Security Newsletters, Nov 19th, 2017

Posted on 2017-11-19 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares/Exploits/Vulnerabilities

Summaries

엑셀^(Excel) 파일을 읽는데 사용하는 LibXL C 라이브러리에서 다수의 취약점이 발견되었다. 각각의 취약점들은 취약점 점수 체계 척도^{(Common Vulnerability Scoring System scale)}에서 8.8점을 받았다. 공격자는 특별하게 조작된 XLS파일을 사용하는 방식으로 이 취약점들을 공격해서 원격 코드 실행^{(Remote code execution)}을 할 수 있다. 시스코 탈로스^{(Cisco Talos)} 연구자들에 따르면 이 LibXL 라이브러리는 Windows, Mac, Linux에서 지원되며, 구형 엑셀97 부터 현재의 XLS까지 마이크로소프트 엑셀 파일 형식의 파일들을 읽을 수 있다. 발견된 취약점들은 각각 CVE-2017-2896, CVE-2017-2897, CVE-2017-12110, CVE-2017-2919, CVE-2017-12108, CVE-2017-12109, CVE-2017-12111 이다.
아마존^(Amazon)이 키 서비스^{(Key service)} 해킹을 차단하기 위한 보완을 약속했다. Rhino Security의 보안연구가들은 아마존의 Key 배달 서비스와 클라우드 캠 보안 카메라에서 취약점을 찾은바 있다. 이 취약점은 공격자가 카메라를 조작해 오프라인으로 만들어, 집에 누군가 들어오는 것이 보이지 않게 만든다. 아마존의 키 서비스는 집 주인이 원격으로 방문객을 위해 정문을 열거나 잠글 수 있도록 해준다. 이 서비스는 아마존의 클라우드 캠 보안 카메라와 함께 결합하여 동작한다. 그리고 만약 사용자가 프라임 멤버인 경우, 아마존 배달원이 인증을 통해 배달 대상 고객의 집 정문을 열고 소포를 문 안쪽에 넣어두고 다시 잠글 수 있도록 해주는 서비스다.
구글 플레이스토어^{(Google Playstore)}에 등록되어 있는 어플리케이션에서 악성코드군이 3개 더 발견되었다. McAfee, ESET, Malwarebytes의 리포트에 따르면 다수의 악성 어플리케이션이 구글 플레이스토어에서 발견되었다. 각각 Grabos, TrojanDropper.Agent.BKY, AsiaHitGroup을 발견해 리포트로 발표했다.

Detailed News List

LibXL Library
- ^[ThreatPost] MULTIPLE VULNERABILITIES IN LIBXL LIBRARY OPEN DOOR TO RCE ATTACKS
- ^{[TalosIntelligence]} Vulnerability Spotlight: Multiple Remote Code Execution Vulnerabilities Within libxls
Amazon Key Service
- ^[ThreatPost] AMAZON PROMISES FIX TO STOP KEY SERVICE HACK
- ^[ZDNet] Amazon: We’re fixing flaw that leaves Key security camera open to Wi-Fi jamming
- ^[HackRead] Researchers demonstrate Amazon Key system can be hacked
Malicious Apps on Goole Playstore
- ^[SCMagazine] 3 More Android Malware Families Invade Google Play Store
- ^[McAfee] New Android Malware Found in 144 GooglePlay Apps
- ^[ESET] Multi-stage malware sneaks into Google Play
- ^{[Malwarebytes Labs]} New Android Trojan malware discovered in Google Play
- ^{[Information Security Buzz]} ESET Researchers Have Discovered Malware With Improved Ability To Bypass Google Play’s Protection Mechanisms

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

1/3의 미국 기업들이 유럽의 새로운 개인정보보호규정인 GDPR^{(General Data Protection Regulation)}에 대비가 안되어있다고 느낀다는 조사 결과가 나왔다. Censuswide에 의해 진행된 이 조사는 유럽과 미국의 조직들이 2018년 5월까지인 GDPR 준수 데드라인에 대해 본사가 어디에 위치해 있는지와는 상관없이 EU 국민들의 개인정보를 처리하는 기관에게는 상당한 부담이 되고 있다는 것을 보여준다. 이는 미국 기관이라도 유럽 국민의 데이터를 처리하는 기관은 2018년 5월까지 GDPR 규정을 준수해야 한다는 의미다. 연구 결과에 따르면 35%의 미국 기관들이 이미 GDPR을 제시간내에 준비하지 못할 것이라 예상했다. 거기에 덧붙여, 미국 기관들은 GDPR이 사업에 미칠 영향에 대해서도 우려하고 있다.
트위터^(Twitter)가 백인 우월주의자들에 대한 강경한 정책을 내놓았다. 지난 15일 트위터는 TwitterSupport 계정으로 확인^{(Verification)} 프로그램 정책 변경 트윗 메시지를 게시했다. 실제로 트위터는 확인됨^{(verified badges)} 뱃지에 대한 정책을 변경했다. 새로운 정책에 따르면, 트위터 사용자는 다른 사람을 괴롭히는^(harassment) 선동^(inciting)을 하거나 직접 관여^(engaging)할 경우, 인종^(race), 민족^(ethnicity), 국적^{(national origin)}, 성적취향^{(sexual orientation)}, 성별^(gender), 성 정체성^{(gender identity)}, 소속 종교^{(religious affiliation)}, 나이, 장애, 질병에 기반해 다른 사람들을 직접적으로 공격^{(directly attacking)} 또는 위협^{(threatening)}하거나 증오나 폭력을 조장하는^{(promoting hate and/or violence)} 행위, 이러한 생각을 조장하는 이를 지지하는^(supporting) 행위, 그리고 기타 다른 이유로 파란색 확인 뱃지를 잃을 수 있다. 검증^{(Verification)}이 보증/지지^{(endorsement)}로 오랫동안 잘못 인식되어 온 것에 대한 조치라는 평가다.
뉴욕경찰이 휴대전화를 감시하고 싶은 경우 영장을 필요로 한다는 판결이 내려졌다. 뉴욕주 판사는 경찰의 강력한 감시 도구인 일명, 가오리^{(스팅레이, stingray)}라는 장치가 실제의 정상적인 휴대전화 기지국을 흉내내며, “검색”을 수행하기 때문에 대부분의 상황에서 영장을 받아야 한다고 결론을 내렸다. 브루클린의 뉴욕 주 대법원 판사는 이번달 초 살인 미수 건에서 뉴욕 경찰국 경찰관은 침입^(invasive) 장비를 사용하기 전에 표준을 따라, 상당 근거에 의한 영장을 받았어야 했다고 판결을 내렸다. ARS의 2013년 기사에 따르면 스팅레이^(Stinglay)는 기지국을 속여서 휴대전화의 위치를 가늠할 수 있다. 그리고 일부의 경우, 스팅레이는 전화나 문자 메시지를 가로챌 수 있다. 한번 설치되고나면, 이 장치는 대상 휴대전화의 데이터를 인근에 위치한 휴대전화의 정보화 함께 가로챈다.

Detailed News List

GDPR
- ^{[HelpNetSecurity]} A third of US businesses do not feel prepared for GDPR deadline
- ^{[InformationSecurityBuzz]} GDPR – Know The Seven Key Principles
- ^{[DarkReading]} We’re Still Not Ready for GDPR? What is Wrong With Us?
Twitter against White supremacists
- ^{[NakedSecurity]} Twitter gets tough on white supremacists with new policy
NYPD Stinglay
- ^{[ARSTechnica]} If NYPD cops want to snoop on your phone, they need a warrant, judge rules
- ^{[ARSTechnica]} Meet the machines that steal your phone’s data

Privacy

Summaries

아마존^(Amazon) S3 버킷^(Bucket)의 잘못된 설정으로 데이터가 유출되는 사고가 또 발생했다. 이번에는 문제가 되는 것이 미군^{(US Military)}에 의한 소셜미디어에서의 테라바이트 단위의 감시 결과가 온라인에 노출된 것이다. 이 잘못 설정된 아마존 S3 버킷들은 소셜미디어 포스트와 요주의 인물^{(Person of interest)}을 식별 및 프로파일링 하기 위해 미군에 의해 전 세계로부터 수집된 유사 페이지들이 포함되어 있었다. 이 문서들은 Chris Vickey에 의해 발견되었으며, 세개의 버킷들 이름은 각각 centcom-backup, centcom-archive, pacom-archive다. CENTCOM은 미 중앙사령부^{(US Central Command)}의 축약어다. 미군 사령부는 중동, 북아프리카, 중앙아시아를 담당한다. 유사하게, PACOM은 미 태평양 사령부^{(US Pacific Command)}로 남아시아, 중국, 호주를 담당한다. 하나의 버킷에는 8년 전 부터 지금까지 자동화된 수집 활동을 보여주는 18억개의 소셜 미디어 포스트 결과가 담겨있었다.

Detailed News List

US military social media surveillance
- ^{[SecurityAffairs]} Terabytes of US military social media surveillance miserably left wide open in AWS S3 buckets
- ^{[PacketStorm]} Massive US Military Social Media Spying Archive Left Wide Open In AWS S3 Buckets
- ^[HackRead] Misconfigured Amazon S3 Buckets Exposed US Military’s Social Media Spying Campaign
- ^[Techdirt] Defense Department Spied On Social Media, Left All Its Collected Data Exposed To Anyone
- ^[CyberScoop] Pentagon left AWS databases publicly exposed

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

11월 초 테네시^(Tennessee) 주의 스프링 힐 시티^{(City of Spring Hill)}가 랜섬웨어 공격을 받은 바 있다. 그러나 정부에서는 사이버 범죄자들이 백업으로부터 데이터베이스 내용을 복원하는데 요구한 $250,000의 몸값 제공을 거부했다. 이 악성코드는 도시에 심각한 상처를 남겼고, 수많은 일상적인 행동들에 영향이 있었다. 근무자들이 이메일에 접근하지 못하거나, 입주민들은 온라인으로 세를 지불하거나 신용카드를 공과금을 내거나 법원 벌금을 내는데 사용할 수 없었다. 그리고 어떤 다른 금융거래도 불가능했다. 응급전화를 받는 사람들은 상황이 더 심각해 전화 기록을 손으로 받아써야 하는 정도였다.

Detailed News List

City of Spring Hill
- ^{[SecurityAffairs]} City of Spring Hill in Tennessee still hasn’t recovered from ransomware attack

Social Engineering/Phishing/Con/Scam

Summaries

블랙프라이데이^{(Black Friday)} 및 사이버 먼데이^{(Cyber Monday)} 연중 세일 행사를 노린 각종 공격과 사기에 대한 주의 및 경고 기사가 급증하고 있다. 카스퍼스키 랩^{(Kaspersky Lab)}에 따르면 소비자들이 놀라운 할인 기회를 얻을 수 있지만, 금융 피싱 공격이 최고치를 기록하는 날이기도 하다.

Detailed News List

Black Friday
- ^{[InfoSecurityMagazine]} Skip Black Friday for a Safer Shopping Day: Gray Saturday
- ^{[Malwarebytes Lab]} 10 tips for safe online shopping on Cyber Monday
- ^{[InfoSecurityMagazine]} Fake Black Friday Apps Set to Cause Consumer Chaos

Mobile/Cloud

Summaries

체크 포인트^{(Check Point)}가 전세계 850개 기관을 상대로 한 조사에 따르면, 모든 비즈니스가 모바일 악성코드 공격을 경험한 것으로 드러났다. 회사마다 모바일 악성코드 공격을 경험한 평균치는 54회다. 또한, 89%의 기업은 최소 한번의 중간자공격^{(MitM, Man-in-the-Middle attack)}을 Wi-Fi 네트워크에서 겪었다. 또한 엔터프라이즈 이동성^{(enterprise mobility)}은 주류 플랫폼인 안드로이드와 iOS 플랫폼 둘 다 공격에 매우 민감한 것으로 나타났다. 75%의 기업들이 최소 하나 이상의 탈옥^(jailbroken)한 iOS 장치나 루팅^(rooted)한 안드로이드 장치가 기업 네트워크에 접속되었고, 루팅되거나 탈옥한 장치들의 평균 수치는 회사당 35개였다.

Detailed News List

100% Mobile Cyberattack
- ^{[InfoSecurityMagazine]} 100% of Businesses Have Faced a Mobile Cyberattack
- ^{[DarkReading]} Mobile Malware Incidents Hit 100% of Businesses

Technologies/Technical Documents/Statistics/Reports

Summaries

절반의 기관들에서 SSH 권한에 대한 감사를 진행하지 않는 것으로 드러났다. 악의적인 내부자와 같은 사이버 범죄자들은 원격지에서 시스템에 접근하고 보안 툴들을 우회하고 권한을 상승시키기 위해 SSH 키를 사용한다. Venafi가 10월에 조사한 결과에 따르면, SSH 키가 가장 높은 관리자 엑세스 권한을 제공하더라도 정기적으로 추적하거나 관리되지 않으며 보안이 매우 취약한 것으로 드러났다.
StartCom이 인증기관 사업에서 철수한다. 논란이 되어왔던 StartCom 인증기관이 사업에서 이제 물러난다. StartCom 의장 Xiaosheng Tan은 인터뷰에서 2018년 1월 1일 새로운 인증서를 더이상 발급하지 않으며 서비스를 중단할 것이라 밝혔다. CRL와 OCSP 서비스는 2년간 지원된다. StartCom과 Wosign 인증서는 이미 모질라, 애플, 구글, 마이크로소프트에 의해 신뢰할 수 없는 대상 목록에 올랐었다. w3tech에 따르면 0.1퍼센트의 웹사이트만 StartCom SSL 인증서를 사용하고 있다.

Detailed News List

Auditing SSH entitlements
- ^{[HelpNetSecurity]} Half of organizations do not audit SSH entitlements
StartCom
- ^{[TheRegister]} Shamed TLS/SSL cert authority StartCom to shut up shop

Security Newsletters, Nov 17th, 2017

Posted on 2017-11-17 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

중동의 목표^{(Entities in the Middle East)}를 노리고 오랫동안 지속되고 있는 표적 공격들이 여러 연구가들의 분석에도 불구하고 명확해지지 않는다고 팔로 알토 네트웍스^{(Palo Alto Networks)}가 밝혔다. 흙탕물^(MuddyWater)이라고 명명된 이 공격은, 2017년 2월에서 부터 10월까지 일어났던 공격에서 아주 혼란스러운 상황을 만들어 놓아서 이러한 별명이 붙었다. 이 작전에서는 다양한 종류의 악성 문서가 사용되어 사우디 아라비아^{(Saudi Arabia)}, 이라크^(Iraq), 이스라엘^(Israel), 아랍 에미레이트^{(United Arab Emirates)}, 조지아^(Geogia), 인도^(India), 파키스탄^(Pakistan), 터키^(Turkey), 미국^{(United States)}의 목표들을 공격했다. 연구자들은 이 공격이 천천히 진화하는 파워쉘^(PowerShell) 기반의 첫번째 단계 백도어 POWERSTATS를 사용한다고 밝혔다.
카스퍼스키 랩^{(Kaspersky Lab)}이 NSA 사고에 대한 더 자세한 정보를 공개했다. 목요일에 카스퍼스키 랩은 러시아 해커가 미국 국가안보국^{(NSA, National Security Agency)}에 속한 데이터를 자사 소프트웨어를 악용해 훔쳤다고 주장되는 사건에 대한 더 자세한 조사결과를 공개했다. 월스트리트저널^{(The Wall Street Journal)} 이 지난달 보도했던 이 사건 기사에서 월스트리트저널은 카스퍼스키가 러시아 정부가 파일을 획득하는데 도움을 주었거나, 해커가 카스퍼스키 랩의 도움 없이 해당 소프트웨어의 취약점을 악용했다고 주장했다. 목요일에 공개된 더 리포트에서 카스퍼스키는 이 사고는 2014년 9월 11일에서 11월 17일 사이에 일어났다고 밝혔다. 2014년 9월 카스퍼스키의 제품이 이퀘이젼그룹^{(Equation Group)}과 관련된 악성코드를 탐지했다. 그리고 카스퍼스키 소프트웨어는 악성으로 추정되는 파일이 담긴 자료를 더 자세한 분석을 위해 카스퍼스키 회사의 시스템으로 업로드했다. 이 자료에는 Equation 악성코드의 소스코드와 자료 분류 마크(비밀, 대외비 등)가 포함된 문서 4개가 포함되어 있었다.
가짜뉴스^{(Fake news)}가 비즈니스 모델이 되어 수익을 위해 이용되고 있다. 보안 기업 Digital Shadow가 가짜 미디어 사이트/가짜 리뷰/소셜미디어 봇 제작이나 상업 제품/서비스의 광고나 폄하를 자동으로 하는 계정을 만들어주는 서비스에 대한 리포트를 내놓았다. 이 도구들은 소셜미디어 봇을 제어하는 $7짜리 시험판 부터 가능하다.
원격데스크탑프로토콜^{(RDP, Remote Desktop Protocol)}을 사용해 손수 랜섬웨어^(Ransomware)를 설치하는 사이버 범죄자들에 대한 기사도 이어지고 있다. 소포스^(Sophos)에서는 네트워크에 공개된 RDP를 대상으로, NLBrute와 같은 도구들로 공격해 원격으로 관리자 계정에 접속 한 뒤 공격 도구 및 랜섬웨어를 내려받아 직접 공격 및 설치하는 사이버 범죄자들에 대하여 보고서를 발표했다.
북한의 사이버 공격 및 그에 사용되는 악성코드에 대한 경고가 이어지고 있다. US-CERT와 미 연방수사국(FBI, Federal Bureau of Investigation)은 북한의 히든코브라^{(Hidden Cobra)} 작전 및 FALLCHILL 악성코드를 사용한 사이버 공격에 대한 정보를 공개한 바 있다.

Detailed News list

MuddyWater
- ^{[SecurityWeek]} Middle East ‘MuddyWater’ Attacks Difficult to Clear Up
NSA Incident
- ^{[SecurityWeek]} Kaspersky Shares More Details on NSA Incident
- ^{[DarkReading]} 121 Pieces of Malware Flagged on NSA Employee’s Home Computer
- ^{[MotherBoard]} Internal Kaspersky Investigation Says NSA Worker’s Computer Was Infested with Malware
- ^{[SecurityBrief]} ‘Leaker’ behind massive NSA breach possibly still working at agency
- ^{[NakedSecurity]} Shadow Brokers cause ongoing headache for NSA
- ^[Bloomberg] Russian Hackers Aren’t the NSA’s Biggest Problem
- ^{[TheRegister]} Kaspersky: Clumsy NSA leak snoop’s PC was packed with malware
- ^[CyberScoop] Kaspersky: NSA worker’s computer was packed with malware
- ^[BBC] Kaspersky defends its role in NSA breach
Fake News Business Model
- ^{[SecurityWeek]} ‘Fake news’ Becomes a Business Model: Researchers
Delivery Ransomware via RDP
- ^{[DarkReading]} Crooks Turn to Delivering Ransomware via RDP
- ^{[NakedSecurity]} Ransomware-spreading hackers sneak in through RDP
- ^{[NakedSecurity]} Ransomware via RDP – how to stay safe! [VIDEO]
Hidden Cobra, FALLCHILL
- ^[eWEEK] North Korea Getting Ready Wage a Global Cyber War, Experts Say
- ^[eWEEK] Researcher Provides Insight Into North Korea Cyber-Army Tactics

Malwares/Exploits/Vulnerabilities

Summaries

루트권한을 얻을 수 있는 앱이 사전에 설치되어 있었던 원플러스^(OnePlus) 기기에서 또 다른 수상한 사전설치^{(Pre-installed)} 앱이 발견되었다. 이 앱은 시스템 로그를 수집한다. 원플러스로그킷^{(OnePlusLogKit)} 이라 명명된 이 앱은 두번째 발견된 사전설치^{(pre-installed)} 앱으로, 앨리엇 앤더슨^{(Elliot Anderson, MR.ROBOT 드라마 주인공 이름)}계정을 사용하는 트위터 사용자에 의해 발견되었다. OnePlusLogKit은 시스템 수준^(level)의 응용프로그램으로 원플러스 스마트폰의 다양한 정보를 수집하게 되어있다. 수집하는 정보는 WiFi/NFC/BlueTooth/GPS 위치 로그, 모뎀 시그널/데이터 로그, 실행중인 프로세스/서비스 목록, 배터리 상태, 기기에 저장된 모든 비디오 및 이미지를 포함한 미디어 데이터베이스 정보다.
구글이 보안연구가에게 10만 달러의 상금을 벌게 해줬던 크롬OS^{(Chrome OS)}의 코드실행 취약점 정보를 공개했다. 2015년 3월 구글은 크롬박스^(Chromebox)나 크롬북^(Chromebook)을 게스트 모드^{(Guest mode)}에서 웹페이지를 통해 영구히 장악할 수 있는 익스플로잇에 10만 달러의 상금을 지불하겠다고 발표한 바 있다. 그에 앞서 구글은 그런 익스플로잇에 5만 달러를 제공했었다. 그리고 인터넷에서 Gzob Qq라는 이름을 쓰는 연구가가 구글에게 9월 18일에 크롬박스^(Chromebox)나 크롬북^(Chromebook) 장치들에서 사용하는 크롬OS^{(Chrome OS)} 운영체제 에서 영구적인 코드 실행이 가능한 일련의 취약점들을 찾았다고 알려왔다. Gzob Qq는 구글에게 개념증명^{(Proof-of-Concept)} 익스플로잇을 보냈고, 구글은 10월 27일에 업데이트를 통해 패치했다. 그리고 10월 11일에 연구자에게 10만 달러의 보상이 제공될 것임을 알려왔다. 이런 사례는 처음이 아니며, 이전에도 발견한 취약점에 대해 구글이 여러차례 보상을 한 바 있다.
Terdot 뱅킹 트로이^{(banking trojan)}가 사이버 스파이^{(Cyber espionage)} 도구로 활용될 수 있다. 비트디펜더^{(Bitdefender)}가 리포트를 통해 Terdot 뱅킹 트로이가 정보 유출^{(information stealing)} 기능을 탑재함에 따라 쉽게 사이버 스파이 도구로 변화할 수 있다고 밝혔다. Terdot은 2011년 온라인에 유출된 제우스^(ZeuS) 소스코드에 기반한 악성코드다. 이 악성코드는 작년 10월 다시 활동을 재개했으며, 비트디펜더는 이 악성코드를 지속적으로 추적해왔다. Terdot은 중간자공격^{(MitM, Man-in-the-Middle Attack)}을 위한 프록시^(Proxy)로 기능하며 로그인 정보나 신용카드 정보 등을 훔치거나 방문하는 웹페이지에 HTML을 주사^{(Injecting HTML)}하기 위해 제작되었다. 그러나 애초에 뱅킹 트로이를 목적으로 악성코드가 제작되었지만, Terdot의 능력은 본래의 목적 그 이상으로 활용될 수 있다고 밝혔다.
맥아피^(McAfee)의 안티해킹 서비스가 사용자들을 뱅킹 악성코드로 인도하는 사고가 있었다. 악성코드는 제3자 웹사이트에 올라와 있었지만, 맥아피의 ClickProtect와 관련된 도메인을 사용해 공유되었다. 이 링크는 사용자를 cp.mcafee.com 도메인을 통해 악성 워드 문서로 사용자를 리다이렉트 시켰고, 이 파일을 다운로드 받고 열어본 사람은 Emotet 뱅킹 악성코드에 감염되었다. 맥아피는 이에 대해서 문제를 조사중이라고 밝히며 또한 기능은 정상적으로 잘 동작했다고 말했다. 최초 최종목적지 주소는 악성코드 전파 장소로 분류되지 않았지만, 그날 늦게 맥아피의 Threat Intelligence Service가 해당 웹을 위협으로 판단하고 평판정보를 낮음^{(low risk)}에서 높음^{(high risk)}로 변경해 고객들이 해당 사이트로 접근할 수 없게 막았다고 대변인은 말했다.

Detailed News List

OnePlus
- ^{[TheHackerNews]} Another Shady App Found Pre-Installed on OnePlus Phones that Collects System Logs
- ^[HackRead] Another preinstalled app found on OnePlus that could collect user data
- ^{[BleepingComputer]} Second OnePlus Factory App Discovered. This One Dumps Photos, WiFi & GPS Logs
- ^[ZDNet] OnePlus: We’ll fix flawed app that lets attackers root our phones
Chrome OS Flaws
- ^{[SecurityWeek]} Google Discloses Details of $100,000 Chrome OS Flaws
Terdot Banking Trojan
- ^{[SecurityWeek]} Terdot Banking Trojan Could Act as Cyber-Espionage Tool
- ^{[BitDefender]} Terdot: Zeus-based malware strikes back with a lbask from the past (PDF)
- ^{[DarkReading]} Terdot Banking Trojan Spies on Email, Social Media
- ^{[SecurityAffairs]} Terdot Banking Trojan is back and it now implements espionage capabilities
- ^{[InfoSecurityMagazine]} Zeus Spawn ‘Terdot’ is a Banking Trojan with a Twist
- ^{[TheRegister]} New, revamped Terdot Trojan: It’s so 2017, it even fake-posts to Twitter
- ^[ZDNet] This banking malware wants to scoop up your email and social media accounts, too
McAfee
- ^[ZDNet] McAfee’s own anti-hacking service exposed users to banking malware

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

백악관이 제로데이^(Zero-day) 취약점 공개 절차에 투명성을 제공하는 방안을 제시했다. 수요일 미 정부는 VEP^{(Vulnerabilities Equities Policy)} 프로그램에 더 큰 투명성^{(Transparency)}을 가져오는 변화를 소개했다. 이 절차는 미 정부 기관들이 찾아낸 소프트웨어 취약점을 공개할 것인지 여부를 결정하는 프로세스다. 백악관 사이버보안 코디네이터인 롭 조이스^{(Rob Joyce)}는 왜 모든 발견내역이 공개되지 않는지를 설명했다. 그는 공개되지 않는다는 점에는 변화가 없지만, 그 결정 과정에 더 큰 투명성을 도입한다고 말했다.

Detailed News List

Zero-day Disclosure Process, VEP
- ^{[SecurityWeek]} White House Cyber Chief Provides Transparency Into Zero-Day Disclosure Process
- ^{[DarkReading]} White House Releases New Charter for Using, Disclosing Security Vulnerabilities
- ^[ThreatPost] White House Releases VEP Disclosure Rules

Patches/Updates

Summaries

아파치 카우치디비^(CouchDB)의 심각한 취약점이 패치되었다. 지난주 공개된 아파치 카우치DB 업데이트에서 공격자가 악용할 수 있는 권한상승 및 코드실행 공격 취약점이 패치되었다. 카우치DB는 문서지향^{(document-oriented)} 오픈소스 데이터베이스 관리 시스템으로, NPM 등에서 사용되고 있다. 취약점은 CVE-2017-12635로 공격자가 관리자가 아닌 권한으로 관리자 권한을 획득하고 궁극적으로는 임의의 코드를 실행할 수 있다.
시스코^(Cisco)의 협업 제품인 Voice Operating System^(VOS)에서 심각한 취약점들이 발견되었다. 시스코에 따르면, 이 취약점들은 VOS에 기반한 제품들의 업그레이드 방식에 영향을 미친다. CVE-2017-12337 번호가 부여된 취약점은, 인증되지 않은 공격자가 원격으로 이 취약점을 공격하여 해당 장비의 루트 권한의 제어권을 획득할 수 있다.

Detailed News List

Apache CouchDB
- ^{[SecurityWeek]} Critical Vulnerabilities Patched in Apache CouchDB
Cisco Voice Operating System
- ^{[SecurityWeek]} Critical Flaw Exposes Cisco Collaboration Products to Hacking
- ^{[SecurityAffairs]} Cisco issued a security advisory warning of a flaw in Cisco Voice Operating System software

Privacy

Summaries

왓츠앱의 보낸 메시지 삭제 기능이 실제로는 삭제되지 않는다는 기사가 나왔다. 왓츠앱^(WhatsApp)은 최근 메시지 전송 취소기능을 소개한 바 있다. 메시지를 잘못 보냈을 경우 해당 메시지를 취소하면 ‘이 메시지는 삭제되었습니다^{(This message was deleted)}‘라고 바뀌며 화면상에 보이지 않게 된다. 이는 문자 메시지외에 사진, 동영상, GIF, 보이스 메시지에도 적용된다. 그러나 실제로는 스냅챗^(Snapchat)이 영구히 삭제된다^{(disappeared forever)}고 말했던 것과 다르게 스마트폰에 저장되었던 것 처럼, 왓츠앱 메시지도 기기에 그대로 남아있으며 쉽게 접근할 수 있다는 것이다.
아이폰의 페이스아이디 기사는 여전히 계속되고 있다. 최초 애플이 광고했던 바와는 확연히 다르게, 3D 프린터로 만들어낸 가면과 닮은 얼굴로도 인증이 뚫려버려서 기사는 꽤 오래 지속될 것으로 보인다.

Detailed News List

WhatsApp Messages
- ^{[NakedSecurity]} Deleted WhatsApp sent messages might not be gone forever
- ^{[Android Jefe]} How to SEE a deleted WhatsApp message after 7 minutes
- ^{[WeLiveSecurity]} Think you deleted that embarrassing WhatsApp message you sent? Think again
- ^{[eHackingNews]} WhatsApp: Deleted messages can be read using Third-Party app
Apple FaceID
- ^{[NakedSecurity]} Apple’s Face ID security fooled by simple face mask

Data Breaches/Info Leakages

Summaries

로스엔젤레스에 위치한 의류 소매업체인 Forever 21이 신용카드 정보에 허가되지 않은 접근이 있었다고 발표했다. Forever 21은 고객들에게 자사의 카드지불 시스템에 대한 조사를 시작했다고 공지했다. Forever 21은 2015년에 암호화 및 토큰화 시스템을 구현했으나 몇몇 Forever 21 매장의 일부 PoS^{(Point-of-Sale)} 장치들의 암호화가 동작하지 않고 있었다고 밝혔다.
유명 드론 제작사인 DJI가 SSL과 펌웨어 키를 GitHub에 몇년간이나 공개해 왔던 것으로 드러났다. 중국의 드론 제조사인 DJI가 .com 도메인 HTTPS 인증서^{(certificate)}의 비밀키^{(Private key)}를 GitHub에 4년간이나 공개해온 것으로 드러났다. SSL 비밀키는 DJI 소유의 GitHub 리포지토리에서 발견되었다. AWS 계정 인증정보와 펌웨어 AES 암호화 키 역시 노출되었는데, 잘못 설정되어 공개되어있는 AWS S3 버켓 정보도 있었다. DJI는 해당 HTTPS 인증서를 회수^(Revoked)조치 하고 9월달에 새로운 인증서를 발급받았다.
Cash Converters가 데이터 유출 사고가 있었다고 인정했다. Cash Converters는 사용자이름, 비밀번호, 주소 정보가 제3자에 의해 접근되었을 가능성이 있다고 언급했다. 이 데이터 침해 사고는 2017년 9월에 교체된 구 영국^(UK)사이트의 정보가 노출되었다. Cash Converters는 사람들이 보석이나 전자기기 등을 현금으로 거래하는 사이트다.

Detailed News List

Forever 21
- ^{[NakedSecurity]} Forever 21 informs customers of a potential data breach
- ^[SCMedia] Forever 21 reports data breach, failed to turn on POS encryption
- ^{[HotForSecurity]} Forever 21 clothing stores hit by credit card data breach after encryption failure
DJI
- ^{[TheRegister]} Drone maker DJI left its private SSL, firmware keys open to world+dog on GitHub FOR YEARS
Cash Converters
- ^[BBC] Cash Converters reveals customer data breach
- ^{[TheRegister]} Pawnbroker pwnd: Cash Converters says hacker slurped customer data

Internet of Things

Summaries

최근에 공개된 수십억 대의 안드로이드, iOS, 윈도우즈, 리눅스 장치들에 영향을 미치는 일련의 치명적인 블루투스 취약점들이, 수백만 대의 구글 홈^{(Google Home)}이나 아마존 에코^{(Amazon Echo)}와 같은 목소리로 제어되는 개인비서^{(Personal assistant)} 장치들 에서도 발견되었다. 블루본 공격은 총 8개의 블루투스 구현 취약점을 공격하는 정교한 공격법에 붙여진 이름이다. 이 공격법은 범위내에 있는 공격자가 대상 장치에서 악의적인 코드를 실행하거나 민감한 정보의 탈취, 제어권 장악, 중간자 공격 수행을 할 수 있게 한다.
몇년에 걸친 규제 단속에도 불구하고 일부 보안 카메라가 여전히 해커에게 무방비로 공개되어 있다는 결과가 나왔다. 메릴랜드^(Maryland)에 위치한 사이버보안 스타트업인 ReFirm이 미국내에서 TRENDnet, Belkin, Dahua 제조사에 의해 판매되는 인터넷 연결 제품들에서 취약점을 찾아냈다고 밝혔다. 이 취약점은 보안 카메라의 비디오 피드에 자유로이 접근할 수 있는 취약점이다.
자기 자동차의 인포테인먼트 시스템^{(infotainment system)}을 조사한 보안연구가의 놀라운 결과가 공개되었다. 자기차의 시스템을 조사한 이 연구가는 현대 소프트웨어 보안 원칙이 반영되지 않은 설계로 만들어 졌다고 말했다. 사용자의 스마트폰으로 부터 취득한 수많은 개인정보를 저장하고 있다는 것이다. 차량의 인포테인먼트 기기에서 코드를 실행시키는 것이 특별히 제작된 스크립트를 넣은 USB 플래시 드아리브를 접속시키는 정도로 아주 쉬우며, 시스템이 이 파일을 자동으로 읽고 전체 관리자 권한으로 실행시킨다. 또 이 연구자는 전화 기록, 연락처, 문자메시지, 이메일 메시지, 모바일 폰의 디렉토리 목록까지 차량에 동기화되어 인포테인먼트 기기에 평문으로 영구적으로 저장되는 중대한 프라이버시 문제를 찾아냈다.

Detailed News List

Amazon Echo/Google Home
- ^{[TheHackerNews]} Bluetooth Hack Affects 20 Million Amazon Echo and Google Home Devices
- ^{[SecurityWeek]} Amazon Echo, Google Home Vulnerable to BlueBorne Attacks
- ^[Armis] BlueBorne Attack
- ^[Armis] BlueBorne Cyber Threat Impacts Amazon Echo and Google Home
- ^[ZDNet] Google Home and Amazon Echo hit by big bad Bluetooth flaws
Vulnerable Security Cameras
- ^{[TheWashingtonPost]} Years after regulatory crackdown, some security cameras still open to hackers
Car Infotainment System
- ^{[MotherBoard]} Researchers Hack Car Infotainment System and Find Sensitive User Data Inside

Social Engineering/Phishing/Con/Scam

Summaries

싱가폴에서 경찰을 사칭한 웹사이트를 통해 $60,000의 사기 피해가 일어났다. 11월 13일에 60세의 여성이 사기에 넘어가 일생동안 저축한 $60,000 가량의 금액을 잃어버리는 사건이 발생했다. 이 사건은 싱가폴 경찰^{(SPF, Singapore Police Force)}이라 주장한 누군가의 전화 한통으로 시작되었다. 전화에서 은행 계좌가 돈세탁 등의 악의적인 목적으로 사용되고 있다고 하며 개인정보 및 은행 정보를 요구했다. 그리고 수사가 진행중이므로 누구에게도 이 내용을 발설하지 말라며 경고했다. 그리고 이튿날 가짜 경찰 웹사이트로 연결되는 링크를 받았고, 결국엔 $60,000에 달하는 금액이 사라졌다.

Detailed News List

Fake Police Website Scam
- ^[HackRead] Woman scammed for $60,000 through fake Police website

Technologies/Technical Documents/Statistics/Reports

Summaries

NSA와 CIA의 익스플로잇들이 유출되어 공개되고 미 정부의 VEP^{(Vulnerabilities Equities Policy)} 프로세스가 공개된 와중에, 기타 다른 정부들도 자신들의 제로데이 익스플로잇을 가지고 있을 것이라는 믿음에는 이제 의심의 여지가 없다. 그러나 이에 대한 정보는 알려진 바가 거의 없었다. 그러나 레코디드퓨처^{(Recorded Future)}가 오늘 발표한 보고서에 따르면, 중국 정부와 관계가 있을 수 있는 APT 그룹이 사용하는 심각한 취약점들에 대한 정보는 공개를 늦추고 있다는 결과를 내놓았다. 중국에는 중국 국가 안보부^{(MSS, Chinese Ministry of State Security)}에서 운영하는 보안 취약점 데이터베이스^{(CNNVD, China’s National Vulnerability Database)}가 있다. 이 데이터베이스는 일반적으로 미국의 유사한 NVD^{(National Vulnerability Database)}와 비교할 때 취약점을 더 빨리 공개한다. 그러나 몇몇 경우에서 느린 경우가 발견되었는데, 이 ‘아웃라이어’들의 경우가 놀라운 결과를 보여준다. 첫번째 경우는 CVE-2017-0199로 WannaCry와 NotPetya 대란에서 사용된 익스플로잇이다. 상세정보가 NVD에서 2017년 4월 12일에 공개되었고 CNNVD에서는 50일 이후까지 발표되지 않았다. WannaCry 대란은 주로 북한 해커들과 연관되어 왔으나, 연구자들은 TA459라고 알려진 중국의 그룹도 동일한 취약점을 동일한 시기에 러시아 및 벨라루스^(Belarus)의 군대 및 항공^(Aerospace) 기관들에 사용했다고 지적했다. 두번째 경우는 CVE-2016-10136과 CVE-2016-10138 이다.

Detailed News List

China Vulnerability Disclosures
- ^{[SecurityWeek]} China May Delay Vulnerability Disclosures For Use in Attacks
- ^[CyberScoop] China hides homegrown hacks from its vulnerability disclosure process
- ^{[InfoSecurityMagazine]} Beijing Delays Bug Reports While Hackers Exploit Flaws — Report

Security Newsletters, Nov 14th, 2017

Posted on 2017-11-14 - 2017-11-14 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

중국과 관련된 사이버 스파이 그룹이 리버^(Reaver)라는 새로운 종류의 악성코드를 사용하고 있다. 팔로알토 네트웍스^{(Palo Alto Networks)}의 보안전문가들이 Reaver라는 이름의 새로운 악성코드를 찾아냈으며 SunOrcal 악성코드를 사용했던 해커와 관련이 있다고 말했다. 이 중국 사이버 스파이들은 흔치 않은 방법인 윈도우 제어판 파일^{(CPL, Windows Control Panel)}을 사용한다. 팔로 알토 네트웍스에 따르면 0.006%의 악성코드만 이런 방식을 사용한다. 이 악성코드는 SunOrcal 악성코드를 사용한 공격자와 관련이 있어 보이는데, SunOrcal 활동은 최소 2013년에 문서로 확인되었고, 메타데이터에 기반해서는 2010년 정도까지 예상된다. 새로운 악성코드는 2016년 늦게부터 관찰되기 시작했고, 10개의 유일한 샘플들이 확인되는 것으로 봤을 때 드물게 사용되는 것이라고 연구자들은 말했다.
북한에 의한 영국을 대상으로 한 사이버 공격이 내년에 더 많아질 것이라는 전문가의 의견이 나왔다. 지난 WannaCry의 NHS 해킹에 대해 영국 안보부 장관이 김정은 정권을 비난한 바 있다. The Sun의 보도에 따르면 영국의 첩보기관인 GCHQ의 전 국장인 로버트 해니건^{(Robert Hannigan)}은 서방국에 대한 공격에 대비해야 한다고 말했다. 그는 메이 페어^(Mayfair)에서 열린 사이버 보안 회의^{(Cyber security summit)}에서 WaanaCry는 매우 정교한 도구였으며, 거기에서 배운 것이 있을 것이라고 말했다. 이 도구를 더 잘 사용항 벙법을 찾을 것이며, 더 정교한 도구들이 존재하기 때문에 그것들을 사용하기 시작할 것이라고 말했다. 그리고 더 많은 랜섬웨어가 나타날 것이고 더 큰 규모의 공격이 이어질 것이라 전망했다.

Detailed News list

Reaver
- ^{[SecurityAffairs]} A China-linked cyber espionage group has been using a new strain of malware dubbed Reaver
- ^{[SecurityWeek]} Chinese Cyberspies Deliver New Malware via CPL Files
North Korea
- ^{[The Sun]} North Korea to launch more cyber attacks on Britain that will bring ‘collateral damage’

Malwares/Exploits/Vulnerabilities

Summaries

안티바이러스^{(AV, AntiVirus)} 제품이 상승된 권한으로 실행되는 점을 악용하여, AV의 검역소^(Quarantine)를 통해 악성코드를 일반 사용자 권한으로는 기록할 수 없는 시스템 폴더 등에 설치하는 취약점인 ^AVGater에 대한 기사가 지난주에 이어 계속되고 있다. 오스트리아 기업 Kapsch의 보안 연구가인 Florian Bogner에 따르면 해커들이 검역소 기능으로부터 복구하는 것을 공격하는 법을 알아냈으며, 다수의 AV 제품이 이에 영향이 있다고 말했다.

Detailed News List

AVGater
- ^[HackRead] New Vulnerability Exploits Antivirus Programs to Install Malware

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

버그 현상금 제도^{(Bug bounty programs)}와 취약점 공개 정책^{(Vulnerability disclosure policy)}으로 펜타곤이 수천개의 취약점을 수정할 수 있었다는 기사가 나왔다. 거의 1년전에 발표된 취약점 공개 정책과 2016년에 펜타곤에 의해 시작된 ‘Hack the Pentagon’ 버그 현상금 프로그램이 미 정부기관이 전세계 50개국의 650명의 화이트 해커로부터 2,837건의 버그 리포트를 받아볼 수 있게 했다. 해커들은 현상금으로 $300,000를 벌었고, 거의 40개의 국방부 컴포넌트에서 500개의 취약점을 찾아냈다. 100개 이상의 취약점들이 치명적^(critical)이나 높음^(high) 수준이었다.
힐튼 호텔^{(The Hilton hotel chain)}이 신용카드 데이터 유출에 대한 합의금^(settlement)으로 $700,000를 지불한다. 힐튼 호텔이 70만 달러의 합의금을 고객의 금융 데이터를 노출시킨 두 건의 사이버 공격에 대하여 잘못된 대응으로 70만 달러의 합의금을 지불한다. 힐튼호텔에는 2014년과 2015년에 지불 시스템에 POS 악성코드가 설치되어 363,000개의 신용카드 정보가 유출되는 사고가 있었다.

Detailed News List

Bug bounty program & Vulnerability disclosure policy
- ^{[SecurityAffairs]} Bug bounty programs and a vulnerability disclosure policy allowed Pentagon fix thousands of flaws
- ^{[SecurityWeek]} Hackers Helped Pentagon Patch Thousands of Flaws
Hilton hotel
- ^{[SecurityAffairs]} The Hilton hotel chain is paying a $700,000 settlement for credit card data breaches

Patches/Updates

Summaries

Lovense가 사용자 세션 녹음을 스마트폰에서 지울 수 있도록 버그를 수정했다. 원격으로 섹스토이^{(sex toys)}를 조종하기 위한 스마트폰 어플리케이션이 바이브레이터가 동작중일 때 녹음을 한다는 주장이 지난주 Reddit 사용자에 의해 게시되었다. 이틀 뒤, 제작자는 안드로이드 어플리케이션이 사운드 컨트롤 기능을 사용했을 때 임시파일을 생성하지만 회사의 서버로는 전송하지 않는다고 밝혔다. “캐시파일이 세션이 종료된 후 삭제되는 것이 아니라 스마트폰에 남아있게 되고, 새로운 파일을 생성하지 않고 이 파일을 덮어쓰게 된다”며 사소한 버그라고 말했다. 제작사는 이 버그는 안드로이드에만 존재하며 최신버젼의 Lovense Remote Android App(v3.0.7)에서는 수정되었다고 확인했다.
HelpNetSecurity의 11월 화요일 패치^{(Patch Tuesday)} 예고가 나왔다. KRACK 및 Adobe에 대한 패치 당부와 함께 화요일 패치 예보로는 다음과 같은 것을 예상했다. 마이크로소프트의 정기적 운영체제 업데이트와 함께, 새로운 닷넷^(.NET)이 릴리즈 된다. 이번달에는 최신 취약점을 반영한 플래시^(Flash)의 릴리즈도 있을 예정이다. 어도비^(Adobe)는 플래시, 아크로뱃^(Acrobat), 리더^(Reader) 업데이트를 릴리즈 할 예정이다. 모질라^(Mozilla)는 새로운 버젼의 파이어폭스^(Firefox)를 릴리즈한다.
VMWare가 vCenter Server의 취약점을 패치했다. 정보 수집 및 원격 서비스거부(Dos, Denial of Service)공격에 영향을 받을 수 있는 vCenter Server 관리 소프트웨어의 취약점들이 수정되었다. 취약점들은 조작된 LDAP 네트워크 패킷을 전송해서 원격으로 DoS 상태를 만들 수 있는 CVE-2017-4927, 플래시 기반의^{(Flash-based)} vSphere Web Client에 영향을 미치는 SSRF^{(Server-Side Request Forgery)}, CRLF^{(Carriage Return Line Feed)} injection bug인 CVE-2017-2938이다. VMWare는 HTML5기반의 어플리케이션은 영향을 받지 않는다고 이야기했다.

Detailed News List

Teledildonics
- ^{[HelpNetSecurity]} Teledildonics maker Lovense fixes bug to delete recordings of user sessions from phones
Patch Tuesday forecast
- ^{[HelpNetSecurity]} November Patch Tuesday forecast: .NET, Adobe, Firefox and more
vCenter Server
- ^{[SecurityWeek]} VMware Patches Vulnerabilities in vCenter Server

Privacy

Summaries

애플^(Apple)사의 아이폰^(iPhone)X에 내장된 페이스아이디^{(Face ID)}기술이 3D 프린터로 출력한 마스크와 종이 이미지로 해킹^{(잠금풀기)}에 성공했다. 마스크는 제작에 약 150 달러 미만으로 소요된 것으로 알려졌다. 애플은 아이폰X를 공개하면서 페이스아이디 기술이 상당히 안전하며 페이스아이디에 대한 공격에 대비하여 많은 공을 들였다고 발표했다. 그러나 베트남의 보안 기업 Bkav의 연구원들은 iPhone을 3D프린터로 제작한 가면과 2D 프린터 이미지, 실리콘을 사용해 만든 코를 조합해 잠금 해제할 수 있었다.
FBI가 법원에서 암호화에 대해 논쟁하기를 꺼려서는 안된다는 로드 로젠스타인^{(Rod Rosenstein)} 미 법무부 부장관의 이야기에 대한 기사가 나왔다. 2016년에 FBI와 애플^(Apple)사 간에 연방법원에서 있었던, 정부기관의 암호화된 장비의 접근에 대한 대립은 문제를 해결하지 못했었다. FBI에 고용된 회사가 대량 총기 살인범의 아이폰^(iPhone)을 해킹할 수 있었을 때, 이 사건은 논쟁거리가 되었다. 그러나 미 법무부^{(DoJ, the US Department of Justice)}가 주장하는 바에 따르면 내용물에 접근할 필요가 있는 잠겨있는 전화기가 수천대가 존재한다. 그래서 앞으로 미 법무부와 실리콘 밸리가 법정에서 또다시 만날 가능성이 존재 한다.
유튜브^(YouTube)가 어린이를 대상으로하는 부적절한 동영상을 차단한다. 부적절한 내용의 동영상을 걸러내기 위해 인간이 개입하지 않는 자동화된 필터들을 아동용 YouTube Kids 사이트에 적용한다. 스파이더맨이 엘사에게 소변을 누고, 미키마우스가 미니마우스가 지켜보는 가운데 피가 흥건한 채로 길에 누워있는 등의 부적절한 비디오들은 자동화된 광고와 함께 등록된다. 수익이 발생하기 때문에 이러한 동영상들이 등록되는 것이다. 그러나 유튜브에서는 이러한 친밀한 캐릭터들을 사용해 컨텐츠 제작자가 부족절한 수익을 내는 것을 불가능하게 한다고 발표한 바 있다.

Detailed News List

Face ID Hack
- ^{[The Hacker News]} Apple iPhone X’s Face ID Hacked (Unlocked) Using 3D-Printed Mask
- ^[HackRead] All it took for researchers was a mask to bypass iPhone X Face ID
- ^[Gizmodo] Vietnamese Firm Bkav Claims to Have Beaten Apple Face ID With an Elaborate Mask
- ^{[SecurityWeek]} iPhone X’s Face ID Bypassed by a Mask
Encryption
- ^{[NakedSecurity]} FBI “should not be reluctant” to challenge encryption in court
YouTube
- ^{[NakedSecurity]} YouTube to crack down on inappropriate videos targeting kids

Mobile/Cloud

Summaries

구글이 자사의 구글 플레이^{(Google Play)}에서 안드로이드 접근성 서비스^{(Android Accessibility Services)}를 잘못 사용하는 앱을 제거할 예정이다. 장애가 있는 사용자의 어플리케이션 사용을 돕기 위해 접근성 서비스^{(Accessibility Services)}를 구현하여 제공하는 안드로이드 개발자들에게 30일 이라는 변경 기간이 주어졌다. 변경하지 않으면 앱이 구글 플레이에서 제거되고 개발자 계정은 종료^(terminated)된다. 구글은 아직 왜 이러한 행보를 보이는지에 대해서는 명확히 밝히지 않았지만, Stymie 악성코드 개발자에 대한 조치라고 보여진다.

Detailed News List

Google Play & Android Accessibility Services
- ^{[HelpNetSecurity]} Google will remove apps that misuse Android Accessibility Services from Google Play
- ^{[SecurityWeek]} Google to Ban Android Apps Misusing Accessibility Service

Industrial/Infrastructure/Physical System/HVAC

Summaries

지난 8일 열렸던 2017 CyberSat Summit에서 언급된 보잉^(Boeing) 757 비행기가 원격으로 해킹 가능했다는 발표에 대한 기사가 다시 이어졌다. 2017 CyberSat Summit에서 국토안보부^{(DHS, Department of Homeland Security)}의 로버드 히키^{(Robert Hickey)}는 보안연구가들이 2016년 9월 19일에 뉴저지^{(New Jersey)} 주의 애틀란틱 시티^{(Atlantic City)} 공항에 있는 보잉 757 비행기를 원격으로 해킹하는데 성공했다고 이야기했다. 자세한 기술적 내용은 공개되지 않았지만, 히키는 이 해커 팀이 보잉 757의 라디오 주파수 통신 취약점을 공격해 침입할 수 있었다고 말했다. 보잉사는 757를 2004년에 생산 중단했지만, 2017년 7월에 738대의 보잉757기가 다양한 산업분야에 걸쳐서 운영중이다. 더 충격적인 사실은 90%의 상업 비행기들이 보호장치를 갖추고 있지 않으며, 737s의 신규 모델과 787, 에어버스그룹^{(Airbus Group)} A350만이 보안을 염두에 두고 설계되었다는 점이다.
공급사슬공격^{(Supply chain attack)}으로 ATM 봇넷을 쉽게 만들어 낼 수 있다는 기사가 나왔다. 카스퍼스키랩^{(Kaspersky Lab)}의 연구원 Olga Kochetova와 Alexey Osipov는 지난 주 부카레스트^(Bucharest)에서 열린 DefCamp 2017 보안 컨퍼런스에서 이와 같이 이야기했다. ATM^{(Automated Teller Machine)}들이 취약한 소프트웨어를 운영하고 있으며, 많은 기계들이 이미 지원이 끊긴 Windows XP를 사용해 근본적으로 취약한 상태로 운영된다는 것. 그러한 이유로 TeamViewer나 이전 버전의 Adobe Acrobat Reader와 같은 취약점이 있는 응용프로그램이 ATM에서 불필요하게 운영되고 있다는 것이다. 게다가 은행이 ATM^{(Automated teller machine)}에 대한 업데이트를 잘 반영하지 않으며, 이는 악성코드나 다른 종류의 공격에 취약하게 한다고 말했다. ATM기기의 보안은 보통 매우 취약해서, 현금을 지키는 보안이 각 부분이 안전하지 않으며 한 부분이 무너지면 전체 체인이 무너질 수 있다는 것이다.

Detailed News List

Boeing 757
- ^[HackRead] Homeland Security Hackers Remotely Hack Boeing 757
- ^{[SecurityAffairs]} DHS – Tests demonstrate Boeing 757 airplanes vulnerable to hacking
ATM Botnets
- ^{[SecurityWeek]} Creating ATM Botnets Not Difficult, Researchers Say

Technologies/Technical Documents/Reports

Summaries

땀으로 스마트폰을 잠금 해제하는 시대가 올 것으로 보인다. 알바니 대학교^{(University at Albany)}의 과학자들이 우리 신체의 땀을 이용해 웨어러블 장치와 스마트폰을 잠금해제하기 위한 새로운 신체인식 기반의 인증 개념을 개발했다. 연구원들은 이 새로운 접근법이 피부 분비물인 땀을 분석하는 방법에 기반한다고 말했다. 땀이 유일무이한 아미노산 프로필을 생성한다는 것. 이 정보는 장비 소유주와 연관지을 수 있다.

Detailed News List

Unlock with body sweat
- ^[HackRead] You can soon securely unlock smartphone with your “body sweat”