데비안의 대처방법[펌]

maylinux의 이미지

이미 많은 분들이 아시고, 어떻게 되었다는 소기을 아실것이라고 생각됩니다.
그리고, 그에 대한 데비안의 대처에대한 소식이 있어 올립니다.
물론 많은 분들이 이미 보셨겠지만, 못 보신분들을 위해서 올립니다.

-------------------------------------------------------------------------------
[출처:시큐리티포커스 컬럼] 최근 크래커가 debian.org의 4개 머신에 침입해 권한을 상승시켜 루트를 획득하고 여러 서버에 루트킷을 설치했다는 소식이 전해지면서 사건은 한층 흥미진진해 졌다.

어떻게 루트를 땄는가? 크래커는 2003년 11월 19일 키로깅 소프트웨어를 사용해서 이 서버 중 한 곳에 로그인하도록 허가받은 한 사용자의 패스워드를 스니프해 로그인한 뒤, 리눅스 커널 취약점을 이용해 루트를 획득했다. 그런 뒤 단시간 내로 다른 머신도 침입했다. 익스플로이트에 관한 자세한 내용은 리눅스 투데이나 wiggy.net 같은 다른 곳에 가면 볼 수 있다.

많은 독자들이 알고 싶어하는 것: 나는 리눅스를 사용한다. 이번 일은 걱정할 만한 일인가?

답은 "그렇다" "그렇지 않다" 모두 해당된다. 크래커가 권한을 상승시키는데 사용했던 이 취약점은 2.4.23(혹은 2.5.69나 2.6.0-test6) 이전 커널의 모든 리눅스 버전에 적용된다. 하지만 취약점을 익스플로이트 하려면 먼저 머신에 로컬 어카운트로 쉘 엑세스를 해야 한다. 다른 말로, 아무리 오래된 리눅스를 설치한 시스템이라 하더라도, 그 시스템의 사용자로 로그인 하기 전에는 나쁜 짓을 할 수 없다는 의미다.

짧은 대답: 귀하가 사용하는 리눅스가 이번 버그로 침입을 당할 확율은 낮다. 그러나 가능한 빨리 시스템을 패치하고 최신 커널로 업그레이드해야 한다. 침입당한 적이 있는 시스템을 사용하다는 것은 좋은 것이 아니다.

이제, 더 큰 시야로 생각해 보자. 데비안 팀이 이번 사고에 대응한 태도는 찬사를 받아 마땅하다. 데비안은 이 사고에 빠르게, 숨김 없이, 정직하게 대처했다. 익스플로이트가 발견된 것은 2003년 11월 20일. 그로부터 12시간 조금 넘은 11월 21일 발표되었다.

스스로가 보안 취약점의 희생자가 되었을 때 어쩔줄 모른 채 그저 감추는 데만 급급해 하는 기업과 단체들이 우리 주변엔 너무 많다. 이것은 어느 누구에게도 도움이 되지 않는다. 데비안은 오픈소스와 소프트웨어의 자유를 진지하게 받아들인다. - 어쩌면 다른 리눅스 배포판들보다 더 진지하게 - 그리고 데비안의 이 철학은 지난 주 공개적으로 보여졌다. 잘 했다! 데비안!

찬사는 유명 리눅스 배포판 관련 단체와 기업에도 돌아가야 할 것이다. 이들은 대부분 서로 경쟁하는 입장이지만 함께 모여 공동 작업으로 문제점을 분석하고 픽스하고 픽스를 널리 알렸다. 회사와 고객을 포함한 다른 모든 이들을 이롭게 하기 위해 협동으로 작업하는 것을 보여준 훌륭한 예이다.

시스템에 로그인하는 사용자라는 가장 약한 고리에서 문제점이 발생했다는 것은 놀랄 일이 아니다. 시스템에 키로거를 설치했던 개인을 지칭해서 하는 말이 아니다. 무슨 일이 일어났는지 세부적인 것은 하나도 모르기 때문이다. 그러나 보안 프로들은 컴퓨터 최종 사용자의 사소한 문제점이 단체 전체와 IT 기반마저도 위협할 수 있는 큰 문제로 번질 수 있다는 점을 다시 한 번 명심해야 한다.

일단 머신을 장악 당하면 해야 할 일들이 있다. 데비안 팀은 시큐리티포커스 독자들이 하는 것을 그대로 했다: 조사하기 위해 드라이브 이미지를 떠 놓고, 모든 어카운트, 패스워드, 머신의 SSH 키들을 사용 못하게 disable 시키고, 사용자들에게 패스워드를 바꿀 것을 요청하고, 머신을 깨끗이 지우고 새로 설치했다. 이 절차를 일반에 알림으로써 데비안은 보안계에 처음 발들여 놓은 신참에게 심각한 공격을 당했을 때 밟아야 할 절차에 대한 예를 알려주는 서비스를 한 셈이다.

실제로 데비안은 이번 침입을 가르침으로 활용했다. 사용자와 개발자들에게 침입당한 데비안 서버에 설치되었던 것과 같은 루트킷이 있는지 여부를 체크하는 프로그램 chkrootkit를 사용해 시스템을 검사할 것을 권했다. 또한 작업의 모든 리스트를 공개해 일말의 의혹도 남기지 않았고, 아주 뛰어난 지침서를 이해하기 쉬운 명확한 언어로 작성해 발표했다.

debian.org 의 사용자들은, 데비안 머신때문만이 아니라, 데비안 서버에서 다른 컴퓨터에 접속하느라 패스워드를 입력했을 다른 컴퓨터 때문이라도 패스워드를 바꿀 필요가 있을 것이다. 이것은 로그인하는 머신마다 다른 패스워드를 사용해야 한다는 것을 일깨워 준다. 그렇다, 머신마다 다른 패스워드를 사용하는 것이 얼마나 귀찮은 일인지 안다. 그러나 그렇게 하는 것이 왜 필요한지 이유가 명백해 졌다.

이 사고로 배워야 할 좀 더 쓰디쓴 교훈이 있다. 데비안의 보고서에는 다음 귀절이 포함되어 있다.

"비록 이 커널 버그가 8월 앤드류 모턴에 의해 발견 되었고, 10월 이후부터 릴리스 되는 최신 커널에서는 픽스 되었지만, 보안상 그리 심각한 버그라고 여겨지지 않았습니다. 그래서 어느 벤더도 보안 지침서를 발표 하지 않았던 것입니다. 그러나 이것이 로컬 루트 익스플로이트로 사용될 수도 있음이 알려지고 난 뒤 이 취약점은 CAN-2003-0961로 분류되었습니다. 지난 주말 릴리스된 리눅스 2.4.23 에서는 픽스 되었습니다."

데비안은 당시 버그를 그다지 심각한 것으로 여기지 않았고, 그 결과 데비안은 댓가를 치뤘다. 커널 보수자들은 이번 일을 교훈삼아 앞으로도 필요하다면 커널을 업데이트하는 작업을 더욱 열심히 하기를 희망한다.

좋은 운영 시스템에 나쁜 일이 생기면 문제점을 픽스하고, 그것으로부터 배우고 넘어가는 것이 중요하다. 데비안이 지난주 겪었던 문제점들은 결국 리눅스 커뮤니티, 보안 프로 전체적으로 좋은 일임을 증명하게 될 것이다. 나는 데비안이 또다시 보안 침입을 당하지 말기를 바란다. 그러나 만일 당한다 해도 데비안은 이번에 그랬던 것처럼 프로급으로 생산적인 매너로 대처해 나갈 것임을 확신한다.

*글쓴이 스캇 그래네먄은 미국 세인트 루이스의 Bryan 컨설팅사의 수석 컨설턴트로 일하고 있다.

cdpark의 이미지

http://lists.debian.org/debian-announce/debian-announce-2003/msg00003.html

debian-announce 메일링 리스트에 그 동안의 경과와 대처 내용에 대해 올라와 있습니다.

preisner의 이미지

원칙대로.
데비안... 만세~

fibonacci의 이미지

maylinux wrote:
일단 머신을 장악 당하면 해야 할 일들이 있다. 데비안 팀은 시큐리티포커스 독자들이 하는 것을 그대로 했다: 조사하기 위해 드라이브 이미지를 떠 놓고, 모든 어카운트, 패스워드, 머신의 SSH 키들을 사용 못하게 disable 시키고, 사용자들에게 패스워드를 바꿀 것을 요청하고, 머신을 깨끗이 지우고 새로 설치했다. 이 절차를 일반에 알림으로써 데비안은 보안계에 처음 발들여 놓은 신참에게 심각한 공격을 당했을 때 밟아야 할 절차에 대한 예를 알려주는 서비스를 한 셈이다. .

역시 해킹을 당했을때는 밀어버리고 다시 까는 것이 정석이군요 :-)

No Pain, No Gain.

maylinux의 이미지

fibonacci wrote:
maylinux wrote:
일단 머신을 장악 당하면 해야 할 일들이 있다. 데비안 팀은 시큐리티포커스 독자들이 하는 것을 그대로 했다: 조사하기 위해 드라이브 이미지를 떠 놓고, 모든 어카운트, 패스워드, 머신의 SSH 키들을 사용 못하게 disable 시키고, 사용자들에게 패스워드를 바꿀 것을 요청하고, 머신을 깨끗이 지우고 새로 설치했다. 이 절차를 일반에 알림으로써 데비안은 보안계에 처음 발들여 놓은 신참에게 심각한 공격을 당했을 때 밟아야 할 절차에 대한 예를 알려주는 서비스를 한 셈이다. .

역시 해킹을 당했을때는 밀어버리고 다시 까는 것이 정석이군요 :-)

한가지 보통 묵과하는것중에.. 이미지를 떠 놓는것이지요...
안 떠놓는적이 상당히 많으니..

아바타 제작기간~~ 무려 5초!!!

mastercho의 이미지

fibonacci wrote:
maylinux wrote:
일단 머신을 장악 당하면 해야 할 일들이 있다. 데비안 팀은 시큐리티포커스 독자들이 하는 것을 그대로 했다: 조사하기 위해 드라이브 이미지를 떠 놓고, 모든 어카운트, 패스워드, 머신의 SSH 키들을 사용 못하게 disable 시키고, 사용자들에게 패스워드를 바꿀 것을 요청하고, 머신을 깨끗이 지우고 새로 설치했다. 이 절차를 일반에 알림으로써 데비안은 보안계에 처음 발들여 놓은 신참에게 심각한 공격을 당했을 때 밟아야 할 절차에 대한 예를 알려주는 서비스를 한 셈이다. .

역시 해킹을 당했을때는 밀어버리고 다시 까는 것이 정석이군요 :-)

윈도우뿐 아니라 리눅스도 역시..... 음 ㅎㅎ

승자는 자기보다 우월한 사람을 보면 존경심을 갖고 그로부터 배울 점을 찾지만 패자는 자기보다 우월한 사람을 만나면 질투심을 갖고 어디 구멍난 곳이 없는지 찾는다.
- 하비스

confide의 이미지

작은 찝찝함이라도 없는편이 좋을테니까요

------------------
나는 바보

cdpark의 이미지

http://lists.debian.org/debian-devel-announce/2003/debian-devel-announce-200312/msg00001.html

debian이 조금씩 정상화되어가고 있네요. 다시 새 패키지의 upload가 오늘부터 허용된다네요. 아직 buildd 등까지 정상화되려면 멀었지만요.

kukuman의 이미지

멋지네요^^;;;
언제나 진실을 숨기지 않는 태도는 멋진 것 같습니다~

리눅스 처음 접한 배포판이 Debian이어서 그런지...
아직도 데비안이 젤 정이 가네요~~~

근데 왜 하드웨어 회사들에서는 redhat용 드라이버만
배포하는 거죠-_-;; Suse나 Mandrake도 가끔 있던데
Debian용은 잘 없더군요... 흠...

Be at a right place at a right time...

vacancy의 이미지

mastercho wrote:
fibonacci wrote:
maylinux wrote:
일단 머신을 장악 당하면 해야 할 일들이 있다. 데비안 팀은 시큐리티포커스 독자들이 하는 것을 그대로 했다: 조사하기 위해 드라이브 이미지를 떠 놓고, 모든 어카운트, 패스워드, 머신의 SSH 키들을 사용 못하게 disable 시키고, 사용자들에게 패스워드를 바꿀 것을 요청하고, 머신을 깨끗이 지우고 새로 설치했다. 이 절차를 일반에 알림으로써 데비안은 보안계에 처음 발들여 놓은 신참에게 심각한 공격을 당했을 때 밟아야 할 절차에 대한 예를 알려주는 서비스를 한 셈이다. .

역시 해킹을 당했을때는 밀어버리고 다시 까는 것이 정석이군요 :-)

윈도우뿐 아니라 리눅스도 역시..... 음 ㅎㅎ

윈도는 해킹을 안당해도 밀어버리고 다시 까는 게 정석이죠. :roll: