Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

2017 IoTcube(화이트박스)를 활용한 분석 사례 및 플랫폼 개선 아이디어

4 views

Published on

제1회 보안취약점 자동분석 아이디어 공모전 발표 자료입니다.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

2017 IoTcube(화이트박스)를 활용한 분석 사례 및 플랫폼 개선 아이디어

  1. 1. 2017 보안취약점 자동 분석 아이디어 공모전 IoTcube 를 활용한 분석 사례 및 플랫폼 개선 아이디어 가천대학교 최한동 써드아이시큐리티 이선우
  2. 2. 목차 (Table of Contents) 1. 개요 1. 목적 2. 진단 대상과 주요 점검 항목 2. 진단 과정 1. OpenCV 2. The Sleuth Kit 3. SpiderMonkey 4. FFmpeg 3. 결론 1. 문제점 및 정리 2. 후기 2
  3. 3. 개요 3
  4. 4. 1. 개요 ▪ IoTcube? 4 참고: https://iotcube.korea.ac.kr/
  5. 5. 1. 개요 ▪ White-box Test > HMark 5 참고: https://iotcube.korea.ac.kr/
  6. 6. 1. 진단 대상과 주요 점검 항목 오픈소스 명 오픈소스 URL CVE 코드 OpenCV https://github.com /opencv/opencv CVE-2013-6629 The Sleuth Kit https://www.sleut hkit.org CVE-2012-1571 SpiderMonkey https://developer. mozilla.org/en- US/docs/Mozilla/Pr ojects/SpiderMonk ey CVE-2016-1879 FFmpeg https://ffmpeg.org CVE-2016-1897 CVE-2011-3893 6
  7. 7. 진단 과정 7
  8. 8. 2. OpenCV 진단 과정 OpenCV : 컴퓨터 시각 처리 연산 및 머신 러닝 SW 오픈소스 라이브러리 공식 홈페이지 or GitHub 에 등록된 소스코드 다운로드! 8
  9. 9. 2. OpenCV 진단 과정 9 White-box Test > HMark 이용 소스코드 분석
  10. 10. 2. OpenCV 진단 과정 10 분석 결과물인 오픈소스명.hidx 확인
  11. 11. 2. OpenCV 진단 과정 11 결과물을 IoTcube 홈페이지에 업로드하여 최종 분석 결과 확인
  12. 12. 2. OpenCV 진단 과정 12 취약한 소스코드 & CVE 1건 탐지!
  13. 13. 2. OpenCV 진단 과정 13
  14. 14. 2. OpenCV 진단 과정 14 취약점 분석 결과 개발자에게 전송!
  15. 15. 2. The Sleuth Kit 진단 과정 15 The Sleuth Kit : 파일 시스템 포렌식 증거 수집을 위해 개발된 도구 GitHub 에서 소스코드 다운로드!
  16. 16. 2. The Sleuth Kit 진단 과정 16 White-box Test > HMark 이용 소스코드 분석
  17. 17. 2. The Sleuth Kit 진단 과정 17 취약한 소스코드 3건 & CVE 2건 탐지!
  18. 18. 2. The Sleuth Kit 진단 과정 18
  19. 19. 2. The Sleuth Kit 진단 과정 19 취약점 분석 결과 개발자에게 이메일 전송!
  20. 20. 2. SpiderMonkey 진단 과정 SpiderMonkey : Mozilla 사의 C/C++ 언어로 작성된 오픈소스 자바스크립트 엔진 20
  21. 21. 2. SpiderMonkey 진단 과정 White-box Test > HMark 이용 소스코드 분석 21
  22. 22. 2. SpiderMonkey 진단 과정 22 분석 결과물인 오픈소스명.hidx 확인
  23. 23. 2. SpiderMonkey 진단 과정 23 결과물을 IoTcube 홈페이지에 업로드하여 최종 분석 결과 확인
  24. 24. 2. SpiderMonkey 진단 과정 24 취약한 소스코드 2건 & CVE 1건 탐지!
  25. 25. 2. SpiderMonkey 진단 과정 25 취약한 소스코드 내 함수 확인 1
  26. 26. 2. SpiderMonkey 진단 과정 26 취약한 소스코드 내 함수 확인 2
  27. 27. 2. SpiderMonkey 진단 과정 27 Mozilla 사 버그 리포트 커뮤니티로 이동
  28. 28. 2. SpiderMonkey 진단 과정 28 취약점 분석 결과 커뮤니티에 게시!
  29. 29. 2. FFmpeg 진단 과정 FFmpeg : 멀티미디어 인코드, 디코드, 트랜스코드, 변환, 스트리밍 등이 가능한 크로스 플랫폼 프레임워크 공식 홈페이지 or GitHub 에 등록된 소스코드 다운로드! 29
  30. 30. 2. FFmpeg 진단 과정 30 White-box Test > HMark 이용 소스코드 분석
  31. 31. 2. FFmpeg 진단 과정 31 분석 결과물인 오픈소스명.hidx 확인
  32. 32. 2. FFmpeg 진단 과정 32 결과물을 IoTcube 홈페이지에 업로드하여 최종 분석 결과 확인
  33. 33. 2. FFmpeg 진단 과정 33 취약한 소스코드 2건 & CVE 2건 탐지!
  34. 34. 2. FFmpeg 진단 과정 34
  35. 35. 2. FFmpeg 진단 과정 35 해외 CTF 대회에서도 출제된 CVE-2016-1897 보안 취약점
  36. 36. 2. FFmpeg 진단 과정 36
  37. 37. 2. FFmpeg 진단 과정 취약점 분석 결과 개발자에게 전송! 37
  38. 38. 결론 38
  39. 39. 3. 문제점 및 정리 코드 클론 기반 소스코드 분석 알고리즘? → MD5 해시 값이 임의로 변경된 것을 탐지 39
  40. 40. 3. 문제점 및 정리 그 밖에도… 브라우저 쿠키 관련 홈페이지 에러 .c, .cpp (C/C++ 언어) 형식 파일만 지원해서 Python, JavaScript 등 소스코드 분석 제한됨 40
  41. 41. 3. 문제점 및 정리 (+추가 분석) 프로그램 실행 도중 유니코드 에러 발견! 41
  42. 42. 3. 문제점 및 정리 리버싱 결과, 프로그램 소스코드 내 UTF-8 인코딩 처리 부재가 원인 42
  43. 43. 3. 후기 IoTcube 를 사용하면 누구나 보안 취약점을 찾을 수 있습니다! 43
  44. 44. 감사합니다 최한동 wschd770@gmail.com 이선우 swoo101367@gmail.com

×