SHstation SHstation

Main News 이번 달만 두 번째! 구글의 크롬에서 또 제로데이 나와 https://www.boannews.com/media/view.asp?idx=95645 이번 달만 두 번째! 구글의 크롬에서 또 제로데이 나와 구글의 크롬 브라우저에서 제로데이가 또 다시 발견됐다. 해커들이 먼저 발견하여 현재 활발히 익스플로잇 하는 중이라고 한다. 올해에만 세 번째로 발견된 제로데이다. 구글은 재빨리 픽스를 www.boannews.com 크롬에서 제로데이 취약점이 나왔다. 블링크라는 브라우저 엔진에서 발견된 ‘Use after Free’ 취약점이다. 프로그램 실행 시 동적 메모리가 잘못 사용되는 것과 관련이 있다고 한다. News Tracking 구글 크롬, 또 다시 제로데이 취약점 두 개 패치해 (2020-11..

"미국 정부, 외국 해커들이 가장 좋아하는 취약점 목록 공개" CISA와 FBI가 최근 공격자들이 많이 익스플로잇 하는 취약점들을 분석했다. 2016년과 2019년 사이, 미국의 단체 및 개인들을 노리는 사이버 공격자들은 다음과 같은 소프트웨어의 취약점들을 주로 익스플로잇 했다고 한다. 1) 마이크로소프트 오피스 : CVE-2017-11882, CVE-2017-0199, CVE-2012-0158, CVE-2015-1641 @CVE-2017-11882: 원격코드실행 버그. EQNEDT32.EXE( 문서에 방정식을 삽입하거나 편집할 때 사용하는 수식편집기)에서 발생한다. 폰트 레코드의 폰트명을 처리하는 과정에서 strcpy()가 사용되는데, 원본과 대상 버퍼에 대한 경계 체크가 이루어지지 않는다. 이로 인해..

"보안전문 기자들이 꼽은 2020년 보안 키워드 10가지" 1. 인공지능 CCTV, AI 고도화의 산물 영상보안 분야가 부각되고 있다. 기하급수적으로 늘어나고 있는 CCTV를 효율적으로 관리하기 위해 지능형 스마트 관제시스템을 도입한다. @인공지능(AI) 국가전략: AI가 인간의 지적 기능도 수행하는 수준까지 발전 -> 산업, 사회 영역에 변화 촉발 & 산업의 혁신 & 일자리 변동 유발 @지능형 스마트 관제시스템: 영상분석기술을 이용해 사람, 차량 등 관제대상을 중심으로 움직임이 있는 CCTV영상만 인공지능으로 우선 선별해 표출하는 시스템. -> 이상 징후가 있는 상황을 감지하여 효율적인 모니터링이 가능함 @선별 관제: 전체 카메라 영상이 아닌 영상 분석과 분배 기능을 적용함으로써, 관제가 필요한 영상만..

"공격자들을 화나게 만드는 몇 가지 방법들" 제이슨 스트레이트: "해킹 공격에 대해 잘못 대응하면 컴퓨터 사기 및 남용방지법을 위반할 수 있다." 보복 해킹을 능동적인 보안 조치와 햇갈리는 기업들이 있다. 하지만 이런 방법은 오히려 손해가 된다. 공격에 투자되는 자원을 늘리고, 성공률을 낮추어 해커를 화나게 하는 것으로 만족하자 1. 보안101 해커의 입장에서 공격을 실시할 때 가장 짜증이 나는 건 기업들이 꼼꼼하고 충실하게 보안 실천 사항들을 잘 지켜 공격의 경로가 굉장히 적을 때이다. 실제로 기본을 탄탄하게 지키는 조직이 가장 뚫기 힘들었다고 한다. *보안 실천 사항 예시 -파웨셸 실행 못하게 막아두기 -크리덴셜의 이동을 막거나 보호해주는 아키텍처 사용 (LLMNR 포이즈닝 공격 기법 방지) @크리덴..

"4차 산업혁명은 SW 혁명, 사이버 보안이 초석이다" SW가 4차 산업의 중심이다. 따라서 4차 산업혁명에서의 SW 요구사항은 기존보다 증가할 것이다. @블랙 햇 해커 ( 화이트 햇 해커): 악의적 목적의 정보 체계 침입, 소프트웨어 변조, 컴퓨터 바이러스 유포 등의 행휘로 해를 끼치는 해커 SW 취약성은 코드 취약성, 운영상의 구성 취약성으로 나뉜다. 대형 SW 취약점은 심각성의 정도가 크고, 로컬에서 개발된 응용 SW는 심각한 정도가 상대적으로 낮다. *미국 국토안보부(DHS)가 분석한 범죄자의 공격 경로 ▷ 악성코드 전자우편 -> 스피어 피싱, 스팸 이용 악성코드 ▷ 악성코드 웹 -> 취약점을 이용한 악성코드 ▷ 웹 공격: 웹 코드 취약성을 이용한 공격 ▷ 계정탈취: 컴퓨터 및 SNS 계정 탈취 ..

"IT 업계 내에서 직종을 바꾸지 않고 연봉 올리려면" 비증명 기술 : 증명서를 발부받지 않은 IT분야 기술 현대의 기업들은 디지털 변혁(digital transformation)을 계획하고 있다. 이것을 위해서 신기술을 잘 이해하고 있는 사람이 필요하다. @디지털 변혁: 디지털 혁명을 원인으로 작게는 기업의 조직구조, 문화, 상품 등의 질적 변화를 궁극적으로는 사회와 국가의 질적 변화를 의미한다. 제4차산업혁명과 뜻이 비슷하다. 1. 데이터 아키텍처 : 데이터베이스와 애플리케이션, 시스템 사이의 복잡한 관계를 올바로 이해하고 있는 사람들 데이터를 저장하고 관리하는 새로운 환경을 구축한다. 데이터베이스 관리자, 애플리케이션 개발자, 데이터 과학자, 프로젝트 관리자, 비즈니스 분석가 등으로도 불린다. 2...

"클라우드 고민하는 실무자들을 위한 12가지 팁" -IT 전문가들이 꼭 가지고 있어야 할 클라우드 기술 (주로 클라우드의 고객으로서 필요한 스킬) 1. 클라우드 보안 : 클라우드에 저장되어 있거나 클라우드로부터 움직이는 데이터 보호 데이터에 접근하는 경로와 접근 방식에 대한 보안 => 암호화, 데이터 손실 방지 기술, 데이터 가시성, 정책 상 구멍이나 은둔의 IT를 찾는 기술 @데이터 가시성: 네트워크 환경에서 만들어지는 다양한 활동과 보안 정보를 볼 수 있는 환경 2. 네트워크 오버레이 (network overlay) : 하드웨어를 활용해 여러 고객들의 영역과 애플리케이션 및 데이터의 영역을 구분해서 섞이지 않도록 관리해야 함 @네트워크 오버레이: 네트워크의 요소들을 가상화하고, 하드웨어로부터 논리적으..

"해커들을 투명인간으로 만둘어주는 공격 기법" 베이퍼웜(vaporworm): 웜처럼 자기 복제를 해가는 '파일레스 멀웨어'의 일종 파일레스 멀웨어: 파일을 디스크에 설치하지 않고 오로지 메모리 내에서만 실행되는 것. 악성코드가 시스템 메모리에 바로 로드되어 실행된다 보안 수칙인 '출처가 확실하지 않은 수상한 파일을 다운로드 받지 말라' -> 이를 본질적으로 무색하게 만드는 종류의 공격 드라이브 바이 다운로드(drive-by-download): 사용자가 웹사이트에 방문하는 자체만으로도 사용자 모르게 악성코드가 다운로드되는 사이버 공격 방법 가운데 하나 파일레스 멀웨어와 드라이브 바이 다운로드의 공통점 사용자 편에서의 행위를 거의 필요로 하지 않고 공격 실시할 수 있다. 스텔스와 피해자 개입 최소화 파일레스..