고수분들 윈도우,리눅스 커널 둘다 공부하시나요?! 두os다 깊게 공부하시는지 리눅스는 오픈소스 자료 사이트좀 올려주시면 감사하겠습니다 .

오늘 클라우드 플레어에서 사건하나 터졌다고 하던데.. 스피드웨건 없나요

작년에 데프콘에서 열렸던 DARPA CGC는 속된 말로 히트다 히트였죠. 전 세계적으로 주목도 많이 받고.. 그래서 한국에서도 CGC를 열려는 움직임이 (실제로 기관에서 RFP 공고도 나왔다고 하네요.) 있는데, 어떻게들 생각하시는지 궁금합니다. CGC가 어떻게 돌아가는지 정확히는 모르지만 단기간에 제대로 준비하기는 어려울 것 같다는 느낌이 듭니다. 운영하는 팀이나 참가팀에 정부에서 지원을 얼마나 해줄지 궁금하기도 하고.. 소위 말하는 한국형 CGC가 되진 않을지.. CGC를 개최하기에는 아직 때가 아닌건 아닌지 음.. 혹시라도 성공적인 결과가 안 나오더라도 여전히 한국 보안 커뮤니티에는 긍정적인 영향을 많이 줄 수 있지 않을까하는 생각도 드네요.

http://hexdetective.blogspot.com/2017/02/exploiting-android-s-boot-getting.html

국내 보안 세미나, 컨퍼런스 일정 정리되어있는곳 없나요?

한국에서 열리는 큼지막한 대회의 문제 수준이 팍팍 떨어지고 있음에 다들 동의하실겁니다. 유럽, 북미까지 안가도 일본의 MMA CTF, 대만의 HITCON CTF와 비교해보면 수준차이가 심하죠. 새로운 기술을 다루지도 않고, 기발한 아이디어를 요하지도 않는 기존 대회문제의 재탕이 대부분입니다. 우리나라가 일본, 대만보다 해킹을 못하는것도 아닌데 왜 이렇게 욕을 바가지로 얻어먹고있을까요? 기업 위주의 대회운영이 원인이라고 생각합니다. 최근 여러대회에서 출제진을 공개입찰을 통해 구하고있습니다. 싼 값을 불러 운영비를 따내고, 출제는 외부인력 끌어들여 공론화되지만 않을 수준으로 어찌어찌 때우면 된다는 생각으로 일관하는 경우가 잦습니다. 근 몇년간 포렌식 하는 회사에서 사업을 따냈을때는 멀쩡한 흐드콘, 화햇이 포렌식대회가 되고, CTF는 몇년째 구경도 못한 회사에서 따냈을때는 게싱대회가 되고있습니다. 이거 앞으로 해결해야하는 심각한 이슈라고 생각합니다. 쪽팔려요.

비랩 익게때에 비해 해쉬 익게는 왤케 공격적인가여 ㅠㅠ 비랩 익게땐 먼가 잼난 기술 토크가 대부분이었고 가끔 논쟁이 있어도 예의는 차렸던거같은데...

충성! 전 언제 저녁할까요... 크흙...

먼저 웹서비스 버그바운티를 얘기해보고자 합니다. 현재 우리나라는 웹 서비스 버그바운티를 제대로 진행하고 있는 곳이 없습니다. 심지어 대기업도요. 왜 그럴까요? 조금만 생각해보시길 바랍니다. 통상적으로 버그바운티를 통해 취약점을 패치하는것 보다 설계단계에서부터 취약점을 없애는 게 적은 비용이 들어갑니다. 하지만 우리나라의 웹사이트들은 보안에 대한 인식이 없기 전 개발된 것이 많습니다. 그래서 처음 설계하는 단계에서조차 보안에 대한 생각 없이 개발 한 것들이 대부분입니다. 이러한 상태에서 버그바운티 제도를 도입하려고 하면 어떨까요? 해커원에서 $500씩 쳐주는 XSS가 하루에도 몇백 건씩 제보가 들어올 겁니다. 바운티 제도를 운영한 지 하루 만에 $25,000을 지급해야 되는 상황이 발생합니다. 타격이 큰 취약점(SQLI, RCE)에 대해서는 더 많은 돈을 지급해야 됩니다. 신고를 받았다고 한정 몇백 개의 취약점을 패치를 하려면 또 많은 양의 돈이 필요합니다. 기업가 입장이 돼봅시다. 버그바운티를 운영하여 발생하는 기회비용과 가만히 앉아서 들어오는 공격만 막는 기회비용 중 어느 게 더 클 것 같습니까? 망가질 때로 망가진 사이트에서 버그바운티를 운영한다는 것 자체가 불가능할 것이라고 생각합니다. 진짜 K-버그바운티를 새로 제도화해서 운영해야 된다고 생각합니다. 예를 들어 등록된 해커에게 발급된 VPN을 통해서만 공격이 가능하다든지.. ------------------------------------------------------------------------------------- K사의 버그바운티는 세금으로 운영된다고 알고 있습니다. 정해진 예산 속에서는 수요와 공급의 법칙이 따를 수밖에 없어요. 아무리 좋은 취약점이라도 그 취약점이 많아지면 그에 따른 가격이 달라질 수밖에 없다는 거죠. 문제 되는 건 이게 아닙니다. 제가 겪은바, 들은 바에 이하면, 누가 봐도 같은 레벨의 취약점인데 포상금의 액수 차이가 심하게 날뿐더러, 웹 솔루션 메인 페이지를 바꿀 수 있는 취약점도 30만 원을 줬습니다. 이 부분에 대해서는 정확하게 어떤 근거에 의해서 심사되었는지를 공개할 필요가 있다고 생각합니다.