100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №85 «Виртуальная клавиатура спасает от троянов, крадущих пароли»18.07.2010 01:43
Рис. 1. Виртуальная клавиатура Альфа-Банка
Рис. 2. Виртуальная клавиатура банка HSBC
Рис. 3. Виртуальная клавиатура банка BSGV
Рис. 4. Виртуальная клавиатура в Barclays Bank
Подобный материал:
1   ...   54   55   56   57   58   59   60   61   ...   69

Миф №85 «Виртуальная клавиатура спасает от троянов, крадущих пароли»18.07.2010 01:43


Очень многие банки с целью защиты своих клиентов от перехвата вводимых ими идентификаторов доступа к Интернет-банку внедряют виртуальные клавиатуры. Суть работы таких клавиатур понятна – она защищает от специальных программ, называемых перехватчиками ввода с клавиатуры (keylogger), которые могут быть установлены на компьютерах, с которых пользователи подключаются к Интернет-банку. Вместо нажатия на клавиши, пользователь кликает кнопкой машины на соответствующей кнопке виртуальной клавиатуры.

Варианты реализации таких клавиатур могут быть различны. Например, в Альфа-Банке используется виртуальная замена традиционной клавиатуры с привычной раскладкой клавиш.



Рис. 1. Виртуальная клавиатура Альфа-Банка

Аналогичная, по сути, клавиатура применяется в банке HSBC. Только помимо пароля (PIN), вы должны также ответить на ключевой вопрос (например, название вашей любимой спортивной команды или имя первого учителя и т.п.).



Рис. 2. Виртуальная клавиатура банка HSBC

В банке BSGV кнопок у виртуальной клавиатуры гораздо меньше, но и тут механизм ее работы идентичен – предотвратить перехват нажатий клавиш, реализованный, например, в таких специализированных банковских троянцах как Bancos, Ldpinch, Refest, Finero, Bankerash, Bancodor и т.п.



Рис. 3. Виртуальная клавиатура банка BSGV

Более сложный механизм применяется в банке «Финсервис» - кнопки на виртуальной клавиатуре располагаются в случайном порядке и их расположение меняется при каждой новой загрузке страницы.

В Barclays Bank виртуальная клавиатура реализована без графических изысков и применения сложного программирования. В выпадающем меню клиент должен ввести 3-ю и 6-ю (номера динамически меняются) буквы ключевого слова – для выбора используется мышь, а не клавиатура.



Рис. 4. Виртуальная клавиатура в Barclays Bank

На сайтах многих банках написано, что этот механизм полностью исключает перехват идентификатора и пароля (а также одноразовых кодов для осуществления транзакций) и позволяет обезопасить персональные данные клиентов Интернет-банка. Насколько это суждение верно и можно ли полностью положиться на этот механизм защиты? Не ложное ли чувство безопасности создают банки у своих вкладчиков?

Увы, виртуальная клавиатура защищает только от одного из механизмов, реализованных в современных троянцах, направленных на взлом банков, а именно от перехвата ввода с клавиатуры. А ведь современный троянец может получить доступ и другим путем, например, перехватывая координаты места, в котором вы кликнули кнопкой мыши. А т.к. иногда виртуальная клавиатура располагается каждый раз в одном и том же месте экрана, то и вычислить пароль не составляет большого труда.

Но и на этом злоумышленники не останавливаются. В тех же вредоносных программах Nibu, Bancos и Zeus реализован механизм копирования экрана и пересылки снятых копий владельцу троянца. В этом случае совершенно неважно динамично ли «скачет» клавиатура по экрану или нет – позиция  мыши в любом случае попадает в прицел злоумышленников. С целью экономии трафика и снижения вероятности обнаружения вредоносные программы могут «снимать» не весь экран, а только небольшую его область, рядом с местом клика. И даже если пользователь решит не пользоваться ни обычной, ни виртуальной клавиатурой, и просто скопирует свои имя и пароль из заранее подготовленного файла или специализированной программы управления паролями (мы их рассматривали ранее), то и тут ситуация не сильно меняется с точки зрения безопасности. Тот же Nibu может контролировать и буфер обмена.

Снижая одни риски (все-таки пока число вредоносных программ, ворующих копии экрана, менmit числа традиционных перехватчиков ввода с обычной клавиатуры), виртуальная клавиатура привносит и риски новые. Например, возможность подсмотреть пароль из-за плеча и даже записать его на видеокамеру, которые обильно разбросаны по офисам многих компаний, банков, Интернет-кафе и других подобных мест.

Значит ли это, что виртуальные клавиатуры бесполезны? Конечно же, нет. Как минимум, они заставляют задуматься клиента банка о своей безопасности. А это уже немало. Но и возлагать на них большие надежды не стоит. Как минимум для себя, надо четко понимать все плюсы и минусы (на мобильных устройствах такие клавиатуры обычно не работают) этой технологии. Как и в случае с рассмотренными ранее USB-токенами возлагать всю защиту только на один механизм неправильно. Если уж злоумышленник смог установить клиенту банка перехватчик ввода с клавиатуры, то ничто не мешает ему установить вредоносную программу с функциями пересылки копий экрана или перехвата местоположений кликов мыши.

Что же делать? Банку стоит задуматься об одноразовых паролях. Статические идентификационные параметры, как бы они не вводились пользователем, не способны обеспечить сегодня защиту от современных атак. Только динамическая смена пароля позволит повысить уровень защиты Интернет-банка от угроз (и никакой виртуальной клавиатуры не понадобится). Для клиента же рекомендации остаются прежними – используй антивирус, регулярно его обновляй, не качай из Интернета всякую гадость, не ходи по подозрительным сайтам и т.п.