कोरियाई security apps की vulnerabilities उजागर करने वाले Vladimir Palant के इंटरव्यू पर लेख

 (thereadable.co)
15 पॉइंट द्वारा alanthedev 2023-02-14 | 4 टिप्पणियां | WhatsApp पर शेयर करें

Vladimir Palant ने जनवरी में कोरियाई security applications में कई vulnerabilities के खुलासे के संबंध में एक लिखित इंटरव्यू दिया:

  • "Korea Internet & Security Agency की vulnerability analysis team ने The Readable को भेजे एक ईमेल में कहा कि cyber security researcher द्वारा रिपोर्ट किए गए security issues का मूल्यांकन करने के बाद उसने निष्कर्ष निकाला कि वे ऐसे high-risk vulnerabilities नहीं हैं जो गंभीर नुकसान पहुंचा सकती हों."
  • इस मुद्दे की बारीकी से जांच कर रहे Financial Security Institute के एक अधिकारी ने कहा, “हम मानते हैं कि इन vulnerabilities का attackers द्वारा वास्तविक रूप से शोषण किए जाने की संभावना कम है।” “इसके प्रभाव से अलग, यह फिर भी एक vulnerability है जिसे संबोधित किया जाना चाहिए."
  • Palant ने चेतावनी दी, “कुछ अपराधियों द्वारा applications को ढूंढकर उनका दुरुपयोग शुरू करना बस समय की बात है."
  • Palant ने दृढ़ता से कहा, “हम यह अपेक्षा नहीं कर सकते कि कंपनियां नैतिक रूप से व्यवहार करें और सद्भावना से सुरक्षित software बनाएं.” उन्होंने इस बात पर जोर दिया कि महत्वपूर्ण applications में security vulnerabilities की स्वतंत्र researchers द्वारा समीक्षा की जाना महत्वपूर्ण है.

हिंदी अनुवाद: https://github.com/alanleedev/KoreaSecurityApps/…

संबंधित पढ़ाई

4 टिप्पणियां

 
2023-02-15
[यह टिप्पणी छिपाई गई है.]
 
dodok8 2023-02-14

कमज़ोरी साफ़ तौर पर दिख रही है और सब कुछ सार्वजनिक भी है, लेकिन इसका वास्तव में इस्तेमाल होने की संभावना कम है—इसका क्या मतलब है?
 
anonhacker 2023-02-15

"वास्तव में इस्तेमाल होने की संभावना कम है" — KISA के bug bounty सिस्टम में इनाम इतना कम क्यों है, यह पूछने पर अक्सर यही जवाब मिलता है। उनके मानकों के हिसाब से high-risk vulnerability वही मानी जाती है जिसमें memory corruption से arbitrary code execution तक संभव हो, और जिसे exploit किए जाने की संभावना भी अधिक हो।

शायद श्री Palant को foreigner होने की वजह से vulnerability disclosure reward नहीं मिल सकता, लेकिन अगर कोई Korean नागरिक ऐसी security vulnerability KISA को रिपोर्ट करे, तो bug bounty सिस्टम के जरिए उसे पैसे मिल सकते हैं।

तो फिर Korean लोगों को vulnerability report करने पर पैसे भी मिलते हैं (बेशक, ऐसी vulnerability थी यह बात चुपचाप दबा दी जाएगी), फिर इस मुद्दे को किसी foreigner ने सार्वजनिक रूप से लिखने की वजह क्या है (...)
 
tesha001 2023-02-14

हिंदी अनुवाद के लिंक पर जाकर देखा तो वहाँ यह वाक्य था: "इस मामले में, उपयोगकर्ता को बारीकी से तैयार की गई phishing वेबसाइट के ज़रिए फुसलाने जैसी कई पूर्व शर्तें ज़रूरी हैं," इस संबंधित व्यक्ति ने समझाया। "साथ ही, exploit सफलतापूर्वक deploy हो जाने पर भी इसके गंभीर नुकसान तक पहुँचने की संभावना कम है।" इसे देखते हुए

अंदाज़न इसका मतलब कुछ ऐसा लगता है:
'दरवाज़ा तो बंद नहीं है, लेकिन उस दरवाज़े तक पहुँचने का रास्ता बहुत कठिन है'
मुझे नहीं लगता कि यह कोई बहुत अच्छा जवाब है।