DimaDNK

Поможет ли виртуальная клавиатура от кражи пароля?

В этой теме 20 сообщений

Опишу ситуацию. Есть онлайн игра в которой кроме обычного пароля для доступа есть возможность установить дополнительно флэш-пароль.

Краткое описание:

Вы можете ввести дополнительный пароль, запрашиваемый при входе. Вводите обычный пароль, вводитеи подтверждаете флеш-пароль мышкой на предлагаемой клавиатуре-флешке. Порядок кнопок на клавиатуре меняется при каждом обращении - чтобы активный троян, перехватывающий события мыши не мог дать информацию о том какие именно цифры нажимались.

Проверка правильности пароля производится по устойчивому к перехвату сетевого трафика алгоритму, т.е. сам введенный пароль по сети не передается и не может быть похищен. При переходе по любой ссылке вместо ввода второго пароля сессия закрывается, вход в игру считается невыполненным. При 3-х кратном неправильном вводе флеш-пароля сессия закрывается, вход считается невыполненным.

У меня в связи с этим возник вопрос - насколько действительно данный метод является устойчивым к взлому? Или есть все таки способы угнать и такой пароль?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У меня в связи с этим возник вопрос - насколько действительно данный метод является устойчивым к взлому? Или есть все таки способы угнать и такой пароль?

Метод виртуальных клавиатур используется в большинстве приличных онлайн-банках при авторизации. Точно так же вводишь пароль, потом еще один при помощи виртуальной клавиатуры.

Перехватить такой пароль можно, 100% защиты есть. Если троян будет заточен именно под данную онлайн игру, то все равно пароль уйдет. Самый просто вариант - это снимать скриншоты каждый N секунд после авторизации по первому паролю и пересылать их потом хозяевам трояна. Насколько я слышал, такие вредоносы есть, именно поэтому в виртуальная клавиатура в КИС 2009 защищена от снятия скриншотов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Возник еще один вопрос. Если подобный троян не известен антивирусу, то он вообще сможет засечь снятие скрина (т.е. само действие) и известить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Зависит от антивируса и его настроек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

DimaDNK

Если эвристика у Антивируса на Защите включена, но может быть и засечёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Umnik, Андрей

У меня KAV7 - проактивная защита включена. Увидит он подобную активность? ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

DimaDNK

Удалите 7-ку, скачайте 8-ку. Ключ же для 2009-го тот же. И надежды на "ловлю" будет больше.

проактивная защита включена

Кроме этого у обоих KAV'ов эвристика в Защите файлов по умолчанию отключена. Нужно кликнуть опцию, поставить галочку и выбрать режим.

У других защитных программ есть параноидный режим, ЛК видимо посчитали это название нетактичным. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

DimaDNK

Сомневаюсь, что и в 8-ке эмуль это обнаружит. А в KIS 8.0.0.506 очень может быть, т.к. HIPS контролирует снятие скриншотов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Umnik

Значит нужен тест!

DimaDNK

А если поробовать то же самое на другой программе, хотя бы ThreatFire, отрегулировав в настройках степень подозрительности, используя параметр Settings/General/Protection Level.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Возник еще один вопрос. Если подобный троян не известен антивирусу, то он вообще сможет засечь снятие скрина (т.е. само действие) и известить?
А в KIS 8.0.0.506 очень может быть, т.к. HIPS контролирует снятие скриншотов.

Хороший пример обнаружения такого поведения: KIS обнаруживает, как Acrobat Reader фоткает документы pdf при их открытии: http://forum.kaspersky.com/index.php?showtopic=104268

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
как Acrobat Reader фоткает документы pdf

Точнее - скриншоткает всё и вся! :)

А куда прячет, не выяснили?

В своей папке в Documents and Settings\Администратор\Application Data небось...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Точнее - скриншоткает всё и вся! :)

А куда прячет, не выяснили?

Не исключено, что это связано с созданием эскизов для этого документа. Не изучал, где он это сохраняет. Отрубил просто запуск этого модуля раз и навсегда, и всё...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Отрубил просто запуск этого модуля раз и навсегда, и всё...

А я после недавней переустановки системы вообще отказался от Адобного Ридера.

Поставил только StduViewer (см. тут). Двойная выгода.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А я после недавней переустановки системы вообще отказался от Адобного Ридера.

Я бы тоже отказался, но дело в том, что он каким-то странным образом вцепился в мою программу восстановления Norton GoBack - для того, чтобы Reader удалить, надо остановить GoBack (такое сообщение идёт при попытке удаления). Я ещё не выяснил, чем это связано; сам GoBack лицензионный, а Acrobat Reader - бесплатный. Дело ещё в том, что для того, чтобы GoBack остановить надо стереть всю историю (это процесс несколько часов).

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

p2u

А просто поставьте StduViewer. Потом он будет по умолчанию акробатить PDF-ки.

А если когда-нибудь какой-то док заупрямится, то через контекстное меню откроете его АдобеРидером.

И "нехай живе Гобак с Адобаком". История всё стерпит. :)

он каким-то странным образом вцепился в мою программу восстановления Norton GoBack
Жить хочет, падлюка!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всем спасибо за ответы )

Андрей-001

8-ка мне не очень понравилась... показался интерфейс немного перегружен и после 7-ки с первого раза трудно найти то чего желаешь )) подробнее не могу вспомнить. стоит на домашнем компе, дома давно не был....

Umnik

Наверно перейду на KIS как лицензия закончится, хотя еще думаю... сейчас Comodo стоит... стоит ли переплачивать....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А может имеет смысл изучить Макромедия Флеш и узнать всю её подноготную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Точнее - скриншоткает всё и вся! :)

Та жа ситуация с и Инфиумом (КИП который) :) Каспер словил его на этом нехорошем деле. Один из пользователей долго ругался на форуме КИПа, разрабы требовали доказательств, что скриншот куда-то отсылается. Но в том, что КИП таки делает скриншоты они не стали отпираться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я говорил с разработчиками QIP на этот счет. Все гораздо банальнее. Как и Миранда, КВИП умеет показывать тултипы. Только разработчикам было лень писать аналог нашего мтултипа или япера и они сделали просто: перед показом тултипа снимается та область десктопа, которая будет под ним и изображение ставится в основу. Пользователь видит это как прозрачность, хотя на самом деле хинт не прозрачный.

Это используется не только для тултипов, в разных местах программы. Вот и получилась история про воровство скриншотов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS