현재 위치

›› Forums ›› 재미 ›› 자유 게시판

Safari 브라우저의 취약점, 플래시의 허점(해킹대회)

AlephOne의 이미지
글쓴이: AlephOne / 작성시간: 토, 2008/03/29 - 5:12오후

http://dvlabs.tippingpoint.com/blog/2008/03/28/pwn-to-own-final-day-and-wrap-up

소식을 보고 글 올려 봅니다.

OS X, Vista, Ubuntu를 최신 업데이트로 설치한 뒤 해킹하는 대회였습니다. 첫째날부터 점차 난이도를 낮춰 셋째날까지 가장 먼저 해킹에

성공한 사람이 승자가 되는 방식이고요. 첫째날은 어느 운영체제도 뚫리지 않았고, 둘째날 응용프로그램 차원의 해킹에서 애플의 사파리 브라우저가

먼저 뚫렸습니다. 그리고 마지막 날에는 비스타가 플래시를 통해 뚫렸고, 최종적으로는 우분투가 살아남았습니다.

그렇다면 셋 가운데 우분투가 가장 안전하다고 봐도 될까요? :)

Forums: 
자유 게시판
지리즈의 이미지

글쓴이: 지리즈 / 작성시간: 토, 2008/03/29 - 7:18오후

우분투가 가장 안전하다고 봐도 될 듯 싶습니다.

다중사용자를 목표로 했던 유닉스 자체가 태동시점부터
보안은 심각한 잇슈였기 때문에 가능한 일이라고 보입니다.

어플리케이션 자체가 취약하더라도,
이것이 시스템 전체의 해킹으로 번지는 일은 지극히 적은 편이니까요.

There is no spoon. Neo from the Matrix 1999.

There is no spoon. Neo from the Matrix 1999.

지리즈의 이미지

글쓴이: 지리즈 / 작성시간: 토, 2008/03/29 - 7:23오후

이런 보안에 대한 요구때문입니다.

사실 힘들다기 보다는 번거운 거죠.

어떤 시스템이던 그 시스템이 완벽하면
아무리 허술한 보안 정책가지고 있더라도 안전합니다.
따라서, 이상적으로 보았을 때는 비스타가 사용하기도 편하면서
더 안전할도 수 있습니다.
그렇지만, 현실에서의 문제는 시스템이
사람의 실수 혹은 수많은 써드파티가 제공하는 코드를 포함해야 한다는 것이고,
언제나 여기서 구멍이 발생하죠.

There is no spoon. Neo from the Matrix 1999.

There is no spoon. Neo from the Matrix 1999.

linlin의 이미지

글쓴이: linlin / 작성시간: 토, 2008/03/29 - 9:01오후

뭐 그래도 리눅스 보안모델은 상대적으로 이해하기 쉬워서 좋습니다. 윈도우는 파일 억세스 권한만 해도 뭐가 그리 복잡한지 원....

윈도우 보안이 비스타 와서 좋아진 것은 사실이죠. 맥 동네 가보면 비스타도 뻥뻥뚫리던 윈도우 이전 버전 취급을 하는게 여전한 유행인것 같은데... safari가 이번에 잘 뚫려 줬다고 봅니다. 아직 애플에서 패치 안나온 것 같더라구요. 애플도 정신 좀 차려야....

atie의 이미지

글쓴이: atie / 작성시간: 일, 2008/03/30 - 12:48오전

삼중 방화벽을 쓴다는 리누스가 "애플보다는 윈도우즈를 쓰는 편이 낫다"는 이야기를 한 적이 있는게 이 글 보니 생각나는군요.
----
I paint objects as I think them, not as I see them.
atie's minipage

----
I paint objects as I think them, not as I see them.
atie's minipage

JuEUS-U의 이미지

글쓴이: JuEUS-U / 작성시간: 일, 2008/03/30 - 2:17오후

근데 3중씩이나 쓴다면 그 용도가 어떻게 되는거죠? =ㅁ=;;;
설마 개인용일리는....

atie의 이미지

글쓴이: atie / 작성시간: 일, 2008/03/30 - 4:17오후

DSL 라우터에 firewall 하나, 데스크탑에 또다른 firewall, 개발 머신(들)용으로 또 다른 라우터와 firewall 그렇게 사용한다고 하네요.
http://www.linux.com/feature/124994

----
I paint objects as I think them, not as I see them.
atie's minipage

----
I paint objects as I think them, not as I see them.
atie's minipage

override의 이미지

글쓴이: override / 작성시간: 목, 2008/04/17 - 12:27오전

Ubuntu 가 가장 안전하다고 말할수 있다기 보다
Ubuntu 제로데이 취약점이 대회 액수나 그에 따르는 명성보다
가치가 높다고 보는게 맞지 않을까요?

대회가 있기 전 많은 논란이 있었는데 과연 상금으로 주어지는 액수가 적절한가였습니다.
실제 블랙마켓을 통하게 되면 제로데이에 주어지는 액수는 상금액수의 5-10배까지도
받을 수 있다고 몇몇 블랙마켓 브로커들이 주장했거든요.
특히 oneshot remote zeroday exploit의 경우는 억대로 거래된다고 합니다.
때문에 주최측인 Tipping point 에서는 궁여지책으로 기존의 액수에
2배로 상금을 올리긴 했지만. 글쎄요.
해커 들의 입맛을 맞추기엔 그다지~ 적절한 액수는 아니었다고 생각되네요.

또한 이것도 카더라 설이지만
이번 대회에서 첫번째로 Mac에서 Safari가 뚫렸고,
그 다음으로 Vista에서 Adobe 제품군이 뚫렸는데요.
누군가 주장하기로는 자신이 Ubuntu의 pidgin에서의 취약점을 가지고 있었는데
주최측의 이해할 수 없는(?) 진행 때문에 시간 부족으로
exploit에 실패했다는 소식 또한 있습니다 ==;

thames의 이미지

글쓴이: thames / 작성시간: 목, 2008/04/17 - 10:50오전

Quote:
비스타가 플래시를 통해 뚫렸고

이게 비스타에만 한정된 것이 아니라 플래시 플러그인에 공통적으로 해당되는 사안으로 들었습니다.
다시 말하면 비스타에만 한정된 것이 아니란 것이죠. 비스타를 택한 이유는 이 분이 이전에 MS쪽에서 일을 했기에 비스타를 선택했다는 식의 기사를 어디선가 본 것 같습니다.


──────────────────────────────────

둘러보기