Перейти к содержанию
DimaDNK

Поможет ли виртуальная клавиатура от кражи пароля?

Recommended Posts

DimaDNK

Опишу ситуацию. Есть онлайн игра в которой кроме обычного пароля для доступа есть возможность установить дополнительно флэш-пароль.

Краткое описание:

Вы можете ввести дополнительный пароль, запрашиваемый при входе. Вводите обычный пароль, вводитеи подтверждаете флеш-пароль мышкой на предлагаемой клавиатуре-флешке. Порядок кнопок на клавиатуре меняется при каждом обращении - чтобы активный троян, перехватывающий события мыши не мог дать информацию о том какие именно цифры нажимались.

Проверка правильности пароля производится по устойчивому к перехвату сетевого трафика алгоритму, т.е. сам введенный пароль по сети не передается и не может быть похищен. При переходе по любой ссылке вместо ввода второго пароля сессия закрывается, вход в игру считается невыполненным. При 3-х кратном неправильном вводе флеш-пароля сессия закрывается, вход считается невыполненным.

У меня в связи с этим возник вопрос - насколько действительно данный метод является устойчивым к взлому? Или есть все таки способы угнать и такой пароль?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
У меня в связи с этим возник вопрос - насколько действительно данный метод является устойчивым к взлому? Или есть все таки способы угнать и такой пароль?

Метод виртуальных клавиатур используется в большинстве приличных онлайн-банках при авторизации. Точно так же вводишь пароль, потом еще один при помощи виртуальной клавиатуры.

Перехватить такой пароль можно, 100% защиты есть. Если троян будет заточен именно под данную онлайн игру, то все равно пароль уйдет. Самый просто вариант - это снимать скриншоты каждый N секунд после авторизации по первому паролю и пересылать их потом хозяевам трояна. Насколько я слышал, такие вредоносы есть, именно поэтому в виртуальная клавиатура в КИС 2009 защищена от снятия скриншотов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DimaDNK

Сергей, спасибо за ответ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DimaDNK

Возник еще один вопрос. Если подобный троян не известен антивирусу, то он вообще сможет засечь снятие скрина (т.е. само действие) и известить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Зависит от антивируса и его настроек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

DimaDNK

Если эвристика у Антивируса на Защите включена, но может быть и засечёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DimaDNK

Umnik, Андрей

У меня KAV7 - проактивная защита включена. Увидит он подобную активность? ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

DimaDNK

Удалите 7-ку, скачайте 8-ку. Ключ же для 2009-го тот же. И надежды на "ловлю" будет больше.

проактивная защита включена

Кроме этого у обоих KAV'ов эвристика в Защите файлов по умолчанию отключена. Нужно кликнуть опцию, поставить галочку и выбрать режим.

У других защитных программ есть параноидный режим, ЛК видимо посчитали это название нетактичным. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

DimaDNK

Сомневаюсь, что и в 8-ке эмуль это обнаружит. А в KIS 8.0.0.506 очень может быть, т.к. HIPS контролирует снятие скриншотов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Umnik

Значит нужен тест!

DimaDNK

А если поробовать то же самое на другой программе, хотя бы ThreatFire, отрегулировав в настройках степень подозрительности, используя параметр Settings/General/Protection Level.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Возник еще один вопрос. Если подобный троян не известен антивирусу, то он вообще сможет засечь снятие скрина (т.е. само действие) и известить?
А в KIS 8.0.0.506 очень может быть, т.к. HIPS контролирует снятие скриншотов.

Хороший пример обнаружения такого поведения: KIS обнаруживает, как Acrobat Reader фоткает документы pdf при их открытии: http://forum.kaspersky.com/index.php?showtopic=104268

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
как Acrobat Reader фоткает документы pdf

Точнее - скриншоткает всё и вся! :)

А куда прячет, не выяснили?

В своей папке в Documents and Settings\Администратор\Application Data небось...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Точнее - скриншоткает всё и вся! :)

А куда прячет, не выяснили?

Не исключено, что это связано с созданием эскизов для этого документа. Не изучал, где он это сохраняет. Отрубил просто запуск этого модуля раз и навсегда, и всё...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Отрубил просто запуск этого модуля раз и навсегда, и всё...

А я после недавней переустановки системы вообще отказался от Адобного Ридера.

Поставил только StduViewer (см. тут). Двойная выгода.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А я после недавней переустановки системы вообще отказался от Адобного Ридера.

Я бы тоже отказался, но дело в том, что он каким-то странным образом вцепился в мою программу восстановления Norton GoBack - для того, чтобы Reader удалить, надо остановить GoBack (такое сообщение идёт при попытке удаления). Я ещё не выяснил, чем это связано; сам GoBack лицензионный, а Acrobat Reader - бесплатный. Дело ещё в том, что для того, чтобы GoBack остановить надо стереть всю историю (это процесс несколько часов).

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

p2u

А просто поставьте StduViewer. Потом он будет по умолчанию акробатить PDF-ки.

А если когда-нибудь какой-то док заупрямится, то через контекстное меню откроете его АдобеРидером.

И "нехай живе Гобак с Адобаком". История всё стерпит. :)

он каким-то странным образом вцепился в мою программу восстановления Norton GoBack
Жить хочет, падлюка!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DimaDNK

Всем спасибо за ответы )

Андрей-001

8-ка мне не очень понравилась... показался интерфейс немного перегружен и после 7-ки с первого раза трудно найти то чего желаешь )) подробнее не могу вспомнить. стоит на домашнем компе, дома давно не был....

Umnik

Наверно перейду на KIS как лицензия закончится, хотя еще думаю... сейчас Comodo стоит... стоит ли переплачивать....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Б..

А может имеет смысл изучить Макромедия Флеш и узнать всю её подноготную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Точнее - скриншоткает всё и вся! :)

Та жа ситуация с и Инфиумом (КИП который) :) Каспер словил его на этом нехорошем деле. Один из пользователей долго ругался на форуме КИПа, разрабы требовали доказательств, что скриншот куда-то отсылается. Но в том, что КИП таки делает скриншоты они не стали отпираться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Я говорил с разработчиками QIP на этот счет. Все гораздо банальнее. Как и Миранда, КВИП умеет показывать тултипы. Только разработчикам было лень писать аналог нашего мтултипа или япера и они сделали просто: перед показом тултипа снимается та область десктопа, которая будет под ним и изображение ставится в основу. Пользователь видит это как прозрачность, хотя на самом деле хинт не прозрачный.

Это используется не только для тултипов, в разных местах программы. Вот и получилась история про воровство скриншотов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      содержимое ключа нужно, без него не починить.
    • PR55.RP55
      Windows 10 Pro x64 (NT v10.0 SP0) build 15063  [C:\WINDOWS] ----------------------- Полное имя                  {6\[CLSID]
      Имя файла                   [CLSID]
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{60BD49A6-240E-48ef-8D73-AC8244BE1D85}\CLSID
      ------------------------ Полное имя                  {E\[CLSID]
      Имя файла                   [CLSID]
      Тек. статус                 в автозапуске
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
                                  
      Ссылки на объект            
      Ссылка                      HKLM\Software\Classes\Wow6432Node\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{EAC2F030-5937-414C-9B7A-6B57F7C072E8}\CLSID ------------------------ Тема\образ. http://www.tehnari.ru/f35/t262097/
    • Draft
      подниму темку, актуально!
    • СФГ
      Добрый день! Рекомендуем металлические силовые опоры СФГ от производителя компании "ШОССЕ". Осуществляют доставку и установку всех типов многогранных дорожных опор: ОГС, СФГ, ОГК, НПК, НФГ, СПГ, ОГСГ, СОДГ, ОСФГ  На силовые опоры СФГ 400 9 метров действует спец цена Опоры СФГ 100 силовые длиной 10 метров - выгодная цена. Установка и продажа опор СФГ 1300 из наличия на складе + фундаменты для опор Компания "ШОССЕ" - все виды дорожных опор по лучшим ценам!
    • Ego Dekker
      Антивирусы были обновлены до версии 12.0.31.
×