Kore'de çevrimiçi bankacılık ve e-devlet hizmetleri, eskiden beri türlü kurulum programlarıyla kötü bir üne sahiptir. Geçmişte bunlar ActiveX'ti; bugünlerde ise güvenlik eklentisi kurulum dosyalarına dönüşmüş durumdalar, ancak özleri değişmiş değil. Yine de son dönemde ortak sertifikanın yerine geçen kimlik doğrulama yöntemlerinin ortaya çıkması ve exe eklentisi kurmadan çevrimiçi hizmet sunan yerlerin belirmesi gibi gelişmeler sayesinde, eskisine kıyasla bazı şeyler kısmen iyileşmiş sayılır. Buna rağmen 2023 yılı itibarıyla hâlâ bunları kurmaya zorlayan web sitelerinin açıkça varlığını sürdürmesi gerçekten içler acısıdır.
Adblock Plus ile tanınan Wladimir Palant, geçen eylülden bu yana Kore'deki bu çevrimiçi güvenlik durumunu araştırdığını belirterek blogunda bir yazı yayımladı. (İngilizce) ABD'nin 1990'lardaki şifreleme algoritması ihracat kısıtlamaları nedeniyle Kore'de internet bankacılığı hizmetlerini kendi geliştirdikleri SEED algoritması ile hayata geçirmek için ActiveX kullanılmaya başlanmış olmasının tarihsel arka planından başlayarak, Kore'de internet bankacılığı kullanmış herkesin bildiği güvenlik eklentisi kurulum gerçeğine ve bu “güvenlik yazılımlarının” aslında güvenliğe hiçbir katkısı olmayan sahte çözümler olmasına, ayrıca mevcut durumun çıkar ilişkileri nedeniyle kasıtlı olarak tasarlanmış olduğuna kadar meseleyi son derece isabetli biçimde ortaya koyuyor.
Görünüşe göre kendisi araştırma sürecinde güvenlik eklentisi ürünlerinde birden fazla güvenlik açığı bulup bildirmiş; ancak bunun tek başına somut sorunu çözemeyeceğini de doğal olarak biliyor. Her hâlükârda, tespit edilen açıkların ayrıntılarının, bildirimden 90 gün sonra açıklanması yönündeki yerleşik uygulama uyarınca, yazarın blogunda sırasıyla 9 Ocak 2023, 23 Ocak 2023 ve 6 Mart 2023 tarihlerinde yayımlanması planlanıyor.
Ayrıca güvenlik açıklarını arama sürecinde aşağıdaki gibi yazılım kalitesi sorunları da bulduğunu söylüyor. Nedense bunların hepsi kulağa tanıdık geliyor.
- Bunu geliştiren geliştiriciler C dili kullanmalarına rağmen buffer overflow gibi bellek güvenliği sorunlarında yeterince yetkin görünmüyor
- Sorunları hafifletmeye yönelik çeşitli mekanizmalar sunan modern derleyiciler yerine 15 yıllık bir Visual Studio ile derlenmiş
- Sözde güvenlik programı olmasına rağmen ASLR veya DEP gibi eski ve temel güvenlik özellikleri bile devre dışı bırakılmış
- (Bazı durumlarda 10 yıldan da eski) açık kaynak kütüphanelerin eski sürümleri kullanılıyor
- Çoğu durumda, şifreleme yalnızca reverse engineering'i zorlaştırmaya yönelik obfuscation amacıyla kullanılmış gibi görünüyor
- Şifreleme algoritması parametrelerinde çok önce kullanımdan kaldırılmış içerikler hâlâ kullanılıyor
15 yorum
2 Haziran 2025'te, Kore güvenlik akademi çevrelerinde bu içeriği tamamlayan makaleler ve benzeri çalışmalar yayımlandı.
Yakın zamanda Initech INISAFE CrossWeb EX V3'ü kullanan bir hack saldırısının gerçekleştiği açıklandı.
Initech INISAFE CrossWeb EX V3 güvenlik güncellemesi tavsiyesi
Ulusal İstihbarat Servisi: "Kuzey, Inisafe zafiyetini kullanarak hackledi… güvenlik yaması tavsiyesi"
Bu ürünün tek sorunlu ürün olmaması elbette şaşırtıcı değil. Bildiğim kadarıyla son dönemde yerli kamu sertifikası programlarında güvenlik zafiyeti bulunduğuna dair en az iki haber daha vardı. Hatta bunlardan birine Kuzey'in siber savaşçılarının eli çoktan değmiş deniyor.
Nihayet gerçek güvenlik açıklarıyla ilgili içerikler yayımlanmaya başladı.
İlk örnek(?) RaonSecure’ün TouchEn nxKey klavye güvenlik programı.
Açığın kendisi bir yana, o açığı ele alma sürecinde bile özensiz bir tablo sergilemeleri gerçekten etkileyiciydi. (?)
Altın yumurtlayan kaz
HackerNews yorumlarını derledim
İçerik çok uzadığı için blogda derledim
https://soulee.dev/2023/01/05/korean-bogus-security
Umarım uluslararası alanda biraz utanç yaşanır da iyileşme olur.
Bu tür yöntemlerin şu anda şirketler tarafından sorumluluktan kaçma aracı olarak kullanıldığına dair sözlere şaşırdığını söyleyen çok yorum varmış.
Yabancı memler arasında
disappointed but not surpriseddiye bir şey vardı; onu hatırlattı.Sorumluluktan kaçmak için kullanılan sahte güvenlik uygulamaları demek doğru gibi görünüyor...
Orijinal yazarın açtığı Hacker News başlığı:
https://news.ycombinator.com/item?id=34231364
Başka bir kişinin paylaştığı özgün yazının Korece çevirisi:
https://www.woojinkim.org/wiki/spaces/me/pages/733085820
Utanç verici.
Güney Kore'de genelde düzenlemelerin hedefi "kullanıcıyı koruyalım" değil de "sorumluluk almak zorunda kalmayalım" noktasına varıyor gibi geliyor bana; bunun en tipik örneği de kullanıcı bilgisayarına kurulan güvenlik eklentileri sanırım. Her olay patladığında bunlara bir şeyler daha eklene eklene, artık kurulum yapabilmek için gereken eklentiyi bile ayrıca kurmak zorunda kalınan bir noktaya gelinmiş olması gerçekten şaşırtıcı. haha
Doğru. Tanıtılan yazıda da tam olarak bu noktayı isabetle görmüşlerdi.
Ayrıca, birden fazla güvenlik eklentisini kurmak için ek bir programı ayrıca kurmayı kullanıcıya önermelerini görüp buna “uygulama hayvanat bahçesini yönetmek” (manage this application zoo) diyorlardı haha
Bunu sadece bizim bildiğimizi sanıyordum, meğer herkes biliyormuş hıçkırık hıçkırık
Akşam yemeği yerken haberi görüp yarın özetleyerek paylaşmam gerektiğini sadece düşünmüştüm ama siz çok güzel derlemişsiniz. Teşekkürler!!
“sahte (bogus) güvenlik uygulaması pazarı”nı yarattığı ifadesi gerçekten çok çarpıcı.