패킽 감청

패킽 감청, 패킷 감청, 감청

무능한 국회

#28938

2020-4-30 오전 3:14

정보기관 감청통제를 포기한 국회를 규탄한다

2020/03/05

1. 오늘(3/5) 시민사회의 비판에도 불구하고 정보기관 감청통제에 대한 통신비밀보호법 개정안이 정부안 원안 거의 그대로 국회 본회의를 통과하였다. 총선과 코로나 사태로 국회가 혼란한 상황에서 정부여당이 정보기관의 감청을 올바로 통제해야 한다는 국민의 오래된 염원을 외면한 것에 대하여 우리는 깊이 실망하고 규탄한다.

https://act.jinbo.net/wp/42316/

[성명] 제대로 된 감청 통제 포기, 통비법 졸속 처리 국회 규탄한다

2020.03.05

제대로 된 감청 통제 포기, 통비법 졸속 처리 국회 규탄한다 헌법불합치 결정 취지 제대로 반영 안 해 수사기관의 일방적 논리 수용한 법사위원들 기억할 것

국회 법제사법위원회가 어제(3월 4일) 시민사회의 제대로 된 감청 통제법안 마련 및 신중한 심사 요구에도 불구하고 사실상 정부안인 송기헌의원 대표발의 통신비밀보호법개정안(이하 통비법안)을 거의 그대로 통과시킨 데 이어 오늘(⅗) 본회의에서 최종 처리했다. 더불어민주당 송기헌 의원이 통비법안을 대표발의한 지 채 한달도 되지 않았음에도 단 한차례 열린 법사위 법안심사소위에서 통과시킨 후 법사위 전체회의를 거쳐 오늘 본회의에서 통과시킨 것이다. 정부가 졸속 법안을 청부입법 형태로 발의하고, 법사위는 헌법에서 보장하는 통신의 비밀과 자유와 관련된 중요 법안을 충분한 심리와 논의 없이 졸속으로 처리했다는 비판을 면하기 어려울 것이다. 헌법재판소의 헌법불합치 결정으로 어렵사리 얻은 국정원 등 수사기관의 무분별한 감청 남용을 통제할 계기를 졸속입법으로 무산시킨 정부와 법사위원의 안일한 행태에 분노한다.

[http!]http://www.peoplepower21.org/PublicLaw/1689388

1 법원의 사전 영장 없는 무제한적인 패킷 감청은 중국, 러시아, 이란같은 독재국가나 하는건데 ㅋㅋㅋ

2 민주당 애들이 멍청한게 공수처(고위공직자범죄수사처)나 이런 무제한 감청같은게 자기들이 여당일때는 훌륭한 사냥개가 돼주겠지만, 만약 정권 교체되면 자기들 목줄 죄는 건데. 자기들이 영원히 여당 자리에 있을 거라고 생각하나?

http://55adq4ncecjgxfymv4tdl54g4t2dayqju65wgqpik67suvtiz67kpzad.onion/p?id=28938

지메일 감청

전직 보안 전문가(?)가 보는 지메일 감청 (도청)

https://www.clien.net/service/board/park/2028055

돼지아빠 8667

183.♡.3.195 2011-09-16 11:05:12

현직은 아닙니다. 전직 보안 업계 인물입니다만..Gmail감청에서 https 를 쓰는데 이걸 어떻게 감청하느냐 하는 이야기가 있어서... 간단하게 정리해 봅니다.

배경 지식.

인증서란 무었인가? 실세계의 인감 증명으로 보시면 됩니다. 인증서의 키는 인감도장.. 이 "키"가 특정 인물,기관,서버의 것이 맞다는 증명서 입니다. 당연히 증명서에도 도장을 찍구요(전자 서명)

증명서의 도장은 모든 브라우저에 기본으로 인증서가 탑재되어 있습니다. VeriSign이라던가..하는 CA(공인인증기관)의 인감증명을 미리 가지고 있다고 보시면 됩니다.

1. HTTPS-to-HTTPS Proxy를 만든다. HTTPS는 서버인증을 인증서의 DOMAIN NAME과 현재 접속한 URL의 서버 DOMAIN NAME과 같은지 비교해서 같은 도메인 이름이고 인증서의 발급자(인감증명 발급자)가 브라우저에 기본 탑재된 경우라면 믿고 넘어갑니다. 이름이 다르다거나 발급자가 모르는 넘이면 못믿는 넘인데... 그래도 접속할래? 하고 물어봅니다.

자 여기서 요즘 윈도의 경우에는 국내 공인인증서 최상위 기관인 KISA의 인증서가 기본 탑재되어 있습니다. KISA 인증서로 *.google.com 이나 *.gmail.com 으로 인증서 하나 만들면 어떻게 될까요?

PC ------1-------- 감청기관(PROXY)-------2---------GMAIL 요렇게 라우팅이 되도록 ISP측에 요청해서 패킷을 받은 다음에... HTTPS 접속 요청을 하면...PROXY에서 GMAIL로는 정상적인 HTTPS접속...해서 내용을 꺼내오고.. PC쪽으로는 감청기관에서 새로만든 인증서로 HTTPS접속을 시켜줍니다. PC에서는 Domain Name이 맞고 내가 믿고 있는 최상위 인증 기관(KISA?)가 맞으므로 정상적으로 접속이 됩니다.

즉 2구간에서 암호화된 것이 감청기관에서 복호화 되고 감청기관의 KEY로 다시 암호화 되어 1로 전송됩니다.

2. HTTP-to-HTTPS Proxy 보통https://www.gmail.com 으로 접속은 잘 안하시죠? 이런 걸 노리면 됩니다. 브라우저 상에서 http 로 접속하면 원래는 https 로 redirect 하게 되어 있는데.. Proxy에서만 https 로 접속하고..PC와는 HTTP로 통신... 이렇게 하면 PC사용자가 https로 접속 안되는 것을 알 수도 있습니다...

2-1 가짜 로그인 페이지로 유도하여 ID/PASSWORD 탈취.. GMAIL 로그인 처럼 나오고...ID/PASSWORD 탈취하고 원래 페이지로 이동..

2-2 쿠키 빼오기.. 로그인 쿠키를 빼오는 방법.. 가짜페이지는 아니고 초기 접속만 https 가 아닌 http 로 진행시키고(구글쪽이랑은 https로) 인증시 받은 쿠키 값만 빼오면 그걸로 로그인 우회 가능..

3. 구글의 KEY를 무식하계 열라 계산해서 찾는다. RSA KEY를 찾는건데 좀 시간이 많이 걸리기는 하지만 슈퍼컴 동원해서 열라 분석했다???

그래서 어쩌라고???

SSL쓸때는 브라우저의 자물쇠 표시(SSL접속시 자물쇠가 잠김으로 표시됨)을 확인한다. 자물쇠 표시를 클릭해서 SSL인증서의 소유자 및 발급자를 확인한다. 암호는 자주 바꾸자.. 패킷 감청이 어렵게 맛폰으로 메일 확인하자.. 집이나 사무실 PC라면 IP대역이 뻔해서 ISP에서 라우팅 설정해 주기가 쉽습니다. 맛폰이라면 전화번호로 라우팅 해야 하는데 이게 IP를 다이나믹하게 잡아서 쓰기 때문에 IP레벨로는 쉽지가 않습니다. (불가능은 아님) Wi-fi 등에 붙으면 사실 특정 Wi-fi AP를 계속 감청하는 것이 아니라면 어느 AP를 쓸지 모르기 때문에 어렵습니다.

정말로 정말로 안전하게 사용하고 싶다면 인증서 기반 인증을 하는 미국내 VPN서비스를 사용하자. ID/Password는 다양한 방법으로 유출이 가능합니다. VPN만 사용해도 네트워크 중간에서 어떻게 하는 것이 아주아주 어려워집니다.

• • 추가..

다 아시는 이야기겠지만 위의 이야기는 어디까지나 "소설"로 실제로 저렇게 했다는 이야기가 아닙니다. 기술적으로 Trusted CA에서 해커가 원하는 인증서를 발급 받을 수 있다면 발생 할 수 있는 문제라는 겁니다. 얼마전에도 어디 공인인증기관에서 인증서 잘못 발급해서 ( 예를 들면 Google.com 인증서를 해커한테 발급 ) 난리가 난적이 있었죠. 그런 경우에 발생 할 수 있는 문제를 이야기 한 겁니다. 절대 오해하시지 마시고 꼼꼼하신 그분께서는 절대 절대 절대 이런 짓을 하실 분이 아니시죠.

돼지아빠 님의게시글댓글 0모공초4남학생들이 문재인 지지이유 8 04-30 0모공삼성은 왜 플래그쉽에 엑시노스를 못쓰나 20 03-01 회원 삭제된 게시물입니다. 0모공정말로 의대가 공대보다 그렇게 좋은가요? 22 01-21 0모공블프때 산 tv 받았습니다 4 12-29 0모공ktx민영화 아니라고 주장하지 말고 3 12-15 0모공종교도 일종의 중독인데 중독법으로 관리해야 하지 않나요? 16 12-04 0모공서피스 RT의외로 좋은데요 9 11-25

신고   스크랩   공유    공감 0명
댓글 • [10]  을 클릭하면 간단한 회원메모를 할 수 있습니다.

NeverEnd 아 KISA가 있었군요... 신고공감·대댓글 09-16 IP 외선이 감청이 가능하군요. ㅠㅠ 신고공감·대댓글 09-16 IP minux pgp 를 쓰면 어떤가요? 신고공감·대댓글 09-16 IP 돼지아빠 PGP는 서명이라 변조는 막을 수 있는데요..내용을 보는건 답이 없네요 신고공감· 09-16 IP Raymundo pgp 에는 서명을 붙이는 기능도 있지만 텍스트 전체를 암호화하는 것도 역시 가능하니까... 그걸로 하면 메일을 들여다봐도 내용을 알 수 없겠지요.

다만 이건 메일 보내는 사람도 받는 사람도 PGP를 쓰고, 키도 교환하고, 메일 텍스트 검색도 불가능해지고 등등... 불편한 점이 커서 정말 자기가 감청당하고 있다고 생각하지 않는다면 예방 차원에서 쓰기에는 힘든 점이 많겠지요. 신고공감· 09-16 IP 농부의근성 헐... 1번 방법, 놀랍네요... 좋은 것 알게 되었습니다 감사합니다. 신고공감·대댓글 09-16 IP 원조불꽃남자 이미 https 프록시 방식은

Charles Proxy와 같은 http 패킷 분석도구에서 몇 년전부터

제공해왔던 기능입니다.

ssl 암호화된 패킷 자체를 분석해내는 것은 어려워도

프록시를 통한 스니핑 기법으로 충분히 패킷분석이 가능합니다.

저도 개발자이지만 Charles Proxy로 딴곳(?)에 가끔 이용합니다. 신고공감·대댓글 09-16 IP 돼지아빠 현직을 떠난지 어언 10년쯤 되었기 때문에 이렇게 좋은 툴이 있는지는 몰랐습니다.

SSL Proxy의 핵심은 사설 인증서 쓰다간 요즘 브라우저에서는 바로 못믿는 인증서인데 접속 할거냐 라고 물어보는 것을 어떻게 우회 할 것이냐 라는 거죠. 신고공감· 09-16 IP 삭제 되었습니다. 랜덤여신 방금 이 주제에 대해 어떤 분과 대화하다가 알게 된 건데요. 크롬은 한 번 방문한 사이트의 SSL 인증서를 기억한다고 하더군요. 그렇다면 발급 주체가 KISA로 달라지면 경고를 내뱉지 않을까요? 물론 당하신 분은 인터넷 익스플로러 (따위) 를 쓰셨을 가능성이 높겠지만요. 크롬을 쓴다면 안전할 수도 있겠네요.

검색해서 추가로 안 건데, 크롬은 특정 사이트에는 특정 root CA만 쓰이도록 강제한다고 하는군요. 그래서 KISA 인증서에 경고를 띄울 수가 있겠군요. 저번에 중동쪽에서 가짜 인증서 파동 난 것도 크롬 덕분에 알았다고 하는군요. 역시 크롬이 진리! 신고공감·대댓글 09-16 IP 돼지아빠 저도 그래서 Gmail은 크롬으로..

하지만 유저가 명시적으로https://www.gmail.com 등으로 들어오지 않는 이상 초기 접속에 장난질 쳐서 다른쪽으로 유도 하는 방식으로 (브라우저상의 주소는 바꾸지 않고..) 어떻게 해볼 수도 있을 것 같습니다만...제가 보안 업계를 떠난지도 오래됐고..웹은 전문이 아니라서...

같이 보기

• n번방 방지법