아이폰(iOS 4.1) 잠금 풀림 버그 발견

보안 소식/주간 이슈 2010. 10. 27. 09:31 Posted by TEAMCR@K
아이폰(iOS 4.1 - 현 버전) 에서 비밀번호 잠금이 풀리는 버그가 발견되었습니다.

잠금 상태에서 임의의 긴급통화 후 바로 Lock 버튼을 누르면 전화번호부 검색이 가능하며, 분실시 개인정보 노출 위험이 존재합니다.

테스트 한 결과 잘 되는 것을 확인할 수 있었으며, iOS 버전 업그레이드가 이루어지지 않는 이상은 버그가 사라지지는 않을거 같습니다.

http://www.engadget.com/2010/10/25/ios-4-1-glitch-lets-you-bypass-lock-screen-to-access-phone-app/

저작자표시 비영리 변경금지

[추천자료] 알기쉬운 무선랜 보안 안내서

(무선)네트워크 2010. 10. 22. 14:03 Posted by TEAMCR@K
일반 사용자들도 알기 쉬운 용어와 그림으로 설명이 되어 있네요.

--------------------------------------------------------------------------------------------------------------
방송통신위원회(위원장 최시중)와 한국인터넷진흥원은 안전한 무선랜 이용을 위해 누구나 무선랜 접속장치의 보안설정을 쉽게 따라할 수 있도록 하는「알기쉬운 무선랜 보안 안내서」를 마련하여 배포하기로 하였다.

이번에 마련한 무선랜 보안 안내서는 ▲무선랜 서비스 개념 ▲무선랜 보안의 필요성 ▲무선랜 안전 이용 수칙 ▲무선랜 보안설정 방법 등의 내용을 담고 있으며, 개인적으로 무선랜 서비스를 이용하는 일반 이용자들은 누구나 쉽게 이해하고 따라할 수 있도록 안내하고 있다. [...이하생략..]

다운로드 : http://www.kcc.go.kr/user.do?boardId=1042&page=P05030000&dc=K05030000&boardSeq=29815&mode=view

저작자표시 비영리 변경금지

SHODAN - Computer Search Engine

보안 소식/주간 이슈 2010. 10. 19. 10:32 Posted by 알 수 없는 사용자
컴퓨터 검색 엔진을 아시나요?
기존 검색엔진처럼..검색어에 대한 관련 웹페이지를 찾아주는 것이 아니라, 검색어와 관련된 실제 대상 시스템(개인 PC, NAS, 서버 등)을 찾아주는 군요! 그래서 일명 "Hacker Search Engine"으로도 불리기도 한답니다...ㅎㅎ;

url) www.shodanhq.com

일례로, 구글에서 "scada"로 검색을 하면, 스카다 시스템과 관련된 웹 페이지들을 찾아줍니다. (소개 페이지, 설명 문서 등)


하지만, 이 검색엔진에서 "scada"로 검색하면..실제 스카다 시스템이 링크됩니다.


※ 서버 관리자는 자신이 관리하고 있는 서버가 검색엔진에 노출되고 있는지를 확인하고 적절한 대응체계를 구축해야 할 것입니다.
저작자표시 비영리 변경금지

HITB 메거진

그외 2010. 10. 15. 15:59 Posted by TEAMCR@K
보안.해킹 분야에 대한 전문 메거진인데, 현재 4회까지 나온거 같네요.  (Hack9와 비슷한 느낌)

최신 이슈에 대해서 분석이 자세하게 되어 학습하는데 도움이 많이 될거 같습니다.

url) https://www.hackinthebox.org/misc/HITB-Ezine-Issue-001.pdf
url) https://www.hackinthebox.org/misc/HITB-Ezine-Issue-002.pdf
url) http://magazine.hitb.org/issues/HITB-Ezine-Issue-003.pdf
url) http://magazine.hitb.org/issues/HITB-Ezine-Issue-004.pdf
저작자표시 비영리 변경금지

Realtime Privacy Monitoring on Smartphones

보안 소식/주간 이슈 2010. 10. 12. 16:45 Posted by TEAMCR@K
안드로이드 기반의 스마트 폰에서 실행되는 각종 어플이 민감한 개인 정보에 접근 및 수집하는지를 감시하는 프로그램입니다.
해당 홈페이지에 가면 데모 동영상도 볼 수 있습니다..

흥미로운 점은..안드로이드 마켓에서 받을 수 있는 어플리케이션 중 30개를 무작위로 선정하여 해당 프로그램을 실행한 결과,
15개의 어플에서 사용자의 위치, 카메라, 오디오, 폰 정보 등을 포함한 개인정보들이 서버로 수집되고 있는 것을 확인 할 수 있었다고 합니다..

대략 반 정도가 사용자의 동의없이 개인정보를 수집하고 있다는 것이네요..ㅎㅎ;


* 해당 프로그램의 구현 원리를 소개하는 논문은 첨부파일을 참고하시기 바랍니다.

tdroid10.pdf

저작자표시 비영리 변경금지

Defcon 18 발표 자료 및 오디오 파일

보안 소식/주간 이슈 2010. 10. 12. 16:42 Posted by TEAMCR@K
Defacon 18 에서 발표되었던 발표자료, 오디오파일, 비디오 파일 등이 제공되고 있습니다.

http://contagiodump.blogspot.com/2010/09/defcon-18-audio-in-mp3-files.html

발표 자료들 : http://www.defcon.org/html/links/dc-archives/dc-18-archive.html

상세 링크는 아래를 활성화 해서 참고하시기 바랍니다.


저작자표시 비영리 변경금지

Hakin9 2010년 Issue 9 - Email Security

보안 소식/주간 이슈 2010. 10. 12. 16:19 Posted by TEAMCR@K
영문 보안 매거진 Hakin9 2010년 Issue 9 - Email Security 입니다.

금번 호에서 다루고 있는 내용은 아래와 같습니다.
- Ad-Aware Pro Internet Security
- Analysis of email security issues for end-users
- Knowing VoIP Part 1
- Web Malware Part 3
- IPv6 Security Implications
- Session Riding
- The Greatest Hacking Breach in Cyber History

--링크가 힘들어 파일로 첨부했습니다-

Email_security_Hakin9_09_2010.pdf

저작자표시 비영리 변경금지

POET vs ASP.NET: DotNetNuke

보안 소식/주간 이슈 2010. 10. 3. 20:53 Posted by TEAMCR@K

패딩 오라클 익스플로잇(Padding Oracle Exploit) 이라는 툴을 이용해서 ASP.NET오류처리 버그를 이용한 세션 공격에 대한 시연 동영상입니다.


관련 뉴스 : http://www.boannews.com/media/view.asp?idx=22972&kind=0

대응 방안은 아래 URL을 참고하시기 바랍니다.
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
저작자표시 비영리 변경금지

Twitter onmouseover security vulnerability (동영상)

보안 소식/주간 이슈 2010. 10. 3. 20:53 Posted by TEAMCR@K
트위터에서 발생했던 XSS 관한 영상입니다. 지금은 패치된 상태인지만 요런 형태로 공격이 이루어진다는 것은 확인할 수 있습니다.

관련 내용 : http://pandalabs.pandasecurity.com/onmouseover-xss-vulnerability-on-twitter/


저작자표시 비영리 변경금지
 

티스토리툴바