TouchEn nxKey: Eine Lösung, die zum Schutz vor Keylogging selbst Keylogging betreibt

 (github.com/alanleedev)
20 Punkte von xguru 2023-01-17 | 8 Kommentare | Auf WhatsApp teilen
  • Hintergrund
  • Wie funktioniert TouchEn nxKey tatsächlich?
  • Wie kommuniziert eine Website mit TouchEn nxKey?
  • Angriff auf Banking-Websites durch Missbrauch der TouchEn-Erweiterung
    • Randnotiz: Browser-Erweiterungen ähnlich wie TouchEn
  • Keylogging-Funktionen auf Websites nutzen
  • Die Anwendung selbst angreifen
  • Die Helper-Anwendung missbrauchen
  • Direkt auf die Keylogging-Funktionen des Treibers zugreifen
    • Randnotiz: Der Treiber stürzt ab (crash)
  • Wird das Problem wirklich behoben?
    • Randnotiz: Informationsleck (information leak)
  • Funktionieren die in nxKey eingesetzten Konzepte überhaupt richtig?

Verwandte Beiträge

8 Kommentare

 
adieuxmonth 2023-01-17

Vielleicht ist dieses Monster wegen einer abwegigen Sicherheitsimmunität überhaupt erst entstanden.
 
alanthedev 2023-01-17

Zur Referenz: Dies ist ein GeekNews-Thread zum Originalartikel, nicht zu einem übersetzten Beitrag: https://de.news.hada.io/topic?id=8211
 
stypr 2023-01-17

Aus der Perspektive von Menschen, die in der Praxis im Sicherheitsbereich arbeiten, ist besonders besorgniserregend, dass es in Südkorea den Straftatbestand der Verleumdung im Internet gibt und selbst die „Darlegung von Tatsachen“ problematisch sein kann.
Darüber hinaus besteht die Möglichkeit, dass man als Mittäter hingestellt wird, wenn eine offengelegte Schwachstelle ausgenutzt wird und dadurch Schadensfälle entstehen.

Natürlich scheint der Verfasser nicht in eine Lage zu geraten, in der er als Mittäter angesehen werden könnte, da er solche Inhalte im ausreichenden Maße und kontinuierlich mit eindeutig öffentlichem Interesse zur Sicherheit veröffentlicht hat. Zu diesem Punkt habe ich zwar auch mit der Person gesprochen, die das veröffentlicht hat, aber sie scheint sich nicht weiter darum zu kümmern, daher wird man das noch etwas beobachten müssen.

..

Tatsächlich zögert man aus Sicht von Forschenden, die Schwachstellen und Ähnliches entdecken und untersuchen, oft, Funde in inländischer Software zu veröffentlichen, und in manchen Fällen werden Patches auch nicht ordentlich bereitgestellt.

Früher haben Sicherheitsforschende aus öffentlichem Interesse häufig Schwachstellen entdeckt, sie direkt an Unternehmen gemeldet und Probleme still und leise beseitigen lassen. Doch weil das rechtliche Risiko zu groß war, dadurch umgekehrt bedroht oder verklagt zu werden, konnte man seit irgendwann in Südkorea Meldungen über offizielle Kanäle bei Institutionen wie KISA einreichen.

In der Praxis ist es aber nicht so, dass über Institutionen wie KISA hohe Prämien gezahlt würden. Hinzu kommt, dass man die Entwicklerfirma oft nicht erreicht oder kein ordentlicher Patch-Zeitplan zustande kommt, und KISA muss außerdem das Niveau und das Risiko einer Schwachstelle bewerten, um überhaupt eine Belohnung auszahlen zu können. Soweit ich weiß, waren die zuständigen Personen bei KISA personell stark unterbesetzt und sehr beschäftigt, weshalb es oft zu Verzögerungen kam.

Mit anderen Worten: Eine Politik wie beim Google-Schwachstellenforschungsteam Project Zero (https://googleprojectzero.blogspot.com/p/…), bei der die Informationen zu einer Schwachstelle unverändert veröffentlicht werden, wenn der Vendor sie nach einer bestimmten Zeitspanne (90 Tage bis ein halbes Jahr) nach der Erstmeldung nicht behebt, lässt sich in Korea aufgrund struktureller Probleme in der Realität nur schwer anwenden.

Das gilt nicht nur für inländische Unternehmen. Selbst wenn man bekannten ausländischen Unternehmen etwas meldet und eine Disclosure Policy ansetzt, dauert die Behebung oft lange, und die gemeldeten Inhalte gehen nicht selten unter oder verzögern sich. Auch ich habe oft erlebt, dass ich im Gegenteil bedroht wurde, wenn ich ankündigte, die Details einer Schwachstelle später offenzulegen. Deshalb melde ich Schwachstellen im öffentlichen Interesse inzwischen nicht mehr.

Egal wie gut die Fähigkeiten und wie integer inländische Forschende auch sein mögen: Für Angriffe auf solche Bank-Sicherheitsprogramme erhält man in der Realität keine angemessene Vergütung. Außerdem würden Einzelpersonen, wenn sie über ausreichende Fähigkeiten verfügen, eher ausländische Produkte ins Visier nehmen als inländische. Deshalb ist es wohl wie in diesem Fall, dass ein ausländischer Ingenieur zufällig darauf stößt und die Sache dann groß wird. Eine wirklich bedauerliche Realität.

,,

Und ich denke, dass der Artikel, der von mangelndem Verständnis für die inländische Umgebung spricht, letztlich nichts anderes ist als eine Ablenkung. Weil man nicht wirklich viel zu sagen hat, hat man sich vermutlich nur die unwichtigen Teile der veröffentlichten Inhalte herausgegriffen und dazu eine Gegendarstellung geschrieben.

Persönlich sehe ich die aktuelle Lage grob aus zwei Perspektiven:

  1. Persönlich halte ich die „inländische Umgebung“ aufgrund einer Kombination aus strukturellen Problemen, Personalmangel und Problemen in den Prozessen für ein Problem, das sich deutlich schwerer lösen lässt, als man denkt. Alle kennen das Problem, doch über lange Zeit wurde es nicht verbessert, und ich denke, dass es auch künftig einfach als lästige Dauerbaustelle bestehen bleiben wird. Natürlich gibt es inzwischen mehr private Bug-Bounty-Anbieter, daher scheint es möglich, dass sich diese Probleme nach und nach entschärfen, je nachdem, wie sich die heimischen Bug-Bounty-Unternehmen künftig entwickeln.

  2. Beim „Smart Keyboard Security Program“ geht es sicher auch um Fragen der Verantwortlichkeit im Finanzsektor, aber ebenso um die Lebensgrundlage des Marktes für Sicherheitsunternehmen. Tatsächlich gibt es in Korea überraschend wenige Unternehmen, die allein davon leben können, technisch hervorragende Produkte zu bauen, selbst wenn sie zu den besten Sicherheitstalenten des Landes gehören. Die Unternehmen, die überhaupt noch einigermaßen davon leben können, sind gerade jene, die solche Produkte gebaut und sie im Finanzsektor etabliert haben. Ob man sie ermutigen sollte oder weiter kritisieren muss — selbst aus meiner Sicht als jemand, der im Sicherheitsbereich arbeitet, gibt mir das sehr zu denken.

Und wenn man sich darüber hinaus Beiträge in anonymen Foren zum Thema IT-Sicherheit in Korea ansieht, dann schreiben dort angeblich zuständige Mitarbeiter oder Mitarbeiter von Unternehmen ständig Kommentare mit „kekeke“ unter kritische Beiträge, was ebenfalls viele Gedanken auslöst.
 
2023-01-18
[Dieser Kommentar wurde ausgeblendet.]
 
kan02134 2023-01-17

Wenn man hört, dass solche Aussagen gemacht werden, scheint eine sofortige Verbesserung schwierig zu sein. Aus Nutzersicht macht mich das etwas unruhig.

"Der heimischen Sicherheitsbranche fehlt wegen des ins Visier genommenen 'Schwachpunkts' das Verständnis für die hiesige Umgebung"
http://www.enewstoday.co.kr/news/articleView.html?idxno=1630290
 
zkally 2023-01-17

Laut RaonSecure sind die Sicherheitsprogramme, die man bei Bankgeschäften am PC installiert, miteinander verknüpft, sodass selbst dann, wenn ein einzelnes Sicherheitsprogramm dem Risiko eines Hackerangriffs ausgesetzt ist, eine Abwehr möglich bleibt (mit Hilfe anderer Programme). Mehrere Sicherheitsprogramme, die man für Bankgeschäfte am PC installiert, teilen sich jeweils ihre Zuständigkeitsbereiche und schützen so vor Hacking-Bedrohungen; das sei die Sicherheitsmaßnahme der Banken.

Quelle: Enews Today(http://www.enewstoday.co.kr)

^ Das ist wirklich furchtbar.
 
bbulbum 2023-01-17

Die Verantwortlichen müssen das sehen, damit Politik und Technik verbessert werden können … Ich hoffe wirklich, dass sich das jetzt endlich ändert.