TouchEn nxKey: โซลูชันที่คีย์ล็อกเพื่อป้องกันคีย์ล็อก

 (github.com/alanleedev)
20 คะแนน โดย xguru 2023-01-17 | 8 ความคิดเห็น | แชร์ทาง WhatsApp
  • ภูมิหลัง
  • TouchEn nxKey ทำงานจริงอย่างไร?
  • เว็บไซต์สื่อสารกับ TouchEn nxKey อย่างไร?
  • โจมตีเว็บไซต์ธนาคารโดยอาศัยส่วนขยาย TouchEn
    • เกร็ดข้างเคียง: ส่วนขยายเบราว์เซอร์ที่คล้ายกับ TouchEn
  • ใช้งานฟังก์ชันคีย์ล็อกจากบนเว็บไซต์
  • โจมตีตัวแอปพลิเคชันเอง
  • ใช้ประโยชน์จากแอปพลิเคชันตัวช่วย (helper)
  • เข้าถึงฟังก์ชันคีย์ล็อกของไดรเวอร์โดยตรง
    • เกร็ดข้างเคียง: ไดรเวอร์ล่ม (crash)
  • สุดท้ายแล้วปัญหานี้จะถูกแก้ไขหรือไม่?
    • เกร็ดข้างเคียง: การรั่วไหลของข้อมูล (information leak)
  • แนวคิดที่ถูกนำมาใช้กับ nxKey ทำงานได้จริงหรือไม่?

บทความที่เกี่ยวข้อง

8 ความคิดเห็น

 
adieuxmonth 2023-01-17

คงเป็นไปได้ว่าสัตว์ประหลาดแบบนี้ถือกำเนิดขึ้นมาเพราะเอกสิทธิ์ยกเว้นความรับผิดด้านความปลอดภัยที่ผิดปกติ
 
alanthedev 2023-01-17

ขออ้างอิงว่า นี่คือเธรด GeekNews สำหรับบทความต้นฉบับ ไม่ใช่บทความแปล: https://th.news.hada.io/topic?id=8211
 
stypr 2023-01-17

ในมุมของคนที่ทำงานด้านความปลอดภัยจริง ๆ สิ่งที่น่ากังวลมากคือ ในเกาหลีใต้มีความผิดฐานหมิ่นประมาททางอินเทอร์เน็ต และแม้แต่การ "เปิดเผยข้อเท็จจริง" ก็อาจกลายเป็นปัญหาได้ นอกจากนี้ หากช่องโหว่ที่ถูกเปิดเผยถูกนำไปใช้ในทางที่ผิดจนเกิดความเสียหาย ก็ยังมีช่องให้ถูกมองว่าเป็นผู้สมรู้ร่วมคิดได้เช่นกัน

แน่นอน จากที่เห็น ผู้เขียนเองก็ดูไม่ใช่สถานการณ์ที่จะถูกมองว่าเป็นผู้สมรู้ร่วมคิด เพราะได้เปิดเผยเนื้อหาเหล่านี้อย่างต่อเนื่องเพื่อประโยชน์สาธารณะในด้านความปลอดภัยมาอย่างเพียงพอ แต่ในประเด็นนี้ผมก็เคยคุยกับคนที่เปิดเผยเรื่องนี้แล้ว และดูเหมือนเจ้าตัวจะไม่ได้ใส่ใจนัก จึงคงต้องติดตามกันต่อไป

..

จริง ๆ แล้ว ในมุมของนักวิจัยที่ค้นหาและศึกษาช่องโหว่ แม้จะพบช่องโหว่ในซอฟต์แวร์ภายในประเทศ ก็ยังรู้สึกลังเลที่จะเปิดเผย และหลายครั้งก็มีกรณีที่แพตช์ออกมาได้ไม่ดีนัก

เมื่อก่อนนักวิจัยด้านความปลอดภัยจำนวนมากมักค้นหาปัญหาเพื่อประโยชน์สาธารณะ แล้วแจ้งบริษัทโดยตรงเพื่อช่วยแก้ปัญหาอย่างเงียบ ๆ แต่เพราะความเสี่ยงทางกฎหมายที่อาจถูกย้อนกลับมาข่มขู่หรือฟ้องร้องมีสูงมาก ตั้งแต่ช่วงหนึ่งเป็นต้นมา ในเกาหลีจึงเริ่มมีช่องทางอย่างเป็นทางการผ่านหน่วยงานอย่าง KISA ให้สามารถรายงานได้

แต่ในความเป็นจริง ต่อให้รายงานผ่านหน่วยงานอย่าง KISA ก็ไม่ได้หมายความว่าจะมีการจ่ายเงินรางวัลมากนัก อีกทั้งก็มีหลายกรณีที่ติดต่อผู้พัฒนาไม่ได้หรือไม่สามารถกำหนดตารางการแพตช์ได้อย่างเหมาะสม และ KISA เองก็ต้องประเมินระดับและความเสี่ยงของช่องโหว่เพื่อจะจ่ายเงินรางวัล อย่างไรก็ตาม เท่าที่ผมทราบ เจ้าหน้าที่ของ KISA มักมีบุคลากรไม่เพียงพอและงานล้นมือ จึงทำให้เกิดความล่าช้าอยู่บ่อยครั้ง

กล่าวคือ นโยบายแบบทีมวิจัยช่องโหว่ของ Google อย่าง Project Zero (https://googleprojectzero.blogspot.com/p/…) ที่เมื่อแจ้งช่องโหว่ครั้งแรกแล้ว หากผ่านไประยะเวลาหนึ่ง (90 วันถึงครึ่งปี) แต่ผู้ขายยังไม่แก้ไข ก็เปิดเผยข้อมูลช่องโหว่นั้นออกมาตามเดิมเลยนั้น ในความเป็นจริงมีปัญหาเชิงโครงสร้างมากเกินไปกว่าจะนำมาใช้ในเกาหลีได้

ไม่ใช่แค่บริษัทในประเทศเท่านั้น แม้แต่ตอนรายงานไปยังบริษัทดังในต่างประเทศ ต่อให้ตั้ง Disclosure Policy ไว้แล้ว.. เวลาจะแก้จริงก็มักกินเวลามาก และมีหลายครั้งที่รายละเอียดที่แจ้งไปตกหล่นหรือเกิดความล่าช้า พอภายหลังขู่ว่าจะเปิดเผยรายละเอียดของช่องโหว่ ก็กลับถูกข่มขู่เสียเองมาหลายครั้ง ดังนั้นผมเองจึงเลิกแจ้งช่องโหว่เพื่อประโยชน์สาธารณะไปแล้วเช่นกัน

ต่อให้นักวิจัยในประเทศจะมีทั้งฝีมือและเจตนาที่ดีแค่ไหน การโจมตีโปรแกรมความปลอดภัยของธนาคารแบบนี้ก็ไม่ได้ทำให้ได้รับค่าตอบแทนที่คุ้มค่าในโลกความเป็นจริงอยู่ดี อีกทั้งถ้าบุคคลทั่วไปมีความสามารถมากพอ ก็มักจะไปเล็งผลิตภัณฑ์ต่างประเทศมากกว่ามาดูผลิตภัณฑ์ในประเทศ ดังนั้นกรณีนี้จึงเป็นแบบที่วิศวกรต่างชาติไปรู้เข้าโดยบังเอิญแล้วกลายเป็นเรื่องใหญ่ขึ้นมา ช่างเป็นความจริงที่น่าเศร้า

,,

และผมคิดว่าบทความที่บอกว่าเป็นเพราะขาดความเข้าใจต่อสภาพแวดล้อมในประเทศนั้น ก็แทบไม่ต่างจากการแกล้งทำเป็นไม่เห็นปัญหา คงเพราะไม่มีอะไรจะพูด เลยไปหยิบจับแต่ส่วนที่ไม่สำคัญจากข้อมูลที่ถูกเปิดเผยมาเขียนคำโต้แย้งกระมัง

ส่วนตัวแล้ว ถ้ามองสถานการณ์ตอนนี้ ผมรู้สึกว่าแบ่งออกได้เป็นสองมุมมองใหญ่ ๆ

  1. ส่วนตัวผมคิดว่า "สภาพแวดล้อมในประเทศ" เป็นปัญหาที่แก้ได้ยากกว่าที่คิด เพราะมีทั้งปัญหาเชิงโครงสร้าง ปัญหาด้านบุคลากร และปัญหาในกระบวนการที่ซับซ้อนรวมกันอยู่ ทุกคนรู้กันอยู่แล้ว แต่ตลอดเวลานานก็ยังปรับปรุงไม่ได้ และต่อจากนี้ก็คงยังคงเป็นโจทย์ชวนปวดหัวต่อไป แน่นอนว่าตอนนี้บริษัท bug bounty ภาคเอกชนกำลังเพิ่มขึ้น ดังนั้นต่อไปปัญหาแบบนี้ก็น่าจะค่อย ๆ คลี่คลาย ขึ้นอยู่กับว่าบริษัท bug bounty ในประเทศจะเติบโตอย่างไร

  2. "โปรแกรมความปลอดภัยคีย์บอร์ดอัจฉริยะ" นั้น นอกจากจะเกี่ยวกับปัญหาความรับผิดชอบของภาคการเงินแล้ว ก็ยังมีประเด็นว่าเป็นแหล่งทำมาหากินของตลาดบริษัทความปลอดภัยด้วย ที่จริงแล้ว ต่อให้มีบุคลากรด้านความปลอดภัยชั้นนำของประเทศและสร้างผลิตภัณฑ์ที่ยอดเยี่ยมทางเทคนิค ก็ไม่ได้หมายความว่าจะมีบริษัทจำนวนมากที่สามารถอยู่รอดได้ด้วยสิ่งนั้น บริษัทที่ยังพออยู่ได้จริง ๆ ก็คือบริษัทที่ทำผลิตภัณฑ์แบบนั้นและผลักดันให้ภาคการเงินนำไปใช้งานจนฝังตัวอยู่ในระบบ จะให้กำลังใจต่อไปดี หรือควรวิจารณ์ต่อไปไม่หยุดดี แม้แต่ในฐานะคนทำงานด้านความปลอดภัย ผมเองก็มีความคิดมากมายกับเรื่องนี้

นอกจากนี้ ถ้าไปดูโพสต์ในบอร์ด Blind ฝั่ง IT security ก็จะเห็นทั้งพนักงานที่รับผิดชอบและพนักงานของบริษัทเข้ามาคอมเมนต์ตอบโต้โพสต์วิจารณ์ด้วย "ฮ่า" อยู่เรื่อย ๆ ซึ่งก็ทำให้คิดอะไรได้หลายอย่าง
 
2023-01-18
[ความคิดเห็นนี้ถูกซ่อน]
 
kan02134 2023-01-17

"วงการความปลอดภัยในประเทศ" ที่ถูกโจมตีเรื่อง 'ช่องโหว่' กล่าวว่า "ขาดความเข้าใจต่อสภาพแวดล้อมในประเทศ"
http://www.enewstoday.co.kr/news/articleView.html?idxno=1630290

พอมีคำพูดแบบนี้ออกมา ก็ดูเหมือนว่าคงยากที่จะปรับปรุงได้ในทันที ในมุมของผู้ใช้ก็รู้สึกกังวลอยู่บ้างครับ
 
zkally 2023-01-17

ตามคำกล่าวของ RaonSecure โปรแกรมความปลอดภัยที่ติดตั้งเมื่อทำธุรกรรมธนาคารบนพีซีจะเชื่อมโยงกันไว้ จึงสามารถป้องกันได้แม้โปรแกรมความปลอดภัยตัวหนึ่งจะเสี่ยงต่อการถูกแฮ็กก็ตาม (ด้วยความช่วยเหลือจากโปรแกรมอื่น) โดยอธิบายว่าโปรแกรมความปลอดภัยหลายตัวที่ติดตั้งเมื่อต้องทำธุรกรรมธนาคารบนพีซีจะแบ่งหน้าที่รับผิดชอบกันเพื่อป้องกันภัยคุกคามจากการแฮ็ก และนี่คือมาตรการความปลอดภัยของธนาคาร

ที่มา : eNewsToday(http://www.enewstoday.co.kr)

^ น่ากลัวจริง ๆ เลยนะครับ
 
bbulbum 2023-01-17

ผู้เกี่ยวข้องคงต้องทบทวนและปรับปรุงทั้งนโยบายกับเทคโนโลยีให้ดีขึ้นนะครับ.. ตอนนี้หวังจริง ๆ ว่ามันจะเปลี่ยนไปเสียที