COVID-19 연락처 추적: 보안 코딩 상황은 무엇입니까?

게시일: 2020년 7월 8일
작성자: 피터 댄히외
사례 연구

COVID-19 연락처 추적: 보안 코딩 상황은 무엇입니까?

게시일: 2020년 7월 8일
작성자: 피터 댄히외
리소스 보기
리소스 보기

이 문서의 버전은 원래 DevOps 다이제스트에등장. 여기에 업데이트되고 신디케이트되었습니다.

이 시점에서, 나는 우리 모두가 "이 전례없는 시대에"라는 문구에 조금 피곤해지고 있다고 확신합니다... 그러나, 이들은 정말 전례없는 시간입니다. 작년 말에 우리는 올해 전 세계적으로 파괴적인 전염병을 물리 치기 위해 경주하고, 우리가 할 수있는 모든 것을 던질 것이라고 누가 생각했을까요? 그것은 거의 웃을 것 같았다, 그리고 우리의 세계적인 현실의 일부보다 새로운 넷플릭스 공상 과학 시리즈의 라인을 따라 더 많은. COVID-19는 정치적 우선순위는 말할 것도 없고 사회 생활, 경제 및 일자리 안보를 완전히 변화시켰습니다.

COVID-19에 대한 반격 중 하나는 기술을 통해 왔으며 많은 국가가 연락처 추적 앱을 출시했습니다. 호주는 싱가포르의 트레이스투에 모델로 한 COVIDSafe를 보유하고 있습니다. 홍콩, 대만, 중국, 한국, 이스라엘, 독일은 모두 접촉 추적 기술이 구현되거나 진행 중입니다. 영국은 수만 명의 바이러스 관련 사망자와 높은 감염률로 유럽에서 가장 큰 타격을 입은 지역이었습니다. 앱의 출시가 임박했습니다. 또한 많은 사람들이 비극적으로 목숨을 잃는 데 깊은 영향을 받은 미국은 기술이 출시되었지만, 추적에 대한 국가별 접근 방식은 상황을 매우 복잡하게 만듭니다.

중국과 대만과 같은 국가 통제 국가를 제외하고, 이러한 앱의 사용은 자발적이며, 시민들이 자신의 협정을 다운로드하고 사용하도록 요구합니다. 일부 채택률은 다른 채택률보다 더 성공적입니다. 예를 들어 싱가포르의 TraceTogether 앱은 채택률이 25%로 원하는 용도로 는 매우 비효율적입니다.

연락처 추적 앱의 아이디어는 소리입니다. 이 기술은 잘 작동할 때 핫스팟이 빠르게 드러나고 전염성 바이러스의 확산과 싸우는 필수 구성 요소인 포괄적인 테스트가 발생할 수 있도록 합니다. 그러나 "정부"와 "추적"이라는 단어는 그다지 매력적으로 들리지 않으며, 사람들이 이런 것을 다운로드하는 것이 실제로 그들에게 어떤 의미가 있는지에 대해 신중한 태도를 보이는 것은 당연합니다.

그렇다면 사용자의 주요 관심사는 무엇일까요? 온라인 해설이 가야 할 것이 있다면, 이러한 의구심 중 일부는 다음과 같습니다.

  • 수집된 데이터를 책임감 있게 사용하는 정부에 대한 신뢰 부족
  • 개인 데이터가 사이버 공격으로부터 얼마나 잘 보호될 지에 대한 우려
  • 실제로 수집되는 데이터, 저장 위치 및 대상에 대한 명확성 부족
  • ... 그리고 우리 중 개발자 / 괴짜에 대한, 얼마나 단단히 응용 프로그램은 실제로 구축됩니다.

앱을 빠르게 빌드할 때 항상 약간의 걱정이 되며 이러한 연락처 추적 앱은 레코드 시간에 출시되어야 합니다. 개발자, 보안 요원 및 정부 기관에 는 악몽입니다.

그렇다면 불신이 타당한 반응일까요? 그리고 우리는 우리의 우선 순위로 고려해야 할 사항 assessment COVID-19 연락처 추적 앱 및 최종 사용자 안전? 보안 담당자로서, 내 본능은 물론, 프로그램의 사이버 보안 요소, 즉 코드 베이스가 우리가 모두 (의도의 최고에서) 설치하도록 밀고있어 응용 프로그램에 대한 얼마나 안전한지 드릴 다운하는 것입니다.

대부분의 앱은 서로의 복사본이며 동일한 문제를 상속합니다.

호주의 COVIDSafe 앱은 기본적으로 싱가포르의 TraceTogether 소프트웨어와 마찬가지로 OpenTrace를기반으로 합니다. 그러나 문제는 TraceTogether가 보고된 다양한 문제와 열악한 통풍을 가지고 있으며, 인구의 25%만이 사용자로 선택한다는 것입니다 - 효과적인 데 필요한 75%에훨씬 못 미칩니다. 특히 iOS에서 배터리가 매우 빠르게 소모되는 등 전반적인 성능에 대한 불만이 있었습니다. COVIDSafe는 iOS 버전에서 잠재적인 UX 결함을가지고 있으며, 휴대 전화의 잠금을 해제하고 전경에서 실행되는 앱이 모든 데이터를 올바르게 기록해야합니다.

위의 문제는 성가신 동안, 더 시급한 관심사는 블루투스 취약점이 난무하고 TraceTogether, 또는 호주의 COVIDSafe, 그들에 면역되지 않습니다. 5월 14일, NIST는 COVIDSafe가 서비스 거부 취약점을 가지고 있어공격자가 블루투스 핸드셰이크 거리에 있는 경우 원격으로 앱을 충돌할 수 있다고 보도했습니다. 이를 통해 조직된 공격이 인구밀도가 높은 지역에서 접촉 추적을 방해할 수 있으며, 보안 연구원 리처드 넬슨이 자세히 설명한 것이 가장 유용합니다. COVIDSafe, TraceTogether, 폴란드의 프로테고 및 캐나다의 ABTraceTogether에 영향을 미치는 것으로 알려져 있으며, 모두 OpenTrace의 잘못된 manuData.subdata 호출에서 문제를 상속합니다.

블루투스 기능과 관련된 다른 개인 정보 보호 및 보안 문제도 있습니다. 이 기술이 고유한 ID(TempID)를 통해 인간의 움직임을 추적하고 의미 있는 데이터를 수집하는 데 사용되고 있다는 사실은 필연적으로 약점에 대한 공격자 테스트에 대한 관심이 급증하고, 정확히 수집되는 점, 저장되는 위치, 그리고 얼마나 오랫동안 면밀히 조사해야 한다는 것을 의미합니다.

일부 앱은 이미 복잡한 약점을 일으키는 간단한 오류의 징후를 보이고 있습니다.

호주의 소프트웨어 엔지니어 제프리 헌틀리는 COVIDSafe의 소스 코드를 연구해 왔으며, 슬프게도 최종 사용자에게 반드시 강조되지 않는 문제가 있습니다.

한 가지 중요한 예는 공격자가 장치를 장기 적으로 추적할 수 있도록 하는 개인 정보 침해 논리 오류였습니다. 취약한 사용자에게 엄청난 위험을 초래하는 것은 물론 앱 자체의 개인 정보 보호 정책에 위배됩니다.

이러한 논리 취약점은 5월 14일 현재 패치되었지만, 헌틀리 씨가 보고한 후 17일 동안 이 취약점이 패치되지 않은 상태로 남아 있다는 점에 유의해야 합니다. 그와 멋진 보안 커뮤니티의 다른 구성원은 여기에 COVIDSafe 응용 프로그램과 관련된 CvEs를 추적하고 있습니다.

헌틀리가 지적하는 한 가지는, 포스트 패치, 심지어 수정은 무능력의 흔적을 보여줍니다. 그의 공개 로그에서,그는 패치가 단순히 결함이있는 캐시를 삭제하는 대신 논리를 추가하는 것을 포함 노트, 후자는 훨씬 더 강력한 구제 되는. 둘 다 작동하지만 라이브 솔루션은 기교가 부족합니다 - 이러한 중요한 응용 프로그램에 대한 우려.

우리는 소스 코드를 통해 모공과 문제를 강조하기 위해 자신의 시간과 전문 지식을 사용하여 사회의 부지런한 구성원이 있지만, 그들의 작업은 코드가 처음에 오픈 소스 인 경우보다 훨씬 더 어렵게된다. 28개의 앱이 여전히 보안 연구원에게 공개되지 않습니다.

안전한 코딩은 결승선에서 우리를 계속 여행합니다.

나는 확실히 과로 한 개발자와 공감 할 수 있지만 - 뿐만 아니라 전염병의 중간에 생명을 구하는 응용 프로그램을 이탈해야하는 매우 특이한 상황 - 위의 본질적으로 공동 코드 베이스무엇에 몇 가지 간단한 취약점이 사용자의 수백만에 대한 중요한 문제를 철자 할 수 있음을 강조해야한다.

나는 대부분의 사람들이 좋은 시민이되고 싶어 생각하고 싶습니다, 응용 프로그램을 지원, 모든 사람에게 접촉 추적이 끔찍한 바이러스의 발병을 제어의 가장 좋은 기회를 제공하고 싶습니다. 나도 이것을 달성하는 데 도움이 될 수있는 기술을 지원하고 있지만, 여러 가지 면에서 이것은 전 세계 개발자에 내재 된 보안 코딩 원칙의 일반적인 부족을 발굴했습니다.

소프트웨어를 신속하게 작성해야 하는 상황에서 실수는 예기치 않은 것이 아닙니다. 그러나 논리 결함, 잘못된 구성 및 코드 주입 오류와 같은 일반적인 보안 취약점은 자원 봉사자 흰색 모자가 코드베이스를 따로 선택한 후가 아니라 코드가 작성될 때 방지 할 수있는 것입니다.

그리고 그건 그렇고, 개발자의 잘못이 아닙니다. 그들은 안전한 코딩에 대한 기술이 거의 없는 고등 교육을 떠나고, 경력에서 KPI는 거의 항상 기능 기능과 전달 속도와 관련이 있습니다 - 보안 부분은 다른 사람이 완료되면 처리하는 것입니다. 우리는 빠른 속도로 보안 코딩의 최종 상태에 도착해야하고, 지금은 이러한 응용 프로그램을 구축 부서에서 지진 문화 변화를 만들 수있는 시간이 아니지만, 그것은 우리의 디지털 위험 영역이 확장되고 있음을 적시에 알림, 그들은 보안 모범 사례에 대한 책임을 공유 할 수있는 도구와 지식을 부여하는 경우 차이를 만들기 위해 극 위치에있습니다.

앱을 다운로드해도 안전한가요?

여기에 일이있다 : 나를 위해, 보안 사람, 나는 응용 프로그램의 혜택이 문제를 보다 큽니다 결론에 도달했습니다. 위의 취약점이 이 소프트웨어에 존재하는 것은 이상적이지 않지만 무기화되는 것이 미치는 영향은 최악의 시나리오입니다. 현재, 접촉 추적은 확산을 제어하고 병원 입원의 흐름을 형태소 분석하며 가능한 한 안전하게 서로를 유지하는 데 전 세계의 의료 영웅을 지원하는 중요한 요소입니다.

소프트웨어 빌드에서 기본적으로 보안 모범 사례를 제정할 때 갈 길이 멀다는 점을 강조하는 역할을 하며, 대중이 정보에 입각한 의사 결정을 내리는 데 필요한 정보를 가지고 있다는 것이 중요합니다.

우리 가족과 나는 그것을 계속 사용할 것입니다, 우리는 우리의 안드로이드 패치와 최신 유지와 경계 남아 있지만, 우리 모두가해야.

리소스 보기
리소스 보기

저자

피터 다뉴

피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

COVID-19 연락처 추적: 보안 코딩 상황은 무엇입니까?

게시일: 2020년 7월 8일
By 피터 댄히외

이 문서의 버전은 원래 DevOps 다이제스트에등장. 여기에 업데이트되고 신디케이트되었습니다.

이 시점에서, 나는 우리 모두가 "이 전례없는 시대에"라는 문구에 조금 피곤해지고 있다고 확신합니다... 그러나, 이들은 정말 전례없는 시간입니다. 작년 말에 우리는 올해 전 세계적으로 파괴적인 전염병을 물리 치기 위해 경주하고, 우리가 할 수있는 모든 것을 던질 것이라고 누가 생각했을까요? 그것은 거의 웃을 것 같았다, 그리고 우리의 세계적인 현실의 일부보다 새로운 넷플릭스 공상 과학 시리즈의 라인을 따라 더 많은. COVID-19는 정치적 우선순위는 말할 것도 없고 사회 생활, 경제 및 일자리 안보를 완전히 변화시켰습니다.

COVID-19에 대한 반격 중 하나는 기술을 통해 왔으며 많은 국가가 연락처 추적 앱을 출시했습니다. 호주는 싱가포르의 트레이스투에 모델로 한 COVIDSafe를 보유하고 있습니다. 홍콩, 대만, 중국, 한국, 이스라엘, 독일은 모두 접촉 추적 기술이 구현되거나 진행 중입니다. 영국은 수만 명의 바이러스 관련 사망자와 높은 감염률로 유럽에서 가장 큰 타격을 입은 지역이었습니다. 앱의 출시가 임박했습니다. 또한 많은 사람들이 비극적으로 목숨을 잃는 데 깊은 영향을 받은 미국은 기술이 출시되었지만, 추적에 대한 국가별 접근 방식은 상황을 매우 복잡하게 만듭니다.

중국과 대만과 같은 국가 통제 국가를 제외하고, 이러한 앱의 사용은 자발적이며, 시민들이 자신의 협정을 다운로드하고 사용하도록 요구합니다. 일부 채택률은 다른 채택률보다 더 성공적입니다. 예를 들어 싱가포르의 TraceTogether 앱은 채택률이 25%로 원하는 용도로 는 매우 비효율적입니다.

연락처 추적 앱의 아이디어는 소리입니다. 이 기술은 잘 작동할 때 핫스팟이 빠르게 드러나고 전염성 바이러스의 확산과 싸우는 필수 구성 요소인 포괄적인 테스트가 발생할 수 있도록 합니다. 그러나 "정부"와 "추적"이라는 단어는 그다지 매력적으로 들리지 않으며, 사람들이 이런 것을 다운로드하는 것이 실제로 그들에게 어떤 의미가 있는지에 대해 신중한 태도를 보이는 것은 당연합니다.

그렇다면 사용자의 주요 관심사는 무엇일까요? 온라인 해설이 가야 할 것이 있다면, 이러한 의구심 중 일부는 다음과 같습니다.

  • 수집된 데이터를 책임감 있게 사용하는 정부에 대한 신뢰 부족
  • 개인 데이터가 사이버 공격으로부터 얼마나 잘 보호될 지에 대한 우려
  • 실제로 수집되는 데이터, 저장 위치 및 대상에 대한 명확성 부족
  • ... 그리고 우리 중 개발자 / 괴짜에 대한, 얼마나 단단히 응용 프로그램은 실제로 구축됩니다.

앱을 빠르게 빌드할 때 항상 약간의 걱정이 되며 이러한 연락처 추적 앱은 레코드 시간에 출시되어야 합니다. 개발자, 보안 요원 및 정부 기관에 는 악몽입니다.

그렇다면 불신이 타당한 반응일까요? 그리고 우리는 우리의 우선 순위로 고려해야 할 사항 assessment COVID-19 연락처 추적 앱 및 최종 사용자 안전? 보안 담당자로서, 내 본능은 물론, 프로그램의 사이버 보안 요소, 즉 코드 베이스가 우리가 모두 (의도의 최고에서) 설치하도록 밀고있어 응용 프로그램에 대한 얼마나 안전한지 드릴 다운하는 것입니다.

대부분의 앱은 서로의 복사본이며 동일한 문제를 상속합니다.

호주의 COVIDSafe 앱은 기본적으로 싱가포르의 TraceTogether 소프트웨어와 마찬가지로 OpenTrace를기반으로 합니다. 그러나 문제는 TraceTogether가 보고된 다양한 문제와 열악한 통풍을 가지고 있으며, 인구의 25%만이 사용자로 선택한다는 것입니다 - 효과적인 데 필요한 75%에훨씬 못 미칩니다. 특히 iOS에서 배터리가 매우 빠르게 소모되는 등 전반적인 성능에 대한 불만이 있었습니다. COVIDSafe는 iOS 버전에서 잠재적인 UX 결함을가지고 있으며, 휴대 전화의 잠금을 해제하고 전경에서 실행되는 앱이 모든 데이터를 올바르게 기록해야합니다.

위의 문제는 성가신 동안, 더 시급한 관심사는 블루투스 취약점이 난무하고 TraceTogether, 또는 호주의 COVIDSafe, 그들에 면역되지 않습니다. 5월 14일, NIST는 COVIDSafe가 서비스 거부 취약점을 가지고 있어공격자가 블루투스 핸드셰이크 거리에 있는 경우 원격으로 앱을 충돌할 수 있다고 보도했습니다. 이를 통해 조직된 공격이 인구밀도가 높은 지역에서 접촉 추적을 방해할 수 있으며, 보안 연구원 리처드 넬슨이 자세히 설명한 것이 가장 유용합니다. COVIDSafe, TraceTogether, 폴란드의 프로테고 및 캐나다의 ABTraceTogether에 영향을 미치는 것으로 알려져 있으며, 모두 OpenTrace의 잘못된 manuData.subdata 호출에서 문제를 상속합니다.

블루투스 기능과 관련된 다른 개인 정보 보호 및 보안 문제도 있습니다. 이 기술이 고유한 ID(TempID)를 통해 인간의 움직임을 추적하고 의미 있는 데이터를 수집하는 데 사용되고 있다는 사실은 필연적으로 약점에 대한 공격자 테스트에 대한 관심이 급증하고, 정확히 수집되는 점, 저장되는 위치, 그리고 얼마나 오랫동안 면밀히 조사해야 한다는 것을 의미합니다.

일부 앱은 이미 복잡한 약점을 일으키는 간단한 오류의 징후를 보이고 있습니다.

호주의 소프트웨어 엔지니어 제프리 헌틀리는 COVIDSafe의 소스 코드를 연구해 왔으며, 슬프게도 최종 사용자에게 반드시 강조되지 않는 문제가 있습니다.

한 가지 중요한 예는 공격자가 장치를 장기 적으로 추적할 수 있도록 하는 개인 정보 침해 논리 오류였습니다. 취약한 사용자에게 엄청난 위험을 초래하는 것은 물론 앱 자체의 개인 정보 보호 정책에 위배됩니다.

이러한 논리 취약점은 5월 14일 현재 패치되었지만, 헌틀리 씨가 보고한 후 17일 동안 이 취약점이 패치되지 않은 상태로 남아 있다는 점에 유의해야 합니다. 그와 멋진 보안 커뮤니티의 다른 구성원은 여기에 COVIDSafe 응용 프로그램과 관련된 CvEs를 추적하고 있습니다.

헌틀리가 지적하는 한 가지는, 포스트 패치, 심지어 수정은 무능력의 흔적을 보여줍니다. 그의 공개 로그에서,그는 패치가 단순히 결함이있는 캐시를 삭제하는 대신 논리를 추가하는 것을 포함 노트, 후자는 훨씬 더 강력한 구제 되는. 둘 다 작동하지만 라이브 솔루션은 기교가 부족합니다 - 이러한 중요한 응용 프로그램에 대한 우려.

우리는 소스 코드를 통해 모공과 문제를 강조하기 위해 자신의 시간과 전문 지식을 사용하여 사회의 부지런한 구성원이 있지만, 그들의 작업은 코드가 처음에 오픈 소스 인 경우보다 훨씬 더 어렵게된다. 28개의 앱이 여전히 보안 연구원에게 공개되지 않습니다.

안전한 코딩은 결승선에서 우리를 계속 여행합니다.

나는 확실히 과로 한 개발자와 공감 할 수 있지만 - 뿐만 아니라 전염병의 중간에 생명을 구하는 응용 프로그램을 이탈해야하는 매우 특이한 상황 - 위의 본질적으로 공동 코드 베이스무엇에 몇 가지 간단한 취약점이 사용자의 수백만에 대한 중요한 문제를 철자 할 수 있음을 강조해야한다.

나는 대부분의 사람들이 좋은 시민이되고 싶어 생각하고 싶습니다, 응용 프로그램을 지원, 모든 사람에게 접촉 추적이 끔찍한 바이러스의 발병을 제어의 가장 좋은 기회를 제공하고 싶습니다. 나도 이것을 달성하는 데 도움이 될 수있는 기술을 지원하고 있지만, 여러 가지 면에서 이것은 전 세계 개발자에 내재 된 보안 코딩 원칙의 일반적인 부족을 발굴했습니다.

소프트웨어를 신속하게 작성해야 하는 상황에서 실수는 예기치 않은 것이 아닙니다. 그러나 논리 결함, 잘못된 구성 및 코드 주입 오류와 같은 일반적인 보안 취약점은 자원 봉사자 흰색 모자가 코드베이스를 따로 선택한 후가 아니라 코드가 작성될 때 방지 할 수있는 것입니다.

그리고 그건 그렇고, 개발자의 잘못이 아닙니다. 그들은 안전한 코딩에 대한 기술이 거의 없는 고등 교육을 떠나고, 경력에서 KPI는 거의 항상 기능 기능과 전달 속도와 관련이 있습니다 - 보안 부분은 다른 사람이 완료되면 처리하는 것입니다. 우리는 빠른 속도로 보안 코딩의 최종 상태에 도착해야하고, 지금은 이러한 응용 프로그램을 구축 부서에서 지진 문화 변화를 만들 수있는 시간이 아니지만, 그것은 우리의 디지털 위험 영역이 확장되고 있음을 적시에 알림, 그들은 보안 모범 사례에 대한 책임을 공유 할 수있는 도구와 지식을 부여하는 경우 차이를 만들기 위해 극 위치에있습니다.

앱을 다운로드해도 안전한가요?

여기에 일이있다 : 나를 위해, 보안 사람, 나는 응용 프로그램의 혜택이 문제를 보다 큽니다 결론에 도달했습니다. 위의 취약점이 이 소프트웨어에 존재하는 것은 이상적이지 않지만 무기화되는 것이 미치는 영향은 최악의 시나리오입니다. 현재, 접촉 추적은 확산을 제어하고 병원 입원의 흐름을 형태소 분석하며 가능한 한 안전하게 서로를 유지하는 데 전 세계의 의료 영웅을 지원하는 중요한 요소입니다.

소프트웨어 빌드에서 기본적으로 보안 모범 사례를 제정할 때 갈 길이 멀다는 점을 강조하는 역할을 하며, 대중이 정보에 입각한 의사 결정을 내리는 데 필요한 정보를 가지고 있다는 것이 중요합니다.

우리 가족과 나는 그것을 계속 사용할 것입니다, 우리는 우리의 안드로이드 패치와 최신 유지와 경계 남아 있지만, 우리 모두가해야.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.