들을 다 끌어들이는 행동이 보기 좀 그렇네요"


저는 이토마토에 대한 아무런 감정이 없습니다. 일단 저기를 이번에 처음 알았구요,  굳이 회사 자체에 대한 
비방이나 그럴 이유가 없지요. 그래도 거기 오너분도 엄청 고생하실 거라 생각이 들고 공감이 가기 때문입니다.
죄송하지만, 우리는 잘못하면 인정합니다, 그게 아니라서 끝까지 할말은 하겠습니다. 
강자가 약자를 공격해서 찌글어진다면, 기술력으로 성공해보자하는 대한민국의 젊은 벤처기업이 설자리가
있겠습니까. 숨어서 애국자 노릇한다고 누구하나 격려해주지도 않는데 대한민국 정보보호를 위해서 잠안자고
항상 연구하고 열심히 살아가는 평범한 서민들입니다.

거기는 돈도 많고 뉴스보도도 할수있고 자본금도 우리보다 많고 한데 도대체 왜그러시는지들...

암튼 나중에 인사올리러 회사에 찾아 뵈면 만나주십시요.

중요한것은, 

고객의 스마트폰에서 아주중요한 개인정보를 뽑아가고 있는것을 쉬프트웍스의 브이가드 제품이 탐지를 한것에
대한 수정 조치는 생각도 안하고 우리가 잘못되었다고 일방적인 공격과 비판이 있는 이토마토에 대해서 불쾌감이
아주 많습니다.

분명한것은 토마토뉴스의 회사인 이토마토(토마토TV도 같은회사인것같내요 CATV 채널있었는데 같은지요?)에서 
안드로이드 증권 앱인 증권통 이라는 프로그램은 "인증이 없이" 증권 정보를 볼 수가 있는 편리한 프로그램이라고
강조합니다. 

대충 짐작으로도 30만명정도는 사용하는 프로그램이라고 보여지고요, 안드로이드 마켓 순위 탑에 올라갈정도로 
인기가 많은 앱입니다. 

저또한 개인적인 입장으로 볼때 피해자가 될수가 있겠군요, 저도 사용중입니다.
이 앱은 로그인 절차 없이 편리한 사용이라는 강점을 강조하는데, 그것이 될 수 밖에 없는 이유는 바로 고객 스마트
폰 단말기에서 전세계적으로 유일한 값 바로 전자적으로 부여한 고유 번호로 IMEI 라는 값과 통신사에서 등록하여
서 사용하는 USIM의 고유넘버를 가지고 인증를 하고 있습니다.

IMEI에 대해서 해킹이 되냐 안되냐 하는 문제를 왈가왈부하시는데, 해킹 여부보다는 폰 복제나 다른 위험성에 대해
서 아주 민감하며, 해외사례도 있듯이, 이 IMEI는 해당 스마트폰의 인감증명서 혹은 주민등록번호? 국제적으로 
고유한 값이니 아마 여권이라고 생각을 하면 쉬울 것 같습니다.

이 개인정보를 고객의 동의 없이 이용하는데, (참고: 안드로이드 마켓에서의 보여지는건 그앱이 어떤 행위를 하는
지 구체적으로 보여주지 않습니다. 일반 사용자들 특히 IT와 관련없는 대부분의 사람들은 인식을 하지 못하는정도
입니다.) 
앱에서 정확한 약관으로 최초 실행시 앱에서 어떤어떤 용도에 의해서 USIM 넘버와 IMEI 값을 가지고 인
증을 한다 라고 말을 해줬어야합니다. 그리고 해당 데이터들은 어떤 데이터인지 인지를 시켰어야 합니다.
실제로 중국등 짝퉁 휴대폰 제조업체들은 이 IMEI 값을 밀거래로 대량으로 구입을 하여, 폰복제나 짝퉁폰 제작에
사용하고 있습니다. 이런 위험성이 있구요, 개인정보 도용이 분명한 부분입니다. 해당 정보 수집이 잘못되었던 안
되었던 분명히 문제가 있는 부분입니다.

자. 스마트폰 사용자들은 자신이 산 스마트폰의 메뉴얼을 잘 보십시요.

제일 앞에 보시면 대부분 IMEI 관련되서 복제나 도용등에 대한것을 엄격히 통신비밀보호법에 의하여 처벌 받는다
고 되어져있습니다. 현재 일본에 계신 현직판사님에게 확인한 결과, ESN이나 IMEI 라고 규정한것이 아니라 모두 해당이 될수 있다고 말씀하셨습니다. 

자신이 소유한 폰 자체에 대한 IMEI 관련 된 부분도 문제가 되는데 이러한 아주 중요한 전자적으로 부여한 고유번
호를 서버에서 수집하고 그것을 인증 절차로 사용된다면 분명히 문제가 있고, 정보보호를 하는 입장으로써는 당연
히 해당 앱을 위험할수 있다라고 경고 할 수 있습니다.

"위험" 과 "바이러스" 혹은 "악성코드"로 진단하는 것은 분명히 다릅니다.

세계적인 백신 카스퍼스키나, 비트디펜더 백신들을 봐도 위험할 수 있는 파일을 경고는 해줍니다. 사용자의 알권리
와 개인정보보호를 위한 선택의 기준으로 정보보안을 하는 사람으로써는 알려줄 의무가 있다고 봅니다.
개인정보를 뽑아가는 것을 위험할 수 있다고 알려주는 것이 정보보안을 하는 사람으로써 잘못된 행동인지요?

이번일에 대한 제가 생각하는 문제점들을 정리해보면 다음과 같습니다.

1. 개인정보를 무단으로 추출하여 수집하고 해당 앱 회사의 웹서버로 암호화도 없이 전송하여 해당 정보를 이용
    -> 현재는 업데이트 되었더군요 (업데이트된 내용 여전히 가져갑니다.)

 앱공지사항에는 하드웨어 고유정보 말고 다른걸 이용한다
  하였으나 역시 정보를 뽑아감. 공지사항에 사용자를 우롱하는 거짓을 올려 놓음.

스샷만 아이폰으로 했습니다. 공지는 동일함

 
새로운 ID 를 사용한다고 했는데, 기존에 개인 스마트폰 정보를 뽑아서 이용한
증권통 앱이 이제는 아닌지 검증이 필요한대 변경된 내용은 다음과 같습니다

기존 암호화 없이 그대로 고유 개인정보를 추출하는것 에서 이렇게 바뀌었습니다.
통신과정에 암호화를 해서 고유 개인정보를 추출로..

암호화는 일반적인 BASE64의 형상을 띠며,  공개키를 이용하는 다른 암호화로 먼저 암호화를 먼저 하는것
같습니다. 

물론 비밀키를 모르니 복호화는 못하겠지만, 굳이 암호화를 깨지 않고도 쉽게 알수는 있죠 키값 찾기전에 BASE64로 인코딩 되기 전의 데이터는 아래와 같습니다.

기존에 이런 방식에서
   21 17.669922 192.168.1.123 211.117.62.44 
   HTTP GET /mobilestock/noticecheck.aspx?device=android&v=37&uid=354636*********---89820************** HTTP/1.1   (일부는 * 로 처리하였음)

이렇게 바뀌었습니다.
58 26.034698 192.168.1.123 211.117.62.44 HTTP GET /mobilestock/noticecheck.aspx?device=android&v=38&uid=GUIDlnyL9RZKnwmU4Jj6ccqKnN2ffX_k9s_iqDXgdnUsMBzyRkEJHgHGo-*********- HTTP/1.1   (일부는 *로 처리하였음)

 [에뮬레이터에서 확인 값, 아래 값은 에뮬레이터에 할당된값]
  08-28 04:30:06.331: INFO/lcw(247):  
  userID=000000000000000---8901410321111*******


 정황으로 보아  
 위 데이터 전달 , 키 전달 -> 전달받은 키로 공개키 암호화 -> BASE64 암호화를 해서 서버로 전달 
 서버에서 비밀키로 역으로 복호화 사용자 인증 및 사용일 것 같습니다.

  즉, 앱에서는 공개키를 전달하고 서버에서는 비밀키가 있겠지요. (뒷자리는 * 로 표시)

   통신과정에 암호화 추가한거 빼곤 기존과 달라진것이 없죠?
   암튼 기존처럼 빼긴 뺍니다. 나도 사용자고 나는 동의한적이 없다. 왜빼가는가. 동의로 볼만한
   알림창을 본적이 전혀없다.

   저도 해당 앱 유저로써 말씀드리자면, 구글어카운트 인증이나 다른 인증을 사용해주십시요,
   아래에서도 다루겠지만, 해외에 유사한 앱은 구글 어카운트 인증을 하고 있습니다.
   왜 하필 저걸로 인증을 하시는지요.






안드로이드 보안팀의 Nick Kralevich 가 언급한 신뢰할 수 있는 안드로이드 어플리케이션 개발에 필요한 8가지 팁을 보면 좋은 참고자료가 될 수 있습니다.

1. 개인 정보 보호 정책을 유지한다.
2. 퍼미션 사용을 최소화 한다.
3. 데이터 수집 여부를 사용자가 선택한다.
4. 불필요한 정보는 수집하지 않는다.
5. 장치 외부로 데이터를 전송하지 않는다.
6. 필요한 데이터는 암호화처리 및 최소화한다.
7. 이해하지 못한 코드는 사용하지 않는다.
8. 디바이스 또는 사용자 고유 정보를 기록하지 않는다.


http://android-developers.blogspot.com/2010/08/best-practices-for-handling-android.html 

2. [삭제] -> 핵심 키포인트는 나중에 상황에 따라 공개

3. 암호화 없이 전송을 하므로, 해당 데이터들이 최근도 논란이 되고 있는 무선랜 스니핑등으로 무작위로 노출이 될 위험 요소를 가지고 있음
   -> 현재는 업데이트 되었더군요.[패스]

4. 해당 회사의 최고 책임자? 부회장님? 암튼 어떤분이 오히려 이러한 프로그램을 백신이 잡는다고 역으로 고함
    을 지르고 신변의 위협을 느낄정도의 큰 목소리로 본적도 없는 분이 한 회사의 대표에게 반말등으로 모욕감
    을 주었음 ㅜㅜ 

5. 해당 회사에 전화를 다시 하여 좋게 해결을 해서 마무리를 지으려고 했지만, 그 회사에서는 앞으로도 계속
   브이가드 관련된 기사를 계속 내보낼것이라는 말을 하며, 상황 해결을 거부하였음
   -> 지금까지도 계속 기사 올라오는군요, 휴일에도 괜히 기자님들만 고생하는듯.

6. 사실과 다른 내용과 그리고 증권통 앱이 아닌 다른 이슈로 저와 회사에 대한 이미지 실추는 물론이고 기사가 
    나간 후로 전화만 받았음 ㅜㅜ

7. 전형적인 보안 불감증을 나타내주는 행위를 하였음 . <소 잃고 외양간을 고치겠다는 말>

8. 이용자의 동의라고 간주하는데 개인 이용자인 저만해도 어디 동의 했다라고 볼수가 없음. 약관이 동의창이 있어
   야함. <해당업체측에 직접 이런저런 내용으로 동의창을 앱내에서 띄워야지, 사용자는 구글의 경고메세지를 
   이해하기 어려움이 많음>

9. 해킹이 당하냐 안당하냐, 복제가 되냐 안되냐를 가지고 운운할것이 아닌 개인정보를 평범한 사용자들이 인지
   할 수 없는 상태에서 추출 및 서버로 전송하며 암호화 절차도 없는것이 개인정보유출에 대한 문제이다. 
   -> 지금 이슈에 대해서는 해킹여부는 관심조차 없답니다. 우리가 지금 모의해킹서비스나 관제서비스 
        해드리는거 아닙니다. 악성코드나 유해프로그램 진단 및 경고 조치입니다. 단지 왜 내 하드웨어 정보를 빼냐
        이겁니다.

10. 올바르지 않은 논리로 회사 사업에 대해 왈가왈부.
       -> 잘못된 주장을 하시는게 우리는 증권뉴스에서 증시알려주듯 보안경고 해주는겁니다.
       우리보고 "왜 니들이 악성코드를 진단하고 연구하냐" 고 했지요? 
       그럼 왜 그쪽은 증시정보 제공합니까? 각자가 하는 사업분야입니다. 
       유명한 팍스넷이나 각각의 증권사들이 있는데 왜 하필 증권정보를 제공하냐? 라고 이런 논리죠..

궁금증)
증권통과 유사한 해외 stocks 라는 앱을 보면, 구글 계정을 이용하여 인증을 하는 방식을 사용하고 전혀 하드웨정보를 이용하지 않음, 왜 증권통은 꼭 그것을 이용해야만하는가? 정말로 이해가 안갑니다.
제가 그 증권통 만들었다면 그렇게 안했을겁니다.

불법적으로 최악의 나쁜상황으로 가능한 시나리오로 풀어본다면 혹시 중국 짝퉁폰 업체에 팔아먹으려고 하는가?
시나리오를 저만의 상상을 해본다면... (상상입니다)
건당 만원씩 x 30만명 = 30억원.. ㅜㅜ  이런 나쁜일도 가능할수는 있지요, 이것은 그냥 상상입니다. 어디까지나.

---
화제를 잘 바꾸고, 그러지 않았었으면 합니다. 아까 증권통 앱을 배포하는 이토마토에서 기고를 한 글을 봤습니다.

번외로, 기고하신 그 어떤 익명의 알수없는 분에 대한 아무런 감정이 없지만, 이토마토가 공격을 하니 한마디 올리자면. 리눅스 백신 가지고 말씀하셨는데, 아시다피 리눅스 백신이 있습니다, 그리고 OS는 서버용을 위주로 말씀을 하시고 개인 휴대 단말기용으로 최적화 되서 나온것과는  비교하는것은 말이 안되는것 같습니다. 그리고 루트권한 말고 개인정보 불법 추출 및 사용에 대한것이 팩트였습니다.  단말기 도용보다는 그것을 말한것입니다.

서버는 실제 서비스가 돌아가는 원격 해킹이라던가 웹해킹등에 대한 취약점 방어가 우선이지, 그 안에서 돌아가는
실제로 먼가 행위를 하여 개인정보나 악성코드등에 대한 방어가 개인휴대기기에 비해서는 그다지 많지 않습니다.
그 논리라면 안드로이드폰에 대한 보안컨설팅도 필요하겠군요, 

그 기사를 보고 제 생각은 리눅스 콘솔에서 인터넷 뱅킹을 하십니까? 리눅스 서버를 가지고 평상시에 휴대하고
다니면서 사용하시는지요? 기반은 리눅스라 하지만, 엄연히 사용목적이 다른 부분을 가지고 비교를 하는 것 
같습니다.

관점이 다른 부분을 리눅스 커널을 사용한다고, 같은 맥락으로 말씀하시는 것은 좀 잘못된 부분이라고 봅니다.
아예 임베이디드 리눅스까지 함께 비교를 안한것이 다행이군요. 리눅스 커널을 사용함에 있는데도 말이죠.

기고하신분은 당당히 우리 사무실로 와주셔서 이런저런 이야기 나눠봤으면 좋겠습니다. 비밀댓글로 연락처 남겨주시면 감사하겠습니다. 대외적으로는 노출절대로 안시키겠습니다.

참고로 읽어보실만한 자료들
영국 BBC 뉴스

IMEI 불법복제 및 테러 및 국가안보 위협하는 범죄 (중앙일보)

전파법 관련 이야기를 다룬 포스팅

IMEI 추출에 관한 한 업체의 메뉴얼 (5페이지 참고)

모토로라 모토로이 메뉴얼 (1페이지 참고) - 제가 사용하는 안드로이드폰 업체

IMEI 변경사용의 한예를 보여주는것


오늘 기사에 대한 내용에 대한 의견
우선 오늘 나간 이토마토 기사에 대한 의견 몇가지 
<기사 위에 내용들 이미 많이 이야기했고, 말해봤자 입만아프고, 우리가 범죄단체로 규정한적없고, 모든앱을 가지고 말하는것도 아니니. 패스.>

IMEI란 휴대폰 본체에 적인 일련번호로 폰 분실 때 악용을 막기 위한 식별고유값이고, 폰 본체는 물론 포장케이스에 적혀 있기도 하다. -> 있는 경우도 있겠지만 나는 본적이 없다.
그리고 분실해서 유출되나 추출해서 사용하나 똑같은거 아닌가?
 
또 USIM 시리얼넘버는 칩 외부에 적힌 식별번호로 칩 내부에 암호화된 개인정보와는 무관하다.  -> 암호화된 개인정보를 가지고 머라고 한적이 없다. 갑자기 또 새롭게 튀어나오는?
 
KT 관계자는 “USIM 복제는 시리얼넘버나 IMEI를 알더라도 불가능하고 유심이 복제된 사례도 없다”며 “그렇게 중요한 정보라면 왜 휴대폰과 유심에서 누구나 이 정보를 볼 수 있게 해놨겠냐”고 말했다.  -> USIM 복제에 대한 부분을 가지고 머라하는 것이 아니다. 이 말은 또 갑자기 튀어나오는 말?
 
SK텔레콤 관계자는 “3세대 이동통신단말기에 유심을 도입할 때 이런 문제가 없는 지 확인한 결과 전혀 문제될 것이 없었다”며 “시리얼넘버나 IMEI로 도대체 어떻게 휴대폰을 복제할 수 있다는 것인지 모르겠다”고 말했다.  -> 해본적이 없고 본적이 없고 모르겠다는 것같다. 그리고 유심 도입이 잘못되었다는 말이 아니다. 증권통앱에서 굳이 꼭 가져가지 않아도 되는 정보를 가져가는 것을 문제점을 지적한것이다. 왜 굳이 그 인증방식을 이용하는지를..

<해당 기자님은 저희 사무실에 오셨던 매력적이신 여기자님이 쓰셨군요, 라섹수술때매 고생하시던데.빠른쾌유 빌겠습니다. 다음에 좋은얼굴로 식사한번 하시지요, 이 이슈가 끝나고요~>


이상 더 이상의 포스팅은 생각이 없습니다.
사업에만 전념할 것이며, 부디 이일이 좋은 관계로 잘 풀렸으면 좋겠다는 생각을 합니다.

긴 장문의 글 두서 없이 읽어주셔서 감사드립니다. <마무리글이 좀 매끄럽지 않아서 수정함>

END

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

미국내 전화 무제한 무료로 하는 방법

카테고리 없음

무료 국제 전화가 될수있습니다. 저는 현지에서 사용을 했기 때문에 국제전화는 아니었지만.
인터넷 스피드가 빠른 한국에서는 더더욱이 좋은 통화음질을 보여줄것 같습니다.

소개할 앱은 whistle phone 입니다.



아아폰 가지고 계시는분은 다운받아서 써보세요

사용방법은 이렇습니다.

앱을 다운받고

가입을 합니다.

이메일로 온 링크를 따라서 활성화를 시키시고.

Whistl phone을 실행 시키세요, 그리고 Existing Account 를 클릭하시고 , 부여받은 번호를 넣습니다.

이 부여받은 번호로 전화를 해도 받아지지는 않습니다.

그리고 가입시 넣었던 비밀번호를 넣어시면 활성화가 끝납니다.

미국 현지의 시내 전화는 무제한으로 무료입니다.

단, 전화걸면 아주 짧은 광고를 들으시면 됩니다.

귀찮지 않을정도의 광고이구요,


미국 현지의 동생과 통화를 해봤는데 한 30분간.. 통화음질도 좋고 전혀 불편함이 없더군요 ^^

http://itunes.apple.com/app/whistle-phone/id322326573?mt=8


공식 웹사이트주소는 http://www.whistlephone.com/ 입니다.



PC용과 MAC 용도 있습니당. ^^

라스베가스 데프콘 18

카테고리 없음


이번에 라스베가스 데프콘 18 등록하는데 줄이 별로없드라..

예전엔 매우 긴줄을 서서 티켓을 구입했는데, 여기도 불경기 탓인가? 아니면. 내가 운이 좋은것인가?

줄도 안서고 그냥 티켓 편안하게 구입하고 티셔츠 구입할때 도 별로 기다리지 않았다.

티셔츠는 작은 사이즈들이 별로 없고 아예 왕사이즈들만 좀 남았었는데..

오늘 이제 시작이구나...

어제 GON-PLUS 애덜 밥 사먹이고, 응원을 좀 했는데..

느낌에 최소 3등은 할듯싶은 느낌? 이왕이면 한국팀이 1등했으면 하는 진심어린 바램이있다.

우리 와우해커는 내년에 반드시.. 상위권성적에 한번 올라보고,, 데프콘 CTF는 이제 정리를 좀 해야할듯..

와우해커 자체의 확장과 와우해커를 좀더 이쁜 그림으로 만들어봐야겠다.


테스트 때매 어쩔수없이 겔럭시S 구입 ㅜㅜ

카테고리 없음
겔럭시S를 구입했는데 몇일이나 쓴다고 구입을햇는쥐..

물론 10만원주고 나머진 할부로 해서 구입을함.

제품이 없다는것같은데 내가 간 매장에는 제품이 아주 많았음

겔럭시S

VGUARD 백신 실행

뒷모습


초당 1기가 DDoS 공격 먹음 ㅋㅋ

카테고리 없음
초딩 1기가씩 먹으니 맛있구나~~

더 때려죠... 

지화자..

결국은 막음.

지화자~~

휴휴휴..


안드로이드 스마트폰 악성코드 국내 발견

카테고리 없음
- 쉬프트웍스, “휴대폰 정보 수집 악성코드 20여 건”

[디지털데일리 이유지기자] 안드로이드 기반 스마트폰 악성코드가 국내에서 발견됐다.

스마트폰 백신 개발 업체인 쉬프트웍스(대표 홍민표)는 28일 “안드로이드 스마트폰을 겨냥한 휴대폰 정보 수집 악성코드 수십 건이 발견됐다”면서 “사용자 주의가 필요하다고 밝혔다.  

쉬프트웍스에는 지난 3월 18일 국내 최초로 미래에셋 모바일 트레이딩 서비스에 상용화된 안드로이드 백신 사용자 신고가 매일 50건 이상 접수되고 있다.

이를 기반으로 패턴파일을 분석한 결과, 20여 건의 휴대폰 정보수집 악성코드를 발견했다고 회사측은 설명했다.

이들 악성코드는 수집한 휴대폰 번호를 이용해 스팸이나 광고에 사용하고 있는 것으로 분석됐다.

뿐만 아니라 휴대폰 복제나 도청을 가능케하는 IMEI 정보 수집 악성코드도 발견했다. IMEI(International Mobile Equipment Identity)는 휴대폰 고유 키값 등 단말기 식별정보다.

홍동철 쉬프트웍스 팀장은 “휴대폰 정보를 수집하는 악성 애플리케이션은 실행과 동시에 서버로 휴대폰 내용을 탈취하는 종류가 가장 많고, 사용자 인증을 하는 것처럼 휴대폰 정보를 빼가는 경우도 있다”면서 “악성코드 진원지는 안드로이드 스마트폰을 가장 많이 사용하는 미국인 것으로 분석됐다”고 말했다.

이에 따라 안드로이드폰 사용자 주의가 요구된다.

쉬프트웍스는 최근 발견된 악성코드는 쉬프트웍스 엔진을 사용하는 스마트폰 백신인 ‘브이가드(VGuard)’나 코스콤이 증권사 등을 통해 제공하는 ‘안심백신모바일’을 사용해 검사·치료할 수 있다고 밝혔다.

그러나 현재 증권사 등 특정 금융기관의 모바일 서비스 구동시를 제외하고는 현재 안드로이드폰 개인사용자가 안드로이드 마켓 등을 통해 안드로이드용 스마트폰 백신을 구매해 내려받을 수는 없는 상황이어서 대책이 요구된다.

현재는 시중 공급되는 안드로이드폰이 모토로라 ‘모토로이’, LG전자 ‘안드로원’에 불과하지만 2분기 중 삼성전자, 모토로라, HTS 등이 잇달아 출시를 예정하고 있어 사용자가 점차 확대돼 자칫 악성코드 감염로 인한 피해가 커질 수 있기 때문이다.   

그 중에서 삼성전자, LG전자는 안철수연구소와 계약을 맺고 오는 5월부터 안드로이드폰 신제품이 출시되는 대로 안드로이드용 백신을 공급할 예정이다.

안철수연구소는 “아직 내부적으로 안드로이드 악성코드 감염 사례를 발견하지 못했다”며, “만일 피해가 발생하면 최근 윈도 모바일 악성코드가 발견된 경우와 같이 전용 백신을 개발해 제공할 수 있고, 삼성·LG 안드로이드폰 백신은 출시와 동시에 제공될 것”이라고 말했다.

<이유지 기자>yjlee@ddaily.co.kr

안드로이드 겨냥, 폰 번호 수집 악성코드 수십건 발견!

카테고리 없음
안드로이드 겨냥, 폰 번호 수집 악성코드 수십건 발견!
[입력날짜: 2010-04-28 14:55]
     

휴대폰 번호 빼내 스팸발송에 사용...백신설치 등 이용자 주의해야!


안드로이드 스마트폰 보급이 본격화 되면서 안드로이드폰 사용자 휴대폰 번호를 전문으로 수집하는 악성코드들이 발견되어 이용자들의 각별한 주의가 요구된다. 


보안전문 업체 쉬프트웍스(http://www.shiftworks.co.kr/) 홍동철 팀장은 “휴대폰 정보를 수집하는 악성어플리케이션을 분석한 결과 현재 발견된 것만 수십건이 넘게 있다”며 “폰 번호를 빼내가는 악성코드 몇 건의 대략적인 내용은 악성어플리케이션을 실행함과 동시에 악의적인 서버로 휴대폰 번호와 IMEI 정보를 보내는 종류가 가장 많이 있다”고 밝혔다.


또한 사용자 인증을 하는 것처럼 속이고 정보를 빼가는 종류도 있으며 특정 기능을 실행하면 정보를 보내는 내용도 있다고 한다.

그는 또 “믿을 수 없는 메신저 프로그램에서 사용자 휴대폰 번호를 입력받게 하는 경우도 있으며 악성코드의 중심지는 대부분 미국”이라며 “안드로이드의 경우 마켓에 특별한 검증 절차가 없으므로 마켓을 통하거나 대부분의 사용자들이 인터넷에서 주로 관련 어플리케이션을 다운로드 받아서 설치 사용하다 감염되고 있다”고 경고했다.


수집되는 휴대폰 번호는 대부분 광고성 스팸을 발송하기위한 용도로 사용되고 있다.


쉬프트웍스 홍동철 팀장은 “ 안드로이드 스마트폰에 사용자들은 반드시 주의가 필요다”고 밝히고 “이러한 휴대폰 정보 수집 악성코드는 쉬프트웍스 엔진을 사용하는 증권사에 소프트시큐리티와 함께 납품되는 VGuard나 코스콤의 안심백신을 사용해 검사 및 치료가 가능하다”고 덧붙였다.


얼마전 쉬프트웍스는 휴대폰을 복제 가능하게 할 수도 있는 IMEI 정보를 수집하는 악성코드를 국내 처음 발견한 바 있다.

(www.boannews.com/media/view.asp?page=10&idx=20469&search=&find=&kind=13)

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>