본문 바로가기

Security_News

SHMOOCON 2014: THE "SCIENCE OF CYBER" AND THE NEXT GENERATION OF SECURITY TOOLS Description: Speaker: Paulo Shakarian Governments around the world are investing heavily in the so called "science of cyber" in order to create a rigorous scientific base for the next generation of security tools. But what's going on in the walled-off world of academia? Will this new science eventually lead to more improved security in cyber space? In this talk, I will describe three ongoing pro.. 더보기
EXECUTIVE CYBER INTELLIGENCE REPORT: MAY 5, 2014 This report was prepared by The Institute for National Security Studies (INSS) and The Cyber Security Forum Initiative (CSFI) to create better cyber situational awareness (Cyber SA) of the nature and scope of threats and hazards to national security worldwide in the domains of cyberspace and open source intelligence. It is provided to Federal, State, Local, Tribal, Territorial and private sector.. 더보기
메이플스토리, 게시판에 XSS 취약점 발견...주의 전남대 정보보호119팀 “악성코드 유포 및 CSRF 공격 등 가능 위험”인기 온라인 MMORPG 게임 메이플스토리 자유게시판에 XSS 취약점이 발견됐다. XSS(크로스사이트스크립팅) 취약점은 OWASP TOP10에서도 매년 중요 웹 취약점으로 발표돼 관리자의 각별한 주의가 요구되는 취약점이다. 해당 취약점이 존재할 경우, 악의적 해커는 관리자 권한을 탈취할 수 있으며 악성코드 유포에 의한 좀비PC도 생산할 수 있어 위험하다. 이번 취약점을 지난달 발견하고 데일리시큐에 제보한 전남대학교 정보보호119팀은 “자신이 작성한 글이 단 안에 있어서 주석처리, 쌍따음표 처리 등 여러 방법으로 우회해 자바스크립트 명령어시 자바스크립트 명령어가 실행된다”고 밝히고 “이를 해당업체 고객센터와 KISA에 신고했다. 보다 .. 더보기
아프리카TV, 비밀번호 찾기 실명 유출 가능 취약점 BJ나 이용자 실명 유출될 수 있어 주의해야아프리카TV에 비밀번호 찾기 실명 유출 가능 취약점이 존재한다. 이 취약점이 악용될 경우 아프리카TV BJ들의 익명성이 위협을 받을 수 있고 이용자들의 개인정보 유출로도 이어질 수 있어 보안조치가 필요하다. 해당 취약점을 발견하고 데일리시큐에 제보한 오성규(영양고) 군은 “비밀번호 찾기에 아이핀을 이용한 아이디 비밀번호 조회가 있었다. 이를 Firefox의 부가기능 Httpfox를 이용해 해당 서비스를 이용해 보던 중 szName이 보여 혹시나 실명일까해서 UTF8 디코딩을 이용해 디코딩 해보니 저의 실명이 나오는 것을 알게 됐다”며 “이렇게 szName을 잘라내어 UTF8디코딩을 이용하면 간단하게 어떠한 인증도 거치지 않고 해당 아이디의 실명을 알아낼 수 있는.. 더보기
안드로이드 6가지 신규 취약점 안드로이드 패키지 관리 서비스의 6가지 다른 Pileup 취약점 발견악의적인 소스 애플리케이션의 접근 허용하면 해당 앱 권한 상승안드로이드 기기에서 특정 악성코드에 의해 공격당할 가능성 높아 [보안뉴스=BLACKGUEST] 미국 인디애나 대학과 마이크로소프트 보안 전문가들이 합동으로 발표한 논문에 따르면 구글의 안드로이드 모바일 플랫폼 상에서 6가지 신규 취약점이 발견됐다고 밝혔다. 더욱이 발견된 취약점은 모든 안드로이드 기기에서 특정 악성코드에 의해 공격당할 가능성이 현저히 높은 것으로 전해졌다. 이는 안드로이드 시스템상의 ‘Pileup’ 취약점으로 ‘Pileup’는 업데이트부터 권한상승까지의 약어이다. 우선 안드로이드 시스템을 업그레이드한 후 악의적인 소스가 포함된 애플리케이션 접근을 허용하게 되면 .. 더보기
MBN, 보안도 소홀 MBN(http://mbn.mk.co.kr/)에서 이번엔 보안취약점 문제가 제기됐다. 우리나라 대표적인 종편 방송사중 하나인 MBN에서 XSS(Cross Site Scripting) 취약점이 발견된 것. 본지의 통보로 현재는 조치가 완료된 상태이지만, 허술한 보안관리에 따른 비판은 피할 수 없게 됐다. ▲ [사진1] 스크립트 실행 XSS 취약점은 사용자가 입력하는 파라미터를 검증하지 않아 발생하는 것으로, OWASP Top 10에도 포함될 정도로 매우 위험한 취약점이다. OWASP Top 10은 국제 웹보안 기구 OWASP에서 3년에 한 번씩 웹과 관련된 공격 중 영향력이 큰 공격을 위험성이 높은 순서대로 1위부터 10위까지 정해놓은 것이다. 이번 취약점을 제보한 화이트해커그룹 락다운(LockDown)의.. 더보기
f8: 익명 로그인, 업데이트된 페이스북 로그인 소개 f8: Introducing Anonymous Login and an Updated Facebook Login Today at f8, we announced Anonymous Login, a brand new way to log into apps without sharing any personal information from Facebook, along with a new version of Facebook Login with even better privacy controls.People tell us they’re sometimes worried about sharing information with apps and want more choice and control over what persona.. 더보기
캐나다, 법정손해금제도 도입한 디지털 개인정보보호법 개정안 검토 개요캐나다의 산업부 장관 제임스 무어(James Moore)는 PIPEDA를 기반으로 디지털 개인정보보호법(Digital Privacy Act) 개정안 발표(‘14.4.8) ※ PIPEDA : 개인정보보호 및 전자 문서법, Personal Information Protection and Electronic Documents Act주요내용개인정보의 도난 또는 분실 사건 발생 혹은 그러한 위험에 노출 시 기업은 소비자와 개인정보보호 감독관에게 보고해야하며, 이를 따르지 않는 기업의 경우 최대 10만 달러의 벌금 부과 가능 - 새로운 개정안에 의하면 기업은 개인정보보호감독관의 요청에 따라 모든 개인정보 유출 사고에 대한 기록을 보유해야 하며, 정보보안 유출 기록을 고의적으로 유지하지 않거나 은폐하는 경우 역시.. 더보기
라이브 운영체제 테일스 1.0 발표 5년간의 개발끝에 데비안 기반의 운영체제 테일스(Tails) 1.0이 발표되었다. 테일스는 라이브 OS이며, 이 말은 하드디스크대신 이동식 미디어로부터 부팅이 된다는 것이다. 모든 데이터는 토르(Tor) 익명 네트워크를 통해 전송되며, 암호 및 다른 익명성 도구를 사용하여 검열 및 도청을 예방한다. 테일스는 에드워드 소노우덴이 기자들과 통신할 때 익명성을 유지하기 위해 사용한 운영체제라고 보도되었다. 테일스 1.0은 실제 2009년 6월 23일 부터 발표한 36번째 안정된 버전이다. 이 때는 앰네지아(Amnesia)라는 이름으로 발표되었다(테일스는 The Amnesiac Incognito Live System)의 약자이다.)http://www.theregister.co.uk/2014/05/01/secur.. 더보기
교통신호센서, 인증 암호없이 데이터 전송 미국 주요 도시 및 다른 나라에서 사용되고 있는 일부 교통 신호 시스템이 공격에 취약하다. 이 취약점은 신호등을 통제하는 시스템에 있는 것이 아니라 데이터를 교통 센터로 전송하는 길에 내장된 자기 센서에 존재한다. 데이터는 무선으로 접속점(AP) 및 피더로 전송되며, AP와 피더는 데이터를 교통신호 제어기로 보낸다. 데이터는 암호화되지 않고, 인증 메커니즘을 사용하지 않은채 전송된다. 그래서 시스템이 신호를 통제하기 위해 직접적으로 조작될 수 없지만, 교통 신호에 문제를 일으킬 수 있는 잘못된 데이터가 전송될 수 있다.http://arstechnica.com/security/2014/04/hacking-traffic-control-gear-could-cause-gridlock-and-chaos/ http.. 더보기

티스토리툴바