보고서 - https://cyber-itl.org/assets/papers/2018/build_safety_of_software_in_28_popular_home_routers.pdf
Cyber Independent Testing Lab 의 보안 전문가들이 유명한 가정용 라우터 28 개를 분석하여
대부분이 최신 리눅스의 향상된 보안 기능들을 적용하지 않은 것을 발표하였습니다.
이는 많은 라우터가 리눅스를 기반으로 펌웨어로 사용하는 것과 반대되는 경향입니다.
각 라우터 10 개는 미국의 컨슈머 리포트, 18 개는 다른 유명 테크 언론사에서 추천한 제품들입니다.
분석한 보안 기능은 아래와 같습니다.
- ASLR(Address Space Layer Randomizaiont)
- DEP(Data Excecution Prevention)
- RELRO(RELocation Read-Only)
- Stack Guards
위의 기능들은 도입하는데에 어려운 점이 전혀 없으며, 성능을 하락시키는 점이 없어서
현재 데스크탑과 모바일 기기들에는 이미 도입되어있는 기능들이기 때문에
도입과 관련되어 핑계를 댈 수 없는 보안 기능들입니다.
아래는 각 기기들이 사용하는 펌웨어 이미지들에 대해 루트("/") 파티션 이하의 모든 바이너리 파일들을 분석한 결과입니다.
Ubuntu 16.04 는 참조용입니다.
컨슈머 리포트 추천
기타 테크 언론사 추천
이미지에서 Count 는 바이너리 파일의 갯수입니다.
각 보안 기능들의 퍼센테이지는 보안 기능이 적용된 비율을 의미합니다.
보안 기능이 전혀 도입되지 않은 제품들이 존재하며, 같은 제조사임에도 기기마다 보안 기능의 도입 여부가 불일치합니다.
해당 보고서를 작성한 보안 회사는 소비자들에게 구매와 관련되어 더 많은 정보를 제공하여 현명한 소비를 할 수 있게 하는 것이 목적이였다고 전달합니다.
적용할 필요가 없다뇨 무조건 해야죠 보안은 계속 강조해도 부족함이 항상 있는게 보안입니다
걍 쓰면 브루트포스 공격 및 각종 취약점 공격 타겟인데 언젠가 뚷리기 전까지 계속 당하고 있는겁니다 인지하지 못한 상태에서요
해당 보안이 크리티컬 한게 아니면 굳이 적용할 필요가 없죠 IPS 장비들도 모든 취약점에 크리티컬로 걸고 제한을 안하는 이유와 같이.. 취약 하다고 모두 제한 걸지 않는데.. 해당 보안 취약점이 뭔지 알길이 없네요 일단 공유기 업체들이 보안 취약점에 관심이 없긴 하지만... 해당 보안측면에서 딱히 도입 할 필요가 없어 보이네요... 개인 기기에게 해당 될정도로
LiQSmarT
적용할 필요가 없다뇨 무조건 해야죠 보안은 계속 강조해도 부족함이 항상 있는게 보안입니다
LiQSmarT
걍 쓰면 브루트포스 공격 및 각종 취약점 공격 타겟인데 언젠가 뚷리기 전까지 계속 당하고 있는겁니다 인지하지 못한 상태에서요
이런 마인드의 사람들이 전산 관리자리에 들어가면 그냥 '어서옵셔' 밑빠진 독 되는 거.
적용이 힘들다거나 하드웨어에 걸리는 부하가 심해진다던가 하면 위험도/중요도에 따라 해당 보안을 적용할 것이냐 아니냐 하는 선택지가 생기는 것은 사실이겠지요. 하지만 본문글에 따르면 적용하기도 쉽고 성능하락도 없다고 하는데, 그렇다면 적용을 안 할 이유가 없지요.
850l쓰는데 거의 허벌이구만... 디자인이랑 기가랜지원 하는놈 치고 싸서 산거긴하지만...
dep도 없는 건 충격적이긴 하네요. NX bit가 펜티엄4부터 있던가.. 윈도우가 NX bit 없으면 아예 설치되지도 않게 된 지도 꽤 오래된 거 같은데..
근데 공통점이, 다른 건 제조사 성향을 좀 따라가는 것 같아도 dep는 mips 쓴 것들은 하나같이 전멸이네요.