Tentaiks.egloos.com

天體觀測

포토로그



OpenSSL HeartBleed 버그 설명 IT이야기


결론: 구글,페이스북,야후(인스타그램,텀블러),GitHub,DropBOX 사용자는 패스워드 꼭 변경하세요


이 OpenSSL의 HeartBeat Extension라는 부분의 취약점을 악용한 사례입니다(그래서 HeartBleed란 별명이 붙은 듯)
사용자와 서버는 키를 한 쌍씩 가지고 있으며, 사용자는 공개키를 서버는 공개키로 암호화 한 정보를 암호화 키로 
풀어서 봅니다.이것을 호텔로 예를들면.. 손님은 각 방에 맞는 키를 가지고 있지만 청소부나 직원들은 마스터키를 보유한 거로 
보면 되겠습니다

지금 이 취약점의 문제는 호텔 마스터키(!) 가 털렸다는 겁니다

이 취약점은 서버에 저장되어 있는 힙 메모리를 덤프해 정보를 열람할 수 있는데
서버에서 사용하고 있는 암호화 키(마스터 키)가 탈취될 경우 그 서비스를 사용하는 여러 사용자의 정보 또한 노출됩니다
(어자피 마스터키를 가지고 있으니 모든 방을 털어버릴 수 있음)
암호화 된 패스워드라도 안심할 수 없는 이유는 암호화 된 패스워드를 저장해 패턴을 분석 후 그것을 역으로 
어떤 타입을 넣었을때 어떻게 암호화가 되는지 역추적하여 딕셔너리를 만드는 프로젝트가 진행되고 있으며(음지에서)
암호화가 보통의 평범한 알고리듬으로 암호화 될 경우 디코드 또한 가능합니다

가장 큰 문제는 ..이 오픈소스가 우리나라에서 많이 쓰이는 Apache+n-ginx 와 같이 패키지에 포함되어 있고
실제로 사용하는 곳이 많으며(안드로이드에서 많이 사용되고 있습니다)
오픈소스의 장점답게 무료! 빠른지원! 확산성! 을 자랑하지만 단점은 취약점이 퍼지기 시작하면 대응할 곳이 많다는 점 또한..

대응이 상대적으로 느렸던 yahoo의 경우, id와 패스워드가 노출 된 보고서가 국내/해외 블로그 등을 통해 많이
확인되었습니다. 인스타그램,텀블러 같은 산하 서비스 사용 시 패스워드 변경은 반드시 필요합니다
구글 측에선 유출되지 않았다 주장하나 발견되기 이전 버전을 사용했었고(아마도 지금은 조치...했으려나?)
페이스북 또한 취약한 OpenSSL버전을 사용하고 있었으므로 취약했을 거라는 추측도 있습니다


잘 알려진 7개 코드 이외에도 변종들이 속속 보고되고 있습니다
당분간은 요 이슈로 많이 바빠질 거 같네요 OTL