97,

3/4

서경재

5번 파일

http://www.hackerschool.org/HS_Boards/zboard.php?id=HS_Translate&no=17 [복사]

And it becomes really reallt difficult in my opinion.
그리고 제 생각에 그건 매우 엄청나게 어려워지겠지요.

So, the method that I taught that was slightly more useful was application architecture method
그래서, 제가 가르친 방법중 약간 더 유용한 방법은 어플리케이션 구조 분석 방법(?)입니다.

where you break the application down into the major components
어플리케이션을 중요한 부분들로 나누는 것이지요

these are some of the components that I propose.
이것들은 제가 추천하는 구성 요소들입니다.

And you have assigned number in to 1, 2 or 3
그리고 여러분은 (각 요소들에)숫자 1, 2, 3을 할당합니다.

1 low it's a low risk It's on the internet (?)
1 낮음은 낮은 위험수준입니다. 그 요소가 인터넷에 올라와있을 경우이지요.

2 mid which is maybe is on the internet but doesn't have critical information.
2 중간은 요소가 인터넷에 올라와 있을수도 있지만 치명적인 정보를 포함하지 않을 경우입니다.

And 3is high risk it has ****II(???) and critical information
그리고 3은 높은 위험 수준으로 *******와 치명적인 정보를 포함하고 있을 경우입니다.

If it is, it has some kind of secure server some interaction with the ******** could be exploited.
만약 그렇다면 그건 안전한 서버를 가지고 있을 것이고 ******와의 상호작용을 통해 이용될수 있습니다.

So once you have these values assigned to all of these ************* 6 values
여러분이 이 6가지 항목에 모두 번호를 매긴 뒤면

Rather(??) 6 major sections, we assign them 1, 2, 3
6가지 중요한 항목들에 번호 1, 2, 3을 매깁니다

so 6times 3 will be 18 wil be the maximum value,
그러니까 6 곱하기 3은 18이니까 그게 최댓값이 될것이고요

So you can have maximum of 18 which will be everything is really critical
그러니까 모든게 정말로 심각할 경우에는 최대 18까지 사용할수 있습니다.

Every single portion is on the internet,
모든 부분들이 인터넷에 올라와 있을 경우입니다

authorization is on the internet,
사용자 인증이 인터넷에 있고

crypto is on the internet,everything
암호(?비밀?)가 인터넷에 있고, 뭐든지요

logging is on the internet, which is kind of unlikely
로깅도 인터넷에 있을, 별로 있을법하지 않은 상황이지요

You go ahead and actually *********** entire tortal comes to less than 8
여러분이 직접 (****추정 번호를 매기면) 전체 값이 8보다 작을수가 있을겁니다

Than you can say that "ok, it's not something that I need to look results right now'
그렇다면 여러분은 "좋아 이건 내가 지금당장 해야할일은 아니군"이라고 할수 있을겁니다.

But if it is between 8 and 12, it's a medium risk you trying resolve.
하지만 만약 결과가 8과 12 사이라면, 그건 중간 수준의 위험이고 여러분은 해결하기위해 노력해야 할것입니다.

If anything bigger than 12, you definately want to resolve it.
만약 12보다 결과가 크다면, 여러분은 분명히 그걸 해결하고 싶을 겁니다.

Is this some of making any sense?
이해가 가시나요?

Any quesion on this?
질문 있나요?

Everyones at sleep?
모두 주무시나요?

Ok, so threat model check list,
좋아요 위협 모델 체크 리스트 입니다.

every applications should be threat modeled in final stage(***??)if you want it
모든 프로그램들은 여러분이 원할 경우 최종 단계에서 위협 모델을 거쳐야 하며

******at the design stage (????)
디자인 단계에서

every threats should be analyzed
모든 위협은 분석되어야 하며

and when you do threat modeling it is important
그리고 위협 모델링을 할떄에는 이게 중요합니다

that you assign the value and figure out which threats must be marked on first
번호를 매기고 어떤걸 먼저 해결해야할지 알아내는 것을

there has been application reviewd that has tons and tons of bugs
어떤 프로그램이 리뷰 결과 수많은 버그를 가지고 있다면

how do you figure out work on out vulnerabilities or issue of one hundread of vulnerabilites(????)
어떻게 몇백개가 넘는 모든 취약점들을 찾아내고 고칠수 있겠습니까(?????)

or hundread possible vulnerabilites.
혹은 몇백가지의 가능성이 있는 취약점들을

once you assigned the value and once figure out which area there could be major impact or it exjournal(??) accessible it falls betweeen that 12 and 18 "yeah let's go ahead and try resolve that first"

일단 값을 결정하고 어떤 부분에 가장 큰 영향이 있을지 혹은 그게 12 와 18 사이라면 "그래 저걸 먼저 해결하자고"할수 있을 겁니다(??????????)

Where it's local possible previlege escalation attack "oh look, ******** anyway so who cares?"
만약 그게 로컬 권한 상승 공격이라면 "오 이것봐 어쨋든 ************ 그래서 누가 상관하겠어?"

So you can think about in that way as well,
그러니 이런식으로도 생각하실수 있을겁니다.

and trying resolve vulnerabilites that falls between 12 and 18.
그리고 12에서 18사이의 취약점들을 해결하는 것이지요

So that's far the thread modeling on that. any questions? Yes sir.
이게 지금까지의 위협 모델링이었습니다, 질문있나요? 예 선생님

how do you find 12 and 18 ten thousands lines of codes? (*****???*****)
어떻게 몇천줄의 코드중에서 12에서 18사이(위협 모델링 레벨)의 취약점을 찾지요?

They vary between ten to hundred
상황에 따라서 수십에서 수백가지 있을수도 있지요

and there have been applicatoins that have been a close to hundred plus
그리고 어떤 어플리케이션들은 수십개를 넘어가기도 했지요(???)

it's allowded to do with the matruity of the product.
그건 상품의 성숙도에 따라서 허용됩니다(???)

If it is a not level one or first time relive version one than it goes down further down.
만약 그게 1단계나 첫번째 버젼이 아니라면 훨씬 낮아지겠지요

But good statistics I think john diega has his own website and his book building secure software
하지만 좋은 통계에서는. 제 생각에는 존 디에가씨가 그분의 웹 사이트와 안전한 소프트웨어 계발이라는 책에서
some statistics of vulnerabilites and high risk one bulnerabilites.
취약점과 위험한 취약점들의 통계를 써놨다고 생각됩니다.

any other questions?
다른 질문 있나요?

***************************************************
죄송합니다. 아무리 소리를 크게 하고 들어도 안들리네요

So he asked how do you figure out complete score of threats
그러니까 저분이 여쭤보신거는 어떻게 최종 위협 수준을 알아내고

list of threats basically
기본적으로는 위험들의 리스트겠지요

and how do you figure out what might be specific to your application
그리고 어떻게 구체적으로 어떤게 여러분의 어플리케이션에 적용될지 아냐는 것이지요?

am I understanding it correctly?
제가 잘 이해하고 있는건가요?

일찍 올리겠다고 해놓고 외갓집 갔다오느라 마감 10분전까지 허둥댔내요....
인도식 발음에 아직 익숙하지 않아서 놓친부분이 많아서 죄송합니다.

Hit : 1644 Date : 2011/05/10 11:50