전체 글

Research Engineer
Information Security/Security Information

SEI CERT의 시큐어 코딩 표준

카네기 멜론 대학(Carnegie Mellon University)에서 운영하는 소프트웨어 공학회(SEI, Software Engineering Institute)의 CERT에서 운영하는 정보로 시큐어 코딩에 관심이 많은 개발자분들께서 참고하시면 좋은 사이트입니다. 지원하는 언어는 안드로이드, C, C++, Java, Perl이 있습니다. 잘 찾아보시면 시큐어 코딩이 잘 적용되었는지 검사하는 도구도 만나보실 수 있습니다. 조금 욕심을 내자면 더 많은 언어의 시큐어 코딩을 지원하길 바랍니다. 예를 들면 웹 서버 언어가 있겠죠? 이미지를 클릭하시면 사이트로 이동합니다.

Information Security/Security Information

NIST - 정보보안 가이드 제공 사이트

레퍼런스를 정리하여 문서에 사용한다는 것은 정말 중요한 일인 것 같습니다. 가공된 데이터가 어디를 참조했는지를 알게되는 것은 마치 뿌리를 찾아가는 기분이 듭니다. 최근에 정보보안과 관련있는 기술적, 관리적 가이드를 정리하면서 알게된 사이트입니다. 국립 표준 기술 연구소(NIST, National Institute of Standards and Technology)에서 800번대가 사이버 보안과 관련있는 항목들입니다. 다음 이미지를 클릭하시면 해당 페이지로 이동합니다.

Notice/Main

정보보안과 악성코드를 주제로 재능기부

안녕하세요 하카와티입니다.정보보안을 공부하고 일하기 시작한 지 곧 만 5년 차가 됩니다. 그렇게 능력 있지는 않지만, 잘 버텼다는 의미로 그리고 입문자들과 제가 가지고 있는 정보를 필요로 하시는 분들이 계실 거라고 생각합니다. 그래서 스터디라는 이름으로 재능기부를 하려고 합니다. 강의를 하지 않는 이유는 직접 찾고 공부하고 정리해서 발표하는 구성을 가져가야 스스로 해결할 수 있는 능력을 키울 수 있다고 굳게 믿고 있습니다. 따라서, 저는 키워드를 제공하고, 그 산출물을 토론하는 방향으로 가져가려 합니다. 그 과정에서 많은 것을 얻어 가실 수 있을 것 같습니다.시작 일시: 2월 둘째 주 일요일 - 제가 2월에 시작했거든요. 고정으로 픽스하면 약속을 안 잡을 수 있으니까.인원수: 4명 - 인원수가 4명, 저..

Information Security/Seminar

20th 사이버 침해사고 정보공유 세미나

CONCERT에서 주최하는 사이버 침해사고 정보공유 세미나에 다녀왔습니다. 동시간대에 여러 트랙이 운영되는 형식이기에 선택하여 들어야 합니다. 저는 이번에 인텔리전스라는 주제에 맞춰 내용을 듣고 왔습니다.이 중에 가장 인상깊게 들었던 섹션은 이스트소프트 시큐리티대응센터의 문종현 센터장의 발표(민감한 내용을 제외하고)입니다.피싱 이메일과 스피어피싱 이메일의 차이는 고전 공격이냐 트렌디한 공격이냐의 차이라고 볼 수 있습니다. 공격자 입장에서 생각해보면, 이메일을 받아보는 사용자의 특성과 성향가지 파악해야하는 스피어피싱에 비해 단순한 피싱 공격은 매우 편리합니다. 쉽게 공격해 큰 효율을 얻는다면 그보다 뛰어난 ROI는 존재하지 않겠죠. 다른 이유도 존재합니다. 수천년간 존재해온 사기꾼이 수 많은 시대가 바뀌었..

Information Security/Security Information

Awesome Reversing에서 추천하는 도서

Awesome Reversing에서 소개하는 원서들 중에 이미 국내에 번역되어 출간된 책들도 눈에 보여 한번 정리해봤습니다. yes24 기준이고, 아마존(amzn) URL인 경우에는 번역서가 없음을 의미합니다. 리버싱의 범주가 크네요. 악성코드, 퍼징, 침투 테스트도 있는거 보니. 저도 언젠가 국내 기준의 awesome을 만들어봐야 겠습니다.Awesome Reversing 주소 - https://github.com/tylerph3/awesome-reversing* The IDA Pro Book (2nd Edition) 한국어판: 리버스 엔지니어링에 날개를 달다* 실전 연습으로 완성하는 리버싱: x86/x64 윈도우, 리눅스부터 모바일 ARM iOS까지* The Art of Assembly Language..

Information Security/Security Information

레드 팀 vs 블루 팀

이번에 공격 팀인 레드 팀, 방어 팀인 블루 팀에 관해 깔끔하게 정리된 인포그래픽이 나왔습니다.레드 팀을 보자면 정찰을 통해 취약한 버전, 페이로드 전송 가능 구간, 정보 수집 등 수행을 하고, 이를 바탕으로 내부 침투, 권한 상승, 내부 조사 등 진행하여 최종적으로 민감한 데이터나 원격 접속 가능하도록 구성하도록 설정합니다.깔끔하게 외부 조사(External Reconnaissance) > 공격(Exploitation) > 내부 진입 및 조사(Internal Reconnaissance) > 후속 공격(Post-Exploitation) > 기반 강화(Strengthen foothold) > 유출(Exfiltrate Data) 단계로 구성이 되어 있음을 볼 수 있습니다.레드 팀으로써 챙겨봐야할 추천 도서로..

Notice/Tips

기술 글쓰기 1 - Markdown과 친해지기

마크다운이란 존 그루버의 마크다운 Github Flavored Markdown MultiMarkdown PHP Extras Markdown Haroopad Flavored Markdown 기타 마크다운이란 마크다운Markdown이란 텍스트에 태그를 사용하여 글자의 굵기나 크기, 이미지 삽입 등 가능하도록 제작된 언어이다. 특히 대제목, 중제목 등 규칙이 명확하고 링크 작동이나 소스코드를 표현하기 위한 신택스 하일라이트 등 기술적 글쓰기에 매우 효율적이다. 티스토리의 경우도 일부 마크다운을 제공하고 있으나 사용하는 블로그 템플릿에 따라 표현하는 방식은 다르다. 결국 작성 방법은 동일하지만, 표현되는 형태는 달라질 수 있다. 마크다운 장점 우선 마크다운은 다른 언어들에 비해 읽기 쉽다. 일반적인 프로그래밍 ..

hakawati
Hakawati Security Lab