Domanda:
I dati tra una tastiera e un browser Web sono protetti dalle applicazioni del computer locale?
Devil07
2019-01-15 00:33:49 UTC
view on stackexchange narkive permalink

La mia domanda riguarda il testo che digito su una tastiera mentre sono in un browser web. Capisco che se il sito web ha HTTPS la connessione dal mio browser al sito web è sicura / crittografata, ma per quanto riguarda il testo che digito sulla tastiera del computer locale?

Ad esempio, in un internet cafè, se apri una finestra di Chrome e vai su un sito protetto (HTTPS) il testo che digiti sulla tastiera è sicuro dalla tastiera al browser? Il software di key logging sul computer locale può accedere al testo?

La mia preoccupazione è accedere al mio account di posta elettronica (o qualsiasi altro account privato) su un computer pubblico, la password che digito può essere intercettata? In tal caso, esiste un modo per un utente di un computer pubblico di garantire la privacy della propria password in questo scenario?

Se sei troppo preoccupato per la registrazione delle chiavi, apri qualsiasi pagina di Wikipedia, quindi copia e incolla tutti i caratteri necessari per accedere ... ma forse anche gli appunti vengono registrati!
@daygoor anche se gli * appunti * non sono registrati, mi aspetto che un keylogger sulla macchina stessa sia in grado di dire che hai evidenziato e molto probabilmente copiato anche i singoli caratteri.Quindi in un registro potresti vedere `highlight" h "` -> `Ctrl + C` ->` highlight "u" `->` Ctrl + C` -> `highlight" n "` -> `Ctrl + C`-> `evidenziare" t "` -> `Ctrl + C` ->` evidenziare "e" `->` Ctrl + C` -> `evidenziare" r "` -> `Ctrl + C` ->` evidenziare "2 "` -> `Ctrl + C` o qualcosa di sufficientemente simile a questo.Anche se fai clic con il pulsante destro del mouse su -> copia, presumo che un keylogger lo noterà.
Ciò dipende fortemente dal sistema operativo utilizzato, in particolare da quanto bene isola le singole applicazioni (l'una dall'altra e dai componenti condivisi come la tastiera) e quanto bene aiuta ad applicare i diritti di accesso corretti.--- Tuttavia, anche se il sistema operativo isola perfettamente le applicazioni, ci sono possibili vulnerabilità o errori di configurazione che consentono l'accesso non autorizzato.
@pabouk sono molte variabili di cui difficilmente puoi tenere conto.Certo, non puoi nemmeno provare o confutare (facilmente) l'esistenza, la sofisticazione e la modalità di funzionamento di un keylogger, tuttavia, se non attendibile, una macchina esterna dovrebbe essere considerata assolutamente compromessa.Questo riduce le ipotesi e le possibilità che devi considerare quando decidi come gestirlo.Con questa configurazione in mente, copiare / incollare caratteri da un documento non è affatto sicuro e questo malinteso non dovrebbe essere perpetuato.
Bene, [questo xkcd] (https://xkcd.com/538/) è particolarmente adatto per questo caso penso ...
@frarugi87 Non sono d'accordo su questo caso.È possibile raccogliere molti dati che è assolutamente possibile raccogliere da un PC pubblico.È molto probabile che venga catturata una password di Facebook che ... potrebbe avere un valore o meno.Ma ancora più importante, un utente malintenzionato potrebbe essere in grado di raccogliere cose come i dettagli di pagamento.E l'aggressore non deve necessariamente essere il proprietario del computer pubblico: potrebbe essere * chiunque * vi abbia avuto accesso e abbia deciso di utilizzarlo per raccogliere dati.I PC pubblici non tendono ad avere una crittografia 4096 ma RSA.Potrebbe anche essere infettato su Internet senza che sia specificamente mirato.
@vlaz Sì, sono stato un po 'veloce nel commento e quindi ho saltato molti dettagli sul "perché" ho pensato che fosse adatto a questo.Il mio commento riguardava l '"escalation" delle misure elencate qui.da un keylogger di base che cattura le chiavi che scrivi a uno che rintraccia tutta la tua attività e la correla per estrarre la password che hai inserito come un misto di copia-incolla, movimenti del mouse e digitazione diretta.Questo è tecnicamente possibile, proprio come tentare di hackerare il PC nel fumetto xkcd, ma a mio parere personale nessuno perderebbe tempo a raccogliere solo un paio di password in più (per il "nigeriano [...]
[...] per le stesse ragioni del principe truffa).In ogni caso, a mio avviso, la complessità di un keylogger in un pc pubblico non è rilevante.Considero pubblici tutti i dati che scambio su un terminale pubblico, quindi ogni volta che voglio accedere a un servizio non voglio essere compromesso utilizzo solo terminali privati su reti private
@frarugi87 è un keylogger sofisticato?Lo ammetto, ho giocato solo con uno che ho installato sulla mia macchina per vedere cosa ha fatto.È il mio primo e ultimo e ha registrato quel tipo di informazioni, inclusa la finestra in cui hai fatto clic quando premi un tasto e persino il campo o il pulsante con cui stai interagendo.Quindi, lo sapresti se passassi dalla scheda Firefox con Wikipedia e poi digitando nel campo della password di un'app bancaria.Potrebbe inviare tali informazioni tramite e-mail o semplicemente scaricarle.È successo 15 anni fa - dubito che i keylogger siano diventati meno sofisticati da allora.
@vlaz e se il mio pw fosse ´ertn2hu´ non ´hunter2´?:)
no, a meno che tu non abbia un AVP che rileva le firme comuni dei modi per acquisire l'input da tastiera.Fine della domanda
Nota che il tuo browser è un'applicazione del computer locale.
La mia opinione è che MFA può proteggere i miei account personali, ma non posso fare nulla su un computer pubblico non attendibile per assicurarmi che il mio nome utente / password non vengano catturati.Inoltre, tutte le informazioni visualizzate nella finestra del browser HTTPS sul computer non attendibile possono anche essere acquisite / registrate dal computer locale.
Se sei preoccupato per la sicurezza, non utilizzare un Internet café.La soluzione migliore è ottenere un piano wireless e usarlo.Tutto ciò che è elettronico genera radiazioni elettromagnetiche.Ci sono persone in giro con l'attrezzatura giusta in grado di rilevare i segnali elettrici premendo diversi tasti.Devi determinare il valore dei tuoi dati e proteggerli per quello che valgono.
@Devil07: Ricorda sempre: se sei su un dispositivo non affidabile, non puoi nemmeno fidarti che il software che pensi di utilizzare sia effettivamente il software che stai utilizzando.Come puoi garantire che quando apri "chrome" non stai effettivamente aprendo il mio binario modificato di Chrome che non esegue alcun controllo dei certificati ed esegue un attacco MITM su ogni client?La risposta breve è che non puoi, perché tutto sul dispositivo potrebbe essere compromesso.
Il miglior riepilogo di tutto questo: i due livelli di sicurezza più importanti sono chi ha accesso fisico al dispositivo e chi ha accesso amministrativo al dispositivo.Se la risposta a una di queste include qualcuno di cui non ti fidi, puoi considerare tutto l'utilizzo del dispositivo potenzialmente compromesso.
Sei risposte:
#1
+86
bashCypher
2019-01-15 01:45:13 UTC
view on stackexchange narkive permalink

No, i tuoi dati non sono al sicuro dai key logger su un computer locale. Non c'è molto altro da dire qui, per essere onesti. Un key logger acquisirà e salverà qualsiasi battuta di tasto inserita. La crittografia tls (https) avviene "dopo" che il driver dalla tastiera "invia" quei tasti premuti al browser ", tramite" il key logger.

Anche se si utilizza la crittografia e non ce n'è una molti tipi di spyware sul computer, la connessione tra il computer e il sito potrebbe avere un dispositivo Man in The Middle (MiTM) nel mezzo che induce il tuo computer a pensare che stia utilizzando la crittografia quando non lo è.

Bella domanda . Sì, in un chiosco pubblico corri il rischio di raccogliere le credenziali. Non riesco a pensare a nulla che possa aggirare il software di keylogging (la VPN risolverà i problemi di MiTM). Attenzione.

È peggio di così: su qualsiasi computer che non controlli, i certificati CA utilizzati per verificare le identità dei server potrebbero essere stati compromessi.Quindi potresti non parlare con il sito web che pensi di essere, anche se stai usando HTTPS.Non fidarti dei computer pubblici.
@z0r MITM che utilizza lo stripping TLS è una preoccupazione in tutto il mondo.Stai sempre attento in pubblico, giusto?Il MITM è un po 'diverso dalla tua descrizione, ma il tuo punto è valido e non ho discusso la parte "intercettazione".Io aggiornerò.
L'autenticazione a più fattori è la mitigazione per questo, vero?
@mgarciaisaia su un chiosco pubblico?Immagino che potremmo parlare del chiosco protetto e della sicurezza dell'app su di esso ... ma penso che il punto sia che non possiamo fidarci del chiosco.Quindi la domanda è: puoi usare il browser web in modo sicuro, in caso contrario, c'è qualcosa che puoi fare?In tal caso non credo sia ragionevole "impostare multifactor con i proprietari del chiosco e farlo applicare a tutte le app per evitare applicazioni non registrate (key logger)"?È giusto?
Se utilizzi un computer di terze parti per accedere alla tua posta elettronica, l'ultima linea di difesa contro qualcun altro che accede al tuo account utilizza MFA.Anche se registrano con chiave il tuo token MFA, dovrebbe essere inutile per loro accedere al tuo account.
La tua password viene compromessa, sì, ma il tuo account no.
Alcuni servizi (esempio: WeChat) offrono metodi di autenticazione proprio per questo caso d'uso.Quando si tenta di accedere al servizio su un terminale pubblico, viene visualizzato un codice QR.Esegui la scansione del codice con il telefono (che presumibilmente utilizza una connessione affidabile) e il percorso di autenticazione avviene attraverso il telefono.Dopo aver verificato (utilizzando il telefono) che si desidera consentire l'accesso alla sessione, la sessione del terminale pubblico riceve una notifica e da lì è possibile accedere al proprio account.Un terminale dannoso potrebbe leggere tutti i tuoi messaggi, ma almeno non compromette il tuo account.
@mgarciaisaia dipende dalla natura del compromesso.Se fosse un semplice keylogger, allora potresti essere protetto da 2FA (sebbene alcuni di essi consentano di tornare a impostazioni meno sicure!).Tuttavia, se il malware nei chioschi pubblici è un po 'più intelligente, potrebbe causare molti danni.Ad esempio, quando fai clic su "logout" potrebbe mostrarti una schermata falsa che dice che sei disconnesso, mentre in realtà non ti ha disconnesso ed è in background a fare cose nel tuo account, come impostare l'inoltro di tutte le email da qualche parte,modifica delle impostazioni di ripristino, ecc.
Lo stripping TLS di @bashCypher è solo una tangente (e prevenuto su molti siti importanti con HSTS).Il vero problema con l'utilizzo del browser di qualcun altro è che possono averlo configurato per accettare la propria autorità di certificazione personalizzata, emettendo i propri certificati per TLS MITM senza interruzioni.
@mgarciaisaia: Anche MFA fornisce solo una protezione molto limitata.Impedisce ad altri di riutilizzare le tue credenziali, ma controllano comunque la sessione che hai aperto, quindi anche se non possono accedere al tuo banking online, possono svuotare il tuo account mentre sei online.L'unica protezione significativa che conosco su un computer non attendibile è l'autorizzazione _transaction_ off-line, come fornita ad es.generatori di TAN intelligenti off-line, che ti consentono di vedere e confermare ogni transazione.
@Will: Solo per nitpick: HSTS non funziona se il browser non è attendibile, perché il browser deve applicarlo.Se puoi manipolare l'elenco dei certificati, puoi anche applicare una patch al browser per ignorare HSTS (o semplicemente registrare tutto il traffico HTTPS) :-).Ovviamente questo si riduce a: Untrusted è untrusted.
@sleske Non è necessario che sia offline, andrà bene qualsiasi canale di comunicazione secondario per la trascrizione (o qualsiasi modifica).L'SMS, il più utilizzato in genere, lo farà altrettanto quanto un generatore di TAN offline (sebbene quest'ultimo abbia altri forti vantaggi in termini di sicurezza).
Puoi riavviare il PC e avviare da una pen drive ... lol
@nardnob: Una parola: keylogger hardware (ok, due parole).
@sleske Ok, ho una soluzione, ma richiederà un cacciavite e una scheda madre sostitutiva
@MatijaNalis Non proprio.Ovviamente dopo aver effettuato l'accesso a un sistema non attendibile dovresti controllare le sessioni attive da un dispositivo fidato, il che significa che anche se lo fanno la loro sessione non durerà a lungo ... La modifica delle impostazioni di ripristino ecc. Non dovrebbe essere possibile senza dover ripetere il passaggio 2FA con un altrotoken (se non è così, è progettato in modo errato).
@GiacomoAlzetta quando arrivi al dispositivo attendibile (potrebbero essere settimane se viaggi - se non disponi di un dispositivo attendibile solo per pochi minuti o addirittura ore, potresti benissimo aspettare e non utilizzare il dispositivo pubblico vulnerabile nelprimo posto!) l'attaccante potrebbe aver utilizzato quell'account per compromettere gli altri tuoi account, ottenere dati sensibili, impersonarti ecc. Inoltre, anche i grandi giocatori (come google, paypal, ebay, ...) non richiedono 2FA diversi per modificare le impostazioni 2FAe l'utilizzo dello stesso 2FA è vulnerabile a molti attacchi: dire che è "progettato in modo errato" non aiuta davvero
#2
+24
Macil
2019-01-15 06:13:01 UTC
view on stackexchange narkive permalink

HTTPS non può proteggere completamente l'input dell'utente su un computer non attendibile: il computer potrebbe avere un software keylogger installato. La tastiera potrebbe avere il firmware programmato per il keylog. Potrebbe esserci un dispositivo hardware tra il computer e la pressione dei tasti per la registrazione della tastiera. Potrebbe essere in esecuzione un software di registrazione dello schermo. Potrebbe esserci una videocamera puntata verso la tastiera mentre la stai utilizzando. Il computer potrebbe essere configurato per considerare completamente attendibile un proxy di rete che funge da man-in-the-middle per tutte le connessioni HTTP e HTTPS.

... il computer potrebbe eseguire un software che assomiglia a un browser con un sito Web ma che non accede nemmeno a nessuna rete.
#3
+2
iBug
2019-01-15 21:23:55 UTC
view on stackexchange narkive permalink

Come spiegato in altre risposte, HTTPS protegge solo la parte di trasmissione della comunicazione, tra il tuo computer (browser) e il server remoto. Qualunque cosa tra l'utente (umano) e il browser è vulnerabile agli aggressori.

Anche se la tastiera è protetta tra il browser, una videocamera (esterna al computer) potrebbe catturare un video in cui inserisci la password: non ha neanche lontanamente nulla a che fare con HTTPS.


Le azioni parlano più delle parole.

Molto tempo fa, quando avevo 15 anni, ho scritto un semplice key logger che è in grado di registrare quasi tutto. Tuttavia ha rubato con successo molte password, comprese quelle inserite in una pagina HTTPS.

Link: Il mio repository GitHub del suddetto programma di registrazione delle chiavi.

#4
+1
Daniel777
2019-01-16 21:04:22 UTC
view on stackexchange narkive permalink

Soluzione: per aggirare il software di keylogging, puoi disegnare una tastiera sullo schermo e chiedere all'utente di fare clic sui tasti di quella tastiera usando un mouse o una trackball (quei dati sarebbero molto difficili da registrare). Naturalmente, questo potrebbe essere stancante per gli utenti, quindi potresti utilizzarlo solo per digitare password o piccoli testi.

Questo non risponde alla domanda.L'utente sta inserendo una password in una pagina web su cui non ha alcun controllo.
@Daniel777 In realtà avevo un conto bancario che aveva una password e un PIN che veniva inserito usando il mouse per fare clic sui numeri su un tastierino numerico estratto.Sembrava essere un buon modo per proteggere l'accesso, ma penso che alla gente non piacesse, quindi l'hanno rimosso.
[Non necessariamente efficace] (https://security.stackexchange.com/a/172136).
#5
  0
user996142
2019-01-16 03:07:55 UTC
view on stackexchange narkive permalink

Tutto ciò che digiti sulla tastiera viene elaborato da alcuni software che fanno parte del tuo sistema operativo. Potrebbe essere il kernel stesso, i suoi moduli o driver. Questo software decodifica le tue battiture e le invia all'applicazione (browser in questo caso).

Molti sistemi operativi forniscono API per "iniettare" software di terze parti in questo processo. Ovviamente, il sistema operativo moderno non consente a tutti di farlo: devi avere i diritti appropriati, o non ti permetterà di leggere le chiavi cliccate da altri utenti che lavorano sulla stessa macchina.

Ma se qualcuno con diritti sufficienti ha installato tale software, potrebbe avere accesso alle tue chiavi. Ancora peggio: se il sistema operativo ha un bug, l'hacker potrebbe "aggirare" questo controllo e installare tale software. Un esempio è il keylogger: registra letteralmente tutte le sequenze di tasti.

Sul computer pubblico, non puoi essere sicuro che non sia installato alcun keylogger perché non sei quello che ha installato questo sistema operativo, il tuo account no hai i diritti di amministratore, quindi non puoi nemmeno controllare cosa è in esecuzione su questo computer.

Usa l'autenticazione in due fasi: con esso il server ti invierà un messaggio di testo con il codice, quindi puoi accedere alla tua email solo se il tuo avere accesso al tuo telefono cellulare.

L'autenticazione con sola password non è sicura sui computer pubblici.

#6
  0
KOLANICH
2019-01-17 02:55:52 UTC
view on stackexchange narkive permalink

Alcune soluzioni antimalware hanno una funzione che protegge l'input della tastiera con un driver in modalità kernel, ma non pensare che sia indistruttibile: se il malware riesce a eseguire il proprio codice in modalità kernel, il driver AV non può proteggere il materiale, tutto nel kernel la modalità è ugualmente privilegiata.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...