HACKABILITY

안녕하세요. Hackability 입니다. 다들 ISCTF 는 잘 하고 계신가요~ 하루 조금 넘는 대회긴 하지만 뭔가 배울수 있는 해킹 대회를 만들고 싶었는데 능력이 부족해서 많이 부족한것 같습니다 -_ㅠ 아래는 mpwn2300, mpwn2500, mpwn2800에 대한 힌트 입니다. 특히 mpwn2500의 경우, 아직 푼 팀이 없는데 아래 글과 제 블로그에 2015 HITCON pwnable 200점 문제인 nanana에 대한 라이트업을 참고 하시면 도움이 될 것 같습니다. 아래 내용은 phrack에서 발간했던 Scraps of notes or remote stack overflow exploitation 글을 번역한 내용이며 중간에 Canary 부분을 참고 하시면 될 것 같습니다. ==Phrack I..

최종 수정: 2014.06.16 안녕하세요. Hackability 입니다. 간만의 포스팅인 만큼 오랜만에 간단한 뉴스 하나 소개드립니다. "큰 해킹 사고가 이제 없을 것이라 생각하는 당신. 미안하지만 이제는 익숙해져야 한다." 라는 재미있는 내용입니다. :) 우리 몇주 간격으로 큰 데이터 해킹 사고를 접하고 있다. 이것은 마치 기름 유출의 온라인 버전과도 같다. 공격자들은 기업의 내부로 침투하여 개인정보를 훔쳐 블랙 마켓에 제공함으로써 우리는 온라인 사기나 도난 등의 큰 위협에 놓여 있다. 어딘가에는 당신의 이름으로 은행 계좌를 열거나 신용카드를 남용할 수 있을 만큼의 정보가 떠다니고 있다. 저번 주에는 P.F. Changs라는 중국 체인지 레스토랑에서 고객들의 신용카드 및 체크카드 정보가 손실되었다. ..

안녕하세요. Hackability 입니다. 이번 소식은 페이스북이 유저들이 주고 받는 사적 메시지(Private Message) 검색에 대한 내용입니다. 이번주에는 페이스북을 상대로 소송건이 발생하였습니다. 고소한 유저들은 자신들의 광고사, 마켓사, 데이터 수집사 등 에 팔만한 가치가 있는 "Private" 링크를 페이스북에서 검색했다고 주장하고 있습니다. 해당 소송에 따르면, 페이스북의 검색 행위가 알림 없이 또는 유저들의 동의 없이 진행되었다고 합니다. 해당 소송은 켈리포니아 북부에 위치한 미 지방 법원에서 Matthew Campbell과 Michael Hurley 에의해 이루어졌습니다. 그들은 이 사건을 집단 소송으로 만들길 원하며, 미국에 있는 166만 페이스북 유저에게 집단 소송에 참여하길 권하..

안녕하세요. Hackability 입니다. 본 글은 저의 첫 글 (2013 BlackHat Key Note) 에서 언급했던 스노덴에 대한 이야기 입니다. 아래 동영상은 2분만에 보는 에드워드 스노덴이 IT 시장에 미치는 냉각 효과 (A Chilling Effect)에 대한 내용입니다. 지난 2000년부터 2013년까지 돌이켜 봤을 때, 단 하나의 사건이 가장 크고 가장 오래 지속될만한 사건은 에드워드 스노덴의 폭로 사건이다. 기존의 Adobe, Evernote, Twitter, 그리고 Healthcare.gov 이 격었던 암호 유출과 같은 사건들은 스노덴이 언론에 폭로한 NSA의 감시 프로그램에 관련된 20만가지의 기밀 문서들에 비교할 수가 없다. 이는 인터넷을 통해 퍼지고 수많은 음모론자들 조차 두려웠..

안녕하세요. 지난 번 "Target사의 신용카드 유출 사고" 에 썻던 것에 이어 이번에는 "왜 신용 카드 해킹은 지속 될까?" 라는 내용입니다. Target 사의 한 번의 공격에 의해 수백만의 신용 카드 정보가 유출된것은 이유가 있다. 그리고 이는 우리가 마그네틱 신용 카드를 사용하는 한 미래에도 지속 될 것이다. 경제 최강국인 미국 역시 결제 기술에는 사실 촌뜨기(boonie)이다. 최근 몇년간, 80개 이상의 국가에서 마이크로칩이 내장된 신용 카드로 업그레이드 하고 있다. 이러한 마이크로 칩이 내장된 카드의 경우, 복제 하기가 엄청나게 어렵고 또한 매결제 시 보안이 이루어진다. 단말에서는 사용자의 PIN을 요구하고 내장된 칩의 정보는 암호화 되어 있다. 하지만, 미국인들은 아직까지도 1960년대 결제..

안녕하세요. 신용카드 정보 유출에 대한 뉴스 입니다. 거대 기업인 Target사는 현재 수백만건의 카드 정보 유출에 대해 조사 중이라고 밝혔다. 해당 유출 사고는 2013년 Black Friday로 알려진 한 해의 가장 바삐 쇼핑을 하는 날에 즈음에 시작되었다. Secret Service의 대변인 Brian Leary는 수요일 저녁 조사에 대해 확인하였으며 더이상의 코멘트를 하지 않았다. 실력있는 보안 조사관인 Brian Krebs는 Target사가 지난 Black Friday로 알려진 날에 수백만 건의 고객 신용&체크 카드 정보 유출에 대해 레포트하였으며, Target사는 수요일 저녁의 코멘트 요청에 대한 응답을 하지 않았다. Krebs는 해당 유출이 Target사의 온라인 쇼퍼 대상으로 이루어졌다고 ..

안녕하세요. 본 포스트는 JUMIO White Paper를 번역한 내용으로 "사기꾼들이 정보를 수집하는 5가지 방법"이라는 주제입니다. 서론 2000년 전, 공자가 쓴 손자병법에 "적을 알고 나를 알면 백번의 전투에도 두려워할 필요가 없다." 라고 한다. 본 백서에서는 사기꾼들이 어떻게 정보를 탈취하는지 앎으로써, 사기꾼들과의 전투에서 모두 이길 수 있게 하기 위함이다. 본론 사기꾼들이 정보를 수집하는 5가지 방법은 아래와 같다. 1. 카페에서 무선을 이용한 정보 수집 (신선하게 잘 구워진 커피의 맛과 향을 즐긴다) 길을 걷던 당신은 주변에 자신이 좋아 하는 커피집에 들러 커피를 주문한 뒤 자리에 앉아 이메일을 체크한다. 카페 무선 네트워크임을 확인하며... 최근 사기꾼들의 정보 수집 전략 중 하나는 무..

2013년 10월 28일(한국시간 29일) 버락 오바마 트위터 계정에서 발송된 트윗이 pro-Bashar al-Assad 유투브로 리다이렉션되는 해킹이 발생하였습니다. 해당 취약점은 직접 계정을 탈취한 것이 아닌 BarackObama.com 의 URL shortener 서비스에서 발생되었습니다. 현재는 해당 링크는 수정된 상태라고 하네요. 관련 링크 http://rt.com/news/obama-twitter-facebook-hacked-876/ http://fox40.com/2013/10/28/barack-obamas-tweets-hacked/ http://www.mediaite.com/online/syrian-electronic-army-hacks-obamas-twitter-facebook-accoun..

본 내용은 시만텍에서 제공하는 2013 Internet Security Threat Report 18호 입니다.PDF 다운로드 주소http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v18_2012_21291018.en-us.pdf 목차 IntroductionExecutive Summary 2012 Security Timeline2012 in Numbers Targeted Attacks, Hacktivism, and Data BreachesIntroductionData - DDoS Used as a Diversion - Data BreachesAnalysis - Cyberwarfare, Cybersabota..

2013년 10월 3일, Adobe 사의 Chief Security Officer(CSO) 인 Brad Akin이 블로그를 통해 자사 네트워크가 공격을 당해 개인 정보 및 소스코드 유출이 되었다고 밝혔습니다. 조사 결과 공격자가 접근한 내용으로는 Adobe Customer ID, 암호화된 비밀번호 입니다. 또한 공격자는 290만명의 정보 (이름, 암호화된 카드 정보, 만료 날짜, 그 외 다른 정보들)를 삭제했습니다. 하지만 복호화된 카드 정보는 지워지지 않았다고 하네요. 이 사건으로 몇 가지 조취가 취해지는 것 같습니다.사건과 관련된 사용자들의 패스워드 리셋신용카드, 체크카드 정보 보호를 위한 정보 제공은행과 협업을 통한 사용자 계정 보호연방법 적용 및 조사 착수 또한 개인 정보 뿐만 아니라 소스 코드가..