Skip to content

SnoopSpy


웹사이트에 로그인을 할 때 보안 조치를 하지 않는 경우 계정 정보가 3자에게 노출되어 질 수 있습니다. 요즘에는 많은 사이트들이 이러한 정보 노출을 방지하기 위하여 많은 보안상의 조치를 해 놓고 있습니다. 이러한 방법중에 가장 보편적인 것이 2가지 방법이 있습니다.


(A) SSL로 통신 내용을 암호화한다.


(B) JavaScript 등을 이용하여 ID 및 PW 정보를 별도의 기법으로 암호화한다.




(A) 방식은 일반적으로 SSL Strip을 통하여 SSL 암호화를 해제할 수 있는 것으로 알려 져 있습니다. 그런데 (B) 방식을 해제하는 방법은 아직 많이 알려 지지가 않았죠(알고 있는 사람도 별로 없고). 본 시연에서는 (A)뿐만 아니라 (B)기법까지 적용된 사이트의 암호화를 해제하는 것을 보여 주고 있습니다.





1. 랭키닷컴(www.rankey.com)에 있는 Top 10 사이트를 기준으로 테스트를 하였음(더 할 수도 있는데, 지금 졸려서 못함).


2. 계정 정보는 전부 ID( testtest ), PW( 11111111 )로 통일하였음(pcap 파일 분석할 때 "1111...."로 해 놓으면 눈으로 패턴 찾기가 편함).


3. 네이버, 다음, 네이트 등 유명 포털 사이트에서 (A), (B) 암호화를 전부 우회할 수 있었음(한곳만 데모로 보여 주면 딴지 걸려서 여기 저기 보여 줌).


4. 은행권의 경우 기본으로 설치되어야 하는 보안 모듈을 설치하지 않고도 로그인까지 접속이 가능하였음(어찌 보면 이 기능은 일반인들에게 환영 받을 듯).


5. 국내 뿐만 아니라 해외 사이트 대부분을 우회할 수 있는 것으로 판단됨(이걸 보면 우리나라 사이트가 보안이 더 잘되어 있음).




(B) 기법을 우회하기 위하여 구체적으로 어떠한 기법을 사용했는지는 동영상을 자세히 보면 어렴풋이나마 파악할 수 있습니다. 본 시연과 관련된 구체적인 기법 및 프로그램은 POC 트레이닝 코스 ( http://www.powerofcommunity.net/pt2014/ ) 에서 공개할 예정이며, 발표 내용은 다음과 같습니다.


1. 프로그램 구현에 필요한 구체적인 기법 소개


2. 로컬 스니핑뿐만 아닌 ARP spoofing 기법 및 NAT 환경에서 본 해킹 기법 적용 및 소개.


3. 수정해야 할 JavaScript token을 쉽고 빠르게 추출해 내는 방법 소개.


4. 프로그램 및 소스 공개(트레이닝 코스 참가자에 한함).




어떻게 막을 것인가"라는 내용도 발표하겠지만, 그보다 "어떻게 뚫을 것인가"에 대해 고민과 프로그램 제작 과정상의 히스토리를 직접 들으신다면 많은 도움이 될 것입니다. 아울러 웹사이트 운영자의 입장에서 본 해킹 기법을 어떻게 막을 것인지에 대해서도 그 해법을 소개할 것입니다. 많은 관심 부탁드립니다. ^^