티스토리 뷰
최종 수정: 2014.06.16
안녕하세요. Hackability 입니다.
간만의 포스팅인 만큼 오랜만에 간단한 뉴스 하나 소개드립니다.
"큰 해킹 사고가 이제 없을 것이라 생각하는 당신. 미안하지만 이제는 익숙해져야 한다." 라는 재미있는 내용입니다. :)
우리 몇주 간격으로 큰 데이터 해킹 사고를 접하고 있다. 이것은 마치 기름 유출의 온라인 버전과도 같다. 공격자들은 기업의 내부로 침투하여 개인정보를 훔쳐 블랙 마켓에 제공함으로써 우리는 온라인 사기나 도난 등의 큰 위협에 놓여 있다.
어딘가에는 당신의 이름으로 은행 계좌를 열거나 신용카드를 남용할 수 있을 만큼의 정보가 떠다니고 있다.
저번 주에는 P.F. Changs라는 중국 체인지 레스토랑에서 고객들의 신용카드 및 체크카드 정보가 손실되었다. 최근에는 공격자들이 Target, Michales, Neiman Marcus의 결제 단말을 악성코드로 감염시키기도 했다. 이런 사이버 범죄자들은 자신들만의 방법으로 Adobe, AOL, eBay Snapchat 등을 침투 한다. 공격자들은 3rd-party 회사등을 통해 야후로부터 정보를 탈취하는데 쓰기도 했다.
기존 역사에는 없던 이런 일들이 손쉬운 방법으로 민감한 정보들을 훔치고 있다. 하지만 당신이 할 수 있는것은 없다. 여기에 이런 어마어마한 해킹 사고들이 계속 일어날 수 밖에 없는 4가지 기본적인 이유에 대해 설명한다.
1. 우리의 삶이 온라인세계로 이동
우리가 접하는 대부분의 장비들은 인터넷과 연결되어 있다. 우리가 정부 서비스나 고객 서비스를 이용할 때, 로그인을 위한 개인 정보들이 서버에 저장된다. 매장들은 거래 처리를 위해 인터넷 네트워크를 이용한다.
최근 Hewlett-Packard의 사비버 보안 보고서에 따르면 사용자들이 모바일 장비나 Flash, java를 포함한 취약한 웹사이트에 매우 의존적이기 때문에 기존보다 훨씬 더 공격에 노출되었다고 언급했다.
HP의 비지니스 보안 제품팀 이사인 Jacob West는 "공격의 범위가 계속 증가하고 있다"고 말했다.
2. 데이터 수집의 확장
매장, 병원, 식당 등 모든 것들의 우리의 개인 정보를 가져가고 우리가 모르는 곳에 저장하고 있다. 왜 Target 사가 7000만명이나 되는 사람들의 이름, 주소, 전화번호를 가지고 있었을까?
그 이유는 이런 정보가 값어치가 있기 때문이다. 우리의 이런 개인 정보를 이용하여 번창하는 곳들이 있다. 광고주들은 좀더 정밀한 상업을 원한다. 은행들은 위험한 대출을 피하고 싶어 한다. 데이터 브로커와 데이터 분석 회사들은 그들이 원하는 것을 할 수 있도록 민감한 정보들을 제공한다. 이것은 해커에게 크나큰 보물상자와도 같다.
3. 고도화되고 있는 공격자들
외롭거나 고독한 이미지 또는 피어싱을 하거나 문신을한 사이버 불량 소년의 이미지를 버려라. 요즘 해킹 공격들은 기술 전문가들에 의해 진행되며 때때로 범죄 조직의 명령에 의해 팀으로 일하기도 한다.
그동안 공격자들은 그들의 숙제를 했다. 그들은 네트워크를 몰래 공격하거나 무언가 몰래 심어 놓는 등의 일이다. 현재는 이런 지식을 이용하여 공격자들은 대상이 되는 회사 컴퓨터를 공격하기 위한 악성코드를 제작한다.
IBM의 보안 시스템팀 리더인 Brendan Hannigan은 "가장 급격한 변화는 공격의 정교함"이라고 말했다.
Zeus Trojan과 같은 강력한 해킹 공격 도구들은 결국 싼 가격에 블랙 마켓에 나타날 것이다. 까닭에, 실력이 없는 공격자들도 이러한 강력한 무기를 이용하여 시스템 접근 권한을 갖게 될 것이다.
4. 쓸모 없어 보였던 데이터들의 역습
누가 사람들의 이름이나 생일 등을 훔친다고 신경을 썻을까? 우리는 쉽게 발견될 수 있는 공개정보들에 대한 잘못된 믿음들이 있지만 현실은 그렇지 않다. 겉보기에는 중요하지 않은 정보들이 우리의 삶을 엮는 포인트가 된다.
Agari의 CEO인 Patrick Peterson은 "악의적인 사람들이 이런 데이터를 이용하여 의미있는 무언가를 만들 수 있다"고 말했다.
본질적으로 공격자들은 합법적인 데이터 브로커들로 부터 무언가를 배우고 있다. 당신이 도난당한 신용카드를 팔고 있는 블랙 마켓에서는 당신의 이름과 생일 정보 또한 팔고 있다. 이 세가지 정보를 이용하여 범죄자들은 더욱 쉽게 당신의 이름으로 계좌를 계설할 수 있다.
'관련정보' 카테고리의 다른 글
SSP - Stack Canary에 대한 Phrack 자료 번역 (0) | 2016.11.12 |
---|---|
[Facebook] 페이스북의 사적 메시지 검색에 대한 고소 사건 (0) | 2014.01.03 |
[ZDNet] 2분만에 보는 스노덴의 폭로 사건이 세계에 미치는 냉각 효과 (0) | 2013.12.24 |
[CNN] 왜 신용 카드 해킹은 지속될까? (0) | 2013.12.24 |
Target사의 신용 카드 유출 사고 (0) | 2013.12.19 |
- Total
- Today
- Yesterday
- 데이터 마이닝
- 힙 스프레잉
- IE 11 exploit development
- 쉘 코드 작성
- IE 10 Exploit Development
- 쉘 코드
- TenDollar CTF
- 2014 SU CTF Write UP
- shellcode
- IE 10 God Mode
- data mining
- School CTF Writeup
- UAF
- IE 11 UAF
- expdev 번역
- Windows Exploit Development
- 윈도우즈 익스플로잇 개발
- TenDollar
- heap spraying
- CTF Write up
- IE 10 리버싱
- IE 10 익스플로잇
- School CTF Write up
- shellcode writing
- 2015 School CTF
- WinDbg
- Use after free
- IE UAF
- Mona 2
- IE 11 exploit
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |