미국 ICS-CERT는 “ICS-CERT 모니터 3/4월호”를 발행했다. ICS-CERT 모니터는 2달에 한번 발행되는 웹진으로 주요기반시설 보안 관련된 이슈와 ICS-CERT 소식을 전한다. ICS-CERT는 미국 국토안보부 소속 조직으로 담당 업무는 US-CERT와 비슷하지만 대상이 미국 주요기반시설의 산업설비 제어 시스템 사이버보안이라는 점에서 다르다. 미국 정부는 16개 산업 부문을 국가 주요기반시설로 지정하고 있으며, 이 16개 부문(화학, 상업 시설, 통신, 주요제조, 댐, 방위 […]
독일 보안 연구원들이 새로운 PLC 웜을 발표했다. 이 웜은 PC를 감염시킬 필요 없이 오직 PLC에서만 실행된다는 점에서 스턱스넷과 차별화된다. PLC는 반복 작업의 기계화를 회로기판에 프로그램하는 제어장치로 오늘날 공장, 발전소, 정유공장, 송유관, 원자력 발전소 등의 주요기반시설과 항공 우주 인공위성에 이르기까지 광범위하게 사용된다. 3월 31일 싱가포르에서 열린 블랙햇 아시아 보안 컨퍼런스에서 독일 보안 컨설팅社 오픈소스시큐리티 보안 연구원 […]
지난 한해동안 발표된 PoC(Proof of Concept) 익스플로잇은 트위터를 통해 가장 많이 공유된 것으로 전해졌다. 미국 보안회사 리코디드퓨처社가 5월 5일 발표한 연구에 의하면 작년 3월 22일부터 현재까지 온라인상으로 공유된 PoC 익스플로잇은 총 1만2천개로 이는 2014년도에 비해 약 3배 증가한 숫자다. 보고서에 의하면 PoC 제작자들은 트위터를 통해 PoC를 가장 많이 공유했고, 주로 깃허브, Pastebin, 페이스북, 레딧, 딥웹 […]
버튼만 누르면 잠긴 자동차문을 간단히 열 수 있는 해킹툴을 이용한 차량 내부털이 범죄가 미국에서 발생하고 있다. 미국 WSB-TV 채널2는 5월 3일 미국 플로리다주에서 발생했던 한 의문의 자동차 절도 사건을 방송했다. CCTV 분석 결과 도둑은 손에 들고 있는 기기를 작동해 운전석 차문을 열고 차에 들어가 값나가는 전자 제품을 훔친 것으로 보였다. 미국 보험범죄방지국(NCIB) 특별 […]
10세 소년이 인스타그램 취약점을 발견해 페이스북으로부터 1만달러의 보상금을 받았다. 핀란드 신문 일달라흐티(Iltalehti)誌 보도에 의하면 핀란드 헬싱키에 거주하는야니(Jani)라는 이름의 이 소년은 인스타그램 댓글 입력란에 임의의 코드를 삽입하면 다른 사람이 작성한 댓글을 삭제할 수 있다는 취약점을 발견했다고 한다. 인스타그램에 이메일로 알리자 며칠 뒤 인스타그램으로부터 이 취약점을 픽스했다는 연락이 왔고, 야니는 1만달러를 보상금으로 받았다고 일달라흐티誌는 전했다. 포브스誌가 페이스북에 확인해 본 […]
[난누구여긴어디2년째님 曰] 버그 바운티를 주 수입원으로 삼는 보안 스타트업들이 주목받고 있다. Business Insider UK에 해커원(HackerOne)社를 소개하는 기사가 보도되었다. 해커원은 네덜란드 해커들이 2012년 미국에서 공동 설립한 미국 보안회사로 취약점을 찾아주고 받는 보상금이 주 수입원이다. 실력에 자신있고 보안 컨설팅에 지쳤다면 전세계 잠재 고객을 대상으로 전세계 해커들과 겨루는 버그 바운티는 어떨까? [기사 요약] 이 회사 공동 설립자 요버트 아브마(Jobert Abma)와 […]
미국 정부는 어떻게 전세계 수백만명이 사용하는 익명화 소프트웨어 토르를 해킹해 사용자 신원을 알아내는 걸까? 답은 간단하다. 토르 개발자를 고용했다. 미국 온라인 신문 더데일리닷(The Daily Dot)은 4월 27일 토르 프로젝트 전직 개발자가 FBI를 도와 토르 사용자 신원을 알아내는 맬웨어를 제작했다고 보도했다. 보도에 의하면 미국 베일리 대학교 재학생이었던 매튜 애드만은 2008년 토르 프로젝트에 합류해 토르 브라우저 토르 설정용 […]
화이트햇 시큐리티社가 4월 20일 2015년도 웹해킹 Top 10 리스트를 발표했다. 화이트햇 시큐리티는 미국 보안회사로 2006년부터 보안 커뮤니티가 선정하는 웹해킹 기법을 취합한 리스트를 발표해 왔다. 그 해 발표된 가장 새롭고 창조적인 웹 해킹 기법만 모았다는 점에서 기존 리스트와 차별된다. 2015년도 리스트는 해킹기법 접수(2016.1.11~2.1), 제출된 총 39개에서 15개를 보안 커뮤니티 투표로 선정(2016.2.1~8), 보안 전문가 패널 심사를 통해 총 […]
[scurvy님 曰] 상대방 전화번호만 알면 통화 내용을 도청하고, 문자를 읽고, 위치를 실시간 추적할 수 있는 SS7 취약점 시연이 CBS에 방송되어 다시금 주목을 받고 있다. SS7은1975년 처음 개발된 모바일폰 네트워크를 연결하는 글로벌 시스템으로 통화, 문자, 요금 청구, 휴대폰 로밍에 필요한 정보 교환에 사용된다. SS7에는 취약점이 존재하며, 이 취약점을 이용하면 공격자는 상대방 전화번호만 알면 통화를 실시간 도청하고, 문자를 […]
