banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Virtual Keyboard Defeat  XML
  [Question]   Virtual Keyboard Defeat 29/03/2009 13:25:47 (+0700) | #1 | 175189
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Vấn đề này đã được Ryan Naraine đề cập đến năm 2007. Hôm nay làm 1 cái demo chơi. Chủ đề thảo luận được đưa ra là: phải chăng Virtual Keyboard là một tiện ích không cần thiết?

-- Demo
+ Citibank virtual keyboard:



+ Another bank:



Link download demo:
http://vietcoders.com/downloads/VKdefeat.zip

Source code:
http://vietcoders.com/downloads/VKdefeatSrc.zip
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 29/03/2009 15:23:01 (+0700) | #2 | 175190
choc_
Member

[Minus]    0    [Plus]
Joined: 27/01/2009 06:46:01
Messages: 122
Offline
[Profile] [PM]
Thế thì sao nhỉ? Mình mới học được một câu thế này từ bạn thaidn: security is not some absolute or boolean attribute; security is a function of the resources invested by an attacker.

Nếu mà kẻ tấn công có một nguồn tài nguyên không giới hạn, thì chẳng có phương thức bảo mật nào là an toàn tuyệt đối cả. Đương nhiên, kẻ tấn công luôn có một nguồn tài nguyên bị giới hạn, bởi thời gian hay tiền của. Nhiệm vụ của các bên phòng thủ lúc này là: làm cho kẻ tấn công phải tiêu tốn tài nguyên càng nhiều càng tốt.

Không có phương thức phòng thủ nào, nếu đã được xây dựng và người dùng đã chấp nhận, là vô tác dụng cả.
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 29/03/2009 17:05:38 (+0700) | #3 | 175191
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Dạo này bạn thaidn đọc nhiều tài liệu quá nên tiếng Anh như gió. hehe smilie.
Trở lại với vấn đề trên, đây là 1 câu hỏi mở, để mọi người cùng thảo luận.
Một phương pháp đã được đề ra, xây dựng, thậm chí, người dùng chấp nhận rộng rãi chưa chắc đã hoàn hảo. Vì vậy mới luôn cần cải tiến và đổi mới. OTP và ý tưởng matrix cho card của DAB là một trong những ví dụ đó.
Trong trường hợp thuận lợi nhất, token device cực rẻ và matrix card khá tiện dụng, thì người dùng hầu như có thể quên luôn chức năng Virtual Keyboard.
Như trên đã đề cập, Virtual Keyboard có điểm yếu là người sử dụng có thể bị capture hình ảnh mỗi lần click chuột. Làm sao để khắc phục điều này?
Một số giải pháp được nêu ra:
1. Cho phép người dùng tải và cài đặt phần mềm chống capture màn hình. Một ví dụ cụ thể nhất là Kaspersky Anti Virus (or Internet Security) Virtual Keyboard
2. Có giải pháp nào khác để hoàn thiện hơn? Mời các bạn cùng tham gia khắc phục điểm yếu của chức năng Virtual Keyboard hiện tại...
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 29/03/2009 23:40:23 (+0700) | #4 | 175208
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]

choc_ wrote:
security is a function of the resources invested by an attacker. 

Thế này người ta gọi là: underestimating the complexity of security as well as its surroundings.

choc_ wrote:
Nếu mà kẻ tấn công có một nguồn tài nguyên không giới hạn, thì chẳng có phương thức bảo mật nào là an toàn tuyệt đối cả.  

Éc, one-time pad là an toàn tuyệt đối (perfect secrecy), chấp cả unlimitedly resourceful attacker.

choc_ wrote:
Không có phương thức phòng thủ nào, nếu đã được xây dựng và người dùng đã chấp nhận, là vô tác dụng cả. 

Câu này không có cơ sở bạn ạ. Có thứ được thiết kế ra, có thứ được cho vào IETF RFC hoặc IEEE standards, được deploy hẳn hoi, rồi mãi về sau người ta nhận ra là vô tác dụng.

Bác Hoàng đưa vấn đề này lên đây là để cùng mọi người đánh giá mức độ bảo mật của một security measure, chứ không vội khẳng định ngay là nó vô dụng hoặc thực sự hữu ích. Riêng mình thấy cái trò này có vẻ na ná cái trò captcha thì phải. Vậy không biết sử dụng các kĩ thuật của captcha có làm tình hình khá hơn không?
Mind your thought.
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 30/03/2009 02:37:03 (+0700) | #5 | 175220
choc_
Member

[Minus]    0    [Plus]
Joined: 27/01/2009 06:46:01
Messages: 122
Offline
[Profile] [PM]
@StarGhost: hehehe ở đây mình đang nói đến việc bảo vệ các giao hoạt động trên Internet mà ta, one-time pad có thể ứng dụng thực tế để bảo vệ các hoạt động trên Internet được không bạn? nếu được, nhờ bạn starghost chỉ vài đường để mình nghiên cứu xem. bạn nhớ nghĩ đến các yếu tố chi phí, khả năng được người dùng chấp nhận luôn nha.

xem an toàn thông tin là một hàm của tài nguyên của kẻ tấn công, mình nghĩ không những nó không bỏ qua sự phức tạp của an toàn thông tin và môi trường xung quanh, mà chính là cách nhìn nhấn mạnh nhất vào sự phức tạp và khó khăn của an toàn thông tin. bất kể bạn có đầu tư bao nhiêu, thì sự an toàn của bạn không được quyết định bởi những việc bạn làm, mà phụ thuộc vào việc kẻ tấn công bỏ ra bao nhiêu thời gian và tiền của để tấn công bạn.

nếu bạn càng làm nhiều, thì có thể kẻ tấn công càng phải tiêu tốn nhiều tài nguyên hơn, nhưng không phải lúc nào cũng được như thế. kẻ tấn công khôn ngoan sẽ dành hết tài nguyên của hắn để tấn công vào điểm yếu nhất trong hệ thống phòng thủ của bạn. thành ra nếu mà làm nhiều mà không làm đúng, thì cũng thua.

mà mình thấy có gì đó mâu thuẫn ở đây. bạn starghost ở đây thì kêu là đừng xem nhẹ những phức tạp trong an toàn thông tin, nhưng lại cho rằng one-time pad là tuyệt đối an toàn. mình đồng ý one-time pad là tuyệt đối an toàn, nhưng đó chỉ là khi xét one-time pad là một hệ quả của một định lý trong lý thuyết thông tin. nghĩa là nếu loại bỏ hết những phức tạp của hiện thực, thì one-time pad là an toàn, theo lý thuyết. nhưng nếu tính luôn cả những khó khăn hay phức tạp của hiện thực, thì mình thấy trong lịch sử đã hơn một lần, người ta sử dụng one-time pad nhưng vẫn bị tấn công như thường. Thử tìm trên Internet những gì liên quan đến VENONA bạn sẽ thấy.

còn về việc vô tác dụng hay không vô tác dụng, theo ý của mình là nó có làm cho việc tấn công của attacker có khó đi hay không, attacker phải tốn nhiều tài nguyên hơn hay không. nếu mà đạt được tiêu chí đó, điều mà mình nghĩ là tất cả các phương thức phòng thủ hợp lý đều phải có, thì chỉ cần xem xét về tính khả thi của phương thức đó (về lợi ích, về chi phí, về sự chấp nhận của người dùng) là có thể triển khai được. bạn thử nói vài cái tiêu chuẩn của IEEE hay IETF RFC được triển khai rộng rãi mà vô tác dụng, không đem lại hiệu quả gì hết cho việc phòng thủ?

vả lại, có câu nói, "attacks only get better, they never get worse", có nghĩa là có thể phương pháp phòng thủ hôm nay còn có tác dụng, nhưng nó sẽ trở nên vô dụng trong một thời điểm nào đó ở tương lai. vấn đề cần phải xem xét là khi nào (nó là kết quả của quy trình tái đánh giá rủi ro). nên chẳng có gì lạ, nếu một phương thức trở nên mất hết tác dụng của nó, sau khi đã được triển khai thành công vài năm.

tuy vậy mình nghĩ ở đây, trong môi trường của vn, thì phương thức dùng bàn phím ảo, cho đến bây giờ, vẫn có đất dụng võ.

@levuhoang: vấn đề của bạn là bạn có thể defeat được virtual keyboard, nên bạn cho rằng nó không cần thiết. vừa rồi, ở blackhat, có thằng làm cái tool ssl-mitm (ý tưởng thì cũ nhưng cách làm có nhiều cái hay), thế thì ssl trở nên không cần thiết nữa, chuyển qua xài http hết cho rồi? nói về otp token hay matrix card, thì chúng nó cũng chẳng an toàn, khi gặp phải các loại mitm trojan, thế thì không nên xài chúng luôn?

để đánh giá về mức độ hữu dụng của một phương thức phòng thủ, thì mình nghĩ chỉ đứng nhìn ở góc độ kỹ thuật không thì sẽ chẳng thấy được gì cả. muốn đánh giá, phải đưa phương thức phòng thủ đó vào một ngữ cảnh cụ thể, chi phí triển khai, lợi ích đem đến, và một bản phân tích rủi ro cụ thể liệt kê những mối nguy nào, lỗ hổng ra sao, tần xuất xảy ra, mức độ thiệt hại...rồi từ đó mới biết được có nên triển khai hay không. bạn levuhoang với bạn starghost thử làm một cái bản phân tích như thế xem sao?
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 30/03/2009 07:36:08 (+0700) | #6 | 175235
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]

choc_ wrote:
@StarGhost: hehehe ở đây mình đang nói đến việc bảo vệ các giao hoạt động trên Internet mà ta, one-time pad có thể ứng dụng thực tế để bảo vệ các hoạt động trên Internet được không bạn? nếu được, nhờ bạn starghost chỉ vài đường để mình nghiên cứu xem. bạn nhớ nghĩ đến các yếu tố chi phí, khả năng được người dùng chấp nhận luôn nha. 

Tại sao mình nhắc đến one-time pad, vì mình muốn nói với bạn rằng khi làm khoa học, người ta rất kị đưa ra những nhận định kiểu tuyệt đối mà không có chứng minh đầy đủ. Còn ở đây thì ai cũng biết one-time pad có được sử dụng hay không? Tại sao?

choc_ wrote:

xem an toàn thông tin là một hàm của tài nguyên của kẻ tấn công, mình nghĩ không những nó không bỏ qua sự phức tạp của an toàn thông tin và môi trường xung quanh, mà chính là cách nhìn nhấn mạnh nhất vào sự phức tạp và khó khăn của an toàn thông tin. bất kể bạn có đầu tư bao nhiêu, thì sự an toàn của bạn không được quyết định bởi những việc bạn làm, mà phụ thuộc vào việc kẻ tấn công bỏ ra bao nhiêu thời gian và tiền của để tấn công bạn. 

Khi làm khoa học, người ta cũng rất kị sử dụng các khái niệm toán học để định nghĩa những từ tổng quát và abstract, vì các khái niệm trong toán học đều có định nghĩa chính xác rõ ràng, đem chúng vào diễn đạt các từ tổng quát và abstract hầu hết sẽ tạo nên sự mâu thuẫn nếu không có sự khéo léo và cẩn thận cực kỳ. Function là cái gì, nó cần những cái gì đi cùng với nó, và nó phải thỏa mãn điều kiện gì? Nói thật cái kiểu định nghĩa mà bạn đưa ra yếu và mơ hồ vô cùng, đặc biệt sai về mặt toán học.

choc_ wrote:

bạn thử nói vài cái tiêu chuẩn của IEEE hay IETF RFC được triển khai rộng rãi mà vô tác dụng, không đem lại hiệu quả gì hết cho việc phòng thủ? 

Bạn lại hiểu sai những gì mình nói, mình nói có những cái được đưa vào trong IEEE và RFC, chứ mình không nói có những tiêu chuẩn IEEE và RFC vô tác dụng về security bạn ạ. Ví dụ đơn cử, trong IEEE 802.11 std có sử dụng một cái open authentication mà thực sự là đáng vứt đi. Tuy nhiên chỉ vì backward compatibility nên người ta vẫn phải để nó ở đấy, và tất cả các wireless AP vẫn phải implement nó, mất đứt một rtt, giảm mobility mà chả làm được gì.

choc_ wrote:

@levuhoang: vấn đề của bạn là bạn có thể defeat được virtual keyboard, nên bạn cho rằng nó không cần thiết. vừa rồi, ở blackhat, có thằng làm cái tool ssl-mitm (ý tưởng thì cũ nhưng cách làm có nhiều cái hay), thế thì ssl trở nên không cần thiết nữa, chuyển qua xài http hết cho rồi? nói về otp token hay matrix card, thì chúng nó cũng chẳng an toàn, khi gặp phải các loại mitm trojan, thế thì không nên xài chúng luôn?

để đánh giá về mức độ hữu dụng của một phương thức phòng thủ, thì mình nghĩ chỉ đứng nhìn ở góc độ kỹ thuật không thì sẽ chẳng thấy được gì cả. muốn đánh giá, phải đưa phương thức phòng thủ đó vào một ngữ cảnh cụ thể, chi phí triển khai, lợi ích đem đến, và một bản phân tích rủi ro cụ thể liệt kê những mối nguy nào, lỗ hổng ra sao, tần xuất xảy ra, mức độ thiệt hại...rồi từ đó mới biết được có nên triển khai hay không. bạn levuhoang với bạn starghost thử làm một cái bản phân tích như thế xem sao? 

Bạn choc_ chắc còn chưa đọc kĩ bài trước của mình. Mình đã nói là chưa có ai khẳng định gì ở đây cả, mà bác Hoàng đưa nó lên đây cũng chính là vì những điều bạn nói ở trên. Cám ơn bạn đã đề nghị, đáng tiếc mình bị hạn chế cả về thời gian và kiến thức nên có lẽ không làm được cái bản phân tích này.
Mind your thought.
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 30/03/2009 10:14:47 (+0700) | #7 | 175248
[Avatar]
ham_choi
Member

[Minus]    0    [Plus]
Joined: 03/09/2006 21:42:03
Messages: 396
Offline
[Profile] [PM]
Cái tool bác LeVuHoang đưa ra ở trên cũng còn phải phát triển nhiều lắm mới defeat nổi Virtual Keyboard. Vì :
+ Tool chỉ nhận tối đa 30 lần click chuột , thế nên trước khi nhấp vào bàn phím ảo , tui click vài cái vớ vẩn ngoài Desktop là xong .
+ Tool này không có chức năng ghi nhớ => ghi xong 30 click nó không save lại , tắt đi thì làm sao mà biết người ta đã click những gì .
+ Bây giờ tui mở notepad ra , gõ full 26 chữ cái nà . Pass tui có những ký tự nào thì tui copy ký tự đó ra là xong.

Khắc phục điểm yếu của bàn phím ảo , theo tui đó là chúng ta nên có thêm chức năng như: mỗi lần load bàn phím ảo thì nó sẽ hiện lên cặp phím random bắt người ta phải nhấn đè bao nhiêu lần rồi mới được click chuột , chẳng hạn như: "Mời bạn nhấn 2 lần tổ hợp phím Ctrl+Alt và click thêm 3 ký tự X,Y,Z trước khi gõ password thực sự của bạn" . Chữ X,X,Z sẽ là captcha random. Như vậy , trước khi gõ pass , user phải nhấn tổ hợp phím Ctrl+Alt 2 lần , click thêm X,Y,Z trên màn hình theo yêu cầu thì mới enable được bàn phím ảo , lúc đó mới được phép click chuột xài bình thường.

Làm theo phương pháp trên , sẽ chống được cái tool Virtual Keyboard Defeat . Để bảo mật hơn , ta có thể tăng 3 ký tự X,Y,Z thành 6 ký tự. User phải click hết 6 ký tự yêu cầu + x lần tổ hợp phím thì mới xài được bàn phím ảo . Lúc này , nếu có chương trình capture hình ảnh thì cũng bó tay , họa chăng nó phải chụp với tốc độ 1 hình mỗi giây thì mới bắt hết được toàn bộ thao tác của user , nhưng làm như thế thì số lượng hình ảnh sinh ra rất lớn , không khả thi cho hacker

If love were human it would know me
In a lost space come and show me
Hold me and control me and then
Melt me slowly down
Like chocolate !
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 30/03/2009 10:26:21 (+0700) | #8 | 175251
[Avatar]
ham_choi
Member

[Minus]    0    [Plus]
Joined: 03/09/2006 21:42:03
Messages: 396
Offline
[Profile] [PM]
Nhưng mà , cho dù làm cách nào đi chăng nữa , tui thấy cũng không an toàn đâu , vì khi cải thiện bàn phím ảo thì các hacker tiếp tục cải thiện tools của bọn nó smilie . Không có gì là hoàn hảo và trường tồn mãi mãi được. Hôm nay fix xong , ngày mai lại thấy cái tít : Tool chống virtual keyboard v2 được đăng trên mấy cái diễn đàn underground . Thế đấy (>_<smilie
If love were human it would know me
In a lost space come and show me
Hold me and control me and then
Melt me slowly down
Like chocolate !
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 30/03/2009 11:36:57 (+0700) | #9 | 175263
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Có lẽ bạn choc_ không có đủ thời gian để đọc kỹ post của tui và StarGhost.
Tui đưa ra lý thuyết, và câu hỏi làm sao để khắc phục được nhược điểm của phương pháp hiện tại. Và nếu không, thì có phải phương pháp này đã lỗi thời, đến lúc thay thế bằng 1 phương pháp mới hay không.

@ham_choi: Bạn cũng vậy, Hoàng nghĩ bạn nên đọc kỹ nội dung topic. Đây là 1 dạng của PoC. Ai nói bạn tool chỉ nhận tối đa 30 lần click chuột? Bạn có thử maximize cái window lên chưa? Do chỉ là concept, nên không cần phải save xuống file làm gì, mặc dù điều này có thể làm được và làm dễ dàng. Thú thật là tui không có hứng thú lắm với những bài tranh luận chỉ xem qua loa như vậy.
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 30/03/2009 11:59:17 (+0700) | #10 | 175268
[Avatar]
ham_choi
Member

[Minus]    0    [Plus]
Joined: 03/09/2006 21:42:03
Messages: 396
Offline
[Profile] [PM]
@ham_choi: Bạn cũng vậy, Hoàng nghĩ bạn nên đọc kỹ nội dung topic. Đây là 1 dạng của PoC. Ai nói bạn tool chỉ nhận tối đa 30 lần click chuột? Bạn có thử maximize cái window lên chưa? Do chỉ là concept, nên không cần phải save xuống file làm gì, mặc dù điều này có thể làm được và làm dễ dàng. Thú thật là tui không có hứng thú lắm với những bài tranh luận chỉ xem qua loa như vậy. 


Ủa , sao mình maximize nó trắng xóa à ? Mình xài Vista Ultimate SP1 32 bit

phải chăng Virtual Keyboard là một tiện ích không cần thiết? 


Cần thiết nhưng nên cải tiến , cách cải tiến thì tôi đã đề xuất ở trên.

P/s: Bạn LeVuHoang trông đợi một bài thảo luận thế nào để bạn hào hứng ?! Tôi không hiểu ý bạn lắm ????
If love were human it would know me
In a lost space come and show me
Hold me and control me and then
Melt me slowly down
Like chocolate !
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 30/03/2009 14:05:01 (+0700) | #11 | 175290
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Cái vk là để chống key logger, và nó thực hiện tốt việc đó.
Nhưng nêú là mouse click logger như trên, thì nó ko chống đc.
attacker dùng mouse click logger thì trả cost nhiêù hơn key logger vì dữ liệu hình ảnh to hơn, truyền đi sẽ lâu hơn và ko thể tự động hoá việc phân tích dữ liêụ mà phải có ng xem.
Ng ta có tìm cách giảm hiệu quả của mouse click logger (mcl), như là cách bổ sung khả năng khi mouse over 1 button nào đó x giây thì coi như bấm phím đó, ko có click nên mcl ko ghi lại đc.
Tuy nhiên mouse moving logger lại ra đời để khắc phục cách chống đó. Nhưng Cost lại lớn hơn nưã.
Nói chung nó là sự rươt đuổi. Tác dụng lớn nhất của vk là nó loại bỏ bớt các attacker ko thể trả đc cost ở mức nào đó, giảm đi rủi ro, vậy thôi.
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 30/03/2009 14:38:33 (+0700) | #12 | 175293
choc_
Member

[Minus]    0    [Plus]
Joined: 27/01/2009 06:46:01
Messages: 122
Offline
[Profile] [PM]
@StarGhost: mình đang nói về cái khác, không hiểu sao bạn lại nghĩ là mình đang phát biểu một định lý nhỉ? àh thì ra là do bạn đang nghĩ về khoa học. buồn cười quá :-D. mình nghĩ phát biểu của mình chỉ nên được hiểu là một đúc kết, rút ra được từ mớ empirical data của mình. nếu bạn tin mình, thì bạn tin là nó đúng. nếu bạn không tin, thì thôi, chẳng có gì nghiêm trọng.

hehehe từ rày về sau, mình sẽ chú ý, mỗi lời của bạn StarGhost phát biểu trên HVAOnline đều sẽ là một định lý, hay một kết quả khoa học với đầy đủ thí nghiệm, dữ liệu để kiểm chứng. như thế thì quá hay.

@LeVuHoang: bạn àh, bài của bạn rất đơn giản, ý cũng bình thường, chỉ họa chăng là mù mới đọc kô được, nên mình nghĩ bạn bỏ cái kiểu argument "bạn không đọc rõ ý mình" đi. mình cũng đã trả lời đúng vào ý mà bạn muốn nói rồi.

bạn cứ chăm chăm vào việc, "àh thằng vk này có nhược điểm, fix nó thế nào, nếu mà không fix được thì thay bằng cái mới". mình có nói đó là ở góc nhìn về kỹ thuật nó sẽ đơn giản như vậy. cái gì sai thì cứ sửa. nhưng mà đặt nó vào một ngữ cảnh làm dịch vụ bán cho khách hàng, thì mọi chuyện không đơn giản như vậy.

nhược điểm của vk thì mình nghĩ, và như bạn cũng đã nói, người ta đã biết đến từ lâu. nhưng tại sao biết nó có nhược điểm, nhưng người ta vẫn làm? (khác với cái ý của bạn, nếu mình không nhầm, là làm rồi, mới thấy nó có nhược điểm). chỉ có hai lý do: hoặc là citibank (và những bank khác) toàn những thằng ngu hoặc là vk dễ làm, đem đến hiệu quả cao hơn chi phí bỏ ra và khách hàng chấp nhận nó.

...

thôi, mình chán topic này rồi.
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 31/03/2009 00:12:45 (+0700) | #13 | 175342
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
@choc_ : StarGhost rất chắc về toán và những nhận định của bạn ấy rất chuẩn và thú vị . Mình rất thích những chia sẻ của StarGhost .
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 31/03/2009 04:26:51 (+0700) | #14 | 175375
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
@ham_choi: Trắng là do nó không vẽ lại thôi. Hiện nay nó sẽ là 5 dòng và unlimited cột.

Hiện nay đã có 1 vài gợi ý:
ham_choi: Nhấn phím để bắt đầu nhập password. Công cụ để defeat keyboard không chụp hình theo giây mà chụp hình theo mỗi lần "click" chuột. Tool trên chỉ dùng cho mục đích đưa ra concept, giả lập trường hợp: điều này "làm được", tức bao gồm cả save, nén lại, gởi về... gì gì đó. Nên bạn không cần quan tâm đến việc mở rộng cho nó. Về vấn đề mở notepad ra gõ 26 kí tự thì keylogger có thể đoán biết được ông nào có dấu hiệu "*" để bắt đầu bẫy clipboard. Hơn nữa, gõ đủ 26 chữ để copy từng từ thì có vẻ hơi mệt quá smilie. Như mình trông đợi ở trên, là đề xuất ra để nâng cao tính bảo mật hiện tại hoặc 1 phương án thay thế. Bạn đi đúng chủ đề ở phần sau của bài viết smilie

myquartz: Dừng con trỏ chuột ở 1 nút x giây để xem như tự động click. Cách này thì trả giá về thời gian. Nếu kí tự khoảng 10 từ thì mất khoảng 10s (1s cho 1 lần click).

choc_: Rất tiếc, bạn chóc không có góp ý nào.

StarGhost: one-time pad

của tui: Cho phép người dùng tải 1 công cụ chống capture màn hình? OTP, Matrix card.


... Mời các bạn khác
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 31/03/2009 11:44:29 (+0700) | #15 | 175434
seraphpl
Member

[Minus]    0    [Plus]
Joined: 04/12/2006 19:52:12
Messages: 97
Location: xxx
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]
Mình mò ra đc ý này:
Tạo Virtual Keyboard (VK) sao cho kí tự không hiện trên ô của từng phím mà chỉ rê chuột tới nó mới hiện lên trên "ô cái" ổ vị trí ngẫu nhiên sao cho vừa xa ô đó. Nhưng vấn đề đặt ra là nếu Virtual Keyboard Defeat (VKD) chụp full màn hình mỗi lần click thì sao. Mặc dù cái này hơi tốn dung lượng lưu nhưng mà cũng có thể lấy đc password.
Keylogger có thể thấy những gì chúng ta thấy, đọc những gì chúng ta gõ, do đó có chống cỡ nào cũng rất mệt
Còn việc nó có nghe những gì chúng ta nói và những gì mấy tính nói không thì mình chưa biết nên thiết nghĩ gắn 1 cái loa với 1 cái mic để thay đổi phương thức truyền dữ liệu đã.
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 31/03/2009 12:09:35 (+0700) | #16 | 175438
[Avatar]
ham_choi
Member

[Minus]    0    [Plus]
Joined: 03/09/2006 21:42:03
Messages: 396
Offline
[Profile] [PM]
Hiện nay đã có 1 vài gợi ý:
ham_choi: Nhấn phím để bắt đầu nhập password. Công cụ để defeat keyboard không chụp hình theo giây mà chụp hình theo mỗi lần "click" chuột. Tool trên chỉ dùng cho mục đích đưa ra concept, giả lập trường hợp: điều này "làm được", tức bao gồm cả save, nén lại, gởi về... gì gì đó. Nên bạn không cần quan tâm đến việc mở rộng cho nó. Về vấn đề mở notepad ra gõ 26 kí tự thì keylogger có thể đoán biết được ông nào có dấu hiệu "*" để bắt đầu bẫy clipboard. Hơn nữa, gõ đủ 26 chữ để copy từng từ thì có vẻ hơi mệt quá . Như mình trông đợi ở trên, là đề xuất ra để nâng cao tính bảo mật hiện tại hoặc 1 phương án thay thế. Bạn đi đúng chủ đề ở phần sau của bài viết 


Nếu xài chiêu gõ vài chữ cái ra notepad rồi thực hiện copy thì keylogger không "đoán biết" nổi để mà bẫy Clipboard đâu . Nói cho rõ hơn , cái thao tác copy ký tự này có bị lộ hay không là do người dùng thôi. Nếu 1 user lão luyện và có trình IT tốt thì keylogger và ngay cả tool bác Hoàng đưa cũng bó chiếu thôi.

Tôi giả lập tình huống nếu Virtual Keyboard đã được cải tiến và trên máy có cài keylogger + Virtual Keyboard Defeat với 1 user lão luyện kinh nghiệm như sau:

- User mở notepad và gõ (không nhất thiết phải gõ hết 26 chữ cái , chỉ gõ 1 chuỗi vô nghĩa có chứa ký tự trong pass của mình thôi). Lúc này Keylogger ghi lại các chữ cái này và Virtual Keyboard Defeat chưa có tác dụng ngoại trừ việc ghi lại hình ảnh tọa độ click chuột.

- User mở trang web có chứa virtual keyboard đã được cải tiến lên(có thể là web ngân hàng chẳng hạn). Lúc này mặc định keyboard chưa được enable vì chưa nhấn tổ hợp phím Ctrl+Alt+6 ký tự captcha random. Để enable bàn phím , user này sẽ làm theo hướng dẫn của virtual keyboard. Lúc này keylogger sẽ ghi lại 2 phím Ctr+Alt do user đã bấm , còn 6 click ký tự random sẽ do virtual keyboard defeat ghi lại.

- Sau khi làm theo yêu cầu của Virtual Keyboard thì bàn phím được enable. Lúc này user click vớ vẩn vài cái trên Desktop. Tiếp theo user dùng tổ hợp phím Alt+tab (nhấn đè phím Alt và nhấn khoảng 10 lần phím tab để đánh lạc hướng keylogger) để mở chọn cửa sổ Notepad. Sau đó , user focus con trỏ chuột vào bất cứ chữ nào trong loạt ký tự trong notepad. Hắn dùng phím Ctrl+End và Ctrl+Home để trỏ con chuột vào cuối văn bản và đầu văn bản. Tiếp đó hắn dùng phím mũi tên để di chuyển dấu nháy. Đến chữ nào cần copy hắn đè shift và nhấn phím mũi tên để highlight chữ đó và nhấn Ctrl+C. Mở trang cần nhập pass dán vào. Làm lần lượt cho các ký tự còn lại . Tuy nhiên user sẽ kết hợp click chuột trên bàn phím ảo chứ ko phải chỉ có copy không thôi (chẳng hạn pass có 10 ký tự , user copy 5 ký tự , click chuột trên virtual keyboard 5 ký tự còn lại).

Đến đây là xong . Password nhập thành công , và chúng ta hãy thống kê xem keylogger và Virtual Keyboard Defeat ghi được những gì smilie => ghi được rất nhiều thao tác nhưng đều là thao tác hết sức rời rạc nên hacker không thể nào đoán biết được password của user.

Kết luận: Với Virtual Keyboard cải tiến theo đề xuất của tôi và 1 user có ý thức bảo mật pass tốt (user này cũng phải biết IT một chút) thì Keylogger lẫn Virtual Keyboard cũng bó tay thôi . Ghi được nhiều nhưng không thể chắp nối dữ liệu được vì quá rời rạc.

Nói chung nhân tố con người quyết định phần lớn. Virtual Keyboard cải tiến chỉ giúp gia tăng các ký tự fake nhằm qua mặt Virtual Keyboard Defeat.

Cái gì cũng có cái giá của nó thôi . Nếu muốn an toàn thì sẽ gây sự mắc công + khó chịu cho người dùng smilie


If love were human it would know me
In a lost space come and show me
Hold me and control me and then
Melt me slowly down
Like chocolate !
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 31/03/2009 12:34:55 (+0700) | #17 | 175444
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Đã upload source code theo đề nghị của 1 số thành viên:
http://vietcoders.com/downloads/VKdefeatSrc.zip
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 31/03/2009 12:39:04 (+0700) | #18 | 175446
seraphpl
Member

[Minus]    0    [Plus]
Joined: 04/12/2006 19:52:12
Messages: 97
Location: xxx
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]
Thứ 1:
Mình không hiểu bạn ham_choi muốn làm những thứ rắc rối đó (enable bàn phím, copy paste notepad, tab 10 lần,....) để làm gì khi mà keylogger (loại siêu cường có fullscreen smilie ) có thể ghi lại tất cả cả chụp fullscreen.

Thứ 2:
Bạn muốn kết hợp copy paste với VK sao.
Lúc bạn click chuột thì keylogger đã chụp lại vị trí con trỏ trong ô password và suy ra cái kí tự vừa click là dấu "*" nằm ở đâu rồi.

Tóm lại là có lão luyện cỡ nào mà dùng đi dùng lại 1 phương thức thì cũng chết thôi smilie)
Trừ khi chủ dịch vụ và người sử dụng có quy ước 1 phương pháp mã hóa riêng nào đó, kết hợp OTP và người sử dụng luôn mang theo cái máy mã hóa riêng theo thuật toán đã quy ước (dĩ nhiên là máy này không bị nhiễm độc gì, mà nếu có cũng chả sao vì máy này không có bất cứ kết nối gì bên ngoài). smilie
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 31/03/2009 12:58:18 (+0700) | #19 | 175450
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
Hì hì, khoan nói tới khoản rườm rà, chỉ nói đến "phương pháp" bảo mật của bác ham_choi chỉ dành cho "user lão luyện" thì thua rồi. Một phương pháp được đưa ra sử dụng phải đảm bảo an toàn + tiện dụng, tiện dụng ở đây là đối với người dùng bình thường và người dùng có kinh nghiệm. Không phải người dùng có kinh nghiệm có nhiều tiền hơn người dùng bình thường đâu (j/k).
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 31/03/2009 14:28:09 (+0700) | #20 | 175471
[Avatar]
ham_choi
Member

[Minus]    0    [Plus]
Joined: 03/09/2006 21:42:03
Messages: 396
Offline
[Profile] [PM]
Nói chung , mấy cái thao tác của user mà tôi trình bày ở trên không có gì là ghê gớm. Cũng chỉ là thao tác căn bản thôi mà các bác. Bất cứ người dùng Windows nào cũng phải biết ! Nếu không biết thì coi như chưa học qua lớp Windows căn bản , hoặc mới xài máy tính lần đầu.

Mình không hiểu bạn ham_choi muốn làm những thứ rắc rối đó (enable bàn phím, copy paste notepad, tab 10 lần,....) để làm gì khi mà keylogger (loại siêu cường có fullscreen ) có thể ghi lại tất cả cả chụp fullscreen. 


Đúng là keylogger chụp full screen đc , nhưng trên thực tế chức năng này không được dùng vì file ảnh sinh ra rất nặng , không thuận tiện send qua mail cho hacker. Vả lại chụp full screen chỉ phát huy tác dụng nếu được setup chế độ chụp mỗi giây. Mà như vậy số lượng ảnh sinh ra rất lớn => hacker cũng ko dùng được cách này . Thường thường thì keylogger capture 3 phút/hình , mà như thế thì có xem cũng không biết gì hết , vì trong 3 phút user đã thực hiện rất nhiều thao tác rồi (miss quá nhiều thao tác).
If love were human it would know me
In a lost space come and show me
Hold me and control me and then
Melt me slowly down
Like chocolate !
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 31/03/2009 14:55:35 (+0700) | #21 | 175474
choc_
Member

[Minus]    0    [Plus]
Joined: 27/01/2009 06:46:01
Messages: 122
Offline
[Profile] [PM]
mình bầu cho bạn ham_choi giải thưởng "chuyên gia từ trên trời rơi xuống" trong tháng này.
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 31/03/2009 16:13:47 (+0700) | #22 | 175475
[Avatar]
rongchaua
Elite Member

[Minus]    0    [Plus]
Joined: 19/01/2003 04:09:23
Messages: 124
Offline
[Profile] [PM]
Hi lão Lê,
theo ý lão rồng thì hãy xét về bản chất của VK là được tạo ra để chống Keylogger chứ không phải để chống Clicklogger. Cho nên dù VK có cải tiến cách mấy thì cũng không qua được Clicklogger vì nó không được tạo ra để chống Clicklogger. Giống như kêu cải tiến thuốc chữ "táo bón" để chữa được luôn "tiêu chảy" thì cũng hơi khó...khó...
Còn giải pháp thì có sao để vậy đi. Như theo ý kiến của lão là cài một cái anti-screen-capture vậy nếu dùng 1 cái anti-virus free luôn thì sẽ an toàn hơn. Dù gì cũng phải cài ở client 1 phần mềm đó mà. smilie.

Cũng chỉ là thao tác căn bản thôi mà các bác. Bất cứ người dùng Windows nào cũng phải biết 

Đó chỉ là lý thuyết bạn đặt ra thôi. Mà lý thuyết thì nó xa thực tế cả ngàn dặm đó bạn àh.
My website: http://rongchaua.net
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 01/04/2009 05:56:33 (+0700) | #23 | 175545
[Avatar]
ham_choi
Member

[Minus]    0    [Plus]
Joined: 03/09/2006 21:42:03
Messages: 396
Offline
[Profile] [PM]
Ý tường khác :

- Cứ hễ User click 1 ký tự thì virtual keyboard sẽ kêu click thêm 2 ký tự ngẫu nhiên khác , nhưng 2 ký tự mà keyboard kêu click thêm thì không chuyển vào password form. Làm như thế để xen kẽ lẫn lộn giữa ký tự thật (pass thật của user) và ký tự fake ấy mà . Ưu điểm cách làm này là không yêu cầu trình độ IT của user phải pro. Các bác nghĩ sao ? smilie (cách này theo ham_choi nghĩ là tốt hơn so với cách cũ mà ham_choi đã nghĩ ra trước đây)

mình bầu cho bạn ham_choi giải thưởng "chuyên gia từ trên trời rơi xuống" trong tháng này. 


Không hiểu ý bạn luôn ?
If love were human it would know me
In a lost space come and show me
Hold me and control me and then
Melt me slowly down
Like chocolate !
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 01/04/2009 11:59:33 (+0700) | #24 | 175590
seraphpl
Member

[Minus]    0    [Plus]
Joined: 04/12/2006 19:52:12
Messages: 97
Location: xxx
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]

ham_choi wrote:
Ý tường khác :

- Cứ hễ User click 1 ký tự thì virtual keyboard sẽ kêu click thêm 2 ký tự ngẫu nhiên khác , nhưng 2 ký tự mà keyboard kêu click thêm thì không chuyển vào password form. Làm như thế để xen kẽ lẫn lộn giữa ký tự thật (pass thật của user) và ký tự fake ấy mà . Ưu điểm cách làm này là không yêu cầu trình độ IT của user phải pro. Các bác nghĩ sao ? smilie (cách này theo ham_choi nghĩ là tốt hơn so với cách cũ mà ham_choi đã nghĩ ra trước đây)
 

Mỗi lần click thì VKD loại bỏ, không ghi nhận 2 kí tự dư thì sao mà lẫn đc hè?

Ý tưởng của mình đây nè:

- Mỗi ô kí tự khi sự kiện có mouse_over thì bên 1 ô trống, sẽ hiện lên mã của kí tự đó (ví dụ: Ctrl+Alt+F+1), khi hết mouse over thì ô trống đó sẽ không hiện nữa.
- Người dùng khi nhập mật khẩu chỉ cần rê chuột tới kí tự trong mật khẩu, nhớ cái mã đó rê chuột ra ngoài. Sau đó gõ cái mã đó vào, cứ vậy làm lần lượt từng kí tự một của mật khẩu.

Về cái mã của từng kí tự, đó là mã ngẫu nhiên do dịch vụ cấp. Mỗi lần vào khung đăng nhập thì mỗi mã khác nhau.

Do đó, nếu keylogger có biết được mã kí tự thì lần sau đăng nhập, cái mã đó cũng không còn giá trị.

Nhận xét & Cải tiến
Giả sử:
- Mật khẩu là : aaa
- Mã của kí tự "a" là: Ctrl+Alt+F+1
Theo cách trên thì user sẽ nhập vào Ctrl+Alt+F+1 Ctrl+Alt+F+1 Ctrl+Alt+F+1
Do đó Keylogger có thể đoán biết mật khẩu chỉ chứa 1 loại kí tự và Bruce force (hoặc tương tự)
Do đó, để làm tăng tính khó khăn thì mỗi lần rê mouse_over, sẽ có 1 mã kí tự ngẫu nhiên mới được tạo ra.
Chú ý khoảng cách giữa các ô kí tự trên VK phải đủ xa để bước rê chuột ra ngoài chỗ trống được dễ dàng.
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 01/04/2009 12:01:43 (+0700) | #25 | 175591
choc_
Member

[Minus]    0    [Plus]
Joined: 27/01/2009 06:46:01
Messages: 122
Offline
[Profile] [PM]
rồi thêm một ứng cử viên là seraphpl cho danh hiệu "chuyên gia từ trên trời rơi xuống".
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 01/04/2009 12:43:18 (+0700) | #26 | 175601
seraphpl
Member

[Minus]    0    [Plus]
Joined: 04/12/2006 19:52:12
Messages: 97
Location: xxx
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]

choc_ wrote:
rồi thêm một ứng cử viên là seraphpl cho danh hiệu "chuyên gia từ trên trời rơi xuống". 

Hì hì, cao quá mình không dám nhận. smilie
cách giải thích của mình quá khó hiểu, đặc biệt đối với người "chán topic này rồi" chăng? Nếu có gì khó hiểu thì có trao đổi. smilie
Hoặc là người ta hiểu nó mà không biết cách nhận xét, chỉ nói được mỗi câu đó chăng? Nếu thế thì vui lòng đứng nhìn thôi hen smilie
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 01/04/2009 13:41:42 (+0700) | #27 | 175611
[Avatar]
ham_choi
Member

[Minus]    0    [Plus]
Joined: 03/09/2006 21:42:03
Messages: 396
Offline
[Profile] [PM]
@choc_ : Bạn muốn gì thì nói rõ ra đi , đừng nói theo kiểu đó , tôi dị ứng lắm. Nếu bạn không tham gia đóng góp thì có thể xem thôi , không phải reply. Bạn đồng ý chứ ?

@seraphpl:

Mỗi lần click thì VKD loại bỏ, không ghi nhận 2 kí tự dư thì sao mà lẫn đc hè?  


2 ký tự random thêm vào mà tôi đề xuất chỉ là ý tưởng thôi . Chứ thực ra lập trình viên có thể code cho nó random 4 hoặc 5 ký tự , và mỗi lần load keyboard đều khác nhau (không bao giờ cố định số ký ). Cách này là khả thi nhất rồi , và dễ sử dụng ngay cả với người dùng phổ thông.
If love were human it would know me
In a lost space come and show me
Hold me and control me and then
Melt me slowly down
Like chocolate !
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 02/04/2009 01:37:16 (+0700) | #28 | 175678
seraphpl
Member

[Minus]    0    [Plus]
Joined: 04/12/2006 19:52:12
Messages: 97
Location: xxx
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN] [ICQ]

ham_choi wrote:
@choc_ : Bạn muốn gì thì nói rõ ra đi , đừng nói theo kiểu đó , tôi dị ứng lắm. Nếu bạn không tham gia đóng góp thì có thể xem thôi , không phải reply. Bạn đồng ý chứ ?

@seraphpl:

Mỗi lần click thì VKD loại bỏ, không ghi nhận 2 kí tự dư thì sao mà lẫn đc hè?  


2 ký tự random thêm vào mà tôi đề xuất chỉ là ý tưởng thôi . Chứ thực ra lập trình viên có thể code cho nó random 4 hoặc 5 ký tự , và mỗi lần load keyboard đều khác nhau (không bao giờ cố định số ký ). Cách này là khả thi nhất rồi , và dễ sử dụng ngay cả với người dùng phổ thông. 

Có thể khả thi với những trường hợp thông thường. Nhưng nếu cách này được đem ra sử dụng thì sau một thời gian, keylogger có thể xác định (Detect) được Cửa sổ thông báo số kí tự ngẫu nhiên, sau đó chụp lại để xác định số kí tự ngẫu nhiên thì sao (hạn chế chụp full screen)?
Khả thi nhưng về phần lâu dài thì phải xem xét lại.

Có cách nào để keylogger không xác định được số kí tự ngẫu nhiên không nhỉ?
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 08/04/2009 23:05:23 (+0700) | #29 | 176228
[Avatar]
bln102
Member

[Minus]    0    [Plus]
Joined: 07/01/2009 16:50:22
Messages: 20
Offline
[Profile] [PM]

ham_choi wrote:
Nếu xài chiêu gõ vài chữ cái ra notepad rồi thực hiện copy thì keylogger không "đoán biết" nổi để mà bẫy Clipboard đâu . Nói cho rõ hơn , cái thao tác copy ký tự này có bị lộ hay không là do người dùng thôi. Nếu 1 user lão luyện và có trình IT tốt thì keylogger và ngay cả tool bác Hoàng đưa cũng bó chiếu thôi.

Tôi giả lập tình huống nếu Virtual Keyboard đã được cải tiến và trên máy có cài keylogger + Virtual Keyboard Defeat với 1 user lão luyện kinh nghiệm như sau:

- User mở notepad và gõ (không nhất thiết phải gõ hết 26 chữ cái , chỉ gõ 1 chuỗi vô nghĩa có chứa ký tự trong pass của mình thôi). Lúc này Keylogger ghi lại các chữ cái này và Virtual Keyboard Defeat chưa có tác dụng ngoại trừ việc ghi lại hình ảnh tọa độ click chuột.

- User mở trang web có chứa virtual keyboard đã được cải tiến lên(có thể là web ngân hàng chẳng hạn). Lúc này mặc định keyboard chưa được enable vì chưa nhấn tổ hợp phím Ctrl+Alt+6 ký tự captcha random. Để enable bàn phím , user này sẽ làm theo hướng dẫn của virtual keyboard. Lúc này keylogger sẽ ghi lại 2 phím Ctr+Alt do user đã bấm , còn 6 click ký tự random sẽ do virtual keyboard defeat ghi lại.

- Sau khi làm theo yêu cầu của Virtual Keyboard thì bàn phím được enable. Lúc này user click vớ vẩn vài cái trên Desktop. Tiếp theo user dùng tổ hợp phím Alt+tab (nhấn đè phím Alt và nhấn khoảng 10 lần phím tab để đánh lạc hướng keylogger) để mở chọn cửa sổ Notepad. Sau đó , user focus con trỏ chuột vào bất cứ chữ nào trong loạt ký tự trong notepad. Hắn dùng phím Ctrl+End và Ctrl+Home để trỏ con chuột vào cuối văn bản và đầu văn bản. Tiếp đó hắn dùng phím mũi tên để di chuyển dấu nháy. Đến chữ nào cần copy hắn đè shift và nhấn phím mũi tên để highlight chữ đó và nhấn Ctrl+C. Mở trang cần nhập pass dán vào. Làm lần lượt cho các ký tự còn lại . Tuy nhiên user sẽ kết hợp click chuột trên bàn phím ảo chứ ko phải chỉ có copy không thôi (chẳng hạn pass có 10 ký tự , user copy 5 ký tự , click chuột trên virtual keyboard 5 ký tự còn lại).

Đến đây là xong . Password nhập thành công , và chúng ta hãy thống kê xem keylogger và Virtual Keyboard Defeat ghi được những gì smilie => ghi được rất nhiều thao tác nhưng đều là thao tác hết sức rời rạc nên hacker không thể nào đoán biết được password của user.

Kết luận: Với Virtual Keyboard cải tiến theo đề xuất của tôi và 1 user có ý thức bảo mật pass tốt (user này cũng phải biết IT một chút) thì Keylogger lẫn Virtual Keyboard cũng bó tay thôi . Ghi được nhiều nhưng không thể chắp nối dữ liệu được vì quá rời rạc.

Nói chung nhân tố con người quyết định phần lớn. Virtual Keyboard cải tiến chỉ giúp gia tăng các ký tự fake nhằm qua mặt Virtual Keyboard Defeat.

Cái gì cũng có cái giá của nó thôi . Nếu muốn an toàn thì sẽ gây sự mắc công + khó chịu cho người dùng smilie


 


Tớ nói thật lòng, sau khi đọc bài của bạn thì muốn... té ngửa luôn smilie
Khá nhiều dân IT, LTV mắc cái tật rất không nên khi làm sản phẩm là nghĩ user nào cũng thạo vi tính như mình smilie
[Up] [Print Copy]
  [Question]   Re: Virtual Keyboard Defeat 08/04/2009 23:24:27 (+0700) | #30 | 176234
[Avatar]
bln102
Member

[Minus]    0    [Plus]
Joined: 07/01/2009 16:50:22
Messages: 20
Offline
[Profile] [PM]
Tớ đọc hết tất cả các "ý tưởng cao siêu" nhưng tóm lại vẫn không khả thi.

Theo tớ thì phải ràng buộc như sau:
- Thuận tiện, thao tác phải nhanh gọn.
- Quen thuộc với user.

* Sau đây là cách thức mà tớ cảm thấy là nhanh gọn và thuận tiện nhất:
- Khi dùng JS để khởi tạo bàn phím ảo phải tạo ra 3 nút có chứa 3 kí tự liền nhau trên bàn phím, vd: qwe, asd, zxc... Thật ra phần này cũng không quan trọng, chỉ cần 1 phím bất kỳ cũng được.
- Lắng nghe 2 sự kiện: onkeypress và onmouseover
http://www.w3schools.com/htmldom/dom_obj_event.asp

* Sử dụng:
- User đưa chuột vào phím trên VK
- User có thể nhấn bất kì 1 trong 3 phím, (vd: tớ nhất w trong qwe) là có thể nhập kí tự

* Use Case: Mật khẩu là "toi000", 3 phím ngẫu nhiên là asd
1, Over t + press: a
2, Over o + press: a
3, Over i + press: d
4, Over 0 + press: s
5, Over 0 + press: a
6, Over 0 + press: a

* Nhược điểm:
- Có thể sẽ có trường hợp attacker kỹ tính sẽ capture tại vị trí con trỏ khi bấm phím trên bàn phím.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|