- Arka plan
- TouchEn nxKey gerçekte nasıl çalışıyor?
- Web sitesi TouchEn nxKey ile nasıl iletişim kuruyor?
- TouchEn uzantısını kötüye kullanarak banka web sitesine saldırmak
- Yan not: TouchEn'e benzer tarayıcı uzantıları
- Web sitesinde keylogging özelliğini kullanmak
- Uygulamanın kendisine saldırmak
- Yardımcı (helper) uygulamayı kötüye kullanmak
- Sürücünün keylogging özelliğine doğrudan erişmek
- Yan not: Sürücü çöküyor (crash)
- Acaba sorun düzeltilecek mi?
- Yan not: Bilgi sızıntısı (information leak)
- nxKey'e uygulanan kavramlar gerçekten düzgün çalışıyor mu?
8 yorum
Muhtemelen bu canavar, anormal güvenlik muafiyeti ayrıcalıkları yüzünden ortaya çıktı.
Bilginize, bu çeviri yazısına değil, özgün yazıya ait GeekNews başlığıdır: https://tr.news.hada.io/topic?id=8211
İşin gereği güvenlik tarafında çalışan biri olarak beni en çok endişelendiren şey, Güney Kore'de internette hakaret suçunun bulunması ve "gerçeği açıklama"nın bile sorun olabilmesidir.
Üstelik kamuya açık bir zafiyet kötüye kullanılıp zarar doğarsa, ortak suçlu gibi gösterilme ihtimali de vardır.
Elbette, yazarı da güvenlik açısından kamu yararı amacıyla bu tür içerikleri sürekli paylaştığı için ortak suçlu durumuna düşecek biri gibi görünmüyor. Ancak bu konuyu bunu yayımlayan kişiyle de konuşmama rağmen pek aldırış etmeyen bir durum olduğu için biraz daha izlemek gerekecek gibi görünüyor.
..
Aslında zafiyet bulan ve araştırma yapan tarafta olunca, yerli yazılımlarda zafiyet bulunsa bile bunu açıklamakta çekingen davranılabiliyor ve bazen yamalar da düzgün çıkmıyor.
Eskiden güvenlik araştırmacıları canı sıkıldıkça kamu yararı amacıyla açık bulup şirketlere doğrudan bildirir, sorunları sessizce ortadan kaldırırdı. Ancak bunun tersine tehdit edilme veya dava edilme gibi hukuki riskleri fazla büyük olduğundan, bir noktadan sonra Güney Kore'de KISA gibi kurumlar üzerinden resmi kanallarla bildirim yapılabilir hale geldi.
Ama pratikte KISA gibi kurumlar üzerinden bildirim yapmak yüksek ödüller verildiği anlamına gelmiyor; ayrıca geliştiriciyle iletişim kurulamayan ya da düzgün bir yama takvimi belirlenemeyen durumlar da çok oluyor. Dahası KISA'nın da ödül ödeyebilmesi için zafiyetin seviyesi ile risk derecesini belirlemesi gerekiyor. Fakat benim bildiğim kadarıyla KISA sorumluları ciddi personel yetersizliği ve yoğunluk nedeniyle sık sık gecikiyordu.
Yani Google'ın zafiyet araştırma ekibi Project Zero'nun (https://googleprojectzero.blogspot.com/p/…) yaptığı gibi, ilk bildirimin ardından belli bir süre (90 gün~6 ay) geçmesine rağmen satıcı zafiyeti düzeltmezse ayrıntıları olduğu gibi yayımlama politikasını Kore'de uygulamaya koymanın önünde çok sayıda yapısal sorun var.
Bu sadece yerli şirketlerle sınırlı da değil; yurt dışındaki ünlü şirketlere bildirim yaparken Disclosure Policy şartı konulsa bile, düzeltme süreci çok uzayabiliyor ve iletilen içerik gözden kaçıp gecikebiliyor. Daha sonra zafiyet ayrıntılarını açıklayacağımı söylediğimde tersine tehdit edildiğim durumlar da çok olduğu için, ben de artık kamu yararı adına zafiyet bildirimi yapmıyorum.
Yerli araştırmacılar ne kadar yetenekli ve iyi niyetli olursa olsun, bu tür banka güvenlik programlarını hedef alarak gerçekçi bir maddi karşılık almak da mümkün değil; ayrıca bireylerin yeterli yetkinliği varsa genelde yerli ürünlere değil yabancı ürünlere odaklanırlar. O yüzden bu olayda olduğu gibi, yabancı bir mühendisin tesadüfen fark edip büyük bir mesele haline getirmesi yaşanıyor sanırım. Gerçekten üzücü bir tablo.
,,
Ayrıca yerli ortama dair anlayış eksikliği olduğu yönündeki haberlerin, bence gerçeği görmezden gelmekten pek farkı yok. Söyleyecek pek bir şeyleri olmadığı için, yayımlanan içerikte önemli olmayan noktaları tutup karşı yazı yazmış olmalılar.
Bana göre mevcut durum kabaca iki bakış açısından ayrılıyor:
Bana göre "yerli ortam", yukarıdaki gibi yapısal sorunlar, insan kaynağı eksikliği ve süreç problemleri gibi birleşik nedenlerle sanılandan çok daha zor çözülebilecek bir sorun. Herkes bunun farkında ama uzun süredir iyileştirilemedi ve bundan sonra da muhtemelen baş ağrıtan bir mesele olarak kalacak. Elbette özel bug bounty şirketleri artıyor; dolayısıyla gelecekte yerli bug bounty şirketlerinin nasıl büyüyeceğine bağlı olarak bu sorunların giderek hafiflemesi mümkün görünüyor.
"Akıllı klavye güvenlik programı" meselesinde finans sektöründeki sorumluluk sorunu kadar, güvenlik şirketleri pazarının geçim kaynağı meselesi de var. Aslında ülkedeki sayılı güvenlik yetenekleriyle teknik olarak çok iyi bir ürün yapılmış olsa bile, sadece bununla geçinebilecek şirket sayısı sanılandan az. En azından ayakta kalabilen firmalar, bu tür ürünleri geliştirip finans sektörüne yerleştirmiş olan firmalar. Bunları teşvik etmek mi gerekir, yoksa eleştirmeyi sürdürmek mi, güvenlik işi yapan biri olarak ben de çok düşünüyorum.
Bunun dışında IT güvenliği tarafındaki Blind forum yazılarına bakınca, sorumlu çalışan ya da şirket çalışanlarının eleştirel yazılara sürekli "kekeke" ile yorum yazdığını görüyorum; bu da insana çok şey düşündürüyor.
Yerli güvenlik sektörünün 'güvenlik açığı' eleştirilerine yanıtı: "Yerli ortamı yeterince anlamıyorlar"
http://www.enewstoday.co.kr/news/articleView.html?idxno=1630290
Böyle bir söylem duyunca, hemen iyileştirme yapılmasının zor olacağı anlaşılıyor. Kullanıcı açısından biraz endişe verici.
RaonSecure'a göre, PC üzerinden bankacılık işlemleri yapılırken kurulan güvenlik programları birbiriyle entegre çalışıyor; bu sayede tek bir güvenlik programı hacklenme riskine maruz kalsa bile (diğer programların yardımıyla) savunma yapılabiliyor. Açıklamaya göre, PC ile bankacılık işlemleri sırasında kurulan çeşitli güvenlik programları kendi sorumluluk alanlarını paylaşarak hacking tehditlerine karşı koruma sağlıyor ve bu da bankanın güvenlik önlemini oluşturuyor.
Kaynak: eNewsToday (http://www.enewstoday.co.kr)
^ Gerçekten dehşet verici bir dünya.
Yetkililerin bunu görüp politika ve teknolojide iyileştirmeler yapması gerekiyor sanırım.. artık gerçekten değişmesini umuyorum
Çıkmaz sokağa ulaşan Güney Kore'nin çevrimiçi güvenlik durumu