일전에 언급했던대로, 엔초비 인터넷 스톰 센터의 대부분의 기능을 XML-RPC로 호출하여 사용할 수 있는 오픈 API를 공개합니다. 아래 문서를 참고하시기 바랍니다.

인터넷 스톰 센터 API (2011년 3월 7일 버전)

오픈 API를 사용하시려면 API KEY를 발급받아야 하는데, xeraph@nchovy.com으로 메일을 보내주시면 됩니다. 별도의 계약 없이 무료로 발급해드립니다. (단, 서버 부하 상황에 따라 추후 일일 호출 횟수는 제한 가능)

작년에 zone-h의 크롤링 중단 요청에 따라 홈페이지 변조 현황 서비스를 중단하였으나, Security Lab과 데이터 피드 서브스크립션 계약을 진행 중에 있어서 현재 trial 모드로 서비스를 재개하게 되었습니다.

과거에는 수집한 홈페이지 변조 기록을 전부 표시하도록 하였으나, 이번에 서비스를 재개하면서 IP 기준으로 국내 서버에 대한 정보만 추려서 표시하도록 개선하였습니다. 도메인 이름 앞의 아이콘을 클릭하시면, 변조 당시의 화면도 확인하실 수 있습니다.

조만간 메일 알림 서비스도 제공하겠습니다. 감사합니다.

많이 늦었지만 새해 인사 올립니다.

기존의 인터넷 스톰 센터는 순수하게 Ruby on Rails와 MySQL 기반으로 되어있었습니다만, 오늘 백엔드를 크라켄 플랫폼과 PostgreSQL 기반으로 교체하였습니다. 현재 엔초비에서 개발하고 있는 모든 솔루션과 서비스는 크라켄 프로젝트를 기반으로 하고 있는데, 이번에 인터넷 스톰 센터의 데이터 서비스를 크라켄 기반으로 교체함으로써 지금까지와 다른 다양한 서비스를 만나시게 될 것입니다.

현재 준비 중인 서비스는 아래와 같습니다:

1. XML-RPC 기반 오픈 API 서비스
   이전에도 검색 API는 시험적으로 XML-RPC 연동이 가능했으나, 현재 개발된 모든 API 명세가 문서로 정리되고 클라이언트 라이브러리가 제공될 것이며 API 키를 발급받은 후 사용할 수 있게 될 것입니다. 지금은 대다수의 정보가 RSS나 ATOM으로 조회 가능하기 때문에 큰 의미가 없지만, 이후 개발될 서비스들은 XML-RPC 기반으로 다양한 응용이 가능할 것입니다.
2. 맬웨어 도메인 목록을 기반으로 한 악성 호스트 자동 추적
   malwaredomains.com 등 악성 도메인 피드를 주기적으로 수집하여 Fast Flux 도메인을 찾아내고 자동으로 해당 도메인과 관련된 악성 호스트 IP 데이터 집합을 수집 및 분석합니다. kraken-maldomain과 kraken-fluxmon 모듈을 이용하게 됩니다.
3. 공격 로그의 수집, 블랙리스트 생성 및 전파를 이용한 방화벽 자동 제어
   전용 인증서와 센서를 다운로드 받아 설치하면, 인터넷 스톰 센터에서 사전 기반 로그인 공격, 웹 취약점 공격 정보 등을 수집하여 블랙리스트를 생성합니다. 블랙리스트는 전파 및 공유되면서 방화벽 규칙에 자동으로 반영됩니다. 현재 kraken-firewall-api와 kraken-iptables 모듈은 일정 시간 동안 특정 공격자 IP를 자동으로 차단하고 해제할 수 있는 기능을 가지고 있으며, 조만간 kraken-siem 패키지를 리눅스 박스에 설치하고 연동할 수 있게 될 것입니다.
4. 익스플로잇 PCAP 데이터베이스
   IDS/IPS를 테스트하려면 실제 익스플로잇이 포함된 트래픽 덤프가 필요합니다. 익스플로잇 PCAP 데이터베이스는 CVE 식별자 및 취약점 정보와 연관된 PCAP 덤프를 제공할 것입니다. kraken-pcap 기반으로 개발된 트래픽 재생 프로그램을 이용하거나 tcpreplay 등 다른 프로그램을 사용하여 트래픽을 재생하는 방식으로 현재 사용 중이거나 사용하려는 IDS 혹은 IPS를 테스트할 수 있습니다.

이번 교체로 인하여 기존 기능 중 동작하지 않는 기능이 발견되면 덧글이나 xeraph@nchovy.com으로 연락주시고, 오픈소스로 진행되는 크라켄 프로젝트(http://krakenapps.org)에도 많은 참여를 부탁드립니다.

감사합니다.