Kaspersky 및 BitDefender 발표의 뒤에 있는 연구가가 Tech Herald에 얘기를 하다(이미지:HackersBlog)

In the past few days Kaspersky, BitDefender, and even Linden Lab’s Second Life, have all had SQL and code vulnerabilities exposed. The cause for the vulnerabilities, code errors related to unchecked user input, is nothing new. The reason for the exposure of these flaws, as well as countless others, is a whitehat (perhaps a little grey) hacker named Unu and his team at HackersBlog.

 며칠전에 Kaspersky, BitDefender, 그리고 Linden Lab의 Sencond Life는 모두 SQL 취약점이 공개되었다. 취약점의 원인(사용자 입력 부분과 관련된 코드 에러)은 새로운 것이 아니다. 이러한 취약점들을 공개하는 배경에는 화이트햇(아마도 약간은 그레이햇일지도) 해커인 Unu와 그의 해커스 블로그팀이 있다.

The first thing you should know is that HackersBlog is a community effort. There are several others on the site, researching and testing Web site vulnerabilities in an effort to force companies to clean up their code. They are not malicious in nature, but the public will see what they do as spiteful, and sadly criminal in some cases.

여러분이 우선 알아야 할 것은 HackersBlog는 커뮤니티 운동이라는 것이다. 그 사이트에는 다른 몇개들이 있는데 웹사이트 취약점를 연구&테스팅해서 회사들이 그들의 코드를 깨끗하게 하도록 하기 위한 노력을 하고 있다. 그들은 전혀 악의적이지 않은데, 일반인들은 그들이 악의적인 일을 하는 것으로, 또 어떠한 경우는 심지어 범죄자로 보기도 한다.

Unu is just one of the many faces on HackersBlog. His work is known, thanks to the press coverage given to two posts he made in the past few days.

Unu는 HackerBlog에서 알려진 사람들 중의 하나이다. 그의 일은 며칠전에 그가 만든 2개의 포스팅으로 알려 지게 되었다.

One post deals with Kaspersky. The Russian security company was exposed as to having unchecked parameters in the support area of its U.S. portal. The attack yielded all sorts of information and allowed full access to the database on the backend of the site. The tables completely visible when accessed included codes, users, admin_users, and retail_users, as well as fields related to versioning information and product information.

하나는 Kaspersky와 관련된 것이다. 러시아 보안 회사는 그들이 미국 포탈 지역쪽에 (SQL Injection의) 확인하지 않는 파라미터가 있었음을 가지고 있었음이 노출되었다. 이 공격은 사이트 뒤에 있는 database의 full 권한 접근을 허용하는 모든 종류의 정보를 얘기했다. (DB Table에 관한 기술적인 내용이므로 이하 번역 생략)

In an official statement, Kaspersky said: “The attack was unsuccessful and, despite their attempts, the hackers were unable to gain access to restricted information stored on the website. Claims by the hackers responsible for the attack that they had managed to gain access to user data are untrue.”

공개 석상에서 Kaskery는 "그 공격은 공격 시도에도 불구하고 성공하지 못했고,  해커는 웹사이트에 저장된 제한된 정보를 억세스 권한을 얻지 못했다. User Data를 억세스 권한을 획득했다는 공격에 대한 책임을 져야 하는 해커들의 주장은  사실이 아니다"라고 얘기했다.

The Tech Herald spoke to Unu and asked for his thoughts on the comment.

Techk Herald는 Unu와 얘기해서 그 코멘트에 대한 그의 생각에 대해 물어 봤다.

[Note: e-mail translated from Romanian. Emphasis added by Unu left for context.]

노트: 로마니아어에서 번역된 메일이다. Unu가 (이탤릭체등으로) 강조한 부분은 문맥을 고려해 그대로 남겨 두었다.

“First of all, it starts from a negative premise. It was not about any kind of attack. [This was not] my intention. I am not a thief. I'm just a guy who likes to do security testing, penetration. It’s like any other hobby,” Unu wrote in the e-mail.

우선 부정적인 전제에서 시작합니다. 이건 어떠한 종류의 공격도 아니고 저의 속셈도 아닙니다. 저는 도둑이 아닙니다. 저는 단지 보안상의 테스팅, Penetration을 좋아 하는 사람일 뿐입니다. 일종의 취미라고 보죠." Unu는 이메일에 썼다.

“I do not break, I do not delete, I do not change, and I NEVER save anything. In the data that I can access in this way, I just show that it is possible, that the site is vulnerable. That is all. The same thing happened [in the] Kaspersky case. It was about a banal parameter that was not good or not [sanitized enough].”

"저는 아무것도 지우지도, 변경하지도, 그리고 절대 어떠한 것이라도 저장하지 않습니다. 이러한 방식을 이용해서 접근할 수 있는 데이터에 한해서, 저는 단지 그게 가능하고, 사이트가 취약하다라는 것을 보여 주기만 할 뿐입니다. 이제 쓰이지 않는 안전하지 않은 또는 제대로 검사되지 않는 인자에 대한 것입니다."

“The SQL Injection was even easier,” he added, sending an example of an SQL Injection used.

사용되어진 코드 예제를 보내 주면서 "SQL Injection은 오히려 더 쉬웠어요" 라고 했다.

“Since I could extract tables, columns, [I don't] see what could stop me [from concating] it and extract [the] data, if this was my intention. The only protection was, I think, that Magic Quotes was on, and for the integration with query WHERE the name of the Columns had to be changed into ASCII.”

hxxp://usa.kaspersky.com/support/208279383000+UniOn+aLL+SelECT+1,COLUMN_name,3,4+ROM+INFORMATION_schema .columns+WHERE+TABLE_name=CHAR(117,115,101,114,115)--/

[Note: the link you see here will not work, but serves as an example of what an SQL Injection string looks like. In this example CHAR(117,115,101,114,115) = users]

구체적인 기법은 귀차니즘 존재해서 번역 안함. ^^

The second post from Unu, one day after the Kaspersky post, focused on a reseller for BitDefender. The site, bitdefender.pt, is located in Portugal and maintained by Uptrend Software.

Kaspersky이후의 Unu에 의한 두번째 포스팅은 BitDefender 리셀러에 촛점이 맞춰져 있다. bitdefender.pt라는 사이트는 Uptrend 소프트웨어가 관리하는 포르투갈에 위치해 있다.

Vitor Souza, Global Communications Manager for BitDefender, told The Tech Herald that, “As a result of this attack, BitDefender worked with our partners, reevaluated their Web defense strategies and where necessary took corrective action to avoid this type of attack, ensuring they have the support and resources necessary for adequate web defense.”

BitDefender의 총관리자(직함 번역이 맞나?)인 Vitor Souza(발음이 어려워요 ㅠㅠ)는 Tech Herald에게 다음과 같이 얘기했다. "이 공격으로 인해서 BitDefender는 우리의 파트너랑 웹 방어 전략을 다시 짰고, 충분한 웹 방어에 필요한 지원과 리소스를 지키는 동시에, 이러한 공격 유형을 피하는 교정 작업을 취하는 작업을 했습니다. 

“All BitDefender owned sites execute routine protection processes to ensure that these severely limit vulnerability to these types of attacks. While we can't control how [our] partners manage their sites, we do work with them to foster best practices in protection.”

"빗디펜더 자사 사이트에는 정기적으로 이러한 타입의 공격에 의한 취약점을 최소화하기 위한 방어 프로세스를 취하지만, 파트너 사이트에 대해서는 관여하기 힘들다. 다만 이러한 파트너 사이트들에 대해서는 보안과 관련된 일반적으로 알려진 효과적인 방법론를 적용하도록 하고 있다.

What stands out from the e-mail sent to The Tech Herald from BitDefender is that it takes a different stance compared to Kaspersky -- which called the issue a hacker attack -- with regard to what Unu did.

Unu가 했던 행위에 대해서, BitDefender로부터 Tech Herald에 보내어진 메일에서 뜻하는 것은 Kaspersky  -- 그 이슈를 해커의 공격이라고 칭함 -- 와는 사뭇 다르다. 

“During investigation, it appears that the attack was not intended to steal information, but simply to show vulnerability,” said BitDefender.

"검토를 해 보니, 그 공격(Unu 했던)은 정보를 훔치는 의도가 아니었고 단지 취약점을 보여 주는 것입니다." 라고 BitDefender는 말했다.

Unu explains that there was a different method used for the BitDefender vulnerability. While it was still an SQL Injection, the strings were different.

Unu는 BitDefener 취약점에는 다른 방법을 썼다고 설명했다. 맹 똑같은 SQL Injection인데 string이 달랐다.

“[In] BitDefender’s case [an] exchange was easier and faster because was performed by a single query that showed all lines… (the function LIMIT was not necessary) So [it was] possible to extract and save the data much easier.”

He provided another example of a string used in his recent work. This one was used in the BitDefender testing.

hxxp://www.bitdefender.pt/solucoes.php?p_id=1234999+UNION+SELECT+0,concat(0x3a,0x3a,0x3a,0x3a,table_name, 0x3a,0x3a,0x3a,0x3a),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21+FROM+ INFORMATION_SCHEMA.tables-- )

이 부분도 번역 생략. ^^

Press coverage surrounding the research performed by “hackers” is often listed as an attack or given spin to make the research, the exploitation of the vulnerability, or reporting it, criminal or malicious in intent. Considering the scope of the interview and the vulnerabilities released by Unu, we asked his opinions as to why the term “hacker” was viewed in such a slanted light.

해커들에 의해서 수행된 이러한 연구 활동을 둘러싼 언론의 기사들은 주로 공격에 대한 기사로 분류가 되고, 연구활동, 취약점 익스플로잇하기 또는 그것을 리포팅하는 것을 범죄나 악의적인 의도를 가진 것으로 보여지게 하는 경향이 있다.

What follows are his thoughts. What they offer is a unique insight from one of the masses online who do this type of research day in and day out.

다음은 그의 생각이다. 이 글에서 그는 온라인상에서 이러한 형태의 공격을 항상 연구하는 사람들 중의 한명으로서 아주 특이한 시각을 보여주고 있다.

“The word HACK has recently acquired a negative meaning. When you hear the word Hacker you relate it directly with something bad, but since you are a white hacker, you do ethical hacking; my opinion is that you should be appreciated and even encouraged for this.

"HACK"이라는 단어는 최근에 부적적인 의미를 가지게 되었습니다. Hacker라는 단어를 들으면 어떤 나쁜 것을 연상하게 됩니다. 하지만 화이트해커라 하면 윤리적인 해킹을 연상할 겁니다. 이에 고마와 하고 심지어는 격려해 줘야 한다는게 저의 생각입니다."

“You do the work of a [pentesting firm] that could test the security of the site or [sic] server at the request of the owner. The difference is that the firm makes this for a big sum of money, a very big sum of money, and we do it as a hobby, for pleasure, free, and most of the times we do that much better, but we don’t even get a simple Thank you.

"당신은 오너의 요청에 의해 사이트나 서버의 보안을 테스트할 수 있는 pentesting 회사에서 일을 합니다. 차이는 그 회사는 큰 돈을, 아주 큰 돈을 벌기 위해 하는 것이고, 우리는 취미, 즐거움, 자유에 의해서 하지만(대부분의 경우에 훨씬 더 잘 합니다) 심지어는 단순히 고맙다는 얘기도 못받습니다."

“[These] vulnerabilities exist when [Web developers, site administrators, etc.] put [vulnerable] code on site (there are good jokes that the vulnerabilities that we showed [existed], but just for a couple of hours get real... makes no sense) So if I could have access the database, somebody else could do that too, maybe somebody who has more knowledge about SQL Injection than me, and that person still will be able to do it if I or somebody else wouldn’t announce the problem.”

"이러한 취약점은 개발자들이나 사이트 관리자들이 코드를 사이트에 올려 놓았을 때부터 있었고(누군가는 우리가 발견한 취약점이 단지 몇시간동안만 익스플로잇 가능했다라는 말도 안되는 소리를 합니다), 내가 데이타 베이스에 접근이 가능했다면 다른 사람들도 가능했다라는 의미이죠. 아마 나보다 SQL Injection을 더 잘아는 사람들은 나나 누군가가 이러한 취약점 발표를 하지 않았다면 아직도 그렇게 데이테베이스에 접근하고 있을지도 모르는 일이죠."

[The jokes he makes mention of stem from both Kaspersky and BitDefender reporting that the vulnerable code was only accessible for a few hours at best. The humor here is that those few hours do not account for the time they went unnoticed by the public, but could have been accessed by others who never reported them. Underground researchers love this type of spin from companies as they scramble to put out potential PR fires.]

취약점 코드는 잘해 봤자 몇시간동안만 억세스할 수 있었다라는 리포팅???

“...maybe that person could have bad intentions or take advantage of it. What mind many people is that we make it public, these vulnerabilities, and not keep it low, send a mail to the admin in secret. Of course we choose this way because we want that the firms put a bigger accent on the security. At least in this way something is moving, they make a report, analysis, they have to check again, etc.

"... 아마도 그 사람은 이러한 취약점을 악이용하려는 의도를 가질 수도 있습니다. 많은 사람들의 신경을 거슬리게 하는 것은 우리가 그러한 취약점을 공개한다라는 것이죠.  숨기지 않고, 관리자에게만 비밀리에 메일을 보내지 않고 말이죠. 이러한 방법을 쓰는 이유는 그 (보안) 회사들이 보안에 대해서 더 강조를 하도록 하기 위해서입니다. 적어도 이러한 방법을 통해서 변화가 생기게 됩니다. (이러한 취약점에 대해서) 리포트도 작성해야 하고, 분석도 해야 하고 나중에 (잘 패치 되었나) 확인도 해봐야 하는 것이죠."

“If we just send an email, without making it public they would fix only that parameter that we announced and it is possible to be others too. (I’m talking in general and not about a certain site.) So for what I do, I do not consider myself a malefactor, I'm not a criminal, I [am] not a burglar.”

"우리가 그것을 공개하지 않고 메일을 보내면, 그들은 우리가 얘기한그 파라미터만 고칩니다, 딴 것도 있는데 말이죠. (일반적인 경우을 말하지 특정 사이트를 얘기하는 게 아닙니다). 제가 하는 것에 대해서 저는 제가 악인이라고 생각하지 않습니다. 저는 범죄자도, 강도도 아닙니다."

Unu added that one thing that separates him from other underground research teams is that he does not use a proxy service.

Unu는 그가 타 언더그라운드 팀과 다른 것으로 그는 Proxy 서비스를 이용하지 않는다라는 것을 언급했다.

“As [proof I used] a real IP, I [sic] had nothing to hide,” he said. He also noted that because of this he is waiting on word of legal action from Kaspersky. The Tech Herald has e-mailed the company to see if this was indeed the case.

"저는 real IP 를 쓰기 때문에 감출 게 아무 것도 없어요." 그는 말했다. 이때문에 그는 Kaspersky로부터 합법적인 액션의 말을 기다렸다고 언급했다. Tech Herald는 그 말이 진짜인지 그 회사에게 메일을 보냈다.

Unu added that his work and research will continue. Not long after his e-mail to The Tech Herald, Unu disclosed an issue on SecondLife.com that was discovered last November. The issue, an SQL Injection vulnerability, was quickly patched by Linden Labs (Unu said it took about three days).

Unu는 그의 연구는 계속될 것이라고 얘기했다. 머지 않아 그에게서부터 지난 11월에 알아 낸 secondlife.com 의 이슈를 공개했다는 메일이 왔다. 이 이슈(SQL Injection)는 Linden Labs에 의해 재빨리 패치되었다(Unu는 3일 걸렸다고 얘기했다).

The debate about disclosure, the role underground researchers play in vulnerability testing, or the proper use of the word "Hacker", will remain under intense debate. The good thing is researchers like Unu, despite remaining underground, are the good guys. You can question their methods, but not their ethics. Unu could have sold his information, or used it for nefarious means, instead he went public and the issues are now fixed.

공개, 취약점 테스팅을 즐기는 언더그라운드 연구가의 역할, "Hacker"라는 단어의 올바른 쓰임 등에 대한 논쟁은 계속해서 격렬할 것이다. 다행인 것은 언더에 남으면서도 Unu와 같은 연구가는 좋은 사람이라는 점이다. 그들의 방법론에 대해서라면 몰라도그들의 윤리성에 대해서는 의의을 제기해서는 안된다. Unu는 그의 정보를 팔 수도, 불순한 방법을 사용할 수도 있었지만, 그 대신에 그는 이슈를 공개를 했고 현재에는 고쳐 졌다.

Sadly, for every researcher underground who has a sense of ethical fiber, two will find flaws and tell no one.

윤리 의식을 가진 언더그라운드 리서쳐들에게는 안타까운 일이지만, 둘(분명치 않음 악의 적인 공격자들을 지칭하는듯한데) 은 취약점을 찾아도 누구에게도 말하지 않을 것이다.