Not categorized: September 2005 Archives

우연히 top을 해봤더니, krad라는 프로세스가 CPU를 모두 차지하면서 동작하고 있더군요. 거기에 r0nin이라는 이름의 프로세스도 눈에 띄더군요. 순간 hack 당했다는 느낌이 들더군요. 역시나, 구글링해보니, 일종의 code injection 공격이더군요.

apache log를 살펴보니, 다음과 같은 내용이 있었습니다.

그리고 twiki/bin과 /tmp에는 ntfu.txt, dc, krad, r0nin과 같은 파일들이 생겨있었습니다. apache를 통해서 생성된 파일들이기 때문에 apache user로 되어있었습니다.

보시다시피, 웹 어플리케이션을 통해서 shell command를 injection하고있는 것을 볼 수 있습니다. 구글링에서 찾은 건 My eGallery라는 웹 어플리케이션의 버그를 이용한 것인데 lastmind의 경우에는 제가 사용하고 있는 TWiki의 버그를 이용한 공격이었습니다.

이 문제는 제가 사용하는 버전인 2004년 9월 1일 릴리즈 이 후 이틀에 걸쳐서 수정된 문제임에도 불구하고, (그리고 security vulnerability에 대한 메일을 받았음에도 불구하고) 저같은 풀타임도 아닌 게으른 관리자가 관리하는 서버는 이러한 공격에 취약할 수 밖에 없는 것 같습니다. 어쨌든 2004년 9월 3일 릴리즈로 업그레이드 해서 이 문제는 해결했습니다.

대충 살펴보면, 주로 back door 종류인 듯 한데, lastmind에서 무슨 짓을 했는지는 아직 파악되지 않았습니다. 스팸 메일을 보낼까 해서 일단 sendmail을 내려놓은 상태입니다. krad라는 프로세스는 'kill -9'로 죽지도 않아서 reboot을 해야만 했는데, 흥미롭게도 다음과 같은 내용을 담고 있더군요.

역시 구글링을 해보니, 리눅스 커널 2.6.x에 해당하는 sys_epoll_wait를 이용한 overflow exploit이라는 것이 밝혀졌습니다. kernel memory를 overwrite해서 root shell까지 실행할 수 있는 exploit인데, root를 가로채고 무슨 짓을 했을지 모르겠군요.

공격을 당한 그 날 발견한 것은 상당히 행운이라고 볼 수는 있겠습니다만... 피해 상황은 좀 더 조사해봐야겠습니다.

Shuffle에 Firefox를 설치해서 잘 사용하고 있습니다. 학교에서나 방학 때 현장실습 했던 회사에서도 유용하더군요. 개강해서 PC실에 들러서 놀고 있는데, 갑자기 Google Talk를 쓰는 친구가 잘 살아있나 확인하고 싶어졌습니다. 역시 PC실에는 소프트웨어를 설치할 수 없기 때문에, 셔플에 뭔가를 깔아야겠다고 생각했습니다. Google Talk는 안될 것 같고 (실제로 되는 지는 모르겠습니다) ... 아, lunamoth님이 얘기했던 Miranda가 어떨까요? 의외로 간단하게, zip format의 Miranda 배포판을 다운로드 받아서 셔플에 풀어놓는 것으로 모든 것이 해결되더군요.

MSN, Jabber, IRC 외의 다른 모듈은 다 내리고, 적당히 설정해주는 것으로 쓸만하게 되었습니다. Jabber 모듈을 Google Talk 쪽으로 접근하도록 설정하는 것은 Google의 가이드와 lunamoth님의 가이드를 따랐습니다. 왜 그런지 모르겠지만, Google의 것에는 OpenSSL 파일을 설치해주는 것이 빠져있죠.

아이콘 모음을 하나 받아서 설정해주었습니다. amicons라는 건데요. 괜찮습니다. 스킨은 마음에 드는 것을 찾기가 힘들어서 그만 뒀습니다. 기본 대화창조차도 플러그인으로 되어있는데, 폰트를 설정할 수 있는 것이 없어서 좀 불편하더군요. 역시, 적당한 대체 플러그인을 못찾겠습니다. 좋은 거 알고 계시면 좀 알려주세요.

gaim 외에 멀티프로토콜 메신저는 처음 사용해보았는데요. gaim에 비해 장점이라면, 인터페이스를 변경하는 것이 gaim에 비해 좀 더 자유로운 것 같다는 것입니다. 사실, 기본 인터페이스만 보자면 gaim과 별로 다를 것도 없긴 하죠. 그러고보면, gaim은 GTK+도 깔아주고 해야하니까, Shuffle에 설치하기는 좀 불편할 것 같기도 하네요. (따로 패키지가 있으려나요.) 데스크탑에서는 다양한 메신저들(MSN, Skype, Google Talk, Tachy, Nateon)을 사용하고 있긴 하지만, 아직은 데스크탑에서 멀티프로토콜 메신저를 사용할 생각은 들지 않네요.

Microsoft's Machiavellian manoeuvring by Bruce Schneier

Trusted Computing Group (이하, TCG)은 Microsoft, Sony, AMD, Intel, IBM, Sun, HP와 같은 메이저 IT 업체들을 주축으로 하고 있는 컨소시엄이다. TCG의 기본 아이디어는 하드웨어와 소프트웨어가 어떻게 서로를 신뢰할 수 있는가 하는 문제를 해결하기 위한 것이다. 예를 들면, 하드웨어가 OS의 신뢰성을 보장하고, OS가 어플리케이션의 신뢰성을 보장해주는 식이다.

(예전에 저작권에 관한 이슈가 불거질 때, 태준형과 많은 얘기를 나누면서 TCG에 대해서 듣게 되었고, TCG에 대해서도 많은 얘기를 했었다. 다음 내용들은 그 얘기들에 기초하고 있다.)

예컨대, DVD의 불법적인 복제를 막고 싶다고 하자. 현재의 PC에서는 DVD의 내용이라고 할 수 있는 영상과 음성은 어떻게든 하드웨어와 소프트웨어를 거쳐 사용자에게 전달이 되어야하기 때문에 DVD에 담긴 데이터에 접근하는 모든 하드웨어와 소프트웨어를 막는 것만이 궁극적인 해결책이 될 수 있다. 여기에는 DVD 롬과 OS, DVD를 재생하는 소프트웨어, 그래픽 카드, 심지어 모니터도 포함될 것이다. 이러한 하드웨어와 소프트웨어의 요소 중 하나라도 복제를 방지하도록 설계되어있다는 보장이 없다면, 그 DVD에 담긴 데이터는 절대로 그러한 요소로 전달되어서는 안되는 것이다. 가장 간단한 방법은 PC와 같은 열린 플랫폼 보다는 DVD Player들, XBOX나 Playstation과 같은 닫힌 플랫폼을 선택하는 것이다. 하지만, 그러한 닫힌 플랫폼들은 그 특성상 PC 시장을 완전히 대체할 수는 없으며, 분명 아직도 전쟁중이다. TCG의 노력은 아마도 열린 플랫폼에서도 신뢰의 보장을 구현해보자는 것이다.

분명히 이것은 가치가 있다고 생각된다. 우리나라 은행 사이트들에만 들어가면 잡다하게 설치되는 ActiveX들은 짜증스럽다. 기본적으로 우리나라의 은행들은 절대로 사용자들과 사용자들의 PC를 믿을 수 없다는 것인데, 이것이 valid한 의견이든 아니든 간에, 은행들의 욕구를 충족시키면서 ActiveX를 없애고 싶다면, 은행 사이트들은 키로깅 소프트웨어나 백도어가 없거나 영향을 미칠 수 없다는 보장을 OS로부터 받을 수 있어야할 것이다. OS는 은행 사이트로의 모든 형태의 접근에 대한 다른 소프트웨어나 하드웨어의 접근을 통제할 수 있으니까 말이다. 물론, 그 OS를 믿을 수 있는가하는 문제는 또 다른 방법으로 (예를 들어, 하드웨어를 통한 인증) 해결할 수 있을 것이다. 제대로 된 TPM이 PC에서 구현이 된다면, 우리는 현재보다는 좀 더 편하게 인터넷 뱅킹을 할 수 있으리라고 생각한다.

하지만, 문제는 있다. TCG 또는 TCG의 회원사들은 항상 선한 의도만을 가지고 있는 것은 아니기 때문이다. TCG라는 조직 자체가 일종의 권력이며, TCG의 외부에 있는 하드웨어 또는 소프트웨어 회사들은 그 권력에 의한 피해를 입을 수 있는 여지가 있다. 뿐만 아니라, TCG가 컨텐츠 산업의 이익을 대변하며 디지털 컨텐츠를 절대로 복제할 수 없도록 하는 세상이 될 수도 있을 것이다. (간혹 영화에 나오듯이 더럽고 어두운 지하에서 펑크족 머리를 하고 주인공에게 불법적으로 복제를 해주는 세상말이다.)

Bruce Schneier는 TCG가 내놓은 문서인 Design, Implementation, and Usage Principles for TPM-Based Platforms을 소개하면서 이와 같은 우려를 표시한다.

하지만, 이 문서는 TCG의 선한 의도를 표명하고 있고, Bruce Schneier도 이 문서에 쓰여진대로만 따른다면 그것은 좋은 가이드라인이라고 평가한다.

Bruce Schneier가 한가지 더 우려하고 있는 것은 Microsoft의 행동이다. Microsoft는 TCG의 회원이지만, 이 문서의 기초를 더디게 만드려고 했다고 한다. 그 이유는 Windows Vista의 출시 이 후에 이 문서가 발표되도록 해서, Vista가 결국 이 문서의 영향을 받지 않도록 하기 위한 것이었다는 것이다. 물론 정확한 증거가 없는 의심이기는 하지만, Microsoft의 행보를 생각하면, 그냥 무시해버릴만한 생각은 아니다.

From "Desperate Housewives" (2004)

눈에 띄는 (일반인들이 좋아할만한) KAIST 소식 두가지.

제1회 인공지능 경연대회

포항공대-카이스트 학생 대제전 (이른바, 카포전) 과 같이 포항공대와 카이스트 학생간 교류의 일환으로 열리는 대회인 듯하다. 뿌요뿌요의 AI를 직접 만들어서 서로 대결하는 방식으로 Sun에서 주최했던 Robocode 대회같은 거라고 생각하면 된다. 물론 이런 종류의 대회는 상당히 흔한 편인데, 주변(한국?)에서는 처음 보게되는 것 같다.

제29회 대학가요제

지방에서 열리는 첫 대학가요제라고 하는데, 사람도 별로 없는 KAIST에서 열리다니 좀 의외다. (사람 수가 중요한 건 아니겠지만.) KAIST 동아리인 '강적'도 1차 예선을 통과하고 2차 예선에 참여하는 것으로 보인다. 대학가요제엔 별로 관심이 없었기 때문에 얼마나 중요하고 큰 행사인지는 잘 모르겠지만, 대학가요제 출신이라는 가수가 줄어들고 대형 매니지먼트사가 가수를 만들어내는 요즘에는 옛날만큼은 아닐 것 같다. 그래도, MBC라는 메이저 방송사에서 하는 행사니까 지방 공과대학에서 하는 것 치고는 재미있는 이벤트임에는 분명하다. 행사 날짜는 10월 15일이라고...