Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Malwares/Exploits/Vulnerabilities
Summaries
- 엑셀(Excel) 파일을 읽는데 사용하는 LibXL C 라이브러리에서 다수의 취약점이 발견되었다. 각각의 취약점들은 취약점 점수 체계 척도(Common Vulnerability Scoring System scale)에서 8.8점을 받았다. 공격자는 특별하게 조작된 XLS파일을 사용하는 방식으로 이 취약점들을 공격해서 원격 코드 실행(Remote code execution)을 할 수 있다. 시스코 탈로스(Cisco Talos) 연구자들에 따르면 이 LibXL 라이브러리는 Windows, Mac, Linux에서 지원되며, 구형 엑셀97 부터 현재의 XLS까지 마이크로소프트 엑셀 파일 형식의 파일들을 읽을 수 있다. 발견된 취약점들은 각각 CVE-2017-2896, CVE-2017-2897, CVE-2017-12110, CVE-2017-2919, CVE-2017-12108, CVE-2017-12109, CVE-2017-12111 이다.
- 아마존(Amazon)이 키 서비스(Key service) 해킹을 차단하기 위한 보완을 약속했다. Rhino Security의 보안연구가들은 아마존의 Key 배달 서비스와 클라우드 캠 보안 카메라에서 취약점을 찾은바 있다. 이 취약점은 공격자가 카메라를 조작해 오프라인으로 만들어, 집에 누군가 들어오는 것이 보이지 않게 만든다. 아마존의 키 서비스는 집 주인이 원격으로 방문객을 위해 정문을 열거나 잠글 수 있도록 해준다. 이 서비스는 아마존의 클라우드 캠 보안 카메라와 함께 결합하여 동작한다. 그리고 만약 사용자가 프라임 멤버인 경우, 아마존 배달원이 인증을 통해 배달 대상 고객의 집 정문을 열고 소포를 문 안쪽에 넣어두고 다시 잠글 수 있도록 해주는 서비스다.
- 구글 플레이스토어(Google Playstore)에 등록되어 있는 어플리케이션에서 악성코드군이 3개 더 발견되었다. McAfee, ESET, Malwarebytes의 리포트에 따르면 다수의 악성 어플리케이션이 구글 플레이스토어에서 발견되었다. 각각 Grabos, TrojanDropper.Agent.BKY, AsiaHitGroup을 발견해 리포트로 발표했다.
Detailed News List
- LibXL Library
- Amazon Key Service
- Malicious Apps on Goole Playstore
- [SCMagazine] 3 More Android Malware Families Invade Google Play Store
- [McAfee] New Android Malware Found in 144 GooglePlay Apps
- [ESET] Multi-stage malware sneaks into Google Play
- [Malwarebytes Labs] New Android Trojan malware discovered in Google Play
- [Information Security Buzz] ESET Researchers Have Discovered Malware With Improved Ability To Bypass Google Play’s Protection Mechanisms
Legislation/Politics/Policies/Regulations/Law Enforcement/Trials
Summaries
- 1/3의 미국 기업들이 유럽의 새로운 개인정보보호규정인 GDPR(General Data Protection Regulation)에 대비가 안되어있다고 느낀다는 조사 결과가 나왔다. Censuswide에 의해 진행된 이 조사는 유럽과 미국의 조직들이 2018년 5월까지인 GDPR 준수 데드라인에 대해 본사가 어디에 위치해 있는지와는 상관없이 EU 국민들의 개인정보를 처리하는 기관에게는 상당한 부담이 되고 있다는 것을 보여준다. 이는 미국 기관이라도 유럽 국민의 데이터를 처리하는 기관은 2018년 5월까지 GDPR 규정을 준수해야 한다는 의미다. 연구 결과에 따르면 35%의 미국 기관들이 이미 GDPR을 제시간내에 준비하지 못할 것이라 예상했다. 거기에 덧붙여, 미국 기관들은 GDPR이 사업에 미칠 영향에 대해서도 우려하고 있다.
- 트위터(Twitter)가 백인 우월주의자들에 대한 강경한 정책을 내놓았다. 지난 15일 트위터는 TwitterSupport 계정으로 확인(Verification) 프로그램 정책 변경 트윗 메시지를 게시했다. 실제로 트위터는 확인됨(verified badges) 뱃지에 대한 정책을 변경했다. 새로운 정책에 따르면, 트위터 사용자는 다른 사람을 괴롭히는(harassment) 선동(inciting)을 하거나 직접 관여(engaging)할 경우, 인종(race), 민족(ethnicity), 국적(national origin), 성적취향(sexual orientation), 성별(gender), 성 정체성(gender identity), 소속 종교(religious affiliation), 나이, 장애, 질병에 기반해 다른 사람들을 직접적으로 공격(directly attacking) 또는 위협(threatening)하거나 증오나 폭력을 조장하는(promoting hate and/or violence) 행위, 이러한 생각을 조장하는 이를 지지하는(supporting) 행위, 그리고 기타 다른 이유로 파란색 확인 뱃지를 잃을 수 있다. 검증(Verification)이 보증/지지(endorsement)로 오랫동안 잘못 인식되어 온 것에 대한 조치라는 평가다.
- 뉴욕경찰이 휴대전화를 감시하고 싶은 경우 영장을 필요로 한다는 판결이 내려졌다. 뉴욕주 판사는 경찰의 강력한 감시 도구인 일명, 가오리(스팅레이, stingray)라는 장치가 실제의 정상적인 휴대전화 기지국을 흉내내며, “검색”을 수행하기 때문에 대부분의 상황에서 영장을 받아야 한다고 결론을 내렸다. 브루클린의 뉴욕 주 대법원 판사는 이번달 초 살인 미수 건에서 뉴욕 경찰국 경찰관은 침입(invasive) 장비를 사용하기 전에 표준을 따라, 상당 근거에 의한 영장을 받았어야 했다고 판결을 내렸다. ARS의 2013년 기사에 따르면 스팅레이(Stinglay)는 기지국을 속여서 휴대전화의 위치를 가늠할 수 있다. 그리고 일부의 경우, 스팅레이는 전화나 문자 메시지를 가로챌 수 있다. 한번 설치되고나면, 이 장치는 대상 휴대전화의 데이터를 인근에 위치한 휴대전화의 정보화 함께 가로챈다.
Detailed News List
- GDPR
- [HelpNetSecurity] A third of US businesses do not feel prepared for GDPR deadline
- [InformationSecurityBuzz] GDPR – Know The Seven Key Principles
- [DarkReading] We’re Still Not Ready for GDPR? What is Wrong With Us?
- Twitter against White supremacists
- [NakedSecurity] Twitter gets tough on white supremacists with new policy
- NYPD Stinglay
Privacy
Summaries
- 아마존(Amazon) S3 버킷(Bucket)의 잘못된 설정으로 데이터가 유출되는 사고가 또 발생했다. 이번에는 문제가 되는 것이 미군(US Military)에 의한 소셜미디어에서의 테라바이트 단위의 감시 결과가 온라인에 노출된 것이다. 이 잘못 설정된 아마존 S3 버킷들은 소셜미디어 포스트와 요주의 인물(Person of interest)을 식별 및 프로파일링 하기 위해 미군에 의해 전 세계로부터 수집된 유사 페이지들이 포함되어 있었다. 이 문서들은 Chris Vickey에 의해 발견되었으며, 세개의 버킷들 이름은 각각 centcom-backup, centcom-archive, pacom-archive다. CENTCOM은 미 중앙사령부(US Central Command)의 축약어다. 미군 사령부는 중동, 북아프리카, 중앙아시아를 담당한다. 유사하게, PACOM은 미 태평양 사령부(US Pacific Command)로 남아시아, 중국, 호주를 담당한다. 하나의 버킷에는 8년 전 부터 지금까지 자동화된 수집 활동을 보여주는 18억개의 소셜 미디어 포스트 결과가 담겨있었다.
Detailed News List
- US military social media surveillance
- [SecurityAffairs] Terabytes of US military social media surveillance miserably left wide open in AWS S3 buckets
- [PacketStorm] Massive US Military Social Media Spying Archive Left Wide Open In AWS S3 Buckets
- [HackRead] Misconfigured Amazon S3 Buckets Exposed US Military’s Social Media Spying Campaign
- [Techdirt] Defense Department Spied On Social Media, Left All Its Collected Data Exposed To Anyone
- [CyberScoop] Pentagon left AWS databases publicly exposed
Industrial/Infrastructure/Physical System/HVAC/SCADA
Summaries
- 11월 초 테네시(Tennessee) 주의 스프링 힐 시티(City of Spring Hill)가 랜섬웨어 공격을 받은 바 있다. 그러나 정부에서는 사이버 범죄자들이 백업으로부터 데이터베이스 내용을 복원하는데 요구한 $250,000의 몸값 제공을 거부했다. 이 악성코드는 도시에 심각한 상처를 남겼고, 수많은 일상적인 행동들에 영향이 있었다. 근무자들이 이메일에 접근하지 못하거나, 입주민들은 온라인으로 세를 지불하거나 신용카드를 공과금을 내거나 법원 벌금을 내는데 사용할 수 없었다. 그리고 어떤 다른 금융거래도 불가능했다. 응급전화를 받는 사람들은 상황이 더 심각해 전화 기록을 손으로 받아써야 하는 정도였다.
Detailed News List
- City of Spring Hill
Social Engineering/Phishing/Con/Scam
Summaries
- 블랙프라이데이(Black Friday) 및 사이버 먼데이(Cyber Monday) 연중 세일 행사를 노린 각종 공격과 사기에 대한 주의 및 경고 기사가 급증하고 있다. 카스퍼스키 랩(Kaspersky Lab)에 따르면 소비자들이 놀라운 할인 기회를 얻을 수 있지만, 금융 피싱 공격이 최고치를 기록하는 날이기도 하다.
Detailed News List
- Black Friday
- [InfoSecurityMagazine] Skip Black Friday for a Safer Shopping Day: Gray Saturday
- [Malwarebytes Lab] 10 tips for safe online shopping on Cyber Monday
- [InfoSecurityMagazine] Fake Black Friday Apps Set to Cause Consumer Chaos
Mobile/Cloud
Summaries
- 체크 포인트(Check Point)가 전세계 850개 기관을 상대로 한 조사에 따르면, 모든 비즈니스가 모바일 악성코드 공격을 경험한 것으로 드러났다. 회사마다 모바일 악성코드 공격을 경험한 평균치는 54회다. 또한, 89%의 기업은 최소 한번의 중간자공격(MitM, Man-in-the-Middle attack)을 Wi-Fi 네트워크에서 겪었다. 또한 엔터프라이즈 이동성(enterprise mobility)은 주류 플랫폼인 안드로이드와 iOS 플랫폼 둘 다 공격에 매우 민감한 것으로 나타났다. 75%의 기업들이 최소 하나 이상의 탈옥(jailbroken)한 iOS 장치나 루팅(rooted)한 안드로이드 장치가 기업 네트워크에 접속되었고, 루팅되거나 탈옥한 장치들의 평균 수치는 회사당 35개였다.
Detailed News List
- 100% Mobile Cyberattack
- [InfoSecurityMagazine] 100% of Businesses Have Faced a Mobile Cyberattack
- [DarkReading] Mobile Malware Incidents Hit 100% of Businesses
Technologies/Technical Documents/Statistics/Reports
Summaries
- 절반의 기관들에서 SSH 권한에 대한 감사를 진행하지 않는 것으로 드러났다. 악의적인 내부자와 같은 사이버 범죄자들은 원격지에서 시스템에 접근하고 보안 툴들을 우회하고 권한을 상승시키기 위해 SSH 키를 사용한다. Venafi가 10월에 조사한 결과에 따르면, SSH 키가 가장 높은 관리자 엑세스 권한을 제공하더라도 정기적으로 추적하거나 관리되지 않으며 보안이 매우 취약한 것으로 드러났다.
- StartCom이 인증기관 사업에서 철수한다. 논란이 되어왔던 StartCom 인증기관이 사업에서 이제 물러난다. StartCom 의장 Xiaosheng Tan은 인터뷰에서 2018년 1월 1일 새로운 인증서를 더이상 발급하지 않으며 서비스를 중단할 것이라 밝혔다. CRL와 OCSP 서비스는 2년간 지원된다. StartCom과 Wosign 인증서는 이미 모질라, 애플, 구글, 마이크로소프트에 의해 신뢰할 수 없는 대상 목록에 올랐었다. w3tech에 따르면 0.1퍼센트의 웹사이트만 StartCom SSL 인증서를 사용하고 있다.
Detailed News List
- Auditing SSH entitlements
- [HelpNetSecurity] Half of organizations do not audit SSH entitlements
- StartCom
- [TheRegister] Shamed TLS/SSL cert authority StartCom to shut up shop