웹 어플리케이션 보안 연구단체인 OWASP가 최근 API 보안에 관한 새로운 프로젝트를 시작해 진행 중이다. 5월 20일 미국 뉴올리언스에서 열린 놀라콘(NolaCon) 보안 컨퍼런스에서 OWASP의 데이비드 쇼는 API 보안 위험과 위협 완화 정보 제공을 위하여 API 보안 체크리스트 Top 10 OWASP 프로젝트를 시작했다고 발표했다. Top 10 리스트는 미국 및 호주 클라우드 보안회사 버그크라우드(Bugcrowd)의 데이터와 산업 설문 피드백, 언론 보도 주요 […]
Category: News
1백만대 컴퓨터 온라인광고 사기 위해 해킹돼
1백만대에 가까운 윈도우 컴퓨터가 특정 맬웨어에 감염되어 온라인 광고 사기에 이용되고 있는 것으로 전해졌다. 이 맬웨어에 감염된 컴퓨터에서 구글, 야후, 빙 등으로 검색하면 가짜 검색 결과 페이지가 표시된다. 루마니아 보안회사 빗디펜더가 5월 16일 자사 공식 블로그에 발표한 보고서에 의하면 Redirector.Paco라고 불리는 이 맬웨어는 애드센스 프로그램 사기로 부정 수입을 올리기 위해 제작되었고, 2014년 9월 처음 등장한 […]
피니어스 피셔, 해킹 실전 담은 동영상 공개
[doll님 曰] 완전 실전이네요. 재미납니다. 노래도 좋습니다. 이탈리아 해킹팀 해킹으로 유명한 피니어스 피셔가 5월 17일 스페인 경찰 노조 서버를 해킹해 데이터를 빼내는 실전을 담은 동영상을 공개했다. 해킹한 서버는 스페인 자치주 카탈루냐 경찰 노조(Sindicat De Mossos d’Esquadra) 시스탬으로 경찰 직원들의 이름, 은행 정보, 세부 개인정보 등을 포함, 거의 모든 민감한 정보를 빼냈다. 피니어스 피셔는 경찰들이 가난한 […]
실크로드 3.0 컴백
실크로드가 돌아왔다. FBI와 국제 수사기관의 공조로 그동안 2번이나 폐쇄되었던 실크로드가 5월 7일 “실크로드 3.0″이라는 새로운 이름으로 등장했다. 현재 회원 가입을 받고 있으며, 훔친 데이터, 익스플로잇, 봇넷, 마약, 무기 등 거래가 이미 시작된 상태다. 이 소식은 레딧을 통해 전해졌다. 실크로드 3.0 운영자는 Crypto Market 운영자과 동일한 인물로, 그동안 보안 업그레이드를 하느라 몇달 동안 문을 닫아야 했으며 […]
獨, 연방의회 해킹은 러시아 정부 소행
2015년 5월 8일, 독일 연방의회 의사당 기술지원 센터에 117 핫라인 전화벨이 울렸다. 담당자가 전화를 받자 여직원의 다급한 목소리가 들려왔다. 키보드로 액센트가 입력되지 않는다는 것이다. 예를 들어 “René”라는 이름을 입력하려고 키보드를 눌러도 액센트만 입력이 안된다. 트로이 감염이 의심되는 대표적인 증상이었다. 조사가 시작되었고 독일 연방의회 해킹 사고는 이렇게 해서 세상에 알려졌다. 메르켈 총리 컴퓨터와 이메일 데이터도 도난당했다는 […]
페이스북, 캡쳐더플래그(CTF) 소스 공개
페이스북이 캡쳐더플래그(CTF) 플랫폼 소스코드를 공개한다고 발표했다. 페이스북 위협기반시설팀 소프트웨어 엔지니어 굴샨 싱은 현지 시간 5월 11일 페이스북 공식 블로그를 통해 CTF 플랫폼을 오픈소스로 깃허브에 공개했다며 누구나 쉽게 보안 교육 목적으로 사용할 수 있기를 바란다고 밝혔다. CTF는 해커나 보안 전문가들이 팀을 이루어 주어진 문제들을 풀어내 우승자를 가리는 시합으로 미 라스베가스에서 열리는 데프콘 보안 컨퍼런스가 주최하는 CTF가 […]
방글라데시 중앙은행 해킹, 북한 개입 증거 발견
방글라데시 중앙은행 8천 1백만 달러 불법 인출 사건에 북한과 파키스탄 그리고 제3국이 개입한 증거가 해킹된 시스템에서 발견된 것으로 전해졌다. 블룸버그誌는 이 사건을 수사 중인 수사관 2명의 말을 인용, 방글라데시 은행이 이 사건 수사를 위해 고용한 미국 보안회사 파이어아이(FireEye) 보안 연구원들이 포렌식 수사를 벌인 결과 해킹 그룹의 3개의 디지털 흔적을 발견했다고 전했다. 수사관들에 의하면 총 해킹 […]
레드팀 해커들, 발전소 서버실 침입 비법 공개
[mgc6611님 曰] 흔히들 침투 테스트 하면 시스템 침입만 떠올리고 물리적 침투 테스트는 생각하지 않는 경향이 있죠. 미국 IT 전문매체 Tech Insider의 해커 동행 취재 기사는 독일, 우크라이나 등 국가 주요기반시설 ICS가 위협받는 요즘 우리에게 많은 과제를 던져 주는 것 같습니다. 웬만한 액션 영화보다 재미납니다! [기사 요약] 최근 Tech Insider 기자는 레드팀 시큐리티社 해커들과 중서부 지방을 […]
美 ICS-CERT, 주요기반시설 소식지 3/4월호 발간
미국 ICS-CERT는 “ICS-CERT 모니터 3/4월호”를 발행했다. ICS-CERT 모니터는 2달에 한번 발행되는 웹진으로 주요기반시설 보안 관련된 이슈와 ICS-CERT 소식을 전한다. ICS-CERT는 미국 국토안보부 소속 조직으로 담당 업무는 US-CERT와 비슷하지만 대상이 미국 주요기반시설의 산업설비 제어 시스템 사이버보안이라는 점에서 다르다. 미국 정부는 16개 산업 부문을 국가 주요기반시설로 지정하고 있으며, 이 16개 부문(화학, 상업 시설, 통신, 주요제조, 댐, 방위 […]