बंद गली में पहुँची दक्षिण कोरिया की ऑनलाइन सुरक्षा की हकीकत

 (palant.info)
45 पॉइंट द्वारा kunggom 2023-01-04 | 15 टिप्पणियां | WhatsApp पर शेयर करें

दक्षिण कोरिया की ऑनलाइन बैंकिंग और e-government सेवाएँ लंबे समय से तरह-तरह के इंस्टॉलेशन प्रोग्रामों के लिए बदनाम रही हैं। पहले यह ActiveX था, और आजकल यह security plugin इंस्टॉलर फाइलों में बदल गया है, लेकिन इसकी मूल प्रकृति नहीं बदली है। फिर भी हाल के वर्षों में public certificate के विकल्प के रूप में नई identity verification विधियाँ आई हैं, और कुछ जगहों पर exe plugin इंस्टॉल किए बिना ऑनलाइन सेवाएँ भी मिलने लगी हैं। पुराने समय की तुलना में कुछ स्थितियाँ बेहतर हुई हैं, लेकिन 2023 तक भी ऐसी वेबसाइटों का खुलेआम मौजूद होना जो अब भी लोगों को यह सब इंस्टॉल करने के लिए मजबूर करती हैं, वास्तव में बेहद अफसोसनाक है.

Adblock Plus के लिए प्रसिद्ध Wladimir Palant ने अपनी ब्लॉग पोस्ट में लिखा कि वह पिछले सितंबर से दक्षिण कोरिया की इस ऑनलाइन सुरक्षा स्थिति की जाँच कर रहे थे। (अंग्रेज़ी) 1990 के दशक में अमेरिका के cryptographic algorithm export restrictions के कारण दक्षिण कोरिया ने अपने तौर पर विकसित SEED algorithm का उपयोग कर internet banking सेवाएँ लागू करने के लिए ActiveX अपनाना शुरू किया—इस ऐतिहासिक पृष्ठभूमि से लेकर, कोरिया में internet banking इस्तेमाल कर चुके लगभग हर व्यक्ति को परिचित security plugin इंस्टॉलेशन की वास्तविकता तक, और यहाँ तक कि यह तथाकथित “security software” असल में सुरक्षा में कोई मदद नहीं करता, बल्कि नकली है, फिर भी मौजूदा स्थिति हित-संबंधों के कारण जानबूझकर बनाई गई है—इन सबको उन्होंने बहुत सटीक ढंग से पहचाना है।

ऐसा लगता है कि जाँच के दौरान उन्होंने security plugin उत्पादों में कई security vulnerabilities खोजकर रिपोर्ट भी कीं, लेकिन वह यह भी अच्छी तरह समझते हैं कि केवल इससे असली समस्या हल नहीं होने वाली। खैर, जिन vulnerabilities का पता चला है, उनकी विस्तृत जानकारी रिपोर्ट के 90 दिन बाद सार्वजनिक करने की परंपरा के अनुसार लेखक के ब्लॉग पर क्रमशः 9 जनवरी 2023, 23 जनवरी 2023 और 6 मार्च 2023 को प्रकाशित की जाएगी।

और security vulnerabilities खोजने की प्रक्रिया में उन्होंने software quality से जुड़ी निम्नलिखित समस्याएँ भी पाई हैं। किसी वजह से ये बातें बहुत परिचित-सी लगती हैं।

  • इसे बनाने वाले developers ने C भाषा का उपयोग करते हुए भी buffer overflow जैसी memory safety समस्याओं से निपटने में अपरिपक्वता दिखाई है
  • समस्याओं को कम करने वाले विभिन्न mechanisms देने वाले modern compilers की बजाय 15 साल पुराना Visual Studio इस्तेमाल करके compile किया गया है
  • नाम के लिए security program होने के बावजूद ASLR या DEP जैसी पुरानी और बुनियादी security features तक निष्क्रिय हैं
  • (कुछ मामलों में 10 साल से भी अधिक) पुराने versions की open source libraries का उपयोग
  • अधिकतर मामलों में, encryption का उपयोग वास्तव में reverse engineering को कठिन बनाने वाली obfuscation के लिए ही किया गया लगता है
  • cryptographic algorithm parameters में ऐसे तत्व अब भी इस्तेमाल हो रहे हैं जिन्हें बहुत पहले deprecated कर दिया गया था

संबंधित पढ़ाई

15 टिप्पणियां

 
kunggom 2025-06-14

2 जून 2025 को, कोरिया के security अकादमिक जगत ने इस सामग्री को पूरक करने वाले शोधपत्र आदि प्रकाशित किए।
 
kunggom 2023-03-31

हाल ही में यह तथ्य सामने आया कि Initech INISAFE CrossWeb EX V3 का उपयोग करके हैकिंग हमला किया गया था。

NIS के अनुसार, NIS, National Police Agency, Korea Internet & Security Agency (KISA) और National Security Research Institute ने पुष्टि की कि पिछले साल के अंत में उत्तर कोरिया ने KT[030200] group की financial/security specialist company Initech के financial security authentication software 'Inisafe' की vulnerability का दुरुपयोग कर देश-विदेश की लगभग 60 प्रमुख संस्थाओं, जिनमें राष्ट्रीय/सार्वजनिक संस्थान तथा defense और bio कंपनियाँ शामिल हैं, के लगभग 210 PCs को हैक किया।
हैकिंग में इस्तेमाल किया गया software electronic finance और public sector certificate के लिए 'INISAFE CrossWeb EX V3 3.3.2.40' तथा उससे नीचे के versions थे, जो अनुमानतः देश-विदेश में 1 करोड़ से अधिक संस्थानों, कंपनियों और व्यक्तिगत PCs में इंस्टॉल हैं।

NIS ने कहा, “इस वर्ष जनवरी में आपात प्रतिक्रिया शुरू की गई, संबंधित malware के काम करने के सिद्धांत आदि का विस्तृत analysis पूरा किया गया,” और “इसी analysis material के आधार पर Company A के सहयोग से वास्तविक attack-defense simulation चलाया गया तथा security patch development पूरा किया गया।”

Initech का कहना है कि इस जनवरी में जर्मन security expert Wladimir Palant की उस पोस्ट की image में, जिसमें उन्होंने कहा था कि कोरिया के कई financial security SW में समस्या है, उसके अपने product का नाम देखकर उसने vulnerability inspection शुरू की और उसी दौरान संबंधित vulnerability का पता चला।
Initech के एक अधिकारी ने कहा, “vulnerability मिलने के बाद जब हम उसे remediate कर रहे थे, तभी NIS से संपर्क आया। 20 फरवरी को संबंधित vulnerability को mitigate करने वाला security patch विकसित कर पूरा कर लिया गया और उसका वितरण जारी है। इस समय लगभग 40% कंपनियाँ patch पूरा कर चुकी हैं। हालांकि अभी सभी कंपनियों ने patching पूरी नहीं की है, इसलिए लगातार update करने की सिफारिश की जा रही है।”

यह तो स्वाभाविक बात है कि केवल यही product समस्या वाला नहीं हो सकता। मेरी जानकारी में हाल में घरेलू digital certificate programs में security vulnerabilities मिलने की कम से कम 2 और खबरें आई हैं। यहाँ तक कि उनमें से एक पर तो उत्तर के cyber operatives का हाथ पहले ही पड़ चुका बताया जाता है।

इसके अलावा VestCert को बंद और remove करते समय निर्धारित क्रम का पालन करना आवश्यक है। पहले Task Manager के Process tab में Goji को पहले बंद करें, फिर VestCert को बंद करें। इसके बाद [Control Panel]-[Programs]-[Programs and Features] में VestCert version की जाँच करें और ‘Remove’ क्लिक कर पूरी तरह delete करें।

Lazarus hacker group ने MagicLine4NX vulnerability के जरिए svchost.exe process में injection करने के बाद malicious program डाउनलोड कर चलाया। इसलिए यदि MagicLineNX का vulnerable version इंस्टॉल है, तो उसे तुरंत delete करना आवश्यक है।
 
kunggom 2023-01-09

आखिरकार वास्तविक कमजोरियों से जुड़ी सामग्री सार्वजनिक होने लगी है।
 
kunggom 2023-01-09

पहला नंबर शायद RaonSecure के TouchEn nxKey कीबोर्ड सिक्योरिटी प्रोग्राम का है.
कमज़ोरी खुद भी समस्या है, लेकिन उससे भी ज़्यादा प्रभावित करने वाली बात यह है कि उस कमज़ोरी को संभालने की प्रक्रिया में भी उन्होंने काफ़ी लापरवाही दिखाई. (?)
 
junho0102 2023-01-08

सोने के अंडे देने वाली हंस
 
soulee 2023-01-05

HackerNews की टिप्पणियों को व्यवस्थित करके देखा है

  • कोरिया के वित्तीय नियामक संस्थान रूढ़िवादी हैं, लेकिन राजनेता और मीडिया वित्तीय उपभोक्ताओं का पक्ष लेने की कोशिश करते हैं। इसलिए अगर उपयोगकर्ता के कंप्यूटर में इंस्टॉल किए गए keylogger की वजह से password लीक हो जाए, तब भी उपयोगकर्ता की गलती का दोष बैंक पर डाल दिया जाता है। यही कारण है कि बैंक सुरक्षा प्रोग्राम खरीदते हैं
  • वित्तीय संस्थान खुद अपनी security पर ध्यान नहीं देते। Outdated OS का उपयोग करना बहुत आम है

सामग्री बहुत लंबी हो गई, इसलिए इसे ब्लॉग में व्यवस्थित करके लिखा है
https://soulee.dev/2023/01/05/korean-bogus-security
 
cychong 2023-01-05

उम्मीद है कि अंतरराष्ट्रीय स्तर पर थोड़ी शर्मिंदगी झेलने के बाद इसमें सुधार होगा।
काफी लोगों ने टिप्पणी की कि वे यह जानकर हैरान हैं कि ऐसे तरीके फिलहाल कंपनियों द्वारा जिम्मेदारी से बचने के साधन के रूप में इस्तेमाल किए जा रहे हैं।
 
draupnir 2023-01-05

विदेशी memes में एक बात होती है, disappointed but not surprised, वही याद आ रहा है।
 
kuroneko 2023-01-05

ज़िम्मेदारी से बचने के लिए बनाई गई नकली security application कहना सही लगता है...
 
kunggom 2023-01-05

मूल लेखक द्वारा पोस्ट किया गया Hacker News थ्रेड:
https://news.ycombinator.com/item?id=34231364

किसी अन्य व्यक्ति द्वारा पोस्ट किए गए मूल लेख का कोरियाई अनुवाद:
https://www.woojinkim.org/wiki/spaces/me/pages/733085820
 
roxie 2023-01-05

शर्मनाक है।
 
colus001 2023-01-04

मेरा आम तौर पर मानना है कि कोरिया में नियमों का लक्ष्य अक्सर "यूज़र की रक्षा करना" नहीं, बल्कि "जिम्मेदारी से बचना" बनकर रह जाता है। इसका एक प्रतिनिधि उदाहरण यूज़र के कंप्यूटर पर इंस्टॉल होने वाले security plugins हैं। हर बार कोई हादसा होने पर इनमें कुछ-न-कुछ जोड़ते-जोड़ते हालत ऐसी हो गई है कि अब उन्हें इंस्टॉल करने के लिए भी अलग plugin इंस्टॉल करना पड़ता है — यह बात मुझे काफ़ी हैरान करने वाली लगी। हाहा
 
kunggom 2023-01-04

बिलकुल। जिस लेख का परिचय दिया गया था, उसमें भी ठीक उसी बात को बहुत सटीक तरीके से पहचाना गया था।

और जब मैंने देखा कि कई security plugins इंस्टॉल करने के लिए users को अलग से एक अतिरिक्त प्रोग्राम इंस्टॉल करने की सिफारिश की जाती है, तो उसे “app zoo management”(manage this application zoo) भी कहा गया था, हाहा
 
colus001 2023-01-05

हमें लगा था कि यह सिर्फ हमें ही पता है, लेकिन लगता है सबको पता है, उह उह
 
xguru 2023-01-04

रात का खाना खाते हुए लेख देखा और बस यही सोचा था कि कल उसका सारांश बनाकर पोस्ट करना चाहिए, लेकिन आपने इसे बहुत अच्छी तरह व्यवस्थित कर दिया है। धन्यवाद!!

यह बात कि एक “नकली (bogus) security application market” बनाया गया, सच में बहुत असर करती है।