게시글 본문내용
|
다음검색
현재 진행중인 2011 PWN TO OWN 해킹 대회에 참가중인 한 팀이 제공한 정보에 따르면
대회 시작 5초만에 맥 OSX 에서 돌아가는 사파리 브라우저의 보안허점을 뚫는데 성공했다고 합니다.
PWN TO OWN 은 매년 열리는 해킹 대회로, 지금까지 해킹대상인 노트북이나 스마트폰과 함께
막대한 금액의 경품으로 해커들을 유혹하고 있습니다. 올해는 구글이 스폰서를 담당하며,
2년째 뚫리지 않은 크롬을 해킹하는 해커에겐 2만 달러의 추가 상금을 제공할 예정입니다.
참고로, 해킹대상이 되었던 사파리는 5.0.3 이었고, 대회 시작 바로 몇분전에 애플이
사파리 5.0.4 와 iOS 4.3 을 공개했습니다만, 해킹팀의 설명에 따르면 비록 62개에 달하는
보안허점이 막히긴 했어도 대회에서 사용한 방법을 포함하여 아직 다른 방법들은
유효하다고 밝혔습니다. 이외에도 3년째 버전업이 없는 IE8 도 사파리에 이어 뚫렸다고 합니다.
덤으로 PWN TO OWN 대회에 대한 간단한 요약 정보를 알려드리겠습니다.
최초로 열렸던 2008 PWN TO OWN 대회에선 3가지 종류의 OS 를 테스트하였습니다.
리눅스 우분투 7.10
윈도 비스타 SP1
OSX 10.5.2
대회 첫째날에는 목적한 노트북에 원격으로만 접근하는 조건으로 치뤄졌으며, 둘째날에는
기본 응용 프로그램에만 공격이 허용되었으며, 세째날부터 유명한 서드파티 응용 프로그램을
통한 공격을 허용하였습니다. 각각의 조건을 클리어하면 $20,000, $10,000, 그리고 $5,000 의
상금을 탈 수 있게 됩니다.
결과는, 개인 보안 담당자가 맥북에어의 기본 응용 프로그램을 통한 해킹에 성공하여
$10,000 의 상금을 타갔으며, 대회 마지막 날엔 다른 팀이 비스타의 해킹에 성공하여
$5,000 의 상금을 타갔습니다. 우분투는 결국 해킹되지 못했습니다.
두번째 대회인 2009 PWN TO OWN 에선 룰을 달리하여 브라우저의 보안성을 테스트하게
되었습니다. IE8, Firefox, 크롬이 깔려 있는 VAIO 노트북과 사파리와 파이어폭스가 깔려있는
맥북으로 대회가 진행되었습니다. 이 외에도 블랙베리, 안드로이드, 아이폰, 심비안, 윈도
모바일이 깔려있는 핸드폰으로도 동시에 진행되었습니다. 노트북에는 모든 최신 보안패치가
적용되어 있는 상황이었고 브라우저도 기본 설정으로 놓여져 있었습니다.
대회 규정도 바뀌어서, 브라우저의 보안허점 1개당 $5,000 이 주어졌고
모바일폰의 경우 1개당 $10,000 의 상금이 수여되었습니다.
또한, 해당 플랫폼에서 가장 많은 버그를 찾아낸 팀은 추가로 $5,000 의 상금을 얻게 됩니다.
대회 결과는, 첫째날에 사파리 (2번), IE8, 파이어폭스가 뚫린 것으로 나타났으며,
가장 빨리 보안허점을 찾아낸 사파리의 경우 뚫리는데 2분이 걸렸습니다.
크롬 브라우저의 경우 현존하는 알려진 exploit 기술로는 뚫는 것이 불가능했지만
한가지 부분에서 약간의 허점이 발견되었습니다. 한편 모바일 폰의 경우
느린 성능으로 인해 그다지 해킹이 선호되지 않는 경향을 보여서 결과가 안나왔습니다.
작년에 열린 세번째 2010 PWN TO OWN 대회에서는 2009 대회와 비슷하게 브라우저 부분과
모바일 부분으로 나뉘어 치러졌습니다.
IE8 (W7), 파이어폭스3 (W7), 크롬4 (W7), 사파리4 (설표)
대회규정은 거의 동일하지만 한번의 버그를 찾는데 $10,000 만 수여하게 되었습니다.
대회 결과는 아래와 같습니다.
1번째: 아이폰
2번째: 사파리 (Charlie Miller 라는 사람이 3년째 가장 먼저 타갔습니다)
3번째: IE8 - W7 64 bit
4번째: 파이어폭스
아이폰과 사파리, IE8 은 두번씩 뚫렸으며 이외에 노키아의 심비안도 뚫렸습니다.
크롬은 두번째 대회에서도 보안 허점이 발견되지 않았습니다.
이번에 열린 2011 PWN TO OWN 에선 작년과 거의 동일한 룰을 가지고 있었는데,
모바일 해킹에 대한 부분은 상당히 재미있는 룰을 적용하였습니다.
사진으로 보이는 감시 장치를 통해 모니터로 보면서 손가락만으로
해킹해야만 하는 제한이 붙게 되었습니다. 대상 모바일 폰은 아래와 같습니다.
델 윈도7, 아이폰4, 블랙베리6, 넥서스 S
아직 대회가 진행중이며, 참가팀 중 한명이 트윗한 글에 따르면
애플 사파리 (맥 OSX x64) 를 5초만에 보안을 깨뜨리는데 성공했다고 합니다.
대회 첫째날의 결산은 몇시간 있다 올라올 예정입니다.
|
첫댓글 2월 2일 기준인듯
ㅋㅋㅋㅋㅋㅋ
나 크롬쓰는데 안전한건가
우분투 시발ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ