인터넷 대란은 MS의 소스코드 미공개 때문

tweni의 이미지

이번 사태의 원인은 MSSQL과 DNS에 부하를 주는 신종 웜바이러스 입니다.
피해는 국내에 국한 된것이 아니라 전세계적인 것입니다..
웜에 감염된 PC는 IRC서버의 도메인에 대해 DNS쿼리도 무지막지하게 날리고..MSSQL에 패킷을 무지막지하게 날립니다..
MSSQL에 sa비번이 있어도 부하가 엄청나게 증가하는군요..sa비번 null을 이용한것은 아닌것 같습니다.
정확하게 어떻게 작동하는지는 아직 알수없으나 IRC, MSSQL, DNS와 관련된 웜입니다..
스피다 웜, 님다, 코드레드 등과는 다른 신종 웜입니다.

그렇다면 DNS는 뭘까요?
KT의 DNS가 다운된것은 웜바이러스가 DNS쿼리를 무지 하게 많이해서 그런것이지요..
다른 ISP들도 엄청난 양의 패킷으로 인해 라우터와 DNS등에 과부하가 걸린것이지요..
DNS가 원인이 아닙니다..단지 부수적인 결과일 뿐이죠.. 원인은 웜바이러스입니다.

그렇다면..책임은??
이번 웜바이러스도 그렇고 님다, 코드레드 모두 MS책임입니다.
Windows(NetBios), IIS, OutLook, MSSQL 이거다 MS제품입니다..
이런 제품들의 취얌점으로 시스템 권한을 획득해서 확산되는게 웜바이러스의 원리죠..
Linux, 솔라리스 등의 unix계열 os에서 이런일 발생한 적은 한번도 없습니다.
그 이유는 linux나 unix계열의 프로그램들은 소스가 공개되어있기때문에..
전 세계의 해커(나쁜짓하는 해커아닌 컴퓨터 전문가를 지칭합니다)들이 즉각
보안 버그를 발견하고 패치를 내놓기 때문이죠..
하지만 MS의 제품은 소스가 공개되지 않았기 때문에 버그를 발견 하기도 힘들고
버그를 발견해도 MS에서 패치를 내 놓을때까지 하염없이 기다려야합니다..
그렇다고 패치가 빠르지도 않습니다..버그가 발견되도 은패하려고 하죠.
그 뿐아니라 MS의 독점적인 태도는 해커들의 화를 사기에 충분합니다...
그러니 MS제품에 취약점이 많고 바이러스가 많은것입니다.

그렇다면.해결책은...
MS는 Window를 비릇한 MS의 모든 제품의 소스코드를 일반에 공개해야합니다.(open source)
이미 일부 소스코드를 일부 단체에 공개하긴 했지만 이는 부족합니다.
즉각적으로 모든 제품의 전체 소스코드를 일반에 공개해야 합니다.
그래야 기술의 독점도 해소되며 보안 버그 역시 즉각적으로 발견되고
조치 될 수있습니다.. 이를 위해.. 이번사태의 책임을 MS가 통감할수있도록
여론을 형성하고 불매운동 및 손배소송들을 진행해야합니다..
MS에 사태의 책임을 묻고 소스코드공개를 촉구하는 캠패인을 벌여야합니다.

* 이글은 1월 25일 5시경에 본인이 작성하여 네이버 게시판에 올린 글을 이곳에도 올리는 것입니다.

* 아래 링크는 이글을 인용한 기사입니다.
http://www.dt.co.kr/dt_srcview.html?gisaid=2003012702010651631002

* MS책임론 관련기사
[인터넷 대란] MS, "아직까지 고객 피해 거의 없어" http://news.naver.com/news_read.php?oldid=2003012700000044085&s=609&e=858
게이츠, 인터넷 대란전 MS시스템 취약 시인 http://news.naver.com/news_read.php?oldid=200301270000312057002&s=0,213&e=124,327
[인터넷 불통 대란] 한국MS, "사태 해결에 최선"...정통부 사고대책회의 불참에 '눈총' http://news.naver.com/news_read.php?oldid=2003012600000048085&s=4&e=247
[인터넷 대란 구멍뚫린 IT강국] MS 책임론 확산 http://news.naver.com/news_read.php?oldid=2003012700007346095&s=227,1552&e=349,1661
[인터넷 불통 대란] 한국MS, "화장실 열쇠 미리 줬다." 책임회피...정통부 긴급사고대책회의에 참석도 안 해 http://news.naver.com/news_read.php?oldid=2003012600000031085&s=4,1698&e=125,1813
[인터넷 마비 사태] "MS도 책임있다" http://news.naver.com/news_read.php?oldid=2003012600000007085&s=4&e=247

channy의 이미지

하우리에서 나온 리포트입니다. KT의 DNS서버가 다운되었다는 것은 DB로 MSSQL을 쓰고 있었든지 아니면 네트웍 다운때문입니다.

[확산 방법]

웜은 MS-SQL의 다음의 보안 취약점을 이용하여 감염된다.

- Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution

취약점이 존재하는 SQL 서버를 발견하면 웜은 일단 UDP 1434포트(SQL-Monitor)를 이용하여 또 다른 SQL 서버에 패킷을 보내어 감염 시킨다. 감염되면, 랜덤한 IP 대역으로 동일한 패킷을 서버가 중지 될때까지 다른 서버로 보내게 된다. 이때 반복 되면서 보내지는 패킷은 1MB ~ 8MB까지 상당한 크기의 패킷을 보내기 때문에 공격 받는 서버가 다운된다.

1.공격 받은 서버에 프로세스를 보면 "sqlservr" 프로세스의 점유율이 100% 되어 감염된 시스템은 쉽게 다운된다.

2.SQL관련 서버가 아닌 유닉스를 사용하는 DNS서버에 경우 DNS 서버가 다운된 것이 아니라, 서비스가 과다 패킷으로 인하여 응답이 늦어 마치 다운된것 처럼 보이는것이다.

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

cdpark의 이미지

빨간 모자 6.0의 보안 구멍으로 script kids들이 들어와 놀던 게 얼마 전입니다.
(아직도 깔려 있고, 놀고 있는 곳도 많겠죠?)

패치가 나온다 하더라도 그 패치를 적용하지 않는, 혹은 패치가 있는 줄도 모르는 관리자가 있다면 이런 사태는 재발할 수 있습니다.

jungjury의 이미지

정부기관 같은곳만 대상으로 한다는군요..
러시아가 그 첫번째인데.. 모든 소스코드를 공개하라구 요구했다는군요...

MS, 각국 정부에「윈도우 소스 공개」

명승은 기자 (ZDNet Korea)
2003/01/15


각국 정보가 국가 안보나 개인의 사생활 정보보호 등 정보 보안을 위해 오픈소스 도입 등을 검토하는 와중에 MS가 발빠르게 ‘윈도우 소스 공개’라는 화해책을 들고 나왔다.

MS는 오늘 각국 정보의 정보보안에 대한 개선안을 담은 정부 보안 프로그램(GSP, Government Security Program)을 발표했다. GSP는 각국 정부 및 국제적인 단체들이 마이크로소프트 윈도우 플랫폼에 대한 안전을 확인하기 위해 필요한 윈도우 소스 코드 등 기술 정보에 접속할 수 있도록 허용한 프로그램이다.

그동안 꾸준히 각국 정부나 국제 단체들이 개별적으로 MS 측에 보안 요구 사항을 제기함에 따라 이를 통합적으로 관리하기 위해 이뤄진 조치다. 60개국 이상의 국가가 GSP에 참여할 수 있으며 현재 러시아와 NATO가 이 프로그램에 참여하고 있다. MS는 현재 GSP 프로그램에 대하여 20개 이상의 국가 정부와 논의 중에 있다고 밝혔다.

러시아 연방정부에서 MS GSP에 대한 결정권을 갖고 있는 보리스 기리초프(Boris Girichev; General Director of Atlas)는, "IT 보안은 최우선 과제 중 하나다. 소스 코드에의 접근 불가 및 관련 정보의 부족 등은 그 동안 러시아 연방 정부의 마이크로소프트 제품 사용을 어렵게 했었다"며 이번 조치를 환영했다.

MS는 GSP가 따로 비용이 소요되는 라이선스 프로그램이 아니라는 점을 강조하고 GSP 프로그램에 참여하는 국가와 단체는 모두 윈도우 소스 코드를 리뷰할 수 있다고 밝혔다. GSP는 보안 기능에 대한 타당성 검증 및 기타 목적을 위해서도 정부 담당자가 MS 전문가와 공동 작업하게 된다.

MS는 또한 이 프로그램에 참여하는 각국 정부와 단체가 원한다면 미국 워싱턴주 레드몬드에 있는 MS 개발 시설을 직접 방문, 윈도우 소스 코드 개발, 테스트, 도입 프로세스 등 다양한 사항에 대한 현장 리뷰는 물론 마이크로소프트 보안 전문가와 여러 사항을 상의할 수도 있을 것이라고 밝혔다.

MS는 이 프로그램으로 인해 각국 정부와 단체들과 커뮤니티를 형성할 수 있을 것으로 기대하고 있다. 하지만 일부 전문가들은 이같은 MS의 움직임 뒤에는 중국이나 한국 등 각국 정부가 한 회사의 솔루션에 종속되는 것을 방지하기 위해 리눅스 등 오픈 소스로 눈을 돌리고 있는 상황에 발표됐다는 점에서 의심의 눈길을 보내고 있다. 결국 MS 윈도우 소스 도 보여주고 같이 협력하면서 수정할 수도 있다는 식의 메시지를 통해 각국 정부와 대규모 단체를 고객으로 끌어들이려는 전략의 일부분으로 해석된다. @

안녕하세요 : )

danew의 이미지

dotri의 이미지

별로 안재밌습니다. 이런 농담은 나중에 하심이..
MS 에서는 2002년 10월에 이미 보안패치를 발표했고, 그 패치를 적용한 시스템은 이번에 문제를 일으켰던 SQL-Slammer 웜에 공격받지 않았습니다.
전적으로 모든 책임은 우리나라 서버 관리자들에게 있습니다.

nobody의 이미지

슬래머 소스코드가 떴습니다.
함 분석해보시길
단순한 qry가 기가망을 다운시킬정도였는지
엄청난 상상..
언론의 멀티플레이

kt의 내부구조가 문제였다는게 추측이옵니다.

-_-v

Necromancer의 이미지

한글판은 상당히 늦게 나온걸로 알고 있습니다. 12월 말이었던가 1월이었던가...

님이 말씀하신 10월은 영문판에만 해당될겁니다.

dotri wrote:
별로 안재밌습니다. 이런 농담은 나중에 하심이..
MS 에서는 2002년 10월에 이미 보안패치를 발표했고, 그 패치를 적용한 시스템은 이번에 문제를 일으켰던 SQL-Slammer 웜에 공격받지 않았습니다.
전적으로 모든 책임은 우리나라 서버 관리자들에게 있습니다.

Written By the Black Knight of Destruction