Security_News/해외보안소식 썸네일형 리스트형 구글 연구원, 카스퍼스키 제품 취약점 발견 카스퍼스키 연구소는 자사의 안티바이러스 제품에 존재하는 취약점을 수정하는 긴급 패치를 발표하였다. 이 취약점은 구글 취약점 연구원인 타비스 오만디가 발견하였으며, 타비스는 카스퍼스키에 취약점 정보를 미리 알리지 않고 카스퍼스키 제품에 있는 취약점 익스플로이트를 개발하여 트위터에 공개하였다. http://www.computerworld.com/article/2980726/security/kaspersky-lab-pushes-out-emergency-patch-for-critical-flaw.html http://www.ibtimes.com/kaspersky-fireeye-security-products-cracked-researchers-2085291 더보기 파이어아이 제품에 제로데이 취약점; 3개는 판매 미국의 보안 컨설턴트인 크리스쳔 허만센 및 론 페리스는 파이어아이 킷에 있는 원격 파일 공개 제로데이 취약점을 공개하였다. 이 취약점 이외에 허만센은 로그인 우회 취약점 및 명령어 인젝션 취약점도 가지고 있다고 주장하였다. 그들은 다른 취약점 3개도 있으며, 공개하지 않고 판매할 것이라고 밝혔다. http://www.csoonline.com/article/2980937/vulnerabilities/researcher-discloses-zero-day-vulnerability-in-fireeye.html 더보기 美국무부, 사이버보안 플레이북 제작 미국 국무부는 산업계 전문가로부터 사이버보안 플레이북 개발을 추진한다. 사이버보안 플레이북은 사이버 공격에 대해 명확하게 공격 및 대응 작전을 가이드하는 문서이다. 국무부는 실행가능한 정보보호 작전 활동에 대해 명확한 지침과 가이드를 제공하는 플레이북 제작을 위해 1년간 유급 계약을 체결한다. 제안서은 2015년 9월 11일까지 접수받는다. http://www.nextgov.com/cybersecurity/2015/09/state-department-wants-compile-cybersecurity-playbooks/120251/?oref=ng-channeltopstory https://www.fbo.gov/index?s=opportunity&mode=form&tab=core&id=3d2610566057.. 더보기 美법무부, 스팅레이 사용규정 강화 미국 법무부(DOJ)는 스팅레이(Stingray)로 알려진 핸드폰 추적 및 도청 기술인 기지국 시뮬레이터 기기를 사용하는 것에 대한 새로운 정책을 발표하였다. 정부기관들은 모바일 기기를 추적하는 이 기술을 사용하기 전에 영장을 획득해야 한다. 이 경우에도 정부기관들은 사진과 같은 통신 콘텐츠 수집이 금지되고, 수집한 데이터는 주기적으로 삭제해야 한다. http://thehill.com/policy/national-security/252730-doj-will-demand-warrants-for-cell-spying-tech http://www.computerworld.com/article/2980325/data-privacy/doj-tightens-policies-on-use-of-simulated-cel.. 더보기 XMPP를 통해 통신하는 안드로이드 랜섬웨어 심로커(Simplocker)라는 랜섬웨어는 앱 스토어에서 정상적인 플래쉬 또는 비디어 플레이어인 것을 가장해서 안드로이드 기기를 공격한다. 이 악성코드는 스마트폰 콘텐츠를 암호화한다. 일부 피해자들은 파일을 원상복구하려면 NSA에 벌금을 납부해야 한다는 메시지를 받는다. 심로커는 XML 기반의 메시징 프로토콜인 XMPP을 사용하여 제작자와 통신한다. 이 통신은 정상적인 인스턴트 메시징 트래픽처럼 보이기 때문에, 보안장비들이 탐지하기가 쉽지 않다. http://arstechnica.com/security/2015/09/android-ransomware-uses-xmpp-chat-to-call-home-and-claims-its-from-nsa/ 더보기 RC4 암호표준 더이상 사용안해 마이크로소프트, 구글 및 모질라는 자사 브라우저에서 거의 30년간 사용된 RC4 암호표준을 2016년 초부터 지원하지 않을 것이라고 밝혔다. 최근의 공격에 보면, RC4는 몇일 또는 몇시간안에 깨질 수 있다. 인터넷 엔지니어링 태스크 포스(IETF)는 올해초에 TLS 협상시 RC4 사용을 금지하였다. RC4는 1987년에 설계되었다. http://www.scmagazine.com/aged-rc4-cipher-to-be-shunned-by-security-conscious-browsers/article/436521/ http://www.informationweek.com/software/enterprise-applications/microsoft-google-mozilla-abandon-rc4-crypto.. 더보기 크롬, 9월 1일부터 플래쉬 광고 차단 2015년 9월 1일부터, 구글 크롬 브라우저는 기본으로 "반드시 필요하지 않은" 플래쉬 광고는 차단한다. 플래쉬 광고는 사용자들이 광고와 같이 나타나는 "이 플러그인 실행"버튼을 클릭하는 경우에만 실행된다. 내장 비디오 플레이어 등 "반드시 필요한" 플래쉬 컨텐츠는 자동적으로 실행되도록 허용된다. http://www.theregister.co.uk/2015/08/28/google_says_flash_ads_out_september/ 더보기 美국방 계약업체 새로운 사이버보안 규정 적용 미국 정부 국방 계약업체에 대한 새로운 사이버보안 규정이 8월부터 적용되었다. 이번 규정에서 정부는 과거 계약을 수정하여 새로운 규정을 적용받도록하여 국방 계약업체에서 우려하고 있다. 이번 개정된 "네트워크 침투시험 보고 및 클라우드 서비스 계약" 규정에는 과거 정책보다 더 포괄적인 내용을 제출하도록 하고 있다. 국방부는 국방 정보 보호를 위해 계약업체에 대한 세 종류의 사이버보안 정책을 발표하였다. http://www.nextgov.com/cybersecurity/2015/08/pentagon-tries-harmonize-contractor-data-breach-rules/119498/?oref=ng-channelriver 더보기 NIST, 전력회사 사이버보안 가이드 초안 발표 미국 국립표준기술연구소(NIST)는 미국 전력회사 사이버보안을 위한 "전력회사를 위한 신원 및 접근 관리" 가이드 초안을 발표하였다. 이 가이드는 NIST 국가 사이버보안 혁신센터(NCCoE)에서 접근통제 중앙집중화를 위해 개발하였다. NIST는 이 문서에 대해서 2015년 10월 23일까지 이 문서에 대해서 코멘트를 받고 있다. http://www.nextgov.com/cybersecurity/2015/08/feds-urge-energy-companies-ramp-cyber-protections/119594/?oref=ng-channelriver http://www.computerworld.com/article/2975934/security/us-agency-warns-electric-utilities.. 더보기 中 사이버범죄와 전쟁, 15,000명 구속 중국 사법당국은 사이버 범죄와 연루된 용의자 15,000명을 체포하였다. 중국정부는 "인터넷 정화 작전"이란 이름으로 7월에 시작하였으며 6개월 동안 사이버 범죄 갱단을 제거하고 보안을 강화는 것이 목적이다. 지금까지 74,000건의 국내 사건을 조사하였으며, 대부분은 개인정보 및 금융정보를 해킹, 절도하는 것이다. http://money.cnn.com/2015/08/19/news/china-cybercrime-arrests/index.html 더보기 이전 1 ··· 80 81 82 83 84 85 86 ··· 186 다음