한국에서 암호학 쪽 신나게 공부하다가, 운좋게 이곳에 와서 열심히 살아 가는 청년 입니다..

제가 DES까지 건드리고, SSL하다가 접었습니다..모두 암호관련된 것들인데, 제가 이곳에 와서 많은 미국인들이 자기 신용카드 정보를 도용당했다고 들었습니다.

어떤 사람은 페이팔까지 가입해서 버젓이 물품 구매를 했다고 하고, 어떤 사람은 이베이에 자기 카드로 주문까지 해서 받아갔다고 하고.. 어떤 분은 카드를 뽑아가서, 미국 전역을 돌면서 물품 구매를 했다는 분들 다양 합니다.

근데 제가 들은 이모든 이야기의 핵심은, “해커가 네트웍망을 이용해서 정보를 빼냈다” 라는 겁니다..

개인적으로 저는 이해가 안되는게, 암호화된 패킷을 빼낸다 치더라도, 그 암호화를 푸는데 걸리는 시간이 .. 저는 거의 3중 데스로 감아쥔거는 풀수가 없다라고 생각 하는 중입니다..이건 암호를 푸는게 아니라, 가능한 모든 수의 조합으로 암호를 ㄸㅒ려 마추는거에 가깝지 않습니까???

…제가 가는 사이트 이베이, 페이팔, BOA, buy.com 이런 웹사이트 결제할때 는 대부분, 보안 상태 창에 보안상태가 표시 됩니다.. 얼마정도의 암호화를 할지 몰라도, 128bit가 많이 차용되는 걸로 생각 하고 있습니다.

….

암호화 128비트가 됐다는건, .. 거의 암호화된 정보를 습득해서는 풀수가 없다가 제가 배운 내용이였고, 학과 아이들이랑 죽으라고 이야기 나눴던 부분입니다.

그렇다면 다른 방법은, 쿠키쪽 정보를 빼내서, 가상 접속을 한후 정보를 빼내는것인데, 이것역시, 쉽지 않지 않나 합니다.. 카드 번호가 그대로 노출되는경우도 없고, CVS넘버역시 적혀 있지 않으니말이지요..

그럼, .. 남는건 천상 키보드 저장 방식의 방법말고는 떠오르지 않습니다..

… 이곳에서 남의 정보를 이용해서 물품 구매 하는 방법은 주로 어떻게 이뤄지는 아시는 분 계신지요??

자꾸 , 이런 이야기를 다른 사람들과 하다 보면, 무조건 카드를 인터넷에서 쓰면 큰일 난다고 단언 하는사람들을 보면, 아는척 하고 싶진 않지만, 오히려, 카드 사용보다 스파이웨어쪽이 더 문제라고 목소리를 높이게 되더군요..

제가 업데잇이 좀 느립니다..다른 방식으로 웹접속을 이용하여서, 암호화 모듈 또는 보안사이트를 우회해서 정보를 빼내는게 이곳엔 있는것인지요?? 과연 그게 가능한건지 궁금합니다.. 또 은행 사이트쪽 보안은 철저함에도 불구하고 빼내는 사람이 있는데, 이부분을 해커쪽의 범행으로 보아야 하나, 아니면 사회공학 정통한 사람이 온라인 기술까지 접목시켜서 온라인 오프라인의 조합으로 정보를 빼는것으로 봐야 하나 가물 가물 합니다..

추가: 글을 읽어보니, 마치 제가 꼭 무슨 우회해서 정보 빼내는 정보를 습득할려고 글을 적은것처럼 보입니다.. ..절대 그런건 아닙니다, 단지 넓은 설정으로 이해해 주시고, 폭넓은 방식으로 설명 가능하신분 계시면 정말 폭~~~넓게, 뜬구름 하늘에서 펄펄 날라다닐 정도의 넓이의 폭으로 설명좀 해주셨음 합니다….

저 역시 구체적인 방식으로 기술 하게 되어서, 혹시, 정말 혹시나, 나쁜마음 먹고 시도 하시는 분들에게 좋은 정보를 드리면 안된다고 생각 하는 사람입니다..

DES는 주로 패스워드 자체를 암호화할 때 사용하고 SSL은 RSA 방식으로 합니다. (SSL쪽은 자세히 몰라서 그런데, 초기 키 교환만 RSA로 하고 그 다음은 DES로 할 것 같네요.) 둘 다 암호 자체를 풀기에는 아직까지 많은 시간이 걸립니다. (DES로도 만족하지 못해서 근래에 AES가 새로운 표준 암호화 기법으로 선정되었지요.) SSL에서 사용하는 키는 보통 1024비트 이상을 사용합니다. 어떤 암호화건 상용으로 사용되는건 crypto analysis로 거의 못 풉니다. (충분한 시간, 컴퓨팅 파워만 있으면 다 풀 수도 있다는 얘기도 됩니다) 보통 해킹 방식을 보면 언급하셨듯이 우회적인 방법을 사용합니다. 상대적으로 보안이 취약한 사이트를 먼저 해킹해서 아이디, 패스워드를 얻어서 금융 사이트나 쇼핑 사이트에 접속하는 경우도 있구요. (보통 동일한 아이디, 패스워드를 사용하는 경우가 많으니깐요.) 그 외에 스파이웨어로 키스트로크 잡아서 공격하면 거의 무궁무진한 데이터를 얻을 수 있겠지요. 쿠키 자체도 보면 알겠지만, 암호화해서 그 값 자체만으로는 아무 쓸모가 없습니다. 암호화된 데이터를 키없이 복호화 할 수 있는 상황이면 지금 금융 사이트, 온라인 쇼핑 사이트는 장사 못하지요.
공격 대상이나 목적에 따라 다르겠지만 DES 암호를 풀기 위해서는 brute force attack 보다는 dictionary attack가 효과적입니다. 예전에 유닉스 패스워드 파일을 구해서 사전으로 돌려봤더니 의외로 간단한 패스워드 사용자가 많더군요.
참고로 저는 모든 사이트마다 다른 패스워드를 사용합니다. 나름대로 규칙을 만들어서 사용하면 별로 번거롭지도 않습니다.

aes님 말씀이 맞는듯 합니다.
요즘 암호화된걸 풀려고 하는 사람이 얼마나 될지는 모르지만 멍청한 짓이라고 생각되고요…
서버 운영하다보면 요즘은 흔히 보는건데 aes님 말씀하신것처럼 사전으로 돌리는겁니다. 중국쪽에서 많이 들어오는…

그렇다면, 제가 만난 사람들은 사전파일을 돌려서 당첨(?)된 사람일수도 있고, 취약한 웹사이트에서 로그인 하는 패킷을 빼낸 해커에게 이용당할수도 있고, 아니면 아예 취약한 웹사이트를 해킹해서 나온 디비를 아디 패스워드 테이블에 의해서 도용당한 사람일수도 있겟네요..

많은 도움 됐습니다..저도, 어떻게 암호화된 패킷을 키 없이 복호화 할수 있나란 생각이 들어서 재확인차 질문을 한것입니다.. 어느 분은 카드만 만들어 놔도, 도용당했다고 하시는 분도 계신데, 그 이유가 해커라고 하시더라고요..

한번도 웹상으로 접속도 안하고, 카드만 만들고 사용 한번도 하지도 않았는데, 도용을 당했다며, 다 해커 잘못이라고 하시는걸 보고..흠..이건 어떤경우인가 한동안 생각 했엇지요..

댓글 주셔셔 감사 드리고, 좋은 하루 되세요..

키보드 보안 프로그램을 쓰지 않는 이상
스파이 같은거 통해서 키보드 캡쳐 프로그램 깔아놓으면
키입력 다 알수 있는거 아닌가요?
그렇게 간단한게 아니었던가요 -_-a

저도 윈도 함수 몇개 보니, 키도드 입력 이벤트 발생시, 키를 저장할수 있는것 같습니다..근데 이게 윈도 자체 지원하는 함수라서, 함수 추적하는 프로그램을 깔지 않는 이상(왠만한 보안 프로그램들은 감지 합니다)은 그냥 파일로 저장이 됩니다.. 만약 스파이웨어가 저 함수를 사용하고 , 파일을 전송시킨다면, .. 아디 암호 알아내는건 식은죽 먹기 입니다..

근데, 이런 방식보다는, 주로 제가 대화 나눈 사람들은, 스파이웨어랑 바이러스의 구분이 애매 모호 하더군요..또 그냥 카드를 인터넷에 쓰게 될경우 해커가 그걸 도용한다고 생각을 직접 추상화 시키길래, 뭐라고 설명을 드려야 할껏도 같고 그러했지요..근데 아는게 없어서, 글을 적은거에요..

미국 국회 보고서 – 개인정보 도용의 95%는 Offline에서 발생한다네요. 개인이 부주의로 아이디/비번을 여기저기 흘리고 다니지 않는 이상 온라인보안은 그리 큰 문제가 아닌 것 같습니다.