Südkoreas Online-Sicherheitslage in der Sackgasse

 (palant.info)
45 Punkte von kunggom 2023-01-04 | 15 Kommentare | Auf WhatsApp teilen

Seit jeher sind Online-Banking- und E-Government-Dienste in Korea für die verschiedensten Installationsprogramme berüchtigt. Früher war es ActiveX, heute sind es Installationsdateien für Sicherheits-Plugins, doch am Wesen des Problems hat sich nichts geändert. In letzter Zeit haben sich die Umstände zwar teilweise verbessert – etwa durch alternative Verfahren zur Identitätsprüfung als Ersatz für das offizielle Zertifikat oder durch Anbieter, die Online-Dienste ohne die Installation von .exe-Plugins bereitstellen. Dass es jedoch selbst im Jahr 2023 noch ganz offen Websites gibt, die Nutzer zur Installation solcher Dinge zwingen, ist wirklich beklagenswert.

Wladimir Palant, bekannt durch Adblock Plus, schrieb in seinem Blog, dass er seit vergangenem September zu dieser Online-Sicherheitslage in Korea recherchiert. (Englisch) Er zeichnet die Lage präzise nach – angefangen bei den historischen Gründen, warum man wegen der US-Exportbeschränkungen für Kryptografiealgorithmen in den 1990er Jahren zur Umsetzung von Internet-Banking in Korea mit dem eigens entwickelten SEED-Algorithmus auf ActiveX setzte, über die jedem Nutzer koreanischen Internet-Bankings bekannte Realität der Installation von Sicherheits-Plugins bis hin zu der Einsicht, dass diese „Sicherheitssoftware“ in Wirklichkeit nutzlose Attrappen sind, die der Sicherheit überhaupt nicht helfen, und dass der aktuelle Zustand aufgrund von Interessenkonflikten bewusst so gestaltet wurde.

Offenbar hat er im Zuge seiner Untersuchung mehrere Sicherheitslücken in Produkten für solche Sicherheits-Plugins gefunden und gemeldet, versteht aber selbstverständlich auch, dass sich das eigentliche Problem allein dadurch nicht lösen lässt. Wie auch immer: Die konkreten Details der entdeckten Schwachstellen sollen gemäß der üblichen Praxis 90 Tage nach der Meldung im Blog des Autors veröffentlicht werden – jeweils am 9. Januar 2023, 23. Januar 2023 und 6. März 2023.

Bei der Suche nach Sicherheitslücken habe er außerdem die folgenden Probleme bei der Softwarequalität festgestellt. Irgendwie kommt einem das alles ziemlich bekannt vor.

  • Die Entwickler dieser Software scheinen trotz der Verwendung von C mit Problemen der Speichersicherheit wie Buffer Overflows nicht gut umgehen zu können
  • Kompiliert wurde mit einem 15 Jahre alten Visual Studio statt mit einem modernen Compiler, der verschiedene Mechanismen zur Risikominderung bietet
  • Für ein angebliches Sicherheitsprogramm sind sogar alte und grundlegende Sicherheitsfunktionen wie ASLR oder DEP deaktiviert
  • Es werden veraltete Versionen von Open-Source-Bibliotheken verwendet, teils seit mehr als zehn Jahren überholt
  • In den meisten Fällen scheint Verschlüsselung lediglich als Obfuskation genutzt worden zu sein, um Reverse Engineering zu erschweren
  • In den Parametern der Kryptografiealgorithmen werden noch immer Inhalte verwendet, die längst deprecated sind

Verwandte Beiträge

15 Kommentare

 
kunggom 2025-06-14

Am 2. Juni 2025 wurden in der südkoreanischen Sicherheitsforschung ergänzende Arbeiten wie etwa entsprechende Fachaufsätze zu diesem Thema veröffentlicht.
 
kunggom 2023-03-31

Kürzlich wurde bekannt, dass es einen Hackerangriff unter Ausnutzung von INITECH INISAFE CrossWeb EX V3 gegeben hat.

Nach Angaben des NIS bestätigten der NIS, die Nationale Polizeibehörde, die Korea Internet & Security Agency (KISA) und das National Security Research Institute, dass Nordkorea Ende vergangenen Jahres Schwachstellen der Finanzsicherheits- und Authentifizierungssoftware „INISAFE“ von INITECH, einem auf Finanz- und Sicherheitslösungen spezialisierten Unternehmen der KT[030200]-Gruppe, ausnutzte und dabei rund 210 PCs in etwa 60 wichtigen in- und ausländischen Einrichtungen hackte, darunter staatliche und öffentliche Stellen sowie Unternehmen aus der Rüstungs- und Biobranche.
Bei der für den Angriff missbrauchten Software handelt es sich um „INISAFE CrossWeb EX V3 3.3.2.40“ und frühere Versionen, eine Zertifikatssoftware für Electronic Banking und den öffentlichen Sektor, die Schätzungen zufolge auf mehr als 10 Millionen PCs von Einrichtungen, Unternehmen und Privatpersonen im In- und Ausland installiert ist.

Der NIS erklärte: „Wir haben im Januar dieses Jahres mit einer Notfallreaktion begonnen und eine detaillierte Analyse des Funktionsprinzips der betreffenden Malware abgeschlossen“ und „auf Grundlage dieser Analyse in Zusammenarbeit mit Unternehmen A eine reale Angriff-Abwehr-Demonstration durchgeführt und die Entwicklung des Sicherheitspatches abgeschlossen“.

Nach Darstellung von INITECH wurde die fragliche Schwachstelle entdeckt, als das Unternehmen im Januar eine Prüfung auf Schwachstellen einleitete, nachdem der deutsche Sicherheitsexperte Wladimir Palant in einem Beitrag darauf hingewiesen hatte, dass es bei zahlreichen koreanischen Finanzsicherheitsprogrammen Probleme gebe, und auf einem Bild in diesem Beitrag auch ein Produkt des Unternehmens zu sehen war.
Ein Vertreter von INITECH sagte: „Nachdem wir die Schwachstelle entdeckt hatten und gerade dabei waren, sie zu beheben, meldete sich der NIS bei uns. Am 20. Februar haben wir die Entwicklung eines Sicherheitspatches zur Abschwächung der betreffenden Schwachstelle abgeschlossen und verteilen ihn derzeit. Gegenwärtig haben etwa 40 % der Unternehmen den Patch eingespielt. Allerdings haben noch nicht alle Unternehmen das Patchen abgeschlossen, daher empfehlen wir weiterhin fortlaufende Updates.“

Wie selbstverständlich anzunehmen ist, ist nicht nur dieses Produkt betroffen. Soweit ich weiß, gab es in letzter Zeit mindestens zwei weitere Fälle, in denen Sicherheitslücken in inländischen Programmen für öffentliche Zertifikate entdeckt wurden. Bei einem davon heißt es sogar, dass bereits nordkoreanische Cyberkämpfer ihre Finger im Spiel hatten.

Darüber hinaus ist es erforderlich, VestCert beim Beenden und Entfernen in einer bestimmten Reihenfolge vorzugehen. Zunächst muss auf der Registerkarte „Prozesse“ des Task-Managers zuerst Goji und danach VestCert beendet werden. Anschließend ist unter [Systemsteuerung]-[Programme]-[Programme und Features] die VestCert-Version zu prüfen und durch Klick auf „Entfernen“ vollständig zu deinstallieren.

Die Hackergruppe Lazarus injizierte über eine MagicLine4NX-Schwachstelle in den Prozess svchost.exe und lud anschließend Schadsoftware herunter und führte sie aus. Wenn daher eine verwundbare Version von MagicLineNX installiert ist, sollte sie unverzüglich entfernt werden.
 
kunggom 2023-01-09

Endlich beginnen Informationen über tatsächliche Schwachstellen veröffentlicht zu werden.
 
kunggom 2023-01-09

Als Erstes kommt das Keyboard-Sicherheitsprogramm TouchEn nxKey von RaonSecure dran.
Schon die Schwachstelle selbst ist problematisch, aber besonders beeindruckend ist, wie schlampig man sogar bei der Behandlung dieser Schwachstelle vorging. (?)
 
junho0102 2023-01-08

Die Gans, die goldene Eier legt
 
soulee 2023-01-05

Ich habe die HackerNews-Kommentare zusammengefasst

  • Koreas Finanzaufsichtsbehörden sind konservativ, aber Politiker und Medien versuchen, sich auf die Seite der Finanzverbraucher zu stellen. Deshalb wird selbst dann, wenn ein Passwort durch einen auf dem Computer des Nutzers installierten Keylogger offengelegt wird, der Fehler der Bank angelastet statt dem Nutzer. Das ist der Grund, warum Banken Sicherheitsprogramme einkaufen.
  • Die Finanzinstitute selbst kümmern sich nicht um Sicherheit. Es ist keine Seltenheit, dass veraltete Betriebssysteme verwendet werden.

Der Inhalt wurde ziemlich lang, deshalb habe ich ihn in einem Blogbeitrag zusammengefasst
https://soulee.dev/2023/01/05/korean-bogus-security
 
cychong 2023-01-05

Ich hoffe, dass sich die Situation verbessert, nachdem Korea damit international etwas blamiert wurde.
Viele Kommentare zeigen sich überrascht darüber, dass solche Methoden derzeit von Unternehmen als Mittel zur Verantwortungsabwälzung genutzt werden.
 
draupnir 2023-01-05

Es gibt dieses ausländische Meme „disappointed but not surprised“, und genau daran musste ich denken.
 
kuroneko 2023-01-05

Es scheint, dass die Bezeichnung als gefälschte Sicherheitsanwendung zur Verantwortungsabwälzung zutrifft ...
 
kunggom 2023-01-05

Der vom Originalautor veröffentlichte Hacker-News-Thread:
https://news.ycombinator.com/item?id=34231364

Die koreanische Übersetzung des ursprünglichen Artikels, die von einer anderen Person veröffentlicht wurde:
https://www.woojinkim.org/wiki/spaces/me/pages/733085820
 
roxie 2023-01-05

Das ist peinlich.
 
colus001 2023-01-04

In Korea scheint das Ziel von Regulierung häufig letztlich nicht darin zu bestehen, „die Nutzer zu schützen“, sondern eher darin, „keine Verantwortung übernehmen zu müssen“. Ein typisches Beispiel dafür sind wohl lokal auf den Rechnern der Nutzer installierte Sicherheits-Plugins. Weil nach jedem Vorfall immer wieder irgendetwas zusätzlich eingeführt wurde, ist die Lage inzwischen so absurd geworden, dass man sogar Plugins installieren muss, um überhaupt andere Plugins installieren zu können. Das fand ich schon ziemlich befremdlich. Haha
 
kunggom 2023-01-04

Stimmt. Auch der vorgestellte Artikel hat genau diesen Punkt präzise durchschaut.

Und als ich sah, dass den Nutzern sogar empfohlen wird, ein zusätzliches Programm eigens dafür zu installieren, um mehrere Sicherheits-Plugins zu installieren, wurde das auch als „Verwaltung eines App-Zoos“ (manage this application zoo) bezeichnet, haha
 
colus001 2023-01-05

Ich dachte, nur wir wüssten davon, aber offenbar wissen es alle T_T T_T
 
xguru 2023-01-04

Ich habe den Artikel beim Abendessen gesehen und nur gedacht, dass ich ihn morgen zusammenfassen und posten sollte, aber Sie haben ihn schon sehr gut aufbereitet. Vielen Dank!!

Die Formulierung, man habe einen „Markt für gefälschte (bogus) Sicherheitsanwendungen“ geschaffen, trifft es wirklich gut.