posted by Kwan's 2012. 12. 4. 19:03


US CERT(Computer Emergency Readiness Team)의 경고에 따르면, 삼성과 델 프린터를 사용하는 기업들은 하드 코딩된 관리자 계정을 통해 공격자가 그들의 기기를 컨트롤하는 것이 가능하다고 경고 하였습니다.

지난 월요일(16일), CERT는 2012년 10월 31일까지 삼성이 제조하고 델과 삼성 브랜드로 판매된 프린터들에서 주의를 요하는 계정의 존재를 발견했다는 경고를 발표하였습니다.

하드 코딩된 SNMP(Simple Network Management Protocol) 패스워드는 모든 관리자 읽기-쓰기 권한을 허용하고, 프린터의 관리 콘솔을 이용해 SNMP가 비활성화된 경우에도 활성화 상태로 유지하게 한다고 CERT는 경고했습니다.

SNMP는 네트워크 상에 있는 인터넷이 가능한 기기들을 관리하는데 사용되는 표준 프로토콜입니다. CERT에 따르면, 원격에 있는 공격자가 기기에 대한 인증(로그인) 없이도 삼성 프린터에 접근하는 것이 가능하다고 합니다.

패스워드에 대한 지식을 사용하면, 악의적인 해커는 기기 구성을 변경하거나 네트워크 정보와 인증서 정보 등 기기에 있는 기밀 정보에 접근하는 것이 가능합니다.

이런 프린터는 또한 다른 네트워크 기기를 공격하기 위한 토대로 사용될 수도 있다고 CERT는 경고했습니다.

삼성은 수정 패치를 준비 중에 있고 취약한 기기에 대해 “올해 말” 패치 툴을 제공할 것이라고 밝혔습니다.

취약성 경고에는 어떤 프린터들이 공격받았는지 목록을 제공하지는 않았지만 2012년 10월 31일 이후 제조된 프린터들은 공격받지 않은 것으로 나타났습니다. 즉, 11월 이전에 출시된 모든 삼성 프린터 모델들은 백도어 계정을 포함하고 있고 취약성이 있는 것으로 보면 됩니다.

델 모델의 경우에는, 삼성이 자사의 ML-2165W라는 컴팩트한 올인원 프린터를 모델로 해서B1160w와 같은 델 프린터를 만들었는데 다른 델 브랜드 프린터가 공격을 받았는지는 확실하지 않습니다.

 

사실 최신의 네트워크 프린터들은 일반적인 데스크톱 컴퓨터와 동등한 속성들을 많이 가지고 있고, 수천 장의 기밀문서 이미지를 저장할 수 있음에도 불구하고, 네트워크 인프라에서 어느 정도 간과되고 있습니다.

최근 몇 년 동안에, HP와 같은 프린터 업체들은 치명적인 취약점들이 그들의 프린터에서 운영되는 펌웨어에서 발견된 이후에 사용자들에게 긴급패치를 제공할 수 밖에 없었습니다.

또한 프린터 보안 이슈는 지난 해 콜롬비아 대학의 연구원들이 HP LaserJet 프린터들에 대한 보안 취약점을 발견했다고 주장했을 때 관심을 끌었습니다. 이 보안 취약점은 “수천만 대”의 HP LaserJet 프린터에 잠재적으로 영향을 미칠 수 있으며, 원격에 있는 공격자가 취약한 시스템에 물리적인 손상을 가할 수 있도록 허용하고 잠정적으로 그것들이 불을 지피는 원인이 되게 하는 것이었습니다.


불을 붙게 하는 해킹에 대한 주장은 틀렸음이 밝혀진 반면에, 시스템은 원격 해킹에 무방비 상태로 남아 있었습니다.

CERT는 삼성 프린터를 사용하는 기업들에게 네트워크를 통해 프린터에 접근하는 것을 제한하고, 하드 코딩된 사용자명과 패스워드가 요구하는 SNMP 인터페이스 접속으로부터 해커들의 접근을 막기 위해 신뢰하는 호스트와 네트워크 연결만 허용하라고 충고합니다.

업데이트: 삼성은 네이키드 시큐리티에 연락을 했고 다음과 같은 성명서를 제출하였습니다:

삼성은 삼성 네트워크 프린터와 다기능 기기를 공격하는 보안 이슈에 대해 알고 나서 해결을 했습니다. 그 문제는 SNMP가 활성화인 경우에만 기기들을 공격하는데, SNMP를 비활성화시켜서 해결을 했습니다.

우리는 모든 보안문제를 매우 심각하게 받아들이고 있고 이번 취약점으로 인해 공격을 받았던 고객은 아무도 없습니다. 삼성은 11월 30일까지 현재의 모든 모델에 대해 업데이트된 펌웨어를 제공하고, 다른 모든 모델들은 연말까지 업데이트될 수 있도록 노력하고 있습니다.

하지만, 관심 있는 고객들을 위해 우리는 펌웨어 업데이트가 끝날 때까지 고객들이 SNMPv1,2를 비활성화하거나 안전한 SNMPv3 모드를 이용하도록 장려하고 있습니다.

더 많은 정보를 원하시면, 기업고객은 1-866-SAM4BIZ, 일반고객은 1-800-SAMSUNG으로 삼성 고객 서비스에 연락하십시오.

댓글을 달아 주세요

posted by Kwan's 2012. 11. 28. 19:31


익스플로잇을 목적으로 하는 온라인 범죄자들이 새로울 것은 없지만, 그들은 여러분의 보안을 위협하기 위해서 이제 다양한 면에서의 접근을 하고 있습니다.

그들은 여러분의 어플리케이션에 있는 패치 되지 않은 결함만 악용 하는 것은 아닙니다. 그 시도가 실패할 때 그들은 여러분이 스스로 감염시키도록 합니다.

예를 들어, 제가 오늘 받은 이 이메일은 $699.99짜리 Apple의 인보이스인척 합니다.

이 소셜 엔지니어링은 아주 완벽한 것은 아닙니다. 나는 적어도 10년 동안은 Windows 변수 %email%를 알지 못했었습니다. 누가 배후에 있던 이것은 사소한 것에 많은 주의를 기울였습니다.

'View/Download' 링크는 download.jpg.exe가 실행되게 되어 있고, 반면에 “Cancel”과 “Not your order”의 URL은 check.php로 연결되어 있습니다.

똑똑한 소셜 엔지니어링은 여러분이 단지 이것이 무엇인지에 대해 호기심을 갖거나 인증되지 않은 청구에 대해 몹시 화를 내든지 간에, 여러분이 여전히 그 링크들 중 하나를 클릭하고 싶게 합니다.

만약 여러분이 그 링크 중 하나를 클릭하면, IRS 인 것처럼 보여주고 여러분이 지원되지 않는 브라우저를 사용하고 있다고 하는 관련되지 않은 페이지를 보여줍니다.

일단 이 페이지가 표시되면, Blackhole exploit kit의 전형적인 방식으로 Oracle Java와 Adobe Flash Player, Adobe Reader에 대한 익스플로잇을 전달하려고 시도합니다. 만약 이들 중 하나라도 성공하면, 그것은 여러분의 컴퓨터를 Zeus/ZBot 트로이목마에 감염시킵니다.

더욱 나쁜 것은, 만약 이들 중에 어떤 것이 동작을 하지 않으면, 그 이미지는 이들 브라우저의 버전을 “최신버전으로 업데이트”하는 다운로드를 링크하는데, 그 링크는 단지 update.exe 라는 파일을 다운로드합니다.

만약 수신자가 익스플로잇 되거나 그 파일을 다운로드해서 실행한다면, 그들은 Zeus/ZBot 트로이목마에 감염되는데, 그것은 여러분의 키스트로크를 기록하고 은행계좌정보를 훔치도록 설계된 것입니다.

받은 편지함에 보이는 링크들을 클릭하는 것은 언제나 좋지 않은 생각이지만, 우리가 불법 트랜젝션에 대해 벌금을 낸다고 생각하면 우리는 더 많이 그렇게 할 것 같습니다.

그렇게 하지 마십시오. 다른 것들과 마찬가지로 항상 여러분에게 오는 것들에 대해 의심하고 믿을 수 있는 외부 인증방법을 사용하십시오.

문제가 되는 회사의 웹사이트로 가서, 여러분 카드 뒷면이나 청구서 등에 나온 번호로 연락하십시오

우리가 크리스마스 시즌 동안 전형적으로 증가되는 범죄활동을 보고 있기 때문에 이것이 매년 이맘때에 특히 중요한 충고입니다. 경계를 늦추지 마십시오.

댓글을 달아 주세요

posted by Kwan's 2012. 11. 19. 20:04


Windows PC용보다 Mac용 맬웨어가 훨씬 적게 존재한다는 것은 사실이지만, 그것이 전혀 존재하지 않는다는 의미는 아닙니다.

만약 여러분의 Apple Mac이 결국 감염이 된 PC중에 하나라고 한다면, Windows 맬웨어에 비해 훨씬 적은 비율의 Mac 맬웨어에 대한 통계에 집착하는 것은 큰 위안이 되지 않을 것입니다.

소포스랩 전문가들에 의해 드러난 최신 Mac 맬웨어는 OSX/Imuler 트로이 목마의 새로운 변종입니다. 과거에는, OSX/Imuler 맬워어의 초기 변종들이 러시아 슈퍼모델의 상반신 누드 사진을 통해 퍼져 나가거나 장난으로 만들어놓은(boobytrap) PDF파일 속에 깊이 심어져 있었습니다.

이번에 Imuler 트로이 목마 버전은 달라이 라마(Dalai Lama)와 티베트 정부의 주동자들에 대한 타깃 공격에 사용된 것으로 보입니다. 왜냐하면, 그 맬웨어는 티베트 조직원들의 사진들로 구성된 것처럼 보이기 때문입니다.

만약 여러분의 Mac이 이와 같은 맬웨어에 감염되었다면, 여러분의 컴퓨터와 데이터를 눈에 보이지도 않고 알지 못하는 곳에서 효율적으로 원격제어 할 수 있습니다. 그들은 여러분 Mac에서 파일들을 훔칠 수 있고, 여러분의 이메일을 엿볼 수 있고, 더 많은 맬웨어를 여러분의 시스템에 설치할 수도 있습니다.

소포스의 Mac용 무료 안티바이러스를 포함한 소포스 고객들은 2012년 11월 11일 이른 시간부터 OSX/Imuler-B 백도어 트로이목마의 변종으로 감지되고 있는 그 맬웨어에 대해 보호받고 있습니다.

다른 Mac 안티바이러스 제품 사용자들은 그들이 보호받고 있는지 벤더들에게 확인하는 것이 현명할 것입니다.

이 새로운 맬웨어 변종은 넓게 퍼지지는 않을 거지만, Mac에 대한 맬웨어 위협이 사실이라는 또 다른 증거이고, 과소평가되지 않아야 합니다.

댓글을 달아 주세요

posted by Kwan's 2012. 11. 15. 19:42


지난달, 네이키드 시큐리티는 Google이 사용자의 스마트폰에서 안드로이드 맬웨어 앱을 스캔하려 했다는 증거를 밝혀냈습니다.

Google은 그런 기능이 안드로이드 다음 버전인 4.2(젤리빈)에 적용될 것이라고 확인하였습니다.

컴퓨터월드(Computerworld)와의 최근 인터뷰에서, 안드로이드의 엔지니어링 부사장은 OS의 차기 버전에서 서드파티 마켓플레이스로부터 설치된 모든 앱을 스캔할 수 있다고 설명하였습니다.

히로쉬 록하이머(Hiroshi Lockheimer) 부사장은 JR 라파엘(JR Raphael)에게 첫 번째 앱은 공식 Google Play 스토어가 아닌 다른 마켓으로부터 설치되었고, 안드로이드는 그 앱이 “해로운 행동”에 대해 확인되는 앱을 원하는지 사용자에게 물어보는 메시지를 표시할 것이라고 말했습니다.

그래서, 여러분이 Google에게 여러분의 안드로이드 폰에 설치되는 앱을 체크하길 원한다고 하면 어떤 일이 일어날까요?

여러분의 안드로이드 스마트폰은 그 앱에 대한 인식정보(시그너쳐와 동일한)를 Google 서버로 보낼 것입니다. Google은 그것이 이미 화이트리스트에 오른 합법적인 앱인지 알아보거나 아니면 알려진 안드로이드 맬웨어 샘플인지 알아내서 여러분이 그것을 설치하지 못하게 하기 위해 확인을 할 것입니다.

물론, Google은 사용자가 그 설치를 진행할지 여부를 결정하기 전에는 그 앱을 보지 않았을 가능성이 매우 큽니다.

록하이머(Lockheimer)는 컴퓨터월드에 다음과 같이 말했습니다:

'우리는 Play Store에 70만개 어플리케이션의 카탈로그를 가지고 있는데, 그 이상으로, 우리는 나타나고 있는 APK 관점에서 항상 웹 상의 자료들을 스캔 받아오고 있습니다. 어떤 것이 Play Store에 있든지 없든지 간에 우리는 지금 앱 생태계를 잘 이해하고 있습니다.'

과거에 그 문제에 대한 Google의 태도가 무모한 것처럼 표현되었던 것이 있었기 때문에, 맬웨어로부터 안드로이드 사용자들을 보호하기 위해 좀 더 노력하고 있다는 것은 좋은 일입니다.

예를 들어, 몇 년 전 Google의 오픈소스 프로그램 매니저 크리스 디보나(Chris DiBona)는 안티바이러스 벤더들을 '사기꾼과 스캐머들(charlatans and scammers)'로 묘사했고, 안드로이드용 바이러스 보호제품을 판매하는 회사에 근무하는 누군가는 스스로 “수치스러워” 했을 것입니다.

그것은 마치 Google이 이제 안드로이드 사용자용 바이러스 보호제품을 공급하는 것처럼 들립니다.^^

Google이 안드로이드 기기에서의 맬웨어 위협에 대해 확실하게 정신을 차렸다는 것은 좋은 일입니다.

공식 안드로이드 앱 스토어(Google Play)으로부터 맬웨어를 없애려는 그들 자신의 시도는 다양한 레벨의 성공과 맞닥뜨리게 됩니다.

그리고 사이버범죄자들이 인스타그램(Instagram)의 가짜 버전과 앵그리 버드를 포함해 안드로이드 맬웨어를 퍼트리기 위해 서드파티 마켓플레이스를 자주 사용한다는 것은 명확합니다.

Google의 바이러스 체크가 얼마나 좋을 지는 두고 봐야 할 것으로 할 것입니다, 그리고 그 서비스를 채택하는 것은 사용자에게 달려있습니다.

만약 여러분이 안드로이드 맬웨어에 대해 우려하고 있다면, 독립적인 관점으로 소포스의 안드로이드용 무료 안티바이러스 제품을 사용해볼 것을 바랍니다.

관련된 뉴스로, 컴퓨터월드는 안드로이드 4.2가 어떤 앱이 여러분에게서 돈을 빼가는 SMS문자메시지를 보내려고 할 때마다 경고할 것이라고 합니다.

매우 많은 안드로이드 맬웨어가 제작료를 벌기 위해 SMS 메시지에 의존하기 때문에, 나쁜 짓을 할 가능성에 대해 사용자에게 경고하는 방식은 좋은 소식 입니다.

댓글을 달아 주세요

posted by Kwan's 2012. 11. 6. 18:43


역습! 조지아(Georgia)를 염탐하는 동안, 그의 웹캠에 잡힌 해커 피의자

조지아(Georgia)는 악성코드를 웹사이트에 투입하고, 비밀정보를 훔치는 스파이웨어를 설치하며 컴퓨터 네트워크를 공격한 것에 대해 러시아에 근거지를 둔 해커를 오랫동안 비난해 왔습니다.

이제 조지아 정부의 CERT(Computer Emergency Response Team)는 인터넷 공격이 러시아 보안 기관과 연관되어 있었다고 비난하고, 비밀리에 그의 컴퓨터를 해킹하고 그의 비디오 자료를 훔쳤다고 생각되는 해커에게 심지어 보복을 하였습니다.

27 페이지짜리 보고서[PDF]에서, 조지아 정부는 2011년 초에 조지아 뉴스 웹사이트가 취약점을 악용하기 위해 어떻게 해킹을 했는지, 그리고 감염된 컴퓨터를 하이재킹하고 중요한 자료를 검색했던 맬웨어를 어떻게 퍼트렸는지 설명하고 있습니다.

그 맬웨어는 워드 문서를 훔쳤을 뿐만 아니라, 스크린샷을 훔치고 나중에는 네트워크를 통해 퍼져나가도록 기능이 향상되어, 감염된 PC의 웹캠을 통해 대화내용도 엿들었습니다.

CERT-Georgia 리포트에 따르면, 공격자의 지휘통제실에 대한 분석자료에서 적어도 390대 컴퓨터가 공격에 감염되었다고 밝혀졌습니다. 감염된 PC의 70%가 조지아에 기반을 두고 있고, 다른 희생 PC들은 미국, 캐나다, 우크라이나, 프랑스, 중국, 독일, 러시아에서 발견되었습니다.

조지아에서 공격 당한 컴퓨터들은 대부분 보고서에서 지적한 정부 기관과 은행, 핵심 기반시설에 속한 것들입니다.

함정을 놓은 조지아 공무원 
조지아 CERT가 그 맬웨어로 자신의 PC 중 하나를 고의로 감염시켜서, 드라이브에 “조지아 나토(NATO) 협정”이란 이름의 ZIP파일을 심었는데, 그것을 꼭 해커들이 거부하지 못하고 가져가 해킹이 드러날 수 있기를 바랬습니다.

과연 해커는 그 저장된 파일을 훔쳤고 조지아 CERT가 안에 심어두었던 맬웨어가 실행되었는데, 이는 조사관들이 이제 그 해커의 컴퓨터를 컨트롤할 수 있게 되었다는 것입니다.

이것은 그의 PC 앞에서 작업 중인 용의자의 이미지를 캡쳐하게 하는 비교적 어린애들 장난처럼 되어 버렸습니다.

나는 그가 지금 그의 웹캠 덮개를 가리지 않은 것을 후회하고 있다고 장담합니다.

그 해킹 혐의자의 비디오 자료를 캡쳐하는 것 말고도, CERT 연구원들은 피의자의 컴퓨터에서 어떻게 그의 맬웨어를 이용하고 타깃을 감염시키는지에 대한 지침서를 제공하는 러시아인의 이메일 대화내용을 찾았다고 주장합니다. 더군다나, 그 해킹 피의자가 사는 지역, ISP, 이메일 주소와 다른 정보들도 입수했다고 합니다.

이상한 것은, 그 해커들이 사용한 도메인이 러시아 연방 보안국(FSB)과 밀접한 관련이 있는 러시아 총무성(Russian Ministry of Internal Affairs), 군수과(department of logistics) 소유의 모스크바에 있는 주소로 등록이 되었다는 것입니다.

더군다나, CERT-조지아에 따르면, 웹사이트들은 악명 높은 RBN(Russian Business Network)으로 링크가 된 감염된 조지아의 컴퓨터를 컨트롤 하는데 사용되었습니다.

이 해커들 재판에 회부할 것인가?
비록 조지아 정부당국이 공격에 가담한 강력한 피의자인 남자에 대한 많은 정보를 모은 것처럼 보일지라도, 모스크바 당국이 못 본체 한다면 그것은 놀라운 일이 아닐 것입니다.

조지아와 러시아간의 관계는 가장 좋은 때에도 불편하였지만, 이 남자가 정말 러시아 보안 기관과 관련되어 있다고 하면 모스크바 당국이 그에 대해 어떤 조치를 취할지는 상상하기도 어렵습니다.

여러분은 조지아 수사관들의 전체 보고서를 여기[pdf]에서 다운 받을 수 있습니다.

댓글을 달아 주세요

posted by Kwan's 2012. 11. 1. 20:29


페이스북 사용자들은 누군가가 자신의 담벼락에 모욕적인 글을 남겼다고 하는 청하지도 않은 불필요한 이메일에 대한 경계를 늦추지 않도록 주의를 해야 합니다.

안녕하세요,
[OOO가] 여러분의 담벼락에 글을 남겼습니다.
[OOO
는] 'you piece of shit!!!'이라는 욕을 썼습니다.
내용을 보세요 
이 글에 대한 답변은 이 메일로 회신해주십시오.
감사합니다.
페이스북 팀

물론, 여러분이 경고를 받았다면 여러분은 누가 이메일을 보냈던지 진짜 페이스북에서 보낸 것처럼 속인 것에서 아주 어리석은 짓을 했다는 것을 눈치챘을 것입니다. 보낸 사람을 자세히 보면 예를 들어 주소가 아래와 같습니다.

comments@faceb00k.com

하지만 몇몇 컴퓨터 사용자들이 속아서 그 링크를 클릭할 것이라는 위험이 항상 있습니다.

그리고 만약 여러분이 자세한 내용을 보려고 클릭하는 실수를 저지른다면, 여러분은 실제 페이스북 사이트로 이동하는 대신에 소포스에서 Mal/Iframe-W로 감지했던 악성 iFrame 스크립트를 제공하는 웹사이트로 방문하게 될 것입니다. 몇 초안에 여러분의 컴퓨터는 스스로 악명높은 블랙홀 익스플로잇 키트(Blackhole exploit kit)을 통한 맬웨어 위험에 처하게 된 것을 알게 될 것입니다.

하지만, 사이버범죄자들이 연막 활동처럼 공격하기 위해 여러분의 웹브라우저를 페이스북 페이지로 재이동 시켰기 때문에 여러분은 눈치채지 못할지도 모릅니다.

이 페이스북 페이지 소유자가 맬웨어 공격에 어떻게든 관련되어 있다는 암시는 전혀 없습니다

항상 주의를 기울일 것을 명심하십시오. 만약 여러분이 침착하게 대응을 했다면 이런 위협으로부터 보호되었을 것입니다.

만약 여러분이 “Faceb00k” 스펠이 잘못되었다는 것을 알지 못했을지라도, 마우스를 그 링크에 올리면 그것이 진짜 페이스북 웹사이트로 직접 연결하지 않는다는 것을 알 수 있습니다.

분명한 것은, 최신 안티바이러스 소프트웨어를 실행하고 여러분의 컴퓨터를 최신 취약성에 대해패치 하는 것이 매우 중요합니다.

만약 여러분이 여러분의 컴퓨터를 보호하기 위해 적절한 조치를 취하지 않는다면, 어느 날 사이버범죄자들이 여러분을 속여 나쁜 결정을 하게 하거나 위험한 웹사이트를 방문하도록 하게 하는 적절한 소셜 엔지니어링 속임수를 찾게 될지도 모릅니다.

댓글을 달아 주세요

posted by Kwan's 2012. 10. 22. 20:29


개인 정보 보호 전문가들이 iPhone과 iPad 사용자들의 온라인 성향을 추적하기 위해 Apple이 UDID(universal device identifier)를 사용하는 것에 항의했을 때 Apple의 부정행위가 드러나게 되었습니다.

이와 관련된 문제는 해커들이 디지털 미디어 회사인 블루토드(Bluetoad) 소유의 시스템을 감염시키고 거의 100만개 기기의 식별기호(ID)를 해킹한 이후 더욱 명백하게 되었습니다.

이 정도면 충분한 거겠죠? 글쎄요. 아마도 아닌 것 같습니다.

기기 추적이 iOS 6와 함께, 새로운 추적 기술인 IDFA(광고주를 위한 인식기, identifier for advertisers)로 다시 돌아온 것 같습니다.

UDID처럼, IDFA는 여러분의 Apple 기기를 고유하게 인식합니다.

여러분이 여러분의 iPhone이나 iPad로 검색한 웹사이트는 IDFA를 요청할 수 있습니다. 하지만, UDID와는 달리 IDFA는 개인적으로 추적할 수는 없고, 단지 특정 기기로 하는 온라인 행동 패턴을 연결만 합니다.

또한 UDID와 달리, IDFA는 Apple이 기본으로 사용하게끔 해놓지만 iOS 안에서 사용안함으로 할 수 있습니다.

Apple 본사는 지난달 iOS의 최신 버전을 출시한 이후로 IDFA에 대해서는 한마디도 언급하지 않았습니다. 하지만 발행된 보고서에 의하면, IDFA는 광고주들이 사용자들이 핸드폰으로 하는 서핑 활동을 추적하고 구매나 다운로드 같은 “컨버전”까지 포함하는 상호작용을 허용하면서, 핸드폰에서 쿠키를 막는 것처럼 행동한다고 합니다.

모바일 어플리케이션 분석회사 압살라(Apsalar)의 CEO, Michael Oiknine이 6월에 회사 블로그에 올렸듯이, IDFA는 신뢰를 잃은 UDID를 능가하는 많은 이점을 제공한다고 합니다.

우선 첫 번째로, IDFA는 기기가 리셋될 때 스스로 리셋됩니다. 그것은 사용자들이 그들의 핸드폰을 새로운 소유주에게 팔거나 줄 때 사용자 데이터가 훼손되는 것을 방지한다고 Oiknine은 전합니다.

사용자에게 추적에 대한 옵트아웃 기능을 부여한 것은 프라이버시 관점에서 만족을 줄 것입니다.

그리고, Apple이 모바일 세상에서는 600 파운드에 달하는 고릴라 같은 존재이기 때문에, IDFA는 OpenUDID와 ODIN같은 경쟁하고 있는 표준에 의해 생길 혼란을 없애면서 대중적으로 채택될 가능성이 충분히 있다고 그는 전합니다.

하지만 다른 이들은 IDFA에 포함된 개인 정보 보호에 대해 회의론을 표합니다.

무엇보다도, 비평가들은 IDFA가 기본으로 사용함으로 되어 있는 것과 Apple이 추적 사용안함 기능을 핸드폰에 대한 기술 정보가 나와 있는 일반(General) 설정 아래의 보통 잘 보지 않는 “About” 섹션에 넣은 것에 대해 지적합니다.

비평가들은 그 설정은 iPhone의 개인정보(Privacy) 설정 안에 속하는 것이 적절하다고 주장합니다.

더군다나, Apple은 사용자들이 “Limit Ad Tracking(광고 추적 제한)”을 사용함으로써 추적을 피할 수 있다고 이야기 하는데, 여기에도 오해를 하도록 약간의 속임수가 들어 있어서 사용자들이 이미 제한 시켰다고 생각하는 옵트-아웃 옵션이 사실은 추적을 하게끔 해 놓았습니다.

만약 여러분이 여러분의 iOS6 기기에서 IDFA를 사용하는 기기 추적 기능을 사용하지 않으려면, 다음과 같이 하십시오.
1) 설정(Setting)을 클릭합니다.
2) 일반 설정을 하기 위해 일반(General)을 클릭합니다.
3) About을 클릭합니다.
4) 스크롤을 내려 광고(Advertising)를 클릭합니다.
5) Limit Ad Tracking을 'ON'으로 설정합니다.

여러분, 모바일 서핑 잘 하세요!

댓글을 달아 주세요

posted by Kwan's 2012. 10. 2. 18:19


9백만 대 이상의 PC 감염 - 제로액세스 봇넷 무방비

제로액세스(ZeroAccess)는 수년간 개인과 기업들을 괴롭혀온 엄청나게 널리 퍼진 맬웨어입니다. 이 맬웨어는 Windows의 새로운 아키텍쳐나 버전에 맞춰 발전해 왔습니다.

소포스랩에서 우리는 더 많은 맬웨어를 다운로드하기 위한 명령을 받을 수 있는 P2P 봇넷을 희생 PC들에게 추가하면서 어떻게 제로액세스가 그 희생 PC들을 예속시키는 지 설명하면서, 제로액세스 루트킷의 이전 화신에 대해 깊이 있게 살펴보았습니다.

가장 최근에, 소포스 연구원들은 제로액세스가 완전히 사용자모드 메모리로 작동하면서, 어떻게 전략에 있어서의 주요 변화를 취했는지 파헤쳤습니다.

이런 맬웨어 계열의 계속된 하이 프로파일 때문에, 우리는 제로액세스의 최신 버전뿐만 아니라 제로액세스 봇넷 전체에 대해서 더욱 더 자세하게 그 위협을 검사해야 할 필요를 느꼈습니다.

소포스랩 연구원들은 제로액세스의 최신 버전이 현재 활성화된 감염 PC 약 100만 대를 포함하여 900만 대 이상의 컴퓨터에 설치되었다는 것을 알아내었습니다.

제로액세스는 봇넷 소유자에게 이윤을 창출시키도록 설계된 다양한 일을 수행하는 플러그인 파일을 다운로드 하도록 P2P 네트워크를 사용합니다. 우리 연구원들은 피어(peer)가 전세계 어디에 위치해 있는지, 봇넷이 다운로드 하도록 지시 받고 있는 파일의 종류가 무엇인지 알아내기 위해 2 개월이란 기간 동안 이 네트워크를 모니터링 했습니다.

감염된 컴퓨터들을 세계지도에서 점으로 표시했을 때 볼 수 있듯이, 우리는 키리바시(Kiribati)의 조그만 섬나라에서부터 부탄(Butan)의 히말라야 왕국(Himalayan Kingdom)에 이르기까지 전체 198개국으로부터 감염된 컴퓨터의 IP주소를 알아내었습니다.

가장 많은 수의 감염된 컴퓨터가 미국, 캐나다, 서유럽에서 발견되었습니다.

우리는 제로액세스 봇넷이 최근에는 클릭사기(Click fraud)와 비트코인(Bitcoin) 채굴(mining) 2가지 주요 목적으로 사용되고 있다는 것을 연구를 통해 알아내었습니다.

만약 제로액세스 봇넷이 최대한도로 동작한다면, 하루에 10만 달러 이상의 어마 어마한 돈을 긁어 모을 수 있습니다.

우리는 또 제로액세스 소유자들이 봇넷을 예의주시하게 함으로써 그 메커니즘을 역설계(reverse-engineered)했었고, 콜홈(call-home) 네트워크 통신을 합법적으로 보이는 트래픽에 묻히도록 설계하는데 이용했던 다수의 테크닉들을 발견했습니다.

여러분은 '제로액세스 봇넷 - 엄청난 금전적 이익을 위한 채굴과 사기(The ZeroAccess Botnet - Mining and fraud for massive financial gain)'이라는 우리의 새로운 기술문서에서 제로액세스에 대해 더 많은 것을 발견할 수 있습니다.

댓글을 달아 주세요

posted by Kwan's 2012. 9. 18. 19:30


새롭게 발견된 수많은 안드로이드 악성 어플리케이션들이 빠른 속도로 증가하고 있습니다. 올 해 소포스랩에서 발견한 유니크한 샘플 숫자만으로 보더라도, 우리는 2011년 전체에 비해 41배 증가한 것을 알 수 있습니다. 그리고 올해는 아직 9월까지인데도 말입니다.

 


흥미롭게도, Andr/Boxer 계열이 새롭게 발견된 샘플들의 거의 반을 차지합니다. Boxer는 SMS 사용료 사기 맬웨어인데, 특히 서유럽 시장을 타깃으로 하기 때문에 다른 나라 사용자들에게는 큰 위협을 가하지 않습니다.

반대로, Sophos Mobile Security 사용자들이 소포스랩에 보낸 실제 발견 리포트를 보면 다릅니다. Boxer계열의 영향은 우리가 발견한 샘플 숫자보다도 훨씬 적습니다.

보고된 상위 2개의 발견은 PUAs(potentially unwanted applications)에 대한 것입니다. 그 첫 번째는 PJApps로 “블랙 마켓”이라 불리는 제3시장을 통해 크랙되어 제공되는 어플리케이션에 대한 것입니다. 블랙 마켓 어플리케이션은 Google Play에서 제거되기 전까지 오랜 시간 동안 제공되어 왔고, Google Play의 베팅(vetting) 정책을 향상시킨 것으로 나타났습니다.

두 번째는 NewYearL로 적극적인 광고 프레임 에어푸쉬(Airpush)가 번들로 들어있는 어플리케이션입니다. 이 2개의 PUAs가 합쳐서 전체 발견 리포트의 반 이상을 차지합니다.

사용자들이 안드로이드 맬웨어 발견의 기하급수적인 증가를 고려하여 악성 앱의 근원지에 대해 우리에게 물어볼 때, 우리는 종종 악성 앱 대부분은 평판이 좋지 않은 공유 사이트나 제3시장에서 비롯된다고 얘기해 줍니다. 따라서, 여러분은 가장 안전한 앱의 근원지는 표준 안드로이드 마켓인 Google Play라는 것에 동의할 것 같습니다. 주의: 여러분이 설치하려고 하는 앱이 많은 사용자들에 의해 설치되고 평판이 좋은 지 확인하십시오.

물론, Google 베팅 프로세스와 Google Bouncer를 피해 갈 수 있는 악성 어플리케이션이 종종 있었고, 계속해서 있을 것이고, 지금도 있습니다. 악성 앱이 점점 더 복잡해지고 있기 때문에, 우리는 불가피하게 더 많은 기기들을 감염시키도록 하면서 좀 더 오랜 기간 동안 악성 기능을 숨길 수 있는 좀 더 복잡한 멜웨어를 보게 될 것입니다.

안타깝게도, 60만 정도의 앱들이 Google Play에서 제공되고 있는데, 거기에는 엄청나게 많은 어플리케이션들이 자신들의 앱에 많은 광고 프레임워크를 번들로 끼워 넣음으로써 돈을 버는 게 최고의 방법이라고 생각해 왔던 열정적인 개발자들에 의해 만들어지고 있습니다. 일부 광고 프레임워크는 잘 돌아가고 있는데 다른 것들은 꽤 적극적입니다. 그들은 스폰서 앱에 대한 링크를 실행 영역에 배치시키고 있는데, 그 앱이 실행되지 않을 때에도 광고를 표시하고 심지어 개인 정보를 광고 서버로 보낼 가능성도 있습니다.

비록 그와 같은 행동이 정말로 악의적인 것은 아닐지라도, 오랜 기간 동안 사용자들은 Google의 행동이 어플리케이션에 번들로 제공되는 광고 프레임워크에 대한 컨트롤을 향상시키도록 요구된 것을 느꼈습니다. 그리고 사실 Google은 최근에 안드로이드 개발자 약관(Android developer's policy)을 강화시키는 것에 대한 조치를 취하였습니다.

모든 등록된 개발자들에게 보낸 이메일에서 Google은 광고 정책에 대한 변화를 명확하게 언급하였습니다.

추가로, 우리는 앱에서의 광고 행위를 고심하는 새로운 섹션을 추가하였습니다. 첫 번째, 여러분의 앱에 있는 광고는 앱 자체와 동일한 룰을 따라야 한다는 것을 명심하십시오. 또, 광고가 소비자들을 속이거나 앱에 대한 접근을 방해하고 다른 앱들을 간섭하는 것과 같은 행동 장애를 이용함으로써 경험에 부정적인 영향을 끼치지 않는 것이 중요합니다.

약관 변경은 확실히 환영 받았고 적극적인 광고는 그 플랫폼의 사용자 경험을 저하시킨다는 우리의 의견을 반영한 것입니다. 유감스럽게도, 약관들은 역시 실시되어야 하고, 이런 변경이 실제로 Google Play에 있는 앱들에게 어떻게 반영되는지를 지켜 보는 것은 흥미로울 것입니다.


댓글을 달아 주세요

posted by Kwan's 2012. 9. 16. 19:30


가짜 Microsoft Service Agreement 이메일에 숨어있는 Java 보안 결함에 대한 공격

온라인 스캐머들이 취약한 시스템에 악성 프로그램을 설치하기 위해 Oracle의 Java 소프트웨어 취약성을 악용하는 널리 퍼진 스팸 캠페인의 미끼로 Microsoft가 보내는 최신 이메일을 사용합니다.

SANS 연구소의 인터넷 스톰 센터(Internet Storm Center) 전문가들은 오퍼레이터들이 어리석은 사용자들에게 Hotmail과 Skydrive와 같은 제품에 대한 서비스 협약(Services Agreement)의 변경에 관한 내용을 담고 있는 Microsoft의 최신 이메일을 이용한 스팸 캠페인에 대해 여러 가지 보고서를 받았다고 경고하였습니다.

그 공격은 치명적인 보안 결함을 수정하기 위한 Oracle 사로부터의 새로운 업데이트인 척하며 인터넷 사용자들의 시스템에서 Java를 [사용안함]으로 하려고 사용자들에게 새로운 요구사항을 촉구하였습니다.

SANS에 따르면, 그 악성 이메일은 8월27일 'Important Changes to Microsoft Services Agreement and Communication Preferences.'이란 제목으로 Microsoft로 부터 발송된 것에 근거한 것입니다.

ISC 참모 Russ McRee가 9월1일 포스트에서 경고했듯이, 피싱 이메일은 눈치 채지 못하는 독자들에게 보내는 악성 링크를 지닌 원문의 링크를 Zeus 맬웨어의 새로운 변종을 설치하는 웹사이트로 대체합니다.

8월27일자의 실제 Microsoft 메시지는 여기에서 볼 수 있습니다.

그것은 Hotmail, Windows Live Messenger, Microsoft Photo Gallery 및 Microsoft의 저장 서비스인SkyDrive를 포함한 광범위한 제품 사용자들에 대한 서비스 협약(service agreement)면에서의 세세한 변화를 담고 있습니다.

의문의 악성 웹사이트에는 보안이 취약한 컴퓨터에 대한 맥가이버 칼(스위스 군사용 칼)과 같은 Blackhole Exploit Kit의 최신 버전이 작동하고 있습니다.

Blackhole Exploit Kit은 익스플로잇 킷이 설치된 웹사이트를 방문한 컴퓨터에 설치된 소프트웨어와 환경설정을 분석할 수 있으며, 의도된 타깃에 대해서만 작동할 것 같은 익스플로잇만 제공합니다.

보안업체 시큐러트(Seculert)의 자료에 따르면, Java 취약성에 대해 최근에 추가된 익스플로잇 코드는 몇 천 몇 만개의 새로운 시스템을 감염시키는 블랙홀 익스플로잇의 성공률을 2배 이상으로 만들었습니다.

이번이 Java 취약점을 공격하기 위해 링크된 첫 번째 피싱 이메일은 아닙니다. 지난주, 소포스랩 전문가들은 Java 결함을 악용하는 웹사이트에 포함된 링크가 세율인상에 대한 정보를 담고 있는 척하는 악성 이메일을 발견하였습니다.

데이터베이스 업계의 거두인 Oracle은 2009년에 Sun Microsystems를 사들였을 때 Java를 인수하였고, 이전에 유비쿼터스 웹 기술에 있어서 보안 취약점에 빠르게 응대하지 못한 것에 대해 보안 전문가들로부터 비평을 받았습니다.

최근의 보안 결함은 회사 이미지를 향상시키지 못했습니다. 지난주에 Java 보안 결함에 대해 억지로 서둘러 패치를 내놓았고, 폴란드 보안 컨설팅 업체인 Security Explorations이 4개월 전인 4월에 Oracle에 대한 치명적인 보안 결함을 보도했던 것이 밝혀진 이후 맥 빠지게 하는 비평을 받았습니다.

Oracle이 결함을 고치기 위해 패치를 발표하였지만 그 보안 결함을 완전히 없애지 못하였기 때문에 회사의 이미지는 더욱 더 손상되었습니다. 패치된 Java 7 버전이 실행되는 시스템은 “완전한 Java 샌드박스 바이패스(sandbox bypass)”를 허용하는 초기 버전과 유사한 형태로 피해갈 수 있다고 Oracle이 지난 금요일에 공지하였다고 Security Explorations은 밝혔습니다.

Oracle이 그 보고를 받은 것을 확인하고 조사에 착수했다고 Security Explorations이 전했습니다.
그러는 동안, ISC 등은 사용자들에게 다음 업데이트가 준비될 때까지 Java를 [사용안함]으로 설정하라고 권고하고 있습니다.

Java를 계속해서 사용해야 하는 이들을 위해, SANS ISC는 이메일 수신인이 그 링크를 클릭하기 전에 마우스 커서를 링크에 올려놓고 의심스러운 메시지에 대해 이메일 헤더를 살펴봄으로써 모든 이메일 메시지에 있는 하이퍼링크를 유심히 살펴봐야 한다고 전했습니다.

소포스 전문가 Paul Ducklin과 Chet Wisniewski는 최신 테크나우(Technow) 팟캐스트 'Java에 대한 모든 것(All about Java)'에서 Java에 대한 좀 더 이해하기 쉬운 충고를 제안합니다.


댓글을 달아 주세요