Microsoft expecting exploits for critical IE vulnerabilities


Summary: 
Patch Tuesday: Gaping holes in the Internet Explorer browser can be exploited to launch drive-by download attacks from rigged web sites.

주요내용 : IE 브러우저의 취약점으로 인해 웹사이트로 부터 다운로드 공격이 실행될 수 있는 부분에 대해 패치한다. 
 
Microsoft today warned that multiple gaping security holes in its Internet Explorer browser could expose millions of Web surfers to hacker attacks via rigged web pages.

MS는 오늘 조작된 웹페이지를 통해 수백만의 이용자가 해커에 무방비로 노출 될 수 있는 IE의 취약점에 대해 경고하였다.


As part of this months’ Patch Tuesday release, Microsoft shipped a “critical” IE bulletin (
MS11-057) with fixes for total of 7 security flaws.   Two of the vulnerabilities were publicly discussed prior to the availability of the patch.

이번 패치로 MS는 심각한 취약점인 MS11-057 을 포함한 총 7개의 취약점이 수정 되며, 이 중 두개는 패치 가능성이 이미 언급되었던 취약점이다.

 
The company expects to see reliable exploits developed within the next 30 days.
 
 
MS는 향후 30일 이내로 한층 더 진화된 공격이 이루어질 것이라 전망한다.

 

Because these vulnerabilities expose IE and Windows users to drive-by download attacks without any user action beyond surfing to a booby-trapped web site, Microsoft is strongly recommending that all Windows users apply the patch immediately.

이번 취약점은 웹페이지를 서핑한 이후 어떠한 동작 없이도 IE와 윈도우 유저가 다운로드로 인한 공격에 노출될 수 있기 때문에 MS는 즉시 윈도우 모든 이용자들에게 패치를 하도록 권고하고 있다.

 

The IE update is rated “critical”  for Internet Explorer 6 on Windows clients, and for Internet Explorer 7, Internet Explorer 8, and Internet Explorer 9; and Important for Internet Explorer 6 on Windows servers.

 
IE 업데이트는 윈도우의 IE 6,7,8 심지어 9까지 적용되는 심각단계이며 IE 6 서버용 이용자들에게는 특히나 중요하다 
 

Patch Tuesday heads-up: Critical IE update among 13 bulletins ]

IE의 중요 취약점 13개 패치내용

Microsoft also called special attention to MS11-058, a “critical” bulletin that addresses a pair of serious security holes in the Windows DNS Server.

MS는 윈도우 DNS서버의 심각한 취약점으로 발표한 심각단계의 MS11-058로 별도 명명하고 있다. 

 

The more severe of these vulnerabilities could allow remote code execution if an attacker registers a domain, creates an NAPTR DNS resource record, and then sends a specially crafted NAPTR query to the target DNS server. Servers that do not have the DNS role enabled are not at risk, Microsoft explained.

 
이 취약점은 공격자가 도메인을 이용한 경우 원격코드가 실행될 수 있고, NAPTR DNS 자원 기록 및 특정 명령문을 DNS 서버로 전송할 수 있다. 사용가능한 DNS를 보유하지 않은 관리자들은 위험하지 않다고 MS는 전했다. 

 

In an attack scenario, the company said that a malicious attacker can send a name resolution request to the victim DNS server that is configured to issue requests to a malicious DNS server.  Because of the vulnerabilities, the response from the malicious DNS server to the  victim DNS server is improperly handled, resulting in a denial-of-service condition on the victim DNS server.

 
예상 공격이라면, MS측에서는 "악의적인 공격자가 악의적인 DNS서버로 정보를 전송하도록 설정된 피해 DNS 서버에 명령을 정송할 수 있다" 고 전했으며, 취약점으로 인해 악의적인 DNS 서버에서 피해 DNS서버로 응답이 갈 경우 결과적으로 피해 DNS 서버에는 DOS 공격이 가능하다

 

The Windows DNS Server update is rated “critical” for 32-bit and x64-based editions of Windows Server 2008, and x64-based editions of Windows Server 2008 R2; and Important for all supported editions of Windows Server 2003.

윈도우 서버 2008의 32,64bit 와 윈도우 서버 2008 R2 64bit 와 특히나 윈도우 서버 2003의 모든 버전까지 "심각" 단계로 분류된다.

The August Patch Batch also fixes these serious problems:
8월에 패치되는 심각한 주요취약점 : 

 

  • MS11-063: An “important” vulnerability in Windows Client/Server Run-time Subsystem that allows privilege escalation if an attacker logs on to an affected system and runs a specially crafted application designed to send a device event message to a higher-integrity process. Microsoft expects to see reliable exploits developed within the next 30 days.

    MS11-063: "중요" 단계의 윈도우 서버/이용자 런타임 보조시스템의 중요 프로세서 메세지를 유출시키도록 개발된 프로그램의 실행과 컴퓨터에 영향을 줄 수 있는 취약점, MS는 30일 내로 한층 진화된 공격이 있을 것으로 예상하고 있다. 

     

     
  • MS11-062: A vulnerability in the Remote Access Service NDISTAPI Driver.  This could allow elevation of privilege if an attacker logs on to an affected system and runs a specially crafted application designed to exploit the vulnerability and take complete control over the affected system.  Microsoft warns that reliable exploits could be developed within the next 30 days.

    MS11-062: NDISTAPI 드라이버에 접근하여 조종할 수 있는 취약점. 이 취약점은 공격자가 영향 받는 시스템을 완벽히 조종할 수 있도록 개발된 프로그램을 실행시켜 영향을 줄 수 있다. MS는 30일 내로 더욱 진화된 공격이 있을 것으로 예상하고 있다.
     
  • MS11-064: Provides patches for a pair of vulnerabilities in the TCP/IP stack. The vulnerabilities could allow denial-of-service (blue screen) if an attacker sends a sequence of specially crafted Internet Control Message Protocol (ICMP) messages to a target system or sends a specially crafted URL request to a server that is serving Web content and has the URL-based Quality of Service (QoS) feature enabled.  Microsoft said there is no exploit possible for code execution.

    MS11-064: TCP/IP 스택의 취약점. 이 취약점은 ICMP 메세지를 보내거나, QoS 기반의 URL을 기초로 하는웹 컨텐츠를 제공하는 서버로 특정 응답이 전송될 수 있는 경우 DoS(블루스크린) 공격이 가능하다.
     
This month’s patch release also includes fixes for denial-of-service bugs in Remote Desktop Protocol (MS11-065); a pair of code execution holes in Microsoft Visio (MS11-060); a solitary bug in ASP.NET Chart Controls that causes information disclosure (MS11-066); a data exposure flaw in Microsoft Report Viewer (MS11-067); and an elevation of privilege bug in Remote Desktop Web Access (MS11-061).

이번달 패치는 RDP의 DOS 버그(MS11-065)와 MS 비지오의 코드 실행 취약점(MS11-060) 과 정보 유출을 야기할 수 있는 ASP.NET 차트 컨트롤(MS11-066) 및 NTS Reprot Viewer 의 정보 유출 취약점 및 RD에서 웹 접근시 발생하는 버그(MS11-061)도 포함된다. 


원문 : http://www.zdnet.com/blog/security/microsoft-expecting-exploits-for-critical-ie-vulnerabilities/9244?tag=mantle_skin;content

Bing ad serves malware to would-be Google Chrome switchers

The criminal gangs that specialize in malware love search engines, because they represent an ideal vector for getting Windows users to click on links that lead to potentially dangerous Trojans. The latest attack targets ads, and the social engineering is frighteningly good. 
 
말웨어를 다루는 범죄조직들은 검색엔진을 좋아한다. 잠재적으로는 위험한 트로이목마로 연결된 링크를 윈도우 유저가 클릭할 수 있도록 하는 이상적인 방법이기 때문입니다. 최근 공격은 사회공학 기법에 알맞은 광고를 목표로 삼고 있다.   


Update: The same gang is responsible for a wave of new ads that lead to malware. See 
Bing ad leads to more malware; new Mac Trojan in the wild.

흐름에 발 맞춘 말웨어 광고들. 새로운 맥 OS 트로이목마 같은 말웨어를 유도하는 Bing의 광고를 보아라!

Can you trust your favorite search engine? Don’t answer too quickly.
가장 좋아하는 검색엔진을 믿고 있는가? 섣불리 판단하지 말아라 


Earlier this year, Google was under siege by a gang of Russian criminals. The bad guys hijacked search results (especially for images) and used scripts to redirect Windows and Mac users to sites that tried to scare them into installing fake antivirus software.
이번년도 최근에 구글은 러시아 범죄자들의 갱으로 부터 포위됬다. 검색결과를 악용하고 가짜백신 프로그램을 설치하도록 윈도우와 맥 OS 유저를 겁주기 위한 사이트로 연결되는 스크립트를 구현하였다

 

Google eventually cleaned up the mess, and Russian authorities helped their cause immensely byarresting the ringleader.
구글은 이 페이지들을 정리하였고, 러시아 정부관계자들도 책임자로써 원인파악에 도움을 주었다. 

 

But that doesn’t mean it’s safe to relax yet. This week I’m watching a new wave of attacks that are using web advertising and social engineering to deliver Windows-based malware. The payload looks like legitimate software, but it’s actually a malicious downloader .

하지만 이것은 안전하다를 의미하는 것이 아니다. 이번주 윈도우 기반 말웨어를 배포하는 사회공학기법과 웹 광고를 이용한 새로운 공격형태를 보고있다. 마치 합법적인 프로그램처럼 보이지만 사실 악성 다운로더이다.

 
 

Today’s example is from Bing, which may have a fraction of Google’s search traffic but still has attracted the attention of cybercriminals.
이번 예시는 구글의 검색에 버금가는 정보율을 보이고 있지만 여전히 범죄자들의 표적이 되고 있는 Bing을 사용할 것이다. 

 

Earlier today I visited Bing and searched for google chrome. The results were accompanied by a handful of ads in prominent positions at the top and along the right side. Nothing unusual about that, except for two nearly identical ads that appeared side-by-side at the top of the list. Here’s what they looked like (I’ve obscured the URL names to make the test tougher).

오늘 일찍, 나는 BIng을 접속해 "Google Chrome(구글 크롬)" 을 검색하였다. 오른쪽과 위쪽 눈에 딸 띄는 위치에 유용한 광고들이 결과에 같이 표시되었다. 리스트 상단과 옆에 나타난 두 광고들을 제외하고는 유용하지 않은 것은 없었다. 여기 무엇을 표현하는지 나타나 있다. (URL 이름은 가렸다)


 
 

One of those ads was legitimate, and the other led to a malware attack. Can you tell which was which?
이 광고중 하나는 합법적이고, 하나는 말웨어 공격으로 연결된다. 무엇이 무엇인지 말할 수 있을까? 

Here’s the landing page for the first ad:
첫 광고에 연결된 페이지: 


And here’s where clicking the second ad led:
이것은 두번째 광고를 클릭했을 때 연결된 페이지: 
 

If you look closely enough, you can probably figure out that the first site is Google’s legitimate Chrome download page and the second one is fake, but the differences are subtle. A nontechnical observer would have a very difficult time figuring out that one of those big blue Download Google Chrome buttons is the real deal and one is fake.

가장 친근하게 보이는 것이라면 첫 번째 사이트가 구글의 합법적인 크롬 다운로드 페이지이고 두번째는 가짜라 생각할 것이지만, 두 페이지간에 차이점을 찾기 힘들다. 비전문가 입장에서는 큰 파란색 다운로드 버튼이 진짜이고 나마자는 가짜라는 것을 판단하기 어려웠을 것이다.


The path from my web browser to the malicious software was a convoluted one.  
웹 브라우저로 부터 악성 프로그램까지의 이동 경로는 복잡하다. 

 

The landing page for the fake site is served from a domain called iDownloadster.info, which has been built for deception. The domain was registered with GoDaddy four days ago, and the ad is hosted at a Ukrainian site called Goodnet. The download link leads to a separate domain, dl-byte.com, which was registered seven days ago and is hosted on a server that is infested with malware, porn, and fake pharmaceutical sites, most of it located in Russia.

가짜 사이트로 이동하는 페이지는 iDownloadster.info 이다. 도메인은 GoDaDDy에 4년간 등록되었으며 광고는 Goodnet으로 불리는 우크라이나 사이트가 주인이였다. 다운로드 링크는 전혀 다른 도메인이였고 도메인은 dlbyte.com으로 7년간 등록되었으며, 말웨어, 음란물, 가짜약으로 악용된 곳이였다. 이런 사이트는 대부분 러시아에 위치한다.


But there’s no way to know any of that if you simply click the link and download the software.
하지만, 직접 프로그램을 다운받는 방법외에는 사전에 이런 사이트를 알 수 있는 방법이 없다.

 

When I sent the fake download to VirusTotal for analysis, it was detected by only a handful of antivirus engines. Microsoft Security Essentials missed this threat initially, but a definition update a couple hours later identified the downloaded file as Rogue:Win32/FakeRean. This family of fake antivirus software goes by dozens of names in the wild: Win 7 Internet Security 2011 and Total Win 7 Security, among others.

바이러스 토탈에 가짜 다운로드 프로그램을 전송하니, 몇 안되는 백신엔진에서만 바이러스를 감지하였다. MSE는 초기에는 진단하지 못했으나, 두시간 이후 Rogue:Win32/FakeRean 라는 이름으로 진단하도록 업데이트 되었다. Win7 Internet Security 2011, Total Win7 Security 등등 가짜 백신들은 이름도 다양하다.


That lag between the time I downloaded the file and when it was identified is a perfect illustration of the phenomenon I wrote about last week in Why malware networks are beating antivirus software. But that doesn’t mean I was a sitting duck. In fact, all of my main Windows PCs stopped this potential infection in its tracks, using security layers that don’t depend on definition files.

내가 파일을 받을 시점과 내가 저번주에 작성한 "말웨어 네트워크는 왜 백신을 노릴까" 에 적었던 현상이 나타난다는 것을 파악하고 있는 사이에 링크는 사라졌지만, 내가 알아채지 못했음을 의미하는 것이 아니다. 사실 나의 윈도우 PC들은 모두 파일에 의존하지 않는 보안이라던가 말웨어에 감염되어 있지 않다. 

 
 

In my next post, I’ll offer a detailed look at how those antivirus alternatives work and why they represent the future of online security.

나의 다음 기사는 어떻게 백신이 작동하고 왜 백신이 미래보안을 대표하는 것인지 자세히 알아볼 것이다


 

Update: Five hours after I reported this issue to Microsoft, the fake ad was removed. A Microsoft spokesperson provided the following comment:

MS에 이번 문제를 취재한지 5시간 만에 가짜 광고는 삭제됬고, MS 대변인은 다음과 같은 답변을 하였다.
 

Microsoft has identified the malicious ad and took the appropriate action to remove it. The advertiser also can no longer post ads on Bing. In addition, the site’s URL is no longer available via adCenter. We remain vigilant in protecting consumers, advertisers and our network from fake online insertion orders and continue to directly work with our agency media partners to verify and confirm any suspicious orders.

MS는 악성광고를 확인했고, 삭제조치 하였습니다.  해당 광고주는 더이상 Bing에 광고를 개제할 수 없으며 사이트 URL도 ADCenter 를 통해 더이상 사용할 수 없습니다. 우리는 소비자, 광고주, 자사를 가짜 광고 등록으로 부터 보호하기 위해 주의할 것이며, 지속적으로 의심되는 등록에 대해 검토할 담당요원을 배치할 것입니다.


Related posts:
관련 기사 

Five reasons Android can fail


I use
 Android every day both on my Droid II smartphone and my Barnes & Noble Nook Colore-reader/tablet. I like it a lot. But, I also have concerns about how it’s being developed and being presented to customers.

나는 매일 Droid II와 태블릿 총 두개의 안드로이드를 사용한다. 나는 이것들을 정말 좋아하지만 어떻게 발전하여 우리에게 다가올 것인지에 대해 걱정된다.
 

Before jumping into why I think Android faces trouble in the long run, let me mention one problem I don’t see as standing in Android’s way: The Oracle lawsuitsYes, Oracle claims that Google owes them billions in damages for using unlicensed Java technology in Android’s core Dalvik virtual machine.

왜 안드로이드는 문제점에 직면한 것인지 알아보기 전에 먼저 안드로이드 코어인 Dalvik 가상 머신에 허락없이 자바기술을 사용하기 때문에 Oracle 사에서는 자신들에게 구글은 수백만의 빚을 지고 있다고 주장한다. 이해가지 않는 이러한 문제점에 대해 알아보자
 

I follow patent lawsuits and here’s what going to happen with this one. It will take years and millions of dollars in legal fees, but eventually Google will either beat Oracle’s claims or pay them hefty licensing fees. So, yes, one way or the other Google, and to a lesser extent Oracle, will spend hundreds of millions on this matter before it’s done. But, so what?

나는 특허권 법에 따라 이번 사건을 추측할 수 있다. 수년이 지나면 수임료가 수백만 달러일 것이지만, 구글은 Oracle사의 주장이나 그들에게 지불하는 라이센스 비용 측면 중 한 부분에서는 우세하다. Oracle 에 대한 수억달러의 투자를 줄여버리는 것이다.  
 

The mobile technology space is filled with patent and licensing lawsuits. When I checked on these lawsuits in mid-October there were dozens of them. Since then, Apple has sued Samsung; Dobly has sued RIM; andLodsys, a patent troll, vs. Apple and all its iOS developers, By the time I finish writing this column someone will probably have sued someone else!

모바일 기술의 공란은 특허권과 라이센스 소송으로 채워졌다 두가지가 묶여진 10월 중순의 소송에 대해 확인해 보았다. 애플은 삼성을, Dobly는 RIM과 Lodsys를 특허권 침해로 고소하였다 애플과 IOS 개발자들은 이 칼럼이 모두 쓰여질때도 누군가가 다른 누군가를 고소하고 있을 것이다. 
 

The end-result of all this, besides lining the pockets of lawyers, is that we’re all going to have pay more for our tablets and smartphones. It doesn’t matter who wins or who loses. Thanks to the U.S.’s fouled up patent system, everyone who’s a customer, everyone who’s a developer, and everyone’s who in business to make something useful is the loser.

이것들은 결과적으로 변호사의 주머니를 채우는 것에 비해 우리는 스마트폰과 태블릿에 더 많은 돈을 지출해야 할 것이다. 누가 이기고 지는 것은 중요하지 않다. 모든 소비자와 개발자와 사업가들이 무엇인가 만드는 것을 저버리게 만드는 미국의 추악한 특허권 구조에 대해 감사해 하자.
 

That said, here’s where Android is getting it wrong.
몇가지 안드로이드에 문제점이 있다.
 

1. Too many developer versions
너무 많은 개발자 버전 
 

When Google first forked Android into two versions–The 2.x branch for smartphones and the 3.x for tablets–I didn’t like the idea. I like it even less now.

구글이 스마트폰의 2.x 버전과 태블릿의 3.x 버전으로 안드로이드를 나누었을 때 마음에 썩 내키지 않았다. 이것들을 줄일 필요가 있다. 
 

According to the Android Developers site, there are eight (8!) different versions of Android with market presence. If we ignore the out-dated Android 1.5 and 1.6, that still leaves us with six shipping versions that a developer needs to keep in mind when he or she is creating or updating a program. In the case of the 2.x and 3.x lines that’s a lot of work. Oh, and yes there are now two versions of 3.x: 3.0 and 3.1.

안드로이드 개발자의 사이트에 따르면 마켓에 8개의 다른 안드로이드 버전이 있다고 한다. 오래된 1.5나 1.6 버전을 무시하던간에 프로그램을 업데이트나 개발할 때에 개발자들은 침착하게 6가지 버전에서 구동되도록 해야만 했다.
 

Currently used versions of Android.

Currently used versions of Android.
현재 사용중인 안드로이드 버전이다.
 

Who can keep up with this? I couldn’t. But, wait there’s more!
이 양상을 계속 유지시킬 사람이 있을까? 나는 할 수 없다. 
 

2. Too many OEM versions
너무나 많은 OEM 버전
 

You’d think that Android 2.2 on a Droid II would be the same on the Samsung Galaxy Pro. You’d think wrong. Every original equipment manufacturer (OEM) insists on tweaking the software and adding their own particular programs to each phone. Sometimes, as James Kendrickpoints out, the same hardware doesn’t even work with Android on the exact same model.

삼성 갤럭시 Pro 와 유사한 Droid II의 안드로이드 2.2버전에 대해 문제가 있다고 생각해 보았을 것이다. 모든 생산자 주문방식은 소프트웨어의 개조와 휴대폰에 프로그램을 첨가하는 방식이다. 때때로 Kendrick 은 같은 안드로에서도 같은 하드웨어는 동작하지 않음을 지적했다.
 

Kendrick has found that the useless microSD card slot in the Motorola XOOM, even after its Android 3.1 update, still doesn’t work. Or, to be exact, it won’t work in the U.S. In Europe, XOOM users will get a fix that will let them use microSD cards.

Kendrick 은 안드로이드 3.1로 업데이트 한 이후에 아직까지도 고쳐지지 않은 모토로라 Xoom 은 마이크로 SD를 사용할 수 없는 문제점을 발견했다.  정확히는 미국과 유럽모델에서 동작하지 않으며 Xoom 사용자들은 마이크로 SD를 사용하기 위해서는 수리를 받아야 할 것이다.
 

Argh!

Here’s a history lesson for Google and the rest of the movers and shakers of Android. I’ve seen a “common” operating system used in this way before during a technology boom. Once, it was with the pre-PC microcomputers. They all ran CP/M-80, but every vendor had their own little tricks they added to make their computers “better.” Then along came PC-DOS, soon to be followed by MS-DOS, and all those companies-KayPro, Osborne, and IMSAI-became answers in computer trivia games.

구글과 안드로이드를 거쳐간 기록들을 보자 "기술 붐이 있기 이전에 일반 OS를 본적이 있다. 처음엔 조금한 보조 컴퓨터에 장착했는데 그것은 모두 CP/M-80이 구동되는 것이였지만, 판매자들은 잘 보이기 위해 추가한 기능이라 생각했다. PC-DOS 를 거쳐 MS-DOS 시대가 왔고 KayPro, Osborne, IMSAI 회사들은 컴퓨터 게임사업에 뛰어들었다. 
 

How did Microsoft make its first step to becoming the Evil Empire? By delivering the same blasted operating system on every PC. If users can’t count on using the same programs and the same hardware accessories, like microSD cards, on Android, they’re not going to stick with Android devices. If things don’t get better with Android, who knows, maybeWindows 8 will have a shot on tablets after all!

MS는 Evil Empire 를 어떻게 만들었을까? 모든 PC들은 좋지 않은 OS 였다 만약 MicroSD 와 같은 보조 하드웨어와 프로그램을 안드로이드 상에서 사용할 수 없었다면 안드로이드를 계속 사용하지 않을 것이다. 이 부분이 나아지지 않는다면 아마도 윈도우 8이 테블릿을 겨냥할 것이다.
 

Open Source, Security & Pricing
오픈 소스와 보안과 가격 
 

3. Still not open enough
여전히 공개하지 않는다. 
 

Google, for reasons that still elude me, decided not to open-source Android 3.x’s source code. This is so dumb!
 

구글이 안드로이드 3.x 소스코드를 공개하지 않기로 하였다. 이것은 바보같은 짓이다.
 

I’m not talking about playing fast and loose with open-source licenses or ethics-so Google really stuck its foot into a mess with this move. No, I’m saying this is dumb because the whole practical point of open source make development easier by sharing the code. Honeycomb’s development depends now on a small number of Google and big OEM developers. Of them, the OEM staffers will be spending their time making Honeycomb, Android 3.0, work better with their specific hardware or carrier. That doesn’t help anyone else.

나는 오픈소스 라이선스를 포기하거나 도덕적으로 구글이 잘못되었음을 이야기 하는 것이 아니다. 오픈소스는 코드를 공유함으로써 개발을 쉽게 한다는 전체적인 요점 때문에 내가 바보 같다고 하였다. 허니콤 OS의 개발은 현재 구글과 큰 OEM 기업들만의 소수에 의존하고 있다. OEM 업체는 자신들의 하드웨어나 특성에 맞게 작동할 수 있도록 허니콤 OS에 시간을 투자할 것이고, 그들외에는 어느 누구에게도 도움이 되지 않는다.
 
 

4. Security Holes
보안 취약점 
 

This one really ticks me off. There is no reason for Android to be insecure. In fact, in some ways it’s Not insecure. So why do you keep reading about Android malware?

안드로이드가 불안정하다는 이유는 없다. 사실 일부는 불안정하지는 않다. 그런데 왜 안드로이드 말웨어에 대한 기사를 계속 접하게 될까? 
 

Here’s how it works. Or, rather, how it doesn’t work. Android itself, based on Linux, is relatively secure. But, if you voluntary, albeit unknowingly, install malware from the Android Market, your Android tablet or smartphone can’t stop you. Google must start checking “official” Android apps for malware.

어떻게 말웨어가 작동하는지, 혹은 더 나아가 어떻게 작동을 하지 않는지 따져보자. 리눅스 기반의 안드로이드는 보안과 밀접한 관련이 있다. 만약 사용자가 취약하다면 사용자를 제어하지 못하는 스마트폰에 안드로이드 마켓으로 부터 말웨어가 설치된다. 구글은 공식적인 안드로이드 어플에 대해서 점검해봐야 한다. 
 

Google has made some improvements to how it handles Android malware. It’s not enough.
구글은 말웨어를 조절하기 위해 약간의 진전이 있었다. 하지만 충분하지 않다. 
 

So until things get better, if you’re going to download Android programs by unknown developers, get an Android anti-virus program like Lookout. Heck, get it anyway; it’s only a matter of time until someone finds a way to add malware to brand-name programs.

조치가 취해지기 전까지 사용자들은 만약 알수 없는 개발자의 안드로이드 프로그램을 다운로드 할 때는 안드로이드의 백신 프로그램을 이용하고, 누군가가 유명프로그램에 말웨어를 심는 방법을 찾을 때까지는 아예 모르는 프로그램은 받지 않는 것이 좋은 방법이다. 
 

5. Pricing
가격 
 

Seriously. What’s with Android tablet pricing? Apple owns the high-end of tablets. If someone has the money, they’re going to get an iPad 2. Deal with it. Apple’s the luxury brand. Android’s hope is to be the affordable brand. So long as OEMs price Android’s tablets at $500 and up, they’re not going to move. People will buy a good $250 Android tablet, which is one reason why the Nook is selling well. They’re not buying $500 Android tablets.

진지하게 안드로이드 타블릿가격은 얼마일까? 애플은 고급의 타블릿이 있다. 누군가가 돈이 있다면 애플의 매력적인 상표에 아이패드2를 선택할 것이다. 안드로이드는 영향력 있는 상표를 희망하지만 안드로이드의 OEM 가격은 500달러 이상이다. 대중은 200달러선에서 구매를 원하는데 이는 Nook가 잘 팔리는 이유이기도 하다. 500달러에 안드로이드 타블릿을 구매하고 싶지 않다.
 

Here’s what I see happening. Android will still prosper… right up to the point where some other company comes out with an affordable platform and a broad selection of compatible software and hardware. Maybe that will be webOSif HP drops the price on its TouchPads. Maybe it will beMeeGo. Heck, it could even be Windows 8. What it won’t be though in the long run, unless Android gets its act together, will be Android.

몇가지 보자면, 안드로이드는 건재할 것이다. 영향력있는 플랫폼에 기업들이 접근할 수 있고 소프트웨어와 하드웨어를 폭넓게 선택할 수 있다는 장점이 있다. HP가 터치패드의 가격을 낮춘다면 WEB OS로도 이용할 수 있을 것이며, 심지허 WIndows 8까지도 구동이 가능할 것이다. 하지만, 안드로이드간에 협력하지 않는다면 그리 오래가지 않을 것이다.
 

Related Stories:
관련 이야기 

The failing of Android as a tablet platform
타블릿 플랫폼 안드로이드의 패배 

Amazon tablets reportedly being prepped: Watch prices fall
소문에 의하면 아마존은 타블릿을 준비하고 있다.

Are we too hard on Apple’s iPad rivals?
아이패드가 아직도 살아남기 힘들까?

The first great Android Tablet: Nook Color
훌륭한 첫 안드로이드 타블릿 Nook Color 

Microsoft vs. Android
마이크로소프트 vs. 안드로이드 


원문: http://www.zdnet.com/blog/open-source/five-reasons-android-can-fail/9147?pg=2&tag=mantle_skin;content

The truth about the latest Google Android security scare (Updated)
 

A security vulnerability in some Google apps on Android has everybody stirred up again, so let’s put this into perspective. In this article we’ll explain why the threat is overblown and not even Android specific.

안드로이드 구글 어플리케이션의 취약점이 다시 논란이 되고 있다. 그래서 이것에 대해 탐구해보자. 이번 기사에서는 왜 위협이 되는지 안드로이드 외에 부분까지 따져볼 것이다.
 

Update: And besides that, a fix is already being deployed

In case you missed it, researchers in Germany found that if they hooked up a piece of hardware called a packet sniffer to an unprotected WiFi network they could see “authorization tokens” being transmitted in the clear to servers used by certain apps like Google Calendar.

위 기사에서 놓친 부분은 독일 연구원이 만약 취약한 와이파이로 부터 패킹스니퍼를 이용한다면, 구글 일정과 같은 신뢰가는 어플이 사용하는 서버로 전송할 때 쓰이는 인증 토큰을 볼 수 있음을 알아냈다는 것이다. 
 

A token is a long gobbledygook string of characters that the server creates and uses instead of your password (which is kept secret). An attacker watching this token go by can write a program that uses it to pretend to be you for a limited time. For example if you connect to the server with a buggy version of Google Calendar while someone nearby is watching then they can read and write items in your calendar.

보안이 유지될 비밀번호를 대신해 쓰이고 서버가 만든 복잡한 문자가 토큰이다. 제한시간동안 사용자인 척 위장하기 위해 사용되는 프로그램을 이용하면 공격자는 토큰을 볼 수 있다. 예를 들면, 근처에서 누군가 감시하는 동안에 버그투성인 구글 일정을 실행할 경우 일정들을 보거나 새로 작성할 수 있다. 
 

This kind of vulnerability is well known, and many applications have run into it over the years. For example, Facebook and Twitter had the same problem. Their solution was to turn on encryption all the time, not just for the initial password exchange. Encryption increases load on the server and client but obviously in this case it’s worth it.

이런 종류의 취약점은 매우 유명하고, 많은 어플리케이션에서 몇년간 사용하고 있다. 트위터와 페이스북을 예로 들 수 있다. 이 문제의 해결방법은 잠깐 비밀번호를 변경하는 것이 아니라 매 순간 암호화를 해야한다. 암호화는 서버상 접속률이 높아져 무리가 될 수 있지만, 최상의 방법이다.
 

The story is getting a lot of attention because it was noticed on Android, but it’s not, in fact, an Android vulnerability. It’s a security bug in any program that does not encrypt its authorization tokens. Google Calendar, Contacts, and Gallery, which were shipped in all versions of Android prior to 2.3.4, are three such programs. There may be others. The Calendar plug-in for Mozilla Thunderbird, which is a program that runs on PC, Mac, and Linux is another. GMail is NOT affected. Nobody has found the problem in banking and shopping programs either.

이 소식은 안드로이드에서는 주목할 필요가 있지만 사실 안드로이드의 취약점은 아니다. 인증토큰을 암호화 하지 않는 프로그램의 보안이 문제다. 구글 일정, 연락처, 갤러리와 같은 프로그램은 안드로이드 2.3.4 이전 버전 모두에서 사용된다. 모질라 일정 플로그인 선더 버드는 다른 운영체제에서도 동작하며 같은 문제를 가지고 있다 하지만 은행이나 쇼핑 어플리케이션에서는 문제점을 찾을 수 없었다
 

When I first read about the problem I thought “meh, no big deal”, but seeing the coverage today you’d think the world was coming to and end (we have until May 21st, remember?). Here are a few examples (emphasis mine):

내가 처음 이 문제를 접했을 땐 '별 문제 아니네' 라고 생각했지만, 오늘 기사를 보았을 땐 세계종말이 오는 듯 했다.(5월 21일 이였는데 기억하는가?) 여기에 짤막한 예가 있다.

  • SJVN’s article, “Android has a GAPING NETWORK SECURITY HOLE“, says the attack is “quite easy” and tells us “we are so hosed”. He continues by saying “Google, the Android smartphone and tablet makers, and the telecoms must fix this. Now.” First of all, it’s not an Android problem, and to call it “gaping” is to overstate the severity. An attack would require special hardware and/or software, not to mention physical proximity and an unprotected network. Obviously, all security problems are serious and should be fixed.

    SJVN의 기사 '안드로이드는 네트워크 보안의 구멍' 에 따르면  매우 쉽게 우리를 속일 수 있다라고 하였다. 그는 계속해서 "구글과 생산자 그리고 통신사까지 문제점을 고쳐야 한다" 라 하였다. 가장먼저 이 문제는 안드로이드의 문제가 아니고 구멍(Hole)이라는 표현은 매우 과장된 것이며, 일반적인 공격은 특별한 하드웨어 혹은 소프트웨어가 필요하지만 취약한 네트워크와 물리적인 접근은 언급하지 않았다. 정확하게는, '어차피 모든 보안 문제는 심각하고 수정해야 한다'


  •  Adrian Kingsley-Hughes’s article, “99.7% of all Android smartphones vulnerable to SERIOUS DATA LEAKAGE“, says that “A whopping 99.7% of Android smartphones are leaking login data for Google services“. Well, no. Some apps running on Android phones, PCs, and Macs could potentially leak authentication tokens in just the right circumstances. Your login data, by which I mean your userid and password, are not leaked. Adrian admits as much in the second paragraph, but hey, who reads that far.

    Adrian Kingsley-Hughes의 기사 '안드로이드 스마트폰들 중 99.7%는 데이터 유출에 취약할 수 있다' 에서는 안드로이드 스마트폰의 99.7%는 구글 로그인 정보 유출에 취약하다 라고 언급하였다.
    글쎄, 안드로이드 PC 맥에서 구동되는 어플리케이션도 궁극적으로는 인증토큰이 유출될 수 있다. 이것은 당연한 것이다. 유저 아이디와 암호의 로그인 데이터는 유출되지 않는다. 아까 기사에서 두번쩨로 언급하였지만 실제와 거리가 멀다

     
     
  • Gloria Sin’s article, “Most Android devices VULNERABLE TO IDENTIFY THEFT“, warns that “web-based services like GMail” are vulnerable because of “how Android devices handle login information”. That’s not right. The Android operating system is not doing anything with your login information, it’s some apps that run on Android, PC, and Mac. Furthermore, GMail is not affected by this particular bug. Gloria makes it worse by claiming that “problems could arise from hackers changing an unsuspecting person’s password, to gaining access to sensitive emails and private photos.” No, photos maybe, but passwords and emails are safe. There’s nothing here to help somebody steal your identity.

    Gloria Sin의 기사 '대부분의 안드로이드 기기는 도난에 취약할 수 있다' 에서는 G메일과 같은 웹 기반서비스가 안드로이드의 로그인 정보를 다루는 과정에서 취약할 수 있다고 하였다. 그러나, 사실이 아니다. 안드로이드 OS에서는 로그인 정보를 이용하지 않으며, 문제는 PC와 맥, 안드로이드의 일부 어플리케이션 때문이다. 게다가, G메일은 이 문제점에 영향을 받지 않는다. Gloria Sin은 "의심하지 않던 사람의 정보가 바뀌거나 해커가 민감한 이메일과 사적인 사진에 접근할때 비로소 문제점을 알게된다" 라고 과장 주장하였다.
    사진은 문제가 될 수 있지만 암호와 이메일은 안전하다 여기서 도움이 될 만한 정보는 없다. 

     

Should you be worried? Until a patch is available (either through the Market or an Android update) the problem can be avoided by not using the affected applications in a vulnerable situation. What’s a vulnerable situation? Based on the information we have so far, IF you sync your calendar or contacts while using the open WiFi of the local StarBucks or airport, and IF somebody within 50 feet or so of you is waiting for you to do that and is running a packet sniffer, and IF you think they might do harm by looking at your doctor’s appointments and boyfriend’s phone number, THEN you might want to take precautions such as turning off WiFi until you get back home to your secure network. Otherwise, in my opinion it’s not worth getting too worked up about.

걱정되는가? (마켓이나 안드로이드 업데이트를 통해서든지) 패치가 가능할 때까지 취약한 상황에서 영향 받는 어플리케이션은 사용하지 않음으로써 문제점을 피할 수 있다. 취약한 상황은 어떤 것일까? 만약 스타벅스나 공항 같은 공개와이파이를 이용해 일정이나 연락처 어플리케이션을 사용하거나, 누군가 50발자국 이내에 있으면서 너의 행동을 주시한다면 정보가 유출되고 있을 수 있다.
그리고, 만약 의사 진료예약과 남자친구 전화번호 같은 것이 사적으로 침해가 될 수 있다고 생각한다면, 집에 돌아갈때까지 와이파이를 꺼놓는 것과 같이 주의를 기울여야 한다. 


Update:
 Google is rolling out a fix to the problem already, for all phones and computers. According to a spokesman,

대변인에 따르면 모든 휴대폰과 컴퓨터에서 문제점이 이미 해결되었다!
 

“Today [May 18th] we’re starting to roll out a fix which addresses a potential security flaw that could, under certain circumstances, allow a third party access to data available in calendar and contacts. This fix requires no action from users and will roll out globally over the next few days.”

"5월 18일 오늘 우리는 제 3자가 일정이나 연락처를 접근할 수 있는 취약점을 수정하기로 했습니다. 이번 패치는 유저들이 번거롭게 행동할 필요가 없으며, 얼마되지 않아 세계적으로 전파될 것입니다."


The fix is on the server side, and will fix everything except Picasa. Current authentication tokens will be erased and replaced with new ones upon logging back in to the affected service. Go go gadget, instant cloud update!

서버측면에서 패치되는 것이며, Picasa를 제외한 모든 것이 패치됩니다. 기존의 인증 토큰은 지워질 것이며, 토큰은 서비스의 영향을 받는 새로운 곳(안전한 곳) 으로 재배치 될 것입니다. 달려라, 즉시 업데이트를 해라 가제트! 

원문: http://www.zdnet.com/blog/burnette/the-truth-about-the-latest-google-android-security-scare-updated/2270?tag=content;search-results-rivers


Google Chromebook - a new class of security risks
 
We are certainly living in interesting times. It was less than a week ago that a rumor appeared that Apple is going to switch to ARM processors for its next generation of laptops.

우리는 흥미로운 시기에 살고 있다. 애플이 다음세대 컴퓨터를 위한 ARM 프로세서를 개발할 것이라는 루머가 나온지 채 반주가 지나지 않았다.
 

Obviously, this has very interesting implications for the future of computing and seems to indicate the increasing need for a computing platform that uses less power and that can be used for a day without the need for charging.

확실히 이 현상은 컴퓨터의 미래와 전력과 비용이 필요없는 컴퓨터의 필요성이 증대됨을 묘사한다. 
 

Earlier today, Google followed up by announcing the Google Chromebook – a netbook (huh, aren’t netbooks dead?) computer concept, built for now by Samsung and Acer around the Atom N750 CPUs. With 2GB of RAM and 16GB of SSD storage, the specifications are somehow low-end, however, this might not be a problem because as Google says in their promo, the web has more storage space than any computer. The price, when these will be available, is believed to be in the range of $400-$500.

최근에 구글은 삼성과 에이서에서 만든 아톰을 장착한 크롬 넷북을 발표하였다(넷북은 죽지 않았나?) 그러나 2GB 램과 16GB SSD 공간은 조금 낮은 사양이다. 하지만, 어떤 컴퓨터보다 많은 공간의 웹 클라우드 서비스 때문에 문제가 되지 않을 것이라고 광고한다. 이 서비스가 사용가능할 때 가격은 400~500달러 사이라 생각한다.
 

When I saw the announcement, I thought to myself – why would anybody ever buy something like this?

발표를 내가 접했을 때, 왜 이것을 구입할까? 라고 생각하였다.
 

Low end hardware, more expensive than other netbooks and definitively not as attractive as an iPad?

저사양, 다른 넷북에 비해 비싸며 아이패드에 비해 매력적이지도 않다.
 

Obviously, the answer here is in the “cloud.” Google Chrome OS is the first commercially available consumer cloud-centric OS. It is designed around the concept of “expendable” terminals that you can lose, drop or simply throw away without fear of losing your data, which is safely stored into the cloud. From this point of view, the operating system could get damaged or even infected with malware and all you have to do is to reinstall it and re-authenticate with the cloud storage to get exactly the same computing experience as before the crash. Here, I would like to make a mention about the “infected with malware” part. Interesting, Google’s promo claims “it doesn’t need virus protection”.

정확하게 정답은 클라우드 이다. 구글 크롬 OS는 먼저 클라우드 기반 OS를 상업화했다. 클라우드에 파일 손실 걱정없이 잃어버릴 수 있는 파일은 클라우드에 저장할 수 있는 확장성을 중심으로 설계했다.
이런 측면에서 본다면, OS가 피해를 입거나 심지어 말웨어에 감염될 수 있고, 클라우드 공간을 다시 설치하는 부분까지는 일반 컴퓨터와 다를바 없다. 하지만 여기에 우리가 말웨어 감염에 관해 조언을 하고 싶다. 흥미로운 것은 구글이 바이러스 보호가 필요없다고 주장한다. 

Sadly, this claim comes at a pretty bad time, since the French company VUPEN Security announced only a few days ago that they’ve cracked the security protections build by Google into Chrome and are now able to infect a computer through a malicious page when it’s browsed.

슬프게도, 이 주장은 안좋게 작용했다. VUPEN 보안팀은 몇일 내로 "우리는 악의적인 페이지를 통해 감염시킬 것이고, 구글 크롬의 보안도 뚫을 것" 이라고 발표하게 된 것이다. 

Google Chrome hacked with sophisticated exploit ]

Of course, some might say, “even if I get infected, I’ll just reinstall, put back my credentials and bye bye virus!”. I agree that is absolutely true – Chrome OS has been designed in such a way that it’s extremely resilient to modifications and has a good self healing capability.

물론 입부는 "바이러스에 감염되어도 재설치하면 모두 원상복귀되겠지" 라고 말할 것이다. 크롬OS는 놀라울 정도의 자신을 회복할 수 있고, 수정할 수 있기 때문에 나도 그 말에 동의한다. 


Several years ago, I wrote an article saying that malware evolves based on three conditions:

몇년 전, 나는 3가지 조건에 따라 진화하는 말웨어 기사를 집필하였다.
 

  • When hardware and operating system evolve (eg. Windows 95 killed boot viruses)
  • When security defenses change (eg. firewalls killed network worms)
  • When people start using computers in a different way (eg. Social networks)

    하드웨어와 OS가 진화할 때, 보안체제가 바뀌었을 때, 다른 방식으로 컴퓨터를 사용할 때 
     

With the Chromebook, we have an interesting case, when all these three conditions are met. It’s a (somehow-)new operating system, it has new security defenses into place (self healing, updates) and it’s used in a different way – the data is not on the computer but in the cloud.

3가지 조건 모두가 만족하는 크롬북은 매우 흥미롭다. 새로운 OS이며, 자체회복과 업데이트라는 새로운 방어체계와 클라우드로 데이터를 저장하는 색다른 방식을 사용하였다.
 

So, what can we expect from a security point of view? Obviously, with all your data being available into the cloud, in one place, available 24/7 through a fast internet link, this will be a goldmine for cybercriminals. All that is necessary here is to get hold of the authentication tokens required to access the cloud account; this is already happening with malware that has become “steal everything” in the past few years. Although the endpoint is now more secure, the situation is that the data is in a more risky place and it will be much easier to silently steal it.

보안측면에서는 어떻게 예상 할 수 있을까? 빠른 인터넷을 통해 24/7을 사용할 수 있는 클라우드 한 공간에 데이터가 저장되는데 이는 범죄자에게는 행운이다. 클라우드 서비스는 곧 우리가 계속해서 클라우드 계정 인증 토큰을 유지해야 한다는 것이고 얼마 지나지 않아 말웨어는 모든 것을 훔칠 수 있다. 결론적으로 데이터가 문제있는 공간에 있는 것은 훔칠 수 있기 때문에 안전해질 필요가 있다는 것이다.


Most of the attacks nowadays focus on infecting the machine and then hiding the presence of the malware for as much time as possible to intercept banking transactions or credit card numbers.

오늘 날, 대부분의 공격은 기기 감염에 초점이 맞추어져 있고, 신용카드 번호나 은행 정보를 훔칠 수 있는 말웨어가 숨어있다.
 

With Cloud centric OS’es, the race will be towards stealing access credentials, after which, it’s game over. Who needs to steal banking accounts, when you have Google Checkout? Or, who needs to monitor passwords, when they’re all nicely stored into the Google Dashboard?

클라우드 기반 OS는 개인정보유출과 씨름할 것이다. 구글 결제할 떼, 은행 계정을 훔칠 필요가 있는 사람은 누굴까? 혹은 구글 대쉬보드에 접속할 때 누가 암호를 지켜볼 필요가 있을까? 
 

Of course, this could seem a bit gloomy, but these problems are inherent to any Cloud-centric OS. Earlier today, I got asked by a friend– “How is Chrome OS from a security point of view, better or worse?”

물론 이것은 매우 우울하게 보일 수 있지만 이 문제는 어떤 클라우드기반 OS에나 있는 문제이다. 친구가 나에게 "크롬 OS는 보안 측면에서 좋을까? 나쁠까? 라고 물었다. 

I answered, “It’s better, but much worse.”

나는 "좋지만 더 나뻐" 라고 대답했다. 

원문: http://www.zdnet.com/blog/security/google-chromebook-a-new-class-of-security-risks/8650?tag=mantle_skin;content

Google Chrome hacked with sophisticated exploit
 
Security researchers from the French pen-testing firm VUPEN have successfully hacked Google’s Chrome browser with what is being described as a sophisticated exploit that bypasses all security features including ASLR/DEP and Chrome’s heralded sandbox feature.

프랑스 VUPEN 보안 연구원들은 ASLR/DEP, 샌드박스를 포함한 모든 보안을 우회하는 정교한 취약점을 이용해 구글 크롬을 해킹히였다고 발표하였다 


VUPEN released a video of the exploit in action to demonstrate a drive-by download attack that successfully launches the calculator app without any user action.

비디오를 다운로드 하는 과정에서 사용자의 허락없이 일정 어플리케이션을 실행 시킬 수 있습니다. 
 

The exploit shown in this video is one of the most sophisticated codes we have seen and created so far as it bypasses all security features including ASLR/DEP/Sandbox (and without exploiting a Windows kernel vulnerability), it is silent (no crash after executing the payload), it relies on undisclosed (0day) vulnerabilities discovered by VUPEN and it works on all Windows systems (32-bit and x64).

이 취약점은 매우 정교하고 모든 보안 시스템을 우회할 수 있고(윈도우즈 커널 사용없이), 증상이 없다. VUPEN에 의해 발견된 친숙하지 못한 제로데이 공격이며, 모든 윈도우에 영향을 받는다. 
 

VUPEN, which sells vulnerability and exploit information to business and government customers, does not plan to provide technical details of the attack to anyone, including Google.

VUPEN은 취약점에 대한 정보를 사업가와 정부에 판매하고 있다. 하지만 자세한 내용은 구글을 포함한 어느 누주에게도 제공할 계획이 없다. 
 

In the video (see below), the company demonstrates the exploit in action with Google Chrome v11.0.696.65 on Microsoft Windows 7 SP1 (x64). The user is tricked into visiting a specially crafted web page hosting the exploit which executes various payloads to ultimately download the Calculator from a remote location and launch it outside the sandbox (at Medium integrity level).

하단의 비디오는 구글크롬 11.0.676.65와 윈도우 7 서비스팩 1(64비트)에서 실험하였다. 유저는 궁극적으로 원격주소지로 부터 일정 어플을 다운받아서 샌드박스가 아닌 환경에서 작동하도록 하는 웹페이지에 속아서 접속하게 된다. 
 

While Chrome has one of the most secure sandboxes and has always survived the Pwn2Own contest during the last three years, we have now uncovered a reliable way to execute arbitrary code on any default installation of Chrome despite its sandbox, ASLR and DEP, VUPEN explained.

크롬은 가장 안전한 샌드박스들 중 하나이자, Pwn2Own 해킹대회에서 3년간 살아남았는데, 샌드박스 환경에도 불구하고 일반적인 다운로드과정에 악의적인 코드를 실행할 수 있음을 발견하였다. 
 

VUPEN made headlines in March this year when a team of its researchers hacked into Apple’s MacBook via a Safari vulnerability to win the CanSecWest PWN2Own contest.

VUPEN은 사파리를 이용하여 맥북을 해킹하여 ConSecWest Pwn2Own 이번 3월달 대회에서 우승한 팀이다
 


원문: http://www.zdnet.com/blog/security/google-chrome-hacked-with-sophisticated-exploit/8626

Malware authors target Google Chrome
 

Every time I write about Internet Explorer, it’s usually a matter of minutes—sometimes even seconds—until someone in the Talkback section proclaims, smugly, that they’ve switched to Google Chrome or Firefox and are therefore immune from malware attacks.
시간날때면 크롬, 파이어폭스는 말웨어 공격을 막아낼 수 있다고 잘난체 하는 TalkBack 게시판의 의견에 대해 몇분간 의견을 적곤 합니다. 
 
 

They’re wrong, and malware authors have begun preying on users of alternative browsers to push dangerous software, including Trojans and scareware. The problem is that most malware attacks aren’t triggered by exploits that target vulnerabilities in code. Instead, according to one recent study, “users are four times more likely to come into contact with social engineering tactics as opposed to a site serving up an exploit.”
그건 틀렸습니다. 트로이목마와 스캐어웨어가 포함된 위험한 소프트웨어를 브라우저에 나타나기 시작했습니다. 코드상의 취약점을 목표로 동작하지는 않지만 연구에 따르면 "취약한 사이트를 이용한 사회공학기법 공격이 4배 늘었다" 라고 밝혔습니다. 
 

I found a perfect example yesterday, thanks to an alert from Silverlight developer Kevin Dente. He had typed in a simple set of search terms—Silverlight datagrid reorder columns—at Google.com, using the Google Chrome browser on Windows. You can follow along with what happened next in the screenshot gallery that accompanies this post.
SilverLight 제작자 Kevin Dente의 경고 때문에 아주 좋은 예를 하나 발견할 수 있었습니다.  


The first page of Google search results included several perfectly good links, but the sixth result was booby trapped. Clicking that link in Google Chrome popped up this dialog box:
구글 검색결과 중 첫페이지에는 아무문제가 없었지만, 여섯째 페이지부터는 문제가 있었습니다. 클릭해보니 다음 박스가 하나 떴습니다. 
 


당신의 시스템에서 심각한 프로세서가 실행중입니다. 
크롬 보안팀은 빠르게 시스템 파일을 검사할 것입니다. 

That led to a basic social engineering attack, but this one has a twist. It  was customized for Chrome. If you’ve ever seen a Google Chrome security warning, you’ll recognize the distinctive, blood-red background, which this malware author has duplicated very effectively.
이것은 전형적인 사회공학공격이지만, 좀더 지능화되었습니다. 크롬브라우저에 맞게 수정하였습니다. 만약 구글 보안경고를 본 경험이 있는 사용자라면 빨강 바탕화면을 연상합니다. 이 말웨어는 이 점을 이용하여 똑같이 복제하였습니다. 
 

After the fake scan is complete, another dialog box comes up, warning that “Google Chrome recommends you to install proper software.”
가짜 검사가 끝난후, 곧 다음 경고창이 뜹니다. "구글은 당신에게 맞는 소프트웨어를 설치할 것을 추천합니다" 
 


당신의 시스템은 수많은 바이러스 공격을 받고 있습니다.
구글은 당신 컴퓨터를 보호하기 위한 소프트웨어를 설치할 것을 추천드립니다.

That’s terrible grammar, and this social-engineering attack is likely to fail with an English-speaking victim, who should be suspicious of the odd wording. But a user whose primary language is something other than English might well be fooled. And the malware author has anticipated the possibility that you might click Cancel in the dialog box. If you do, it still tries to download the malicious software.
문법이 엉망인 이 사회공학공격은 의심스러운 문장력 떄문에 영어권에서는 효용이 없습니다. 하지만 주 언어가 영어가 아닌 다른 사용자에게는 안 좋은 결과를 초래할 수 있습니다. 말웨어 제작자들은 취소 버튼을 누를 수도 있다는 것을 염두하여 취소를 누르더라도 악성코드가 다운되도록 설정하였습니다. 
 

Each time I visited this page, the download I was offered was slightly different. My installed antivirus software (Microsoft Security Essentials) didn’t flag it as dangerous. When I submitted it to VirusTotal.com, only five of the 42 engines correctly identified it as a suspicious file. Less than 8 hours later, a second scan at VirusTotal was a little better. This time, eight engines confirmed that the file was suspicious. Microsoft’s virus definitions had been updated and a scan identified the rogue file asWin32/Defmid.
제가 이 페이지를 접속했을 때에는 약간 바뀌었습니다. 사용중인 백신 MSE는 위험감지를 하지 않았습니다. 바이러스토탈에 바이러스를 업로드해보니 42개 엔진중 5개 엔진에서만 의심파일로 진단하였습니다. 채 8시간이 지나지 않아 다시한번 바이러스토탈에 업로드 해보니 8개 엔진에서 진단하는 것으로 약간 호전되었습니다. 현재 MS에서는 Win32/Defmid 진단명으로 감지하고 있습니다. 
 

Panda and Precx identified the file as “Suspicious” and “Medium risk malware,” respectively. BitDefender, F-Secure, and GData flagged it as “Gen:Trojan.Heur.FU.quX@am@e97ci.” AntiVir detected it as “TR/Crypt.XPACK.Gen.” Kaspersky says it is “Trojan-Downloader.Win32.FraudLoad.zdul.” Every other antivirus engine, as of a few minutes ago, waved this suspicious executable right through.
Panda와 Precx는 "의심", "중위험군" 으로 감지하고, 비트디펜더와 F-secure, G-Data는 휴레스틱 진단으로 진단하고 있습니다. Antivir는 "
TR/Crypt.XPACK.Gen", 카스퍼스키는 "Downloader.Win32.FraudLoad.zdul" 로 감지하고 있습니다. 다른 백신 엔진도 곧 진단할 것입니다.
 

Meanwhile, back in the browser, Google Chrome’s warnings are completely generic. If you download the software it shows up in the Downloads folder looking perfectly innocent.
이 글에서 의미하는 것은 구글 크롬도 위험하다는 것입니다. 만약 소프트웨어를 다운 받는다면 프로그램을 완벽하게 묘사한 다운로드 폴더로 속일 수도 있습니다.  
 

Interestingly, this set of “poisoned” search terms also affected Bing, although the dangerous search result was on a different site, which didn’t show up until the fifth page of search results. And the download that it offered was, apparently, a completely different Trojan/scareware product. But the end result would have been the same, regardless of which browser I was using.
흥미로운건, 악의적인 검색이 Bing 에서도 가능하다는 것입니다. Bing에서 검색을 하면 구글에서는 7번째 페이지에도 보이지 않던 또 다른 위험사이트가 검색됩니다. 그리고, 다운로드 된 바이러스 또한 완전히 다른 유형입니다. 하지만 우리가 피해본다는 결과는 동일합니다.
 

This case study shows that malware authors are beginning to adapt to changing habits of PC users. There’s nothing inherently safer about alternative browsers—or even alternative operating systems, for that matter—and as users adapt, so do the bad guys.
이번사례로 말웨어 제작자들은 PC유저의 습관에 적응해나가기 시작했다는 것을 볼 수 있습니다. 허무맹랑한 브라우저의 안전과 OS의 안전등을 미끼로 접근함으로써 상황이 악화되고 있습니다.
 


Be careful out there.
조심하십시오 
 

 

원문: http://www.zdnet.com/blog/bott/malware-authors-target-google-chrome/3162?tag=must-read


Emergency Adobe Flash Player patch coming today

Less than a week after warning that hackers were embedding malicious Flash Player files (.swf) into Microsoft Word documents to launch targeted malware attacks, Adobe plans to release an emergency Flash Player patch today to fix the underlying problem.
해커가 말웨어 실행을 위해 악의적인 SWF을 MS Word에 삽입할 수 있다고 경고한지 한주가 채 되지 않아 어도비는 긴급 패치를 내 놓았습니다.

The patch will fix a “critical” vulnerability in Flash Player 10.2.153.1 and earlier versions for Windows, Mac OS X Linux and Solaris.
이 패치는 윈도우, Mac OS X 리눅스와 솔라리스의 Flash Player 10.2.15.1 혹은 이하버전의 심각한 취약점을 고치게 됩니다. 

According to this Secunia advisory, the flaw allows a hacker to completely hijack a vulnerable Windows computer:
Secunia 권고에 따르면, 이 취약점은 취약한 컴퓨터의 정보를 완벽하게 가로챌 수 있습니다. 

A vulnerability has been reported in Adobe Flash Player, which can be exploited by malicious people to compromise a user’s system. 

The vulnerability is caused due to an error when parsing ActionScript that adds a custom function to the prototype of a predefined class. This results in incorrect interpretation of an object (i.e. object type confusion) when calling the custom function, which causes an invalid pointer to be dereferenced.
사용자 시스템을 공격할 수 있는 Flash Player의 취약점이 발견되었습니다. 취약점의 원인은 미리 정의된 액션스크립트 함수를 읽는 과정에서 부를 수 없는 잘못된 포인터를 가진 함수를 불러 드릴때에 일어납니다. 

Secunia has posted a technical analysis of the flaw as well.
Secunia는 취약점에 대해 기술문서를 적어놓았습니다. 

Adobe has confirmed that the vulnerability (CVE-2011-0611) could cause a crash and potentially allow an attacker to take control of the affected system.
어도비는 "후에는 시스템을 조종할 수 있고 파괴까지 가능한 취약점이라고 발표했습니다." 

There are reports that this vulnerability is being exploited in the wild in targeted attacks via a malicious Web page or a Flash (.swf) file embedded in a Microsoft Word (.doc) or Microsoft Excel (.xls) file delivered as an email attachment, targeting the Windows platform. At this time, Adobe is not aware of any attacks via PDF targeting Adobe Reader and Acrobat. Adobe Reader X Protected Mode mitigations would prevent an exploit of this kind from executing.
이 취약점은 이메일 첨부파일로 전파되는 SWF 기능을 포함한 MS Word, MS Excel 파일, 악의적인 웹페이지를 통해서 이루어지는 Windows 취약점입니다. 현재 어도비는 리더 프로그램을 보호모드로 실행허거나 파일을 함부로 열지 않을 것을 권고했습니다. 

A patch for Google Chrome users is already available in Chrome version 10.0.648.205.
구글 크롬 유저들은 이미 10.0.648.205 버전에 패치가 적용되었습니다

Adobe plans to fix the vulnerability in Adobe Acrobat and Adobe Reader at a later date.
어도비는 아크로뱃과 리더프로그램을 수정할 계획입니다.

원문: http://www.zdnet.com/blog/security/emergency-adobe-flash-player-patch-coming-today/8548?tag=content;search-results-rivers

Report: 3 million malvertising impressions served per day

According to data released by Dasient, the company observed a 100 percent increase in malvertising attacks from Q3 to Q4 2010, from 1.5 million malvertising impressions per day in Q3 2010 to 3 million malicious impressions in Q4.
Dasient에서 발표한 자료에 따르면 2010 3분기에는 1.5만개 였으나, 4분기에는 3만개로 100% 증가되었다고 합니다.


Some highlights from the report:
보고서의 중요 쟁점 

  • The average lifetime of a malvertising campaign has dropped for the second consecutive quarter in a row — down to an average of 9.8 days, as compared to 11.1 in Q3, and 11.8 in Q2.
    평균적으로 광고말웨어는 2분기에는 11.8 에서 3분기에는 11.1로 분기별로 따지면 2번의 연이은 감소추세였습니다.
  • Malvertisers typically mount their attacks on weekends, during which IT departments are slower to respond, as we have seen in previous quarters, and continued to see in Q4 2010 as per the figure below.
    말웨어 제작자는 일반적으로 IT 산업이 잠시 쉬는 주말을 노리는 것을 지난 분기때 경험하였습니다. 그리고 2010 4분기 또한 같은 방식이였습니다.
  • Over the past year, we’ve estimated that over 4 millions domains have been infected.
    작년, 우리는 4만개의 도메인이 피해를 입었으리라 추측하였습니다.
  • After three months of web browsing, the probability that an average Internet user will hit an infected page is approximately 95%.
    3개월이 지난뒤, 평균적으로 유저가 감염된 페이지를 접속했을 확률이 95% 정도로 생각합니다. 

Cybercriminals usually engage in malvertising attacks in situations where they cannot obtain compromised access to high value, high trafficked web sites. By relying on social engineering techniques to trick major ad networks into serving their malicious content, they get the multi-million impressions exposure that they’re looking to get.
사이버 범죄자들은 일반적으로 고 품질, 높은 접속율을 얻을 수 없을 때 광고성 말웨어를 이용하게 됩니다. 유명 광고를 사칭하는 사회 공학적 기법에 의존합니다. 그들은 노출된 수만개의 정보를 얻습니다.

It’s the higher click-through rate achieved that matters, with the ads appearing on trusted and high trafficked web sites. In some cases, the click-through rate from even a short-lived campaign can outpace, the click-through rate from a well coordinate blackhat SEO (search engine optimization) campaign.
중요한 것은 신뢰있는 것 처럼 광고를 띄우고, 웹사이트의 접속을 하게하는 경우 유저가 속아서 클릭할 확률이 높다는 것입니다. 

According to Dasient, the malicious attackers usually rely on remnant advertising, that is advertising inventory which isn’t sold until the last minute, and work typically on the weekends, with the idea to increase the average time it would take for an IT department to take down the malvertising campaign. Similar studies conducted by Google indicate that the most typical content served is fake security software also known as scareware.
Dasient에 따르면 악성 공격자는 일반적으로 최근까지도 팔리지 않은 재고품 판매광고입니다. 그리고 IT 산업이 쉬는 기간인 주말에 평균적으로 범죄률이 증가하였습니다. 
구글에서 연구한 자료에 따르면 ScareWare로 잘 알려진 가짜 보안제품을 이용한다고 합니다.

Users are advised to browse the Web in a sandboxed environment, using least privilege accounts, NoScript for Firefox, and ensuring that they are free of client-side exploitable flaws. 
유저들은 웹을 이용할 때 반드시 최소한의 권한으로 사용하는 SandBox 환경을 이용하고, 파이어폭스의 스크립트 무시기능과 보안패치를 할 것을 권고합니다.
 


See also:
 Research: 1.3 million malicious ads viewed daily 
추가로 볼 것 : 매일 악성광고가 1.3만개 

원문: http://www.zdnet.com/blog/security/report-3-million-malvertising-impressions-served-per-day/8319

     Patch Tuesday: Gaping security hole in Windows Media Player

Microsoft today warned that the Windows Media Player that ships with every copy of its Windows operating system contains a critical vulnerability that could allow remote code execution if a user is tricked into opening a video file.
마이크로소프트는 오늘(8일) 모든 윈도우 운영체제의 윈도우 미디어 플레이어에서 유저가 비디오 파일을 실행하게 될 경우 원격 코드를 실행 할 수 있는 심각한 취약점을 포함하고 있다고 경고하였습니다.

The disclosure forms part of this month’s Patch Tuesday release where Microsoft shipped three bulletins with patches for security holes in Windows and Microsoft Office.
이번 화요일 패치는 윈도우와 오피스 제품군을 포함한 총 3가지 패치를 하게 됩니다.

The most serious of the three bulletins is MS11-015 and Microsoft is urging all Windows users to apply this update immediately because of the severity and the likelihood of working attack code within 30 days.follow Ryan Naraine on twitter
가장 심각한 문제는 MS11-015 취약점입니다. 마이크로소프트에서는 모든 윈도우 유저는 30일 안에 공격 코드가 실행될 수 있기 때문에 반드시 패치해야 한다고 말했습니다.

This security update resolves one publicly disclosed vulnerability in DirectShow and one privately reported vulnerability in Windows Media Player and Windows Media Center. The more severe of these vulnerabilities could allow remote code execution if a user opens a specially crafted Microsoft Digital Video Recording (.dvr-ms) file. In all cases, a user cannot be forced to open the file; for an attack to be successful, a user must be convinced to do so.
이번 보안 업데이트는 DirectShow와 윈도우 미디어 플레이어, 미디어 센터의 취약점에 대해 패치합니다. 마이크로소프트 디지털 비디오 레코딩(dvr-ms) 파일을 실행하게 될 경우 원격 코드가 실행되는 취약점도 패치는 심사해 볼 문제입니다. 유저가 억지로 파일을 열지는 않을 것입니다.

The Windows Media update is rated “critical” for affected editions of Windows XP (including Windows XP Media Center Edition 2005); all supported editions of Windows Vista and Windows 7; and Windows Media Center TV Pack for Windows Vista.
윈도우 미디어 업데이트는 "심각" 수준이고 XP 미디어 센터 에디션 2005를 포함한 윈도우 XP, 비스타, 7 과 비스타의 윈도우 미디어 센터 TV 팩에 영향을 줄 수 있습니다.

The biggest problem exists in the way that Windows Media Player and Windows Media Center handle .dvr-ms files.
가장 큰 문제는 윈도우 미디어 플레이어와 미디어 센터의 dvr-ms 파일의 경우 입니다.

This vulnerability could allow an attacker to execute arbitrary code if the attacker convinces a user to open a specially crafted .dvr-ms file. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights
이 취약점은 공격자가 유저가 dvr-ms파일을 실행 한 경우라면 임의의 코드를 실행 시킬 수 있습니다.  공격자는 파일을 설치하거나, 바꾸거나, 보거나, 지울 수 있으며, 관리자 권한의 계정을 생성할 수도 있습니다.

For businesses using the Microsoft Groove workspace sharing product, pay special attention to MS11-016, which covers a remote code execution issue in Groove.
Groove를 사용하는 기업가에 경우에는 MS11-016 취약점에 대해서 주의를 기울일 필요가 있습니다.

This security update resolves a publicly disclosed vulnerability in Microsoft Groove that could allow remote code execution if a user opens a legitimate Groove-related file that is located in the same network directory as a specially crafted library file
 이번 보안 업데이트는 특정 라이브러리 파일이나 같은 네트워크상의 폴더에 위치한 Groove 파일을 실행한 경우에는 원격 코드 실행이 가능한 Groove 의 취약점을 패치합니다.

The vulnerability exists in the way that Microsoft Groove 2007 handles the loading of DLL files. “An attacker who successfully exploited this vulnerability could take complete control of an affected system,” Microsoft warned.
Groove 2007 에서 DLL파일을 읽는 과정에서 취약점이 존재하며, "성공적으로 바이러스가 주입된 경우라면 시스템의 대부분을 조종할 수 있습니다" 라고 마이크로소프트는 경고하였습니다.

This month’s Patch Tuesday batch also includes MS11-017, an “important” bulletin covering a code execution flaw in the Windows Remote Desktop Client.
이번 화요일 패치 목록에는 윈도우 원격 데스크탑 클라이언트의 코드 실행이 가능한 중요 취약점인 MS11-017 이 포함되었습니다.

The vulnerability could allow remote code execution if a user opens a legitimate Remote Desktop configuration (.rdp) file located in the same network folder as a specially crafted library file
이 취약점은 유저가 같은 네트워크 상 폴더의 특정 라이브러리 폴더에 위치한 원격 데스크탑 설정파일(.rdp) 파일을 실행할 경우 원격 코드 실행이 가능합니다. 

It’s important to note that there are several outstanding issues that were not patched this month.
이번달에 패치되지 않은 문제도 있다는 것에 주목해야 합니다.

윈문: http://www.zdnet.com/blog/security/patch-tuesday-gaping-security-hole-in-windows-media-player/8327?tag=content;search-results-rivers

+ Recent posts