텐센트의 연구원들, 바코드 통한 시스템 침입 방법 개발
지메일, 앞으로 암호화 되지 않은 경로 거치면 사용자에게 통보
[보안뉴스 문가용] 사물인터넷 시대가 사람들의 상상 속에 등장하기도 전에 널리 사용된 바코드 시스템이 새로운 위협거리로 떠오를 전망입니다. 다행히 보안 전문가들이 먼저 이 방법을 알아낸 듯 한데요, 조금 있으면 바코드 시스템도 바꿔야 한다는 소리가 나올지도 모르겠습니다. 구글이 지메일 메시지가 사용자들 간에 전달될 때, 암호화되지 않은 경로를 거치면 그 사실을 사용자에게 알린다는 방침을 세웠습니다. 수개월 내에 시작될 것 같은데요, 정부들이 암호화를 그다지 선호하지 않는 때에 이 같은 조치는 정말 구글이라서 할 수 있는 일 같습니다. 그리고 트위터 사용, 조심합시다.
.jpg)
1. 바코드를 통한 공격?
이젠 바코드 공격도 가능?(Threat Post)
바코드도 공격에 노출된다! 배드바코드 공격!(SC Magazine)
중국 인터넷 업체인 텐센트(Tencent)의 연구원들이 바코드를 통해 호스트 시스템에 침투, 멀웨어를 심는 방법에 대해 발표했습니다. 이 공격의 이름은 배드바코드(Badbarcode)이며 데모 영상은 다음 트위터 계정에 올라와 있습니다. 바코드 스캐너들이 세계 매장 곳곳에 설치되어 있다는 걸 생각하면 이는 굉장히 무서운 해킹법입니다.
2. 구글 지메일과 암호화
지메일, 암호화 되지 않은 경로 거칠 때 사용자에게 알린다(Security Week)
지메일, 암호화 향한 특단의 조치(SC Magazine)
구글이 이제 메시지가 암호화되지 않은 경로를 거치는 경우, 사용자에게 해당 사실을 통보하기로 했습니다. 이메일 메시지가 다양한 공격에 노출되어 있을 가능성이 높다는 사실을 알려주는 것이죠. 지메일 자체가 공격받지는 않겠지만, 사용자들을 보호하기 위한 조치라고 합니다.
3. 디도스 공격자의 최후
영국인 남성, 디도스 공격 감행해 감옥행(SC Magazine)
디도스 공격 했던 영국인 남성, 8개월 감옥살이 앞둬(The Register)
이안 설리반(Ian Sullivan)이라는 51세의 한 영국 남성이 2013년 300여개의 웹 사이트에 디도스 공격을 감행한 것으로 8개월 동안 감옥에 갇혀있게 되었습니다. 재미있는 건 이 남성이 경찰의 추적이나 수사에 의해 잡힌 게 아니라 자기의 범행을 트위터에 남겨서 공격을 당한 사이트들이 공격 사실을 알아채 복구할 수 있도록 하다가 잡힌 거라는 겁니다. 과시욕이 과도했네요.
4. 소셜 스프링의 오류
CSRF 오류, 스프링 소셜의 핵심 라이브러리에서 발견, 패치(Threat Post)
스프링 소셜의 취약점, 사용자 계정 노출 위험에 빠트려(Security Week)
스프링 프레임워크(Spring Framework)의 엑스텐션인 스프링 소셜(Spring Social)은 자기가 개발한 애플리케이션을 페이스북, 트위터, 링크드인과 같은 SNS API 제공업체와 연동시켜주는 플랫폼으로 굉장히 많은 프로젝트가 여기서 벌어집니다. 그런데 이 스프링 소셜에서 CSRF 취약점이 발견되었고, 그로 인한 패치가 이루어졌다고 합니다.
5. 멀웨어의 중흥
새로운 플래시 취약점 등장과 함께 매그니튜드 EK의 사용도 급증(SC Magazine)
컨피커 멀웨어, 경찰 카메라 노리며 다시 등장(The Register)
새로운 플래시 취약점이 얼마 전 등장했었죠. 그 때문에 매그니튜드(Magnitude)라는 익스플로잇 킷의 활용이 급증하고 있다는 소식입니다. 또한 컨피커(Conficker)라는 멀웨어가 다시 부활해 경찰들이 몸에 착용하는 카메라 장비 및 솔루션을 주로 노린다는 소식도 있습니다. 컨피커는 아직 한국에는 해당사항이 없을 듯 하긴 합니다.
6. 정부의 협동, 그리고 보복 해킹
공격적인 보안, 보복 해킹에 대한 업계의 반응(Security Week)
영국과 미국, 금융기관의 사이버 공격 본격적으로 실험(SC Magazine)
미국과 영국이 이번 달 금융기관들을 중심으로 합동 보안훈련에 돌입해있죠. 그 훈련이 뉴욕과 런던의 금융센터들을 중심으로 계속해서 이어지고 있다는 보도가 있고, 그 동안 금기시 되어왔던 보복 해킹에 대한 업계의 반응을 한 매체에서 조사했습니다. 일단 아직까지는 ‘법적인 허용이 있지 않으면 불법’이라는 시각이 다수이긴 합니다.
[국제부 문가용 기자(globoan@boannews.com)]
지메일, 앞으로 암호화 되지 않은 경로 거치면 사용자에게 통보
[보안뉴스 문가용] 사물인터넷 시대가 사람들의 상상 속에 등장하기도 전에 널리 사용된 바코드 시스템이 새로운 위협거리로 떠오를 전망입니다. 다행히 보안 전문가들이 먼저 이 방법을 알아낸 듯 한데요, 조금 있으면 바코드 시스템도 바꿔야 한다는 소리가 나올지도 모르겠습니다. 구글이 지메일 메시지가 사용자들 간에 전달될 때, 암호화되지 않은 경로를 거치면 그 사실을 사용자에게 알린다는 방침을 세웠습니다. 수개월 내에 시작될 것 같은데요, 정부들이 암호화를 그다지 선호하지 않는 때에 이 같은 조치는 정말 구글이라서 할 수 있는 일 같습니다. 그리고 트위터 사용, 조심합시다.
1. 바코드를 통한 공격?
이젠 바코드 공격도 가능?(Threat Post)
바코드도 공격에 노출된다! 배드바코드 공격!(SC Magazine)
중국 인터넷 업체인 텐센트(Tencent)의 연구원들이 바코드를 통해 호스트 시스템에 침투, 멀웨어를 심는 방법에 대해 발표했습니다. 이 공격의 이름은 배드바코드(Badbarcode)이며 데모 영상은 다음 트위터 계정에 올라와 있습니다. 바코드 스캐너들이 세계 매장 곳곳에 설치되어 있다는 걸 생각하면 이는 굉장히 무서운 해킹법입니다.
2. 구글 지메일과 암호화
지메일, 암호화 되지 않은 경로 거칠 때 사용자에게 알린다(Security Week)
지메일, 암호화 향한 특단의 조치(SC Magazine)
구글이 이제 메시지가 암호화되지 않은 경로를 거치는 경우, 사용자에게 해당 사실을 통보하기로 했습니다. 이메일 메시지가 다양한 공격에 노출되어 있을 가능성이 높다는 사실을 알려주는 것이죠. 지메일 자체가 공격받지는 않겠지만, 사용자들을 보호하기 위한 조치라고 합니다.
3. 디도스 공격자의 최후
영국인 남성, 디도스 공격 감행해 감옥행(SC Magazine)
디도스 공격 했던 영국인 남성, 8개월 감옥살이 앞둬(The Register)
이안 설리반(Ian Sullivan)이라는 51세의 한 영국 남성이 2013년 300여개의 웹 사이트에 디도스 공격을 감행한 것으로 8개월 동안 감옥에 갇혀있게 되었습니다. 재미있는 건 이 남성이 경찰의 추적이나 수사에 의해 잡힌 게 아니라 자기의 범행을 트위터에 남겨서 공격을 당한 사이트들이 공격 사실을 알아채 복구할 수 있도록 하다가 잡힌 거라는 겁니다. 과시욕이 과도했네요.
4. 소셜 스프링의 오류
CSRF 오류, 스프링 소셜의 핵심 라이브러리에서 발견, 패치(Threat Post)
스프링 소셜의 취약점, 사용자 계정 노출 위험에 빠트려(Security Week)
스프링 프레임워크(Spring Framework)의 엑스텐션인 스프링 소셜(Spring Social)은 자기가 개발한 애플리케이션을 페이스북, 트위터, 링크드인과 같은 SNS API 제공업체와 연동시켜주는 플랫폼으로 굉장히 많은 프로젝트가 여기서 벌어집니다. 그런데 이 스프링 소셜에서 CSRF 취약점이 발견되었고, 그로 인한 패치가 이루어졌다고 합니다.
5. 멀웨어의 중흥
새로운 플래시 취약점 등장과 함께 매그니튜드 EK의 사용도 급증(SC Magazine)
컨피커 멀웨어, 경찰 카메라 노리며 다시 등장(The Register)
새로운 플래시 취약점이 얼마 전 등장했었죠. 그 때문에 매그니튜드(Magnitude)라는 익스플로잇 킷의 활용이 급증하고 있다는 소식입니다. 또한 컨피커(Conficker)라는 멀웨어가 다시 부활해 경찰들이 몸에 착용하는 카메라 장비 및 솔루션을 주로 노린다는 소식도 있습니다. 컨피커는 아직 한국에는 해당사항이 없을 듯 하긴 합니다.
6. 정부의 협동, 그리고 보복 해킹
공격적인 보안, 보복 해킹에 대한 업계의 반응(Security Week)
영국과 미국, 금융기관의 사이버 공격 본격적으로 실험(SC Magazine)
미국과 영국이 이번 달 금융기관들을 중심으로 합동 보안훈련에 돌입해있죠. 그 훈련이 뉴욕과 런던의 금융센터들을 중심으로 계속해서 이어지고 있다는 보도가 있고, 그 동안 금기시 되어왔던 보복 해킹에 대한 업계의 반응을 한 매체에서 조사했습니다. 일단 아직까지는 ‘법적인 허용이 있지 않으면 불법’이라는 시각이 다수이긴 합니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
