Перейти к содержанию
DimaDNK

Поможет ли виртуальная клавиатура от кражи пароля?

Recommended Posts

DimaDNK

Опишу ситуацию. Есть онлайн игра в которой кроме обычного пароля для доступа есть возможность установить дополнительно флэш-пароль.

Краткое описание:

Вы можете ввести дополнительный пароль, запрашиваемый при входе. Вводите обычный пароль, вводитеи подтверждаете флеш-пароль мышкой на предлагаемой клавиатуре-флешке. Порядок кнопок на клавиатуре меняется при каждом обращении - чтобы активный троян, перехватывающий события мыши не мог дать информацию о том какие именно цифры нажимались.

Проверка правильности пароля производится по устойчивому к перехвату сетевого трафика алгоритму, т.е. сам введенный пароль по сети не передается и не может быть похищен. При переходе по любой ссылке вместо ввода второго пароля сессия закрывается, вход в игру считается невыполненным. При 3-х кратном неправильном вводе флеш-пароля сессия закрывается, вход считается невыполненным.

У меня в связи с этим возник вопрос - насколько действительно данный метод является устойчивым к взлому? Или есть все таки способы угнать и такой пароль?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
У меня в связи с этим возник вопрос - насколько действительно данный метод является устойчивым к взлому? Или есть все таки способы угнать и такой пароль?

Метод виртуальных клавиатур используется в большинстве приличных онлайн-банках при авторизации. Точно так же вводишь пароль, потом еще один при помощи виртуальной клавиатуры.

Перехватить такой пароль можно, 100% защиты есть. Если троян будет заточен именно под данную онлайн игру, то все равно пароль уйдет. Самый просто вариант - это снимать скриншоты каждый N секунд после авторизации по первому паролю и пересылать их потом хозяевам трояна. Насколько я слышал, такие вредоносы есть, именно поэтому в виртуальная клавиатура в КИС 2009 защищена от снятия скриншотов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DimaDNK

Сергей, спасибо за ответ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DimaDNK

Возник еще один вопрос. Если подобный троян не известен антивирусу, то он вообще сможет засечь снятие скрина (т.е. само действие) и известить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Зависит от антивируса и его настроек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

DimaDNK

Если эвристика у Антивируса на Защите включена, но может быть и засечёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DimaDNK

Umnik, Андрей

У меня KAV7 - проактивная защита включена. Увидит он подобную активность? ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

DimaDNK

Удалите 7-ку, скачайте 8-ку. Ключ же для 2009-го тот же. И надежды на "ловлю" будет больше.

проактивная защита включена

Кроме этого у обоих KAV'ов эвристика в Защите файлов по умолчанию отключена. Нужно кликнуть опцию, поставить галочку и выбрать режим.

У других защитных программ есть параноидный режим, ЛК видимо посчитали это название нетактичным. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

DimaDNK

Сомневаюсь, что и в 8-ке эмуль это обнаружит. А в KIS 8.0.0.506 очень может быть, т.к. HIPS контролирует снятие скриншотов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Umnik

Значит нужен тест!

DimaDNK

А если поробовать то же самое на другой программе, хотя бы ThreatFire, отрегулировав в настройках степень подозрительности, используя параметр Settings/General/Protection Level.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Возник еще один вопрос. Если подобный троян не известен антивирусу, то он вообще сможет засечь снятие скрина (т.е. само действие) и известить?
А в KIS 8.0.0.506 очень может быть, т.к. HIPS контролирует снятие скриншотов.

Хороший пример обнаружения такого поведения: KIS обнаруживает, как Acrobat Reader фоткает документы pdf при их открытии: http://forum.kaspersky.com/index.php?showtopic=104268

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
как Acrobat Reader фоткает документы pdf

Точнее - скриншоткает всё и вся! :)

А куда прячет, не выяснили?

В своей папке в Documents and Settings\Администратор\Application Data небось...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Точнее - скриншоткает всё и вся! :)

А куда прячет, не выяснили?

Не исключено, что это связано с созданием эскизов для этого документа. Не изучал, где он это сохраняет. Отрубил просто запуск этого модуля раз и навсегда, и всё...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Отрубил просто запуск этого модуля раз и навсегда, и всё...

А я после недавней переустановки системы вообще отказался от Адобного Ридера.

Поставил только StduViewer (см. тут). Двойная выгода.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А я после недавней переустановки системы вообще отказался от Адобного Ридера.

Я бы тоже отказался, но дело в том, что он каким-то странным образом вцепился в мою программу восстановления Norton GoBack - для того, чтобы Reader удалить, надо остановить GoBack (такое сообщение идёт при попытке удаления). Я ещё не выяснил, чем это связано; сам GoBack лицензионный, а Acrobat Reader - бесплатный. Дело ещё в том, что для того, чтобы GoBack остановить надо стереть всю историю (это процесс несколько часов).

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

p2u

А просто поставьте StduViewer. Потом он будет по умолчанию акробатить PDF-ки.

А если когда-нибудь какой-то док заупрямится, то через контекстное меню откроете его АдобеРидером.

И "нехай живе Гобак с Адобаком". История всё стерпит. :)

он каким-то странным образом вцепился в мою программу восстановления Norton GoBack
Жить хочет, падлюка!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DimaDNK

Всем спасибо за ответы )

Андрей-001

8-ка мне не очень понравилась... показался интерфейс немного перегружен и после 7-ки с первого раза трудно найти то чего желаешь )) подробнее не могу вспомнить. стоит на домашнем компе, дома давно не был....

Umnik

Наверно перейду на KIS как лицензия закончится, хотя еще думаю... сейчас Comodo стоит... стоит ли переплачивать....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Б..

А может имеет смысл изучить Макромедия Флеш и узнать всю её подноготную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Точнее - скриншоткает всё и вся! :)

Та жа ситуация с и Инфиумом (КИП который) :) Каспер словил его на этом нехорошем деле. Один из пользователей долго ругался на форуме КИПа, разрабы требовали доказательств, что скриншот куда-то отсылается. Но в том, что КИП таки делает скриншоты они не стали отпираться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Я говорил с разработчиками QIP на этот счет. Все гораздо банальнее. Как и Миранда, КВИП умеет показывать тултипы. Только разработчикам было лень писать аналог нашего мтултипа или япера и они сделали просто: перед показом тултипа снимается та область десктопа, которая будет под ним и изображение ставится в основу. Пользователь видит это как прозрачность, хотя на самом деле хинт не прозрачный.

Это используется не только для тултипов, в разных местах программы. Вот и получилась история про воровство скриншотов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×