TouchEn nxKey: कीलॉगिंग को रोकने के लिए कीलॉगिंग करने वाला समाधान

क्या यह संभव है कि असामान्य सुरक्षा छूट के कारण ही ऐसा राक्षस पैदा हुआ हो

संदर्भ के लिए, यह अनुवादित लेख नहीं बल्कि मूल लेख के लिए GeekNews थ्रेड है: https://hi.news.hada.io/topic?id=8211

सिक्योरिटी का काम करने वाले लोगों के नज़रिए से बहुत गंभीर चिंता की बात यह है कि दक्षिण कोरिया में इंटरनेट मानहानि के कानून हैं, और "सत्य तथ्यों का उल्लेख" भी समस्या बन सकता है.
इसके अलावा, अगर सार्वजनिक की गई vulnerability का दुरुपयोग हो जाए और नुकसान के मामले सामने आएँ, तो किसी को सह-अपराधी की तरह घसीटे जाने की गुंजाइश भी हो सकती है.

बेशक, ऐसा नहीं लगता कि लेखक को सह-अपराधी ठहराने जैसी स्थिति है, क्योंकि उन्होंने सिक्योरिटी के लिहाज़ से पर्याप्त रूप से जनहित के उद्देश्य से लगातार ऐसी बातें सार्वजनिक की हैं. लेकिन इस हिस्से को लेकर मैंने यह बात इसे सार्वजनिक करने वाले व्यक्ति से भी कही थी, और फिलहाल वे इसे ज़्यादा महत्व नहीं दे रहे हैं, इसलिए लगता है कि थोड़ा और देखना पड़ेगा.

..

असल में vulnerabilities वगैरह खोजने और उन पर रिसर्च करने वाले लोगों के नज़रिए से, भले ही घरेलू सॉफ़्टवेयर में vulnerability मिले, उसे सार्वजनिक करने में हिचक होती है, और कई बार patch भी ठीक से नहीं आता.

पहले के समय में security researchers अक्सर जनहित के लिए समस्याएँ खोजकर कंपनियों को सीधे रिपोर्ट कर देते थे और चुपचाप उन समस्याओं को हटवा देते थे, लेकिन इसके उलट उन्हें धमकाए जाने या मुकदमा झेलने का कानूनी जोखिम बहुत बड़ा था. इसी वजह से, किसी समय के बाद कोरिया में KISA जैसी संस्थाओं के आधिकारिक चैनल के ज़रिए रिपोर्ट करना संभव हुआ.

लेकिन व्यवहारिक रूप से, KISA जैसी संस्थाओं के ज़रिए रिपोर्ट करने पर न तो बहुत बड़ा इनाम मिलता है, और कई बार डेवलपर से संपर्क नहीं हो पाता या patch schedule ठीक से तय नहीं होता. साथ ही, KISA को इनाम देने के लिए vulnerability की गंभीरता और जोखिम स्तर तय करना पड़ता है. लेकिन मेरी जानकारी के अनुसार, KISA के ज़िम्मेदार लोगों के पास जनशक्ति की बहुत कमी है और वे बहुत व्यस्त रहते हैं, इसलिए अक्सर देरी होती है.

यानी Google की vulnerability research team Project Zero (https://googleprojectzero.blogspot.com/p/…) की तरह, जहाँ शुरुआती रिपोर्ट के बाद एक निश्चित समय (90 दिन~छह महीने) बीत जाने पर भी vendor vulnerability को ठीक न करे तो उसकी जानकारी ज्यों की त्यों सार्वजनिक कर दी जाती है, ऐसी policy को कोरिया में लागू करने में संरचनात्मक समस्याएँ बहुत हैं — यही हक़ीक़त है.

यह सिर्फ़ घरेलू कंपनियों की बात नहीं है; विदेशी मशहूर कंपनियों को रिपोर्ट करते समय भी, भले Disclosure Policy लगाई जाए, असल में उसे ठीक करने में बहुत समय लग जाता है और रिपोर्ट की गई बात छूट या देर हो जाना आम है.
बाद में vulnerability की जानकारी सार्वजनिक करने की चेतावनी देने पर उल्टा धमकाए जाने की घटनाएँ भी बहुत हुईं, इसलिए मैंने भी अब जनहित के उद्देश्य से vulnerabilities की रिपोर्ट करना लगभग बंद कर दिया है.

चाहे घरेलू researchers कितने भी सक्षम और ईमानदार क्यों न हों, ऐसे बैंकिंग security programs को निशाना बनाने पर उन्हें कोई वास्तविक आर्थिक प्रतिफल नहीं मिलता. ऊपर से, अगर किसी व्यक्ति में पर्याप्त क्षमता हो, तो वह आम तौर पर विदेशी उत्पादों को target करेगा, घरेलू उत्पादों को नहीं. इसलिए शायद इस बार की तरह किसी विदेशी engineer को यह संयोग से पता चला और मामला बड़ा बन गया. यह सचमुच अफ़सोसजनक हक़ीक़त है.

,,

और मुझे लगता है कि "घरेलू वातावरण की समझ की कमी" वाला लेख बस असली मुद्दे से ध्यान हटाने जैसा है. कहने को कुछ खास नहीं था, इसलिए सार्वजनिक की गई सामग्री में महत्वहीन हिस्सों को पकड़कर खंडन लिखा गया होगा.

व्यक्तिगत रूप से, मौजूदा स्थिति को देखते हुए यह मुझे बड़े तौर पर दो नज़रियों में बँटी हुई लगती है:

1. व्यक्तिगत रूप से मुझे लगता है कि "घरेलू वातावरण" ऊपर बताए गए संरचनात्मक मुद्दों, जनशक्ति की समस्या, और process से जुड़ी दिक्कतों जैसे कई जटिल कारणों का मेल है, इसलिए इसे अपेक्षा से कहीं अधिक आसानी से हल नहीं किया जा सकता.
   सब लोग इसे जानते हैं, लेकिन लंबे समय से इसमें सुधार नहीं हो पाया है, और आगे भी यह बस एक सिरदर्द बने रहने की संभावना है.
   हाँ, private bug bounty कंपनियाँ बढ़ रही हैं, इसलिए आगे घरेलू bug bounty कंपनियाँ कैसे विकसित होती हैं, इस पर निर्भर करते हुए यह समस्या धीरे-धीरे कम हो सकती है.

2. "स्मार्ट कीबोर्ड सिक्योरिटी प्रोग्राम" सिर्फ़ वित्तीय क्षेत्र की जवाबदेही का मुद्दा नहीं है, बल्कि security vendor बाज़ार की रोज़ी-रोटी का भी मामला है.
   सच कहें तो, देश के बेहतरीन security talent के होते हुए भी, तकनीकी रूप से उत्कृष्ट उत्पाद बना लेने मात्र से उस पर टिककर जीवनयापन कर सकने वाली कंपनियाँ अपेक्षा से बहुत कम हैं.
   जो कंपनियाँ किसी तरह टिककर चल रही हैं, वे अक्सर वही हैं जिन्होंने ऐसे उत्पाद बनाए और उन्हें वित्तीय क्षेत्र में स्थापित किया.
   उन्हें प्रोत्साहित किया जाए या लगातार आलोचना की जाए — सिक्योरिटी के क्षेत्र में होने के नाते, इस पर मेरे मन में भी बहुत मिश्रित विचार आते हैं.

खैर, इसके अलावा भी IT security से जुड़े Blind बोर्डों पर देखें तो संबंधित कर्मचारी या vendor के कर्मचारी आलोचनात्मक पोस्टों पर लगातार "हाहा" जैसी टिप्पणियाँ करते रहते हैं, और यह भी बहुत कुछ सोचने पर मजबूर करता है.

'भेद्यता' पर निशाना साधे जाने के बाद घरेलू सुरक्षा उद्योग का कहना है, "घरेलू वातावरण की समझ की कमी"
http://www.enewstoday.co.kr/news/articleView.html?idxno=1630290

ऐसी बातें सामने आ रही हैं, तो लगता है कि तुरंत सुधार होना मुश्किल होगा। एक उपयोगकर्ता के तौर पर यह थोड़ा चिंताजनक है।

RaonSecure के अनुसार, PC पर बैंकिंग काम करते समय इंस्टॉल किए जाने वाले security programs आपस में जुड़े होते हैं, इसलिए अगर एक security program hacking के ख़तरे में आ भी जाए, तब भी वह (दूसरे programs की मदद से) बचाव कर सकता है. PC पर बैंकिंग काम करते समय इंस्टॉल किए जाने वाले कई security programs अपने-अपने हिस्से की ज़िम्मेदारी बाँटकर hacking threats से रक्षा करते हैं, और यही बैंक की security strategy है, ऐसा उनका कहना है.

स्रोत: eNewsToday(http://www.enewstoday.co.kr)

^ यह सच में बेहद भयानक है.

उम्मीद है कि संबंधित लोग इसे देखकर नीतियों और तकनीक में सुधार करेंगे.. अब सच में बदलना चाहिए।

अंतिम मोड़ पर पहुंची कोरिया की ऑनलाइन सुरक्षा की वास्तविकता