나경아빠의 스케치북 - 고통은 희망의 씨앗이다

팀장님과 팀원들과 팔당역에서 만나 북한강 종주길 중간에 턴해서 운길산역 고깃집에서 밥 먹자고 해서 2년여만에 다시 팔당을 직접 가기로. (팀장님과 팀원들은 모두 팔당역으로 집결이고)

추가된 물품 간략 리뷰

<프레임 가방>

예전에는 가방에 올림푸스 미러리스 카메라를 넣고 다녔는데 사진 찍을 타이밍에 꺼내고 넣고 하는게 불편스러워서 알아보던 차에 집 근처 샵에서 발견해서 구매

가방 상단에는 스마트폰을 넣을 수 있지만 아이폰 거치대가 별도로 있어 이쪽에는 아이폰 충전기를 넣어서 사용한다.

올림푸스 미러리스 카메라를 넣기에 딱 좋은 사이즈.

찍찍이 스타일 잠금이지만 다행히 종주길 같은 전용도로에서는 떨어지지 않는거 같다.

<스미트폰 거치대>

핸들에 거치할 수 있는 아이폰5용 거치대를 찾다가 제격인걸 찾았다.

많이들 쓰는거 같다. 사용해보니 터치감도 괜찮고 끼고 빼내는것도 편했다.

<안장 가방>

선글라스 케이스와 기타 수리 공구를 넣기 위해서 구매

인터넷 샵에서는 다들 비슷해 보이고 시간도 없고 해서 집 근처 샵에서 구입

스포츠 고글 케이스 들어가면 딱인거 같다. 펌프는 힘들다.

<클릿페달과 슈즈>

이번에 추가한 물품 중 가장 부담스러운 것들

과연 자빠링 없이 잘 갈 수 있을까 했는데, 사람은 쫄면 긴장하고 미리 준비하는지라 애매한 곳은 미리 슈즈를 빼놓고 발 가운데 부분이 클릿 페달이 오게 해서 달렸다. (그래서인지 왼쪽 무릎 바깥쪽이 아프다. 아마다 장경인대염 같음)

페달은 집 근처 삽에서 싸고 초보용으로 했고 슈즈는 처음이고 해서 중고로 샀다. 오프라인 매장가서 실측하고 또 비싼것들만 진열되어 있는 걸 충동구매할까봐...

처음이라 긴장도 많이 했지만 힘이 들때 다리 뒷쪽 근육을 의도적으로 사용하거나 밀면서 위에서 아래로 향하는 페달링이 아닌 페달을 끌어올리는 것으로 해보니 다리의 부담이 분산되는 느낌이 들었고 업힐에서도 이전보다는 다른 장점을 느꼈다.

모델명은 M087GE란다. 사이즈는 41로 내 발을 실측하니 약 250mm 가 나와서 결정

신어보니 페달을 멈추가 다리를 쭉 핀채로 힙을 들어 쉴 때 엄지 발가락이 아프고 

페달없이 걸을 때도 엄지 발가락이 약간 아프다. 사이즈가 작은지는 물어봐야할듯.

<아디다스 이블아이 하프림 프로>

자전거탈 때 바람이 불어오면 눈물이 흘리 때가 많아 불편했는데 마침 와이프가 회사 복지 카드로 사주었다.

팔당역 가면서 하남 근처에서 강바람이 많이 불었는데 효과를 많이 봤다.

그리고 나처럼 돗수 안경을 쓰고 라이딩 시 자세를 낮추면 앞쪽 시야가 돗수 안경 외곽이라 잘 아니 보이는데 아디다스 이블아이 하프림 프로 고글은 그런 점이 없어서 편했다.

<라이딩 후기>

집에서 한강 진입하는 금호 나들목까지는 내리막길 1.5키로 정도라 클릿을 풀고 쉬웜 쉬엄 가거나 걸어갔다.

금호 나들목에서 서울숲을 끼고 달리면서 사람들이 없는 구간에서는 클릭을 장착해서 해보면서 중간 중간 푸는 연습도 하면서 팔당역까지.

아침을 부실하게 먹어서 잠실철교 건너 좀 더 가서 한번 쉬면서 스트레칭하고 하남 진입전에 상대적으로 잘 안 쓴 왼쪽 다리에 쥐가 나는거 같아서 살짝 풀기 위해서 휴식. 아무래도 클릿을 쓰느 끌어올리는 뒷 근육을 써서 그런듯 싶다.

2년만에 팔당역 방문이라 부담스러웠는데 그래도 무사히 팀원들이 오기전에 미리 도착해서 다행. 사고도 없고 몸 상태도 나쁘지 않은것에 만족

팔당역에서 팀장님과 팀원들 만나 각자 자전거 대여해서 출발.

능내역에 도착해서 막걸리와 파전으로 휴식 그리고 운길산역 앞으로 (얼마 달리지 않았지만 다들 즐기는 분위기라 ^^)

집에서 달려와서 팀의 막내 뒤에서 졸졸 따라가면서 휴식(?)을

팔당대교 전 운길산역 근처에서 잠깐 휴식 후 북한강 종주길 중간의 목적지로.

중간에 딸기 체험장에서 먹은 딸기쥬스가 걸죽하고 달고 맛있어서 나중에 식구들과 같이 와도 좋겠다.

팀원들 사진 찍느라고 다소 무리해서 쥐가 날뻔 했는데 핑계되면서 살살 스트레칭 ^^

전환점 도착 후 다시 운길산역으로 컴백

운길산역 고깃집에서 소주 8병, 맥주 3명, 냉면, 된장으로 거의 준 회식 수준으로 포식

중간에 능내역에서 만두와 팥빙수 먹고 갔지만 사진은 아니 찍음

이것으로 2년여만에 팔당역 방문과 팀원들간의 라이딩 끝!

참고문헌 및 사이트

- 알기쉬운 정보보호개론 2탄 - 흥미로운 암호 기술의 세계(히로시 유키 지음)

- http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=20884

- http://hacksum.net/?p=2070

- http://thehackernews.com/2014/04/heartbleed-bug-explained-10-most.html?m=1

- http://apollo89.com/wordpress/?p=5907

- http://teamcrak.tistory.com/375

- http://www.theregister.co.uk/2014/04/10/many_clientside_vulns_in_heartbleed_says_sans/

- http://www.ricardomartins.cc/2014/04/09/bleeding-hearts-and-sharp-bits/

1. 인터넷 통신 방식

1) 암호화 미적용방식의 인터넷 통신

엘리스가 보낸 카드번호는 암호화가 되어 있지 않아 이브에게 모두 도청당할 수 있다.

2) SSL/TLS 방식의 인터넷 통신

- 통신 내용을 암호화해주는 주는 프로토콜로서 SSL(Secure Socket Layer), TLS(Transport Layer Security)

   를 이용한다.

- SSL/TLS 상에 HTTP를 올리는 것이다.(프로토콜의 이중 구조)

- 이것에 의해 HTTP의 통신(요청과 응답)은 암호화되어 도청을 방지할 수 있다.

- SSL/TLS 로 통신을 수행할 때의 URL은 http://가 아니고 https://로 시작된다.

2. SSL/TLS의 역할

1) 인터넷 통신에서 보장해야할 것들

① (기밀성) 앨리스가 송신하는 신용카드 번호와 주소를 "도청" 당하는 일 없이 밥 서점에 보내고 싶다.

② (무결성) 앨리스가 송신하는 신용카드 번호와 주소를 "조작" 당하는 일 없이 밥 서점에 보내고 싶다.

③ (인증) 통신 상대의 웹 서버가 "진짜 밥 서점" 이라는 것을 확인하고 싶다.

2) 보장해야할 보안요소의 관련 기술

① 기밀성

- "대칭 암호" 방식을 이용

- 대칭 암호 키를 통신 상대에게 배송하기 위해 "공개 키 암호" 방식의 키 교환을 사용한다.

② 무결성

- 조작을 검출하고 데이터 인증을 수행하기 위해 "메시지 인증 코드(MAC)"를 사용

- 메시지 인증 코드는 "일방향 해시 함수"를 사용해서 구성한다.

③ 인증

- 상대를 인증하기 위해 공개 키에 "디지탈 서명"을 붙인 인증서를 사용한다.

3. SSL/TLS 적용 범위

- HTTP

- 메일을 전송하기 위하 SMTP(Simple Mail Transfer Protocol)

- 메일을 수신하기 위한 POP3(Post Office Protocol)

4. SSL과 TLS의 차이

1) SSL

- 1994년 Netscape 사에 의해 만들어진 프로토콜

- 많은 웹 브라우저에 사용되어 사실상 업계의 표준

2) TLS

- IETF가 만든 프로토콜

5. SSL/TLS 핸드쉐이크 프로토콜의 절차

6. HeartBleed 취약점 개요

- OpenSSL 암호화 라이브러리의 하트비트(Heartbeat)라는 확장 모듈에서 클라이언트 요청 메시지를 처리할 때 

   데이터 길이 검증을 수행하지 않아 시스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 

   탈취할 수 있는 취약점

   하트비트 : 클라이언트와 서버 간의 연결 상태 체크를 위한 OpenSSL 확장 모듈

7. HeartBleed 취약점 작동 방식

8. HeartBleed 취약점 동영상 설명

9. HeartBleed 취약점을 이용한 공격방법 설명

1)

2)

10. HeartBleed 취약점 소스 이해

1) HeartBeat 전문 구조

- 공격자는 헤더에서 HeartBeat 길이 2 byte 를 조작해서 서버측 메모리의 65535 바이트(65k?) 정보를 가져올

   수 있다.

2) 취약한 소스의 구조

① 첫번째 빨간 박스

- 수신된 ssl 구조체를 포인터 p에 담는다

- ssl 구조체 

② 두번째 빨간 박스

- 레코드 타입과 페이로드 길이를 변수에 담는다

- hbtype 변수에 TLS1_HB_REQUEST 저장

- payload 변수에 p 에서 TLS1_HB_REQUEST 이후 다음 번지의 2 바이트 값을 저장한다.

- 보통은 여기에 heartbeat 할 값을 넣는데 heartbleed 취약점은 여기에 빈값을 넣어 정해진 메모리의

   바깥 영역의 데이터를 가져가려고 한다.

③ 네번째 빨간 박스

- bp 변수 처음에 응답 메시지 타입을 저장하고 bp는 다음 포인터로 이동

- s2n 함수에 의해 bp 변수에 payload 2 바이트 길이를 저장하고 bp는 2바이트 이후 포인트로 이동

- 위에서 pl = p 이므로 pl 은 서버측 메모리값. 거기서 payload 에 올라온 사이즈만큼 복사해서

   bp 에 넣는다. 헤더상 2 바이트이므로 2^16 = 65535만큼의 길이를 셋팅할 수 있고, 

   memcpy 에서는 바이트 만큼 복사할 수 있다.

-> 그런데 왜 64KByte 가져갈 수 있지? 포인터 때문인가? ㅜㅜ 

-> 추가 체크!

참고 문헌 및 사이트

- https://sites.google.com/site/npprelicensing/migug-ui-sabeobjedo-teugjing

1. 미국의 사법부 제도 및 특징

- 미국 사법 시스템은 연방 대법원과 연방 항소 법원, 연방 지방 법원으로 구성

- 각 주는 별도의 대법원, 순회 법원으로 구성

1) 일반법원

- Supreme Court of the United States (연방 대법원)

- 미합중국의 최고 사법기관으로서 미합중국의 사법부를 이끈다.

- 연방대법원은 9명의 '연방대법관(Justice)로 구성

- 한 명의 연방 대법원장(Chief Justice)과 8명의 '부연방 대법과(Associate

   Justice)'로 구성

- United States courts of appeals (항소법원)

- United States district courts (지방법원)

2) 특별법원

- United States bankruptcy courts (연방파산법원)

- United States Tax Court (국제심판소)

- United States Court of International Trade (국제무역분쟁법원)

- United States Federal Claims (연방정부 제소법원)

- United States Court of Appeals for the Armed Forces (국방부관련 항소법원)

- United States Court of Appeals for the Veterans Claims (원호관련 항소법원)

- United States Court of Appeals for the Federal Circuit (연방순회재판)

- United States Foreign Intelligence Surveillance Court (해외정보감독법원)

3) 지방법원

- United States District Court for the District of Alabama

- United States District Court for the District of Arkansas

- United States District Court for the District of California

- United States District Court for the District of Florida

- United States District Court for the District of Georgia

- United States District Court for the District of Illinois

- United States District Court for the Eastern District of Illinois

- United States District Court for the District of Indiana

- United States District Court for the District of Iowa

- United States District Court for the District of Kentucky

- United States District Court for the District of Louisiana

- United States District Court for the District of Michigan

- United States District Court for the District of Mississippi

- United States District Court for the District of Missouri

- United States District Court for the District of New York

- United States District Court for the District of North Carolina

- United States District Court for the District of Ohio

- United States District Court for the District of Pennsylvania

- United States District Court for the District of Texas

- United States District Court for the District of Virginia

- United States District Court for the District of Washington

- United States District Court for the District of West Virginia

- United States District Court for the District of Wisconsin