เนื้อหาจากบทสัมภาษณ์แบบลายลักษณ์อักษรที่จัดขึ้นในเดือนมกราคม เกี่ยวกับการที่วลาดีมีร์ พาลันต์เปิดเผยช่องโหว่หลายรายการของแอปพลิเคชันด้านความปลอดภัยจากเกาหลี:
- "ทีมวิเคราะห์ช่องโหว่ของ Korea Internet & Security Agency ระบุในอีเมลถึง The Readable ว่า หลังจากประเมินประเด็นด้านความปลอดภัยที่นักวิจัยด้านไซเบอร์ซีเคียวริตี้รายงานเข้ามา ก็สรุปได้ว่าไม่ใช่ช่องโหว่ความเสี่ยงสูงที่อาจก่อให้เกิดความเสียหายร้ายแรง"
- เจ้าหน้าที่ของ Financial Security Institute ซึ่งกำลังตรวจสอบประเด็นนี้อย่างใกล้ชิด กล่าวว่า “เราประเมินว่าความเป็นไปได้ที่ช่องโหว่นี้จะถูกผู้โจมตีนำไปใช้จริงมีต่ำ” และเสริมว่า “ไม่ว่าผลกระทบจะเป็นอย่างไร มันก็ยังเป็นช่องโหว่ที่ต้องจัดการอยู่ดี”
- พาลันต์เตือนว่า “เป็นเพียงเรื่องของเวลาก่อนที่อาชญากรบางส่วนจะค้นพบแอปพลิเคชันเหล่านี้และเริ่มใช้ประโยชน์จากมัน”
- พาลันต์ยืนยันว่า “เราไม่อาจคาดหวังให้บริษัทต่าง ๆ ปฏิบัติอย่างมีจริยธรรมหรือสร้างซอฟต์แวร์ที่ปลอดภัยด้วยเจตนาดีได้” เขาเน้นย้ำว่าการให้บรรดานักวิจัยอิสระเข้ามาตรวจสอบช่องโหว่ด้านความปลอดภัยของแอปพลิเคชันสำคัญเป็นเรื่องสำคัญ
คำแปลภาษาเกาหลี: https://github.com/alanleedev/KoreaSecurityApps/…
4 ความคิดเห็น
ช่องโหว่ชัดเจนจนถูกเปิดเผยทั้งหมดอยู่แล้ว แต่ที่บอกว่าความเป็นไปได้ที่จะถูกนำไปใช้จริงต่ำ หมายความว่าอย่างไรครับ
คำว่า "มีโอกาสถูกนำไปใช้จริงต่ำ" เป็นคำตอบที่มักได้ยินเมื่อถามว่าทำไมเงินรางวัลในโครงการบั๊กบาวน์ตีของ KISA ถึงต่ำ ตามเกณฑ์ของพวกเขา ต้องถึงขั้นทำให้เกิด memory corruption และรันโค้ดตามอำเภอใจได้จึงจะนับเป็นช่องโหว่ความเสี่ยงสูง และถือว่ามีโอกาสถูกนำไปใช้โจมตีสูง
น่าจะเป็นเพราะคุณ Palant เป็นชาวต่างชาติ จึงไม่สามารถรับเงินรางวัลจากการรายงานช่องโหว่ได้ แต่ถ้าคนเกาหลีรายงานช่องโหว่ด้านความปลอดภัยแบบนี้ให้ KISA ก็สามารถได้รับเงินผ่านโครงการบั๊กบาวน์ตีได้
ถ้าอย่างนั้น คนเกาหลีก็ได้เงินเมื่อรายงานช่องโหว่ด้วย (แน่นอนว่าความจริงที่ว่าเคยมีช่องโหว่แบบนั้นอยู่ก็คงจะถูกกลบเงียบ) แล้วเหตุผลที่ชาวต่างชาติมาเขียนเปิดเผยเรื่องปัญหานี้ต่อสาธารณะคือ (...)
พอเข้าไปดูที่ลิงก์แปลภาษาเกาหลีแล้ว เห็นว่ามีประโยคว่า "ในกรณีนี้ เจ้าหน้าที่รายนี้อธิบายว่าจำเป็นต้องมีเงื่อนไขล่วงหน้าหลายอย่าง เช่น การล่อผู้ใช้ผ่านเว็บไซต์ฟิชชิงที่สร้างขึ้นอย่างประณีต นอกจากนี้ แม้จะนำเอ็กซ์พลอยต์ไปใช้งานได้สำเร็จ ก็มีโอกาสน้อยที่จะนำไปสู่ความเสียหายร้ายแรง"
จึงให้ความรู้สึกประมาณว่า
'ประตูไม่ได้ล็อก แต่เส้นทางไปถึงประตูนั้นลำบากมาก'
ดูเหมือนจะไม่ใช่คำตอบที่ดีเท่าไรนัก