TouchEn nxKey: Solusi yang melakukan keylogging untuk mencegah keylogging

 (github.com/alanleedev)
20 poin oleh xguru 2023-01-17 | 8 komentar | Bagikan ke WhatsApp
  • Latar belakang
  • Bagaimana TouchEn nxKey sebenarnya bekerja?
  • Bagaimana situs web berkomunikasi dengan TouchEn nxKey?
  • Menyerang situs web bank dengan menyalahgunakan ekstensi TouchEn
    • Catatan samping: Ekstensi browser yang mirip dengan TouchEn
  • Menggunakan fungsi keylogging dari situs web
  • Menyerang aplikasi itu sendiri
  • Menyalahgunakan aplikasi pembantu (helper)
  • Mengakses langsung fungsi keylogging milik driver
    • Catatan samping: Driver mengalami crash
  • Apakah masalah ini benar-benar akan diperbaiki?
    • Catatan samping: Kebocoran informasi
  • Apakah konsep yang diterapkan pada nxKey benar-benar bekerja?

Bacaan terkait

8 komentar

 
adieuxmonth 2023-01-17

Mungkin monster seperti ini lahir karena semacam kekebalan hukum keamanan yang tidak normal.
 
alanthedev 2023-01-17

Sebagai referensi, ini adalah thread GeekNews untuk tulisan asli, bukan artikel terjemahan: https://id.news.hada.io/topic?id=8211
 
stypr 2023-01-17

Dari sudut pandang orang yang bekerja di bidang keamanan, hal yang sangat mengkhawatirkan adalah bahwa di Korea Selatan ada delik pencemaran nama baik di internet, dan bahkan "pengungkapan fakta" pun bisa menjadi masalah.
Selain itu, jika kerentanan yang sudah dipublikasikan disalahgunakan dan menimbulkan kasus kerugian, ada kemungkinan seseorang juga bisa dituduh sebagai kaki tangan.

Tentu saja, mengingat penulis juga secara konsisten mempublikasikan hal-hal semacam ini demi kepentingan publik dan dengan tujuan keamanan, tampaknya ini bukan situasi yang akan membuatnya dituduh sebagai kaki tangan. Namun, saya juga sudah menyampaikan hal ini kepada orang yang mempublikasikannya, tetapi tampaknya dia tidak terlalu memedulikannya, jadi sepertinya perlu dilihat lebih lanjut.

..

Sebenarnya, dari sudut pandang peneliti yang menemukan dan meneliti kerentanan, meskipun menemukan kerentanan pada software domestik, sering kali orang enggan mempublikasikannya, dan kadang patch juga tidak dibuat dengan baik.

Dulu, peneliti keamanan sering kali, saat senggang, mencari masalah demi kepentingan publik lalu melaporkannya langsung ke perusahaan agar masalah itu diam-diam diselesaikan begitu saja. Namun, karena risiko hukum untuk malah diancam balik atau digugat akibat hal itu terlalu besar, sejak suatu waktu di Korea tersedia kanal resmi untuk melaporkan lewat lembaga seperti KISA.

Namun dalam praktiknya, walaupun melapor lewat lembaga seperti KISA, bukan berarti imbalannya akan besar; sering juga pengembang tidak bisa dihubungi atau jadwal patch yang layak tidak kunjung ditetapkan. Selain itu, KISA juga harus menilai tingkat dan risiko kerentanan untuk bisa membayarkan kompensasi. Tetapi setahu saya, dalam kasus petugas KISA, karena kekurangan tenaga kerja dan sangat sibuk, prosesnya sering terlambat.

Artinya, seperti tim riset kerentanan Google, Project Zero (https://googleprojectzero.blogspot.com/p/…), yang memiliki kebijakan mempublikasikan informasi kerentanan apa adanya jika setelah pelaporan awal dan lewat jangka waktu tertentu (90 hari hingga setengah tahun) vendor masih belum memperbaikinya, secara realistis ada banyak masalah struktural jika kebijakan seperti itu diterapkan di Korea.

Bukan hanya perusahaan domestik; bahkan saat melapor ke perusahaan-perusahaan terkenal di luar negeri sekalipun dengan Disclosure Policy diberlakukan, sering kali proses perbaikannya memakan waktu lama, isi laporan yang dikirim terlewat, atau penanganannya tertunda. Karena saya juga sering malah diancam ketika memperingatkan bahwa saya akan mempublikasikan detail kerentanannya nanti, saya pun tidak lagi melaporkan kerentanan demi kepentingan publik.

Sebagus apa pun kemampuan dan integritas para peneliti di dalam negeri, menyerang program keamanan perbankan seperti ini pada akhirnya tidak memberi bayaran yang realistis; lagi pula, jika individu punya kemampuan yang cukup, mereka biasanya akan menargetkan produk luar negeri, bukan produk domestik. Jadi, seperti kasus kali ini, mungkin baru meledak besar ketika seorang engineer asing kebetulan mengetahuinya. Realitas yang sangat disayangkan.

,,

Dan menurut saya, artikel yang mengatakan ini karena kurangnya pemahaman terhadap lingkungan domestik pada dasarnya tidak lebih dari menutup mata terhadap masalah. Karena memang tidak banyak yang bisa dikatakan, mungkin mereka hanya menulis bantahan dengan menangkap bagian-bagian yang tidak penting dari informasi yang sudah dipublikasikan.

Secara pribadi, melihat situasi sekarang, saya rasa ini bisa dibagi besar menjadi dua sudut pandang.

  1. Secara pribadi, saya pikir "lingkungan domestik" adalah masalah yang, karena persoalan struktural seperti di atas, masalah tenaga kerja, dan masalah dalam proses, tidak semudah yang dibayangkan untuk diselesaikan. Semua orang mengetahuinya, tetapi dalam waktu lama tidak berhasil diperbaiki, dan saya rasa ke depan pun ini hanya akan tetap menjadi tugas rumit yang menyusahkan. Tentu saja, karena perusahaan bug bounty swasta juga semakin bertambah, saya rasa masalah seperti ini sedikit demi sedikit akan teratasi bergantung pada bagaimana perusahaan bug bounty domestik berkembang ke depannya.

  2. "Program keamanan keyboard pintar" mungkin terkait masalah penentuan tanggung jawab di sektor keuangan, tetapi juga ada masalah bahwa ini merupakan sumber nafkah pasar vendor keamanan. Faktanya, meskipun ada talenta keamanan kelas atas di dalam negeri dan mereka membuat produk yang unggul secara teknis, ternyata tidak banyak perusahaan yang bisa benar-benar bertahan hidup hanya dengan itu. Perusahaan yang setidaknya masih bisa bertahan itulah yang membuat produk-produk seperti itu dan menancapkannya di sektor keuangan. Apakah mereka harus didorong atau terus dikritik, dari posisi saya yang bekerja di bidang keamanan pun ini menimbulkan banyak pemikiran.

Selain itu, kalau melihat postingan di forum Blind bidang keamanan TI, staf dari pihak yang bertanggung jawab atau dari vendor juga terus menulis komentar di postingan kritik hanya dengan "wkwk", dan itu juga membuat saya banyak berpikir.
 
2023-01-18
[Komentar ini disembunyikan.]
 
kan02134 2023-01-17

"Industri keamanan dalam negeri yang diserang karena 'kerentanan' mengatakan, 'Kurang memahami lingkungan domestik'"
http://www.enewstoday.co.kr/news/articleView.html?idxno=1630290

Melihat pernyataan seperti ini, sepertinya akan sulit ada perbaikan dalam waktu dekat. Dari sudut pandang pengguna, saya agak cemas.
 
zkally 2023-01-17

Menurut RaonSecure, program keamanan yang dipasang saat melakukan layanan perbankan di PC saling terhubung, sehingga meskipun satu program keamanan terekspos pada risiko peretasan, program itu tetap bisa bertahan dengan bantuan program lain. Dijelaskan bahwa berbagai program keamanan yang dipasang saat melakukan layanan perbankan di PC membagi masing-masing area tugas untuk melindungi dari ancaman peretasan, dan inilah langkah keamanan bank.

Sumber: eNewsToday(http://www.enewstoday.co.kr)

^ Ini benar-benar mengerikan.
 
bbulbum 2023-01-17

Orang-orang terkait perlu meninjau ini agar kebijakan dan teknologinya bisa diperbaiki.. Semoga sekarang benar-benar berubah.