Mozilla, 더이상 Wosign과 StartCom의 인증서를 신뢰하지 않기로 결정 Mozilla가 Wosign CA의 부당한 행위에 대한 처벌로, WoSign과 StartCom에서 정식으로 인증한 서명을 신뢰하지 않기로 했다고 밝혔습니다. CA 중지는 1년동안 유효하며, WoSign과 StartCom이 1년 후에 Mozilla의 조건을 만족한다면, 다시 인증기관으로 인정될 수 있습니다. WoSign은 2015년 4월 9일부터 4월 14일까지 392개의 동일한 넘버를 가진 인증서를 발급했습니다. 그리고 WoSign CA는 2015년 12월, 중국에서 만든 SM2 알고리즘으로 서명한 인증서 2개를 발급하였습니다. 이는 CA/Browser Forum Baseline Requirements을 위반하는 것입니..

국내외 보안동향 2016. 9. 28. 17:37

애플이 iOS 10 백업 암호화 약화시켜, 이전보다 2,500배 빠르게 복호화 가능Apple Weakens iOS 10 Backup Encryption; Now Can Be Cracked 2,500 Times Faster 애플이 최근 아이폰 OS 업그레이드에서 사용자 보안 및 프라이버시에 직접적으로 영향을 미치는 실수를 저지른 것으로 보입니다. 애플은 iOS 10의 해싱 알고리즘을 "PBKDF2 SHA-1 10,000회 반복"에서 "플레인 SHA256 1회 반복"으로 변경시켰습니다. 이는 공격자들이 표준 데스크탑 컴퓨터 프로세서를 이용해 패스워드를 브루트포싱할 수 있도록 잠재적으로 허용하는 꼴입니다. PBKDF2란 Password-Based Key Derivation Function이며, SHA-1 해시..

국내외 보안동향 2016. 9. 28. 13:40

Django CSRF 보호매커니즘 우회 취약점(CVE-2016-7401) 분석 9월 26일, Django가 CSRF 보호매커니즘 우회 취약점(CVE-2016-7401) 취약점을 패치하였습니다. 취약점은 다음과 같은 부분으로 구성됩니다. Google Analytics로 인해 발생하는 Cookie 인젝션 취약점 Google analytics는 다음과 같이 Cookie를 통해 사용자를 추적할 수 있도록 설정할 수 있습니다. __utmz=123456.123456789.11.2.utmcsr=[HOST]|utmccn=(referral)|utmcmd=referral|utmcct=[PATH] 이는 [PATH]위치를 제어함에 따라, Cookie의 일부분을 제어할 수 있다는 뜻입니다. [PATH]의 위치는 인코딩 및 필터..

국내외 보안동향 2016. 9. 28. 09:49

1Tbps! OVH, 역사상 가장 큰 규모의 DDoS 공격 받아OVH hosting hit by 1Tbps DDoS attack, the largest one ever seen OVH는 호스팅 서비스를 제공하는 프랑스 기업 중 하나로, 16개 국가에서 약 70만명이 넘는 사용자에게 서비스를 제공하고 있습니다. OVH는 세계 3위의 호스팅 기업입니다. 이렇듯 세계적인 기업 OVH가 초당 1Tb의 대규모 DDoS 공격을 받았습니다. 이번 대규모 DDoS 공격은 지난주에 발생했습니다. 공격 직후, OVH의 대표 Octave Klaba는 Twitter에 한 장의 캡쳐 이미지를 업로드했습니다. 해당 이미지를 통해 OVH의 여러 서버들이 동시에 1Tbps가 넘는 크기의 DDoS 공격을 받은 것을 확인할 수 있었습니..

국내외 보안동향 2016. 9. 27. 15:02

OpenSSL OCSP Status Request Extension취약점(CVE-2016- 6304) 패치! 지난주, OpenSSL이 암호화 코드 라이브러리의 취약점 다수를 패치했습니다. 그 중에는 DoS 공격에 악용될 수 있는 높은 위험수준의 취약점인 CVE-2016-6304도 포함되어 있었습니다. CVE-2016-6304 취약점은 DoS 공격을 실행하기 위해 타겟 컴퓨터에 연결협상 과정 중 큰 OCSP Status Request Extension을 보내 메모리 고갈을 야기시키는 취약점입니다. * OCSP 프로토콜이란?OCSP (Online Certificate Status Protocol)는 온라인 인증서 상태 프로토콜로 웹 사이트에 첨부된 디지털 인증서의 폐지상태를 파악하기 위해 설계된 프로토콜 입..

국내외 보안동향 2016. 9. 26. 16:05

iPhone7, 이미 탈옥되었다.iPhone 7 Jailbreak Has Already Been Achieved In Just 24 Hours! 공개된지 얼마되지 않은 iPhone7과 iPhone7 Plus의 탈옥이 이미 성공한 것으로 확인되었습니다. 탈옥에 성공한 Luca Tedesco는 해커이자 보안연구원으로, 저번주 수요일, 트위터에 한장의 사진을 올렸습니다. 해당 사진은 Cydia의 앱스토어가 iPhone7의 iOS 10.0.1 시스템에서 성공적으로 실행되는 사진으로, 탈옥하는 과정 중 해당 앱을 시스템 안에 설치해 놓은 것입니다. 하지만 Tedesco는 탈옥 방법에 대해서 공개하지 않았습니다. 현재까지 그를 제외하고는 누구도 iPhone7 탈옥에 성공하지 못한 것으로 확인되었습니다. 또한 그가 ..

국내외 보안동향 2016. 9. 26. 14:02

840,000대 이상의 Cisco 장비, NSA 관련 익스플로잇에 취약한 것으로 밝혀져More than 840,000 Cisco devices are vulnerable to NSA-related exploit 전 세계 840,000대 이상의 Cisco 네트워킹 장비가 취약점에 노출되어 있는 것으로 나타났습니다. 해당 취약점은 NSA에 관련된 것으로 추정되는 사이버공격 그룹이 악용한 것 유사합니다. 해당 취약점을 악용하면 공격자가 장비의 메모리에서 민감 정보들을 추출하도록 허용될 수 있습니다. Cisco는 해당 취약점에 대해 지난 주 공지를 완료했습니다. 이번에 발견된 취약점은 Cisco의 네트워킹 장비 중 다수에 사용되는 iOS, iOS XE, iOS XR 소프트웨어에 존재합니다. 공격자는 이를 통해 ..

국내외 보안동향 2016. 9. 23. 10:36

meizu 스마트폰, 모바일 랜섬웨어에 감염... 돈을 내야만 풀어준다部分魅族手机被恶意锁定 黑客勒索付费才能解开 최근 중국 meizu 휴대폰 사용자들이 랜섬웨어에 감염되어, 공격자에게 돈을 지불해야만 잠금을 해제할 수 있어 논란이 되고 있습니다. 9월 12일, meizu 휴대폰 사용자 게시판에는 많은 사용자들의 제보가 빗발쳤습니다. 자신도 모르게 휴대폰 화면이 잠기는 현상이 발생하고, 공격자가 돈을 지불하면 잠금을 해제해주겠다며 협박한다는 내용이었습니다. meizu는 이미 피해를 입은 대부분의 고객들에게 잠금해제를 할 수 있도록 조치를 취했다고 밝혔습니다. 그러나 기자가 meizu 홍보팀에게 총 몇명의 사용자가 피해를 입었고, 피해 정도는 어느 규모이며, 어떠한 조치를 취했는지 문의했지만 별다른 답변을 받..

국내외 보안동향 2016. 9. 22. 17:00