Skip to content

기글하드웨어기글하드웨어

인터넷 / 소프트웨어 : 윈도우즈, 리눅스, 기타 운영체제, 각종 어플리케이션, 프로그램, 소프트웨어, 인터넷, 인터넷 서비스에 대한 이야기, 소식, 테스트, 정보를 올리는 게시판입니다. 2016년 7월 이전의 글은 다음 링크를 참조하세요. 구 소프트웨어 뉴스 / 구 소프트웨어 포럼 / 구 뉴스 리포트 / 구 특집과 정보 / 구 스페셜 게시판 바로가기

profile
PHYloteer https://gigglehd.com/gg/4877153
こんなに好きなんです 仕方ないんです
조회 수 3036 댓글 14
Extra Form

일단 밑의 글에서도 알 수 있듯이, SSH포트를 열어두면 꾸준히 공격이 들어옵니다. SSH가 아니라도 마찬가지입니다. 포트를 열어두면 공격이 꾸준히 들어옵니다.

 

그럼, 이러한 로그인 공격이 얼마나 위협이 되는지를 생각해봐야 할 겁니다.

 

일단, 공격자가 ascii 코드 무작위 대입을 하는 경우를 고려해보겠습니다. 이 경우 한 글자당 95개의 경우를 테스트해봅니다. 글자가 하나 늘어날때마다 space가 95배씩 늘어납니다.

 

cudahashcat.png

 

1 글자면 95개, 2 글자면 9025개, 3 글자면 8.57 x 10^5개 (~857 킬로), 4 글자면 8.145 x 10^7 (~81메가) 개.. 순서로 늘어갑니다.

 

그럼 7자리의 비밀번호를 무작위로 찾는 경우를 생각해봅시다. 최대 6.98 x 10^13 번의 대입이 필요할 수 있습니다. descrypt 방식이라면 2080ti 로 hashcat을 돌렸을 때 1600 MH/s가량이 나오니 (ref: https://gist.github.com/binary1985/c8153c8ec44595fdabbf03157562763e ) 대충 12시간이면 풀립니다.

 

..문제는, 로컬에서 돌려서 이 속도라는 점입니다. ssh를 통해 초당 1600e6개의 암호가 대입이 될 리가 없습니다. 특히 fail2ban같은 걸 걸어두면 한 컴퓨터로 대입할 수 있는 암호 횟수에 제약이 걸려 (그 이상 입력할 경우 ip밴당함) 한시간동안 수십 개 대입해보는 게 고작입니다 (정확한 건 세팅값에 따름). 이래서야 좀비 컴퓨터를 수십만대 동원해도 무리입니다.

 

한 컴퓨터로 한시간동안 100개의 암호를 넣어본다고 가정합시다. 이걸 1000만대의 좀비 컴퓨터를 통해 동시에 같이 한다고 합시다. 7자리를 전부 찾아보는 데 8년 걸립니다. 한 자리 더 늘리면? 750년 걸립니다.

 

..그래서, fail2ban을 걸고 조금 강한 암호를 쓰기만해도 ssh에 무작위 대입을 해서 서버를 해킹하는 건 불가능에 가깝습니다. 그런데 왜 사람들이 털리느냐? 그거 관리하는 사람들이 생각보다 보안에 관심이 없어서입니다.

 

  • Fail2ban 등 추가적인 보안 설정을 걸어두지 않음
  • 기본으로 ssh가 설정되어있는 시스템을 구매한 후 기본 비밀번호를 건드리지 않음.
  • 비밀번호의 엔트로피가 충분히 높지 않음
    • 이미 털린 비밀번호의 경우 dictionary attack에 당할 가능성이 높습니다 (대표적으로 Password1!). 같은 비밀번호를 여러 곳에 재활용한 경우도 마찬가지의 위험성이 있음.
    • 95^n 형태로 난이도가 증가하는 건 어디까지나 ASCII영역을 다 쓴 경우고, 소문자만 쓴다거나 하면 당연히 검색할 공간이 훨씬 좁아집니다.
  • 뭔가 다른 구멍이 있음 (암호를 뚫는 게 아니라 다른 구멍으로 침입). 보안 업데이트를 안 해 준다거나 암호화 등이 잘 안되는 레거시 온라인 서비스를 별도로 돌리고 있다던가 등등..

 

그래서 실제로 비밀번호가 무작위 대입을 통해 해독되는 경우는 대부분 저렇게 원격 서버에 무작위 대입을 해서 깬 게 아니라 웹사이트 등 온라인 서비스의 데이터베이스를 털어서 거기서부터 비밀번호를 해독한 경우들입니다. 평문으로 저장되는 사례도 있었고, 요즘은 해싱을 하는 경우가 늘었지만 위에 적은 것 처럼 로컬에서 GPGPU같은 걸 때려박으면 어느정도는 비밀번호를 깨볼 만 합니다.  물론 여러번 로그인 시도를 했을 때 차단을 먹이지 않는 사이트라면 계에속 대입을 돌려서 깨는 것도 가능하기는 합니다만.. 뭐 상식적인 곳은 그렇겐 안 하죠.



  • ?
    로리링 2019.05.12 19:44
    웹 이나 특정 서비스 외 원격포트는 다막고 VPN 돌리는게 제일 편하지않을까 싶습니다.
    해킹되도 서비스 계정이랑 사용자 계정이랑 잘 나눠놓고 포트 잘막아놓으면 문제는 없지 안는가 싶습니다.
    봇돌아가는게 주인들이 까먹은게 아닌가 아니면 주인없는 유기 봇들이라던가. 하는 생각이 들어요;
  • profile
    PHYloteer      こんなに好きなんです 仕方ないんです 2019.05.12 19:46
    제가 하고 싶은 말은 그렇게 안 해도 ssh같은 걸론 안 털린다는 뜻입니다. 물론 암호 잘 고르고 fail2ban에 보안 패치만 잘 올리시면요.

    오히려 VPN은 소프트웨어를 잘못 고르시거나 설정을 잘못 주시면 잠재적인 보안 문제가 될 수 있습니다. 똑바로 설정하면 괜찮은데 아직 구닥다리 방식들이 여러 운영체제에 기본값으로 들어가 있어서..
  • ?
    로리링 2019.05.12 19:55
    맞습니다 털릴 확률은 하염없이 0에 가깝게 수렴하겠죠. 요즘은 서비스 기본값도 긴 무작위값주니 사람이 문제네요.
    저런거에 털리는 관리자를 지지고 볶아야합니다. 외부에 서비스하면서
    세상에 서버 유저명이랑 비밀번호를 다른데서 쓴걸 쓰는사람은 없것죠..?
  • profile
    PHYloteer      こんなに好きなんです 仕方ないんです 2019.05.12 19:56
    있습니다. 봤거든요 ( '')

    한가지만 힌트 드리자면.. 본문에 적어둔 "Password1!". 현실에서 대기업이 관여한 프로젝트의 프로덕션 서버에서 본 암호입니다. 물론 다른 걸로 바뀐 걸 아니까 저기에 적어두긴 했습니다마는...
  • ?
    title: 명사수알파 2019.05.12 20:16
    켁 저의 회사 그렵니다
    사장님이 비번왜우기 귀찮다고 그러게했던기억이......
    뜻하지 못하게 팩트 맞으니까 아프네요.......
  • ?
    nsys 2019.05.12 22:27
    회사에 sudo 가능한 계정을 thomas / thomas 로 쓰다 털린 사람 있습니다
  • profile
    Retribute      안녕하세요 좋은날입니다 https://blog.naver.com/wsts5336     2019.05.12 20:04
    역시 최선은 일반적으로 예측 불가능한 비밀번호를 사용하되 직접 사용하기 전에 검증 작업을 거치는건가봅니다
  • profile
    title: 저사양rnlcksk      감사합니다! 2019.05.12 23:30
    ssh 같은건 걍 인증서 걸어두는게 제일인거 같아요.
  • ?
    고슴도치 2019.05.12 23:59
    공개키 입력해두고 자동로긴이 최고죠!! (근데 공개 Git에다 비밀키 저장해두는 회사가 있네? 안될꺼야 아마.... 절레절레)
  • profile
    ExyKnox      2019년 19살 엑시녹스입니다 으엉엉 2019.05.13 00:29
    Fail2Ban이 여러모로 유용하고 강력하죠.
  • profile
    title: 귀요미카토메구미      카토릭교 신자 입니다.! 카토는 언제나 진리 입니다. 2019.05.13 04:43
    사실 ... 기본적으로 bctypt에 salt만 잘해도 안털리긴 하죠..

    당장 저부터도 영문,숫자,특수문자 조합으로 비밀번호를 사용하니까요.
  • profile
    Koasing      PROBLEM? 2019.05.13 08:25
    사용자에게 요구되는 것은 적절한 길이, 최소 12글자 이상의 암호 사용입니다. 적절히 이상한 영숫자 혼합까지 해 준다면 더 좋겠지만, 일단 암호는 길어서 나쁠 게 없습니다. 나머지는 서버 관리자가 관리를 잘 해야 하겠지요.
    그러고보니 PAM중 T-OTP를 구현해둔 것도 있습니다. 첫 동기화때 콘솔에서 특수문자로 QR코드 뿌려주는게 참 신기하데요.
  • profile
    title: 명사수쮸쀼쮸쀼 2019.05.13 19:06
    진짜 콘솔에서 QR코드가 튀어나오는 것을 봤을 때의 놀라움은… 근데 정작 찍어보지는 않았다는 게 함정.
  • profile
    보리챠      헤헤... 기글의 숨은 키보드 빌런 겸 네크로멘서에욧 2019.05.13 14:30
    하드웨어 취약점때문에 털려본거말곤 털려본적이 없네욤 ㅠㅠ


  1. SSH를 비밀번호 대입으로 해킹하려면.

    일단 밑의 글에서도 알 수 있듯이, SSH포트를 열어두면 꾸준히 공격이 들어옵니다. SSH가 아니라도 마찬가지입니다. 포트를 열어두면 공격이 꾸준히 들어옵니다.   그럼, 이러한 로그인 공격이 얼마나 위협이 되는지를 생각해봐야 할 겁니...
    Date2019.05.12 분석, 팁 ByPHYloteer Reply14 Views3036 file
    Read More
  2. ssh 열어두면 해킹시도가 장난 아니군요

      해놀로지에 어떤 스크립트를 작동시키려고 ssh를 열어 스크립트를 실행시켰습니다. 1시간도 안 돼서 생판 모르는 ip들이 접속 시도를 8번이나 했네요. ssh 매번 생각 없이 열어뒀는데 접속 실패 로그 쌓인 걸 보니 소름 돋아서 껐습니...
    Date2019.05.11 일반, 잡담 Bytitle: 명사수깍지 Reply28 Views3384 file
    Read More
  3. JPEG 압축의 원리 (영어)

      <Parametric Press>라는 곳에서 JPEG 파일을 직접 십진수 형태로 수정해가며 원리를 설명하는 인터랙티브 기사를 올렸습니다. 비록 영어의 압박이 심합니다만, JPEG 파일 내부를 직접 손대는 경험만으로도 의미가 있을 것 같아 여기에 ...
    Date2019.05.11 분석, 팁 Bytitle: 명사수쮸쀼쮸쀼 Reply5 Views1423 file
    Read More
  4. 인사이더 프리뷰 올리고계신 분들께 질문이 있어요

    인사이더 프리뷰 올린지도 어언 1달 반정도 됐는데 4월 말에 모니터 바꾸고 오랜만에 배그를 켜봤는데 안되더라구요. 스팀 재설치, 클린 설치, 배그 재설치, 드라이브 바꿔보기, 관리자 권한, 그 외에도 온갖 해결책을 다 시도해봤는데 안...
    Date2019.05.11 질문, 토론 By쿤달리니 Reply4 Views389 file
    Read More
  5. 윈도우 10 19H1 버전의 안정성은 어떤가요?

      윈도우 10 RS4로 업그레이드 하다가 한번 데여서 바로 RS3로 롤백하고 지금까지 RS3에서 존-버 하고 있었는데용.   이젠 동작도 좀 굼뜨고 쓸모 없는 파일도 많이 쌓여서 포맷을 한 번 해줄 때가 온 것 같아요.     현재 최신 버전이 1...
    Date2019.05.10 질문, 토론 By에키랑스 Reply18 Views1803 file
    Read More
  6. No Image

    카카오 "카톡 채팅목록 광고, 사용자도 만족할 것"

    카카오는 최근 도입한 카카오톡 채팅목록 탭 광고(톡보드)와 관련, "사용자의 경험 또한 만족스러워질 것"이라고 9일 밝혔다. 여민수 대표는 이날 1분기 실적발표 후 콘퍼런스콜(회의통화)에서 "브랜드가 전달하는 콘텐츠가 사용자의 관심...
    Date2019.05.10 소식, 참고 By낄낄 Reply21 Views1117
    Read More
  7. 모질라가 파이어폭스 다음 버전 베포를 다음주로 연기함

    최근에 모질라 파이어폭스가 애드온 인증문제로 애드온이 작동안되는 이슈가 난 후 그게 원인인지 아닌지 모르겠지만 5월 8일에 모질라가 버전 스케쥴을 변경했습니다.   변경 전       변경 후   원래 5월 14일에 67버전이 나올 예정이었...
    Date2019.05.10 소식, 참고 By엠폴 Reply2 Views797 file
    Read More
  8. 마소 오피스 아이콘이 바뀌었네요

      발표된지는 꽤 오래되었는데 적용되어서 변경된걸 이제 보네요. 그..뭐시냐... $ㅏ소 F 뭐시깽이 디자인 시스템이라는데, 아이콘"만" 보고 어떤 역할의 프로그램인지는 변경 전 디자인이 이해하기 더 쉬워보이네요. 다만 생성한 파일 ...
    Date2019.05.10 일반, 잡담 By순딩sheep Reply4 Views1364 file
    Read More
  9. No Image

    윈도10 19h2 대신 서비스팩으로 나올예정

    윈도우10 19h2 1909 대신 서비스팩으로 대체될예정이라고 하네요  사실상 1년마다 메이저 업데이트 주기으로 되었네요   19h1 이달 5월중순 배포될예정이고  올해 하반기 19h2 대신 19h1 서비스팩1 배포된다고 합니다.  현재 인사이더 프...
    Date2019.05.09 일반, 잡담 By에드힐스 Reply5 Views1281
    Read More
  10. 구글 어시스턴트를 로컬에서 처리

    구글 어시스턴트의 차세대 모델에 대한 설명입니다. 재귀 신경망의 발전으로 대화/언어 이해 모델을 완전히 새로 개발, 클라우드에서 운용되던 100GB의 AI 모델을 500MB로 줄여 스마트폰의 내장 스토리지에서 액세스 가능해졌습니다. 네...
    Date2019.05.09 소식, 참고 By낄낄 Reply9 Views1618 file
    Read More
  11. 구글 검색의 AR 지원

    구글 검색에 AR 기능이 추가됩니다. 적용은 5월 하순부터. 스마트폰에서 어떤 물체를 검색하면 그 3D 모델 데이터를 검색 결과에 표시하며, 이를 3D 보기로 360도 회전하거나 카메라로 보는 현재 풍경에 합성이 가능합니다. 구글 렌즈로 ...
    Date2019.05.09 소식, 참고 By낄낄 Reply0 Views486 file
    Read More
  12. No Image

    가상화폐 거래소 바이낸스 해킹. 피해액 477억원

    전 세계에서 가장 큰 가상화폐 거래소인 바이낸스가 7천 비트코인, 현재 시세로 약 477억원어치가 해킹됐다고 합니다. 7일 오후 5시에 해커들이 7천 비트코인을 한번에 인출했다네요. 피싱이나 바이러스로 바이낸스 사용자들의 비밀번호와...
    Date2019.05.08 소식, 참고 By낄낄 Reply0 Views506
    Read More
  13. No Image

    엣지가 모르던 새 아주 좋아졌군요.

        1. 크로뮴 기반으로 바뀌면서 크롬 익스텐션을 전부 사용 가능해졌습니다.   2. 구글 이미지 검색도 지원합니다. 모바일 엣지도 마찬가지입니다.   3. 모바일 엣지와 싱크를 지원합니다.   4. 그러면서 크롬보다 기술적으로 개선된 ...
    Date2019.05.08 일반, 잡담 By새벽안개냄새 Reply12 Views1437
    Read More
  14. No Image

    CIA, 토르 네트워크의 익명 사이트 공개

    CIA가 토르(Tor) 네트워크를 사용하는 자체 웹 사이트를 만들었습니다. CIA에게 익명으로 제보를 하는 용도라네요. 주소는 ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyjstad.onion 입니다. 지금까지 이런 게 없었다는게 신기하...
    Date2019.05.08 소식, 참고 By낄낄 Reply3 Views1038
    Read More
  15. 라이젠을 위한 DRAM 계산기 1.5.0

    라이젠을 위한 DRAM 계산기 버전 1.5.0입니다. 메모리 설정/클럭의 자세한 값을 넣어 시스템 성능이 얼마나 나오는지를 확인하고, 메모리 오버클럭 안정성을 테스트할 수 있습니다.
    Date2019.05.08 소식, 참고 By낄낄 Reply2 Views1179 file
    Read More
목록
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 159 Next
/ 159

최근 코멘트 30개

MSI 코리아
와사비망고
쓰리알시스템

공지사항        사이트 약관        개인정보취급방침       신고와 건의


기글하드웨어는 2006년 6월 28일에 개설된 컴퓨터, 하드웨어, 모바일, 스마트폰, 게임, 소프트웨어, 디지털 카메라 관련 뉴스와 정보, 사용기를 공유하는 커뮤니티 사이트입니다.
개인 정보 보호, 개인 및 단체의 권리 침해, 사이트 운영, 관리, 제휴와 광고 관련 문의는 이메일로 보내주세요. 관리자 이메일

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소