TouchEn nxKey: una solución que hace keylogging para evitar el keylogging

 (github.com/alanleedev)
20 puntos por xguru 2023-01-17 | 8 comentarios | Compartir por WhatsApp
  • Contexto
  • ¿Cómo funciona realmente TouchEn nxKey?
  • ¿Cómo se comunica un sitio web con TouchEn nxKey?
  • Atacar sitios web bancarios abusando de la extensión de TouchEn
    • Nota al margen: extensiones de navegador similares a TouchEn
  • Usar la función de keylogging desde un sitio web
  • Atacar la propia aplicación
  • Abusar de la aplicación auxiliar (helper)
  • Acceder directamente a la función de keylogging del driver
    • Nota al margen: el driver se cae (crash)
  • ¿Realmente se corregirá el problema?
    • Nota al margen: filtración de información (information leak)
  • ¿Funcionan correctamente los conceptos aplicados en nxKey?

Lecturas relacionadas

8 comentarios

 
adieuxmonth 2023-01-17

Tal vez este monstruo nació por una anormal exención de responsabilidad en materia de seguridad.
 
alanthedev 2023-01-17

Como referencia, este es el hilo de GeekNews sobre la publicación original, no sobre una traducción: https://es.news.hada.io/topic?id=8211
 
stypr 2023-01-17

Desde la postura de quien trabaja en seguridad, algo que genera mucha preocupación es que en Corea del Sur existe la difamación en internet y que incluso la “divulgación de hechos verdaderos” puede convertirse en un problema.
Además, si una vulnerabilidad publicada llega a ser explotada y se producen casos de daños, también existe la posibilidad de que te terminen señalando como cómplice.

Claro, por el hecho de que el autor también ha venido publicando este tipo de contenidos de manera constante con suficiente intención de interés público en materia de seguridad, no parece que esté en una situación en la que pueda ser tratado como cómplice. Aun así, ya le comenté este punto a la persona que publicó esto, pero como no parece darle mucha importancia, creo que habrá que seguir observando un poco más.

..

De hecho, desde la postura de quien investiga y descubre vulnerabilidades, incluso si se encuentran fallas en software nacional, a veces da reparo hacerlas públicas, y en muchos casos tampoco se aplican parches con facilidad.

Antes, era bastante común que investigadores de seguridad, cuando tenían tiempo, encontraran problemas por interés público, los reportaran directamente a las empresas y simplemente ayudaran a corregirlos en silencio. Pero como el riesgo legal de terminar siendo amenazados o demandados a raíz de eso era demasiado alto, desde cierto momento en Corea se hizo posible reportar a través de canales oficiales mediante instituciones como KISA.

Sin embargo, en la práctica, reportar a través de organismos como KISA no significa que se paguen grandes recompensas, y además hay muchos casos en los que no se logra contactar al desarrollador o no se define correctamente un calendario de parches. Encima, KISA también tiene que evaluar el nivel y la gravedad de la vulnerabilidad para poder pagar una recompensa. Pero, hasta donde yo sé, en el caso del personal encargado en KISA, como faltan muchos recursos humanos y están muy ocupados, muchas veces todo se retrasa.

Es decir, en Corea la realidad es que hay muchos problemas estructurales para aplicar una política como la del equipo de investigación de vulnerabilidades de Google, Project Zero (https://googleprojectzero.blogspot.com/p/…), que publica la información de la vulnerabilidad tal cual si el proveedor no la corrige incluso después de cierto tiempo (de 90 días a medio año) desde el reporte inicial.

Y no solo con empresas coreanas: incluso cuando se reporta a grandes empresas extranjeras con una Disclosure Policy de por medio... muchas veces corregirlo toma mucho tiempo, el contenido reportado se pierde o el proceso se retrasa. Como también hubo muchos casos en los que, al advertir que después se publicaría el contenido de la vulnerabilidad, terminaron amenazándome a mí, yo tampoco sigo reportando vulnerabilidades por interés público.

En Corea, por muy buena que sea la capacidad y la ética de los investigadores, atacar este tipo de programas de seguridad bancaria no es algo por lo que se reciba una compensación realista. Además, si una persona tiene la capacidad suficiente, normalmente va a apuntar a productos extranjeros y no a productos nacionales. Por eso casos como este terminan explotando cuando un ingeniero extranjero los descubre por casualidad. Es una realidad realmente lamentable.

,,

Y creo que ese artículo que habla de una supuesta falta de comprensión del entorno nacional no es más que hacerse de la vista gorda. Como no tenían mucho que decir, seguramente escribieron una réplica agarrándose solo de partes no importantes de lo que se publicó.

Personalmente, viendo la situación actual, me parece que se puede dividir en dos grandes perspectivas:

  1. Personalmente, creo que el “entorno nacional” es un problema difícil de resolver más fácilmente de lo que parece, porque se combinan problemas estructurales como los mencionados arriba, problemas de personal y problemas de proceso.
    Todo el mundo lo sabe, pero no se ha podido mejorar durante mucho tiempo, y creo que en el futuro seguirá quedando simplemente como una tarea problemática pendiente.
    Claro, como están aumentando las empresas privadas de bug bounty, parece que este tipo de problemas podría irse resolviendo gradualmente dependiendo de cómo crezcan esas empresas en Corea.

  2. El “programa de seguridad de teclado inteligente” también puede tener que ver con un problema de responsabilidad en el sector financiero, pero además está el tema de que es el sustento del mercado de las empresas de seguridad.
    En realidad, aunque se tenga a algunos de los mejores talentos en seguridad de Corea y se fabriquen productos técnicamente sobresalientes, no hay tantas empresas como uno pensaría que puedan ganarse la vida con eso.
    Las pocas empresas que al menos logran subsistir son justamente las que hacen productos como esos y los han establecido en el sector financiero.
    No sé si habría que alentarlas o seguir criticándolas; incluso desde mi postura de alguien que trabaja en seguridad, esto me hace pensar mucho.

Y más allá de esto, si uno ve publicaciones en foros anónimos del área de seguridad informática, también se ve a empleados responsables o empleados de las empresas respondiendo constantemente a publicaciones críticas con un “jaja”, y eso también da mucho que pensar.
 
2023-01-18
[Este comentario fue ocultado.]
 
kan02134 2023-01-17

La industria de seguridad nacional, blanco de los "vulnerabilidades": "Falta comprensión del entorno local"
http://www.enewstoday.co.kr/news/articleView.html?idxno=1630290

Viendo que salen comentarios así, parece que será difícil que haya mejoras de inmediato. Como usuario, me siento un poco intranquilo.
 
zkally 2023-01-17

Según RaonSecure, los programas de seguridad que se instalan al hacer operaciones bancarias en una PC están interconectados, de modo que incluso si uno de ellos queda expuesto al riesgo de ser hackeado, puede defenderse con ayuda de otros programas. Explican que los varios programas de seguridad que se instalan para hacer operaciones bancarias en una PC se reparten sus áreas de responsabilidad y protegen contra amenazas de hackeo, y que esa es la estrategia de seguridad de los bancos.

Fuente: eNewsToday(http://www.enewstoday.co.kr)

^ Esto sí que es realmente espantoso.
 
bbulbum 2023-01-17

Supongo que las personas involucradas deberían revisar esto para que se mejoren las políticas y la tecnología... De verdad espero que ahora sí cambie.