TouchEn nxKey: Giải pháp keylogging để ngăn keylogging

Có lẽ chính thứ quyền miễn trừ trách nhiệm bảo mật bất thường này đã sinh ra con quái vật như vậy.

Xin lưu ý, đây là chuỗi thảo luận GeekNews về bài gốc chứ không phải về bản dịch: https://vi.news.hada.io/topic?id=8211

Từ góc độ người đang làm bảo mật trong thực tế, điều rất đáng lo ngại là ở Hàn Quốc có tội phỉ báng trên Internet và ngay cả việc "nêu ra sự thật" cũng có thể trở thành vấn đề.
Không chỉ vậy, nếu một lỗ hổng đã được công khai bị lợi dụng và phát sinh thiệt hại, cũng có khả năng bị quy là đồng phạm.

Tất nhiên, xét ở điểm tác giả cũng đã liên tục công khai những nội dung như vậy với mục đích công ích và có đủ cơ sở về bảo mật, thì có vẻ không phải là tình huống dễ bị quy là đồng phạm. Tuy vậy, tôi cũng đã nói chuyện về phần này với người công bố việc này, nhưng có vẻ họ không quá bận tâm, nên chắc vẫn phải theo dõi thêm.

..

Thực ra, từ lập trường của người nghiên cứu và phát hiện lỗ hổng, dù có tìm ra lỗ hổng trong phần mềm trong nước thì đôi khi cũng ngại công khai, và cũng có nhiều trường hợp vá lỗi không diễn ra suôn sẻ.

Ngày trước, các nhà nghiên cứu bảo mật khi rảnh vẫn thường tìm lỗ hổng vì lợi ích công cộng rồi báo trực tiếp cho doanh nghiệp để âm thầm xử lý các vấn đề như vậy khá nhiều, nhưng do rủi ro pháp lý quá lớn như việc bị đe dọa ngược hoặc bị kiện, nên từ một thời điểm nào đó ở Hàn Quốc đã có thể báo cáo thông qua các kênh chính thức của các cơ quan như KISA.

Nhưng trên thực tế, dù có báo cáo thông qua các cơ quan như KISA thì họ cũng không trả tiền thưởng cao, lại có nhiều trường hợp không liên lạc được với nhà phát triển hoặc không chốt được lịch vá lỗi đúng cách, hơn nữa phía KISA cũng phải đánh giá mức độ và độ rủi ro của lỗ hổng để chi trả tiền thưởng. Nhưng theo những gì tôi biết, phía phụ trách của KISA thường rất thiếu nhân lực và bận rộn nên nhiều trường hợp bị chậm trễ.

Nói cách khác, giống như nhóm nghiên cứu lỗ hổng của Google là Project Zero (https://googleprojectzero.blogspot.com/p/…), chính sách công khai nguyên trạng thông tin lỗ hổng nếu sau một khoảng thời gian nhất định kể từ khi báo cáo ban đầu (90 ngày đến nửa năm) mà nhà cung cấp vẫn không sửa, trên thực tế có rất nhiều vấn đề mang tính cấu trúc nên khó áp dụng ở Hàn Quốc.

Không chỉ với doanh nghiệp trong nước, mà ngay cả khi báo cáo cho các công ty nổi tiếng ở nước ngoài kèm Disclosure Policy thì... vẫn có nhiều trường hợp việc sửa mất rất nhiều thời gian, nội dung đã báo cáo bị bỏ sót và kéo dài. Cũng có không ít lần tôi lên tiếng rằng sau này sẽ công khai nội dung lỗ hổng thì ngược lại còn bị đe dọa, nên bản thân tôi cũng không còn báo cáo lỗ hổng vì mục đích công ích nữa.

Dù các nhà nghiên cứu trong nước có giỏi và có đạo đức đến đâu, thì việc tấn công các chương trình bảo mật ngân hàng kiểu này cũng không mang lại khoản thù lao thực tế tương xứng, hơn nữa nếu cá nhân đủ năng lực thì thường sẽ nhắm vào sản phẩm nước ngoài chứ không mấy ai để ý sản phẩm trong nước. Vì thế mới có chuyện như lần này, một kỹ sư nước ngoài tình cờ biết được và vụ việc nổ lớn. Thật là một thực tế đáng buồn.

,,

Và tôi nghĩ bài báo nói rằng đó là do thiếu hiểu biết về môi trường trong nước thì chẳng khác nào tự che mắt mình. Chắc vì chẳng có gì đáng nói nên họ chỉ bám vào những phần không quan trọng trong nội dung đã công khai để viết bài phản bác.

Cá nhân tôi nhìn tình hình hiện tại thì thấy có thể chia khá rõ thành hai góc nhìn:

1. Cá nhân tôi cho rằng "môi trường trong nước" là một vấn đề không dễ giải quyết như người ta nghĩ, vì nó là tổ hợp của các vấn đề mang tính cấu trúc, vấn đề nhân lực, vấn đề trong quy trình như đã nói ở trên.
   Ai cũng biết điều đó, nhưng trong thời gian dài vẫn chưa cải thiện được, và tôi nghĩ sau này nó cũng sẽ chỉ tiếp tục là một bài toán đau đầu còn tồn đọng.
   Tất nhiên, vì các công ty bug bounty tư nhân đang ngày càng nhiều lên, nên tùy vào việc các công ty bug bounty trong nước phát triển như thế nào trong tương lai, những vấn đề này có vẻ sẽ dần được giải quyết.

2. "Chương trình bảo mật bàn phím thông minh" không chỉ liên quan đến vấn đề quy trách nhiệm trong ngành tài chính, mà còn là vấn đề cần câu cơm của thị trường các công ty bảo mật.
   Thực tế là dù có những nhân tài bảo mật hàng đầu trong nước và làm ra sản phẩm xuất sắc về mặt kỹ thuật, thì số công ty có thể sống được chỉ nhờ như vậy lại không nhiều như người ta nghĩ.
   Những công ty còn sống được phần nào chính là các công ty đã làm ra những sản phẩm như thế và đưa sản phẩm vào ổn định trong ngành tài chính.
   Làm trong ngành bảo mật như tôi cũng có rất nhiều suy nghĩ, không biết nên động viên họ hay tiếp tục chỉ trích.

Ngoài ra, nếu xem các bài đăng trên bảng tin Blind của giới IT bảo mật, còn thấy nhân viên phụ trách hay nhân viên của nhà cung cấp cứ liên tục để lại bình luận dưới các bài viết chỉ trích bằng "cười khẩy", điều đó cũng khiến người ta phải suy nghĩ nhiều.

Ngành bảo mật trong nước bị chỉ trích về các 'lỗ hổng' nói rằng "thiếu hiểu biết về môi trường trong nước"
http://www.enewstoday.co.kr/news/articleView.html?idxno=1630290

Nhìn những lời như vậy thì có vẻ sẽ khó có cải thiện ngay được. Ở góc độ người dùng, tôi thấy hơi bất an.

Theo RaonSecure, các chương trình bảo mật được cài khi thực hiện giao dịch ngân hàng trên PC có liên kết với nhau, nên ngay cả khi một chương trình bảo mật bị phơi nhiễm trước nguy cơ bị hack thì vẫn có thể phòng vệ được (nhờ sự hỗ trợ của các chương trình khác). Giải thích cho biết nhiều chương trình bảo mật được cài khi thực hiện giao dịch ngân hàng trên PC sẽ chia nhau từng phạm vi phụ trách để phòng vệ trước các mối đe dọa hack, và đó chính là biện pháp bảo mật của ngân hàng.

Nguồn: eNewsToday (http://www.enewstoday.co.kr)

^ Thật sự quá khủng khiếp.

Có lẽ những người liên quan cần xem xét lại để có những cải thiện về chính sách và công nghệ.. Giờ thì tôi thật sự mong mọi thứ sẽ thay đổi.

TouchEn nxKey: giải pháp keylogging để ngăn chặn keylogging