[mud님 曰] SS7 취약점을 이용한 전화, 문자 해킹은 이제 더 이상 비밀이 아니지만, 메신저 앱 해킹도 가능하다는 것. 알고 계셨나요? 게다가 고가의 장비 대신에 리눅스와 일반에 공개된 오픈소스만으로 가능하다는 것. 이같은 사실이 최초 알려진 건 2013년 12월 한 러시아 보안회사의 화이트페이퍼를 통해서였죠. 물론 상세 정보 공개는 아니었고 자사 보안 서비스 홍보를 위해 약간의 운을 띄우는 수준이었습니다. […]
Tag: 해킹
9만5천 달러 제로데이 취약점, 범죄자 포럼 등장
2016.5월 기준 모든 윈도우 버전에 해당되는 제로데이 취약점 익스플로잇이 러시아의 한 사이버 범죄 포럼에서 9만5천 달러에 판매되고 있다. 보안 전문가들은 이 익스플로잇이 진짜일 가능성이 크다고 보고 있다. BuggiCorp라는 이 판매자는최신 보안 패치를 적용한 윈도우 10 머신에서 익스플로잇을 시연하는 동영상도 제공했다. 러시아어로 작 성된 판매글과 동영상을 분석한 미국 보안회사 트러스트 웨이브에 의하면 이 익스플로잇은 win32k.sys에 존재하는 제로데이 LPE(local […]
보안 연구원, 아이폰앱 가짜앱 바꿔치기 샌드재킹 공격 발표
[mgc6611님 曰] 애플 Xcode로 iOS 앱을 제작해 본 사람이라면 누구나 아는 버그죠. 이런 해킹이 이제야 발표된다는 게 신기할 정도네요. 미국 모바일앱 보안회사 Mi3 시큐리티 수석 아키텍트 칠릭 타미르 연구원은 5월 26일 네덜란드에서 열린 핵인더박스(HITB) 보안 컨퍼런스에서 아이폰에 설치된 스카이프 앱을 가짜 스카이프 앱으로 바꿔치기 하는 시연을 발표했다. 과거에는 애플 iOS용 앱을 개발하려면 본인이나 사업자 인증을 […]
북한, 페이스북 복제 중, 이미 해킹당해
북한이 페이스북 기능을 복제한 웹사이트를 제작 중이며, 이 사이트는 5월 27일 해킹당한 것으로 전해졌다. 이같은 사실은 5월 27일 미국 인터넷 모니터링 전문업체 Dyn社 연구원 Doug Madory에 의해 최초로 알려졌다. Madory 연구원은 자사 분석툴을 이용해 인터넷을 점검하던 중 이 사이트를 발견했다고 한다. 생긴지 얼마 안 되는 것으로 보이는 이 사이트는 http://starcon.net.kp 라는 주소를 사용하고 있었는데, 북한은 […]
카지노 도박 트릭과 해킹: 세상에 공짜는 없다
[mud님 曰] 카지노 시스템 30년 경력 전문가가 들려주는 카지노 시스템 트릭과 알고리즘, 해킹 팁입니다. 도박에 중독되게 만드는 알고리즘, 하면 할수록 잃지만 깨닫지 못하게 만드는 트릭을 수학적 알고리즘과 심리학으로 풀어 나갑니다. 용어 중 믿고 싶은 것만 믿는 “선택적 해설(Selective Exposition)”과 “도박꾼의 착각(Gamblers Fallacy)”은 많은 것을 생각하게 해 주네요. “주사위에는 메모리가 없다!” 개인적으로 두고두고 새기고 싶은 명언입니다! 이 […]
보안 연구원, “페이스트 재킹” 공격코드 발표
웹페이지에서 텍스트를 복사하면 숨은 코드가 클립보드에 저장되어 붙이기 하면 코드가 저절로 실행되는 공격이 발표되었다. 미국 보안 연구원 Dylan Ayrey는 페이스트 재킹(Pastejacking) 공격에 주의를 요하며 코드를 깃허브에 공개했다. 이 공격을 이용하면 웹페이지 텍스트를 복사해 터미널에 붙이기 하는 경우 숨겨진 코드가 자동 실행된다. Ayrey 연구원이 제공한 테스트 웹페이지에는 텍스트가 echo “not evil”로 표시되어 있다. 이 텍스트를 […]
FBI, 휴대폰 충전기로 위장한 해킹 경고
FBI가 휴대폰 USB 충전기로 위장한 키로거 해킹이 급속히 늘고 있다며 주의를 당부했다. KeySweeper는 USB 충전기 속에 하드웨어를 몰래 숨겨 무선 키보드 입력정보를 가로채 저장하고 전송하는 해킹 장비로 작년 1월 12일 미국 보안 연구원 새미 캄카가 제작법을 최초 발표했고 소스를 깃허브에 공개한 바 있다. 4월 29일 FBI는 비공개 보안 소식지 PIN을 통해 KeySweeper라 불리는 키로거가 공격에 사용될 […]
[OWASP] API 보안 체크리스트 Top 10
웹 어플리케이션 보안 연구단체인 OWASP가 최근 API 보안에 관한 새로운 프로젝트를 시작해 진행 중이다. 5월 20일 미국 뉴올리언스에서 열린 놀라콘(NolaCon) 보안 컨퍼런스에서 OWASP의 데이비드 쇼는 API 보안 위험과 위협 완화 정보 제공을 위하여 API 보안 체크리스트 Top 10 OWASP 프로젝트를 시작했다고 발표했다. Top 10 리스트는 미국 및 호주 클라우드 보안회사 버그크라우드(Bugcrowd)의 데이터와 산업 설문 피드백, 언론 보도 주요 […]
1백만대 컴퓨터 온라인광고 사기 위해 해킹돼
1백만대에 가까운 윈도우 컴퓨터가 특정 맬웨어에 감염되어 온라인 광고 사기에 이용되고 있는 것으로 전해졌다. 이 맬웨어에 감염된 컴퓨터에서 구글, 야후, 빙 등으로 검색하면 가짜 검색 결과 페이지가 표시된다. 루마니아 보안회사 빗디펜더가 5월 16일 자사 공식 블로그에 발표한 보고서에 의하면 Redirector.Paco라고 불리는 이 맬웨어는 애드센스 프로그램 사기로 부정 수입을 올리기 위해 제작되었고, 2014년 9월 처음 등장한 […]