brunch

매거진 한국정보보호교육센터
라이킷 댓글 공유

You can make anything
by writing

C.S.Lewis

프로젝트 리스트 바로가기
계정을 잊어버리셨나요?
by hakawati Jun 01. 2016

2016년 20주차 정보보안 뉴스클리핑

(주)한국정보보호교육센터 F-NGS Labs

본 정보는 (주)한국정보보호교육센터의 부설 기술연구소 F-NGS Labs에서 생산한 컨텐츠입니다.

(주) 한국정보보호교육센터(www.kisec.com)

[영문 보안 뉴스 및 정보]

Top 10 Web Hacking Techniques of 2015 - WhiteHat Security
Top 10 Web Hacking Techniques of 2015 - WhiteHat Security

UPDATE – 4/20/2016 We have our Top 10 list folks! After a lot of coordination, research, voting by the community and judging by our esteemed panelists, we are pleased to announce our Top 10 List of Web Hacking Techniques for 2015: FREAK (Factoring Attack on RSA-Export Keys) LogJam Web Timing Attacks Made Practical Evading All* WAF …

www.whitehatsec.com

Facebook CTF is Now Open Source!
Facebook CTF is Now Open Source!

Although news reports about security bugs are now commonplace, it's not always obvious how people find these flaws and how you can develop the skills needed to find and protect against malicious exploits. Today, Facebook hopes to make security education easier and more accessible, especially for students, with the release of our Capture the Flag (CTF) platform to open source on GitHub! CTFs provide a safe and legal way to try your hand at hacking challenges. This new platform also takes advantage of other Facebook open source projects including HHVM and Flow. Educational Tools Due to the high cost and technical requirements of building and running CTF environments, few publicly available resources exist for schools, students, and non-profit organizations to use. Additionally, finding any security education resources at the middle and high school level is still a challenge. So, we built a free platform for everyone to use that takes care of the backend requirements of running a...

www.facebook.com

British Hacker Wins Legal Battle Over Encryption Keys
British Hacker Wins Legal Battle Over Encryption Keys

The National Crime Agency has failed in a legal attempt to force alleged hacker Lauri Love to hand over his hard disk's encryption keys.

thehackernews.com

 
How To Use Proxychains To Evade Detection in Kali Linux
How To Use Proxychains To Evade Detection in Kali Linux - Coding Security

The most important thing about doing penetration testing is anonymity, undetectable, or at least hard to be detected. The worst thing that can happen to any pentesters is being detected by a security admin, the security technologies such as IDS, firewall, etc., or a forensic investigator. We need more additional tools in order to hide our identity being exposed, VPN (Virtual Private Network) and Proxyservers are the most famous tools nowdays, but several considering RDP (Remote Desktop Protocol) as their main guard of their identity. In this article, i will discussing about a built-in anonimity service in Kali Linux and

codingsec.net

 
SSD and eMMC Forensics 2016
SSD and eMMC Forensics 2016

2016-04-18 Yuri Gubanov, Oleg Afonin © Belkasoft Research 2016 SSD and eMMC Forensics 2016 – Part 1 What Has Changed in 2016 in the Way SSD Drives Self-Destruct Evidence. Demystifying eMMC, M.2, NVMe, and PCI-E. by Yuri Gubanov, Oleg Afonin © Belkasoft Research 2016 This publication continues the series started with an article on SSD forensics we published in 2012. We investigated the issues of SSD self-corrosion, demystified trimming, garbage collection and data remapping. Two years later, we revisited the issue. Back then, manufacturers released innovations in quick succession. 3D TLC, bigger and faster drives, the end of compressing controllers and the introduction of self-encrypting SSD drives were all big news. Fast-forward to 2016, and we have abundance of cheaper SSD models with seemingly little changes on the high-tech battlefront. In addition to 2.5-inch models, we have seen a new popular form factor used in super-slim ultrabooks, and a new type of solid-state memory...

belkasoft.com

 

[국문 보안 뉴스 및 정보]

2015년 웹 해킹 공격 수법 Top 10
2015년 웹 해킹 공격 수법 Top 10

2015년의 「웹 해킹 수법 Top 10」이 발표되었다. 이 리스트는、WhiteHat Security가 주최하는 시큐리...

blog.naver.com

 
PCI DSS 3.2공개、취약성 있는 Windows XP나 Vista에서의 카드 결제도 2018년 까지 인정한다
PCI DSS 3.2공개、취약성 있는 Windows XP나 Vista에서의 카드 결제도 2018년 까지 인정한다

2018년 6월 까지는、Windows Vista나 Windows XP에서、EC 사이트에서 신용 카드 결제가 가능하다. ...

blog.naver.com

 
정부, 사이버 보안 최정예 인력 7천명 양성 나서…융합보안 시장도 육성
정부, 사이버 보안 최정예 인력 7천명 양성 나서…융합보안 시장도 육성

▲K-ICT 융합보안 발전 전략 [디지털데일리 이상일기자] 정부가 향후 5년간 사이버 보안 최정예 전문인력 7천명 양성에 나선다. 또, 사물인터넷, 커넥티드 카 등 ICT 융합산업을 위한 융합보안 기술 및 시장 육성을 추진한다. 정부는 5월 13일, 정부 서울청사에서 황교안 국무총리 주재로 ‘제7차 정보통신전략위원회’를 개최하고, K-ICT 전략 2016, K-ICT 평창 동계올림픽 실현전략 등 6개 안건을 심의‧의결했다. ◆7000여명 사이버 전문인력 양성=이 중 보안분야 시장 육성 및 경쟁력 강화를 위해 사이버 시큐리티 인력양성 종합계획과 K-ICT 융합보안 전략을 구체화해 주목된다. 첫 번째로, 지능정보산업을 K-ICT 전략산업에 추가해 10대 전략산업으로 개편하고, 지능정보산업과 SW, 정보보안, IoT, 클라우드, 빅데이터, 5G, UHD, 디지털콘텐츠, 스마트디바이스 등 기존...

www.ddaily.co.kr

 
‘디지털 증거’ 증거능력 인정받기 쉬워진다
‘디지털 증거’ 증거능력 인정받기 쉬워진다

‘디지털 증거’ 증거능력 인정받기 쉬워진다

m.lawtimes.co.kr

 
[XML 취약점] XPATH Injection XXE Injection XML Cross Site Scripting
[XML 취약점] XPATH Injection XXE Injection XML Cross Site Scripting

취약점 분석[XML 취약점] - XPATH Injection, XXE Injection, XML Cross Site Scriptin...

blog.naver.com

 
한국 겨냥 인터넷 익스플로러 제로데이 표적공격
[긴급] 한국 겨냥 인터넷 익스플로러 제로데이 표적공격

인터넷 익스플로러(Internet Explorer)의 취약점을 이용한 한국 겨냥 제로데이 표적공격이 발견됐다. 이에 사용자들은 마이크로소프트(MS)가 배포한 해당 제로데이 취약점에 대한 최신 보안 업데이트 패치를 즉시 설치해야 한다.

www.boannews.com

 
스턱스넷을 능가하는 치명적인 PLC 웜 발견
스턱스넷을 능가하는 치명적인 PLC 웜 발견

PLX 데이터 고치거나 무한루프 이용해 PLC를 멎게 할 수 있어

dailysecu.com

 
실전 네트워크 보안 모니터링
실전 네트워크 보안 모니터링

네트워크 보안 모니터링은 예방 작업이 언젠가는 실패할 것이라는 개념을 전제로 한다. 현재의 위협 환경에서는 아무리 보호에 노력을 해도 강한 동기가 있는 공격자는 결국 네트워크를 침입할 수 있는 경로를 찾게 된다. 이런 상황에서는 침입 탐지와 대응 능력의 차이에 따라 작은 보안 사고로 끝나거나 대형 사고로 이어질 수 있다. 이 책은 NSM 사이클의 3가지 단...

www.yes24.com

 
오픈소스 취약점 단번에 찾아주는 ‘소스클리어’
오픈소스 취약점 단번에 찾아주는 '소스클리어'

오픈소스 기술은 개발자들에게 유용한 정보를 가지고 있지만, 이를 기업내 서비스나 시스템에 통합할 때는 반드시 몇 가지 사항을 점검해야 한다. 우선 라이선스를 확인해야 하고, 버전이나 보안 취약성도 확인해야 한다. 이러한 과정은 오픈소스 기술을 처음 다루는 사람에게 쉬운 일이 아니다. 미국의 한 스타트업은 이러한 고민에 빠져있는 개발자들을 돕기 위해 오픈소스 취약점만 전문적으로 찾아주는 서비스를 공개했다. '소스클리어'라는 기술이다. 소스클리어는 2013년 미국 샌프란시스코에 설립된 스타트업이다. 오픈소스 기술에 최적화된 보안 기술을 주로 제공하고 있다. 벤처캐피탈 등으로부터 1천만달러, 우리돈 약 110억원 규모의 투자를 받기도 했다. 소스클리어를 사용하는 방법은 간단하다. 먼저 커맨드라인 인터페이스나 메이븐, 그래들, 젠킨스, 트래비스CI 플러그인 등을 활용해 소스코드를 검사한다. 소스클리어는 코드저장소, 브랜치 등 검사할 항목을 지정하고 코드와 라이브러리, 의존성을 분석한다. 그리고 누가 코드를 작성했으며, 어떤 라이선스를 사용했는지, 보안 취약성이 없는지 자동으로 검색하고 그 결과를 시각화해서 보여준다. 특히 보안 취약성을 검사할 때는 소스클리어가 별도로 구축한 머신러닝 기술을 활용한다. 소스클리어는 문제점을 발견하면 대처법도 함께 알려준다. 예를 들어 "코드를 바꾸시오", "외부 패치를 찾으시오", "라이브러리를 업데이트하시오"같은 정보를 준다. 협업도구 지라와도 통합할 수 있어, 문제가 발생한 부분에 대해서 쉽게...

www.bloter.net

 
레드팀 해커들, 발전소 서버실 침투 비법 공개
HackersLab 해커스랩 - 레드팀 해커들, 발전소 서버실 침입 비법 공개 -

최근 Tech Insider 기자는 레드팀 시큐리티社 해커들과 중서부 지방을 여행했다. 지방의 한 전력 발전소로부터 의뢰받은 침투 테스트를 위한 출장 여행이었다. 레드팀 해커들은 발전소 시설 내 8개 구역의 물리적 시설과 시스템 침입을 성공리에 마쳤다. 레드팀이 사용한 방법을...

www.hackerslab.org

 
태연, SNS 해킹 피해…”이러지 마세요”
태연, SNS 해킹 피해…”이러지 마세요”

'소녀시대' 태연이 SNS 해킹 피해를 입었습니다. 10일 자신의 인스타... [더보기]

www.dispatch.co.kr

 
5000만원 인터넷 쇼핑하고 해킹으로 1만원 결제
5000만원 인터넷 쇼핑하고 해킹으로 1만원 결제

연합뉴스 (서울=연합뉴스) 김동규 기자 = 인터넷 쇼핑몰에서 수천만원어치의 고급 카메라와 렌즈를 주문한 뒤 해킹프로그램으로 결제금을 1만원대로 조작해 물건을 챙긴 고졸 해커가 경찰에 붙잡혔다.

www.wikitree.co.kr

 
독도함 건조한 한진중공업 해킹 정황, "기무사 조사중"
독도함 건조한 한진중공업 지난달 해킹 정황···기무사 조사 중

해군 최대 수송함인 독도함을 건조한 방위산업체 한진중공업이 지난달 해킹 공격을 받은 정황이 포착돼 군 당국이 조사에 나섰다. 문상균 국방부 대변인은 10일 “한진중공업이 지난달 20일 해킹공격을 받은 정황이 있는 것으로 확인돼 군사기밀 유출여부 및 북한 소행여부 등에 대해 국군기무사령부가 지난달 말부터 보안조사를 진행중”이라고 밝혔다. 한진중공업은 독도함을 비롯해 초계함, 상륙함 등 다수의 군용 함정을 제작해 왔다. 이에 따라 북한이 함정 무기체계 등과 관련한 자료를 노리고 해킹한 것 아니냐는 관측이 나온다.

news.khan.co.kr

 
Security Company Guide Map
Security Company Guide Map

aplus.scgm.kro.kr

 
이메일 무역 해킹 사기 지난해에만 150건 있었다..... 대기업 조차 속수 무책
이메일 무역 해킹 사기 지난해에만 150건 있었다..... 대기업 조차 속수 무책

A화학회사 240억원, 무역기업 A사 2억7000만원, 자동차 부품 판매회사 C사 1억1000만원. 최근 모 화학기업 이메일 해킹 무역 사기로 알려진 이른바 `스캠` 피해가 지난해에만 150건이나 발생한 것으로 드러났다. 올...

www.etnews.com

 

[일반 IT 정보]

인공지능과 기계학습
인공지능과 기계학습

태그: 컴퓨터통신, 전기전자

www.kmooc.kr

웹 서버를 견고하게 하기 위한 구성과 설정에 대해서
웹 서버 · web-service-hardening

웹 서버는 인터넷에서 가장 중요한 인프라 SW중 하나로 HTTP 를 기반으로 사용자가 요청한 컨텐츠를 보내주고 사용자의 입력을 받아서 처리하는 역할을 수행합니다. 웹이 발달하면서 동적 컨텐츠를 제공해야 하는 필요성이 대두되었고 이를 위해 다양한 웹용 언어와 프레임워크가 탄생하였고 이런 도구들은 웹 서버 위에서 바로 동작하는 경우가 많았습니다. 대표적으로 PHP를 처리하는 mod_php, Perl 스크립트를 처리하는 mod_perl, python 용 mod_python 등이 웹 서버에서 동작하는 확장 모듈입니다. 이런 모듈은 웹 서버를 바로 활용할 수 있으므로 설치와 설정이 쉽고 사용하기도 쉬운 장점이 있었지만 서비스의 규모가 커질 경우 확장이 힘들고 웹 서버가 해킹당하면 DBMS도 해킹 당하는 등의 문제점이 나타났습니다. 이런 문제를 해결하기 위해서는 HTTP를 처리하는...

lesstif.gitbooks.io

 
어느 40대 아저씨 이야기
어느 40대 아저씨 이야기

국민대 컴퓨터 공학과 특강 자료

www.slideshare.net

 
[디지털산책] ‘오픈소스 커뮤니티’ 활성화 필요하다
[디지털산책] ‘오픈소스 커뮤니티’ 활성화 필요하다

이제 SW시장은 개발에 소요되는 '노동의 가치'가 아니라 'SW 자체가 만들어내는 가..

www.dt.co.kr

 
Javascript의 non-arrow function과 arrow function의 차이점
Javascript의 non-arrow function과 arrow function의 차이점 - Polymorphism

Javascript의 문법을 규정하는 표준이라고 할 수 있는 ECMAScript의 최신판인 ECMAScript 2015(이하 ES6)에는 arrow function이 새롭게 추가되었다. arrow function은 함수를 정의하는데 있어, 다음과 같이 정의하는 것을 말한다. 이 함수는 다음과 같다. arrow function을 처음 보았을 때, 나는 사실 arrow function이 기존의 function 표현(이하 non-arrow function)의 별칭(alias)인 줄 알았다. 즉, 의미 관점에서 둘이 동일한 표현으로 이해하고 있었다. … Continue reading "Javascript의 non-arrow function과 arrow function의 차이점"

byron1st.pe.kr

[일독 추천]

5분만에 PPT 표지만드는 7가지 방법
문성호 - 문성호님이 박신영님의 게시물을 공유했습니다. | Facebook

www.facebook.com

왜 원 페이지 리포트인가?: 단숨에 청중을 사로잡는 보고서의 기술
왜 원 페이지 리포트인가?: 단숨에 청중을 사로잡는 보고서의 기술

모두가 알만한 기업들이 파워포인트 보고서를 금지했다. 수많은 슬라이드를 아름답게 꾸미는 데 들이는 시간과 노력이 비생산적이라 판단한 때문이다. 그럼에도 불구하고 청중을 설득하는 방법으로는 이만한 게 없다는 판단이 섰다면 굳이 금지하기까진 않았을 텐데, 결국 슬라이드웨어가 가지는 장점을 살리지 못하고 청중을 쉽게 이해시키는 데도 실패했기 때문에 애꿎은 파워포인트만 퇴출되었다. 하지만 기획자들은 One Page Report(이하 OPR)를 작성하는 것도 녹록한 일이 아니라 하소연한다. 당연하다.

ppss.kr

 
사업의 시작
사업의 시작

요즘 많이 바쁘다. 내 글을 쓰기는 커녕 다른 사람의 글을 읽을 시간도 없다. 아니, 이제 그런 내용에 이전에 비해 관심이 덜해졌다고 말하는 것이 더 정확하겠다. 한때는 할 일이 없어 고민이었는데, 요즘엔 이 많은 일들에 내 시간을 어떻게 분배해야 할까가 더 고민이다. 약 1년 반 전, 5년 반동안 다니던 회사를 그만둔 날이 생생하게 기억난다. 떠나기…

sungmooncho.com

 
직관
직관

‘해봤다고’ 반드시 아는 것은 아니지만, ‘아예 안 해본 사람’은 죽었다 깨도 모르는 게 있다. 바로 그 분야에 대한 ‘직관’이다. 1. 지난 2006년 9월 사망한 독일의 하인리히 트레트너 장군은 정말로 다채로운 이력을 가진 사람이다. 바이마르 공화국에서 군 경력을 시작, 히틀러 휘하에서 스페인 내전과 제 2차 세계대전을 겪었고, 전후 서독 연방 자위대를 거쳐 은퇴한 후에는 독일 재통일까지도 봤으니까. 그는 격동의 독일 현대사를 온몸으로 받아내며 성공적인 군 경력을 보냈지만, 그렇다고 해서 오점(?)이 아예 없는 것도 아니다. 1943년 11월, 트레트너의 제 4 공수사단장 취임에는 “독일군 공수부대의 몰락을 상징적으로 보여 주는 사건” 이라는 꼬리표가 따라다니기 때문이다. 이 사람이 무능해서 그랬던 것일까? 글쎄, 별로 그랬던 것 같지는...

blog.gorekun.com

 
keyword
hakawati

최우석의 브런치입니다.
구독자 89
매거진의 이전글 2016년 19주차 정보보안 뉴스클리핑
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari