Moxie Marinspike라고 Blackhat에서 SSL Strip에 대해서 발표를 한 사람이 있습니다. ssl strip과 관련해서 full source로 자신의 홈페이지에 관련된 자료를 올려 놓았습니다.


http://www.thoughtcrime.org/software/sslsniff/


오늘 오랜만에 홈페이지를 들어가 보니 재미있는 문구 하나가 떴네요.


A Note On The Cost Of Research:

PayPal has responded to the research that I've published by suspending my account. This means that, in addition to having my assets seized, I can no longer receive PayPal donations from people who would like to support my research. I've switched to Amazon's payment system, which I am now accepting donations through.

외국의 경우에는 donation라는 개념이 일반적입니다. 열심히 해서 뭔가 공개는 했지만,  freewarer도 아닌 것이, shareware도 아닌 것이, 더욱이 commercial version도 아닌 것이, 무작정 공짜로 공개하기는 좀 뭐하고, 그래서 "내가 만든거 써 보고 괜찮다 싶으면 나에게 돈좀 부쳐라"하는 개념입니다. 말 그대로 "기부좀 해 주세요"라는 거죠(한국에서는 좀 힘든 모델입니다. 기부 문화가 성숙되지 않았기 때문이죠). ssl strip 과 관련된 자료들도 donation 버튼이 홈페이지에 개제되어 있었는데, paypal 측에서 해당 ssl strip의 donation을 거부해 버렸다는 문구입니다.


참, 재미있는 것이 똑같은 얘기(컨설팅)를 특정 업체에 가서 오프라인으로 한두시간하고 버는 비용보다 이러한 donation에 의해서 발생하는 비용이 훨씬 저렴합니다. 어찌 보면 정보 제공자와 정보 수급자에게 있어서 donation이라는 개념이 서로 모두에게 이익을 가져다 줄 수 있는 비니지스 모델이라고 생각을 하는데, ssl strip이 해킹의 범주라는 것 하나만으로 paypal 측에서 거부를 한 모양이군요. 더욱이 ssl strip은 paypal 웹사이트의 암호 통신을 무력화할 수 있는 개념이기 때문에(물론 다른 ssl 사이트도 마찬가지) 아무래도 차단하지 않았나 싶습니다.


재미있군요. ^^





You would..