POODLE

개에 대해서는 푸들 문서를 참고하십시오.

POODLE("Padding Oracle On Downgraded Legacy Encryption")은 SSL 3.0에 대한 폴백을 활용하는 보안 취약점이다.^[1]^[2]^[3] 공격자가 이 취약점을 성공적으로 악용하는 경우 평균적으로 1바이트의 암호화된 메시지를 공개하기 위해 SSL 3.0 요청을 256회만 하면 된다. 구글 보안 팀의 보도 뮐러(Bodo Möller), 타이 두옹(Thai Duong), 크시슈토프 코토비츠(Krzysztof Kotowicz)가 이 취약점을 발견했다. 그들은 2014년 10월 14일에 취약점을 공개적으로 공개했다(다만 문서 날짜가 "2014년 9월"로 되어 있음). 2014년 12월 8일, TLS에 영향을 미치는 POODLE 취약점의 변종이 발표되었다.

원래 POODLE 공격과 관련된 CVE-ID는 CVE-2014-3566이다. F5 네트웍스도 CVE-2014-8730에 대해 출원했다.

각주

↑ Möller, Bodo; Duong, Thai; Kotowicz, Krzysztof (September 2014). “This POODLE Bites: Exploiting The SSL 3.0 Fallback” (PDF). 2014년 10월 14일에 원본 문서 (PDF)에서 보존된 문서. 2024년 4월 16일에 확인함.
↑ Bright, Peter (2014년 10월 15일). “SSL broken, again in POODLE attack”. Ars Technica.
↑ Brandom, Russell (2014년 10월 14일). “Google researchers reveal new Poodle bug, putting the web on alert”.

외부 링크

This POODLE Bites: Exploiting TheSSL 3.0 Fallback Archived 2014년 10월 14일 - 웨이백 머신 - The original publication of POODLE
1076983 – (POODLE) Padding oracle attack on SSL 3.0 Mozilla Bugzilla
What Is the POODLE Attack? - Acunetix article explaining POODLE attack algorithm

2010년대의 해킹 사건

← 2000년대

연표

2020년대 →

주요 해킹 사건

오로라 작전 (2010년)
오스트레일리아 사이버 공격 (2010년)
한일 삼일절 사이버 공격 (2010년)
대한민국 개인정보 대량유출사건 (2010년)
패이백 작전 (2010년)
HBGary 페더럴 사건 (2011년)
3·3 디도스 공격 (2011년)
RSA SecurID 해킹 사건 (2011년)
현대캐피탈 해킹 사건 (2011년)
농협 전산망 마비 사태 (2011년)
플레이스테이션 해킹 사건 (2011년)
튀니지 작전 (2011년)
안티섹 작전 (2011년)
네이트 개인정보 유출 사건 (2011년)
DigiNotar 해킹 사건 (2011년)
대한민국 중앙선거관리위원회 사이버 공격 사건 (2011년)
스트라포르 이메일 유출 사건 (2012-2013년)
링크드인 해킹 사건 (2012년)
대한민국 전산 대란 (2013년)
스냅챗 해킹 사건 (2013년)
야후 데이터 유출 사건 (2013-2016년)
앤섬 의료데이터 유출 사건 (2014-2015년)
토바르 작전 (2014년)
대한민국 개인정보 유출 사건 (2014년)
아이클라우드 유명인 사진 유출 사건 (2014년)
소니 픽처스 엔터테인먼트 해킹 사건 (2014년)
러시아 패스워드 절도 사건 (2014년)
미국 인사관리처 데이터 유출 사건 (2015년)
해킹팀 데이터 유출 사건 (2015년)
애슐리 매디슨 데이터 유출 사건 (2015년)
VTech 데이터 유출 사건 (2015년)
SWIFT 뱅킹 해킹 (2015-2016년)
방글라데시 은행 강도 사건 (2016년)
할리우드 장로회병원 랜섬웨어 사건 (2016년)
필리핀 선거관리위원회 데이터 유출 (2016년)
미국 민주당 전국위원회 사이버 공격 (2016년)
미국 민주당 하원의원 선거 운동위원회 사이버 공격 (2016년)
다인 사이버 공격(2016년)
미국 대선에서 러시아의 간섭 (2016년)
워너크라이 랜섬웨어 사건 (2017년)
웨스터민스터 사이버 공격 (2017년)
페트야 랜섬웨어 사건 (2017년)
- 우크라이나 사이버 공격 (2017년)
Exactis 사건 (2018년)
미국 애틀랜타 사이버 공격 (2018년)
싱헬스 데이터 유출 사건 (2018년)
스리랑카 사이버 공격 (2019년)
미국 볼티모어 랜섬웨어 공격 (2019년)
불가리아 국세청 해킹 사건 (2019년)
왓츠앱 스누핑 스캔들 (2019년)
제프 베조스의 휴대폰 해킹 사건 (2019년)

해커 단체

어나니머스
- 관련 사건
121국
코시 베어
사이버버킷
더프
평등회
펜시 베어
GNAA
고아체 시큐레티
구시퍼 2.0
해킹팀
이란 사이버군
리자드 스쿼드
룰즈레프트
룰즈섹
뉴 월드 해커
눌크루
NSO 그룹
페이팔 14
중국 인민해방군 61398부대
프랭크넷
레드핵
로켓 키틴
더 섀도 브로커스
시리아 전자군
TeaMp0isoN
테일로드 엑세스 작전
UGNazi
예맨 사이버군

주요 인물

조지 호츠
구시퍼
헥터 몬스구르
제레미 하몬드
주나드 후세인
크리스토퍼 폰 헤셀
무스타파 알바삼
MLT
랸 아크롤드
토파리
더 제스터
weev

발견된 보안 취약점

에버쿠키 (2010년)
아이씨유 (2013년)
하트블리드 (2014년)
셸쇼크 (2014년)
POODLE (2014년)
루트파이프 (2014년)
로우해머 (2014년)
JASBUG (2015년)
스테이지프라이트 (2015년)
DROWN (2016년)
Badlock (2016년)
더티 COW (2016년)
클라우드블리드 (2017년)
브로드컴 와이파이 (2017년)
이터널블루 (2017년)
Silent Bob is Silent (2017년)
KRACK (2017년)
ROCA 취약점 (2017년)
멜트다운 (2018년)
스펙터 (2018년)
EFAIL (2018년)
SSB (2018년)
LazyFP (2018년)
TLBleed (2018년)
시그스푸프 (2018년)
L1TF (2018년)

악성 소프트웨어

Careto / The Mask
크립토락커
덱스터
두쿠
두쿠 2.0
FinFisher
플레임
Gameover ZeuS
마흐디
메툴지 봇넷
미라이
NSA ANT 목록
페가수스
페트야
R2D2
샤문
스타즈 바이러스
스턱스넷
Vault 7
워너크라이
X-에이전트
련선웨어

TLS와 SSL

프로토콜과 기술

전송 계층 보안 / 보안 소켓 계층 (TLS/SSL)
데이터그램 전송 계층 보안 (DTLS) (영문판)
서버 네임 인디케이션 (SNI)
Application-Layer Protocol Negotiation (ALPN) (영문판)
DNS-based Authentication of Named Entities (DANE) (영문판)
DNS Certification Authority Authorization (CAA) (영문판)
HTTPS
HTTP 스트릭트 트랜스포트 시큐리티 (HSTS)
HTTP Public Key Pinning (HPKP) (영문판)
OCSP stapling (영문판)
완전 순방향 비밀성 (영문판)
STARTTLS (영문판)

공개키 인프라

Automated Certificate Management Environment (ACME) (영문판)
인증 기관 (CA)
CA/브라우저 포럼 (영문판)
인증서 정책 (영문판)
인증서 폐기 목록 (CRL)
Domain-validated certificate (DV) (영문판)
Extended Validation Certificate (EV) (영문판)
온라인 인증서 상태 프로토콜 (OCSP)
공개 키 인증서
공개 키 암호 방식
공개 키 기반 구조 (PKI)
루트 인증서
Self-signed certificate (영문판)

같이 보기

역사

미국에서의 암호 기법 수출 규제 (영문판)
서버 게이트형 암호 기법 (영문판)

구현체

Bouncy Castle (영문판)
BoringSSL (영문판)
Botan
cryptlib
GnuTLS (영문판)
JSSE (영문판)
LibreSSL
MatrixSSL (영문판)
mbed TLS (영문판)
NSS (영문판)
OpenSSL
RSA BSAFE (영문판)
S2n (영문판)
보안 지원 제공자 인터페이스 (SSPI)
SSLeay (영문판)
stunnel (영문판)
wolfSSL

공증

인증서 투명성 (영문판)
Convergence (영문판)
HTTPS 에브리웨어 (영문판)
Perspectives Project (영문판)

취약점

이론	중간자 공격 (MITM) 패딩 오라클 공격 (영문판)
암호	Bar mitzvah attack (영문판)
프로토콜	BEAST (영문판) BREACH (영문판) CRIME DROWN (영문판) Logjam (영문판) POODLE (SSL 3.0 관련) (영문판)
구현체	Certificate authority compromise (영문판) Random number generator attacks (영문판) FREAK (영문판) goto fail (영문판) 하트블리드 Lucky Thirteen attack (영문판) POODLE (TLS 1.0 관련) (영문판)