미국 정부는 앞으로 휴대폰 인증을 사용한 본인 확인을 더이상 이용하지 않게 될 것으로 보인다. 또한 민간 서비스 업체들도 미국 정부의 권고에 따라 휴대폰 인증 대신 다른 수단을 사용할 전망이다. 미국 국립표준기술연구소(NIST)가 최근 발표한 디지털 인증 가이드라인 시안에 의하면 휴대폰 인증은 더이상 안전하지 않으므로 앞으로 발행될 NIST 가이드라인에서 제외될 것이라고 한다. 이 가이드라인은 소프트웨어 업체들의 안전한 서비스 […]
Tag: 취약점
해킹당한 CCTV 수만대, DDoS 공격에 사용돼
해킹당한 수만대의 CCTV로 구성된 대규모 봇넷이 발견되었다. 이 CCTV들은 DDoS 공격에 사용되고 있었다. 사물 인터넷(IoT)은 설계 시 보안이 반영되지 않아 해킹에 취약하다는 지적이 이어지는 가운데 미국 보안회사 스쿠리(Sucuri)는 인터넷에 접속된 25,000대 이상의 CCTV로 구성된 DDoS 공격용 봇넷을 발견했다고 발표했다. 스쿠리社는 DDoS 공격을 받고 있던 한 작은 보석상 웹사이트를 조사하는 과정에서 이같은 사실을 알게 되었다고 밝혔다. […]
글로벌 테러, 요주의 인물 DB, 온라인 유출
전세계 테러리스트 및 요주의 인물 220만명 정보가 포함된 데이터베이스가 온라인상에 유출되었다. 영국의 정보제공기업 톰슨 로이터스社가 전세계 300개 정부 및 첩보기관, 50개 대형은행, 로펌에 제공하는 이 정보는 테러리스트 및 용의자, 잠재적 범죄사 식별과 블랙리스트에 사용되고 있다. 맥용 바이러스 백신 회사 MacKeeper의 보안 연구원 크리스 비커리는 최근 온라인상에서 톰슨 로이터스의 World-Check 데이터베이스를 발견했다. 작성 날짜 2014년 중반인 […]
체크포인트, 맬웨어 Top 10 리스트 발표
5월 한달동안 탐지된 맬웨어는 총 2,300종. Conficker는 전체 맬웨어 공격의 14% 차지. 맬웨어 공격은 지난 3~4월 50% 증가에 이어, 5월에는 15% 증가했다. 이스라엘 보안업체 체크포인트가 6월 21일 “Top 10 Most Wanted Malware” 리스트를 발표했다. 5월 한달동안 체크포인트社가 식별한 공격에 사용된 맬웨어를 순위별로 정리한 목록으로 Conficker로 전체 공격의 14%, Tinba와 Sality는 9%를 차지했다. 전체 공격의 60%에 […]
휴대폰 번호만 알면 페이스북 해킹 가능 시연
휴대폰 인증은 더이상 안전하지 않을 뿐만 아니라 해킹에 사용되어 상대방 전화번호만 알면 페이스북 계정을 해킹할 수 있다! 포브스誌는 6월 15일 러시아 보안회사 포지티브 테크놀로지스사 보안 연구원들의 시연 동영상을 소개했다. 공격에는 SS7 프로토콜 취약점 익스플로잇이 사용되었다. 페이스북 비밀번호를 재설정하려면 가입 시 등록한 이메일이나 휴대폰 문자로 인증번호를 받아 입력하면 된다. 보안 연구원들은 SS7 네트워크를 공격해 공격 목표 […]
라인(LINE), 버그바운티 2016 시작
[doll님 曰] 대한민국 해커님들의 많은 관심과 참여 부탁드립니다! 꾸벅 라인(LINE)이 버그 바운티 프로그램을 6월 2일 15:00부터 실시한다고 발표했다. 라인 메신저 앱 취약점을 신속하게 발견해 사용자에게 보다 안전한 서비스를 제공하기 위한 취지로, 수상자는 취약점의 중요도와 독창성을 기준으로 선정되며, 수상자 본인이 동의하는 경우 명예의 전당에 등재된다. 기간은 무제한으로 한달 주기로 수상자를 선정하는 방식이다. 이번 프로그램은 iOS와 […]
왓츠앱, 텔레그램 SS7 해킹 시연
[mud님 曰] SS7 취약점을 이용한 전화, 문자 해킹은 이제 더 이상 비밀이 아니지만, 메신저 앱 해킹도 가능하다는 것. 알고 계셨나요? 게다가 고가의 장비 대신에 리눅스와 일반에 공개된 오픈소스만으로 가능하다는 것. 이같은 사실이 최초 알려진 건 2013년 12월 한 러시아 보안회사의 화이트페이퍼를 통해서였죠. 물론 상세 정보 공개는 아니었고 자사 보안 서비스 홍보를 위해 약간의 운을 띄우는 수준이었습니다. […]
9만5천 달러 제로데이 취약점, 범죄자 포럼 등장
2016.5월 기준 모든 윈도우 버전에 해당되는 제로데이 취약점 익스플로잇이 러시아의 한 사이버 범죄 포럼에서 9만5천 달러에 판매되고 있다. 보안 전문가들은 이 익스플로잇이 진짜일 가능성이 크다고 보고 있다. BuggiCorp라는 이 판매자는최신 보안 패치를 적용한 윈도우 10 머신에서 익스플로잇을 시연하는 동영상도 제공했다. 러시아어로 작 성된 판매글과 동영상을 분석한 미국 보안회사 트러스트 웨이브에 의하면 이 익스플로잇은 win32k.sys에 존재하는 제로데이 LPE(local […]
보안 연구원, 아이폰앱 가짜앱 바꿔치기 샌드재킹 공격 발표
[mgc6611님 曰] 애플 Xcode로 iOS 앱을 제작해 본 사람이라면 누구나 아는 버그죠. 이런 해킹이 이제야 발표된다는 게 신기할 정도네요. 미국 모바일앱 보안회사 Mi3 시큐리티 수석 아키텍트 칠릭 타미르 연구원은 5월 26일 네덜란드에서 열린 핵인더박스(HITB) 보안 컨퍼런스에서 아이폰에 설치된 스카이프 앱을 가짜 스카이프 앱으로 바꿔치기 하는 시연을 발표했다. 과거에는 애플 iOS용 앱을 개발하려면 본인이나 사업자 인증을 […]