제로 데이 위클리 : SOTU, Adobe 제로 데이, Symantec RCE, 보안 경고 과잉 공격

제로 데이즈 위크 오브 시큐리티 (Security in Zero Day ‘s Week in Security)에 오신 것을 환영합니다. 2015 년 1 월 23 일 끝나는 1 주일 동안 주목할만한 보안 뉴스 항목을 모집합니다. 기업, 논쟁, 보고서 등을 다루고 있습니다.

이번 주에 오바마 대통령은 잘못된 길을 infosec에 문지르고 Adobe는 제로 날을, 시만텍은 원격 코드 실행을, 기업은 불필요한 보안 경고에 빠져들고 있습니다.

[BREAKING] Adobe는 다음 주에 0 일 플래시를 패치 할 것으로 예상됩니다. CVE 할당 : #CVE -2015-0311 http://t.co/J0uIzDmxrn을 (를) 적극적으로 사용함

– InfoSec Taylor Swift (@SwiftOnSecurity) 2015 년 1 월 23 일

7 일째되는 날, 하나님은 안식을했고 악마는 안드로이드 발달을 창조 하셨고 하나님은 꽤 열 받게하셨습니다.

– 저는 Devloper (@iamdevloper)입니다. 2015 년 1 월 22 일

나를 판단하는 “매우 치명적인 취약점”을 기다리고 있습니다. #EveryonesAritic #BringItOn

– 보안 유머 (@SecurityHumor) 2015 년 1 월 21 일

이 3 가지 휴대 전화는 모두 뛰어난 iPhone 6s 또는 6s Plus보다 가격이 저렴합니다.

최신 리뷰

오바마 대통령은 다른 대통령이 주 의회 연설보다 더 많은 시간을 사이버 보안에 전념했습니다. 정치인들이 사이버 보안을 긴급한 관심사로 여기는 긍정적 인 신호이기는하지만 보안 업계의 많은 사람들은 흑인 모자 해킹을 줄이는데 대통령의 제안 된 사이버 보안 법안이 효과적이지 않을 것이며 공급 업체와 기업이 의존하는 연구 및 침투 테스트의 유형을 범죄로 범할 것이라고 믿습니다 소프트웨어 및 하드웨어 구현.

Adobe는 Angler라는 악용 도구에 의해 Flash Player의 제로 데이 결함이 사용되고 있다는보고를 조사하고 있습니다. 시스코의 보안 연구원에 따르면 지난 해 블랙 홀 (Blackhole) 익스플로잇 키트의 출시가 끝난 후 앵글 러 (Angler)는 올해 새로운 “보는 사람”이라고한다.

원격 코드 실행 기능이있는 Symantec Data Center Security : http://t.co/2wzK5lyTBF

– HD 무어 (@hdmoore) 2015 년 1 월 23 일

데이터 유출을 확인하지 않는 이유 (일부 사용자가 실제로 “pwned”해야하는 이유)

다시 생각하는 보안 기본 사항 : FUD를 벗어나는 방법

오라클은 화요일에 자사의 방대한 엔터프라이즈 소프트웨어 제품에 대한 4 가지 보안 수정 사항 중 첫 번째 패치를 발표했다. Oracle의 분기 별 중요 패치 업데이트에는 Java, Fusion Middleware, Enterprise Manager 및 MySQL을 포함한 제품에 영향을 미치는 169 개의 ​​문제에 대한 보안 업데이트 및 패치가 포함되어 있습니다.

Loki gif에서 검토 된 Blackhat 영화 : 할리우드의 새로운 사이버 보안 영화 Blackhat은 infosec 엘리트의 높은 평가에도 불구하고 이번 주말에 열리고 폭격을당했습니다.

? M2M 시장은 브라질에서 다시 반송

FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포

거짓 긍정적 인 보안 경고에 수백만 달러를 지출 한 미국 기업 : 맬웨어 억제 비용에 대한 새로운 보고서에 따르면 미국 기업은 연간 약 130 만 달러 (약 86 만 파운드)를 사이버 보안 경고를 처리하는 데 약 21,000 남자 시간.

FireEye : 엔터 프라이즈 중복 보안 알림 압도. 파이어 아이 오스트레일리아 / 뉴질랜드 시스템 엔지니어링의 리치 코스 탄조 (Rich Costanzo)는 조직에 중복 경고가 쏟아져 중대한 경고가 누락 될 위험이 높아진다는 결과가 나왔다고 밝혔다. 두 개의 FireEye 조사 (유럽 C 레벨 임원 및 국제 직원 중 한 명)가 유럽에서 지난 2 년 동안 꾸준히 증가한 것으로 나타났습니다. 그러나 경고를 해결하고이를 후속 조치하는 사람들의 수가 정체되거나 경우에 따라 감소했습니다.

GoDaddy CSRF 취약점은 도메인 탈취를 허용합니다. 공격자는 CSRF 취약점을 활용하여 GoDaddy에 등록 된 도메인을 인수 할 수 있습니다. 이 취약점은 1 월 18 일 패치되었습니다. Breaking Bits (Dylan Saccomanni)는 “많은 GoDaddy DNS 관리 작업에서 교차 사이트 요청 위조 보호가 전혀 없다는 것을 알았습니다. (…) 수정 일정이 없다고 들었습니다.”

Verizon My FiOS 모바일 애플리케이션 취약점으로 인해 Verizon 이메일 계정에 대한 모든 사용자 액세스가 허용되었습니다. ThreatPost에보고 된 바와 같이 Verizon은 보안 연구원 Randy Westergren Jr이 취약점을 공개 한 후 지난 주에 결함에 대한 수정을 추진했습니다. 이 결함으로 인해 통신 업계의 거물이 48 시간 이내에 문제를 패치 할 수있을 정도로 심각한 수준이었습니다.; 최근 검토, Android 플래그쉽 전투 : HTC 10, LG G5 및 삼성 Galaxy S7; 비교 가능한 iPhone 6s 또는 6s Plus. 자세히보기

Cisco 2015 연간 보안 보고서는 정부가 온라인 범죄를 줄이기 위해 더 많은 지원을 제공하고 있지만 범죄자들은 ​​조직에 대한 공격을 유발할 수있는 새로운 방법을 모색 중임을 밝혔습니다.

기자와 전 익명의 회원 인 배럿 브라운 (Barrett Brown)은 목요일 달라스에서 연방 판사에 의해 63 개월 형을 선고 받았다. 케빈 갤러거 (Kevin Gallagher)는 긴 문장이 그럼에도 불구하고 언론인에 대한 선례를 만들 것이라고 경고했다. “기본적으로 신용 카드 정보가 포함되어있을 수도 있습니다. 기소 될 수 있습니다.

온라인 신탁 연합 (Online Trust Alliance)에 따르면, 기업들이 위험 사이버 전략을 재고하면 2014 년 상반기에 데이터 유출의 90 % 이상을 예방할 수있었습니다. PII (개인 식별 정보)의 손실과 관련된 데이터 유출의 40 %만이 외부 침입으로 인한 것이 었습니다. 29 %는 직원이 실수로 또는 악의적으로 발생 시켰습니다. 엔터프라이즈 데이터 보안 업체 인 Vormetric에 따르면 미국 기업의 93 %는 내부의 위협에 취약합니다.

보안, 데이터 침해를 확인하지 않는 방법 (보안 위협, 보안 사고, 보안 사고 재발견), FUD를 뛰어 넘는 방법, 혁신, 브라질에서의 M2M 시장 회복, 보안, FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포