Security_News 썸네일형 리스트형 페이스북 취약점 발견 개요그리스 University of Crete에 재학중인 18살 Anthony Hariton은 아이폰의 Passbook의 취약점을 발견하여 해킹 컨퍼런스에서 발표할 예정취약점을 악용하면 가짜 항공권을 생성해서 원하는 목적지로 공짜 여행을 할 수 있다고 주장 주요내용아이폰 Passbook은 일상생활에서 사용하는 여러 가지 문서들(영화티켓, 항공권, 기프트카드 등)을 한곳에 저장하여 편리하게 사용할 수 있게 하는 어플리케이션 - 항공권을 Passbook이 저장하면, 실제 항공권 없이 Passbook으로 대체 사용 가능Hariton은 노트북과 아이폰만 있으면 정상적인 항공권처럼 보이는 가짜 항공권을 생성하고 약간의 사회공학 기술을 사용하면 일등급 좌석에 착석할 수 있다고 함아직 취약점 내용은 공개되지 않았으며.. 더보기 민간과 정부통계에 큰 차이 버라이존 침해사고 보고서: 민간과 정부 통계에 큰 차이 브라이존 연간 데이터 침해 보고서에 따르면, 정부 공무원이 공공부문에서 보고된 사이버 사고의 절반이상의 원인을 제공하고 있다. 공무원에 의해서 발생한 사고 중 1/3은 다른 사람에게 이메일을 잘못 발송하는 것과 같은 다양한 실수이다. 사고의 1/4은 승인하지 않고, 또는 데이터를 악의적으로 사용하는 것이다. 사고의 1%만이 스파일 활동 및 웹 사이트의 취약점을 악용하는 사례이다. 공공부문의 통계가 왜곡되는 이유중 일부는 공공부문의 모든 사고는 보고되어야 하는 요구사항때문이다. 제이 제콥스는 "실제 통계상으로는 웹 기반 공격 및 첩보와 같은 것에 대해서 굉장히 높다고 생각한다", 하지만 실제로는 그렇지 않다. 민간 분야의 통계는 확실히 다르다. 제조 .. 더보기 인터넷기업 openssl등 오픈소스 프로젝트 자금 지원 인터넷기업, OpenSSL등 오픈소스 프로젝트 자금 지원 주요 기술 기업들이 오픈 소프 프로젝트를 지원하기 위해 리눅스 재단의 '핵심 인프라 추진계획'에 적극적으로 자금지원을 할 것이라고 밝혔다. 하트블리드 취약점으로 인해 OpenSSL을 우선적으로 지원받는다. OpenSSL은 전세계 웹 서버의 60-70%가 사용되고 있으나, OpenSSL 프로젝트는 2,000달러(원화 약 210만원)의 후원금을 받으며, 한명의 정규직 개발자가 관리하고 있다. 구글, 페이스북, 마이크로소프트 등 13개 기술회사들은 향후 3년간 적어도 1년에 10만달러(원화 약 1억 5백만원)을 기부하기로 약속하였다. http://www.nbcnews.com/tech/security/after-heartbleed-tech-giants-t.. 더보기 영국은행 금융기관대상 침투시험 계획 영국은행, 금융기관대상 침투시험 계획 영국은행은 영국 금융기관을 대상으로 대규모 침투시험을 계획하고 있다. 이번 침투시험은 20개 주요 금융기관이 대상이다. 2013년 11월, 영국은행은 사이버 보안 훈련을 실시하였다. 침투시험을 하기로 한 배경에는 2013년 11월에 시행한 "웨이킹 쉐이크 II라는 이름의 사이버 보안 훈련때문에 필요성이 제기되고 있다. 은행에서 침입자에 대해서 보호수준을 시험하는 것은 유용하지만, 전문가들은 조직에서는 내부 위협에 대응하고, 데이터에 대한 접근 통제도 필요하다고 지적하였다. http://www.theregister.co.uk/2014/04/24/ethical_hackers_drafted_to_probe_banks/ http://www.scmagazine.com/repo.. 더보기 사이버 침해사고 9개 종류 구분 사이버침해사고, 9가지 종류로 구분돼 버라이존사는 92%의 침해사고는 9개로 분류될 수 있다고 밝혔다. 9개의 종류는 다른 사람한테 문서를 보내는 것과 같은 실수, 크라임웨어(시스템 통제권을 얻기 위한 악성코드), 내부/권한 오용, 물리적인 절도 및 손실, 웹 애플리케이션 공격, 서비스 거부 공격, 첩보, POS 침입 및 카드 사기이다. 각 산업분야별 72%의 보안 사고는 9개 분류중 3가지에 포함되며, 산업별로 3개 종류는 달라진다. http://www.rcrwireless.com/article/20140422/networks/verizon-report-9-patterns-data-breach-attacks/ 더보기 고속버스터미널 악성코드 분석 2014/04/25 PM 10:00(?)~11:30분경 고속버스터미널 악성코드 유포지 HOST : 121.138.1x4.2xx ISP : KT (KORNET) File : Google_Play.APK 공격 대상 - 농협 - KB국민은행 - IBK기업은행 - 하나은행 - 신한은행 특이점 [1] 스미싱으로만 유포되던 공인인증서 탈취형 악성코드가 웹사이트를 통해 유포됨. [2] APK(.zip)내의 파일헤더들이 모두 망가져있다. 즉, 악성코드를 내려받아 실행하여도 정상 작동 하지 않는 것으로 추정됨. 더보기 서울고속버스터미널 파밍 서울고속버스터미널 홈페이지에서 파밍형 악성코드 유포중입니다. 스마트폰 사용자 대상이며 악성앱명은 Google_Play.APK 입니다. 절대 주의 바랍니다. 더보기 페이스북 취약점신고 보상제도를 이용한 신고건수 급증 개요2013년 Facebook社의 취약점 신고 보상 제도(버그 바운티 프로그램)을 통해 신고된 취약점 건수가 크게 증가고위험도의 버그 및 취약점의 발견이 점차 어려워짐에 따라 보상금 금액을 계속 증가시킬 계획 주요내용2013년 Facebook의 취약점 신고 보상 제도를 통해 신고된 버그 및 취약점 건수가 14,763건으로 2012년 대비 246% 증가함 - 14,763건 중 687건이 유효한 버그 및 취약점으로 인정받아 보상금을 지급함 - 유효한 신고건 중 6% 정도가 고위험도의 버그로 분류됨고위험으로 분류된 버그들의 경우, 신고 접수 후 해당 버그가 수정되는데까지 약 6시간이 소요되었음2013년 취약점 신고에 대한 보상금으로 총 150만 달러를 지급, 330명의 신고자를 대상으로 평균 2,204 달러를.. 더보기 안드로이드 대상 정교한 부트킷 발견 개요중국 보안 연구업체 ‘360 Mobile Security’에서 은폐기법(stealth technique)을 갖춘 안드로이드 부트킷(Bootkit) 악성프로그램 ‘Oldboot B’을 발견 ※ Stealth technique : 악성코드 실행 시 자신의 존재를 숨겨 백신이나 사용자의 발견 또는 제거를 어렵게 하는 기법주요 내용Oldboot.B의 특징 - 백그라운드에서 자동으로 악성 앱 설치 - 시스템 프로세스에 악성모듈 주입 - 악성 코드 앱 제거 방지 - 모바일 안티 바이러스 앱 제거 및 비활성화 - 구성파일을 이미지로 숨기는 스테가노그래피(steganography) 기술 사용Oldboot.B의 감염 및 실행경로 - 안드로이드 장치가 Oldboot.. 더보기 광고 프로그램 위장 백도어 악성코드 유포 확산...주의 현재 감염 시스템 확장 위해 악성코드 활발히 유포중최근 광고 프로그램 등으로 위장해 시스템에 설치되는 백도어가 발견되었다. 해당 백도어가 시스템에 감염되면 공격자 파일 서버에 주기적으로 파일 다운로드를 요청해 추가 공격이 이루어지는 형태다. 이용자들의 각별한 주의가 요구된다. 해당 백도어를 발견하고 상세 리포트를 공개한 NSHC(대표 허영일) RedAlert팀은 “현재까지 추가 공격을 위한 파일 다운로드는 진행되지 않으나 공격자의 파일 서버의 파일 목록이 지속적으로 업데이트 되고 있다”며 “감염이 의심되는 시스템에서는 대응방안에 따른 조치와 백신을 통한 치료가 필요하다”고 강조했다. 보고서에는 악성코드 감염시 접속하는 파일 서버 정보와 경유 서버에 업로드되어 있는 파일 리스트, 악성코드 동작 방식 등 상.. 더보기 이전 1 ··· 185 186 187 188 189 190 191 ··· 220 다음
