블로그

DC25가 내 마지막 DEF CON이었나?

F5 썸네일
F5
2017년 8월 8일 게시

20,000명의 보안 전문가와 저는 방금 Caesar's Palace에서 돌아왔습니다. Caesar's Palace는 세계에서 가장 오래되고 어떤 이들은 최고라고 말하는 해커 컨퍼런스인 DEF CON을 처음으로 개최한 곳입니다. 올해도 예년과 마찬가지로 참석자들은 같은 말을 했습니다. "맙소사, 사람이 너무 많아!" 그들은 DEF CON 7(제가 처음 참석한 행사)에서도, 옛 알렉시스 파크 호텔 잔디밭에 텐트를 치고 참석자가 1,000명 정도였을 때에도 그렇게 말했습니다.

DEF CON이 올해 25주년을 맞았고, 저는 처음으로 이것이 제 마지막 행사가 될지 궁금해졌습니다. 컨퍼런스 일정이 겹치는 바람에 아이들의 생일을 대부분 놓쳤습니다. 하지만 그 불쌍한 녀석은 내가 그를 DC22로 데려간 이후로는 이해심이 많은 편이야.

웃는 얼굴

올해도 꽤 멋진 강연들이 있었지만, 저는 이런 내용을 이미 본 적이 있는 듯한 느낌이 들었습니다. 20년 동안 해커 토크에 몇 번이나 참석할 수 있었을까요? 그러면 아이 같은 호기심을 잃기 시작할 겁니다. 그래서 저는 DC26을 젊은 사람들에게 남겨두는 것을 적극적으로 고려하고 있습니다.

DC26에 대한 옵션을 고민하는 동안 DC25에서 있었던 흥미로운 강연, 이벤트, 하위 커뮤니티를 잠깐 살펴보겠습니다. 또한 DEF CON 미디어 서버(또는 YouTube, 어느 쪽이 먼저 공개되든)에서 이러한 강연이 공개되면 꼭 들어보시기 바랍니다.

새로운 투표 약탈, 아니, 투표 마을을 말하는 거예요.


지난 6개월 동안 선거 개입 에 대한 온갖 뉴스를 감안하여, DC 주최측은 미국 전역에서 사용되는 다양한 투표 기계를 테스트해 볼 수 있는 새로운 투표 마을을 포함시킨 것이 현명한 결정이었다. 첫날 화제는 개장 후 90분 만에 대부분의 기계가 해킹당했다는 것이었습니다. 회의가 끝날 무렵, 모든 투표기계가 해커에게 항복했습니다. 이는 놀랄 일이 아니다. 충분한 시간과 재능만 있다면 장치에 물리적으로 접근할 수 있다는 것은 거의 확실한 휴식이 되며, DC25에서는 그 두 가지가 모두 충분했다.

투표 마을 이후의 행동 촉구는 일반적으로 우리 국민이 종이 투표용지를 사용해야 한다는 것이었습니다. 하지만 합리적이고 지식이 풍부한 전문가들은 최상의 보안을 위해 전자 투표와 종이 투표를 결합하는 것을 제안합니다. 이는 NPR Science Friday 토론 에서 입증되었습니다.

주제: 많은 발표자들은 공공 데이터 소스(예: 인증서 투명성 프로젝트)와 Project Sonar를 연구의 기반으로 삼습니다.

주목할만한 연사들
 
  • 유명 작가이자 Boing Boing 편집자 코리 닥터로는 디지털 권리 관리에 대해 열정적인 연설을 했습니다.
  • 체스 그랜드마스터 가리 카스파로프는 인공지능이 일자리에 미칠 영향에 대해 이야기했습니다.
  • 리차드 티엠은 20년 전 첫 번째 블랙햇 브리핑에서 연설했으며 오늘날에도 여전히 개인정보 보호에 대해 연설하고 있습니다.
     
주목할만한 프레젠테이션


인증서 투명성 로그 남용 - Hanno Böck(@hanno)

저는 약 3년 전에 SecurityWeek.com에서 매우 멋진 인증서 투명성(CT) 프로젝트에 관해 글을 썼습니다 . 그 이후로 CT 프로젝트는 인증 기관으로부터 로그를 수집해 왔습니다. 이론상, 브라우저는 잘못 발급된 인증서를 찾아내기 위해 실제 인증서와 로그를 비교합니다. 실제로, 발표자인 한노 뵈크에 따르면, 구글의 위협을 받았던 시만텍이 마침내 CT 프로젝트에 참여하게 되었다고 합니다. 메모: 시만텍은 최근 모든 사업을 접고 자사의 인증 기관을 DigitCert에 매각했습니다.

커뮤니티 인증 가든인 Let's Encrypt는 CT 프로젝트에 참여해 왔고 이제 Cloud Flare도 참여합니다.

또 다른 참고사항: CT 프로젝트에는 crt.sh 라는 훌륭한 작은 포털이 있는데, 연구자들은 이를 통해 웹 인터페이스(혹은 제가 가장 좋아하는 Postgres)를 통해 전체 로그 세트를 볼 수 있습니다.

그래도! 흥미로운 공격 아이디어를 구상하는 연구원 Hanno Böck: CT 프로젝트 로그에서 새로운 도메인 이름을 모니터링합니다. 새로운 이름이 발견되면 해당 사이트를 확인하여 누군가 WordPress나 Joomla 웹사이트를 설정하고 있는지 살펴보세요. 누군가가 설치를 시작하지만 완료하지 못하는 짧은 시간 간격이 있는데, 이때 영리한 공격자가 악성 플러그인을 삽입하여 사이트에 백도어를 뚫을 수 있습니다.

사이트 운영자는 당신이 이런 짓을 했다는 걸 전혀 몰랐을 겁니다. 뵈크는 이것이 어떻게 작동하는지 데모를 보여준 다음, 누군가가 이미 이를 실행하고 있는지 알아내려고 했습니다(아직까지는 그런 징후가 없었습니다). 그는 책임 있는 공개를 실천하고 WordPress와 Joomla에 이 사실을 알렸으며, 심지어 몇 가지 완화책도 제안했습니다. 프레임워크 중 하나가 그의 제안을 구현했지만 나중에 두 프레임워크 모두 그것이 불완전한 해결책이라는 것을 깨달았고 공격은 여전히 작동할 가능성이 높다는 것을 깨달았습니다.

테이크어웨이: 새로운 도메인을 등록하고 이에 대한 인증서를 받는 경우 가능한 한 빨리 WordPress 설치를 완료하세요. 설치 프로그램을 그냥 두면 의도치 않게 호스팅을 하게 될 수도 있습니다.

AV와 Leaky Sandbox의 모험 - Itzik Kotler(@itzikkotler)와 Amit Klein

당신이 고도로 보안된 환경에서 간첩 요원이라고 상상해보세요. 군대나 비밀 기술 계약자 또는 기타를 생각해보세요. 이제 일부 데이터를 빼내야 하지만 일반적인 채널(Google 드라이브, USB 스틱 등)을 사용할 수 없는 상황을 가정해 보겠습니다. 모든 것이 모니터링되지만, 네트워크에서는 클라우드 디토네이터가 있는 여러 바이러스 백신 솔루션 중 하나를 사용합니다.

연구원 Itzik Kotler와 Amit Klein은 클라우드 AV 환경에서 데이터를 추출하는 새로운 기술을 시연했습니다. 두 개의 이진이 생성되었습니다. 바깥쪽 이진(로켓)과 안쪽 이진(위성)입니다. 그들은 위성 바이너리에 데이터를 인코딩한 다음, 바이너리를 로켓 바이너리에 인코딩했습니다. 그들이 네트워크에 도입한 로켓 바이너리.

로켓은 AV가 볼 수 있는 디스크에 위성 바이너리를 기록합니다. AV는 위성 바이너리를 의심하여 이를 네트워크 외부의 클라우드 폭발 장치로 보내서 실행합니다. 그러면 위성은 구름 폭발 장치에서 나온 데이터를 투하 구역으로 전송합니다.

너무 귀엽다! 코틀러와 클라인이 테스트한 클라우드 AV 스캐너 10개 중 4개는 위성이 낙하 구역과 통신할 수 있도록 했습니다.

DNS - Devious Name Services: 동의 없이 개인 정보와 익명성을 파괴하다 - Jim Nitterauer (@jnitterauer)

짐 니터라우어가 DEF CON에서 처음으로 연설했습니다. 그는 전통에 따라 강연을 시작하기에 앞서 술(위스키?)을 한 잔 마셨습니다. 올해는 새로운 스피커가 너무 많아서 DEF CON 사람들은 Wild Turkey를 대량으로 구매했을 겁니다.

Nitteraur에 따르면 DNS 요청에는 새로운 "클라이언트 서브넷" 필드가 있습니다( RFC 7871 참조). 클라이언트는 실제 LAN 주소를 여기에 입력해야 합니다. DNS 확인자는 해당 주소를 사용하여 응답을 캐시하는 방법을 결정할 수 있습니다. 꽤 논리적인 것 같죠?

하지만 Nitteraur는 "감시자"가 클라이언트 서브넷 정보를 사용하여 사람들을 추적하고 있다는 점을 우려하고 있습니다. 대규모 감시나 기타 불법적인 서비스를 위해.

클라이언트 서브넷 필드가 실제로 광범위한 대량 감시에 사용되고 있다는 증거는 거의 없습니다. 무엇보다도 광고 추적에 사용될 것입니다(RFC 작성자로는 Google과 Akamai가 포함됨). 하지만 Nitteraur가 이 개인정보 보호 악몽에 대해 개인정보 보호 플래그를 제기한 데 대해 찬사를 보냅니다. 하지만 반면에 DNS 전체는 개인정보 보호의 악몽이며 앞으로도 오랫동안 그럴 가능성이 큽니다.

IoT 보안을 사람들의 마음속에 최우선으로 가져온 Mirai 봇넷에 감사드리고 싶습니다!

트로이 목마에 대한 내성 하드웨어 및 공급망 보안의 실제 - Vasilios Mavroudis 및 Dan Cvrcek(@dancvrcek)

문제: FIPS 140 하드웨어 보안 모듈(HSM)이 악성이라면? 즉, 그 안에는 신성한 RSA 키를 손상시키는 악성 칩이 들어있었다는 뜻입니다. 당신은 알 수 있나요? 그러면 어떻게?

이것은 런던에 거주하는 두 명의 연구자 Mavroudis와 Cvrcek이 한 흥미로운 강연의 전제입니다. 전제는 터무니없어 보일지 몰라도, 이런 종류의 기술 스파이 영화 줄거리를 위협 모델로 삼아야 하는 조직들이 있습니다. 예를 들어, 미국 국가안보국(NSA)이나 미국 비밀 경호국이 중국에서 제조된 컴퓨터용 집적회로를 의심스러운 눈으로 주시한다면 어떨까요?

마브루디스와 츠브르체크는 항공기 항공전자에서 가져온 솔루션, 즉 공급망 중복성을 제안합니다. 예를 들어, 보잉 777 항공기는 단일 보드에서 3개의 서로 다른 공급망의 3중 중복 컨트롤러를 사용합니다. 항공 전자 장비의 경우 문제는 신뢰성이지만, Mavroudis와 Cvrcek은 대신 보안에 그 중복성을 적용합니다.

그들은 몇 가지 자체 HSM을 만들어서(정말 멋지죠!) 인터넷에 배포했습니다. 각 HSM은 비밀 데이터에 부분적으로 접근할 수 있는 일련의 분산 암호화 프로토콜에 참여합니다. HSM 네트워크는 구성원 중 하나가 다운되거나 암호화를 손상시키려는 경우를 감지할 수 있습니다. 여기에는 복잡한 수학이 포함되어 있을 것으로 생각하지만, 그들이 작업 내용을 보여주지 않은 것은 사실입니다. 하지만 괜찮습니다. 백서를 기다릴 수 있을 겁니다.

또한 오래된 USB 허브, 일부 통합 회로, 애플릿 및 풍선껌을 이용해 집에서 HSM을 만드는 방법에 대한 지침과 그림도 포함되어 있습니다. 맵시 있는!

케이블탭: 무선으로 홈 네트워크 도청

DEF CON 25에서 아무도 언급하지 않은 가장 멋진 토크는 "CableTap: 무선으로 홈 네트워크를 도청합니다.”

Bastille Networks의 두 연구원은 Comcast와 Time Warner의 소비자 네트워크 배치를 조사하기 시작했습니다. 한 연구원은 1월에 연구를 시작했을 당시 리눅스나 네트워킹에 대한 지식이 거의 없었지만, 3월에는 수백만 대의 가정용 라우터와 셋톱박스에 원격으로 접속하는 방법을 알아냈습니다. 그들의 공격 체인은 굉장했고, 그들의 프레젠테이션은 재미있고 고무적이었습니다.

자세한 내용은 SecurityWeek.com 기사에서 읽어보세요. Defcon 25에서 아무도 쓰지 않는 가장 멋진 토크

저는 DC26에 있을까요?


좋아요, 이 모든 것을 쓴 후에, 저는 YES, 아마도 DC26에 있을 거라고 결정했습니다. DEF CON에서 멋진 일이 너무 많이 벌어지거든요. 라스베가스에서 6일간(Blackhat도 포함해서요) 지쳐버렸어요. 하지만 그게 DEF CON의 잘못은 아니잖아요?

내년에 대한 내 계획은 다음과 같습니다.

  • 만달레이에서 카이사르 호텔로 이동합니다. 하루에 두세 번씩 스트립을 가로질러 돌아다니면 정말 지치게 됩니다. 그러니 일찍 객실을 등록하세요.
  • 더 많은 Google Talks를 확인하세요. 저는 올해 그들의 연사들에 대한 좋은 이야기를 들었습니다.
  • 술을 덜 마시세요 (하! (그게 어떤지 알아보겠습니다!).
  • 마을에서 더 많은 시간을 보내세요. 올해 인기 있는 분야는 투표 마을, 패킷 해킹인 듯하고, 저는 특히 IoT 해킹 마을에 관심이 있습니다. 마지막 행사의 주최측은 폐막식에서 "IoT 보안을 사람들의 마음 속에 최우선으로 가져온 Mirai 봇넷에 감사드리고 싶습니다!"라고 말했습니다.

글쎄요, 축하합니다. DC26에서 뵙겠습니다.