|
:: 게시판
:: 이전 게시판
|
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
14/09/02 11:11
2012년에 막힌 방법인데 애플 잘못 없다고 믿고 싶은 광신도들이 계속 퍼트리더라고요
bellhorn님같이 속은 사람들이 어마어마하게 많습니다...
14/09/02 11:21
해커가 15세 소년이라 하던데 사진으로보면 10세전후로 보이더군요. 그 아이가 해커가 맞다면 미성년자라서 보호받게 되는지 궁금하네요.
게다가 애플의 보안체계는 너무 황당해서 할 말을 잃었습니다.
14/09/02 11:25
brute force면 90년대 후반에 툴 하나 다운받아서 돌려봤다가 효과 없어서 때려치운 기억이 있는데.
..그걸 2014년에 썼으니.
14/09/02 11:26
http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=105&oid=001&aid=0007099215
애플 '내 아이폰 찾기' 취약점 발견..패치 내놓아..... 관련기사가 나왔네요.
14/09/02 11:28
처음 들었을 때 뭔 배짱이지라고 생각한 서비스가 클라우드 서비습니다. 특히 아이클라우드
뭐든지 온라인으로 들어가면 퍼지는 건 당연한 수순...
14/09/02 11:32
사실 저는 아이클라우드는 별 걱정 없는데 (공개되선 안될 사생활같은게...) 드랍박스는 좀 걱정되네요.
편해서 쓰고 있긴 한데, 대외로 알려지면 안될 문서 같은게 좀 있어서.... 얘네들도 보안의식 없는거 아닌지 걱정되기 시작하네요.
14/09/02 11:35
제 드랍박스 계정에 7 회 이상 틀린 비밀번호 입력했을 때 드더군요. (7 회는 넘겼는데 그 이후로 안 세어봐서 정확히 몇 번인지는 잘...)
Too many login attempts. Please try again in a few minutes. 그리고 로그인 성공하면 드랍박스 계정에 기재된 메일 주소로 새 기기가 연결되었다고 알려줍니다.
14/09/02 11:43
근데, brute force 같이 무식한 방법에는 대비가 되어있다손 쳐도, 어디까지 대비가 되어있는지 전혀 알 수 없으니까,
막연한 불안감이 드는건 어쩔 수 없네요.
14/09/02 11:36
이런건 한 번 털리면 다시 이용하기 힘들겠죠. 물론 인터넷에 개인정보 올리는 것 자체가 위험하긴 하지만 기업은 그걸 안 위험하다고 하며 돈을 받는 곳이니...
14/09/02 11:38
사실 아이클라우드는 보안 취약성 이전에도 저장된 데이터가 증발하는 마법도 있어서 정말 아이클라우드로만 이용해야하는 데이터 아니면 다른 클라우드를 쓰는 게 좋습니다.
14/09/02 11:43
애플 제품 많이 사용하지만 아이클라우드는 주기적으로 업로드 된 것들이 사라지는 이슈가 있어 사용하지 않고 있었는데 신의 한 수였군요 흐... (그래봤자 털릴 것도 없지만 ㅜㅜ)
주로 드랍박스 쓰지만 거기에도 개인 사진은 안올립니다. 사적인건 무조건 따로 백업을 해두자는 주의라서... (실제로 친구가 털리는 경우도 봤고)
14/09/02 11:48
이래서 구글이나 드랍박스 등 자신의 자료들을 자동으로 업로드하는 기능을 가진 서비스에선
휴대폰 문자로 다시 인증절차를 수행하는 2차 인증 기능을 필수로 사용하는게 그나마 더 안전하긴 합니다.
14/09/02 12:01
애플을 실드치고자 하는 댓글이 아님을 먼저 명확히 밝힙니다.
보안은 항상 최악의 상황을 고려해야 합니다. 딕셔너리에 있는 단어 및 그 조합은 패스워드로 안 쓰는게 좋습니다. 이번 사태는 애플의 설계 또는 구현 실수로 특정 로직에서 brute-force attack 검증 루틴이 없는 이유로 발생했는데, 유사한 이슈는 어느 회사의 어떤 프로그램/웹사이트에서도 발생할 수 있다는 것을 알아두고 사용자기 직접 대비하는 것이 가장 좋습니다. 보안은 기본적으로 서버(호스트)를 신뢰해서는 안됩니다. 즉 이 프로그램/웹페이지/기기는 보안이 엉망이라는 것을 전제로 하고, 보안은 사용자가 직접 챙겨야 합니다. 애플을 실드치고자 하는 것은 아니며, 설계 또는 구현을 저렇게 해 둔 것은 당연히 비판받아야 하는 것이 맞습니다. 보안에 정말 신경을 쓰는 분이라면, 패스워드는 사이트별로 모두 상이하게, 딕셔너리에 없는 문자로 쓰는게 좋습니다. 저는 사이트 도메인을 base 64로 코딩한 다음 master key로 aes-128을 12회 돌리고 8글자 ascii로 modular한 다음 앞 뒤로 각각 1글자의 특수문자를 추가해서 씁니다. 즉 각 사이트당 IND-CCA를 부분적으로 만족하는 패스워드가 나오게 됩니다. 이렇게 하면 서버 자체가 완전히 털리지 않는 이상 딕셔너리 공격이나 birthday attack 등으로 털릴 일이 없으며, 한 사이트가 털리더라도 다른 사이트는 안전합니다. 다만 이 패스워드를 각 사이트별로 모두 기억하기는 어려워서 자주 가는 사이트만 패스워드를 알고 있고, 그 외의 사이트 패스워드는 저도 모릅니다. 필요할 때는 위 규칙대로 생성해서 씁니다. 저도 제 패스워드를 모르는 것과 같으니, 해커는 당연히 제 패스워드를 알 수 없죠. 아무튼 딕셔너리에 없는 패스워드를 써야 안전하고, 사이트별로 모두 다른 패스워드를 써야 합니다. 간편하게 딕셔너리 공격을 방지하는 방법은 한글 단어를 패스워드로 쓸 때, 키를 좌우로 한두칸정도 옮겨서 쓰는 것 입니다. 예를들어 패스워드가 "패스워드"라면, "votmdnjem"인데, 좌로 한칸씩 옮겨 쓰면 "cirnsbhwn"가 되는 것 정도. 물론 이 것도 풀 딕셔너리에서는 털리긴 합니다만, 이번 iBrute에서 사용한 라이트 버전의 패스워드 딕셔너리에는 이정도까지는 들어가 있지 않아서 조금 더 낫습니다.
14/09/02 12:07
문제는 귀찮은거죠..
그걸 다 적어놓던지 아니면 매번 비밀번호 찾기를 해야하니까요.. 적어놓으면 적어놓은 것을 해킹당하는 경우 그냥 한번에 모든게 날라가는거고, 매번 비밀번호 찾기를 하는건 시간낭비가 크니까요..
14/09/02 12:10
털릴 때의 처리비용이 매번 로그인시의 귀차니즘 비용보다 크다면 이렇게 복잡한 방법을 써야 하는 것이고,
그렇지 않다면 편한 패스워드를 쓰면 됩니다. 저도 모든 디바이스에서 위 방법으로 '저도 모르는 패스워드'를 쓰지는 않습니다. 털리면 큰일나는 곳에서만 저렇게 쓰고요. (해쉬 대소문자 가려가며 다 기억하는 것도 머리아픕니다.)
14/09/02 12:14
비밀번호를 어렵게 만들자라는 것은 저도 동의합니다만, 이런 구호를 외치는 정도로는 일반인의 귀차니즘을 막기가 어렵긴 하죠 ㅠㅠ
그렇다보니 털릴 때의 비용은 전혀 고려하지 않고 모든 사이트의 비밀번호를 짧게 통일하는 분들이 계시는 것이고... (물론 요즘에는 길고, 특수 문자 조합 비밀번호를 강제하는 사이트가 많은데, 보안에는 좋다고 말하지만 또 편의를 따지면 그게 옳다는 확신은 안 드네요. 또한 그 긴 비밀번호를 적는 귀찮음과 어려움 때문에 긴 비밀번호로 각 사이트마다 달리 하지 않고 통일하는 경우가 생겨버려서 보안성에도 의문이 들기도 하고요.)
14/09/02 12:18
지금의 상황은 그냥 누덕누덕 누더기로 쳐바르고 있는 수준입니다. 사실 일반인이라면 누가 보안을 신경 쓰겠어요.
제가 사용하는 방법을 저는 자동화해서 쓰고 있는데, 이것도 일반인이 쓰기에는 상당히 복잡한 방법이라서. 게다가 밖에서, 급할때, 기타 여러 상황에서는 본인도 모르는 패스워드는 일반인 입장에서는 정말 불편하기 그지없으니까요. 어려운 문제입니다. 지문과 같은 생체패스워드도 대안이 될 수 없는게, 이게 결국엔 PSK (pre shared key)라서. 한번 털리면 다시 태어나야 하는 것도 아니고, 지문을 바꿀 수 없는 노릇이고, 홍채를 바꿀 수 없는 노릇이고, 혈관위치를 다시 잡을 수도 없는 일이고. 아무튼 정말 답 없는 문제 같습니다. 지금으로는 그냥 보안 챙길 사람만 챙기는 형국입니다. 즉 이럴땐... 챙기는 사람만 이득입니다. 그래서 불편해도 챙깁니다.
14/09/02 12:11
사이트 주소 첫글자랑 마지막글자를 기존 비밀번호에 처음과 마지막에 추가하는 식으로 하면 기존에 쓰는 비밀번호를 쓰면서도 사이트마다 다른 비밀번호 사용 가능하고 해킹위협이 많이 줄어들죠
14/09/02 12:12
기존 비밀번호가 딕셔너리에 있다면, 말씀하신 방법도 딕셔너리로 털릴 수 있습니다. 딕셔너리에다가 앞뒤로 한두글자정도는 무작위로 붙여서 공격하거든요. (이번에 iCloud를 털었던 iBrute도 비슷한 방법을 쓰는 것 같고요.) 그래봐야 알파벳은 대소문자 다 넣어도 몇 글자 안돼서요. 기존 비밀번호가 딕셔너리와는 무관한 real world word와 관계없는 단어라면 말씀하신 방법은 충분히 안전합니다.
14/09/02 12:24
기존 단어를 이리저리 섞어 만든거라 유사단어가 아예 없다고 자신합니다 크크
한글 이름을 순서 섞어가면서 쓰는데 외우기 쉽더라고요 174829536 이런식인데 123쓰고 커서 앞으로 돌리고 오른쪽 눌러가면서 456 추가 같은방법으로 789 추가 이런식으로 하면 키보드 크래킹에도 안전하죠
14/09/02 17:34
오른쪽 방향키를 [오른쪽]이라고 표시하겠습니다
123456789를 입력한다고 했을 때 비밀번호 창에 먼저 123을 칩니다 그렇게 한 다음에 커서를 1 앞에 둔 상태에서(home키 입력하면 쉬움) [오른쪽] 4 [오른쪽] 5 [오른쪽] 6을 입력하면 142536이 입력된 상태입니다 거기에 다시 커서를 1 앞쪽으로 옮기고 [오른쪽] 7 [오른쪽] 8 [오른쪽] 9 입력하면 174829536라는 비번이 완성됩니다. pc방같은데에서는 키보드가 아니라 마우스로 찍어가면서 하면 키보드 해킹 프로그램이 설치돼있어도 비밀번호를 지킬 수 있죠. 원래 이게 주 목적이었습니다 크크
14/09/02 17:45
결국 저 딕셔너리라는게 해커가 일일히 지정해서 넣을 수 없는거니 딕셔너리의 정보를 얻을 방법을 생각해보면 반복 패턴, 단어, 숫자와 같이 비밀번호로 사용할 법한 범주들을 뽑은 뒤 이런 범주들을 무작위로 입력하거나 패스워드 난이도 검사 사이트같은걸 만들어서 표본을 긁겠죠
다른 사람들이 사용하지 않을 패턴을 스스로 만들어서 검색어에 노출시키지 않는 이상은 딕셔너리에 해당되지 않는다고 생각하시면 됩니다. 근데 한국의 보안 현실을 생각했을 때 궂이 영자변환까지 조심해야 되나 싶기는 합니다. 한글의 영자변환을 쓴다는건 타겟이 한국인이라는건데 이놈의 나라는 기업의 데이터베이스 자체가 통째로 털려버리니...
14/09/02 12:19
아이폰이 안드로이드보다 안전하다고 한들 중요한 것은 사용자 본인이 보안 챙기는 자세죠.
게다가 이번 유출에 있어서 다른 폰에서 계정에 접속할 때 이메일이 전송되는데 그 메일을 무시했다는 말도 나오고 있으니... 사용자 스스로 보안에 신경 써야 한다는 교훈을 주는 사안이 아닐까 싶습니다. 안드로이드폰의 보안에 대해서 우려를 표현하시면서 아이폰을 쓸 때에는 아무 신경도 쓰지 않아도 되어서 좋다라는 분들이 계시던데.. 그런 분들도 각자의 보안은 각자 신경 쓰고 챙겨야한다는 것을 깨닫게 되었으면 좋겠습니다.
14/09/02 12:27
애플같은 애들도 brute force에 털릴지도 모른다는 교훈을 심어주....
우리의 네이트만 해킹에 털리는게 아니였습니다! 는 반농이고, 진짜 어떤 서비스를 쓰던 신경 써야겠다는 교훈을 얻네요.
14/09/02 12:25
http://ppss.kr/archives/28312 당신이 제니퍼 로렌스의 누드 사진을 클릭하지 말아야 하는 이유 만약 당신의 의도적으로 이 사진들을 찾아보고자 한다면, 당신은 수많은 여성들의 프라이버시를 침해하고 그들의 신체에 폭행을 가하는데 직접적으로 참여하고 있는 것이다. 이 사진들은 – 나는 아직 보지 않았고 앞으로도 보지 않을 것이다 – 오직 사진에 나오는 사람들과, 그들이 사진을 보라고 초대한 사람들에게만 속한 개인적이고 비밀스러운 순간들을 찍은 것이다. 그런 사진들을 훔치고 전세계에 뿌려버리는건 지독한 행동이고, 일종의 강간(assault)이라 할만한 정신적인 폭력이다. 이 사진들을 공유하는 사람들은 진행중인 폭력을 계속되게 하고 있다. 즐거운 마음으로 이 사진들을 보는 사람들은 진행중인 폭력을 목격하고 즐기고 있는 것이다. 이 범죄의 피해자들에게 고통을 악화시키지 말아달라고 부탁받았지만 이 일을 여전히 계속하고 있다면, 당신은 의식적으로 당신의 즐거움과 당신의 권리, 그리고 아마도 심지어는 당신의 호기심이 당신이 착취하는 사람들의 안전이나 존엄성보다 더 중요하다고 생각하는 것이다.
뭐 이런 글도 있습니다만... 한 편으론 참 안타깝군요.
14/09/02 12:27
미국 여자 국대 골키퍼 호프 솔로는 올해 참 야단스러운 한해네요.
가정 폭력 혐의로 구속돼서 풀려난지 얼마 되지 않아 다시 이런 문제가;;
14/09/02 12:33
c동호회는 애플 실드가 힘들어지니 이제 애플 보안을 까는 사람들을 공격하기 시작했습니다.
거기다 뜬금 없는 안드로이드 공격으로 물타기에 ios가 뚫린 건 아니니 애플 잘못은 없다는 말까지. 거기는 영혼을 아이클라우드와 동기화시킨 사람들이 너무 많아요. 자기 영혼의 값어치가 딱 아이폰 가격만큼인 사람들.
14/09/02 12:36
만약 한국 여성 연예인들이 이런걸 당했다고 생각해 보면
해킹한 사람보다, 보안의 문제보다 이런 사진을 왜 찍었는지 해당하는 사람에 대한 성토와 함께 각종 더러운 말로 떠들것이고 10여년 동안 일을 못하거나 자살하는 경우가 생길지도 모릅니다. 상당히 큰 일이라고 생각하고 피해입으신 분들이 안타깝습니다.
14/09/02 12:49
이쯤해서 다시 보는.. https://pgr21.com/?b=1&n=1330
네이버 비번 털린 이후 이 글 참고해서 싹 바꾸고 있네요~
14/09/02 13:15
제가 즐겨 보는 한 블로그 주인장이 대표적인 친 애플 반 구글 성향인데
안드로이드 보안 의혹(사건발생이 아니라 의혹) 하나만 발생해도 재빨리 블로깅을 하는 분이 이 건 관련해서는 도덕?양심? 에 대한 글 하나 번역했더군요... 그 글의 취지가 나쁘단건 아닙니다만... 참... 단단합니다.
14/09/02 13:32
인터넷 집단 지성을 활용하고자 할 때,
그래도 이런 IT SW 관련 소식은 클리앙이 가장 믿음직스러웠는데, 여기 댓글은 다른 분위기네요. 흠.. 아무튼 클리앙에서는 iCloud에 동영상 저장이 안되서 iCloud가 아니라는 얘기도 있는데, 이게 신빙성이 있나 모르겠네요. 아이클라우드를 쓰지를 않으니.. -_-; 살면서 진위여부를 판단하기 위해 모든 분야에 전문가가 될 수 없는 현실을 생각해야 한다면, 언론도 믿기 힘들고, 커뮤니티도 믿을 수 없다고 하면, 어디에 권위를 줘야 할지 난감하긴 하네유.. 역시 존X 가만히 있는게 답인가 ;;;
14/09/02 13:57
엄밀히 말하면 사진이나 영상들이 아이클라우드에서 유출이 된건지는 확실하지 않습니다. 허나 이 사건이터지고 나서 아이클라우드에 보안 결합이 발견되었죠. (그게 위에서 언급된 bruteforce 결합이죠)
즉 사진의 유출경로와 상관없이 아이클라우드에 아주 기초적인 보안결합이 있었다는 사실은 변하지 않습니다.
14/09/02 14:14
클리앙 거기도 다 개발자들 천지라
어떻게보면 반쯤 이익집단인데 무작정 믿을곳은 안되죠 크크 그냥 존X 가만히 있기보단 필요한 정보는 스스로 배우고 습득할 능력을 기르는게 최선인듯
14/09/02 13:41
클라우드 서비스 자체가 시작할 때부터 좀 불안했죠.
이건 아이클라우드만의 문제는 아니긴 하지만 아이클라우드의 장점이 폰, 패드, 맥까지 다 연동이 되는 편리함, 이 애플의 생태계가 장점인데 바꿔말하면 하나 털리면 다 털린다는 얘기기도 하죠 뭐. 그래서 아이클라우드 백업에 사진은 진작에 꺼놨죠. 용량이 큰 것도 큰 거지만 뭔가 불안함 때문에..
14/09/02 14:09
저도 비번 바꾸기 하고 있는데요, 문제가 생기고 있습니다.
애플 사이트가 터졌습니다 크크.. ID관리 전용 주소가 안들어가지고 있어요 그리고 구글은 예전의 비밀번호도 저장해두고 있네요. 썼던 비밀번호로는 바꿀수 없다고 하는데 썼던 비밀번호를 다시 바꾸는것도 문제겠지만, 그걸 저장해두고 있다는 구글이 더 문제아닌가... 리그오브레전드는 특수문자를 못넣습니다. 영문대소문자와 숫자만 되네요 모든 사이트가 빈틈 하나씩은 다 갖고있다는 걸 이번 기회에 보여주네요
14/09/02 14:12
애플도 예전 비밀번호 저장하고 있습니다. 최근 몇 개월 동안 썼던 비밀번호를 다시 사용할 수 없죠.
그리고 비밀번호를 암호화하지 않고 저장하면 문제지만 암호화해서 저장하는 경우에는 그 문제에서 조금 더 자유롭습니다. 복호화 불가능하면서 같은 입력을 넣었을 때 같은 출력이 나오는 암호화 방식을 사용해서 비밀번호 저장, 비교를 하는게 정석이죠.
14/09/02 15:35
사실 Mac OS X나 iOS도 보안성이 딱히 훌륭하지는 않다고 합니다. 크래커들 사이에서는 각종 보안 취약점들을 서로 돈을 주고받으면서 파는데, 윈도우즈 취약점은 수만 달러 이상을 받을 수 있지만 맥은 사용자 수가 워낙 적어서 돈이 안 된다는군요. 그래서 굳이 시간 아깝게 공격하지 않는 것에 가깝고, 해킹 대회 같은 거 열면 그럴 때는 맥과 사파리가 아주 꿀맛집이라는군요.
그러니까 쟤들 믿지 말고 비밀번호는 최대한 길고 어렵게... 하는 게 그나마 낫죠. 사이트마다 비밀번호 규칙이 달라서 골치아픈게 문제지. 괜히 특수문자 이런거 섞으라 하지 말고 최소 20자 영문 대소문자만으로 비번을 치게 하는게 사실 보안성이 더 낫지 싶은데 -,.-a
|
||||||||||||
