Google Chromebook - a new class of security risks
We are certainly living in interesting times. It was less than a week ago that a rumor appeared that Apple is going to switch to ARM processors for its next generation of laptops.

우리는 흥미로운 시기에 살고 있다. 애플이 다음세대 컴퓨터를 위한 ARM 프로세서를 개발할 것이라는 루머가 나온지 채 반주가 지나지 않았다.

Obviously, this has very interesting implications for the future of computing and seems to indicate the increasing need for a computing platform that uses less power and that can be used for a day without the need for charging.

확실히 이 현상은 컴퓨터의 미래와 전력과 비용이 필요없는 컴퓨터의 필요성이 증대됨을 묘사한다. 

Earlier today, Google followed up by announcing the Google Chromebook – a netbook (huh, aren’t netbooks dead?) computer concept, built for now by Samsung and Acer around the Atom N750 CPUs. With 2GB of RAM and 16GB of SSD storage, the specifications are somehow low-end, however, this might not be a problem because as Google says in their promo, the web has more storage space than any computer. The price, when these will be available, is believed to be in the range of $400-$500.

최근에 구글은 삼성과 에이서에서 만든 아톰을 장착한 크롬 넷북을 발표하였다(넷북은 죽지 않았나?) 그러나 2GB 램과 16GB SSD 공간은 조금 낮은 사양이다. 하지만, 어떤 컴퓨터보다 많은 공간의 웹 클라우드 서비스 때문에 문제가 되지 않을 것이라고 광고한다. 이 서비스가 사용가능할 때 가격은 400~500달러 사이라 생각한다.

When I saw the announcement, I thought to myself – why would anybody ever buy something like this?

발표를 내가 접했을 때, 왜 이것을 구입할까? 라고 생각하였다.

Low end hardware, more expensive than other netbooks and definitively not as attractive as an iPad?

저사양, 다른 넷북에 비해 비싸며 아이패드에 비해 매력적이지도 않다.

Obviously, the answer here is in the “cloud.” Google Chrome OS is the first commercially available consumer cloud-centric OS. It is designed around the concept of “expendable” terminals that you can lose, drop or simply throw away without fear of losing your data, which is safely stored into the cloud. From this point of view, the operating system could get damaged or even infected with malware and all you have to do is to reinstall it and re-authenticate with the cloud storage to get exactly the same computing experience as before the crash. Here, I would like to make a mention about the “infected with malware” part. Interesting, Google’s promo claims “it doesn’t need virus protection”.

정확하게 정답은 클라우드 이다. 구글 크롬 OS는 먼저 클라우드 기반 OS를 상업화했다. 클라우드에 파일 손실 걱정없이 잃어버릴 수 있는 파일은 클라우드에 저장할 수 있는 확장성을 중심으로 설계했다.
이런 측면에서 본다면, OS가 피해를 입거나 심지어 말웨어에 감염될 수 있고, 클라우드 공간을 다시 설치하는 부분까지는 일반 컴퓨터와 다를바 없다. 하지만 여기에 우리가 말웨어 감염에 관해 조언을 하고 싶다. 흥미로운 것은 구글이 바이러스 보호가 필요없다고 주장한다. 

Sadly, this claim comes at a pretty bad time, since the French company VUPEN Security announced only a few days ago that they’ve cracked the security protections build by Google into Chrome and are now able to infect a computer through a malicious page when it’s browsed.

슬프게도, 이 주장은 안좋게 작용했다. VUPEN 보안팀은 몇일 내로 "우리는 악의적인 페이지를 통해 감염시킬 것이고, 구글 크롬의 보안도 뚫을 것" 이라고 발표하게 된 것이다. 

Google Chrome hacked with sophisticated exploit ]

Of course, some might say, “even if I get infected, I’ll just reinstall, put back my credentials and bye bye virus!”. I agree that is absolutely true – Chrome OS has been designed in such a way that it’s extremely resilient to modifications and has a good self healing capability.

물론 입부는 "바이러스에 감염되어도 재설치하면 모두 원상복귀되겠지" 라고 말할 것이다. 크롬OS는 놀라울 정도의 자신을 회복할 수 있고, 수정할 수 있기 때문에 나도 그 말에 동의한다. 

Several years ago, I wrote an article saying that malware evolves based on three conditions:

몇년 전, 나는 3가지 조건에 따라 진화하는 말웨어 기사를 집필하였다.

  • When hardware and operating system evolve (eg. Windows 95 killed boot viruses)
  • When security defenses change (eg. firewalls killed network worms)
  • When people start using computers in a different way (eg. Social networks)

    하드웨어와 OS가 진화할 때, 보안체제가 바뀌었을 때, 다른 방식으로 컴퓨터를 사용할 때 

With the Chromebook, we have an interesting case, when all these three conditions are met. It’s a (somehow-)new operating system, it has new security defenses into place (self healing, updates) and it’s used in a different way – the data is not on the computer but in the cloud.

3가지 조건 모두가 만족하는 크롬북은 매우 흥미롭다. 새로운 OS이며, 자체회복과 업데이트라는 새로운 방어체계와 클라우드로 데이터를 저장하는 색다른 방식을 사용하였다.

So, what can we expect from a security point of view? Obviously, with all your data being available into the cloud, in one place, available 24/7 through a fast internet link, this will be a goldmine for cybercriminals. All that is necessary here is to get hold of the authentication tokens required to access the cloud account; this is already happening with malware that has become “steal everything” in the past few years. Although the endpoint is now more secure, the situation is that the data is in a more risky place and it will be much easier to silently steal it.

보안측면에서는 어떻게 예상 할 수 있을까? 빠른 인터넷을 통해 24/7을 사용할 수 있는 클라우드 한 공간에 데이터가 저장되는데 이는 범죄자에게는 행운이다. 클라우드 서비스는 곧 우리가 계속해서 클라우드 계정 인증 토큰을 유지해야 한다는 것이고 얼마 지나지 않아 말웨어는 모든 것을 훔칠 수 있다. 결론적으로 데이터가 문제있는 공간에 있는 것은 훔칠 수 있기 때문에 안전해질 필요가 있다는 것이다.

Most of the attacks nowadays focus on infecting the machine and then hiding the presence of the malware for as much time as possible to intercept banking transactions or credit card numbers.

오늘 날, 대부분의 공격은 기기 감염에 초점이 맞추어져 있고, 신용카드 번호나 은행 정보를 훔칠 수 있는 말웨어가 숨어있다.

With Cloud centric OS’es, the race will be towards stealing access credentials, after which, it’s game over. Who needs to steal banking accounts, when you have Google Checkout? Or, who needs to monitor passwords, when they’re all nicely stored into the Google Dashboard?

클라우드 기반 OS는 개인정보유출과 씨름할 것이다. 구글 결제할 떼, 은행 계정을 훔칠 필요가 있는 사람은 누굴까? 혹은 구글 대쉬보드에 접속할 때 누가 암호를 지켜볼 필요가 있을까? 

Of course, this could seem a bit gloomy, but these problems are inherent to any Cloud-centric OS. Earlier today, I got asked by a friend– “How is Chrome OS from a security point of view, better or worse?”

물론 이것은 매우 우울하게 보일 수 있지만 이 문제는 어떤 클라우드기반 OS에나 있는 문제이다. 친구가 나에게 "크롬 OS는 보안 측면에서 좋을까? 나쁠까? 라고 물었다. 

I answered, “It’s better, but much worse.”

나는 "좋지만 더 나뻐" 라고 대답했다. 


+ Recent posts