비디오: BLACKPINK - '마지막처럼 (AS IF IT'S YOUR LAST)' M/V (십월 2024)
4 월에 우리는 인기있는 OpenSSL 코드 라이브러리의 버그로 인해 공격자가 안전한 서버에서 메모리를 퍼내어 로그인 자격 증명, 개인 키 등을 캡처 할 수 있음을 알게되었습니다. "Heartbleed"라고 불리는이 버그는 발견되기 몇 년 전부터 존재했습니다. 이 버그에 대한 대부분의 토론은 해커가 보안 서버에 대해이 버그를 사용한다고 가정했습니다. 그러나 새로운 보고서는 Linux 및 Android를 실행하는 서버와 엔드 포인트 모두에서 쉽게 악용 될 수 있음을 보여줍니다.
SysValue의 연구원 인 Luis Grangeia는 "Cupid"라고하는 개념 증명 코드 라이브러리를 만들었습니다. Cupid는 기존 Linux 코드 라이브러리에 대한 두 가지 패치로 구성됩니다. 하나는 "악한 서버"가 취약한 Linux 및 Android 클라이언트에서 Heartbleed를 악용 할 수있게하고 다른 하나는 "악한 클라이언트"가 Linux 서버를 공격 할 수 있도록합니다. Grangeia는 다른 연구원들이 어떤 종류의 공격이 가능한지 더 자세히 배우기 위해 소스 코드를 자유롭게 사용할 수있게했습니다.
모든 취약점이있는 것은 아닙니다
Cupid는 특히 EAP (Extensible Authentication Protocol)를 사용하는 무선 네트워크에서 작동합니다. 가정용 무선 라우터는 거의 확실히 EAP를 사용하지 않지만 대부분의 엔터프라이즈 급 솔루션은 사용합니다. Grangeia에 따르면 일부 유선 네트워크에서도 EAP를 사용하므로 취약 할 수 있습니다.
Cupid 코드로 패치 된 시스템에는 희생자의 메모리에서 데이터를 가져올 수있는 세 가지 기회가 있습니다. 보안 연결이 이루어지기 전에 공격 할 수 있습니다. 보안을 설정하는 핸드 셰이크 후에 공격 할 수 있습니다. 또는 응용 프로그램 데이터를 공유 한 후에 공격 할 수 있습니다.
큐피드가 장착 된 장치가 캡처 할 수있는 것만으로, 그랜 지아는 "커서 리 검사는 취약한 클라이언트와 서버 모두에서 흥미로운 것을 발견했다"고 광범위하게 결정하지 않았다. 이 "흥미로운 물건"에 개인 키 또는 사용자 자격 증명이 포함될 수 있는지 여부는 아직 알려져 있지 않습니다. 소스 코드를 공개 한 이유 중 하나는 그러한 세부 사항을 발견하는 데 더 많은 두뇌가 참여하도록하기 위해서입니다.
당신은 무엇을 할 수 있나요?
Android 4.1.0 및 4.1.1은 모두 취약한 버전의 OpenSSL을 사용합니다. Bluebox의 보고서에 따르면, 이후 버전은 기술적으로 취약하지만 하트 비트 메시징 시스템이 비활성화되어 Heartbleed는 이용할 수있는 것이 없습니다.
Android 장치가 4.1.0 또는 4.1.1을 실행중인 경우 가능하면 업그레이드하십시오. 그렇지 않은 경우 Grangeia는 "ROM을 업그레이드하지 않으면 알 수없는 무선 네트워크에 연결하지 않아야합니다"라고 조언합니다.
OpenSSL을 패치하지 않으면 무선을 통해 연결되는 Linux 시스템이 취약합니다. 이러한 시스템을 사용하는 사용자는 패치가 제대로 설치되어 있는지 다시 확인해야합니다.
EAP를 사용하는 회사 네트워크의 경우 Grangeia는 SysValue 또는 다른 기관에서 시스템 테스트를 받도록 제안합니다.
Mac, Windows 상자 및 iOS 장치는 영향을받지 않습니다. 한 번은 곤경에 처한 것은 Linux입니다. Grangeia의 전체 게시물을 여기에서 읽거나 여기에서 슬라이드 쇼 프레젠테이션을 볼 수 있습니다. 연구원이라면 스스로 코드를 잡고 약간의 실험을 해보십시오.
