TouchEn nxKey: a solução que faz keylogging para impedir keylogging

 (github.com/alanleedev)
20 pontos por xguru 2023-01-17 | 8 comentários | Compartilhar no WhatsApp
  • Contexto
  • Como o TouchEn nxKey realmente funciona?
  • Como os sites se comunicam com o TouchEn nxKey?
  • Atacando sites bancários ao abusar da extensão TouchEn
    • Observação: extensões de navegador semelhantes ao TouchEn
  • Usando a funcionalidade de keylogging em um site
  • Atacando o próprio aplicativo
  • Abusando do aplicativo auxiliar (helper)
  • Acessando diretamente a funcionalidade de keylogging do driver
    • Observação: o driver trava (crash)
  • Será que o problema será corrigido?
    • Observação: vazamento de informações (information leak)
  • Será que os conceitos aplicados ao nxKey realmente funcionam?

Leituras relacionadas

8 comentários

 
adieuxmonth 2023-01-17

Será que esse monstro não nasceu por causa de uma isenção de responsabilidade de segurança anormal?
 
alanthedev 2023-01-17

Só para referência, este é o thread do GeekNews sobre o texto original, não sobre a tradução: https://pt.news.hada.io/topic?id=8211
 
stypr 2023-01-17

Do ponto de vista de quem trabalha com segurança no dia a dia, algo muito preocupante é que, na Coreia do Sul, existe difamação na internet, e até mesmo a "divulgação de fatos verídicos" pode se tornar um problema.
Além disso, se uma vulnerabilidade divulgada publicamente for explorada e causar danos, ainda pode haver margem para que a pessoa seja tratada como cúmplice.

Claro, considerando que o autor também vem divulgando esse tipo de conteúdo de forma contínua com claro propósito de interesse público no campo da segurança, não parece ser uma situação em que ele acabaria tratado como cúmplice. Ainda assim, eu também falei sobre esse ponto com a pessoa que publicou isso, mas como ela não parece dar muita importância, acho que vai ser preciso observar mais um pouco.

..

Na verdade, para quem pesquisa e descobre vulnerabilidades, mesmo quando encontra falhas em softwares nacionais, muitas vezes hesita em divulgá-las, e também há casos em que os patches não saem direito.

Antigamente, pesquisadores de segurança frequentemente encontravam problemas por iniciativa própria, com fins de interesse público, e reportavam diretamente às empresas para que elas corrigissem tudo discretamente. Mas, como o risco jurídico de sofrer ameaças ou até processos por causa disso era alto demais, em algum momento passou a existir, na Coreia, a possibilidade de fazer esse tipo de denúncia por canais oficiais via instituições como a KISA.

Mas, na prática, reportar por meio de instituições como a KISA não significa que haja um pagamento alto de recompensa; além disso, muitas vezes não se consegue contato com a desenvolvedora ou não se define adequadamente um cronograma de correção. E a própria KISA também precisa classificar o nível e a gravidade da vulnerabilidade para poder pagar recompensas. Só que, pelo que eu sei, os responsáveis na KISA costumam estar com falta de pessoal e sobrecarregados, então os processos frequentemente atrasam.

Ou seja, usar na Coreia uma política como a do Project Zero do Google (https://googleprojectzero.blogspot.com/p/…), em que, após reportar inicialmente a vulnerabilidade, se o fornecedor não a corrigir depois de um certo período (de 90 dias a meio ano), as informações da falha são divulgadas integralmente, esbarra na realidade de muitos problemas estruturais.

E isso não vale só para empresas coreanas: mesmo ao reportar para grandes empresas famosas do exterior com uma Disclosure Policy definida, muitas vezes a correção demora demais, o conteúdo reportado se perde e tudo atrasa. Como já houve muitos casos em que, ao avisar que divulgaria depois os detalhes da vulnerabilidade, acabei recebendo ameaças em resposta, eu também já não reporto mais vulnerabilidades em nome do interesse público.

Por melhor que sejam, em habilidade e caráter, os pesquisadores coreanos, atacar esses programas de segurança bancária não rende uma compensação financeira realista; além disso, se indivíduos tiverem capacidade suficiente, normalmente vão mirar produtos estrangeiros, não produtos coreanos. Então, casos como este acabam explodindo quando um engenheiro estrangeiro descobre algo por acaso. É uma realidade realmente lamentável.

,,

E acho que esse artigo dizendo que faltou compreensão do ambiente coreano não passa de uma tentativa de encobrir o problema. Como não têm muito a dizer, provavelmente escreveram uma resposta agarrando apenas partes não importantes do conteúdo já divulgado.

Pessoalmente, olhando a situação atual, acho que ela se divide em grande parte em duas perspectivas:

  1. Pessoalmente, acredito que o "ambiente coreano" seja um problema muito difícil de resolver com facilidade, por causa de uma combinação de problemas estruturais, falta de pessoal, falhas de processo e outros fatores. Todo mundo sabe disso, mas não houve melhora ao longo de muito tempo, e acho que continuará sendo apenas uma tarefa problemática também no futuro. Claro, como o número de empresas privadas de bug bounty está aumentando, parece provável que esse tipo de problema vá sendo gradualmente amenizado dependendo de como o setor de bug bounty coreano evoluir daqui para frente.

  2. O "programa de segurança de teclado inteligente" envolve não só a questão de responsabilização no setor financeiro, mas também o fato de ser a fonte de sustento do mercado das empresas de segurança. Na verdade, mesmo tendo alguns dos melhores talentos em segurança do país, não existem tantas empresas quanto se imagina que consigam sobreviver só criando produtos tecnicamente excelentes. As empresas que pelo menos conseguem se manter são justamente as que fizeram esse tipo de produto e o consolidaram no setor financeiro. Fico pensando muito, mesmo como alguém da área de segurança, se devemos encorajá-las ou continuar criticando.

Além disso, quando vejo posts em fóruns do Blind sobre segurança de TI, dá muito o que pensar ver funcionários responsáveis ou de fornecedores respondendo repetidamente aos posts críticos com "kk" nos comentários.
 
2023-01-18
[Este comentário foi ocultado.]
 
kan02134 2023-01-17

A indústria de segurança doméstica, alvo de críticas por causa da “vulnerabilidade”, diz que “falta compreensão do ambiente local”
http://www.enewstoday.co.kr/news/articleView.html?idxno=1630290

Ver uma fala dessas me faz pensar que vai ser difícil haver melhorias imediatas. Como usuário, isso me deixa um pouco inseguro.
 
zkally 2023-01-17

Segundo a RaonSecure, os programas de segurança instalados ao usar serviços bancários no PC são integrados entre si, de modo que, mesmo que um programa de segurança fique exposto ao risco de invasão, ele possa se defender com a ajuda de outros programas. A explicação é que os vários programas de segurança instalados ao usar serviços bancários no PC dividem entre si as áreas de responsabilidade e protegem contra ameaças de invasão, e que isso constitui a medida de segurança dos bancos.

Fonte: Enews Today (http://www.enewstoday.co.kr)

^ Isso é realmente terrível.
 
bbulbum 2023-01-17

As pessoas responsáveis precisam analisar isso para que haja melhorias nas políticas e na tecnologia... Espero mesmo que agora mude.