Security2015.03.08 01:07

개요

  • 프랑스 국립 연구소(INRIA) MS社에서는 SSL 통해 강제로 취약한 RSA 다운 그레이드 시킬 있는 취약점을 발견
    CVE-2015-0204 : OpenSSL s3_clnt.c ssl3_get_key exchange 함수에서 발생하는 취약점으로 공격자가 MITM(Man In The Middle Attack) 통해 512비트 RSA 다운 그레이드 시켜 정보를 유출시킬 있는 취약점

 

해당 시스템

  • 영향을 받는 시스템
    • Openssl 0.9.8 0.9.8zd 이전 버전
    • Openssl 1.0.0 1.0.0p 이전 버전
    • Openssl 1.0.1 1.0.1k 이전 버전

 

취약점 확인절차

  • (시스템 운영자) 시스템 측면 취약점 확인

o     아래의 명령어를 입력하여 취약점 유무 확인

o     openssl s_client connect [web site 입력]:433 - cipher EXPORT

[CVE-2015-0204 취약하지 않은 화면]

[CVE-2015-0204 취약한 화면]

 

해결방안

  • (시스템 운영자) 해당 취약점에 영향 받는 버전 사용자
    • OpenSSL 1.0.2 버전으로 업그레이드(http://www.openssl.org/source/)
    • 버전 업그레이드가 어려운 경우, OpenSSL 'RSA_EXPORT Cipher Suites' 지원하거나 클라이언트로 'RSA_EXPORT suite' 전송할 있는 모든 기능을 비활성화 시킬 것을 권장

                   https://mozilla.github.io/server-side-tls/ssl-config-generator/ 사이트를 참고하여 권장사항으로 설정 [3]

  • (일반 사용자) 사파리 안드로이드의 기본 브라우저 사용자는 취약점이 해결될 까지 크롬, 파이어폭스 브라우저 사용

                  Apple, Google社에서 현재 패치 개발 중이며, 패치가 나올 예정
                       → KISA
확인하는 데로 수정 공고 예정

용어 설명

  • RSA(Rivest Shamir Adleman) : 전자 상거래 등에 광범위하게 이용되는 인터넷 암호화 인증을 위한 암호기술의 종류
  • OpenSSL : SSL/TLS 구현할 사용하는 오픈 소스 라이브러리
  • SSL/TLS : 인터넷 서비스에서 데이터를 안전하게 송수신하기 위한 프로토콜
  • Cipher Suites : Client 지원하는 암호방식 목록

 

[참고사이트]

  1. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204
  2. http://FreakAttack.com
  3. https://mozilla.github.io/server-side-tls/ssl-config-generator/

출처 : 한국인터넷진흥원
Posted by 쫑경
Security2014.11.10 12:58

< 인터넷 산업, 문화 >

 

- 영국 웨어러블(Wearable) 단말기 시장 점진적 성장세

- 미국 연방정부, 클라우드 도입 확산을 위한 투자 확대

- 미국 국립표준기술연구소(NIST), 클라우드 컴퓨팅 기술 로드맵 발표

- 일본 후지츠(Fujitsu), 정맥생체인증기술 새로운 특허 출원

- 퓨 리서치센터(Pew Research Center), 미국 온라인 괴롭힘 현황 보고서 발표

 

 

< 정보보호, 개인정보보호 >


- 일본 법원 ‘잊혀질 권리’ 인정 판결과 의미

- 미국 국토안보부(DHS) 사이버보안 정보공유 프로그램 참여 기업 증가

- 영국, 실효성 있는 스팸사업자 규제방안 검토

- 민간 사이버보안 협력체 ‘오퍼레이션 SMN’, 악성코드 발견 등 활동 전개

- 이스라엘 벤 구리온 대학(Ben Gurion University), 새로운 유형의 해킹기법 ‘AirHopper' 소개

- 안드로이드 랜섬웨어 콜러(Koler)의 웜 버전, SMS를 통해 유포


141110_(KISA)_11월_1회차_Internet_Security_Biweekly.pdf


출처 : http://www.kisa.or.kr/public/library/IWView.jsp?mode=view&b_No=146&d_No=176




Posted by 쫑경
Security2014.11.05 17:51

< 인터넷 산업, 문화 >

 

- EU, 3조원 규모의 ‘빅데이터 혁신 기술’ 연구 추진

- 미국 연방통신위원회(FCC), Wi-Fi 주파수 추가 개방으로 막대한 경제효과 기대

- 페이스북(Facebook), 사용자 데이터 무한 이용에 따른 서비스 이용 약관 수정 계획 발표

- PwC, 2015 글로벌 정보보안 실태조사 보고서 발표

- UN 브로드밴드위원회, 2014년 글로벌 브로드밴드 현황 보고서 발표

 

< 정보보호, 개인정보보호 >


- 미국 상원, 「국외저장 개인정보 법집행 접근에 대한 법률(LEADS)」 제정 추진

- 유럽연합(EU), 구글에 개인정보 보호지침 수립 기준 제시

- 이스라엘 정부, 인도 정부와 사이버 보안 분야 협력 강화 발표

- 모바일 메신저 스냅챗(Snapchat), 사용자 사진 20만장 이상 유출

- 카스퍼스키(Kaspersky), 신종 악성코드 타이업킨(Tyupkin) 발견

- 트렌드마이크로(Trend Micro), 쉘쇼크(Shellshock)를 악용한 공격 시나리오 보고서 발표

- 제로데이(Zero-day) 취약점으로 인한 사이버위협 증가

- 글로벌 보안업체, 해커 그룹 대응을 위한 공동 작전 수행



141024_(KISA)_10월_2회차_Internet_Security_Biweekly.pdf


출처 : http://www.kisa.or.kr/public/library/IWView.jsp?mode=view&b_No=146&d_No=175


Posted by 쫑경
Security2014.07.24 14:52

< 인터넷 정책.산업.문화 >

 

- OECD, 증거기반(evidence-based) 인터넷 정책결정원칙 논의
- 미국 연방통신위원회(FCC), 민간 부문과의 협력을 강조한 신규 사이버보안 정책 프레임워크 선언
- 미국 백악관, 공공‧민간 사이버보안 협력 중요성 강조
- 미국 국토안보부(DHS), 모바일 보안 기술 개발 프로젝트 추진
- 미국 국토안보부(DHS), 「국가 사이버보안 인식 제고의 달, 2014」 행사

 

< 정보보호.개인정보보호 >

 

- 일본, 빅데이터 활용을 위한 개인정보보호법 개정 초안 발표
- EU ‘WP 29((Article 29 Working Party)’, 캐나다 퀘벡주 개인정보보호제도 ‘적합성’ 검토
- 맥아피(McAfee), 모방앱을 통한 모바일 악성코드 유포 증가
- 마이크로소프트(Microsoft), No-IP社 도메인 차단으로 악성코드 확산 방지
- 아카마이社, 2014년 1분기 인터넷 현황 보고서(State of The Internet Report) 발표
 
< 글로벌 방송통신 >

 

- 중국, 2013년 세계 M2M 시장 점유율 27% 차지

 

140711_(KISA)_7월_1회차_Internet_Security_Biweekly.pdf

 

출처 : http://www.kisa.or.kr/public/library/IWView.jsp?mode=view&p_No=146&b_No=146&d_No=168&cPage=&ST=TC&SV=

 

Posted by 쫑경
Security2014.06.27 16:16

< 인터넷 정책.산업.문화 >

 

- 美 연방거래위원회(FTC), ‘데이터 브로커(Data broker)’ 산업 실태조사 보고서 발표
- 사이버 보험 상품 수요 증가에 따른 피해 보상기준 마련 필요성 증가
- EMC “2014 EMC 프라이버시 인덱스” 결과 발표

 

< 정보보호.개인정보보호 >

 

- 영국 정부, 사이버 보안 강화를 위한 민‧관 협력의 중요성 강조
- 글로벌 통신사 보다폰(Vodafone), 각국 정부기관의 통신 네트워크 감찰 실태 보고서 발표
- 캐나다 대법원, ISP에 개인정보 제공 요청시 영장 필요하다고 판결
- 美 국립표준기술연구소(NIST), ‘모바일 포렌식 가이던스’ 발표
- 첫 안드로이드용 데이터 암호화 랜섬웨어 Simplocker 출현
- CryptoDefense 랜섬웨어, Java drive-by download 취약점을 통해 감염 확산
 
< 글로벌 방송통신 >

 

- 일본 NTT Docomo, 글로벌 장비업체와 5G 실험 착수



140627_(KISA)_6월_2회차_Internet_Security_Biweekly.pdf


출처 : http://www.kisa.or.kr/public/library/IWView.jsp?mode=view&p_No=146&b_No=146&d_No=167&cPage=&ST=TC&SV=


Posted by 쫑경
Security2014.06.23 19:09

BYOD환경의 스마트워크를 구축을 위한 보안 가이드




Posted by 쫑경
Security2014.06.23 19:06

6월 19일 Mobile Enterprise Summit 2014 기사



Posted by 쫑경
Security2014.06.13 17:37
< 인터넷 정책.산업.문화 >
 
- 맥아피•국제전략연구소, 사이버 범죄에 따른 글로벌 경제 손실 분석 보고서 발표
- ITU, 온라인 환경의 소비자 보호관련 논의
- 미국 연방통신위원회(FCC), 2015년 회계연도 예산안 발표
 
< 정보보호.개인정보보호 >
 
- 미국 국립표준기술연구소(NIST), IT 시스템 보안 강화 가이드라인 발표
- 미국 국토안보부(DHS), 산업제어시스템 대상 사이버 공격 동향 발표
- 미국 회계감사원(GAO), 연방 정부 기관의 사이버 공격 대응 실태 평가
- 미국 상원 위원회(Senate Commiottee), 사이버 보안 인력 처우 개선을 위한 법안 통과
- 구글 ‘잊혀질 권리’ 보장을 위해 개인정보 삭제요청 페이지 개설
 
< 글로벌 방송통신 >
 
- 미국 내 1Gbps급 브로드밴드 서비스 경쟁 본격화

 

140613_(KISA)_6월_1회차_Internet_Security_Biweekly.zip

 

Posted by 쫑경
Security2014.06.13 11:36

 

 

 

 

이번 콘퍼런스에서 2시에 스피커로 제가 강연했습니다. 많은 관심 가져 주셔서 감사합니다.

제가 강연했던 자료 공유 합니다.

 

BYOD환경하의스마트워크구축을위한 보안가이드.pdf

 

 

 

Posted by 쫑경