Security_News/해외보안소식 썸네일형 리스트형 미국, 중국인민해방군 소속 5명 해킹으로 기소 미국 법무부는 중국인민해방군 소속 5명을 컴퓨터 사기 및 남용죄 공모로 기소하였다. 기소된 5명은 여러개의 주요 미국 회사에 침투하여 가치있는 정보 및 기술 정보 등의 데이터를 훔쳤다. 이번 사건은 미국이 사이버 범죄에 관련하여 외국 정부 인사를 대상으로 한 최초의 법적 조치이다. 이번 조치로 다른 나라들이 미국을 대상으로 유사한 법적 문제를 제기할 것으로 보인다.http://www.washingtonpost.com/world/national-security/us-to-announce-first-criminal-charges-against-foreign-country-for-cyberspying/2014/05/19/586c9992-df45-11e3-810f-764fe508b82d_story.html ht.. 더보기 iBanking: Exploiting the Full Potential of Android Malware Powerful Russian cybercrime gangs have begun to use premium Android malware to broaden their attacks on financial institutions. The tool, known as iBanking, is one of the most expensive pieces of malware Symantec has seen on the underground market and its creator has a polished, Software-as-a-Service business model. Operating under the handle GFF, its owner sells subscriptions to the software, c.. 더보기 美상원, 온라인 광고 보안 강화 요청 미국 상원 국토안보및정부위윈회 보고서에서 온라인 광고 업체에 보안을 강화하라고 요구하였으며, 만약에 업계에서 자체적으로 규제를 하지 않는다면, 연방거래위원회(FTC)가 포괄적인 규제를 고려할 수 있다"고 밝혔다. 이 보고서에는 또한 현재 온라인 광고 관행이 복잡함에 따라 온라인 광고 업계가 악성코드공격에 대한 책임을 회피하도록 하고 있다고 지적하였다. 위원회에는 또한 "서킷 브레이커"를 만들어서 사이트 관리자 및 네트워크 운영자가 악성코드를 확산하는 광고를 탐지하는 경우 광고를 중단할 수 있도록 요구하였다.http://www.theregister.co.uk/2014/05/15/senate_slams_ad_servers_for_security_failings/ http://www.hsgac.senate.g.. 더보기 이란 핵티비스트, 첩보 공격으로 방향 전환 이란에 근거지를 두고 웹 사이트 변조를 한 해킹 단체가 좀 더 심각한 활동으로 방향을 변경하고 있다. 자체적으로 Ajax 보안팀이라고 부르는 이 단체는 5년이상 활동하고 있다. 최근에 이 단체는 서방 국방계약업체 및 이란내 프록시 서비스를 이용하여 이란 파이어월을 우회하고자 하는 이란내 조직을 대상으로 공격을 하고 있다. 이 단체는 스틸러(Stealer)라는 자체 악성코드를 개발하였다. 이 악성코드는 시스템에 접근하기 위해 소프트웨어 취약점을 공격하지 않고, 대신 소셜 엔지니어링을 이용하여 사람들을 속여 컴퓨터에 설치하도록 하는 방식이다.http://www.theregister.co.uk/2014/05/14/iranian_hacktivists_move_into_hardcore_hacking_against.. 더보기 NIST, 핵심시스템 개발자 보안 프로세스 참고 문서 발간 미국 국립표준기술원(NIST)에서는 핵심 시스템 개발자들이 제품 개발 시 처음부터 보안을 구축하도록 하는 가이드(NIST SP 800-160, 시스템 보안 엔지니어링)를 발간하였다. 이 가이드라인은 참고용이며, 미국의 핵심 인프라를 구성하는 시스템을 보호하는 IT 관리 로드맵이 될 것으로 기대하고 있다. 121쪽의 이 초안문서는 시스템 및 소프트웨어 개발의 11개 핵심 기술적인 과정을 기술하고 있다. 이 초안은 2014년 7월 11일까지 공개적인 의견을 받는다. 이 문서의 공동 저자중 한 명은 "이 문서는 보안이 실제로 프로세스에 녹아들어가는 방법을 보여주기 위한 정교화되고 구조화된 프로세스"라고 설명하였다.http://www.scmagazine.com/nist-standard-puts-security-.. 더보기 US 소매업체, 사이버 정보공유센터 발족 미국 주요 소매업체는 표적 공격과 같은 침해사고를 예방하기 위해 공동으로 소매업 사이버 정보공유센터(R-CISC)를 발족하였다. 타겟, 갭, 왈그린 미 JC 페니 등의 회원으로 구성된 이 조직은 회원사간 및 美비밀경호국(USSS), FBI, DHS 및 다른 공공 및 민간 이해관계자와 실시간으로 위협 정보를 공유할 계획이다. R-CISC는 회원들에게 훈련, 교육 미 연구자원을 제공할 계획이다.http://www.scmagazine.com/retailers-join-forces-to-share-threat-intelligence/article/347215/ http://www.computerworld.com/s/article/9248357/Target_Gap_other_retailers_join_to_sha.. 더보기 이전 버전의 Movable Type의 이용에 관한주의 I. 개요 JPCERT / CC에서는 이전 버전 Movable Type을 사용하는 Web 지원 의도가 변조되는 사고보고를 다수 수령합니다. 접수 한 보고서는 Movable Type의 알려진 취약점을 이용한 공격에 악성 파일이 Web 사이트에 설치되거나 Web 사이트의 기존 콘텐 트윗에 공격 사이트로 유도하는 iframe 및 난독 화 된 JavaScript가 가득 꽂혀하는 사례를 확인하고 있습니다. 이번 이전 버전 Movable Type을 사용하는 Web 사이트 변조를 응 사례 모두가 취약점으로 인한 것이라고는 볼 수 없습니다 만, 취성 약점을 내재 한 상태에서 운용하고있는 경우 공격자가 취약점을 찔려 Web 변조 등의 피해를 입을 수 있습니다. 미연 방지의 관점에서 Movable Type뿐만 아니라 OS.. 더보기 Obtaining Passwords from Cisco Wireless LAN Controllers Obtaining Passwords from Cisco Wireless LAN ControllersDuring security analysis, experts often deal with default accounts. Particularly, it is very usual for large companies having several hundred systems. That’s why one of the main requirements is to use complex non-dictionary passwords to comply with security standards and best practices. There are two ways to test the system compliance with t.. 더보기 대만의 기관을 노리는 표적 공격에 대한보고. Microsoft Word에 존재하는 제로 데이 취약점 'CVE-2014-1761'을 이용 취약점 특히 제로 데이 취약점은 공격자가 자주 표적 형 공격의 시작점으로 사용됩니다. Microsoft Word에 존재하는 제로 데이 취약점 ' CVE-2014-1761 '이 바로이 사례에 해당합니다. Microsoft는 2014 년 3 월에 공개 된 " Microsoft 보안 권고 (2953095) "에서이 취약점이" 제한적인 표적 공격 "에 이용되는 것을 인정하고 있습니다. 그런 Microsoft는 4 월 매달 공지에서 취약점 업데이트를 공개했습니다.그러나이 업데이트의 존재에 의해 공격자가 취약점을 이용하는 그칠하지 않았습니다. 트렌드 마이크로는 현재 문제의 취약점을 이용한 표적 공격 캠페인을 확인하고 있습니다.■ 표적 공격 캠페인 "Taidoor"와 관련 당사는 대만의 정부 기관과 교육 기관을 대상.. 더보기 NIST는 정부에서 사용하기 위해 TLS 1.0을 대신 사용 몇 주 전, 과학 기술 (NIST)의 국립 연구소는 조용히 특별 출판물 800-52로 수정 1을 발표 선택, 구성에 대한 지침 및 TLS (전송 계층 보안) 시스템의 도입의 사용 ... . 전송 계층 보안은 인터넷을 통해 보안 통신을 제공하도록 설계되며, 보안 소켓 계층 (SSL)을 기반으로 가상 사설망에서 사용되는 암호화 프로토콜이다.수년에 걸쳐 SSL은 TLS로 변신했다. 먼저 SSL 2.0 (버전 1.0이 공개적으로 발표되지 않았다)이 있었다. SSL 2.0이 발표 된 직후, SSL 3.0이 출시되었습니다. TLS 1.0은 1999 년, RFC 2246에서 정의했다. TLS 1.1. TLS 1.2이 2008 년에 RFC 5256에서 정의 된, RFC 4356에 정의 된 2006 년에 출판되었다... 더보기 이전 1 ··· 157 158 159 160 161 162 163 ··· 186 다음