고세 보안

Goatse Security
고세 보안
고트섹의[1][2] 명사
Goatse Security Logo.png
고세 보안 로고
포메이션2009년 12월; 12년 전(2009-12년)[3]
목적해킹
멤버십
앤드루 "위브" 아우른하이머[4][5]
샘 호세바[4][6][7]
대니얼 스피틀러[4][8]
레온 카이저[2][4]
닉 "루카스" 프라이스[4][9][10]
상품들
쥐다[11][12]
웹사이트security.goatse.fr (없음)

고트세 보안(Gotse Security, GotSec)은 느슨한 편성의 9인용[14] 회색 모자[15] 해커 그룹으로[16] 보안 결함을 밝히는 데 특화된 그룹이었다.[3][17] 그것은 미국의 게이 나이거 협회(GNAA)로 알려진 인터넷 트롤링 반대 단체의 사단이었다.[2] 그 집단은 고트족에서 이름을 따왔다.cx 쇼크 사이트로,[5] '노출된 틈새 구멍'을 슬로건으로 선택했다.[13] 이 웹사이트는 2014년 5월부터 업데이트 없이 폐기되었다.[18]

2010년 6월에 Gotse Security는 약 11만 4천 명의 애플 아이패드 사용자들의 이메일 주소를 입수했다. 이는 FBI의 조사로 이어졌고 이 단체의 회원 2명에 대한 형사 고발로 이어졌다.

창간

세계식량계획(WETA)은 회원국 내에 여러 명의 보안 연구원을 두고 있었다. 고세 보안 대변인 리언 카이저에 따르면, 닐사는 닐라가 발표한 보안 데이터를 진지하게 받아들일 사람이 없을 것이라고 믿었기 때문에 그들의 재능을 충분히 활용할 수 없었다고 한다. WETA 회원들이 보안 조사 결과를 공표할 수 있는 매체를 만들기 위해, WETA는 2009년 12월에 Gotse Security를 창설했다.[2][3]

브라우저 취약성 검색

프로토콜공격으로부터 그것의 웹 브라우저를 보호하기 위해, 모질라HTML 양식이 일반적으로 접근하지 못할 몇 의 포트를 차단했다. 2010년 1월 WETA는 모질라의 블록이 포트 6667을 덮지 않는다는 사실을 발견했고, 이로 인해 모질라 브라우저는 프로토콜 간 스크립트에 취약해졌다. WETA는 IRC 채널을 범람시키기 위해 자바스크립트에 기반착취를 고안했다. 비록 EFnetOFTC가 공격을 차단할 수 있었지만, Freenode는 공격에 대항하기 위해 애썼다. 고테 보안은 이 취약성을 폭로했고, 그것의 멤버 중 한 명인 "위브"라고 불리는 앤드류 아우른하이머는 드라마틱 백과사전에 이 착취에 대한 정보를 게시했다.[19][20][21]

2010년 3월 고세 시큐리티는 애플의 웹 브라우저인 사파리 내에서 정수 오버플로 취약성을 발견하고, 《백과사전 드라마틱a》에 공격 글을 올렸다.[22] 그들은 사람이 포트 번호에 65,536을 추가함으로써 차단된 포트에 접근할 수 있다는 것을 알아냈다.[23][24] 이 취약성은 아로라,[25] iCab,[26] 옴니웹,[27] 스테인리스에서도 발견되었다.[28] 애플은 지난 3월 사파리 데스크톱 버전의 글리치를 수정했지만 모바일 버전의 브라우저에서는 글리치를 그대로 유지했다.[22][29] 고세 시큐리티는 해커가 애플 아이패드에 접속해 피해를 입히기 위해 모바일 사파리 결함을 악용할 수 있다고 주장했다.[22][29]

AT&T/iPad 이메일 주소 누출

2010년 6월, Gotse Security는 AT&T 웹사이트 내에서 취약점을 발견했다.[30][31] AT&T는 당시 미국에서 유일하게 애플 아이패드용 3G 서비스를 제공했다.[32] 아이패드에서 AT&T의 3G 서비스에 가입할 때 AT&T는 아이패드의 SIM 카드에서 ICC-ID를 검색해 가입 중 제공된 이메일 주소와 연결한다.[30][33] AT&T 웹사이트는 아이패드에서 로그인을 쉽게 하기 위해 SIM카드의 ICC-ID를 받아 가입 시 제공된 주소로 이메일 주소 필드를 미리 채운다.[30][33] Gotse Security는 유효한 ICC-ID가 내장된 HTTP 요청을 AT&T 웹사이트에 전송함으로써, 웹사이트가 그 ICC-ID와 관련된 이메일 주소를 공개할 것이라는 것을 깨달았다.[30][33]

2010년 6월 5일, '잭슨브라운'으로 불리는 다니엘 스피틀러는 IRC 채널에서 이러한 취약성과 피싱을 포함한 이용 가능한 방법에 대해 논의하기 시작했다.[8][34][35] Gotse Security는 합법적인 ICC-ID가 입력될 때까지 무작위 ICC-ID가 포함된 HTTP 요청을 AT&T 웹사이트로 전송하여 ICC-ID에 해당하는 이메일 주소를 반환하는 PHP 기반 흉물 포스 스크립트를 구성했다.[30][33] 이 대본은 "아이패드 3G 계정 슬러퍼"[35]로 불렸다.

이어 오언하이머가 뉴스 코퍼레이션아서 시스킨드톰슨 로이터의 임원들과 AT&T의 보안 문제에 대해 접촉을 시도하는 등 고테스 시큐리티는 유출된 정보를 공개하기 위한 적절한 뉴스 출처를 찾으려 했다.[36] 2010년 6월 6일 아우른하이머는 자신의 주장을 검증하기 위해 ICC-ID 중 일부가 복구된 이메일을 보냈다.[34][36] 이 시기의 채팅 기록도 주목과 홍보가 이 단체에 인센티브가 되었을 수 있다는 것을 보여준다.[37]

당초 주장과 달리 이 단체는 AT&T에[37] 통보하기 전 가우커미디어에 보안 결함을 공개했고 유명인사, 정부, 군 등 아이패드 사용자 11만4000여 명의 자료도 공개했다. 이러한 전술은 IT 보안 결함의 적절한 공개에 대한 중요한 논쟁을 불러일으켰다.[38]

아우른하이머는 고테시큐리티가 일반적인 산업 표준 관행을 사용했다고 주장하면서 "우리는 좋은 사람이 되려고 노력했다"고 말했다.[38][39] 전자 프론티어 재단제니퍼 그랜릭도 고세 보안이 사용하는 전술을 옹호했다.[38]

2010년 6월 14일, 테크크런치마이클 아링턴은 그룹에게 공공 서비스 부문에서 크런치 상을 수여했다. 매년 열리는 크런치 시상식 밖에서 크런치가 수상된 것은 이번이 처음이다.[40][41]

이후 FBI는 이 사건에 대한 수사를 개시해 2011년[10] 1월 형사 고발과 아우른하이머의 자택 압수수색으로 이어졌다.[42] 이번 수색은 AT&T 조사와 관련이 있었으며 아우른하이머는 이후 구금되어 주 마약 혐의로 보석으로[43] 풀려났다가 나중에 취하되었다.[44][45] 보석으로 풀려난 후, 그는 자신의 집 수색의 적법성과 국선 변호인의 출입을 거부하는 것에 대해 항의하고 이의를 제기하라는 개그 명령을 어겼다. 그는 또한 법적 비용을 줄이기 위해 페이팔을 통해 기부를 요청했다.[16][46] 2011년 법무부는 그에게 허가 없이 컴퓨터에 접근하기 위한 공모 혐의 1건과 사기 혐의 1건을 부과할 것이라고 발표했다.[45] 공동 피고인 다니엘 스피틀러는 보석으로 풀려났다.[47][48]

2012년 11월 20일 아우른하이머는 신원 사기 1건과 무단으로 컴퓨터에 접근하려는 음모로 유죄판결을 받고 트위터로 판결에 항소하겠다는 을 밝혔다.[49][50] 판결에 함께 참석한 친구인 알렉스 필로소프는 트위터를 통해 아우른하이머가 "최소한 90일이면 석방될 것"이라고 판결할 때까지 보석으로 풀려날 것이라고 밝혔다.[51]

2012년 11월 29일, 아우른하이머는 와이어드 매거진에 "잊어버려라 - 해커들은 보안 구멍을 스스로 지켜야 한다"라는 제목의 기사를 작성했다. 이 기사는 제로 데이 악용에 대해 "사회 정의를 위해 그것을 이용할" 개인들에게만 공개하는 것을 옹호했다.[52]

2014년 4월 11일, 제3서킷은 뉴저지에서의 장소가 부적절하다는 근거로 아우른하이머의 유죄판결을 무효로 하는 의견을 발표했다.[53][54] 심판들은 사이트 접속의 합법성에 대한 실질적인 질문을 제기하지 않았다.[55] 그는 4월 11일 늦게 출소했다.[56]

기타 업적

2011년 5월 Gotse Security는 여러 Linux 배포에 영향을 미치는 DoS 취약성을 공개했는데, Gotse Security는 이 그룹이 긴 고급 포장 도구 URL이 컴피즈를 충돌시킬 수 있다는 것을 발견한 후 공개하였다.[57]

2012년 9월, Gotse Security는 마이크로소프트로부터 온라인 서비스 확보를 도운 공로를 인정받았다.[9]

참조

  1. ^ Tate, Ryan (June 9, 2010). "AT&T Fights Spreading iPad Fear". Valleywag. Gawker Media. Archived from the original on July 15, 2010. Retrieved October 17, 2010.
  2. ^ a b c d Kaiser, Leon (January 19, 2011). "Interview: Goatse Security on FBI Charges Following AT&T iPad Breach". DailyTech (Interview: Transcript). Interviewed by Mick Jason. Archived from the original on March 31, 2014. Retrieved January 21, 2011.
  3. ^ a b c Dowell, Andrew (June 17, 2010). "Programmer Detained After FBI Search". The Wall Street Journal. Dow Jones & Company, Inc. Retrieved October 11, 2010.
  4. ^ a b c d e "Team". Goatse Security. Goatse Security. June 14, 2010. Retrieved September 22, 2010.
  5. ^ a b Chokshi, Niraj (June 10, 2010). "Meet One of the Hackers Who Exposed the iPad Security Leak". The Atlantic. The Atlantic Monthly Group. Retrieved September 16, 2010.
  6. ^ Keizer, Gregg (June 17, 2010). "iPad hacker arrested on multiple drug charges after FBI search". Computerworld. Computerworld Inc. Retrieved September 16, 2010.
  7. ^ Mick, Jason (June 14, 2010). "AT&T Apologizes to iPad Customers, We Reveal Hackers' Locales". DailyTech. DailyTech LLC. Retrieved September 16, 2010.
  8. ^ a b Bilton, Nick; Wortham, Jenna (January 18, 2011). "Two Are Charged With Fraud in iPad Security Breach". The New York Times. Retrieved January 21, 2011.
  9. ^ a b "Security Researcher Acknowledgments for Microsoft Online Services". Microsoft. Retrieved October 19, 2012.
  10. ^ a b 미국 지방 법원 — 도켓 주 뉴저지 지방 법원: MAG 11-4022 (CCC) 2011년 1월 13일 법원에 제출
  11. ^ "Clench, our way of saying "screw you" to SSL PKI forever". Goatse Security. Goatse Security. September 8, 2010. Retrieved October 29, 2010.
  12. ^ Lawson, Nate (September 8, 2010). "Clench is inferior to TLS+SRP". root labs rdist. Nate Lawson. Retrieved October 29, 2010.
  13. ^ a b Ragan, Steve (June 10, 2010). "AT&T loses 114,000 e-mail addresses via scripting error". The Tech Herald. WOTR Limited. Archived from the original on November 18, 2011. Retrieved September 28, 2010.
  14. ^ Eunjung Cha, Ariana (June 12, 2010). "Apple's iPad security breach reveals vulnerability of mobile devices". Washington Post. Retrieved April 6, 2011.
  15. ^ Kirsch, Cassandra (2014). "The Grey Hat Hacker: Reconciling Cyberspace Reality and the Law" (PDF). Northern Kentucky Law Review. 41: 386.
  16. ^ a b AT&T 아이패드 '해커'는 존 레이든 경찰에게 호통을 치기 위해 개그 명령을 어긴다. 2010년 7월 7일
  17. ^ Tate, Ryan (June 10, 2010). "Apple's iPad Breach Raises Alarms". All Things Considered (Interview: audio / transcript). Interviewed by Melissa Block. National Public Radio. Retrieved September 16, 2010.
  18. ^ http://security.goatse.fr/compiz-denial-of-service-vulnerability
  19. ^ Constantin, Lucian (January 30, 2010). "Firefox Bug Used to Harass Entire IRC Network". Softpedia. Softpedia. Retrieved September 19, 2010.
  20. ^ Goodin, Dan (January 30, 2010). "Firefox-based attack wreaks havoc on IRC users". The Register. Situation Publishing. Retrieved September 19, 2010.
  21. ^ Goodin, Dan (June 9, 2010). "Security gaffe exposes addresses of elite iPaders". The Register. Situation Publishing. Retrieved September 19, 2010.
  22. ^ a b c Keizer, Gregg (June 14, 2010). "AT&T 'dishonest' about iPad attack threat, say hackers". Computerworld. Computerworld Inc. Retrieved September 18, 2010.
  23. ^ Ragan, Steve (June 14, 2010). "Goatse Security tells AT&T: 'You f---ed up'". The Tech Herald. WOTR Limited. p. 2. Archived from the original on October 3, 2011. Retrieved October 6, 2010.
  24. ^ "CVE-2010-1099". National Vulnerability Database. NIST. March 24, 2010. Retrieved October 6, 2010.
  25. ^ "CVE-2010-1100". National Vulnerability Database. NIST. March 24, 2010. Retrieved October 6, 2010.
  26. ^ "CVE-2010-1101". National Vulnerability Database. NIST. March 24, 2010. Retrieved October 6, 2010.
  27. ^ "CVE-2010-1102". National Vulnerability Database. NIST. March 24, 2010. Retrieved October 6, 2010.
  28. ^ "CVE-2010-1103". National Vulnerability Database. NIST. March 24, 2010. Retrieved October 6, 2010.
  29. ^ a b Goldman, David (June 14, 2010). "Hackers say iPad has more security holes". CNNMoney.com. CNN. Retrieved September 18, 2010.
  30. ^ a b c d e Keizer, Gregg (June 10, 2010). "'Brute force' script snatched iPad e-mail addresses". Computerworld. Computerworld Inc. Retrieved September 18, 2010.
  31. ^ Tate, Ryan (June 9, 2010). "Apple's Worst Security Breach: 114,000 iPad Owners Exposed". Valleywag. Gawker Media. Archived from the original on July 26, 2010. Retrieved September 16, 2010.
  32. ^ Ante, Spencer E. (June 10, 2010). "AT&T Discloses Breach of iPad Owner Data". The Wall Street Journal. Dow Jones & Company, Inc. Retrieved September 26, 2010.
  33. ^ a b c d Buchanan, Matt (June 9, 2010). "The Little Feature That Led to AT&T's iPad Security Breach". Gizmodo. Gawker Media. Retrieved September 22, 2010.
  34. ^ a b 형사 고발 웨이백 머신에 2011년 1월 25일 보관. 미국 지방 법원 – 도켓 주 뉴저지 지방 법원: MAG 11-4022 (CCC) 2011년 1월 13일 법원에 제출
  35. ^ a b Voreacos, David (January 18, 2011). "U.S. Announces Charges for Alleged Hack Into AT&T Servers Via iPad Users". Bloomberg.com. Bloomberg L.P. Retrieved January 21, 2011.
  36. ^ a b McMillan, Robert (December 15, 2010). "AT&T IPad Hacker Fought for Media Attention, Documents Show". PC World. PC World Communications, Inc. Retrieved December 16, 2010.
  37. ^ a b Foresman, Chris (January 19, 2011). "Goatse Security trolls were after "max lols" in AT&T iPad hack". Ars Technica. Retrieved January 22, 2011.
  38. ^ a b c Worthen, Ben; Spencer E. Ante (June 14, 2010). "Computer Experts Face Backlash". WSJ.com.
  39. ^ Leydon, John (July 7, 2010). "AT&T iPad 'hacker' breaks gag order to rant at cops". The Register. Retrieved February 16, 2011.
  40. ^ Arrington, Michael (June 14, 2010). "We're Awarding Goatse Security A Crunchie Award For Public Service". Tech Crunch. Retrieved March 31, 2010.
  41. ^ Patterson, Ben (June 14, 2010). "AT&T apologizes for iPad breach, blames hackers". Yahoo! News. Retrieved March 31, 2010.
  42. ^ Tate, Ryan (June 9, 2010). "Apple's Worst Security Breach: 114,000 iPad Owners Exposed". Gawker.com. Gawker Media. Archived from the original on June 12, 2010. Retrieved June 13, 2010.
  43. ^ Emspak, Jesse; Perna, Gabriel (June 17, 2010). "Arrested Hacker's Web Site Reveals Extremist Views". International Business Times. International Business Times. Retrieved July 11, 2010.
  44. ^ Dowell, Andrew (June 17, 2010). "Programmer Detained After FBI Search". The Wall Street Journal.
  45. ^ a b "Criminal charges filed against AT&T iPad attackers — Computerworld". January 18, 2011.
  46. ^ weev. "Hypocrites and Pharisees". Goatse.fr. Archived from the original on May 24, 2017. Retrieved April 18, 2011.
  47. ^ Voigt, Kurt (January 21, 2011). "No bail for 2nd iPad e-mail address theft suspect". MSNBC.com. Associated Press. Retrieved February 15, 2011.
  48. ^ Porter, David (February 28, 2011). "Suspect in iPad Data Theft Released on Bail in NJ". ABC News. Associated Press. Retrieved March 2, 2011.
  49. ^ Zetter, Kim (November 20, 2012). "Hacker Found Guilty of Breaching AT&T Site to Obtain iPad Customer Data Threat Level Wired.com".
  50. ^ "Twitter status, 3:38 PM - 20 Nov 12".
  51. ^ "Twitter status, 3:32 PM - 20 Nov 12".
  52. ^ Bierend, Doug (November 29, 2012). "Forget Disclosure — Hackers Should Keep Security Holes to Themselves". Wired.
  53. ^ 사례: 13-1816 문서: 003111586090
  54. ^ Kravets, David (April 11, 2014). "Appeals court reverses hacker/troll "weev" conviction and sentence". Ars Technica. Retrieved April 11, 2014.
  55. ^ Hill, Kashmir (April 11, 2014). "Weev Freed, But Court Punts On Bigger 'Hacking vs. Security Research' Question". Forbes. Retrieved April 11, 2014.
  56. ^ Voreacos, David (April 14, 2014). "AT&T Hacker 'Weev' Parties and Tweets as Case Still Looms". Bloomberg. Retrieved April 14, 2014.
  57. ^ Constantin, Lucian (May 16, 2011). "Dangerous Linux Denial of Service Vulnerability Disclosed as 0-Day". Softpedia. Retrieved March 25, 2014.

외부 링크