뽀빠이 아저씨의 말씀 뿌뿌 ==3

뽀빠이 아저씨의 말씀 뿌뿌 ==3 http://popeye.egloos.com 뿌뿌 ==3 ko Wed, 20 Aug 2008 05:30:37 GMT Egloos 뽀빠이 아저씨의 말씀 뿌뿌 ==3 http://md.egloos.com/img/samplelogo.gif http://popeye.egloos.com 80 80 뿌뿌 ==3 <![CDATA[ OpenVas 소개 ]]> http://popeye.egloos.com/1796786 http://popeye.egloos.com/1796786

OpenVAS (Open Vulnerability Assessment System) 을 소개하려 합니다.
http://www.openvas.org/

OpenVAS 는 이름에서 짐작할 수 있듯이 취약점 스캐너 입니다.
너무나도 유명한 Tenable 사의 Nessus 에서 파생되어 나온 것이므로,
구조 및 방식 등이 거의 동일하다고 생각하시면 됩니다.

둘다 Server/Client 프로그램은 무료로 공개하지만,
이보다 더 중요한 signature/plug-in 에 대해 Nessus 는 유료와 무료를 동시에 운영합니다.
이에 반해 OpenVAS 는 이것도 무료로 배포하고 있고, 앞으로도 그럴 겁니다.

Nessus 의 유료 feeding 은 1년 $1,200(120만원)으로 취약점 업데이트가 거의 실시간이고,
0-day 라던가 최신 취약점 등이 무료와는 비교도 안 될 정도로(돈을 내는데 그 정도야...) 좋습니다.
아는 사람의 아는 사람이 Tenable 에 있어서 3년 전쯤에 유료 프로그램을 공짜로 써봤는데,
무료와 유료는 정말 차이가 크더군요.

OpenVAS 가 nmap 이나 metasploit 등과 같이 무료임에도 불구하고
보다 나은 보안을 위해 최고의 품질을 유지하려고 노력하는 프로그램으로 남길 기대해봅니다.

Nessus 의 품질이 근래 떨어지고 있어 약간의 우려는 가지고 계신다면
OpenVAS 로 바꿔보시는 것도 좋으리라 감히 생각해봅니다.

뿌뿌 ==3
이글루스 가든 - professional secur... ]]> Security Thu, 14 Aug 2008 03:34:11 GMT 뽀빠이 <![CDATA[ 구글의 "오픈소스 소프트웨어 보안에 기여하기" ]]> http://popeye.egloos.com/1752619 http://popeye.egloos.com/1752619
구글 보안팀 블로그에 "오픈소스 소프트웨어 보안에 기여하기" 란 글이 포스트되었습니다.
http://googleonlinesecurity.blogspot.com/2008/05/contributing-to-open-source-software.html

David A. Wheeler(Secure Coding과 오픈소스, Ada 에서 꽤나 유명한)가 쓴
Secure Programming for Linux and Unix HOWTO 글에서 안전한 프로그래밍 3가지 "최소 조건" 을 얘기했는데
1. Code review : 코드 검토
2. Secure Code 작성법
3. 문제점/취약점이 발견되면 빨리 수정하고, 수정사항을 빨리 퍼뜨리기

구글은 그동안 1번과 2번에 대한 다양한 지원을 해왔다고 합니다.

이미 구글은 python, apache 등과 Summer of Code 등 오픈소스에 많은 기여를 하면서
자사에서 사용하는 IT 의 상당부분을 오픈소스를 통해 서비스해오고 있습니다.

커스트마이즈한 Linux 위에서 Apache 를 커스트마이즈한 GWS 라 불리는 Google Web Server 가 돌고,
python 의 창시자 Guido 는 구글에서 일하고 있고요.
구글 우분트인 goobuntu 를 내부에서 사용하고 있다는 것은 이제 비밀도 아닙니다.

(참고로 Yahoo! 도 커스트마이즈한 FreeBSD 위에서 Apache 를 커스트마이즈한 YApache 가 돌고,
php 의 창시자 Rasmus 가 야후 직원입니다. 양사가 거의 비슷하죠?)

취약점 대응이 정답도 없고 시간도 많이 걸리는데다가(좀 귀찮기도 하고)
오픈소스 성격상 책임맡는 사람도 명확하지 않아 리스크도 있을 수 있고 했는데,
oCert 를 통해 3번마저도 지원하게 된거라고 생각이 듭니다.

헐랭이님의 의견에 동감

보안 커뮤니티를 레버리지로 하여 오픈 소스 위주로 구축된 자사 서비스의 보안을 더욱 강화하고,
자신들의 업무 영역 중 time consuming 한 부분을 외부에 떼어주고, 업체 이미지도 챙기고...

오픈소스와 보안, 제가 평생을 두고 연구할 두 개의 큰 테마입니다. ^^

구글 오픈소스 보안프로젝트 지원
이글루스 가든 - professional secur... ]]> Security Wed, 07 May 2008 18:15:35 GMT 뽀빠이 <![CDATA[ OpenBSD 4.3 released ]]> http://popeye.egloos.com/1749945 http://popeye.egloos.com/1749945 OpenBSD 4.3 이 5월 1일자로 release 되었습니다.

2007년 11월 1일에 4.2 가 나왔으니 정확히 6개월만입니다. (OpenBSD 는 정확히 매 6개월마다 release 합니다)
이번의 출시 기념 노래(?)도 역시 재미있습니다. FSF 의 리차드 스톨만(RMS)을 풍자하다니!

헐랭이 블로그에서 인용

놀랍게도 리차드 스톨만이 OpenBSD 개발자들을 상대로 복음을 전파하시다가, 기내 난동을 부려서
(아마 복음을 받아들이려하지않는 이 사탄의 자식들과 함께 비행기를 타느니 내리는게 났다고 판단하신 모양입니다)
항공법에 따라 기내 추방되는 사태가벌어졌다고 합니다.

OpenBSD 4.3 Song 은 이 사건을 '오디세이' 에 나오는 '율리시스의 고향으로의여행'을 모티브로 하여 재미있게 풍자하고 있습니다.
(4.3 Song 페이지의 만화 참조)
리차드의 설교를 듣는게, 율리시스가고향으로 돌아가면서 겪었던 고난만큼이나 힘들고 험난했다는 뜻이겠지요.

이번 4.3 Song 의 메시지는 '리차드 스톨만이 뭐라고 하든 간에, 어쨌든 OpenBSD 4.3 은 릴리즈 되었다.' 로 요약할 수 있겠군요.

제가 emacs 팬이지만, 몇 년전 RMS 와 잠시 같이 있는 기회가 있었는데 이리 좋은 기억은 아니었습니다.
자신의 신념에 따라 행동하지 않는 모든 사람을 응징해야할 이단으로 생각하는 거 같아서..
생각의 다양성은 인정하지 않더군요.

어쨌든 새 녀석이 나왔으니 함 설치해줘야겠죠? ㅎㅎ

OpenBSD 4.3 릴리즈
]]> *BSD Fri, 02 May 2008 03:34:38 GMT 뽀빠이 <![CDATA[ 애플빠가 되어가는 뽀빠이 ]]> http://popeye.egloos.com/1745809 http://popeye.egloos.com/1745809
1. 집에서 맥미니(PPC) 사용 : 3년 썼으니 슬슬 바꿀 때가 ㅎㅎ
2. 회사에선 맥북 사용 : 윈도우 잘 못 쓴다고 맥북프로 사달라고 우겼는데 비싸다고 맥북사줌.
3. 지하철에선 iPod Touch : 동영상이나 음악감상, metasploit 이식 노력 중
4. 새로 산 X61 에는 hack.int.0sh 설치 : bar4mi 고마워
5. 오늘 XP 에다가 OSX 테마 중 FlyakiteOSX 적용 : 아래 인증샷 (근데 왜 dock 이 캡처가 안 되지? 원래 있어요^^)

]]> MAC Life Wed, 23 Apr 2008 12:56:42 GMT 뽀빠이 <![CDATA[ 오픈소스 보안 프로그램 Top75 ]]> http://popeye.egloos.com/1745795 http://popeye.egloos.com/1745795 도입 고려할 만한 10가지 오픈소스 보안 프로그램 에서 인용했던 글을 썼던 작가가
1년만에 이번에는 "오픈소스 보안프로그램 Top75" 란 글를 기고하였습니다.

http://www.esecurityplanet.com/article.php/3741146

아래와 같이 크게 17 개의 카테고리로 나누어서 75개 프로그램을 나열하였습니다.
- Anti-Virus/Anti-Malware
- Communication and File Sharing
- Data Removal
- Encryption
- File Transfer
- Firewalls/Network Gateways
- Forensics
- Internet Security Suites
- Intrusion Detection
- Log File Analyzers
- Miscellaneous
- Network Monitoring
- Password Management
- Remote Administration
- System Administration Tools
- User Authentication
- Virtual Private Network Tools

Free 소프트웨어(일명 오픈소스)들을 이용하여도 웬만한 보안 기능/요소들을 자유롭게(Free) 마련할 수 있습니다.
(Free 는 "공짜" 가 아니라 "자유" 입니다.^_^)

여러분은 몇 개가 알고 계셨나요?
머가 있는지 몰라서 직접 만들었거나 솔루션을 구매했던 적이 있으시다면,
이 정보가 미약하나마 작은 도움이 되었으면 합니다.

참고로 nmap 으로 유명한 insecure 에서는 "Top 100 Network Security Tools" 을 2006년에 조사하였습니다.
여기에서는 상용을 포함하여 검색엔진 구글까지도 아우르는 다양한 툴들을 모아놨는데요,
2003년에 조사하고 2006년에 조사했으니 이제 슬슬 2008년 판을 조사할 거 같긴 하네요.

이글루스 가든 - professional secur... ]]> Security Wed, 23 Apr 2008 12:18:07 GMT 뽀빠이 <![CDATA[ FreeBSD 7.0 released ]]> http://popeye.egloos.com/1719251 http://popeye.egloos.com/1719251 FreeBSD 7.0 이 드뎌 release 되었습니다.
http://www.freebsd.org/releases/7.0R/announce.html

이번엔 성능 향상에 큰 역점을 둔 것 같습니다.
6.x 대 보다 보통상태(normal load)에선 3.5 배,
고부하(high load) 에선 15배의 성능향상을 보였다는 벤치마크 결과를 보였다고 합니다.
Linux 커널(2.6.22 or 2.6.24)보다도 15% 정도 낫다고 하구요.

7.1 부터는 기본 스케쥴러가 될 ULE 의 대단한 성능향상이 눈에 띄고요,
다양한 파일시스템(ZFS, XFS, journaled,unionfs 등)에 대한 지원과
iSCSI 지원이나 다양한 wireless 카드 등 새로운 하드웨어에 대해 발맞춰가려는 노력이 보입니다.
embedded 를 위해 ARM 프로세스에서의 지원도 많이 향상되었답니다.

자세한 내용은 릴리즈 노트를 확인하세요.
http://www.freebsd.org/releases/7.0R/relnotes.html ]]> *BSD Thu, 28 Feb 2008 10:39:47 GMT 뽀빠이 <![CDATA[ OpenBSD 4.2 released ]]> http://popeye.egloos.com/1660850 http://popeye.egloos.com/1660850 OpenBSD 4.2 가 11월 1일자로 출시되었습니다.

changelog 를 볼때 이전 4.1에 비해 비약적인 변화가 보이지는 않습니다만,
예전 버전을 사용하시는 분들에게 업그레이드를 권장할 만한 내용이 몇 개 보입니다.

]]> *BSD Fri, 02 Nov 2007 02:09:06 GMT 뽀빠이 <![CDATA[ PC-BSD 1.4 released ]]> http://popeye.egloos.com/1645821 http://popeye.egloos.com/1645821 PC-BSD 가 1.4 로 지난 중에 release 되었습니다. (추석연휴기간이라 미처 몰랐군요.)
http://www.pcbsd.org/

중요변화는 아래와 같고, 더욱 자세한 정보는 해당 사이트에서 확인하세요.

* Moving the FreeBSD base version to 6-STABLE
* Xorg 7.2
* KDE 3.5.7
* Compiz-Fusion 0.5.2
* Support for Flash7 in native BSD browsers. (Konq, Opera, Firefox)
* Official NVIDIA drivers to simplify activating Hardware acceleration.

그래도 아직 OSX 10.5 leopard 출시는 기다리고 있습니다.
]]> *BSD Thu, 04 Oct 2007 09:26:36 GMT 뽀빠이 <![CDATA[ 열정, 시간이 가면 시들해지고 자극받지 않으면 잠들어 버린다 ]]> http://popeye.egloos.com/1623260 http://popeye.egloos.com/1623260 책도 왕창 사고 열심히 읽어보고는 있는데
오늘(08/21)자 "예병일의 경제노트" 의 내용이 너무 와닿아서 퍼왔습니다.

다시 한 번 화이팅! 을 외치면서~~
뿌뿌 ==3

(예병일의 경제노트, 2007.8.21)

오늘날에는 이 열정이 과거 낭만주의 시대의 감성 정도로만 치부되고 있는 듯하다.
우리는 열정을 표현하기 어려운 시대에 살고 있다.
오늘날 우리 인생은 감성적 충동보다는 편리함과 효율성의 지배를 받는다.

우리는 또한 모든 것을 한 번 사용하고 던져버리는 일회용 시대에 살고 있다.
그렇기 때문에 사람들은 무엇에 애착을 가지려고 하지 않는다.
모든 것은 바꾸면 된다고 사람들은 생각한다. 심지어는 심장까지도 바꿀 수 있다.

롱지노티 뷔토니의 '드림케팅' 중에서 (위즈덤하우스, 339p)

'열정'이야말로 무언가를 이루어내는 근원입니다.
내 일에 대한 열정, 사람에 대한 열정, 독서모임에 대한 열정...
마음 속에서 솟구치는, 힘차게 뛰는 심장에서 나오는 이런 열정이 '성취'를 만들어 냅니다.

하지만 일회용 시대, 편리함의 시대, 효율성 과잉의 시대로 흐르기 쉬운 요즘에는
이 열정이 제대로 자리잡지 못하고 있는 느낌입니다.
약물이라는, 과학아닌 과학을 통해 기록을 올리려는 운동선수의 모습에서는 스포츠에 대한 '열정'을 찾아볼 수 없습니다.
자신의 소명에 대한 '애착'은 찾아볼 수 없습니다.

내가 '나의 일'을 하면서 약물복용으로 단지 기록만 높이려는 자세로 임하고 있지는 않은지 돌아보게 됩니다.
내가 나의 일에 대한 열정으로 충만해 있는지 생각해보게 됩니다.
그리고 사람의 다른 감각들과 마찬가지로 시간이 흐르면 자연스럽게 시들해지는 열정을,
내가 정기적으로 자극해 유지하려 노력하고 있는지 생각해봅니다.
]]> 좋은 글 Wed, 22 Aug 2007 01:46:54 GMT 뽀빠이 <![CDATA[ 책 왕창 구입 ]]> http://popeye.egloos.com/1620729 http://popeye.egloos.com/1620729 Black Hat USA 2007 과 Defcon 참석차 Las Vegas 에 갔었는데,
거기 펼쳐져 있던 간이서점(책판매대 수준)에서 책만 $500 넘게 12권이나 샀습니다.

이걸 언제 다 읽지? -_-

1. Mastering FreeBSD and OpenBSD Security
   http://www.amazon.com/Mastering-FreeBSD-OpenBSD-Security-Yanek/dp/0596006268
2. Network Security Tools
   http://www.amazon.com/Network-Security-Tools-Writing-Modifying/dp/0596007949
3. Designing BSD Rootkits
   http://www.amazon.com/Designing-BSD-Rootkits-Introduction-Hacking/dp/1593271425
4. Building a Monitoring Infrastructure with Nagios
   http://www.amazon.com/Building-Monitoring-Infrastructure-Nagios-Josephsen/dp/0132236931
5. Network Security: A Hacker's Perspective
   http://www.amazon.com/Network-Security-Perspective-Ankit-Fadia/dp/1598631632
6. Internet Denial of Service: Attack and Defense Mechanisms
   http://www.amazon.com/Internet-Denial-Service-Mechanisms-Networking/dp/0131475738
7. Network Security Assessment: From Vulnerability to Patch
   http://www.amazon.com/Network-Security-Assessment-Vulnerability-Patch/dp/1597491012
8. Secure Your Network for Free
   http://www.amazon.com/Secure-Your-Network-Free-Seagren/dp/1597491233
9. IT Security Project Management Handbook
   http://www.amazon.com/Syngress-Security-Project-Management-Handbook/dp/1597490768
10. How to Cheat at IT Project Management (How to Cheat)
   http://www.amazon.com/How-Cheat-Project-Management/dp/1597490377
11. Enterprise Security Architecture: A Business-Driven Approach
   http://www.amazon.com/Enterprise-Security-Architecture-Business-Driven-Approach/dp/157820318X
12. Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems
   http://www.amazon.com/Practical-Packet-Analysis-Wireshark-Real-World/dp/1593271492

]]> Security Fri, 17 Aug 2007 03:23:47 GMT 뽀빠이