...w sensie, że są praktycznie bezużyteczne i bynajmniej nie oferują ochrony przed wrogim oprogramowaniem zainstalowanym na komputerze ofiary. I to wcale nie z powodów opisanych tutaj w typowy dla tego serwisu, sensacyjny sposób. Nieskuteczność tego rozwiązania leży w błędnym przekonaniu, że wrogie oprogramowanie ograniczy się jedynie do przechwycenia klawiatury. To już przeszłość.
Klawiaturki wirtualne są ZŁE!
Keylogger, mouselogger...
W opisywanym we wskazanym artykule scenariuszu wektorem ataku ma być fakt zmieniania się wizualnie klikniętego "klawisza" wirtualnej klawiatury. A co będzie jak się klawisz nie będzie zmieniał? Będzie super? Nie będzie. Dlaczego? Co trzeba zrobić, by wprowadzić znak z klawiatury wirtualnej? Trzeba kliknąć... A trywialny przykład jak napisać "mouse loggera" można znaleźć tutaj.
Jeśli ktoś jeszcze nie zauważył do czego zmierzam:
- można zrobić zrzut ekranu z kursorem myszki,
- można zrobić zrzut ekranu z zapisem położenia kursora myszki,
Wizualna zmiana klikniętego klawisza jest informacją nadmiarową w stosunku do informacji o położeniu kursora w chwili kliknięcia. Klawisz może się nie zmieniać, i tak będzie wiadomo, jaki klawisz został wybrany.
Przeciw czemu są skuteczne klawiatury wirtualne?
Klawiatury wirtualne są skopane koncepcyjnie. Jedyne przed czym w pewnym stopniu chronią, to sprzętowe keyloggery, które jednak dość skutecznie możemy wykluczyć w przypadku ataków na użytkowników bankowości elektronicznej. Swoją drogą zastanawiam się, jakby sprawdzał się sprzętowy "mouselogger" w tym zastosowaniu...
To po co się je implementuje?
...chyba tylko po to, by zdobyć dodatkowe punktu w kolejnych "profesjonalnych" ocenach bezpieczeństwa systemów bankowości elektronicznej. Z drugiej strony w świadomości użytkowników funkcjonuje błędne przekonanie, że wirtualna klawiatura wnosi jakąkolwiek wartość dodaną w walce z wrogim oprogramowaniem.
Zaglądanie przez ramię...
To, czy łatwiej jest podpatrzeć przyciśnięty klawisz na normalnej klawiaturze, czy wybrany na wirtualnej (zaglądając przez ramię) pozostawiam ocenie każdego czytelnika. Moim zdaniem ciężej jest śledzić 10 palców osoby piszącej na klawiaturze, niż jeden kursor myszki...
To co zrobić?
Wielokrotnie powtarzałem, że bezpieczeństwo systemu bankowości elektronicznej składa się z trzech dużych obszarów:
- bezpieczeństwa samego systemu po stronie banku,
- bezpieczeństwa komunikacji,
- bezpieczeństwa klienta (komputera klienta),
Jeśli którykolwiek z tych obszarów zostanie naruszony, nie można zakładać, że system (w domyśle mechanizmy związane z jego bezpieczeństwem) działają poprawnie. Obecnie najczęściej naruszany jest trzeci obszar, czyli bezpieczeństwo komputera klienta. To, co należy robić, to skutecznie edukować użytkowników, że z bankowości elektronicznej należy korzystać tylko z zaufanych komputerów. Inaczej w dalszym ciągu będą wierzyć w cudowne pigułki typu wirtualnych klawiatur...
Do tego zwracam uwagę, że wpis był o klawiaturkach wirtualnych wbudowanych w serwisy bankowości internetowej, a nie o zewnętrznych programach.