Từ xưa, dịch vụ ngân hàng trực tuyến hay chính phủ điện tử của Hàn Quốc vốn nổi tiếng tai tiếng vì đủ loại chương trình phải cài đặt. Trước đây là ActiveX, còn ngày nay đã đổi thành các tệp cài đặt plugin bảo mật, nhưng bản chất thì vẫn không thay đổi. Dù vậy, gần đây cũng đã xuất hiện các phương thức xác thực danh tính thay thế chứng thư số công cộng, và cũng có những nơi cung cấp dịch vụ trực tuyến mà không cần cài plugin .exe, nên nếu so với trước kia thì tình hình phần nào đã được cải thiện. Thế nhưng, thực tế là đến tận năm 2023 vẫn còn ngang nhiên tồn tại những website ép người dùng phải cài các thứ như vậy thì quả thật rất đáng than thở.
Wladimir Palant, người nổi tiếng với Adblock Plus, đã đăng một bài trên blog cá nhân cho biết từ tháng 9 năm ngoái ông đã điều tra về thực trạng an ninh trực tuyến kiểu này ở Hàn Quốc. (tiếng Anh) Bắt đầu từ lý do lịch sử rằng do quy định kiểm soát xuất khẩu thuật toán mật mã của Mỹ trong thập niên 1990, Hàn Quốc đã bắt đầu dùng ActiveX để triển khai dịch vụ internet banking với thuật toán SEED do nước này tự phát triển. Từ đó, ông chỉ ra rất chính xác từ thực trạng cài đặt các plugin bảo mật mà bất kỳ ai từng dùng internet banking ở Hàn Quốc đều biết rõ, cho tới việc các “phần mềm bảo mật” này thực chất là đồ giả không hề giúp ích gì cho an ninh, và rằng tình trạng hiện nay là kết quả của một thiết kế có chủ đích vì lợi ích của các bên liên quan.
Có vẻ như trong quá trình điều tra, ông đã tìm ra và báo cáo nhiều lỗ hổng bảo mật trong các sản phẩm plugin bảo mật, nhưng dĩ nhiên ông cũng hiểu rằng chỉ như vậy thì chưa thể giải quyết được vấn đề thực chất. Dù sao đi nữa, theo thông lệ công bố chi tiết lỗ hổng sau 90 ngày kể từ khi báo cáo, nội dung cụ thể của các lỗ hổng được phát hiện sẽ lần lượt được công bố trên blog của tác giả vào các ngày 9/1/2023, 23/1/2023 và 6/3/2023.
Ngoài ra, trong quá trình tìm kiếm lỗ hổng bảo mật, ông còn cho biết đã phát hiện ra các vấn đề về chất lượng phần mềm như sau. Toàn là những điều có lẽ ai cũng thấy quen thuộc.
- Có vẻ như các lập trình viên phát triển chúng dùng ngôn ngữ C nhưng lại thiếu hiểu biết về các vấn đề an toàn bộ nhớ như tràn bộ đệm
- Biên dịch bằng Visual Studio đã 15 năm tuổi thay vì dùng các trình biên dịch hiện đại có nhiều cơ chế giảm thiểu rủi ro
- Mang tiếng là chương trình bảo mật nhưng ngay cả các tính năng bảo mật cơ bản và lâu đời như ASLR hay DEP cũng bị vô hiệu hóa
- Sử dụng các phiên bản thư viện mã nguồn mở cũ kỹ (trong một số trường hợp là hơn 10 năm tuổi)
- Trong đa số trường hợp, việc mã hóa dường như chỉ được dùng để làm rối mã (obfuscation) nhằm cản trở việc dịch ngược
- Vẫn tiếp tục dùng các tham số thuật toán mật mã đã bị ngừng sử dụng từ lâu
15 bình luận
Vào ngày 2 tháng 6 năm 2025, giới học thuật an ninh tại Hàn Quốc đã công bố các bài luận và tài liệu khác để bổ sung nội dung này.
Gần đây đã có thông báo về việc xảy ra một cuộc tấn công hack sử dụng INITECH INISAFE CrossWeb EX V3.
Khuyến nghị cập nhật bảo mật cho INITECH INISAFE CrossWeb EX V3
NIS: "Triều Tiên lợi dụng lỗ hổng INISAFE để tấn công hack… khuyến nghị vá bảo mật" (tổng hợp)
Dĩ nhiên, không thể chỉ riêng sản phẩm này có vấn đề. Theo tôi biết, gần đây đã có ít nhất thêm 2 trường hợp phát hiện lỗ hổng bảo mật trong các chương trình chứng thư số công cộng trong nước. Thậm chí, nghe nói một trường hợp trong số đó đã bị các chiến binh tác chiến thông tin phương Bắc chạm tay vào rồi.
Cuối cùng, nội dung về các lỗ hổng thực tế đã bắt đầu được công khai.
Cú mở màn(?) là chương trình bảo mật bàn phím TouchEn nxKey của RaonSecure.
Bản thân lỗ hổng đã là một chuyện, nhưng điều thực sự gây ấn tượng là ngay cả trong quá trình xử lý lỗ hổng đó họ cũng cho thấy sự cẩu thả. (?)
Con ngỗng đẻ trứng vàng
Mình đã tổng hợp lại các bình luận trên HackerNews
Vì nội dung khá dài nên mình đã tổng hợp lại trên blog
https://soulee.dev/2023/01/05/korean-bogus-security
Hy vọng sau khi bị bẽ mặt trên trường quốc tế thì tình hình sẽ được cải thiện.
Có vẻ có rất nhiều bình luận nói rằng họ sốc khi biết những cách như vậy hiện đang bị các doanh nghiệp dùng làm công cụ né tránh trách nhiệm.
Có một meme nước ngoài là “disappointed but not surprised”, nghe bài này là tôi lại nghĩ ngay đến câu đó.
Có vẻ đúng là nên gọi đó là những ứng dụng bảo mật giả tạo chỉ để né tránh trách nhiệm...
Chủ đề trên Hacker News do tác giả gốc đăng:
https://news.ycombinator.com/item?id=34231364
Bản dịch tiếng Hàn của bài viết gốc do người khác đăng:
https://www.woojinkim.org/wiki/spaces/me/pages/733085820
Thật đáng xấu hổ.
Ở Hàn Quốc, tôi thường thấy mục tiêu của các quy định rốt cuộc không phải là "bảo vệ người dùng" mà là "để khỏi phải chịu trách nhiệm", và ví dụ tiêu biểu chính là các plugin bảo mật dạng cài trên máy tính người dùng. Mỗi khi xảy ra sự cố lại bị thêm vào từng thứ một, nên giờ đã đến mức phải cài cả plugin để cài đặt, điều đó thật sự khiến tôi thấy ngỡ ngàng. haha
Đúng vậy. Ngay trong bài viết được giới thiệu cũng đã nhìn thấu chính xác điểm đó.
Và khi thấy họ còn khuyến nghị người dùng cài riêng thêm một chương trình để cài nhiều plugin bảo mật, họ còn gọi đó là “quản lý một vườn thú ứng dụng” (manage this application zoo) nữa haha
Tôi cứ tưởng chỉ mình chúng ta biết, hóa ra ai cũng biết cả rồi hu hu
Đang ăn tối thì đọc thấy bài viết và chỉ nghĩ rằng ngày mai phải tóm tắt lại để đăng lên, nhưng bạn đã tổng hợp rất gọn gàng rồi. Cảm ơn nhé!!
Câu nói rằng đã tạo ra một “thị trường ứng dụng bảo mật giả (bogus)” thực sự rất chạm.