TouchEn nxKey: キーロギング防止のためにキーロギングするソリューション
(github.com/alanleedev)- 背景
- TouchEn nxKey は実際にどのように動作するのか?
- ウェブサイトはどのように TouchEn nxKey と通信するのか?
- TouchEn 拡張機能を悪用して銀行ウェブサイトを攻撃する
- Side-note: TouchEn と類似したブラウザ拡張機能
- ウェブサイトでキーロギング機能を使う
- アプリケーション自体を攻撃する
- ヘルパー (helper) アプリケーションを悪用する
- ドライバーのキーロギング機能に直接アクセスする
- Side-note: ドライバーが死ぬ (crash)
- 果たして問題は修正されるのか?
- Side-note: 情報漏えい (information leak)
- nxKey に適用された概念はきちんと動作するのか?
8件のコメント
異常なセキュリティ免責特権のせいで、こんな怪物が生まれたのではないか
参考までに、これは翻訳文ではなく原文に対するGeekNewsスレッドです: https://ja.news.hada.io/topic?id=8211
現場でセキュリティに携わる立場として非常に懸念されるのは、韓国にはインターネット名誉毀損があり、「事実の摘示」も問題になり得るという点です。
それだけでなく、公開された脆弱性が悪用されて被害事例が発生した場合、共犯として扱われる余地すらあります。
もちろん、執筆者もセキュリティについて十分に公益目的でこうした内容を継続的に公開してきた点から見て、共犯に問われる状況ではないように思えます。とはいえ、この部分についてはこれを公開した方にも話しましたが、あまり気にしていない様子なので、もう少し見守る必要がありそうです。
..
実際、脆弱性などを発見して研究する立場からすると、国内ソフトウェアで脆弱性を見つけても公開をためらうことがありますし、パッチがきちんと出ない場合もあります。
昔はセキュリティ研究者が暇さえあれば公益目的で見つけて企業に直接報告し、静かに問題を解消してあげるようなことも多くありましたが、その結果として逆に脅迫されたり告訴されたりする法的リスクが大きすぎたため、いつの頃からか韓国ではKISAのような機関を通じた公式窓口で報告できるようになりました。
しかし現実には、KISAのような機関を通じて報告したからといって報奨金が多く支払われるわけでもなく、開発元と連絡が取れなかったり、適切なパッチ日程が組まれなかったりすることも多いうえ、KISAでも報奨金を支払うためには脆弱性のレベルと危険度を算定しなければなりません。ですが、少なくとも私の知る限りでは、KISAの担当者は人手不足で多忙なため遅れることが多くありました。
つまり、Googleの脆弱性研究チームであるProject Zero(https://googleprojectzero.blogspot.com/p/…
国内企業に限らず、海外の有名企業に報告する際にDisclosure Policyを設定したとしても……実際には修正に時間がかかり、報告内容が漏れたり遅れたりすることが多いです。 後になって脆弱性の内容を公開すると通告したら、かえって脅されたことも多かったので、私もこれ以上、公益目的で脆弱性を報告したりはしていません。
国内の研究者がいくら実力が高く人格的に優れていても、このような銀行向けセキュリティプログラムを攻撃して現実的な金額を受け取れるわけでもないうえ、個人に十分な能力があるなら外国製品をターゲットにするのであって、普通は国内製品を見たりはしません。だからこそ、今回の事例のように外国人エンジニアが偶然知って大きく表面化するのでしょう。まったく残念な現実です。
,,
そして、国内環境への理解不足だという記事は、ただ見て見ぬふりをしているのと変わらないと思います。 特に言うことがないので、公開された内容のうち重要ではない部分だけを取り上げて反論文を書いたのでしょう。
個人的には、今の状況を見ると大きく二つの観点に分かれるように思います。
個人的には「国内環境」は、上記のような構造的問題、人材の問題、プロセス上の問題などが複合したもので、思ったより簡単には解決しにくい問題だと考えています。
みんなが分かっているのに長期間改善されず、今後もただの厄介な課題として残り続けるのではないかと思います。
もちろん、民間のバグバウンティ企業が増えているので、今後国内のバグバウンティ企業がどう成長するかによって、こうした問題は徐々に解消されていくようにも見えます。
「スマートキーボードセキュリティプログラム」は、金融圏の責任所在の問題でもありますが、セキュリティ企業市場の飯の種という問題でもあります。
実際、国内有数のセキュリティ人材を抱えて技術的に優れた製品を作ったとしても、それで食べていける企業は思ったより多くありません。
かろうじて食べていけている企業というのが、ああいった製品を作って金融圏に定着させた企業です。
励ますべきなのか、引き続き批判すべきなのか、セキュリティに携わる私の立場からしても本当にいろいろ考えさせられます。
まあ、これ以外にもITセキュリティ系のBlind掲示板の投稿を見ると、担当社員や業者の社員が「笑」で批判投稿に延々とコメントしているのですが、いろいろ考えさせられます。
「脆弱性」を突かれた国内セキュリティ業界「国内環境への理解不足」
http://www.enewstoday.co.kr/news/articleView.html?idxno=1630290
こういう発言が出てくるのを見ると、当面は改善が難しそうですね。ユーザーの立場として、少し不安です。
RaonSecureによると、PCで銀行業務を行う際にインストールするセキュリティプログラムは相互に連携しており、1つのセキュリティプログラムがハッキングの危険にさらされても、(他のプログラムの助けを借りて)防御できるという。PCで銀行業務を行う際にインストールする複数のセキュリティプログラムが、それぞれ担当領域を分担してハッキングの脅威から防御しており、これが銀行のセキュリティ対策だという説明だ。
出典:イーニューストゥデイ(http://www.enewstoday.co.kr)
^ 本当にひどい話ですね。
関係者が見て、政策と技術の改善が進むべきなのでしょうが……もう本当に変わってほしいですね
行き止まりにたどり着いた韓国のオンラインセキュリティの実態