태국의 외교부 및 대사관 홈페이지가 현재 해킹된 상태이며 의약품에 관련된 많은 스팸을 발송하는데 이용되고 있는 것으로 알려지고 있습니다.


구글의 검색 엔진에서 해당 홈페이지에서 유포되고 있는 스팸 페이지를 보면, 약 56만 2,000여개가 됩니다.


감사합니다.

출처: http://blog.sucuri.net/2011/02/thailand-official-foreign-affairs-embassy-web-sites-hacked.html?utm_medium=twitter&utm_campaign=winsec&utm_source=%40winsec
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    영국의 이동 통신 사업자 중의 하나인 보다폰(Vodafone)에서 수백만 건의 고객 정보가 누출되는 사고가 발생했다고 알려지고 있습니다. 누출 사고가 발생한 곳은 호주(오스트레일리아)로 약 4백만건으로 유추되고 있습니다.

    이 사고는 웹 해킹등과 같은 외부 요인이 아니라 고객의 비밀번호 뿐만 아니라 결제정보와 같은 중요한 개인 정보 DB를 공유하여 사용하는 직원, 또는 딜러들이 일으킨 것으로 믿어지고 있다고 밝혔습니다. 

    보다폰의 대표인 Nigel Dews에 따르면 고객 DB가 누출됨에 따라 모든 비밀번호를 초기화(reset)하도록 조치하였으며 월요일(영국 기준)에 보다 자세한 보고서를 발표할 예정이라고 합니다.


    여기서도 보안 상의 헛점이 나타나는데, 바로 고객 DB에 접근할 수 있는 컴퓨터가 내부 시스템에 있는 것이 아니라 인터넷에 연결된 컴퓨터라면 별 문제없이 접근할 수 있다는 점입니다.

    또한, 대리점과 같은 딜러들도 개인 정보를 수정할 수 있을 뿐만 아니라 결제 정보 등에도 접근이 가능하다고 밝히고 있습니다.


    만약, 딜러들이 사용하는 컴퓨터에 악성코드와 같이 원격에서 접근할 수 있는 방법이 존재한다고 치면, 실제 내부자로 인해 정보가 누출되었다고 하지만, 결론적으로는 인터넷 상에 노출된 것이나 다름없다고 보여집니다.


    감사합니다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      맥도날드가 다른 회사의 데이터베이스를 침투하여 확인되지 않은 패스트푸드 체인사의 고객 DB 정보는 훔쳐가는 사건으로 인해 정부 당국과 조사를 벌이고 있는 것으로 알려져 있습니다.

      맥도날드는 이메일과 웹사이트를 통해 정보가 누출될 가능성이 있는 고객에게 알린 바가 있다. 하지만, 맥도날드는 누출된 정보 가운데에 금융정보나 사회보장번호(주민등록번호)는 포함되지 않았다고 강조했으며, 아마 고객의 나이, 전화번호, 이메일주소, 주소가 포함될 수 있다고 합니다.

      해킹은 전세계에서 가장 큰 패스트푸드 체인이 Arc Worldwide에서 프로모션을 위한 이메일을 발송한 것에서 시작되었으며, 이 정보를 정체가 알 수 없는 업체가 접속한 것이라고 맥도날드에서 전했습니다.

      한편, 11일(토)에 알려진 추가적인 사항을 보면 Walgreens의 고객에게 이와 유사한 메일이 보내졌다고 합니다. 

      이와 같이 웹서비스를 통해 데이터베이스가 누출되는 경우 중 하나가 바로 협력사(Partner)나 하청업체에게 데이터베이스 접속할 수 있는 권한이 있을 때도 발생할 수 있다는 대표적인 사례로 앞으로 널리 언급될 것으로 예상됩니다.



      감사합니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        제목이 자극적일 수도 있지만, 우리나라의 상황이 아니고 머나먼 잠비아 라는 아프리카에 위치한 나라의 이야기 입니다.


        지난 11월 15일 잠비아 경찰은 인터넷을 관장하는 정부 기관에게 와치도그 사이트와 이메일을 해킹하도록 명령을 내렸다고 합니다. 따라서 현재 정부기관은 와치도그 웹사이트에서 글을 쓴 이들을 추적 중에 있습니다.

        경찰은 그레고리 피리(Gregory Phiri)판사가 발급한 법원 명령서를 잠비아 정보 통신 기술원(ZICTA, Zambia Information and Communication Technology Authority)에 전달하였으며 와치도그 사이트의 해킹을 시작하도록 요구했습니다.

        경찰은 ZICTA가 웹사이트를 해킹하여 와치도그 사이트의 소식통으로 의심받을 수 있는 사람들의 이메일도 해킹하도록 요구했습니다.

        하지만, 와치도그 웹사이트는 잠비아 국내에 위치해 있는 것이 아니라 유럽에 있는 업체에서 호스팅을 받고 있는 것으로 알려져 있으며, 당연히 잠비아 경찰의 사법권이 미칠 수 없습니다.

        하지만, 엄청난 물량의 블러디 머니(Bloody Money, 살인사례금)가 와치도그 웹사이트의 해킹에 일조하고 있으며 그 압력이 거세지고 있으며, ZICTA는 국제법 상의 논란에도 불구하고 해킹을 그만둘 것으로 보여지지는 않습니다.

        잠비아 경찰은 와치도그 웹사이트에 정보를 제공하는 사람과 댓글을 달은 사람들의 IP주소를 추적하길 원하고 있습니다.

        출처: http://www.zambianwatchdog.com/2010/11/13/watchdog-writers-fear-for-their-lives-as-government-hunts-them-down/
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          지난 8일 영국의 해군 웹사이트(http://www.royalnavy.mod.uk)의 메인 사이트가 해킹을 당한 사건이 발생했습니다. 현재에는 사이트가 일시 중지되어 있는 상태입니다.


          해킹의 범인은 루마니아 해커인 TinKode로 알려져 있으며, 이 해킹에 대한 정보를 인터넷에 공개한 것으로 알려지고 있습니다.


          TinCode가 올려 놓은 글을 분석해 보면, 실제로 웹서버는 완벽하게 장악 당한 것으로 보입니다. 서버의 각종 정보, 데이터베이스의 정보 뿐만 아니라 계정정보(비밀번호)가 저장되는 /etc/passwd 파일까지 공개되었습니다. 이에 대한 정보는 아래 링크를 참고하십시오.


          한편, TinKode는 과거에도 NASA, 미군 사이트 등과 같이 여러 웹사이트를 해킹한 전력이 있으며, 특히 국가나 국방에 관련된 기관을 주로 대상으로 삼는 경우가 있었습니다.

          아이러니하게도 최근에 EU에서는 사이버 보안에 대한 여러가지 행사를 벌인 바가 있으며, 언론에 성공적으로 마쳤다는 소식이 있었는데, 이러한 면에서 볼 때, 눈가리고 아웅하는 것이 아닌가 싶습니다.

          보안 기업인 소포스(Sophos)에 따르면 이번 해킹은 어떤 정보를 빼내기 위한 악의적인 행동이 아니라 이러한 문제점이 있다고 알리는 경고성 이벤트라는 분석이 있습니다. 먼저, 그 외 데이터에 대한 변조가 없었으며(정확히는 알려지지 않았으며), 웹사이트가 보유하고 있는 정보(데이터베이스)의 성격상 개인정보나 군사기밀이 포함될 가능성이 적기 때문입니다.

          이러한 사건을 볼 때, SQL Injection 취약점을 가진 웹사이트는 적어도 DB 변조나 파일 변조, 누출과 같은 문제점을 내포하고 있다고 볼 수 있습니다. 문제는 SQL Injection 취약점을 가진 웹사이트가 얼마나 될 지 그건 감히 말할 수 없는 심각한 문제라는 사실입니다.

          감사합니다.


          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            최근 보안 전문가들은 아르헨티나 정부가 가지고 있는 다수의 웹사이트가 해킹되어 BHSEO(Black Hat Serach Engine Optimization Campaign)에 이용되고 있는 것을 발견했다고 밝혔으며, 일부 사이트에서는 악성코드까지 배포하기도 했다고 합니다.

            이러한 사실은 보안 전문 기업인 Sucuri Security에 의해 밝혀졌으며, 이 회사는 웹 기반의 무결성 모니터링 및 악성코드 유포 진단 솔루션을 보유하고 있습니다. 이 회사의 블로그에 관련자료가 업로드되어 있어 간단하게 정리해 소개합니다.


            해킹된 아르헨티나의 정부 웹사인트는 아래와 같으며, 스패머가 BHSEO로 이용하고 있습니다.

            http://www.bnm.me.gov.ar

            http://www.trabajo.gov.ar

            http://www.cedem.gov.ar

            http://www.sanmartin.gov.ar

            http://www.jusmisiones.gov.ar

            http://www.apostoles.gov.ar

            http://www.cordoba.gov.ar

            http://www.santafecultura.gov.ar

            http://www.mocoreta.gov.ar

            http://www.lasheras.gov.ar

            http://www.dipes.catamarca.gov.ar

            http://www2.berisso.gba.gov.ar

            (이하 생략)


            해킹된 사이트는 구글 검색창에서 inurl:.gov.ar "cheap viagra" 또는 inurl:.gov.ar "cheap cialias" 단어를 입력하여 찾을 수 있습니다.

             

            재미있는 사실은 아무도 해킹되어 스팸이 발송되고 있는지 파악하지 못하고 있었다는 것이며, 따라서 치료와 같은 아무런 조치가 취해지지 않았습니다. 일부 사이트에서는 악성코드 자체가 업로드되기도 했습니다.(예. http://www.sanmartin.gov.ar/sitio/noticias/)

             

            공격자들은 해당 사이트가 검색 엔진에서 높은 순위를 가지고 있다는 점에 착안하여 공격한 것으로 추측되며, 물론 'viagra', 'cialas'를 검색한 경우를 말합니다.

            해킹당한 사이트를 살펴 본 결과, 취약점을 가지고 있는 예전 버전의 워드프레스를 사용하거나 SQL 인젝션 취약점을 가지고 있는 일부 웹 애플리케이션을 통해 발생한 것으로 추측됩니다.

            출처: http://blog.sucuri.net/2010/07/argentinean-government-web-sites-hacked-with-spam.html
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              "The Pirate Bay"라는 단어를 아시는 분이라면 비트토런트(BitTorrent)라는 프로그램에 매우 익숙해져 있다고 볼 수 있습니다. ^^;

              "The Pirate Bay"는 BitTorrent 파일(시드)을 연동, 추적하는 웹사이트로 최대 최대 규모를 가지고 있습니다. 트래픽 기준으로 알렉사에서 현재 97위를 유지할 정도로 엄청난 사이트입니다.

              하여튼, 아르헨티나로 알려진 해커 그룹이 "The Pirate Bay" 웹사이트의 사용자 데이터베이스에 접근하고, 관리자 인터페이스까지도 장악한 것으로 알려졌습니다. 공격을 위해 사용된 취약점은 바로 SQL 인젝션 취약점입니다.

              누출된 데이터는 사용자 이름, MD5로 암호화된 비밀번호, 이메일 주소, IP 주소 정보 등이 포함되어 있습니다.


              <화면 1. 해킹하는 일련의 과정을 보여 주는 동영상>

              공격자는 Ch Russó 라는 이름을 가진 해커로, 부에노스 아이레스에 있는 악성코드 연구가라고 주장하였다고 합니다. 그에 따르면, 아르헨티나에는 모의 공격을 연구하는 모임이 있으며 그 모임의 회원이라고 합니다.


              큰 사이트, 공신력있는 웹사이트라 하더라도 웹 취약점에 안전할 수는 없다는 사실을 다시 한번 느낄 수 있습니다. 보다 안전한 소스 코딩을 통해 SQL 인젝션 및 XSS 취약점을 해결해야만 보다 안전하게 운영할 수 있을 것입니다.

              감사합니다.

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                2사분기에 아이폰이 나온 이후로 다양한 해킹꺼리가 인터넷을 달구고 있는 가운데, 드디어 지금까지 알려진 해킹 기술을 사용자들이 손쉽게 사용할 수 있도록 그래픽 인터페이스(GUI)로 동작하는 IFuntastic이라는 프로그램이 개발되고 있다.

                현재 동작하는 기능으로는 애플리케이션을 T-Mobile이라고 부르는 공간에서 실행할 수 있게 할 지, 파일 시스템에서 동작하게 할지 설정을 할 수 있다. 또한, 벨소리를 변경하거나, 홈 스크린(화면 하단의 아이콘들)에 있는 아이콘의 배치 변경, AT&T 로고 변경 등이 가능하다.

                사용자 삽입 이미지

                프로그램 다운로드: http://www.modmyiphone.com/forums/showthread.php?t=1444

                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  요즘 구글의 보안에 대해 몇가지 포스트를 진행하고 있습니다. 오늘은 구글 데스크탑이라는 개인용 검색 엔진(?)에서 발생할 수 있는 보안 취약점에 대해 살펴 보도록 하겠습니다.


                  지난 주, 보안 전문가인 Robert Hansen은 '구글 데스크탑 공격'이라는 충격적인 사실을 폭로했습니다. 이 자료에 따르면 구글 데스크톱에는 크로스-사이트 스크립팅(XSS) 공격에 약점이 있다고 전합니다.

                  구글 데스크탑에는 man-in-the-middle 공격에 약점을 가지고 있어, 구글과 구글 데스크탑에 검색어를 입력하는 사이에 공격자가 위치할 수 있다고 합니다. 공격이 성공하는 경우에는 검색 결과를 조작하고 바탕화면에 있는 기타 다른 프로그램을 제어할 수 있다고 합니다.

                  공격 시나리오는 다음과 같습니다. 구글 데스크탑 사용자가 검색 쿼리를 하는 동안 공격자가 이를 가로챌 수 있읍니다. 그다음 공격자는 목적지 URL 페이지에 보이지 않은 iFrame을 생성하고 자바스크립트를 삽입해 넣습니다. 사용자는 iFrame이 숨겨져 있기 때문에 이를 알아채기가 쉽지 않습니다. 그리고 공격자는 사용자의 마우스 쿼리에 두번째 검색을 위치하도록 코드를 삽입합니다. 두번째 쿼리가 실행될 경우에 공격자는 페이지를 다시 로드하게 하여 웹 페이지를 갱신합니다. 사용자가 구글 데스크탑 검색에 단어를 입력하고 클릭하면 공격자가 미리 준비했던 악성 프로그램이 실행됩니다.

                  이를 보기 쉽게 동영상으로 제공하고 있으니 참고하시기 바랍니다.

                  http://video.google.com/videoplay?docid=2726113702646327649

                  출처: C|Net





                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus


                    Web Analytics Blogs Directory