Názory k článku
Ako oklamať keylogger

Zajimavy pohled na vec. Skoda jen, ze to asi nevysvetlim me mamce ;)
Dik za par tipu, az budu nekde na dovolene, urcite pouziju!

Napadla mě ochrana proti lidem čumícím na monitor při psaní důležitých věcí: dát nad pole se zadávaným textem nějaké always-on-top okno a psát pod ním :-)

vetsinou staci zacit psat neco jako "ten clovek co mi cumi na monitor je fakt divny, ano TY, nerozhlizej se jak pitomec!"

Ve Widlich je take moznost "on top"? Ptam se, protoze v kavarne, kam chodim jsou XPcka.

nj linuxar - si myslis ze jste objevili kolo a Microsoft ne ze - jinak jedno z typickych always-on-top oken je treba panel s nabidkou Start.

no jo, woknar, aky je skuseny (inak jednoduchsie sa robi s oknom task managera co je tiez al.on.top), ale mohol si tiez napisat ze si tam nenastavis takto lubovolne okno lebo standardna lista neposkytuje tuto volbu pre uzivatela co je aspon podla mna velka chyba

a v linuxu si snad muzes dat libovolne okno misto "start" nabidky?

tim "on top" neni mysleno "jako start nabidka" ale "stale nad vsemi", a to v tuxu mohu udelat s jakymkoli oknem i prez to, ze to dana aplikace neumoznuje (nema napriklad takovou volbu), takze si mohu napriklad okno prohlizece podrzet nad ostatnimi a pak ho jednim klikem opet udelat "normalni" :)

nevim zda je neco podobneho ve windows mozne, neznam je...

v moznostech okna to neni - ale pomoci API FindWindow, SetWindowPos to jde ;) - utilitka na par radku -> kazde okno muze byt on-top

a naopak nabidka start on-top byt standardne nemusi ;)

Se STARTem bych to asi nezkousel. Jestli se nepletu, tak si pri otevreni prevezme focus, takze tezko budu psat do okna pod nim..

Jenomze můžeš to okno s choulostivými informacemi pod ní jednoduše zastrčit. A focus mu pořád zůstane. A tahle metoda je navyše multiplatformní (tedy... téměř. Pod windows musíš mít to okno nemaximalizované, jinak s ním nepohneš, v tuxovi to jde i s maximalizovaným).

a o tom to je, ve windows je to utilitka na par radku v tuxu uz to proste funguje ;)

ne nebojte, nepochybuju, ze to funguje i naopak... ve windows to funguje v tuxu to je na par radku :-D

nevim, nemam potrebu mit on-top okna, tak asi proto mi to nechybi - jinak dodat si to treba i primo do right-click nabidky taky neni problem - takze pokud te to opravdu trapi, prosim

ale vetsinou okna u kterych je lepsi kdyz jsou on-top jsou on-top automaticky - generator validacnich klicu pro MS download napr.

Jenze tvurce programu nikdy nevi, na co mi bude, aby prave jeho program byl furt on top. Takze je lepsi, kdyz to osetri okenni manager a rozhodnu o tom ja, jak se mi zrovna libi.

To vypada prakticky. To si vezmu do kavarny disketu s utilitkou a nastavim si okno furt nahore. Musim na to pozadat spravce kavarny o adminske heslo? :-)

NWM NWM NWM NWM

Ano.

Pokud vím, tak video přehrávače to umí. O mplyeru je to známé, ale možná i ta microsoftí blbost to bude umět.

A nebylo by lepší prostě okno posunout dolů, aby byl vidět jen titulkový pruh...

:-) (thumbs up)

imho staci to okno proste zasunout za okraj obrazovky, napsat co je treba a zase vytahnout. tohle se da udelat asi pod kazdym grafickym prostredim

(prvni)

Jeste by to chtelo nejakou metodu obrany proti nahravani cele sessiony VNCckem :)

proc proste nenapises toho hesla jen cast a pak nedas copy&paste a nenakopirujes tam jednotlive znaky nebo jejich skupiny z notepadu nebo z www prohlizece?

Proti keyloggeru to možná fungovat bude. Ale když bude útočník chytřejší a místo keyloggeru nabourá WinAPI nebo jinou knihovnu zpracovávající textová pole s hesly, stejně dostane heslo na stříbrném podnosu.

Efektivnější mi připadá nepoužívat klávesnici vůbec a heslo si nechat do políček zapsat přímo JavaScriptem (např. ve formě bookmarkletu).

Podrobně zde: http://www.dgx.cz/trine/item/jak-neustale-ne-vymyslet-originalni-hesla

a to snad nekde i podporuji?

Celkem jo. Všechny banky s autentizací pomocí SMS nebo kalkulátoru a do Linuxu to taky není těžké nainstalovat. Popravdě jsem se těšil právě na tady ta jednorázová hesla a jak naučit ssh s nimi spolupracovat, ale není v šem dnům konec a třeba bude i pokračování. :)

Jednorázová hesla jsem používal již před více než 10 lety s libopie. Spousta balíčku má pro něj podporu.

Problem je jak OTP vygenerovat na compu kterymu neveris. OTP je fajn ochrana proti odposlouchavani plaintextovych hesel na siti, ale ne jako ochrana pred keyloggerem.

Preco??? ak mas vygenerovane heslo raz, moze ti ho keyloger zaznamenat a aj tak sa utocnikovy nepodari naburat sa do tvojej dajme tomu emailovej schranky niekde v robote na servri, ked uz to heslo nebude platne....

OPIE aplikace umožňovaly dva způsoby autorizace:

Když aplikace přímo podporuje OPIE, pak se zadává klíčová fráze (a aplikace sama vytvoří jednorázové heslo) nebo přímo jednorázové heslo. Pokud nepodporuje, pak funguje pouze jednorázové heslo.

Generátor OPIE hesel vždy vygeneroval klíčenku s předem daným počtem jednorázových hesel označených pořadovým číslem. Takže nebyl problém si hesla vytisknout. Pokud jste vypotřebovali všechna hesla a neobnovili jste klíčenku, účet se zablokoval (rizikové zejména u fetchmail s podporou OPIE s pravidelným testem a bez permanentního spojení).

Aplikace však musí podporovat alespoň zobrazení dotazu. Pokud nepodporuje ani to, existuje jednoduchá oklika: Spustíte telnet a připojíte se k počítači. V telnetu uvidíte číslo fráze a skončíte. Protože jste vůbec žádné heslo nezadali, použije OPIE to heslo při následujícím přihlášení, třeba k mailu.

Tímto způsobem se lze i z kavárny přihlásit bez obav s keyloggeru.

Ovšem jednorázová hesla nezabrání útoku man-in-the-middle.

boha. Lidi, kdy uz konecne pochopite, ze slovo 'nejidealnejsi' neexistuje a nema vyznam? Jestli je to ve slovenstine trosku jinak, tak se omlouvam, ale podle me je to ptakovina ;)

Aha. Takze idealni(=100%) vec neexistuje a nejidealnejsi je ten nejlepsi z idealnich(=100%^2 ?). Panove, smirte se s tim, ale 'nejidealnejsi', 'nejzlatelsi 'a 'nejoptimalnejsi' v cestine proste neexistuje.

A Vy se smirte s tim, ze cestina neni mrtvy jazyk. http://www.ujc.cas.cz/poradna/odpo.html#nejoptim

Nejde o to, že by nejideálnější znamenalo více jak 100%. Jde o to, že ideálních = 100% řešení může být více a to rovnocenných. Pokud si z toho jedno vyberu tak bude prostě nejideálnější z mého subjektivního hlediska, přestože technicky pro mě ideálních (100% vhodných) bude několik.

P.S. A vůbec je to nesmyslné se hádat o logiku v jazyce, kde dva zápory (např. nemám nic) znamenají zápor! Takový jazyk žádnou logiku nemá.

To si ale nevybirate nejidealnejsi reseni, ale to, ktere subjektivne vnimate jako nejlepsi. A nejidealnejsi je nesmysl. Neni to ceske slovo a stupnovat je po ceskem zpusobu je take nesmysl. Slovo idealni je jiz samo o sobe superlativem. Nejidealnejsi je stejna blbost, jako byste chtel rikat nejnejlepsi.

Předně: od člověka, který napíše ,slovo je superlativem` namísto ,slovo je superlativ`, se rozhodně nenechejte poučovat o češtině (doporučuji někde si najít, jaký je mezi prvním a sedmým pádem v takovém případě rozdíl).

Dále, ideální není superlativ. To si pletete s optimální, což je superlativ latinský, a pro argumentaci o češtině tedy irelevantní.

Pak tu máme pseudoargument, že slovo již vyjadřuje maximální možnou míru dané vlastnosti. Nu což, to vyjadřují kupříkladu i přesný či spravedlivý. Běžně je stupňujeme. Proč asi? Protože nechceme při srovávání používat na hlavu padlé dvojité zápory: méně nepřesný, méně nespravedlivý -- a méně vzdálený od ideálu.

pochopime to hned ako si zmenime obcianstvo na CR a zacneme "mluvit a psat cesky". :-) (PLZ no CR/SK flames, brothers) v slovencine naozaj slovo "najidealnejsie" existuje. a ten prispevok bol tusim v slovencine. :-)

V tom pripade se znovu omlouvam. Ale objevuje se to v diskuzich stale (a hlavne tady). Uz jsem to nevydrzel a byl jste 'na rane';)
Ale .. jak jsem predpokladal .. chytil se i Cech >:)

Jojoii asi nedaval pozor na hodinach slovenciny resp. mal nakvalifikovaneho lektora, lebo v slovencine slovo "najidealnejsie" neexistuje. Dovod uz tu bol spominany: raz ked je nieco idealne, tak je to dokonale, preto neexistuje nic co by mohlo byt idealnejsie, toboz najidealnejsie. Takto je to v oficialnom jazyku. Je pravda, ze v hovorovej reci sa skutocne vyrazy idealnejsie a najidealnejsie pouzivaju a kazdy chape, co tym chcel basnik povedat, ale nie je to spisovna slovencina, je to nieco ako slang.

Ucite: Kolikrat vam mam vysvetlovat, ze neni vetsi nebo mensi polovina. Poloviny jsou vzdycky stejne, jinak by to nebyly poloviny. To je ale proto, ze vetsi polovina z vas nikdy neposloucha vyklad.

Větší a menší polovina existuje. Ale o tom snad ten článek nebyl.

A jeeeje. Zase jeden.

Ve vasi striktni logice chybi resp. prehlizite podstatne veci, jako napr. pravidla CJ.

Take neuznavate a nepouzivate napr. dvoji zapor? To musite mit dost vazny komunikacni problem.

Uznavam a pouzivam, protoze to pravidlum CJ neodporuje. Ale pravda je, ze jelikoz to dnes a denne generuje nedorozumneni, snazim se mu vyhnout (je-li to jednoduche a nenasilne - tzn. existuje-li rozumne ekvivalentni vyjadreni).

Myslel jste nejekvivalentnejsi, ne? :)

No samozrejme. Nejrovnejsi mezi rovnymi ;))

Do schránky se provádí ukládání znaků v mapě znaků už během klikání. Nejlepší by bylo udělat si jednoduchou aplikaci na klikání znaků, ty pak označit a do cílového pole myší přetáhnout. Do schránky se v té chvíli neukládají a útočník těžko bude znát rozložení znaků ve vaší aplikaci, kteréžto se může při každém spuštění generovat náhodně.

Jen mě ještě napadlo, že když to klikáte na cizím kompu (asi nejčastější případ, kdy se obávat keyloggeru), nebudete přítomna uvedená aplikace. Nezbývalo by tedy než si ji nosit na flashce nebo tu aplikaci udělat na webu třeba jako applet.

... to byste samozřejmě ale tomu appletu museli věřit, že to neposílá, bůh ví kam :) Tak asi jen ta flashka připadá v úvahu.

Kdyz to bude jeho applet, tak to nikam posilat nebude :)

Mozno by sa dala pouzit softverova klavesnica. Windows jednu maju: C:\WINDOWS\system32\osk.exe

Taky me napadlo tohle reseni, jen si nejsem jisty jestli ten program nesimuluje klavesnici az do takove miry, ze to zachyti i keylogger.

Jiste zajimave, pripada mi to ale az moc slozite (paranoidni), to uz si radsi dojdu domu/hotelu etc... a pouziju vlasni PC/notebook...
Vstup do banky by mel byt chranen kalkulatorem nebo vstupem s mobilnim klicem, takze pripadne odposlechnuti kodu by zase nemelo az tak vadit a pokud jde o karty, tak to uz by je potom clovek nemohl dat ani prodavaci v obchode nebo vrchnimu v restauraci...

Kdyz uz, tak by si clovek mohl neustale tahat nejakou ctecku otisku prstu, kterou by treba vrazil do USB a pomoci toho se prihlasil vsude, kde je tato metoda podporovana (banka, e-mail, etc). Bohuzel asi nic takoveho zatim neexistuje.

A co na cizim pocitaci zabrani "fingerlogeru" odposlechnuti vaseho digitalniho "otisku" prstu? Pak budete mit slusny problem, protoze prst si nezmenite tak snadno jako heslo ;-)

Mame jich snad 10 ne?
Ale vazne, to uz muzeme na internet c@fe rovnou zapomenout, protoze si nemuzeme byt nikdy na cizim PC 100% jisti... Ne ze by si clovek mohl byt 100% jisty na svem vlastnim... To uz nam skutecne zbyva jen jednorazove heslo nebo nejaka forma kalkulatoru/mobilniho klice...

A v pripade nouze i 10 zaloznich, ze :-)

Osobne, pri manipulaci s penezi urcite rad na internet c@fe zapomenu a radsi si v pripade takove nouze abych musel honem, honem neco s penezi delat, zajdu primo do banky.

A na svem PC jo?

To je ale <|> na e-tou. To zadávání trochu chybného hesla s následnou opravou je geniální magořina, jak balamutit uživatele, že je v bezpečí. Ve skutečnosti případný keylogger dostane vymezenou skupinu znaků a otestovat těch pár kombinací, které zbudou na výměnu, není problém, neb se dá solehlivě předpokládat, že ani paranoidní uživatel nebude vyměňovat a přepisovat víc než 2 nejvíce 3 znaky - kvůli času a úsilí, které na to musí vynaložit...
Ach ROOT.cz, držet alespoň nějakou laťku úrovně by opravdu neškodilo....

Ja zrovna premyslim, jakymi cestami se ten clanek z bulvarniho Zive dostal sem na Roota...Jak je videt, sesup pokracuje. Nebyt clanku o JPEG, ktery byl vyborny, uz neni duvod sem ani nakouknout...

A co tak pouzit na to live CD linuxu??? Pokial viem, tak v slusnejsich kaviarnach Vam dovolia pustit si live cd linuxu. Tam mate istotu, ze keyloger nebude... a nastavenia siete v kaviarnach sa vecsinou robia cez dhcp... komu by sa chcelo kazdy polrok (aspon taku periodu cistenia maju v nasej kaviarni) babrat s nastavovanim IP?

a co hw keylogger?

chce to mit vlastni usb klavesnici. Mam takovou malinkou kalkulacku, co se da pouzit jako numericka klavesnice, tak aspon ciselna cast hesla se s ni da napsat.

Tak ak by niekto v kaviarni pouzival HW keyloger, tak by riskoval ze by onho prisiel alebo by si ho vymakla obsluha jak ho vybera(ak by sa o nom uz vedelo)... napr pri cisteni, alebo ak by niekto povedal obsluhe "nejde mi klavesnica tak by to obsluha zistila ze tam je nieco co tam nepatri... Ale je celkom mozne ze by tam bol uspesne a vtedy by fakt ani to live distro stratilo na spolahlivosti...

A co ak HW keylogger nainstalovala obsluha?

Kedysi som v istej kaviarni prisiel, videl ikonku beziaceho VNC servera, spytal som sa obsluhy ci to oni nainstalovali a ak ano co to ma znamenat, dostal som odpoved ze je to nainstalovane kvoli bezpecnosti - na moju otazku kvoli bezpecnosti KOHO uz nedokazal odpovedat, ze on s tym nic nema, ze to administrator instaloval...

A co kdyz pocitac v kavarne bude jen kamuflovat reboot a ve skutecnosti pobezi jen nejaky vmware, ktery ty klavesy bude porad odchytavat ?

a co když máš v hlavě švába, který sleduje, na jaké heslo při jeho zadávání myslíš ?

Jůůůů, nezapomeňte, bílý králík vás vidí!!! :-)

to ze som paranoidny neznamena ze ma nesleduju :P

Myslim, ze to uz je pravdepodobnejsi ten HW keylogger. Jinak, dobra metoda v takovem pripade je nainstalovat si v tom live distru nejakou vlastni klavesnici - protoze wmvare keylogger dokaze cist pouze scancodes, nikoliv psane znaky.

S prepinanim se mi to moc libilo, ale... Nemyslim si, ze by to bylo az tak moc fcni, z jednoho prosteho duvodu. Okna maji sve dane poradi v dany okamzik v Z ose. Pokud bych se prepl 'alt+tab' jinam, zmenim top/top-1. Dalsi ALT+TAB mne prepne zpet. Cili, musel bych mackat tu kombinaci nekolikrat (nahodne) a vzdy je velcie jednoduse odvoditelne, kde jsem. Jedine co neni zname, je pocet oken. To ale zase neni tak neprekonatelna prekazka, kdyz je jedna neznama :) Navic, pokud heslo potvrdim entrem na koncim, pak neni ani pocet oken neznamy... To co by mohlo vic zamotat chudakovi palici je ruzne fce jako minimalizovat vse, nebo jak se psalo nekde dal, prepinat se nahodne pomoci krysy...

Ja o osobne resim pripavenym fajlikem 'new_pwd' a malim sh skriptem, kterej pustim kdyz uz se clovek musi nekde od takoveto prisernosti zalogovat. Blby je, ze kdyz si clovek na svoje al J7*$fApoZ! krasny heslo zvykne, tak o nej nerad prichazi (: Kolegovy uz se ale stalo, ze i prez tohle mu nekdo malem kompromitoval server. Proste mu unesl (po widlema) screen se vsim :) Po zalogovani mu prestala fungovat mys/klavesnice a jen tupe pul minuty ziral, co se tam ten typek s tim snazi delat. Ocividne robot - ale slusne chytrej. Pak to odnesl vytrzeny sitovy kabel a nadavani na usery/MS :)

R.

chcete se bezpecne prihlasit? - noste si certifikat na flasce

Obavam sa ze ani to by Vam v pripade pocitaca na ktorom je mozne spustit keylogger nepomohlo. Ak dokazete spustit keylogger mozno totiz predpokladat ze dokazete spustit prakticky cokolvek teda lahko moze byt kompromitovany Vas sukromny kluc ktory pouzivate pri prihlaseni, je sice pravda ze je to o cosi tazsie ale v ziadnom pripadne nemozne.

naivko ...

1) vetsina verejne pristunych compu ma usb a cd/dvd/floppy mechaniky odpojene
2) kdyz je nema odpojene ma je sledovane na viry, trojany atd
3) neni problem zaridit automatickou akci "zkopirovani flasdisku"

fakt neni rozdil mezi certifikatem na cd/dvd/floppy/flash , akorat ta flaska je asi nejlip prenosna. I kdyz vizitkove cd v dokladech se mi zda prenosnejsi ;)

jeste dodam - jediny klic ktery se mi zda zatimn pred "standartnimi" nastroji bezpecny je hw klic (token). Rozmery stejne jako normalni flashka, obsahuje 8 bit cpu, klice o delce 1024/2048 kb , a co je podstatne - soukromy klic nikdy neopousti hw klic(token).

nechcem rypat, ale ked uz sa bojis toho keylogera, tak by si sa mal bat akehokolvek sw nainstalovaneho na tom pc. aku mas zaruku, ze tam nie je nainstalovana vec, ktora miesto toho aby poslala klucu na zasifrovanie data potrebne na prihlasenie, mu posle data na bankovy prevod? mas pravdu: kluc nikdy neopusti token, ale aj ten token je zavisli na tom, co mu posle obsluzna aplikacia na zasifrovanie. v podstate si aj v pripade tokenu zavisli na tom ci nie je zelezo do ktoreho ten token strcis skompromitovane. NIKDY nepouzivat tokeny v nedoveryhodnom prostredi. X509 v tom pripade opat raz straca zmysel.

To nechapu.. HW klice jsou postavene tak, aby behem relativne kratke doby nesla prozkoumat podstatna podmnozina ze vstupnich retezcu..

oprav ma ak sa mylim, ale v konecnom dosledku je to OBYCAJNA aplikacia (povedzme browser) ktora posle data na zasifrovanie/podpisanie. to ze na to vyuziva rozne Crypto API. Co aj je tam nejaky blby zakerny kod, ktory infiltroval logiku browsra a miesto TVOJICH dat poslal tokenu VLASTNE data. Cesta akou to uz potom prejde, nie je podstatna, ked hned na zaciatnu sa poslali modifikovane data. Pointa ktoru som nacrtol je, ze mas 3 "autonomne" role: clovek, pocitac a token. Clovek nieco povie pocitacu. Pocitac posle data tokenu. Token zasifruje a posle spat PC. Ale co ak si pocitac povie ze "nebude posluchat cloveka" a posle si co on bude chciet? Ber to tak, ze ak je to PC kompromitovane, de facto moze robit co chce(co mu kompromitovany kod prikaze) a na svoje interfaces posielat tiez co chce. Na obrazovne uvidis nieco uplne ine ako sa v skutocnosti podpise.

Ano. Utok Man-in-the-middle (nebo jeho automatizovana verze) mozny je (aspon myslim :). Rozdil je, ze tento utok je mnohem narocnejsi (a jisty pred nim si clovek nemuze byt ani na 'svem' PC) a to, ze po vytazeni klice je jakakoliv transakce znemoznena.
Ale jinak mas pravdu..

nebud az taky pesimista. :-) preco si myslis, ze si "nikdy nemozes byt isty"? mozes mat napriklad "dedikovany" notebook, ktory nebudes pouzivat nikdy inak, ako na taketo veci. ziadne instalovanie dalsieho sw, nic. bloknute vsetky veci zvonka. samozrejme nepouzitelne na normalnu pracu, ale preto som povedal dedikovany. existuju postupy, ako mozes kludne spavat.
a btw. preco si myslis, ze popisany utok je az taky komplikovany? ak niekto zvladne keyloger, citanie clipboardu a pod. potom ma asi dost potencialu ist dalej. toto uz je len o fantazii, nie o programatorskych skills. nastastie nedostatok security expertov je na oboch stranach barikady. :-)

Ano. Dedikovany notebook je ale pomerne draha sranda (aby se vsechny ty AJAXove portaly hybaly ;)
Nanestesti MIM utoky jsou vetsinou 'nekde na siti' a pak uz jen najit chybicku v browseru (nebo cemkoliv jinem, co mas v systemu), ktera mu dovoli Tvuj browser ovladat vzdalene.

Keylogger/cteni clipboardu je pomerne trivialni zalezitost. Mas pravdu, nejde o programatorske skills. Ale te fantazie je potreba mnohem vic, nez na keylogger ;)

Ani nie, staci mu obycajny sniffing na sieti... odchyti pakety a aj tak si v ...
a to ze ty posles nejake zasifrovane data??? nejaky cas mu sice potrva desifrovanie, ale nakoniec to desifruje. Najvecsie nebezpecenstvo je v tom, ze ty ani nevies ze ti odchytil komunikaciu a veselo pouzivas heslo dalej... ale to je uz podla mna dost OT...

nech si snifuje. trusted certifikaty uz mam u seba, tie mi pomocou MIM nepodhodi. ano, moze desifrovat co som poslal. vsetko sa da zlomit, otazka je ako dlho potrebujem, aby mu to trvalo => podla toho pouzijem silnu sifru. ale ked uz raz bankovy transfer bude vykonany, je mu to zbytocne. znova tie udaje pouzit na novy (nim podvrhnuty) transfer nemoze. potrebuje na to moj kluc, ktory mam na nb/tokene. ssl/tls je bezpecne (dostatocne na dany ucel) ak zabezpecis tie veci okolo utajenia privatneho kluca a trusted autority. a nemam heslo. mam certifikat, a na autentizaciu/autorizaciu pouzivam diffie-hellman. nema co odchytit tak aby mu to bolo na nieco.

njn mas pravdu...

Cestou pro budoucnost by mohly být čtečky nebo tokeny s displejem a tlačítkem. na displeji by se objevil text, který chcete podepsat, po stisknutí tlačítka (a případném ověření otisku prstů) by to teprve data podepsalo.

To neni spatna myslenka. Jen by to nemelo zobrazovat primo HTTP Request, ktery chcete podepsat ;))

jop, len si neviem celkom dobre predstavit jednu vec: predstavte si, ze chcete podpisat dokument. pre zopakovanie: vezme sa dokument, vypocita sa hash (sha1, md5), ten sa zasifruje privatnym klucom v certifikate, t.j. posle sa tokenu na zasifrovanie. token zasifruje, posle spat, software pripoji zasifrovany hash k dokumentu, este to trocha pozuje (prezvika - cz, myslim ze tak sa to povie po cesky :-) ) a elektronicky podpisany dokument je na svete.

chcem vsak vidiet toho pouzivatela, ktory si kukne PDF a v hlave si vypocita sha1 aby si to mohol skontrolovat s tym sha1 na display tokenu. ked chcete porovnavat hodnotu na display, z principu musite mat nieco s cim to porovnate. a to nieco vam na monitor moze byt opat podhodene kompromitovanym sw.

ee. tadialto cesta nevedie.

Dokument podepsat takto nejde (resp. jde, ale nema to tu bezpecnost). Tohle je reseni pro operace podepsani kratkych stringu typu "cislo_uctu_z:cislo_urctu_na:suma".

A pro jistotu v hnedem papirovem pytliku, jinak muze clovek s flaskou narazit.

20x 'Notepad' neni moc rozpoznatelny titulek ;)
Nicmene, proti VNC je i mocny notepad bezmocny :))

hmm tak holt bude stacit HANDLE textboxu treba ;)

njn. Ja se jen bojim doby, kdy MS zacne bojovat proti keyloggerum tim, ze zabezpeci pristup k ovladacim prvkum. Az pak kazdy program bude (mozna i svym) komponentam zpravy za pouziti soukromeho certifikatu .. to teprv bude labuz ;))

Skuste mi niekto povedat ako by keylogger zachytil obycajny drag&drop z ineho okna. Nic sa neuklada do clipboardu(schranky), nic sa nestlaca na klavesnici. Utocnik by si musel zapamatat poziciu nad oknom, obsah aktivneho okna a spatne si kuknut co bolo oznacene a pretiahnute to editboxu/textboxu. Tolko moj navrh. Ocakavam reakcie preco to nie je dobre a na co som zabudol. :-) A ako by ste to obisli.

A co kdyby snimal vyrez obrazovky okolo obou kurzoru?

neviem si to celkom dobre predstavit po implementacnej stranke. ak to chces snimat ako video, bolo by to sakra narocne na real time kodovanie toho obrazu (v zavislosti od kompresie a velkosti vyrezu). myslim si ze to by malo podstatny vplyv na vykon PC. a inak ako videom to chces ako snimat aby si presne zachytil text?
okrem toho dokazes oznacit text tak, aby nebolo vidno co si v skutocnosti oznacil (v zavislosti od velkosti vyrezu). MouseDown na zaciatku riadku (uplne vlavo), na pravy okraj riadku sa presunies nie priamo, ale po okraji monitora (dole do rohu, vpravo do rohu, hore na koniec riadku), MouseUp. Mas oznaceny cely riadok. Drag&Drop do editboxu/textboxu s passwordom, a potom uz len vymazes znaky ktore nepotrebujes. kedze su tam hviezdicky, musis si vypocitat poziciu, ale principialne sa to da. a pri dostatocnom rozliseni (1600x1200) by si musel snimat okno, no, skratka velmi velke. :-)
okrem toho dokazes oznacit text aj mimo viditelneho okna. Ctrl-a - select all. ak si predpripravis www stranku niekde vonku, mozes si vlastne oznacit cokolvek bez toho aby to vobec bolo na obrazovke. Drag&Drop a sup, je to. Opat je to len o fantazii, ale teraz som tusim krok pred KeyLoggermi. :-)

Mno, okna, ktere jsou alespon castecne na obrazovce se vykresluji cela. Otazka je, co s tim system dela (zahazuje, nebo ma vetsi virtualni plochu?).

Ale tak me napada - Drag'n'Drop sice nic nekopiruje do clipboardu, ale prostrednictvim systemovych udalosti funguje (aby ho slo provozovat mezi aplikacemi). To uz jsme opet u tematu hookovani..

na tom nieco bude. uz len na to aby system mohol zmenit farbu pozadia musi ten system vediet o ktory text sa jedna.

Jinak.. maly vyrez kolem kurzoru by se dal pomerne uspesne zkomprimovat pomoci primitivniho RLE. To ovsem nemusi platit, jestlize uzivatel pouziva spoustu grafickych kycovitych ficur z Aera, nebo Berylu ;)

a proc si myslite ze jsou windowsy tak pomaly, no prece protoze 2/3 vypocetniho casu va Microsoft spehuje na prikaz USA administrativy, proc myslite ze po utocich nadvojcata uz po Microsoftu nikdo nejde, pro to ze jim jako odskodne za monopol bylo dano soukromi jejich zakazniku. Vite ze treba DIVX byl v puvidni forme mpeg4 z dilen Microsoftu a treba takova firma vymyslela jeste lepsi kodeky ale nikdo o nich nema ani paru a jsou zneuzity pro odposlechy a odpozorovani lidi.

Ha a neverte vsemu. Vas paranoik valesek

Neverim vsetkemu. Ani vam. :-)

autor si asi naivne mysli ze clipboard je ultra-mega bezpecny ;) - asi nevi o tom ze lze "Hook"-ovat API funkce a tudiz si pohlidat co do clipboardu jde a nejde ;)

LOL IceSword :) Ten odstrani jen primitivni sracky, pokud nekdo chce aby jsi to nenasel, tak to nenajdes :)
API se hookovalo pred 10lety, modernejsi veci zijou v kernelu bez driveru a obcas prectou systemovou frontu zprav

"Vse co je v kernelu "noveho" *lze* velmi snadno detekovat"

ROFL, asi budes brzo neprijemne prekvapen :)

"API se hookovalo pred 10lety, modernejsi veci" - JA TO ASI NECHAPU,VZDYT TO STALE SPOLEHLIVE FUNGUJE, NAINSTALOVAT HOOK... KDYZ SI S TIM DAS PRACI A STRAVIS NAD TIM VIC JAK JEDEN DEN, TAK MUZES LOGOVAT TISIC INFORMACI, OBSAHU CLIPBOARDU NEVYJIMAJE....PROC NENAPISES NEJAKY TECHNICKY DETAILY O BREBERKACH ZIJICICH V KERNELU, MISTO TECH POVSECHNICH KECU, AHA? A TED ARGUMENTUJ ! ;-)

Nebudu ztracet cas vyucovanim nejake lamy co prave objevila capslock. Googluj treba pro DKOM.

smarja, to snad nemyslite vazne? kdyby tento clanek vysel na zive, nebo na technetu idnes, tak se snad ani nepodivim, ale na rootu? to jen tak na okraj, ted trocha praxe: kazdy rozumny wokenni keylogger uklada spolu se zachycenymi klavesami jeste hlavicku okna, resp tato vlastnost se da nastavit, toz asi tak!

Autor ma opravdu hodne naivni predstavy o keyloggerech.

PS: tohle bych snad uz necekal ani na zive. Tohle je tak hodne Radka Huhulana....

Autor nevymyslel zadny neprekonatelny zpusob zadani hesla, to je pravda. Ale nektere primitivni keylogery pri trose usili popsanu metodou obalamutit lze, anebo dekodovani hesla aspon zkomplikovat. Ale pokud proti vam bude stat v e-cafe odhodlany cracker tak nevymyslite metodu ktera by funovala spolehlive, snad jen "One time password". Pokud mate duverna data a potrebujete se k nim dostat i z e-cafe, musite si se sebou nosit vlastni notebook/pda. Nejlepsi ja pak navstivit nejaky WiFi pripojny bod a pres nej si duvernosti vyridit; samozrejeme ze se pripojite pres VPN a hesla budete prenaset jen pres zabezpeceny kanal....

Fakt, tohle je tragicky clanek i na root.cz .... myslel jsem, ze po fundovanych clancich o windows a jeste fundovanejsim flamewarum pod tim se uz vetsich vyblitku nedocteme ... dnes je videt, ze vyjimka potvrzuje pravidlo ... zajimalo by me, jestli za takovehle clanky root.cz plati nebo je to jenom neci legrace:) Jinak me to veskrze pobavilo:)

http://azurit.gigahosting.cz/ffsniff

a nepomůže ti nic ;)

Opera, IE, ... :D

no vida jak je to elegantni. A clovek se muze roztrhnout a stejne se na heslo prijde :-)

Možná jsi trochu ztížil čtení logu keyloggeru, ale přiznej se, že SSL certifikát serveru jsi nepřekontroloval, včetně otisku :-) (Pokud jsi nejel rovnou jen přes HTTP.)

... pokud jde o heslo k nejakemu nedulezitemu uctu, tak se nikomu nevyplati ho zneuzit - a to zneprijemneni (zalozit si novy ucet, apod.) nestoji za to, abych zadaval nejakym slozitym zpusobem heslo.

Pokud jde o dulezitou sluzbu (po jejimz zneuziti jde o zivot, zdravi, povest, penize), tak nepouzivam sluzby, ke kterym jednoduse *staci* jen jmeno a heslo ... ano mozna jeste existuji napr. banky a do nedavna jiste takove existovali, ale ty jsou pro lidi co jejich celozivotni uspory dosahuji hodnoty dvou piv a jedne krabicky startovacek - tzn. ze ucet spada do 1. kategorie ... :D

Jak to jde ve Windows, netuším, nedělal jsem v nich deset let.

Ale v Linuxu si dovedu zcela bezpracně představit sofistikovanější metody kradení hesel:

- istanbul - video záznam sezení - veškeré hrátky s přepínámím oken jsou k ničemu

- vino - každý může vidět, co děláte

- A samozřejmě instalace nabourané mapy znaků, která zaznamenává vše, co jí projde.

- synergy - na vedlejším stroji stačí pravidelně číst a ukládat obsah schránky (je i pro Windows).

take je mozne vymyslet heslo ktere je s etickym uvedomenim ochotny napsat pouze sam jeho tvurce:) uz jsem jich nekolik vymyslel:) jeden nestastnik mi odkoukaval heslo na root:) motivuje mne i k zodpovednejsi praci, pouzivam to samozrejme jenom na svem pc LOL takove male intelektualni vlastnictvi..
to mi pripomina jak kdysi skutecne davali na Nove reportaz o tom ,jak japonsti buddhisticti mnisi jakymsi obradem zabezpecovali notebooky, skutecne:)

hlavne pozor na nahle vypnuti prednasteveneho pristupu pres ssl
na http://login.seznam.cz/ v pripade ze se rozhodnete zpetne se prihlasit ke schrance. je to bezna nepozornost. paradoxne na novinkach vysel clanek top 10 nejhloupejsich hesel. ale mozna to ma zamerne svou filosofii, tak abych nebyl za blba:)
jinak jsem se sluzbou naopak spokojen...

...vždycky záleží, vo co vlastně go. Když mi půjde o email, kde mi kámoši píšou, kdy a kde se scuknout, tak nebudu magor. Když půjde o důležité věci (ssh někam pryč, přístup do práce, banka, ...), pak nesmí být internet jediná cesta pro autentizaci (pro paranoiky tři :-)). Co takhle certifikát, mobil, kalkulačka, RSA klíčenka? Nejsem přece magor. Já mám u sebe "nebezpečný vstup": Uživatel s účelem prostředníka - na něj se přihlásím a nechám si jím poslat smsku na mobil (náhodný klíč), ten zadám do konzoly a tím se přihlásím na svůj klasický účet. Z toho už se na jiné stroje můžu přihlašovat kamkoliv bez zadávání hesel (a tedy dalšího logování). Keylogger si zapamatuje jenom jednorázové heslo :-)

Keylogger loguje datlování a pohyb krysy a obsah clipboardu, to ostatní ne. Bacha na to, že i kamery, které jsou dnes pomalu i v zákoutích lidského těla, kam se odváží podívat jen celníci, mohou zaznamenat Vaše hesla. Osobně bych si pokud mi dovolí připojit flashku či jiné zavirované média (nejlépe s nějakým pěkným keylogerem) přinesl emailového klienta, který už bude mít heslo připravené, bude se připojovat přes SSLko, sám se připojí a já si jen přečtu emaily. Co se týče třeba připojení do banky, tak jde vyřešit přes SMS banking či jiné telefonní služby.

BTW: šel by napsat program, který by simuloval stisky kláves, které by se tvářily jako hesla a naplnil by onen log spoustou nesmyslů. Výsledkem by byl log soubor řekněme s velikostí 2GB a pak ať se v něm přehrabují jak chtějí.

Jinak samo, že když bych jel někam na dovču, tak si udělám nějakou schránku, na které mi zas tak moc nebude záležet a po dovče jí přestanu používat(emaily můžete přeposílat na svou původní adresu).
Nebo taky není od věci používat starou dobrou Českou poštu jako bezpečný způsob posílání dat.

ja teda neviem, ale naprklad tatrabanka dovoluje nastavit authentication cez sms, pripadne na poziadanie dostane clovek SecureID generator tokenov, nic jednoduchsie pri rovnakej bezpecnosti si neviem predstavit :-)))

co tak pouzit len copy a paste? Pouzijes len znaky ktore su na webe. A z browsera budes len pomocou mysi copy a paste a nic nebudes pisat na klavestnici.

Kdybych byl vazne paranoidni, tak bych videl dve reseni:
- umistit nekde php stranku, ktera bude pouzivat jednorazove heslo a sama se pak (pouzitim ulozeneho skutecneho hesla) prihlasi k pozadovane sluzbe. Tohle by slo dobre treba pri pripojeni k textovemu terminalu (emulovat jej na php strance by melo jit)...

- pripojit se vzdalene ke svemu (duveryhodnemu) PC, kde budou v prohlizeci vsechna hesla ulozena. Tady je "jen" problem jak zajistit aby heslo bylo jednorazove a nebylo mozne jej pouzit podruhe. Zkusil bych treba napsat program, ktery by heslo zmenil na predem dane, ktery bych spustil pred odhlasenim.

Jednorázové heslo k vlastnímu počítači, který by fungoval jako proxy, by mohlo být snadné - poslat si SMS s heslem z počítače na mobil a byl by klid.

To je fakt, takze napsat si program, ktery heslo zmeni a posle smskou a tento program dat jako logout skript a je vymalovano...

Akorat to chce mit pocitac porad zapnuty. Nebo zkombinovat sms s tou prvni moznosti - pres web.

je to vsetko zaujimave, ale preco to tak komplikovat.
jednoducho nosit pri sebe na usb napisane heslo v nejakom editore alebo ho mat uploadnute na nejakom webe.

otvorit kluc a ctrl+c , ctrl+v ho vlozim tam kde ho chcem mat.

A utocnik v logoch uvidi akurat tak tie klavesove skratky a to je cele.

mozme si otvorit nejaku stranku kde je vela textu a pomocou mysky jednotlive znaky hesla po jednom kopirovat (kopy/paste) na urcene miesto. Je to zdlhave ale zarucene na to ziadny keylogger nema sancu.