리눅스나 유닉스 서버의 안전한 shell 접속을 위해 SSH를 많이 사용 하고 있습니다.
하지만 그냥 그대로 사용하신다면 쉽게 암호화된 트래픽이 해독될 수 있습니다.

SSH는 버전 1과 2 두가지가 있습니다. 간단하게 두가지 버전을 비교해 보면...

ssh ver 1 : 키교환 Hybrid-Cryptography
=> Version Rollback MITM공격에 취약 (암호화된 트래픽 해독)

ssh ver 2 : 키교환 Diffie-Hellman
=> 다소간 취약하지만 ver 1보다 안전함

이렇게 비교 해 볼수 있습니다.

보통 버전 2가 당연 보안상으로 보다 안전하다고 알고 있기 때문에 2버전을 주로 사용 합니다,
하지만 서버와 클라이언트 간의 암호화 통신 이전에 어떤 버전을 사용할지 협상 하는 과정은
평문으로 전송됩니다.

그 과정을 MITM 공격으로 조작을 하면 Version Rollback 이 되고 취약한 SSH ver 1으로 통신하게 되고,
암호화 통신이 해독되게 됩니다.

그럼 해봅시다.

최근에 오랜만에 본 애니메이션 "시간을 달리는 소녀" 의 감독인 호소다 마모루 씨의

2003년 Louis Vuitton 프로모션 동영상이다..

시간의 달리는 소녀에서도 자주 쓰인 가상 공간을 날라다니는 장면은 여기서 유래한 것인가..

여튼 귀엽다....ㅋㅋ

Lou Dumont, Corton Grand Cru
와인의 종류 : 레드와인 (등급: AOC Grand Cru)
빈티지 : 2003
포도품종 : Picot-Noir 100%
국가/지역 : 프랑스 부르고뉴
지역/생산자 : Lou Dumont
알콜도수 : 13.5%
용량 : 750ml
음용온도 : 16-18 ℃
컬러 : 보라 빛이 도는 진 붉은색
아로마 : 체리류와 같은 작고 검붉은 레드 과일류의 맛과 향, 초코렛 향
맛 : 잘익은 탄닌과 산도의 베이스가 완벽한 밸런스를 이룬다.
풍부하고 부드러우며 감초 같은 향신료 맛이 여운을 남긴다.
약간의 스파이시함과 민트가 특징
어울리는 음식 : 색이 붉은 고기, 치즈
숙성 : 10년




처음으로 Grand Cru 등급의 와인을 마셨다.

돈이 없는 가난한 사람에겐 Grand Cru등급은 .... 털썩..

오렌지색 에티켓이 맘에 들었지만...

역시 나에겐 Grand Cru가 맞지 않는건지 별로 맘에 들지 않았다..

맛은 역시 비싼값을 하는구나.. 하지만.. 그다지 끌리지 않는 무언가..

오랜만에 매형과 누님이 집에 내려오신다는 소식에..

어머니는 평소에 하시지 않던 음식을 여러가지 준비 하신다고 바쁜와중에..

떡을 한상자 사오셨는데..

인절미와, 절편... 그리고 옆에 한꾸러미 요상한 모양의 떡?

떡인가.. 머핀인가... 겉 표면을 보아서는 소위 말하는 술떡이라 불리는 존재 같으니..

그러나 이 술떡에는 술이 들어가지 않는다는 사실....

쌀을 발효 시켜서 떡을 한다나? 근데 발효시키면 술이 되지 않나?

여튼 궁금증을 뒤로 하고 그의 자태를 보면...



오오... 마치 하얀 머핀 같지 않은가..

게다가 속에는 일반 커다란 술떡과는 달리 팥앙금이 들어가 있으니...

마치 어릴때 눈덩이에 조약돌을 넣어서 던질때의 눈덩이 같고..

말로 형용할수 없는.. 말랑말랑한 감촉에 달콤한 팥앙금이 조화를 이루었구나...

속안을 찍으려 하였지만 ... 어느새 다먹어버렸네...

NHN이 포털 업계 최초로 최고정보보호책임자(CISO:Chief Information Security Officer) 제도를 도입했다. 이에 따라 국내 기업에도 CISO 제도가 하나의 트랜드로 정착될 지 관심이 모아졌다.

　지난해부터 고객 개인정보와 사내 정보보호 강화에 힘써온 NHN(대표 최휘영)은 최근 CISO 임원 제도를 도입했다고 20일 밝혔다.

　CISO란 조직 내부에 정보보호에 대한 문제를 총괄하는 임원으로 더 나은 보안 체계를 구축하기 위한 계획을 만들고 실행하는 역할을 한다.

　NHN은 이 분야 선도적인 역할을 하는 기업으로, 최근 들어 정보보호의 필요성이 더욱 증대되면서 각종 보안 솔루션이나 제도 도입을 넘어 이 분야 최고책임자를 임명했다는데 의미가 있다.

　특히 NHN이 각종 솔루션을 도입할 경우 다른 포털과 인터넷 업계가 줄줄이 같은 시스템을 도입하는 사례를 감안하면 이번 CISO 제도의 운영도 상당한 영향을 미칠 것으로 보인다.

　국내에서는 현재 삼성전자와 LG필립스LCD 등 제조 대기업 2군데 정도가 CSO(Chief Security Officer)를 두고 있는데 대부분 기업에 정보보호를 담당하는 전문임원은 거의 없는 상황이다. 해외 주요 기업들이 CSO를 두고 있는 데 반해 국내 기업들은 최고정보책임자(CIO)가 CSO를 겸직하고 있어 보안에 대한 전문성이 떨어진다.

　NHN은 이번에 CISO 직을 신설하면서 고려대 정보경영공학전문대학원 정보보호기술연구센터의 이경호 교수를 영입했다. 이 교수는 삼성전자 정보전략그룹과 삼성SDS 시스템 보안그룹 등을 거쳐, STG시큐리티 부사장, 고려대 정보보호기술연구센터 교수 등을 거친 정보보호 컨설팅 전문가다.

　NHN은 CISO를 통해 현재 직면하고 있는 고객 개인정보보호 및 보안 규제의 정도, 내부자 정보보호, 네트워크 정보보호를 통한 서비스 신뢰성 향상할 계획이다.

　이석우 NHN 부사장은 “내부 정보보호 수준을 한 단계 향상하는 것은 물론 고객들에게 신뢰성 높은 서비스를 제공하기 위해 외부에서 전문가를 영입해 CISO를 신설하게 됐다”며 “전 임직원 체계화된 보안 정책에 따라 업무를 수행하는 모범을 보일 것”이라고 말했다.

오리고기 입니다.. 젝일..
잠시 책방에 가려고 집을 나와 친구녀석에게 전화를 걸었습니다..

Alpha : 모하는가?
로리군 : 지금 XXX에서 오리 먹는다..
Alpha : 배신자여~  혼자 오리고기를 먹는가...

ㄷㄷㄷㄷ 먹고싶... 아앍~~

오리 오리 오리 고기 고기.... -_-;;;;; ..

배신자녀석...

최근에 국내의 거의 모든 포털 사이트 들이 SSL을 이용한 보안 접속 서비스를 시행 하고 있습니다.

예전보다 상당히 보안에 강화되었습니다.  하지만.. 문제는 다른곳에 있습니다.

SSL 통신의 개략적인 절차를 말씀드리자면..

1. 클라이언트가 서버에 접속하면 서버인증서(서버의 공개키를 인증기관이 전자서명으로 인증한 것) 를 전송받습니다. 
   (이때, 클라이언트 인증을 필요로 할 경우 클라이언트의 인증서를 전송하게 됩니다.)

2. 클라이언트는 받은 서버 인증서를 분석하여 신뢰할 수 있는 인증서인지를 검토한 후, 서버의 공개키를 추출합니다.

3. 클라이언트가 세션키로 사용할 임의의 메세지를 서버의 공개키로 암호화하여 서버에 전송합니다.

4. 서버에서는 자신의 비밀키로 세션키를 복호화하여 그 키를 사용하여 대칭키 암호방식으로 메시지를 암호화하여 클라이언트와 통신하게 되며 이것은 "https"라는 별도의 프로토콜을 사용하게 됩니다.

얼핏 보기에 강력한 암호화 통신을 할 수 있을 것 처럼 보입니다. 하지만 여기에 한가지 취약점을 가지고 있습니다.

웹 브라우저는 기본적으로 내장되지 않은 기관이 발행한 인증서의 확인을 전적으로 유저의 확인에 의존한다는 것이죠

결론은 사람이 취약점 이란것 입나다.. ㅎㅎㅎ

Daum.net 에 시도해보자

요즘 취미생활인 Freecell.. 어렵게 어렵게 승률 91%에 도달 했다.

여러분도 도전해 보시길 ㅋ

오늘은 왜이리 힘이 없지?

...... 그래 그거야..