Zorunlu kurulan “K-güvenlik” uygulamalarını inceleyen makale

Eskiden beri buraya gelenler varsa, 2023’ün başında burada paylaştığım Wladimir Palant’ın K-güvenlik tanıtım yazısını okumuş olabilirsiniz.

• Kore’deki çevrimiçi güvenlik uygulamalarının çıkmaz sokağa ulaşan durumu
• İlgili yazı dizisinin resmî olmayan Korece çevirisi

Bununla bağlantılı olarak, kısa süre önce Kore’deki güvenlik akademisi bu içeriği tamamlayan bir makale ve simüle edilmiş sızma testi gösterim videoları yayımladı.
Bu içeriğin, ağustosta ABD’nin Seattle kentinde düzenlenecek 34. USENIX Security Symposium’da sunulması planlanıyor.

• Too Much of a Good Thing: (In-)Security of Mandatory Security Software for Financial Services in South Korea

• KAIST’in yukarıdaki makale için basın bülteni

• K-güvenlik uygulamalarını kötüye kullanarak kullanıcının klavye girdilerini ele geçirip parola çalan PoC videosu

• K-güvenlik uygulamalarını kötüye kullanarak belirli bir siteye giren kullanıcının PC’sine kötü amaçlı yazılım yerleştiren PoC videosu

• Yukarıdaki makalenin içeriğini aktaran ZDNet Korea haberi

• Yukarıdaki makalenin içeriğini açıklayan white hat hacker Normaltic’in videosu

Bu makalede K-güvenlik uygulamaları (Korea Security Applications) kısaca “KSA” olarak adlandırılıyor; ActiveX tabanlı çalışan dönem v1.0, exe tabanlı yapıya geçilen 2015 sonrası dönem ise v2.0 olarak anılıyor.

Temel olarak, bu tür “güvenlik programlarının” kullanıcı PC’sine zorla kurdurulması yapısının bizzat güvenlik açısından zafiyet yarattığı sonucuna varılması ve buna rağmen yapısal sorunlar nedeniyle bunun bir anda ortadan kaldırılmasının kolay olmaması gibi tespitler, Wladimir Palant’ın yazı dizisinden çok farklı değil.

Farklı noktalardan birkaçını saymak gerekirse, önce Wladimir Palant’ın yazılarında bankacılık sırasında kurulan uygulamalara odaklanılırken bu makalede analiz kapsamı, bazı kamu kurumlarıyla ilgili işler yapılırken zorunlu olarak kurulan uygulamalara da genişletilmiş. Makalede toplam 7 uygulama incelenmiş. Zaten K-güvenlik uygulamaları denince çoğu birbirine çok benzediğinden şirket ve ürün adları gizlenmiş olsa da, konuya aşina olanlar bunların kabaca ne olduğunu tahmin edebilir gibi görünüyor. Her hâlükârda çeşitli açıklar bulunmuş; keylogging denenmiş, uzaktan kod çalıştırma denenmiş, fuzzing ile bellek zafiyetleri bulunmuş, ortadaki adam saldırıları denenmiş; kısacası epey farklı yöntem test edilmiş görünüyor.

Dikkat çekici başka bir unsur olarak, kullanıcılara yönelik çevrimiçi bir anket de yapılmış. Bu anketin sonucunda, Kore’nin çevrimiçi ortamında K-güvenlik uygulamasıyla hiç karşılaşmamış kişinin neredeyse olmadığı, ancak bu uygulamayı kuran kullanıcıların yaklaşık %60’ının bu uygulamanın tam olarak ne işe yaradığını bile bilmeden kurulumu yaptığı ortaya çıkmış.

Bunun da ötesine geçilerek, gönüllüler toplanıp Hoax Eliminator v7.25 üzerinden, özellikle 20’li yaşlardaki gençlerin kullandığı PC’lerde gerçekte ne kadar çok K-güvenlik uygulamasının kurulu olduğu da araştırılmış. Sonuç olarak ortalama yaklaşık 9 K-güvenlik uygulamasının kurulu olduğu, bunların yaklaşık 4’ünün bu araştırmanın kapsamındaki uygulamalar olduğu belirtiliyor. Hatta bir gönüllünün PC’sinde tam 24 tane tespit edilmiş. Gönüllülerin yarısından fazlasında kurulu uygulamaların sürümü 2 yıldan daha eskiydi; hatta bazı gönüllülerin PC’sinde araştırma tarihine göre 5 yıllık sürümlerin bile bulunduğu doğrulanmış.

Hiç değilse Tablecloth Project ya da Hoax Eliminator gibi yararlı araçları yayımlayan kişilerin olması gerçekten sevindirici, ama esasen ideal olan bu tür araçlara hiç ihtiyaç duyulmaması olurdu.

Wladimir Palant’ın K-güvenlik uygulamaları analiz dizisi 2023’ün başında yayımlandı ve sonrasında Kuzey Kore’nin bu tür K-güvenlik uygulamalarını bir geçiş yolu olarak kullanarak saldırı gerçekleştirdiği de ortaya çıktı; ancak hâlâ temel düzeyde bir değişim hissedilmiyor. En azından bundan sonra daha görünür değişiklikler yaşanmasını umuyorum.