가슴 뛰도록 살아보자. -

« 2010/08 »
일	월	화	수	목	금	토
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

관리적인 목적으로 포트스캐닝할 경우 불법인가?
에 대한 의문..

출처 : http://securityproof.net/zboard/bbs/view.php?id=free&no=3077

[re] 스캐닝은 불법이다?(관련 법률에 대한 개인적인 생각)

잠시 생각을 해보았습니다.
어떤 종류의 크래킹 혹은 해킹이 불법이 될지...

다음 세가지 법 조항이 불법인지 아닌지를 말해주더군요.

******************************************************************************************
(1) 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입하여서는 아니된다.
(2) 누구든지 정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손.멸실.변경.위조 또는 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니된다.
(3) 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애를 발생하게 하여서는 아니된다.
******************************************************************************************

위의 법 조항을 보면 아주 포괄적이라는 것을 알 수 있습니다.
때문에 귀에 걸면 귀걸이, 코에 걸면 코걸이라는 말이 나오게 되는 것 같습니다.

어떤 경우가 불법인 될 수 있을지 생각해보았습니다.
잠시만 생각해보아도 일단 가장 기본적인 것은 "자신의 시스템 이외의 타인의 시스템에 욕심을 내면 안된다"는 결론이 나옵니다.

다음은 대략 생각해본 것입니다.

(1) 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입하여서는 아니된다.

   - 일반 계정의 사용자가 로컬 상에서 root 또는 관리자 권한을 획득하는 행위
   - 원격으로 공격자가 root 권한 또는 일반 사용자 계정의 권한을 획득하는 행위
   - 웹을 통한 웹 권한 획득
   - SQL Injection 공격
   - Directory Traversal

   등등..

(2) 누구든지 정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손.멸실.변경.위조 또는 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니된다.

- 웹 프록시를 이용하여 데이터를 조작하는 것
- virus 및 worm 유포
- exploit을 전달 및 유포
- 공격 기능을 가진 프로그램 유포

헷갈리는 부분이 있습니다.
exploit의 경우 C로 작성하거나 Perl 등과 같은 언어로 작성할 수 있습니다.
그런데 C로 작성된 exploit 코드가 컴파일 되기 전에는 '악성 프로그램'이라고 할 수 있을까요?
저도 잘 모르겠습니다.^^

(3) 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애를 발생하게 하여서는 아니된다.
   - DoS 공격
   - (사용 프로그램이나 옵션에 따라) 포트 스캐닝
   - Cross Site Scripting
   - 공격이 가능한 취약점 스캐너 실행

"대량의 신호 또는 데이터"에서 "대량"이란 어느 정도를 말할까요?
사람들이 사용하는 형용사 또는 관형사는 상대적인 개념이라서 코에 걸면 코걸이 귀에 걸면 귀걸이, 발에 걸면 발걸이(??)가 되는 것 같습니다.

결국 타인 소유의 시스템에 욕심을 내지 않으면 되겠네요.^^
그런데 인간의 욕심과 호기심은 끝이 없어서...

호의와 악의, 탐욕과 호기심, 피해와 피해 없음 등이 불법 여부의 판단 기준이 될 수도 있겠습니다.

ㅁㅁ

불법여부의 판단이 pt 쪽 기준이 아니라 최소한 it쪽 기준만이라도 따르면 좋겠지만
대부분 검사나 검찰 수사관의 자의적 기준에 매이는 경우가 많고, 최종 판단의 보루가 되어야할 판사의 경우도, 상식적 기준에 따라 검찰의 의견에 그저 따라가는 정도에 불과한 케이스가 많아서, 억울한 피해자가 나올 우려가 많은 법률조항입니다.예를들어 실패한 공격 시도도 처벌한다고 한다면 거의 모든 스캐닝 행위는 실패한 공격행위가 될수 있는것이죠.

2006/11/22
(16:30:54)
Delete

ㅁㅁ

호의인가 악의인가? 돈이 개입돼 있는가 연구 목적인가 를 구분한다는건 말이 쉽지
실제의 경우 판별하기 쉽지 않고, 수사관들의 개인적 판단에 좌자우지될 가능성이 많습니다.

2006/11/22
(16:34:44)
Delete

ㅁㅁ

따라서 pt 쪽이나 it 쪽에 이름이 어느정도 알려진 분들은 호의, 연구목적을 인정받을수 있다하더라도, 안알려진 대부분의 분들의 경우는 악의, 금전목적으로 몰릴 가능성이 큰겁니다.그래서 법률조항이 막연히 포괄적이어선 안되는 것인데,현 법조항들은 적용하는 사람의 기분,의도에 따라 마음대로 해석될 여지가 큽니다.문제 있습니다.

2006/11/22
(16:39:31)
Delete

magichack

법의 상징은 천칭이라고 합니다. 모든 죄에 해당되는것들이 저울질 되죠~ 저울질은 언제나 상대적이기 때문에 문제가 있어 보이기도 해 보입니다.때문에 유전무죄 무전유죄가 성립되는 세상이 법인거 같습니다. 에고..무슨 말인지..ㅋ 암튼 죄짓지 말고 삽시다..^^

[Voip] Pollution in 1/8보안이야기2010/03/24 04:46

2010년 1월 27일 오전에, 소스 IP가 "1.0.0.0/8" 대역인 UDP 패킷이 대량으로 모니터링 됨
( 60%의 UDP 패킷이 소스 IP 1.1.1.1:15206 으로 전송함), 데이터 섹션은 0x80으로 시작함.
1.1.1.1 UDP 포트 2427과 2727, 미디에게이트웨이로 발생함.
데이터는 랜덤하며 172bytes padded, 2byte value 랜덤,

SIP INVITE 패킷을 사설 IP로 변경하여 전송시, 해당 사설 IP는 DoS 공격에 노출될 수 있음.

1.255.0.0/16
1.50.0.0/22
1.2.3.0/24
1.1.1.0/24

http://labs.ripe.net/content/pollution-18
http://www.usken.no/2010/02/sip-scanning-causes-ddos-on-ip-1-1-1-1/

[Voip VoIP 단말 구글 서치 키워드보안이야기2010/03/24 03:46

단말에 대해 다음과 같은 키워드로 구글 검색 가능

- Asterisk Management Portal:
intitle:asterisk.management.portal web-access
- Cisco Phones:
inurl:"NetworkConfiguration" cisco
- Cisco CallManager:
inurl:"ccmuser/logon.asp"
- D-Link Phones:
intitle:"D-Link DPH" "web login setting"
- Grandstream Phones:
intitle:"Grandstream Device Configuration" password
- Linksys (Sipura) Phones:
intitle:" SPA Configuration"
- Polycom Soundpoint Phones:
intitle:"SoundPoint IP Configuration"
- Snom Phones:
"(e.g. 0114930398330)" snom

대응방안
○ Default Password 변경
○ 사설 IP 사용 (공인 IP 사용 지양)
○ IP Phone 의 Web Management 서비스기능 Disable
○ VoIP 관련 Web Page가 검출되지 않도록 방화벽(FW, IPS, SBC)등에서 필터링
○ 웹 관리자 페이지에 robots.txt 적용