보안 전문 커뮤니티 SecurityPlus

Protecting Browsers from Cross-Origin CSS Attacks

SecurityPlus — Thu, 09 Sep 2010 01:41:26 +0900

안녕하세요. SecurityPlus입니다. "Protecting Browsers from Cross-Origin CSS Attacks" 제하의...

쿡 인터넷 닥터 통합 무료 백신

SecurityPlus — Wed, 08 Sep 2010 22:12:14 +0900

탐지엔진의 통합 바이러스와 스파이웨어 탐지엔진의 통합.바이러스 따로, 스파이웨어 따로...프로그램...

정보보안업체 (주)NSHC 신입 및 경력 사원 모집 (개발, 보안컨설팅, 경영지원)

SecurityPlus — Wed, 08 Sep 2010 22:06:22 +0900

안녕하세요. 정보보안업체 NSHC에서 신입 및 경력 사원을 모십니다.
저희 회사는 국내의 정보보안 관련 업체로서 보안컨설팅, 보안관제, 보안SI 사업 분야에 집중하고 있는 벤처기업입니다.

국내뿐만 아니라 싱가포르 해외 지사를 통해 세계적인 기업으로 성장하기 위한 노력을 하고 있으며,

신뢰와 열정으로 가득 찬 글로벌 인재를 모집하고 있습니다.

저희 회사는 기독교의 정신에 입각한 섬김과 나눔을 회사의 신념으로 실천하고 있으며, 정보 보안의 윤리적인 부분을

특별히 강조하며 열정과 도전 정신을 갖는 새로운 식구를 아래와 같이 충원하려 합니다.

금번 채용시에는 (사)벤처기업협회가 운영하는 청년취업인턴제(신입만 해당) 사업을 통해서도 인재를 채용하고자 하니

역량있는 인재들의 많은 지원을 바랍니다.

1. 청년취업인턴제란?
노 동부가 주최하고 (사)벤처기업협회(운영기관)가 주관하는 중소기업 청년취업인턴제 사업은 기업이 신규 미취업자를 채용 시, 인턴에게 지급하는 월급의 50%(최대 80만원)를 6개월간 벤처기업협회가 지원해 주고, 인턴이 정규직으로 전환 시 6개월간 65원씩 노동부가 기업에 지원하여 인턴근무 후 정규직으로의 전환을 지원하는 사업

2. 지원자격
- 만 15세 이상 29세 이하인 자 (단, 군필자는 만 31세 이하)
- 대학 졸업일로부터 고용보험 총 가입일 6개월 미만자 (고졸자는 6개월 이상도 가능)
- 최근 3개월 이내에 고용보험 가입되지 않은 자

3. 모집 요강
[회사이름] : (주)NSHC (http://www.nshc.net)
[모집부문] : 보안 솔루션 개발팀, 보안컨설팅팀, 경영지원팀
[담당업무] : 스마트 폰 관련 아이폰 개발자 1명, 보안컨설팅팀 2명, 경영지원팀 1명 총 4명
[고용형태] : 청년취업인턴제(신입) 및 경력직
[채용조건] : 남/여 불문 (경영지원팀은 IT관련 학과 졸업(예정)자로 여성만 지원 바랍니다!)
[급여조건] : 회사내규에 따름
[제출서류] : 이력서, 자기소개서(경력자는 직무능력 및 경력사항 중심으로 기재)
[전형절차] :
        * 1차: 서류심사
        * 2차: 1차 면접 (기술 부분)
        * 3차: 2차 면접 (인성 부분)

[기타사항] :
* 제출된 서류는 요청시 반환 가능합니다.
* 제출방법 - 이메일 접수(recruit@nshc.net)

[복리 후생]
        * 연금·보험 : 국민연금, 고용보험, 산재보험, 건강보험
        * 휴무·휴가 : 주5일 근무, 연차
        * 보상제도 : 퇴직금, 우수사원 표창/포상
        * 건강관리 지원 : 건강검진
        * 생활편의 지원 : 조식/석식제공
        * 경조사 지원 : 각종 경조금, 경조휴가제
        * 여가 지원 : 사내 동호회 운영
        * 자기 개발비 지급
        * 직원 취미 공간 제공 : 사내 당구장 운영
        * 모범 사원 포상 : 반기별 전체 임/직원의 투료를 통한 모법 사원 선정

[ 참 고 ] :
* http://www.nshc.net/img/flash/MyPartner_NSHC.swf

제2회 클라우드 컴퓨팅 워크샵

SecurityPlus — Wed, 08 Sep 2010 15:01:43 +0900

안녕하십니까.서울여자대학교 클라우드컴퓨팅연구센터에서 제2회 클라우드컴퓨팅정보보호기술워크샵을10월...

발전하는 웹 서비스...증가하는 웹 보안 취약점!

SecurityPlus — Tue, 07 Sep 2010 21:36:11 +0900

웹 애플리케이션 취약점 분석과 차단으로 피해 최소화 웹 애플리케이션 취약점을 이용한 해킹...

올바른 이해와 적용으로 효과적인 기업 보안 구축

SecurityPlus — Tue, 07 Sep 2010 21:35:06 +0900

융합보안의 개념과 발전방향 지 금까지 독립적으로 수행되어온 물리적 보안과 기술적 보안이 융...

[신간 안내] 경영자, 보안 담당자, 개발자, 감사자가 반드시 알아야 하는 정보보안 취약점과 지침

anonymous — Tue, 07 Sep 2010 12:56:17 +0900

	정보보안 취약점과 지침

책 소개	전 세계 선도적인 보안 전문 기관들이 수십 년 동안 다듬고 정리한 정보 보안 취약점과 지침! 보안에 입문하려는 독자, 보안 업무 종사자라면 반드시 보아야 할 필독서. 어디서부터 보안을 시작해야 할 지 모른다면 이 책은 훌륭한 길라잡이가 될 것이다. 정보보안이 필요한 조직이라면 반드시 지켜야 할 10가지 지침 1. 최고경영자의 후원을 끌어내라. 2. 전사적인 지원과 참여를 유도하라. 3. 산업 표준을 사용하고, 적용하고, 연계하라. 4. 어떻게 하면 안전하게 할 수 있는지 업무를 단순화하라. 5. 프로세스를 문서화하고, 공표하고, 세련되게 다듬어라. 6. 훈련과 교육이 핵심임을 잊지 마라. 7. 보안이 아니라, 위험을 관리하라. 8. 사실과 수치를 관리하라. 9. 규제 준수의 함정에 빠지지 마라. 10. 기업문화를 쇄신할 수 있는 창의적 단서를 제공하라.

작가 소개	시큐리티플러스(SecurityPlus)는 2004년 4월 2일,‘ 보안 그 이상의 세계로’라는 캐치프레이즈를 갖고 네이버 보안 커뮤니티로 시작했다. 2010년 9월 1일 현재 네이버 카페 회원 수 2만 5천여 명의 회원 수를 보유하고 있으며, 2009년 8월 6일 인터넷 시큐리티플러스로 확대 개편되었다. 시큐리티플러스는 국내외 다양한 오픈 커뮤니티, 보안 관련 기관과 협회, 그리고 많은 보안 회사들과의 커뮤니케이션을 통해 국내 보안 향상에 많은 공헌을 하고 있다. 본 커뮤니티에서의 주요 활동은 아래와 같다. ..국내외 보안 동향과 국내 환경 상 높은 위험이 예상되는 보안 취약점 전파 ..국내외 보안 기술 자료 수집 및 공유 ..해외 중요 보안 보고서(SANS Top 20, OWASP Top 10 등) 한글 번역 및 공유 ..참고할만한 보안 표준 연구 개발 ..최신 IT 기술 발전에 따른 보안 관련 연구 ..각종 보안 표준, 지침, 가이드라인 연구 및 보급 ..개인을 포함한 각 기관과 회사에 대한 보안 자문 활동 ..개인을 포함한 국내 보안 연구가, 연구기관에 대한 연구활동 지원 및 커뮤니케이션 연계 시큐리티플러스는 국내외 보안에 관심 있는 모든 이에게 열려 있는 오픈 커뮤니티이며, 모든 활동은 자발적인 커뮤니티 회원의 자원 봉사에 힘입어 이뤄졌다. 앞으로도 국내 보안 수준 향상에 지속적인 기여를 하기 위해 다양한 방법으로 정보와 기술 공유, 자문과 가이드를 무상으로 제공할 것이며, 국내외 정보 보안 커뮤니티의 중심이 되도록 노력 할 것이다.(URL: http://www.securityplus.or.kr) 대표 감수자 박형근(朴亨根) - 현 정보보호 전문 커뮤니티 SecurityPlus 대표 운영자 - 현 한국IBM, IBM Security Solutions 기술팀 리더 - 현 국제 OASIS 정회원 - 현 국제 OpenGroup 정회원 - 현 CISSP, CISA, CGEIT 번역자 구형준(HyungJoon Koo, CISSP/CISA/CCNA, 삼성네트웍스) 김경기(Ryan Kim, CISSP/CCNA, 금융ISAC) 김광훈(Gwanghoon Kim, ISO27001 Lead Auditor, LG CNS) 김지선(Elleannah Kim, ㈜하우리) 김학수(Kim, Hak Soo, ㈜이글루시큐리티) 김현욱(Hyun_ouk, Kim, CISSP/CISA, 지에스서비스) 김형욱(HyungUk Kim, CISA/CISSP/CCSE, IBM) 김태영(TaeYoung Kim, 인포섹㈜) 김태정(Taejung Kim, CCNA/Linux Master, 수원대) 김호중(HoJoong Kim, CISA/ITIL, Brainzsquare,Inc) 김호중(Hojung Kim, ITIL, 사이버포렌식전문가협회) 나병준(ByongJun Na, CISSP, IBM) 남상수(Sang-Su Nam, CISSP/CCNA/SCNA/SCSA, A3 Security) 박상영(Sangyoung Park, SIS, STG Security) 박석영(Seokyoung Pak, CCNP, (주)정보보호기술) 박종일(Jong-Il Park, CCNA/CCIP/SCJP, 인하대) 방현배(Hyunbae Bang, SIS, Ahnlab) 배선봉(Sunbong Bae, CISSP/CISA, ㈜인젠시큐리티서비스) 서영규(Youngkyu Seo, CISSP/CISA, CJ시스템즈) 송용준(YongJun Song,KAIST) 송재창(SCJP) 심상윤(Shim SangYun, CISSP/SIS, A3 Security) 신철민(CNE) 우현하(Woohyun Ha, CCNP/SCJP, WatchI System) 윤동철(Dongcheol Yun, 경희대) 이병록(Byoungrok Lee, CISA/CISSP, 호주 시드니 공과대학) 이용선(Yongseon Lee, 아주대) 장세진(Sejin Jang, SCJP/LPIC, KISA) 정성원(Sungwon Jung, CISA/PMP, 서울통신기술㈜) 정홍순(HongSoon Jung, 순천향대 SecurityFirst) 조민재(Johnny Cho, CISSP/CISA, Penta Security) 채규혁(Kyu-hyeog Chae, CISSP, 아이티시에스) 최봉철(Bong-chul Choi, Nowcom) 표경록(Kyungrok Pyo, CCNA, 경희대) 황교국(Kyo-kook Hwang, SK Infosec)

목차	시작하기 P4 ●정보보안 관리에 대해 모든 조직이 수행해야만 하는 가장 중요한 열 가지 지침 P6 ●OWASP TOP10 2010: 열 가지 가장 중요한 웹 어플리케이션 보안 위협들 P46 ●OWASP TOP10 2007: 10대 가장 심각한 웹 어플리케이션 보안 취약점 P104 ●SANS TOP20 2007: 20가지 가장 취약적인 보안 위험 P186 ●SANS TOP20 2006: 20가지 가장 치명적인 보안 위험 P304 ●SANS TOP20 2005: 20가지 가장 치명적인 인터넷 보안 취약점 P342 부록: 통합 계정 및 권한 관리 참조 가이드라인: 표준 제안 요청서 P373

판매 서점

- 교보문고: http://www.kyobobook.co.kr/product/detailViewKor.laf?ejkGb=KOR&mallGb=KOR&barcode=9788960234178&orderClick=LAH

- YES24: http://www.yes24.com/24/goods/4179289

- 알라딘: http://www.aladin.co.kr/shop/wproduct.aspx?ISBN=8960234176

- 인터파크: http://book.interpark.com/product/BookDisplay.do?_method=detail&sc.shopNo=0000400000&sc.prdNo=206438437&bookblockname=b_sch&booklinkname=bprd_title

Guidelines for Smart Grid Cyber Security

SecurityPlus — Mon, 06 Sep 2010 14:26:48 +0900

안녕하세요. SecurityPlus입니다. NIST에서 발표한 "Guidelines for Smart Grid Cyber Securi...

[인포섹] CERT 모집

SecurityPlus — Mon, 06 Sep 2010 14:13:01 +0900

안녕하세요.?

인포섹에서 다음과 같이 인재를 모집합니다.

[모집부문]
- MSS사업본부/침해대응센터/CERT

[직무소개]
- 침해사고 대응
- 최신 취약점 분석

[모집인원/기간]
- 2명/ ~ 9월 30일

[경력기간]
- 해킹 사고 시스템 분석 경력 5년 이상

[상세자격]
- 다양한 형태의 침해사고에 대한 경험
- CERT 지식 및 모의 해킹 지식 동시 보유자
- Windows/Unix/Application 해킹 분석
- 중국 해킹에 대한 높은 이해 지식
- 침해사고에 대한 재현 능력 보유
- 리버스 엔지니어링 기초 지식 보유
- 모의 해킹 가능자 우대

[학력]
- 무관

[제출서류]
- 이력서, 자기소개서
- 문의사항 및 이력서 제출 : ljwandy@skinfosec.co.kr

감사합니다.

[출처] [인포섹] CERT 모집합니다 (SecurityPlus) |작성자 리얼멋진

터치엔세이프 v2.0.0.1

SecurityPlus — Fri, 03 Sep 2010 21:02:25 +0900

안녕하세요. SecurityPlus의 박형근입니다. 소프트시큐리티사가 무료로 공개한 "터치엔세이프 v2.0.0...

다음 주 월요일부터 기념출간 참여하신 분들께 참여 순서대로 책 배송이 시작됩니다.

anonymous — Fri, 03 Sep 2010 02:35:52 +0900

안녕하세요. SecurityPlus입니다.

드뎌 기념 출간이 마무리되고, 전국 유명 서점과 인터넷 서점에서 만나 보실 수 있도록 하는 작업이 한참입니다.

정식 발매일은 9월 10일 금요일이지만,

기념 출간에 참여하신 분들은 앞서 다음 주 월요일 9월 6일부터 참여하신 순서대로 책 배송이 시작됩니다.

다시 한 번 기념 출간 참여에 깊은 감사 드리며,

아쉽게 참여치 못하는 모든 회원 분들도 9월 10일 이후 각 온라인/오프라인 서점을 통해 만나 보시기 바랍니다.

그럼, 안녕히 계세요.

시스코, 인터넷 1% 마비 시켰던 버그 패치

SecurityPlus — Thu, 02 Sep 2010 11:30:46 +0900

시스코가 지난 주에 있었던 인터넷 장애에 영향을 주었던 IOS(Internetwork Operating System...

[한국CISSP협회] 제9회 정보보호리더십 세미나 안내

SecurityPlus — Thu, 02 Sep 2010 01:53:47 +0900

...

[엔씨소프트] 게임보안

SecurityPlus — Wed, 01 Sep 2010 16:31:14 +0900

◆	직무

	Technical Security Administration
◆	업무내용

	1. 업무내용 - 동향 파악 및 이상정보 수집, 분석 - 고객의 보안향상을 위한 서비스 기획 - in-house game 및 외부소싱게임에 대한 위험성 분석 - BOT 대응/예방 활동 수행 2. 주요업무내용 a. 위험분석 - 신규 위험요소에 대한 발견 - 서비스에 대한 구조적 보안가이드 - BOT 대응 업무, 게임보안솔루션 운영
◆	경력기간

	상기 업무에 대한 경력: 2년 ~ 5년
◆	학력

	무관
◆	상세자격

	1. 필요 지식/기술 - Tool & Technique - 온라인 게임에 대한 폭넓은 이해 - 윈도우 시스템 프로그램 이해 - 데이터베이스 (MS-SQL) 및 네트워크 이해 - assembly 언어 능력/binary reverse engineering 2. 해당직무 입사자 필요 조건 - 전체적인 보안과 공격기술의 동향에 대한 이해 - 기술적인 취약성( 웹, 서비스, 시스템 등) 에 대해 분석 가능한 자 - 구조적인 문제 분석능력 보유자 - 악성코드 disassemble 및 binary 분석이 가능 - 게임을 좋아하고, 온라인 게임에 대한 관심이 높은 자
◆	제출서류

	이력서
◆	지원방식

	Homepage
◆	도움말

	ㆍ채용절차: 서류전형 - 실무면접 - 임원면접 ㆍ해외여행 결격사유 없는 자 ㆍ채용규정에 어긋나지 않는자 ㆍ보훈대상자 및 장애인 우대 ㆍ채용시 조기마감 될 수 있습니다

◆	직무

	Technical Security Administration
◆	업무내용

	1. 업무내용 - 동향 파악 및 이상정보 수집, 분석 - 고객의 보안향상을 위한 서비스 기획 - in-house game 및 외부소싱게임에 대한 위험성 분석 - BOT 대응/예방 활동 수행 2. 주요업무내용 a. 위험분석 - 신규 위험요소에 대한 발견 - 서비스에 대한 구조적 보안가이드 - BOT 대응 업무, 게임보안솔루션 운영
◆	경력기간

	상기 업무에 대한 경력: 2년 ~ 5년
◆	학력

	무관
◆	상세자격

	1. 필요 지식/기술 - Tool & Technique - 온라인 게임에 대한 폭넓은 이해 - 윈도우 시스템 프로그램 이해 - 데이터베이스 (MS-SQL) 및 네트워크 이해 - assembly 언어 능력/binary reverse engineering 2. 해당직무 입사자 필요 조건 - 전체적인 보안과 공격기술의 동향에 대한 이해 - 기술적인 취약성( 웹, 서비스, 시스템 등) 에 대해 분석 가능한 자 - 구조적인 문제 분석능력 보유자 - 악성코드 disassemble 및 binary 분석이 가능 - 게임을 좋아하고, 온라인 게임에 대한 관심이 높은 자
◆	제출서류

	이력서
◆	지원방식

	Homepage
◆	도움말

	ㆍ채용절차: 서류전형 - 실무면접 - 임원면접 ㆍ해외여행 결격사유 없는 자 ㆍ채용규정에 어긋나지 않는자 ㆍ보훈대상자 및 장애인 우대 ㆍ채용시 조기마감 될 수 있습니다

◆	직무

	Technical Security Administration
◆	업무내용

	1. 업무내용 - 동향 파악 및 이상정보 수집, 분석 - 고객의 보안향상을 위한 서비스 기획 - in-house game 및 외부소싱게임에 대한 위험성 분석 - BOT 대응/예방 활동 수행 2. 주요업무내용 a. 위험분석 - 신규 위험요소에 대한 발견 - 서비스에 대한 구조적 보안가이드 - BOT 대응 업무, 게임보안솔루션 운영
◆	경력기간

	상기 업무에 대한 경력: 2년 ~ 5년
◆	학력

	무관
◆	상세자격

	1. 필요 지식/기술 - Tool & Technique - 온라인 게임에 대한 폭넓은 이해 - 윈도우 시스템 프로그램 이해 - 데이터베이스 (MS-SQL) 및 네트워크 이해 - assembly 언어 능력/binary reverse engineering 2. 해당직무 입사자 필요 조건 - 전체적인 보안과 공격기술의 동향에 대한 이해 - 기술적인 취약성( 웹, 서비스, 시스템 등) 에 대해 분석 가능한 자 - 구조적인 문제 분석능력 보유자 - 악성코드 disassemble 및 binary 분석이 가능 - 게임을 좋아하고, 온라인 게임에 대한 관심이 높은 자
◆	제출서류

	이력서
◆	지원방식

	Homepage
◆	도움말

	ㆍ채용절차: 서류전형 - 실무면접 - 임원면접 ㆍ해외여행 결격사유 없는 자 ㆍ채용규정에 어긋나지 않는자 ㆍ보훈대상자 및 장애인 우대 ㆍ채용시 조기마감 될 수 있습니다

◆ 직무
Technical Security Administration

◆ 업무내용
1. 업무내용
- 동향 파악 및 이상정보 수집, 분석
- 고객의 보안향상을 위한 서비스 기획
- in-house game 및 외부소싱게임에 대한 위험성 분석
- BOT 대응/예방 활동 수행

2. 주요업무내용

a. 위험분석
     - 신규 위험요소에 대한 발견
     - 서비스에 대한 구조적 보안가이드
     - BOT 대응 업무, 게임보안솔루션 운영

◆ 경력기간
상기 업무에 대한 경력: 2년 ~ 5년

◆ 학력
무관

◆ 상세자격

1. 필요 지식/기술 - Tool & Technique
- 온라인 게임에 대한 폭넓은 이해
- 윈도우 시스템 프로그램 이해
- 데이터베이스 (MS-SQL) 및 네트워크 이해
- assembly 언어 능력/binary reverse engineering

2. 해당직무 입사자 필요 조건
- 전체적인 보안과 공격기술의 동향에 대한 이해
- 기술적인 취약성( 웹, 서비스, 시스템 등) 에 대해 분석 가능한 자
- 구조적인 문제 분석능력 보유자
- 악성코드 disassemble 및 binary 분석이 가능
- 게임을 좋아하고, 온라인 게임에 대한 관심이 높은 자

◆ 제출서류
이력서

◆ 지원방식

Homepage

◆ 도움말
ㆍ채용절차: 서류전형 - 실무면접 - 임원면접
ㆍ해외여행 결격사유 없는 자
ㆍ채용규정에 어긋나지 않는자
ㆍ보훈대상자 및 장애인 우대
ㆍ채용시 조기마감 될 수 있습니다

CEO가 꼭 알아야 할 잘못된 보안 상식 10가지

SecurityPlus — Wed, 01 Sep 2010 16:00:55 +0900

1. 경영층은 정보보호조직에 격려만 하면 된다.2. 정보보호 위험평가는 어렵고 힘들다고만 생각한...

무료로 DLL Preloading 취약점 점검해 드립니다.

SecurityPlus — Wed, 01 Sep 2010 13:02:32 +0900

안녕하세요. SecurityPlus입니다.

최근 발표된 DLL Preloading 취약점(http://www.securityplus.or.kr/xe/?document_srl=30364) 관련하여

국내 소프트웨어에 대한 취약점 대응 지원을 위해 국내 소프트웨어 공급사를 대상으로 무료로 DLL Preloading 취약점을 점검해 드립니다.

서비스 이용을 원하는 국내 소프트웨어 공급사에서는

- 메일 제목: [신청] DLL Preloading 취약점 점검 요청
- 신청사명:
- 담당자명
- 담당자 부서:
- 담당자 직책:
- 담당자 연락처(e-mail):
- 담당자 연락처(HP):
- 점검 요청 소프트웨어명:

의 양식으로 helpdesk@securityplus.or.kr 로 메일 주시면 연락드리고 점검받을 수 있도록 하겠습니다.

DLL Preloading 취약점을 점검해 봐야 하는 소프트웨어로는 저장매체로부터 파일을 읽는 루틴이 있는 소프트웨어
(예. 미디어플레이어, 압축프로그램, 그래픽뷰어, 오피스 프로그램 등)의 경우, 점검을 반드시 받으시길 권장드립니다.

그럼, 많은 관심과 참여 부탁드립니다.

안녕히 계세요.

HAKIN9 Vol.5 No.8 - Mobile Malware - the new cyber threat

SecurityPlus — Wed, 01 Sep 2010 11:17:38 +0900

안녕하세요. SecurityPlus입니다. 보안 eMagazine인 HAKIN9 8월호입니다. 다루고 있는 주요 내용...

[안철수연구소] 2010년 하반기 신입 공채 안내

SecurityPlus — Wed, 01 Sep 2010 11:05:56 +0900

모집부문		인원	자격요건
[R&D부문] 보안(PC, N/W) 어플리케이션	윈도우 개발	00명	- 관련학과 전공자 - 영어 우수자 우대
	리눅스 개발
	악성코드 대응/분석
	제품 기술지원(S/W, H/W)
	보안컨설팅 및 모의해킹

접수기간 : 2010. 09. 01 (수) ~ 2010. 09. 24 (금)
서류전형 합격 발표 : 2010. 09. 30 (목)
면접전형 : 2010. 10. 04 (월) ~ 2010. 10. 27 (수) 중 진행

지원자는 병역 사항에 필히 구분하여 기재바람.

인사총무팀 채용담당자 (02-2186-6000)

채용 사이트 URL: http://dware.intojob.co.kr/main/ahnlab.jsp

애플 퀵타임 플레이어 원격코드 실행 취약점 주의

SecurityPlus — Tue, 31 Aug 2010 21:30:04 +0900

애플 퀵타임 플레이어 원격코드실행 취약점 주의

□ 개요
   o 애플 퀵타임 플레이어에 대한 임의의 코드 실행이 가능한 취약점[1, 2]
   o 애플社에서 지원하는 정식 보안업데이트는 발표되지 않음
   o 아이폰 사용 증가로 인해 퀵타임 플레이어를 설치한 이용자 비율이 높으므로
      각별한 주의가 요구됨
     ※ 아이튠즈 설치 시 퀵타임 플레이어가 자동으로 설치됨

□ 설명
   o 퀵타임 플레이어에서 기능 삭제로 인해 더 이상 사용되지 않는 코드를
      제거하지 않아 발생하는 취약점
   o 윈도우 운영체제에서 퀵타임 플레이어가 설치되어 있고, 인터넷 익스플로러(IE)를
     이용하여 공격자가 악의적으로 개설한 사이트에 접속만 하더라도 악성코드에 감염될
      수 있음
      - Windows XP, Windows Vista, Windows 7의 모든 버전
      - IE 버전 6 이상
     - 퀵타임 플레이어 버전 7.x, 6.x

□ 임시 조치
   o 퀵타임 플레이어 ActiveX 컨트롤 실행 중지를 위한 Kill Bit 설정 [3]
     ※ 퀵타임 플레이어의 CLSID : {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}
     ※ 레지스트리 설정을 잘못 적용할 경우 시스템이 비정상적으로 동작할 수 있으므로 주의
   o 취약점에 의한 피해를 줄이기 위하여 사용자는 다음과 같은 사항을 준수해야함
     - 파일공유 기능 등을 사용하지 않으면 비활성화하고 개인방화벽을 반드시 사용
    - 사용하고 있는 백신프로그램의 최신 업데이트를 유지하고, 실시간 감시기능을 활성화
     - 신뢰되지 않는 웹 사이트의 방문 자제
      - 출처가 불분명한 이메일의 링크 클릭하거나 첨부파일 열어보기 자제

□ 용어 정리
   o 퀵타임 플레이어: 미국 애플社에서 만든 멀티미디어 재생 프로그램
   o 아이튠즈: 애플社가 만든 멀티미디어 플레이어 및 아이팟/아이폰의 동기화 프로그램,
     컴퓨터 내의 음악과 동영상을 관리하고, iTunes 스토어에 접속하여 음악이나 뮤직 비디오,
    영화 등을 구매할 수 있음
   o ActiveX 컨트롤: 일반 응용프로그램과 웹 사이트를 연결하여 인터액티브한 웹 서비스를
     제공하는 기술

□ 기타 문의사항
   o 보안 업데이트는 언제 발표되나요?
    - 해당 보안업데이트의 발표 일정은 미정이나, 발표 시 KrCERT/CC 홈페이지를 통해
        신속히 공지할 예정입니다.
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

□ 참고사이트
   [1] http://reversemode.com/index.php?option=com_content&task=view&id=69&Itemid=1
   [2] http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=62470
   [3] http://support.microsoft.com/kb/240797

----------------------------------------------------------------------------------------

애플 퀵타임 플레이어 임의코드 실행 취약점은 무엇인가요?

o 퀵타임 플레이어에서 과거에 사용했던 기능을 더 이상 사용하지 않게 되자, 해당 기능을
삭제하였는데, 이 때 사용되지 않는 코드를 제거하지 않아 발생하는 취약점입니다.
o 이 취약점을 이용하면, 공격자가 임의로 피해 PC의 특정 코드를 실행 할 수 있게 됩니다.
o 윈도우 운영체제에서 퀵타임 플레이어가 설치되어 있고, 인터넷 익스플로러(IE)를 이용하여
공격자가 악의적으로 개설한 사이트에 접속만 하더라도 공격을 당하게 됩니다.

----------------------------------------------------------------------------------------

해당 취약점에 대한 보안업데이트는 있나요?

o 현재까지 해당 취약점과 관련한 애플社의 정식 보안업데이트는 발표되지 않은 상태입니다.
해당 보안업데이트의 발표 일정은 미정이나, 발표 시 KrCERT/CC 홈페이지를 통해 신속히
공지할 예정입니다.
o 해당 취약점의 방지를 위해 출처를 알 수 없거나 신뢰할 수 없는 파일은 수락하거나 실행하지
않고, 출처를 모르거나 신뢰할 수 없는 링크는 따라가지 않는 등의 사용자 주의가 필요합니다.

기업 웹 서비스에 대한 보안 위협 동향 및 대응 필요성에 대한 고찰

SecurityPlus — Tue, 31 Aug 2010 11:29:00 +0900

바로 직전 달은 작년에 있었던 7.7대란 1주년이 되는 때였다. 갑작스런 DDoS 공격으로 정부 ...

클라우드 보안, 억지로라도 시작하라

SecurityPlus — Tue, 31 Aug 2010 11:11:19 +0900

여전히 클라우드 컴퓨팅은 단지 “어려운 말로 포장된” 네트워크 컴퓨팅에 불과하다고 주장하는 ...

2020년 필수불가결한 IT 역량 5가지

SecurityPlus — Tue, 31 Aug 2010 11:00:48 +0900

2020년에는 전문 기술은 더 이상 IT 영역의 전유물이 아니다. 조직 내 직원들은 그들의 업무에...

[NIST] Secure Domain Name System(DNS) Deployment Guide

SecurityPlus — Mon, 30 Aug 2010 14:55:49 +0900

안녕하세요. SecurityPlus입니다. NIST에서 발표한 " Secure Domain Name System(DNS) Deploy...

[KISA] 개인정보 관리책임자 및 담당자 워크샵 안내

SecurityPlus — Sun, 29 Aug 2010 01:00:02 +0900

사전 등록 맻 행사 URL: http://privacyworkshop.or.kr/

OWASP Testing Guide 번역 프로젝트 다시 시작합니다.

anonymous — Fri, 27 Aug 2010 22:08:01 +0900

안녕하세요. SecurityPlus입니다.

OWASP Testing Guide 번역 프로젝트 다시 시작합니다.
번역 자원 신청하셨는데 자료 제출 못하신 분부터 번역 누락된 부분까지
전체적으로 번역 완수율이 높지 않아 번역 프로젝트를 다시 시작합니다.
하기 목록 중 번역을 원하시는 부분을 결정하셔서 참가를 원하시는 분들께서는
아래 참여 방법에 따라 신청해 주시기 바랍니다.

- 참여 방법:
   1. 커뮤니케이션 > 프로젝트룸 > OWASP Project Room 입장 및 가입
   2. 가입 후, OWASP Testing Guide v3.0 다운로드 후 자신이 번역하길 원하는 부분 선정.
   3. 공지사항에 자신이 맡을 부분에 대해 공지 후, 번역 수행
   4. 9월 15일까지 번역 완료 후 "산출물제출" 게시판에 번역 완료 부분 첨부 및 제출.

- 문의 사항은 상기 Project Team의 "번역문답" 게시판에서 번역 관련 모든 사항에 대해 문의 가능합니다.

- 제출된 번역 산출물은 검토 후, 완료된 부분에 대해서는 번역 완료 게시판에 업데이트됩니다.

- 번역이 필요한 목록 (하기 구분대로 신청하셔야 합니다.)

3장 Phase 1B부터 3장 끝가지.
4.3-4.3.1
4.3.3
4.3.8
4.4-4.4.2
4.4.3-4.4.4
4.4.5-4.4.6
4.4.7-4.4.8
4.4.9-4.4.10
4.5-4.5.1
4.5.2-4.5.4
4.8-4.8.1
4.8.2
4.8.3-4.8.4
4.8.5.1
4.8.5.2
4.8.5.3
4.8.5.4-4.8.5.5
4.8.6-4.8.9
4.9-4.9.4
4.9.5-4.9.8
4.10-4.10.1
4.10.2-4.10.3
4.10.4-4.10.7
4.11

그럼, 많은 관심과 참여 부탁드립니다.

수고하세요.

Defining the Next-Generation Firewall

SecurityPlus — Fri, 27 Aug 2010 00:54:43 +0900

안녕하세요. SecurityPlus입니다. Gartner에서 작성 공개한 "Defining the Next-Generation ...

Value IT & Project Portfolio Management

SecurityPlus — Fri, 27 Aug 2010 00:52:00 +0900

안녕하세요. SecurityPlus입니다. "Value IT & Project Portfolio Management" 제하의 ISA...

국내 공개 게시판(조은보드) 다중 취약점 보안 업데이트 권고

SecurityPlus — Thu, 26 Aug 2010 21:38:09 +0900

□ 개요

o ASP기반의 국내 공개 웹 게시판인 조은보드 v2.090303 이하 버전에서 다수의 취약점이 발견됨[1]
o 조은보드는 다수 취약점을 해결하는 v2.x버전을 위한 보안업데이트[2] 및 조은보드v3.100821을
공개[2][3]
o 취약한 버전을 사용하고 있을 경우, 해킹에 의한 관리자 계정 탈취, 내부정보(개인정보 등) 유출 및
악성코드 유포지로 악용되는 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요

□ 해당 시스템

o 영향 받는 소프트웨어
- 조은보드 v2.090303 이하 버전
o 영향 받지 않는 소프트웨어
- 조은보드 v3.100821 버전

□ 조치 권고 사항

o 조은보드 v2.090303 이하 버전의 경우 조은보드 v2.x버전 보안업데이트 적용
    - 아래 링크에 첨부된 조은보드 v2.x버전 패치파일을 다운받아 조은보드 폴더에 적용
      ※ http://board.joeu.net/webpage/02data/content.asp?ji_num=2&jb_sort=&jb_idx=175
    - 패치 작업 이전에 주요 설정 파일은 백업 필요
    - 최신버전인 v3.100821과 v2.090303 이하 버전은 호환 되지 않으므로 반드시 조은보드 v2.x버전
       패치파일로 업그레이드
o 조은보드를 새로 설치하는 이용자
    - 반드시 보안업데이트가 적용된 최신버전(v3.100821)을 설치
o 해당 솔루션의 업그레이드가 불가능할 경우에는 다음 사항 검토 권장
    - 한국인터넷진흥원(KISA)에서 제공하는 홈페이지 보안 강화 도구(CASTLE) 적용[4]
    - 웹사이트 보호에 필요한 정보보호 전문지식이나 서버관리 인력이 없는 중소기업 또는 비영리
     단체의 경우 한국인터넷진흥원(KISA)에서 제공하는 웹 취약점원격점검 서비스 신청[5]

□ 용어 정리

o ASP : MS사의 웹 서버인 IIS에서 동적 구성을 위한 서버용 웹 스크립트 언어
o 조은보드 : ASP 언어로 작성된 홈페이지용 게시판 프로그램

□ 기타 문의사항

o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
o 조은보드 질문/답변 게시판 http://board.joeu.net/webpage/03qna/list.asp?ji_num=28

[참고사이트]
[1] http://swbae.egloos.com/3324787
[2] http://board.joeu.net/webpage/02data/content.asp?ji_num=2&jb_sort=&jb_idx=175
[3] http://board.joeu.net/webpage/02data/content.asp?ji_num=2&jb_sort=&jb_idx=176
[4] http://toolbox.krcert.or.kr/MMVF/MMVFView_V.aspx?MENU_CODE=7&PAGE_NUMBER=16
[5] http://toolbox.krcert.or.kr/MMVF/MMVFView_V.aspx?MENU_CODE=2&PAGE_NUMBER=17

IBM X-Force® 2010 Mid-Year Trend and Risk Report

SecurityPlus — Thu, 26 Aug 2010 16:05:39 +0900

안녕하세요. SecurityPlus의 박형근입니다. IBM에서 발표한 "IBM X-Force® 2010 Mid-Year Tre...

DLL 하이재킹 취약점으로 인한 악성코드 감염 주의

SecurityPlus — Thu, 26 Aug 2010 02:51:09 +0900

□ 개요
   o 일부 응용프로그램에서 로드하는 라이브러리 파일의 경로를 부적절하게 검증함으로 인해
     원격코드실행 취약점이 발생 [1, 3, 4, 5, 10]
   o 공격자는 취약한 프로그램을 사용하는 파일을 USB 이동저장매체, 압축 해제된 파일, WebDav,
     원격 네트워크 공유 등을 통해 열도록 유도하여, 동일한 경로의 악의적인 라이브러리 파일이
     로드되어 실행되게 함으로써 악성코드를 유포할 수 있음 [1, 6, 7]
   o 취약점을 공격하는 개념증명코드가 공개되었고 다수의 응용프로그램이 취약할 것으로
     추정[2, 5]되므로, 개발자의 취약점 점검 조치 및 사용자의 각별한 주의가 요구됨

□ 해당 시스템
   o 영향 받는 소프트웨어 [1, 5]
     - 외부 라이브러리를 안전하지 않은 방식으로 로드하는 응용프로그램
       ※ LoadLibrary() 및 LoadLibraryEx()에서 라이브러리 파일의 절대 경로를 인자로 전달하지
          않은 경우 취약점이 발생할 수 있음

□ 권장 조치 방안
   o 해당 취약점은 취약한 응용프로그램을 개발한 제작사에서 보안 업데이트를 발표해야할
     사안으로, 응용프로그램 개발자는 다음과 같은 조치를 권장함
     - 응용프로그램이 취약한지 여부를 "DLL Hijacking Audit Tool[11]"로 판단
     - Microsoft의 MSDN 사이트에서 DLL 검색 순서[8] 및 DLL 보안[9]에 관한 문서를 참고하고,
       외부 라이브러리를 안전하게 로드할 수 있도록 해당 취약점을 패치
   o 일반 사용자는 취약점을 통한 공격을 완화시키기 위해 다음과 같은 설정 적용
     - Microsoft 기술자료 2264107[12]를 참고하여 WebDAV와 원격 네트워크 공유로부터
       라이브러리가 로딩되지 않도록 설정
     - WebClient 서비스를 비활성화
       * 시작 → 실행 → services.msc 입력 후 확인 → WebClient 서비스 속성 → 시작 유형을
         "사용 안 함"으로 설정 및 서비스 중지 선택 후 확인
     - 방화벽에서 TCP 139, 145 포트 차단
       ※ WebClient에 종속적이거나 해당 포트를 사용하는 윈도우 서비스나 응용프로그램을 사용하는
           시스템은, 기능상 장애가 발생할 수 있음
   o 취약점에 의한 피해를 줄이기 위하여 사용자는 다음과 같은 사항을 준수해야함
     - 파일공유 기능 등을 사용하지 않으면 비활성화하고 개인방화벽을 반드시 사용
     - 사용하고 있는 백신프로그램의 최신 업데이트를 유지하고, 실시간 감시기능을 활성화
     - 신뢰되지 않는 웹 사이트의 방문 자제
     - 출처가 불분명한 이메일의 링크 클릭하거나 첨부파일 열어보기 자제

□ 용어 정리
   o DLL(Dynamic Link Library, 동적 연결 라이브러리): 동시에 하나 이상의 프로그램에서 사용될
     수 있는 코드와 데이터를 포함한 라이브러리로, DLL을 사용하면 프로그램을 분리된 구성 요소로
     모듈화하여 작성할 수 있음
   o WebDAV(Web Distributed Authoring and Versioning): 웹 기반으로 파일의 생성, 복사,
     이동 및 삭제와 같은 기능이 수행되는 방식을 정의하는 HTTP 확장

□ 기타 문의사항
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

□ 참고사이트
   [1] http://www.microsoft.com/technet/security/advisory/2269637.mspx
   [2] http://www.theregister.co.uk/2010/08/20/windows_code_execution_vuln/
   [3] http://isc.sans.edu/diary.html?storyid=9445
   [4] http://acrossecurity.blogspot.com/2010/08/binary-planting-update-day-6.html
   [5] http://www.acrossecurity.com/advisories.htm
   [6] http://blog.metasploit.com/2010/08/exploiting-dll-hijacking-flaws.html
   [7] http://blog.rapid7.com/?p=5325
   [8] http://msdn.microsoft.com/en-us/library/ms682586(VS.85).aspx
   [9] http://msdn.microsoft.com/en-us/library/ff919712(VS.85).aspx
   [10] http://blog.zoller.lu/2010/08/cve-2010-xn-loadlibrarygetprocaddress.html
   [11] https://www.metasploit.com/redmine/projects/framework/repository/raw/external/
source/DLLHijackAuditKit.zip
   [12] http://support.microsoft.com/kb/2264107