Wikileaks CIA 무기 리스트

얼마 전에 Wikileaks에서 CIA 관련 내용이 유출됐습니다. 어떤 사이버 무기가 있었는지 테크크런치에서 정리한 기사가 나왔습니다.

다양한 사이버 무기..! 특히 임베디드 제품에 대한 사이버 무기들이 많이 보입니다.

https://techcrunch.com/2017/03/09/names-and-definitions-of-leaked-cia-hacking-tools/

페이스북에서 특정 핸드폰 번호 검색하기

페이스북에서 개인정보 이슈가 발생했습니다. 특정 핸드폰 번호의 소유자가 누구인지 페이스북에서 검색할 수 있다고 합니다.

https://hackernoon.com/how-i-got-your-phone-number-through-facebook-223b769cccf1#.bqg2p8ujb

페이스북의 의견으로는 이것이 취약점이라기 보다는 정상적인 기능이고, 원하지 않을 경우 설정을 바꿔서 해결할 수 있다고 하는데 이런 기능이 기본이라면 문제라고 보는 시각도 있다고 합니다.

https://www.facebook.com/search/top/?q=핸드폰번호

로 검색해볼 수 있습니다.

Zerocoin hacked! 전자화폐 거래소의 위험

전자화폐는 핫이슈이지만 컴퓨터를 잘 모르는 개인 유저들이 이용하기에는 여전히 어렵습니다. 그래서 개인들도 이러한 가상화폐를 쉽게 사고 팔 수 있게 도와주는 거래소가 많이 생겨나고 있습니다. 전자화폐 시스템 그 자체의 취약점을 증명하는 실질적인 사례는 아직 없습니다. 시스템 자체는 아직까진 안전하다고 볼 수 있죠.

하지만 그 시스템을 이용하는 3rd 파티 업체들인, 거래소들은 어떨까요? 만약 거래소 사이트에 취약점이 있다면? 가상화폐를 중계해주는 거래소의 해킹 위협은 현실입니다. 가령 몇년 전, 세계 최대의 비트코인 거래소였던 마운틴 곡스도 해킹으로 인해 많은 유저들이 엄청난 피해를 입었었습니다. 그레이해쉬의 구성원 중에 한명도 피해자 중의 한명이었다고 합니다.

그런데 바로 며칠 전! 제로코인 거래소도 해킹당했다고 합니다.

https://zcoin.io/language/en/important-announcement-zerocoin-implementation-bug/

찰리 밀러와 크리스 발라섹의 자동차 해킹 문서

자동차 해킹을 최초로 시도한 사람이 찰리 밀러와 크리스 발라섹은 아니었지만 차량 보안의 중요성을 전 세계에 알리는데 가장 기여한 바는 사실입니다.

기존 자신들이 발표했던 자료들을 한 곳으로 모아 공개했습니다. 새로운 내용은 없어 보이지만, 두 해커의 연구를 쉽게 찾아볼 수 있는 페이지입니다.

http://illmatics.com/carhacking.html

임베디드 환경에서의 워게임! microcorruption

임베디드 보안/해킹 역량을 높이고 싶으신가요? 가장 좋은 방법 중에 하나는 해당 환경에서 직접 워게임을 풀어보는 것입니다. (그레이해쉬의 임베디드 해킹 트레이닝도 좋습니다!)

마타사노에서 만든 임베디드 시스템 워게임! 예전부터 있어왔던 사이트이지만 한국에서는 비교적 잘 알려지지 않았습니다. 임베디드 환경에서의 memory corruption을 포함하여 기타 다양한 이슈에 대해서 담고 있습니다. 좋은 문제들로 구성돼있다고 얘기를 많이 들었는데요, 한국의 CTF Kids들이 출동한다면 어떨까요?

https://microcorruption.com

파이어해쉬 난독화 솔루션 베타 오픈!

그레이해쉬의 첫번째 제품 서비스가 오픈했습니다. (아직은 베타 버전입니다!) 그 이름은 FIREHASH! 모바일 앱들을 난독화할 수 있는 솔루션입니다. 현재 iOS/Android 모두를 지원하고 32/64bit, Dalvik/Native 모두 난독화가 가능합니다.

현재 Native 코드에서는 Thumb 명령어의 난독화를 지원하고 있지 않기 때문에 ARM 모드로 컴파일하여 올리셔야 난독화 수준을 살펴보실 수 있습니다. (자세한 방법은 파이어해쉬 홈페이지 로그인 후, "Before apply" 버튼을 눌러주세요.)

https://firehash.grayhash.com

해커스쿨과 PoC가 운영하는 해킹캠프!

전통의 해킹캠프가 2월 18~19일 서울유스호텔에서 열린다고 합니다.

- 앗! 워게임, 해킹보다 쉽다! - 윤석찬
- Z3로 공부하는 SMT Solver 그리고 CTF - 정윤서
- Easy Forensic - 신우성
- 플랫폼을 넘나드는 바이너리 다루기 - 김동한
- 난독화된 스크립트 분석 - 주은지
- SEH와 함께 떠나는 windows 대탐험 - 안소희
- 변종 랜섬웨어 너는 누구니? - 정상수
- Re:Zero부터 시작하는 Flash Player CVE 분석 - 김도현
- Hip알못과 함께하는 Heap Basic World - 최강현
- 웹개발 시큐어코딩 가이드 - 박광호, 이명용

재밌는 주제들이 많이 보입니다! 자세한 내용은 아래 링크를 참고해주세요.

http://hackingcamp.org/infos.html

프린터 해킹 툴킷! (PRET)

PRET는 이미 알려진 프린터 해킹 기법들을 모아 놓은 툴입니다. 여러 대의 프린터를 대상으로 빠르게 보안 진단을 할 수 있을 것 같습니다. 기업이나 학교, 정부 등 네트워크 보안 관리자들이 유용하게 사용할 수 있을 것으로 보입니다.

특히 요즘 프린터 해킹(?)을 통한 랜섬웨어 공격이 늘어나고 있다고 하는데 이런 간편한 툴로 미리 사전에 진단해보시는 것이 어떨까요?

https://github.com/RUB-NDS/PRET

당신의 N-Days 익스플로잇을 파세요! 짐페리움의 새 프로그램

보안 기업인 짐페리움에서 익스플로잇 구매에 좀 더 적극적인 모습을 보이고 있네요. 패치가 된 취약점들도 구매하겠다고 합니다. 일명 N-Days 익스플로잇!

일부 익스플로잇 바이어들도 간혹 N-Days 익스플로잇을 사긴 하지만 일반적인 바이어들은 제로데이에만 관심을 갖고 있죠.

버그 헌팅을 하는 것보다는 공개된 CVE를 대상으로
풀체인 익스플로잇 개발에 더 관심이 있으신 분은, 용돈벌이도 하고 공부도 하고 좋은 기회가 되지 않을까 합니다.

https://blog.zimperium.com/zimperium-announces-its-exploit-acquisition-program-for-n-days/

해킹팀과 핀피셔를 해킹한 해커가 잡히다?

사이버 감시 프로그램을 만드는 회사로 HackingTeam과 FinFisher가 유명하죠. 이 둘은 공통점이 있습니다. 바로 Phineas Fisher라는 해커에게 해킹을 당했었다는 것이죠.

마침내 이 유명한 해커가 드디어 잡혔다는 소식이 나왔습니다. 그런데 뭔가 이상하죠, 이 정도의 해커라면 엄청나게 주의를 하기 때문에 잘 잡히지 않을 것 같은데..

아래 기사에서도 업데이트된 소식을 보면 Phineas Fisher가 아니라 다른 사람이 잡힌 것 같네요. 과연 어떻게 결론이 날까요? 단순한 헤프닝으로 끝날 것인지..?

https://motherboard.vice.com/en_us/article/phineas-fisher-raids

트위터에서 내 익명성을 지키기 위한 팁

@thegrugq이 제시한 트위터 활동 보안 가이드

트위터를 어떻게 사용해야 자신의 정체가 드러나는 것을 막을 수 있는가? 기술적으로 특별한 내용은 없지만 비전문가들이 참고할 수 있는 여러 팁들을 제시.

#범죄자_조성을_위한_가이드라인은_아님

https://medium.com/@thegrugq/twitter-activist-security-7c806bae9cb0#.awq8ru2u3

구글 2016 VRP 리뷰!

2016년 VRP(Vulnerability Rewards Program)에 대한 간단 리뷰!

VRP가 처음 시작했을 땐, 직접적으로 수익을 창출하는 프로그램이 아니기 때문에 부정적으로 보는 해커들도 일부 있었습니다. 그 유명한 구글의 Project Zero도 오래가지 못하고 없어질 거라는 의견도 있었고요.

그러나 VRP 프로그램은 크롬, 안드로이드에 머물지 않고 계속 확장되고 있다고 합니다. Pwn2own이나 Pwnfest 등의 이벤트에도 꾸준히 참가하고 있습니다.

재밌는 이야기는, 인도의 어떤 해커는 VRP에서 얻은 상금을자신이 운영하고 있는 스타트업 자금으로 사용하고 있다고 하네요.

https://security.googleblog.com/2017/01/vulnerability-rewards-program-2016-year.html

블랙햇 아시아에서 엄청난 iOS 취약점이 발표될 예정!

올해 블랙햇 아시아에서 발표될 iOS 해킹 주제.

대상이 공격자의 AP에 WiFi로 붙을 경우 원격으로 장악 가능하다고 합니다. 동시에 Sandbox 탈출까지 가능하며, 현재 애플에 리포트는 된 상태지만 패치가 아직 안 나왔다고 합니다.

들리는 소식에 의하면 블랙햇 아시아 행사 때까지 패치가 안 나오더라도 발표를 감행한다고 하네요. 기대됩니다.

공격코드도 바로 공개될까요?

https://www.blackhat.com/asia-17/briefings/schedule/#remotely-compromising-ios-via-wi-fi-and-escaping-the-sandbox-5284

도전기! 공개된 IE Edge 버그를 익스플로잇!

공개된 IE Edge 취약점을 대상으로 직접 익스플로잇을 시도하는 과정을 정리한 문서. 브라우저 익스플로잇을 해보고 싶으신 분들께 적극 추천! (한국어입니다.)

사파리 (웹킷) 취약점에 대한 익스플로잇 과정에 대한 문서도 기대해봅니다.

http://mashirogod.dothome.co.kr/index.php/2017/01/07/first-step-to-browser-exploitation/

우승 상금 20억! 로봇의 해킹 실력은? Cyber Grand Challenge 아티클

UC Santa Barbara의 Shellphish팀이 DARPA CGC에 대해 프랙에 기고한 글.

우슨 상금이 무려 20억! CGC라는 대회가 무엇이고,
쉘피쉬팀의 전략은 무엇인지에 대해 소개하고 있습니다.
자동으로 버그를 찾고 공격하고, 이에 대한 패치를 어떻게 작성하는가? 참가 팀들도 대단하지만 AFL도 대단!

자동화 로봇의 해킹 실력이 두렵습니다..!

http://phrack.org/papers/cyber_grand_shellphish.html
Tinynews

bash$ cat /dev/urandom | tinynews -a [tinynews all]

Most Popular
ETC
또 다른 눈, 웹캠 해킹
2016 11 22
Malware
미라이 봇넷, IoT의 DDoS 공격 ①
2017 02 01
ETC
그럴 듯한 해킹 영화 ①
2017 04 19
Interview
글로벌 클래스, 시스템 해킹의 대가 Beist님 인터뷰 ①
2017 01 12
ETC
웹 해킹 공부 환경을 구성해보자, webgoat
2017 03 10
Vulnerability
모든 윈도우즈를 뚫는 2개의 명령어
2017 03 23
ETC
숨겨진 장난, 구글 이스터에그
2017 04 18
Case
로스 제타스(Los Zetas)와 어나니머스(Anonymous)
2016 12 23
Case
아이폰의 암호를 풀어줘, 아이폰의 포렌식 ③
2017 01 24
Interview
Best of the best, 유성재 연구원님이 말하는 BOB ①
2017 06 07
More Articles