Replicated

https://github.com/Coffeecaat/DragDown GitHub - Coffeecaat/DragDownContribute to Coffeecaat/DragDown development by creating an account on GitHub.github.com GameInstanceSubsystem 기반으로 만들자빌드 파일에 HTTP, Json 등 추가 // Fill out your copyright notice in the Description page of Project Settings.#pragma once#include "CoreMinimal.h"#include "Subsystems/GameInstanceSubsystem.h"#include "Interfaces/IHttpReq..

CAN 취약점- 브로드캐스트 - 누구나 통신 내용 확인 가능- 접근제어 x - 누구나 통신에 참여 가능- 기밀성 x - 누구나 패킷의 의미 분석 가능- 인증 x - 누구나 패킷 위조 가능 CAN 버스 리버스 엔지니어링 -> 사이버 킬 체인 정찰 단계에 해당 위협 식별: STRIEDSpoofing 인증이 없는 CAN 대상으로 통신에 참여 MAC 등 데이터 인증 추가Tampering Repudiation Information disclosure자동차 내부 네트워크 정보 유출암호화Denial of service자동차 내부 네트워크 대상 DoS 공격 수행IPS(침입 방지 시스템)Elevation of privilege자동차 정비 기기의 권한을 얻어서 공격 수행정비 시 역할 기반 접근제어(RBAC) 위협 등급..

보쉬가 만든 효율적인 차량 통신 기술버스 기반으로 두 개의 선 사용 장점- Reliability: 에러 및 잡음에 견고- Economy: 싸다 (1:1 연결보다 당연히 버스가 구리가 덜 듦)- Availiability: CAN 지원하는 칩이 많음- Scalability: 쉬운 확장성 단점- Broadcast : 누구나 통신 내용 확인 가능한 환경- 접근제어 x : 누구나 통신에 참여 가능한 환경- 기밀성 x : 누구나 패킷의 의미 분석이 가능한 환경- 인증 x : 누구나 패킷을 위조 가능한 환경 과거의 폐쇄망 시절 약점이 네트워크 연결되면서 취약점이 된 것 CAN 네트워크 구성- 여러 개의 ECU + 구리선 2줄(CAN_Hign, CAN_Low)- ECU 내부엔 MCU(CPU Core, CAN Cont..

차량의 발전과거- 기본적인 차량 제어- 기계식 메커니즘- 폐쇄망 현재- 전자제어장치(ECU)의 증가- 텔레메틱스 서비스- 제한적 자율주행 미래- 완전 자율 주행- 차량과 모든 것이 연결 Level0 -> 어떠한 자율주행 기능도 지원 안함Level1 -> 차량의 방향 or 감가속 기능Level2 -> 차량의 방향 or 감가속 기능 (현 시점?)Level3 -> 제한된 조건에서 자율주행 (운전자 대기, 손은 떼도 발은 못 뗌)Level4 -> 특정 환경에서 완전 자율 주행 (발 떼도 됨)Level5 -> 완전 자율주행 예시- 자율주행택시 웨이모- 서울 청계천 자율주행셔틀 42dot  ECU (Electronic Control Unit)- 차량 내의 전기 시스템 및 서브 시스템 중 하나 이상을 제어하는 필수적..

나중에 외형 변경 기능을 추가하더라도 일단 기본 캐릭터는 추가하자나중에 수정할 수도 있다

배경정보수집(DFD) Data Flow Diagram추상적인 수준에서 전체 구성 요소, 제품, 시스템의 데이터 흐름을 표시 레벨을 나눠 그리기도 함. Level 0 -> 1 -> 2이건 레벨 0 더 자세하기 그려지면 이렇게 됨 다이어그램의 완성도와 일관성을 검증하려면 데이터의 출처가 잘 정의되었는지 확인하고,데이터 유실을 피하고 데이터가 항상 프로세스를 통과하는지 체크해야 함  위협 모델 만들기 및 분석 (STRIDE)Spoofing (위장)Tampering (데이터 변조)Repudiation (부인)Information disclosure (정보 유출)Denial of service (서비스 거부)Elevation of privilege (권한 상승) 시스템에서 발생할 수 있는 위협(취약점을 이용한 공..

일부 조직: 보안 테스트를 개발 프로세스가 끝나는 시점에 추가- 예산과 일정을 계획하기 쉬움- 결과가 명확- 개발 프로세스를 변경하거나 업무와 책임을 보고할 때 체계에 따라 분리하지 않아도 됨 근데 이게 더 ROI가 낮음 보안 사고는 비용이 많이 들고 예측 불가, 어떠한 응용 프로그램도 공격 대상이 될 수 있음직접 비용- 손상된 시스템 분석- 악용된 취약점 처리- 손상된 시스템 재구축- 고객과의 소통간접 비용- 브랜드 가치 하락- 고객 신뢰 상실- 고객 이탈 대충 30배 이상의 비용이 듦 SW 개발 보안이란?안전한 SW 개발을 위해 소스코드 등에 존재할 수 있는 잠재적인 보안 약점을 제거, 보안을 고려하여 기능을 설계 및 구현하는 등 SW 개발 과정에서 실행되는 일련의 보안 활동 요구사항 분석- 요구사항..

사이버 공격을 프로세스 상으로 분석, 각 공격 단계에서 조직에 가해지는 위협 요소들을 파악하고 조치총 7단계 정찰(Reconnaissance)무기화(Weaponization)유포(Delivery)악용(Exploitation)설치(Installation)명령 및 제어(Command and Control)목적 달성(Actions on objectives) 정찰 (공격 전 단계)- 목적을 정하고 대상을 식별, 정보 연구 무기화 (공격 전 단계)- 알려진 취약점 중 패치되지 않은 취약점 또는 알려지지 않은 취약점을 악용하는 익스플로잇을 이용하여 공격 대상을 유인할 수 있는 무기를 만듦 유포 (공격 전 단계)- 공격 대상에게 이메일의 파일, USB 등 무기를 전달 악용 (공격 시도 단계)- 공격 대상에 전달된 무..