A realidade da segurança online na Coreia do Sul chegou a um beco sem saída

 (palant.info)
45 pontos por kunggom 2023-01-04 | 15 comentários | Compartilhar no WhatsApp

Desde muito tempo, o internet banking e os serviços de governo eletrônico da Coreia do Sul são famosos pela infinidade de programas que exigem instalação. No passado era o ActiveX, e hoje isso foi trocado por instaladores de plugins de segurança, mas a essência do problema não mudou. Ainda assim, nos últimos anos a situação melhorou um pouco em comparação com antes, com o surgimento de meios alternativos de verificação de identidade em substituição ao certificado digital oficial e também de serviços online que funcionam sem exigir a instalação de plugins .exe. Mesmo assim, é realmente lamentável que, ainda em 2023, continuem existindo sites que impõem esse tipo de instalação sem o menor constrangimento.

Wladimir Palant, conhecido pelo Adblock Plus, publicou em seu blog que vinha investigando essa realidade da segurança online sul-coreana desde setembro passado. (Em inglês) Partindo do contexto histórico de que o ActiveX começou a ser usado para implementar serviços de internet banking com o algoritmo SEED, desenvolvido localmente na Coreia por causa das restrições dos EUA à exportação de algoritmos criptográficos nos anos 1990, ele vai desde a situação dos plugins de segurança — algo bem conhecido por qualquer pessoa que já tenha usado internet banking no país — até a constatação precisa de que esse “software de segurança” na prática não ajuda em nada na segurança e que o cenário atual foi deliberadamente desenhado por causa de interesses envolvidos.

Ao que parece, durante a investigação ele encontrou e reportou várias vulnerabilidades de segurança em produtos de plugins de segurança, mas também entende, como é natural, que isso por si só não resolve o problema real. De todo modo, seguindo a prática comum de divulgar os detalhes 90 dias após o reporte, os conteúdos específicos das vulnerabilidades descobertas serão publicados no blog do autor em 9 de janeiro de 2023, 23 de janeiro e 6 de março, respectivamente.

Além disso, no processo de busca por vulnerabilidades de segurança, ele disse ter encontrado também os seguintes problemas de qualidade de software. São pontos que provavelmente vão soar familiares para muita gente.

  • Os desenvolvedores desse software aparentemente usam C, mas demonstram pouca familiaridade com problemas de segurança de memória, como buffer overflow
  • Compilação feita com uma versão do Visual Studio de 15 anos atrás, em vez de compiladores modernos que oferecem vários mecanismos de mitigação
  • Apesar de se apresentarem como programas de segurança, até recursos básicos e antigos de proteção, como ASLR e DEP, estão desativados
  • Uso de versões antigas de bibliotecas open source, em alguns casos com mais de 10 anos
  • Na maioria dos casos, a criptografia parece ter sido usada apenas como ofuscação (obfuscation) para dificultar engenharia reversa
  • Parâmetros de algoritmos criptográficos que foram descontinuados (deprecated) há muito tempo ainda continuam em uso

Leituras relacionadas

15 comentários

 
kunggom 2025-06-14

Em 2 de junho de 2025, foram divulgados na comunidade acadêmica de segurança da Coreia artigos e outros materiais que complementam esse conteúdo.
 
kunggom 2023-03-31

Recentemente foi divulgado que houve um ataque de hacking usando o INISAFE CrossWeb EX V3 da Initech.

Segundo o NIS, no fim do ano passado o próprio NIS, a Agência Nacional de Polícia, a KISA e o Instituto Nacional de Pesquisa em Tecnologia de Segurança confirmaram que a Coreia do Norte explorou uma vulnerabilidade do software de autenticação de segurança financeira 'INISAFE', da Initech — empresa especializada em finanças e segurança do grupo KT[030200] — para hackear cerca de 210 PCs em aproximadamente 60 instituições importantes na Coreia e no exterior, incluindo órgãos estatais e públicos e empresas dos setores de defesa e biotecnologia.
O software explorado no ataque era o certificado para internet banking e setor público 'INISAFE CrossWeb EX V3 3.3.2.40' e versões anteriores, estimando-se que esteja instalado em mais de 10 milhões de PCs de instituições, empresas e usuários, na Coreia e no exterior.

O NIS afirmou: “Iniciamos uma resposta emergencial em janeiro deste ano e concluímos uma análise detalhada do princípio de funcionamento desse malware”, acrescentando que “com base nesse material de análise, em cooperação com a empresa A, concluímos o desenvolvimento do patch de segurança, inclusive realizando uma demonstração real de ataque e defesa”.

A posição da Initech é que, em janeiro, após a imagem de seu produto aparecer em uma postagem do especialista alemão em segurança Wladimir Palant apontando problemas em diversos softwares coreanos de segurança financeira, a empresa iniciou uma inspeção de vulnerabilidades e acabou encontrando a falha em questão.
Um representante da Initech disse: “Depois que a vulnerabilidade foi descoberta e enquanto trabalhávamos para corrigi-la, fomos contatados pelo NIS. Em 20 de fevereiro concluímos o desenvolvimento do patch de segurança para mitigar a vulnerabilidade e estamos distribuindo-o. Atualmente, cerca de 40% das empresas já concluíram a aplicação do patch. No entanto, como nem todas as empresas terminaram ainda, continuamos recomendando que façam a atualização”.

Como é óbvio, não é possível que só esse produto tenha problemas. Pelo que sei, houve pelo menos mais dois casos recentes de vulnerabilidades descobertas em programas coreanos de certificado digital. Um deles, inclusive, já teria sido tocado pelas mãos dos camaradas guerreiros da informação do Norte.

Além disso, ao encerrar e remover o VestCert, é necessário seguir uma ordem específica. Primeiro, no encerramento dos processos, deve-se finalizar o Goji antes do VestCert na aba de processos do Gerenciador de Tarefas. Depois, em [Painel de Controle]-[Programas]-[Programas e Recursos], verifique a versão do VestCert e clique em ‘Remover’ para apagá-lo completamente.

O grupo hacker Lazarus injetou no processo svchost.exe por meio da vulnerabilidade do MagicLine4NX e, em seguida, baixou e executou um programa malicioso. Portanto, se uma versão vulnerável do MagicLineNX estiver instalada, é necessário removê-la imediatamente.
 
kunggom 2023-01-09

Finalmente começaram a ser divulgados conteúdos sobre vulnerabilidades reais.
 
kunggom 2023-01-09

A primeira porrada(?) vai para o programa de segurança de teclado TouchEn nxKey, da RaonSecure.
A vulnerabilidade em si já é um problema, mas o que realmente impressiona é como eles mostraram fragilidade até no processo de lidar com essa vulnerabilidade. (?)
 
junho0102 2023-01-08

A galinha dos ovos de ouro
 
soulee 2023-01-05

Organizei alguns comentários do Hacker News

  • Os órgãos reguladores financeiros da Coreia são conservadores, mas políticos e a mídia tentam ficar do lado dos consumidores de serviços financeiros. Então, mesmo quando uma senha vaza por causa de um keylogger instalado no computador do usuário, colocam o erro do usuário na conta do banco. Esse é o motivo de os bancos comprarem programas de segurança
  • As próprias instituições financeiras não se preocupam com segurança. É muito comum usarem sistemas operacionais desatualizados

Como o conteúdo ficou muito longo, organizei tudo no blog
https://soulee.dev/2023/01/05/korean-bogus-security
 
cychong 2023-01-05

Espero que isso melhore depois de passarmos um pouco de vergonha no cenário internacional.
Muita gente nos comentários disse ter ficado surpresa ao saber que esses métodos estão sendo usados atualmente pelas empresas como um meio de se eximir de responsabilidade.
 
draupnir 2023-01-05

Tem um meme gringo que diz disappointed but not surprised, e isso me veio à cabeça.
 
kuroneko 2023-01-05

Parece correto chamar isso de aplicativos de segurança falsos feitos para evitar responsabilidades...
 
kunggom 2023-01-05

Thread no Hacker News publicado pelo autor original:
https://news.ycombinator.com/item?id=34231364

Tradução para o coreano do texto original publicada por outra pessoa:
https://www.woojinkim.org/wiki/spaces/me/pages/733085820
 
roxie 2023-01-05

Que vergonha.
 
colus001 2023-01-04

Na Coreia, em geral, parece que o objetivo da regulação muitas vezes acaba sendo não "proteger o usuário", mas sim "evitar ter responsabilidade", e um exemplo representativo disso me parecem ser os plugins de segurança que precisam ser instalados no computador do usuário. Como a cada incidente iam acrescentando mais alguma coisa, achei bem desconcertante ter chegado ao ponto de precisar instalar até plugin para conseguir fazer a instalação. rs
 
kunggom 2023-01-04

Isso mesmo. No texto apresentado, eles também identificam esse ponto com bastante precisão.

E, ao verem recomendarem aos usuários instalar separadamente programas adicionais para poder instalar vários plugins de segurança, chegaram até a chamar isso de “gerenciar um zoológico de aplicativos” (manage this application zoo) kkk
 
colus001 2023-01-05

Achei que era algo que só nós sabíamos, mas pelo visto todo mundo já sabe buá buá
 
xguru 2023-01-04

Eu estava jantando, vi a matéria e só pensei que deveria resumir e postar amanhã, mas você organizou tudo muito bem. Obrigado!!

A frase de que criaram um “mercado de aplicativos de segurança falsos (bogus)” realmente chama a atenção.