...w sensie, że są praktycznie bezużyteczne i bynajmniej nie oferują ochrony przed wrogim oprogramowaniem zainstalowanym na komputerze ofiary. I to wcale nie z powodów opisanych tutaj w typowy dla tego serwisu, sensacyjny sposób. Nieskuteczność tego rozwiązania leży w błędnym przekonaniu, że wrogie oprogramowanie ograniczy się jedynie do przechwycenia klawiatury. To już przeszłość.
Klawiaturki wirtualne są ZŁE!
Keylogger, mouselogger...
W opisywanym we wskazanym artykule scenariuszu wektorem ataku ma być fakt zmieniania się wizualnie klikniętego "klawisza" wirtualnej klawiatury. A co będzie jak się klawisz nie będzie zmieniał? Będzie super? Nie będzie. Dlaczego? Co trzeba zrobić, by wprowadzić znak z klawiatury wirtualnej? Trzeba kliknąć... A trywialny przykład jak napisać "mouse loggera" można znaleźć tutaj.
Jeśli ktoś jeszcze nie zauważył do czego zmierzam:
- można zrobić zrzut ekranu z kursorem myszki,
- można zrobić zrzut ekranu z zapisem położenia kursora myszki,
Wizualna zmiana klikniętego klawisza jest informacją nadmiarową w stosunku do informacji o położeniu kursora w chwili kliknięcia. Klawisz może się nie zmieniać, i tak będzie wiadomo, jaki klawisz został wybrany.
Przeciw czemu są skuteczne klawiatury wirtualne?
Klawiatury wirtualne są skopane koncepcyjnie. Jedyne przed czym w pewnym stopniu chronią, to sprzętowe keyloggery, które jednak dość skutecznie możemy wykluczyć w przypadku ataków na użytkowników bankowości elektronicznej. Swoją drogą zastanawiam się, jakby sprawdzał się sprzętowy "mouselogger" w tym zastosowaniu...
To po co się je implementuje?
...chyba tylko po to, by zdobyć dodatkowe punktu w kolejnych "profesjonalnych" ocenach bezpieczeństwa systemów bankowości elektronicznej. Z drugiej strony w świadomości użytkowników funkcjonuje błędne przekonanie, że wirtualna klawiatura wnosi jakąkolwiek wartość dodaną w walce z wrogim oprogramowaniem.
Zaglądanie przez ramię...
To, czy łatwiej jest podpatrzeć przyciśnięty klawisz na normalnej klawiaturze, czy wybrany na wirtualnej (zaglądając przez ramię) pozostawiam ocenie każdego czytelnika. Moim zdaniem ciężej jest śledzić 10 palców osoby piszącej na klawiaturze, niż jeden kursor myszki...
To co zrobić?
Wielokrotnie powtarzałem, że bezpieczeństwo systemu bankowości elektronicznej składa się z trzech dużych obszarów:
- bezpieczeństwa samego systemu po stronie banku,
- bezpieczeństwa komunikacji,
- bezpieczeństwa klienta (komputera klienta),
Jeśli którykolwiek z tych obszarów zostanie naruszony, nie można zakładać, że system (w domyśle mechanizmy związane z jego bezpieczeństwem) działają poprawnie. Obecnie najczęściej naruszany jest trzeci obszar, czyli bezpieczeństwo komputera klienta. To, co należy robić, to skutecznie edukować użytkowników, że z bankowości elektronicznej należy korzystać tylko z zaufanych komputerów. Inaczej w dalszym ciągu będą wierzyć w cudowne pigułki typu wirtualnych klawiatur...
.
A poważnie - w tym wypadku klawiatura ekranowa nie jest mechanizmem bezpieczeństwa, tylko związana jest z "użytecznością" aplikacji, w dość nietypowym scenariuszu.
Taka mała kontynuacja poprzedniego postu o sensowności stosowania wirtualnej klawiatury.Defence-in-depth W przypadku bezpieczeństwa bardzo istotne jest stosowanie techniki określanej jako defence-in-depth. W skrócie chodzi o to, że nie należy pole
Przesłany: Wrz 20, 20:22
Znów o hasłach, tym razem bardziej pod kątem implementacji mechanizmów uwierzytelniania w aplikacji (głównie w aplikacji internetowej).Zacznijmy może od prostego schematu: Na schemacie tym przedstawione są następujące elementy: klient, który dla apl
Przesłany: Cze 27, 20:36
Postanowiłem jednak dopisać drobne uzupełnienie odnośnie poprzedniego wpisu dotyczącego łamania PassWindow.Po pierwsze z dużą dozą podejrzliwości podchodzę do rozwiązań, które mają być bezpieczne, nawet w przypadku, gdy system klienta został skompromitowa
Przesłany: Wrz 04, 17:00
Przyznam się do czegoś strasznego - nie jestem fanem Tolkiena. Próbowałem kilka razy zmusić się do przeczytania różnych jego książek i... nic. Nie udało mi się dobrnąć do końca. Ale ten cytat (z filmu, więc nie wiem jak wierny) dobrze pasuje mi do tego, o
Przesłany: Maj 06, 07:45
Zamiast wystawiania slajdów (są dostępne tutaj), postanowiłem zrobić mały przegląd swoich starszych wpisów i zebrać je w jednym poście. Dzięki temu jeśli ktoś jest zainteresowany tematem, będzie mógł poczytać trochę więcej, niż z suchych slajdów.Ataki cel
Przesłany: Paź 05, 07:32
Zacznę od stwierdzenia, które powtarzam tak często, jak tylko mam okazję. Bezpieczeństwo nie jest celem samym w sobie, bezpieczeństwo musi czemuś służyć. To "coś" to niekoniecznie jest dobre samopoczucie bezpieczników. Celem aplikacji jest realizowanie je
Przesłany: Kwi 13, 21:28