Vladimir Palant’ın Kore güvenlik uygulamalarındaki çeşitli açıkları ifşa etmesiyle ilgili olarak ocak ayında yapılan yazılı röportajın içeriği:
- "Kore İnternet ve Güvenlik Ajansı’nın güvenlik açığı analiz ekibi, The Readable’a gönderdiği e-postada, siber güvenlik araştırmacısının bildirdiği güvenlik sorunlarını değerlendirdikten sonra bunların ciddi zarara yol açabilecek yüksek riskli açıklar olmadığı sonucuna vardığını belirtti."
- Bu konuyu yakından inceleyen Kore Finansal Güvenlik Enstitüsü yetkilisi, “Bu açıkların saldırganlar tarafından gerçekten istismar edilme olasılığının düşük olduğunu düşünüyoruz.” dedi. “Etkisi ne olursa olsun, yine de ele alınması gereken açıklar.”
- Palant, “Bazı suçluların bu uygulamaları keşfedip istismar etmeye başlaması sadece zaman meselesi” diye uyardı.
- Palant, “Şirketlerin etik davranmasını ve iyi niyetle güvenli yazılım geliştirmesini bekleyemezsiniz.” diyerek kesin konuştu. Kritik uygulamalardaki güvenlik açıklarının bağımsız araştırmacılar tarafından incelenmesinin önemli olduğunu vurguladı.
Korece çeviri: https://github.com/alanleedev/KoreaSecurityApps/…
4 yorum
Açık net olduğu ve her şey tamamen yayımlanmış olduğu halde, gerçekte kullanılma olasılığının düşük olması tam olarak ne anlama geliyor?
"Gerçekte kullanılma olasılığı düşük" ifadesi, KISA hata ödül programında ödülün neden düşük olduğu sorulduğunda sıkça verilen yanıttır. Onların ölçütlerine göre, ancak bellek bozulması yoluyla rastgele kod çalıştırmaya kadar gidilebiliyorsa bu yüksek riskli bir zafiyettir ve kötüye kullanılma olasılığı yüksektir.
Muhtemelen Bay Palant yabancı olduğu için zafiyet bildirim ödülünü alamaz, ancak Koreliler bu tür güvenlik açıklarını KISA'ya bildirirse hata ödül programı üzerinden para alabilir.
O halde Koreliler bir zafiyet bildirirse para da alırken (elbette böyle bir zafiyetin var olduğu gerçeği sessizce örtbas edilecek olsa da) bu meseleyi bir yabancının neden kamuya açık biçimde yazdığı (...)
Korece çeviri bağlantısına gidip baktığımda, "Bu durumda, bu yetkili; özel olarak hazırlanmış bir phishing web sitesi aracılığıyla kullanıcıyı kandırmak gibi çeşitli ön koşulların gerekli olduğunu açıkladı. Ayrıca exploit başarıyla dağıtılsa bile bunun kritik zarara yol açma olasılığı düşüktür." cümlesinin yer aldığını görünce,
sanırım his şu: 'Kapı kilitli değil ama o kapıya giden yol oldukça çetin.'
Pek iyi bir yanıt gibi görünmüyor.