1P by GN⁺ | ★ favorite | 댓글 1개
  • URL은 the-pumpkin-eclipse이지만, 제공된 본문은 호박 일식 기사 본문이 아닌 Lumen Technologies의 블로그·뉴스 허브 페이지임
  • 상단 추천 글은 AI로 기업 운영이 바뀌는 상황에서 프로그래밍 가능하고 확장 가능하며 안전한 네트워크가 필요하다는 흐름을 중심에 둠
  • Lumen의 Alkira 인수 계획은 차세대 클라우드 연결성에 필요한 제어 평면을 마련하는 사례로 배치됨
  • 다른 추천 콘텐츠는 프로그래머블 네트워크, Bank of Tennessee의 Lumen·Zoom AI 활용, AWS 글로벌 이벤트 연결성 지원 사례로 이어짐
  • 최신 뉴스와 탐색 영역은 교환 제안·임원 승진·공개매수 결과 같은 회사 소식과 주제·산업·서비스 필터를 함께 제공함

실제로 제공된 페이지의 성격

  • 본문은 Lumen Technologies의 블로그와 뉴스 허브 페이지로, 디지털 전환과 AI 준비성에 관련된 기술 혁신, 전략, 전문성을 모아 보여줌
  • 페이지 구성은 추천 콘텐츠, 최신 뉴스, 콘텐츠 탐색 영역으로 나뉨
  • 원래 URL 경로는 the-pumpkin-eclipse이지만, 제공된 본문에는 호박 일식에 관한 실제 기사 내용이 없음

추천 콘텐츠 흐름

최신 뉴스 항목

콘텐츠 탐색 필터

  • 주제 필터에는 Application Protection, Customer Success, Data Center, DIA, Ransomware, SD WAN, API, Artificial Intelligence, Cloud Computing, DDoS Protection, SASE, ZTNA 등이 포함됨
  • 산업 필터는 Manufacturing, State and Local Government, Technology, Defense Intelligence, Federal Government, Education, Gaming, Healthcare, Retail, Financial Services, Public Safety 등을 제공함
  • 서비스 필터는 Infrastructure services, Connectivity services, Security services, Communication services, Media Entertainment로 구성됨

댓글과 토론

Hacker News 의견들
  • 펌웨어를 담은 플래시 칩의 쓰기 활성화 라인을 가로채서 업데이트를 막고, 메모리에만 상주하는 쓰레기들은 매일 재부팅으로 날려버릴 수 있으면 좋겠음
    20년 전 위성 수신기에서 하던 방식인데, 이제 인터넷에 붙은 모든 장비를 비슷한 전자적 대응책에 취약한 것으로 다뤄야 할지도 모름
    적어도 내 장비라면 업데이트 여부를 감시하고, 업데이트가 발생하면 표시등이 켜지게 해서 정상인지 아닌지 알 수 있게 하고 싶음

    • 이건 이길 수 없는 상황임. 펌웨어 업데이트를 막으면 이번 공격은 막았겠지만, 라우터가 봇넷이 되지 않게 막는 보안 패치도 막히게 됨
      다만 이 사례에서 이해가 안 되는 건 왜 장치를 원래 상태로 되돌릴 수 없었느냐는 점임. 백업까지 포함해 펌웨어 전체를 파괴할 수 있다면 설계가 잘못된 것처럼 보임
    • 쓰기를 거부할 수 있는 SD 카드 에뮬레이션 오픈 하드웨어 프로젝트가 있었음: https://github.com/racklet/meeting-notes/blob/main/community...
      SPI 플래시용 오픈소스 에뮬레이션도 있음: https://trmm.net/Spispy/
      일부 USB 드라이브(Kanguru)와 SSD 인클로저(ElecGear M.2 2230 NVME)는 펌웨어와 물리 스위치로 쓰기를 막을 수 있어서, RAM에서 실행되는 커스텀 라이브 ISO 부팅에 유용함
    • 암시장의 HU 카드를 쓰던 입장에서는 DirecTV가 지능형 지속 위협의 사례였던 셈임. 전에는 그렇게 생각해 본 적이 없었음
    • 소비자용 DSL 솔루션은 잘 모르지만, 케이블 모뎀에서는 펌웨어와 설정을 CMTS가 관리함. 헤드엔드 쪽 기술과 설정이 바뀌면 계속 동작시키기 위해 고객 쪽 변경도 필요할 수 있기 때문임
      케이블 설비와 헤드엔드 장비가 업그레이드·유지보수되면서 주파수 계획, 신호 속도 등이 바뀌므로 설정은 꽤 동적으로 변함
      EEPROM의 쓰기 활성화를 잠그려 하면 결국 모뎀 프로비저닝이 실패할 가능성이 큼
    • 퍼스트파티 악성코드”라고 부를 만함
  • 기사에는 흥미로운 세부 내용이 부족함. 어떻게 침입했는지, 이 라우터들이 기본으로 열린 포트와 서비스를 갖고 있고 인터넷에 의미 있게 응답하는지 궁금함
    서로 다른 펌웨어 버전을 가져와 비교해볼 수도 있지 않나?
    OpenWrt에 벤더 SDK를 얹는 흔한 방식을 쓰는 것처럼 보임: https://forum.openwrt.org/t/openwrt-support-for-actiontec-t3...
    흥미로운 건 벤더가 악성 또는 깨진 업데이트를 보냈을 가능성이 추측된다는 점임: https://www.reddit.com/r/Windstream/comments/17g9qdu/solid_r...
    그렇다면 ISP의 공식 발표가 왜 없나? 공격이었다면 조사가 있어야 하지 않나? 미국에서 이런 일이 어떻게 처리되는지는 모르지만 정말 이상해 보임
    어쩌면 이 장비들이 봇에 감염돼 있었고, 벤더가 업데이트를 밀어 넣었다가 전부 망가뜨렸을 수도 있음
    아니면 기사처럼 랜섬까지 얽힌 조율된 공격이었고, 모두에게 “결함 있는 펌웨어 업데이트니 침착하라”고만 전달됐을 수도 있음
    고객 입장에서는 보안 사고가 있었는지 알고 싶기 때문에 그것도 꽤 나쁨
    이 장치들의 펌웨어 이미지나 더 자세한 정보 링크가 있는지 궁금함

    • ISP가 공식 발표를 하지 않기로 한 결정은 조사 결과에 근거했다고 보는 게 맞을 수 있음
      교체 비용 중 보험 처리되는 부분이 얼마나 될지도 궁금함. 아마 없을 것 같고, 그러면 ISP는 심각한 사업 지속성 위험을 떠안게 됨. 발표하지 않을 또 하나의 이유가 됨
  • “Lumen은 관측된 C2 노드 75개 중 하나와 통신한 고유 IP 주소를 33만 개 이상 식별했다”는데, Black Lotus Labs의 전역 원격 측정은 양 끝단 어느 쪽도 통제하지 않으면서 어떤 IP가 어떤 IP와 통신했는지 어떻게 아는 건가? 누가, 무엇이 트래픽 로그를 보관하고 있나?
    이들이 할 수 있다면, Tor가 왜 안전한지 다시 설명해줬으면 함. 내 장비에서 양파 라우팅 홉을 거쳐 출구 노드까지 패킷을 따라가는 게 불가능하고, 출구 노드에서는 같은 패킷이 암호화되지 않은 상태로 보인다는 그 설명 말임

    • Black Lotus에서 일하는 친구가 있는데, 이 글을 썼을지도 모름. Black Lotus는 Lumen 소속이고, Lumen은 Level3와 CenturyLink를 포함하는 세계 최대급 백본 트래픽 사업자
      전 세계 트래픽의 엄청난 비율이 그들의 네트워크를 지나가므로, 지표를 포함한 트래픽을 직접 들여다볼 수 있을 것 같음
    • 꽤 환멸이 듦. 이 말은 어떤 방식으로든 IP 지문을 피하는 게 사실상 불가능하다는 뜻인가? Tor나 VM을 써도? 물리 서버를 직접 소유하지 않는 한 결국 운영자를 믿을 수밖에 없는 건가?
    • 이건 백본 라우터에서 꽤 표준적인 기능임. 어차피 TCP 헤더를 하드웨어에서 파싱해야 하고, 흔한 종단점은 O(1) 상태로 추적할 수 있음
      물론 반대편 극단에는 NSA가 핵심 인터넷 링크에 탭을 물려 가능한 모든 것을 기록하고 영원히 보관하는 상황도 있음
    • 아마 Windstream이 일상적으로 고객 트래픽을 로깅하고 있을 것임. 메타데이터(NetFlow/sFlow/IPFIX 등)일 수도 있지만, 어쨌든 이 정보를 가지려면 기록하고 보존하고 있어야 함
      Windstream의 계약 조건에 이 점이 명확히 적혀 있기를 바람
    • Tor는 출구로 나가기 전에 여러 노드를 거치고 트래픽이 섞인다는 점으로 보호된다는 전제임. 네트워크 안에 노드 대부분 또는 전부가 있고 트래픽을 분석할 수 있다면 일부 흐름은 찾을 수 있을지도 모름
      다만 한 노드가 처리하는 트래픽이 많을수록 더 어려워짐
      더 단순한 방법은 그냥 출구 노드를 운영하는 것임.[1]
      1: https://en.wikipedia.org/wiki/Tor_(network)#Exit_node_eavesd...
  • 몇 년 전부터는 듀얼 NIC가 있는 작은 x86 박스를 사서 OpenWRT를 돌리고 있음. 오픈소스이고 지원도 많고 커뮤니티도 좋으며 WireGuard도 지원함
    최신 버전은 Docker 컨테이너 실행도 가능함

    • 하지만 이번 건 DSL 모뎀임. 어느 시점에는 WAN 쪽이 DSL이든 동축이든 광이든 네트워크와 이어지는 인터페이스가 있어야 함
      PCIe 슬롯용 DSL 어댑터조차 사실상 막대형 시스템이라, 케이스만 없을 뿐 “라우터”의 기능과 버그를 모두 갖고 있음
    • 영향을 받은 건 모뎀이어서 OpenWRT로는 보호가 안 됐을 것임
    • 오래된 PC Engines 보드에 OpenBSD를 올려 쓰고 있는데, 약 8년 동안 놀라울 정도로 문제 없이 동작했음
    • “최신 버전은 Docker 컨테이너도 실행 가능”이라니, 잘못될 일이 뭐가 있겠나…
  • 라우터 60만 대에 백도어를 심고 패치 중 하나에 펌웨어 버그를 넣으면 이렇게 됨
    업데이트를 단계적으로 배포할 수는 없었나? 악성코드 제작자와 사용자는 표준 운영 관행을 받아들이기엔 너무 멋진 모양임

    • 그들의 경제적 압박은 다를 뿐임. 벽돌이 되는 건 자기 하드웨어가 아니고, 책임을 질 가능성도 낮음
  • 기사 제목이 무슨 의미인지 모르겠음

    • 이 공격은 2023년 핼러윈 며칠 전에 발생했으니 “호박”이고, 인터넷에 연결된 장치 수가 크게 줄어든 건 일식이 갑자기 어둠을 가져오는 것과 비슷하다는 뜻일지도 모름
      그냥 내 해석이고, 나도 제목이 난해하다고 봄
    • 몇 시간 전에는 더 이해하기 쉬운 제목 아니었나?
  • 제목 때문에 헷갈린 사람들을 위해 말하면, 이건 60만 달러짜리 라우터가 아니라 개별 소형 라우터 60만 대가 파괴됐다는 내용임

  • HN에 카르마 점수가 있다면, 원래의 형편없는 클릭베이트 제목을 개선한 제출자에게 점수를 더 줄 수도 있겠음
    여기서는 작년 10월 사건을 두고 현재 시제를 쓰고 있음

    • 해를 끼치라고 부추기는 것처럼 보이는 제목의 제출물에는 점수를 깎을 수도 있겠음
  • Ars Technica의 관련 기사: https://arstechnica.com/security/2024/05/mystery-malware-des...

    • 그건 관련 기사라기보다 원문을 다시 쓴 글에 가까움. 자체적으로 추가한 세부 정보가 없음
  • 집 네트워크용으로 네트워킹 어플라이언스 형태의 컴퓨터를 샀음. 기본적으로 VT-x를 지원하는 평범한 i3, 팬리스 케이스, 2.5GiB NIC 4개가 달린 장비임
    호스트와 VM 양쪽에 정기 자동 보안 업데이트를 받는 안정적인 Linux 배포판을 설치했고, NIC 3개를 그 VM에 장치 매핑했음. 남은 NIC 하나는 호스트에 SSH로 들어가고 싶을 때를 빼면 아무 데도 연결하지 않음
    VM 안에서 UFW와 Shorewall로 방화벽과 라우팅을 처리함. 뭔가 조정하고 싶으면 그 VM에 SSH로 들어가면 됨. 실수했을 때 쉽게 잘 알려진 정상 상태로 되돌릴 수 있도록 VM 디스크 스냅샷도 있음
    더 저렴한 상용 WiFi 액세스 포인트도 몇 대 사서 집 안에 배치했고, 간섭을 최소화하도록 채널을 설정했음
    이전에는 Apple, Google, ASUS 같은 네트워크 제품을 여러 번 써봤지만 모두 성능과 안정성 문제가 있었음. 예를 들어 Zoom 회의 도중 3~5초 동안 무작위로 패킷이 끊기는 식이라 몹시 짜증났음
    직접 구성한 뒤로는 문제가 전혀 없고, 안전하게 설정되어 있으며 관련 보안 업데이트를 받고 있다는 확신도 더 큼. 요약하면, 같은 유명 안정 Linux 배포판을 쓰는 전 세계의 상당 부분이 동시에 문제가 생기지 않는 한 내 홈 네트워크도 문제가 없음

    • 이번 공격은 모뎀에 영향을 준 것이라, 그렇게 멋진 하드웨어를 갖췄어도 여전히 인터넷이 끊겼을 것임
    • 궁금해서 묻는데, 어떤 네트워킹 어플라이언스형 컴퓨터를 샀는지 알고 싶음