Небольшой эксперимент с KeePass

Информация и защита от вирусов

Модератор: YoungMax

Небольшой эксперимент с KeePass

Сообщение YoungMax » 24 ноя 2012 18:48

Уже давно пользуюсь программой-менеджером паролей KeePass и хотелось бы поделиться одним экспериментом.
Так как программа умеет вставлять данные (функция Auto-Type) в браузер (и в другие элементы, будь то окно авторизации skype, окно входа teamviewer, ...), то напрашивается логичный вопрос - защищает ли KeePass наши пароли от вредоносных программ типа KeyLogger (дословно: key - клавиша, log - заносить в журнал) ?
Вот, что говорят разработчики
по умолчанию - вы не защищены от такого рода вредоносов,но если использовать двух канальную систему запутывания (TCATO), то использование программ типа keylogger бесполезно

Вкратце о функции TCATO:
Код: Выделить всё
Вместо отправки нужных комбинация нажатий кнопок (как делает функция обычного авто-ввода), TCATO делает следующее:

1) Включает защиту событий в буфере обмена .
2) Делает копию текущей информации в буфере обмена.
3) Разбивает информацию на несколько частей.
4) Для каждой почти проверяет, возможно ли использование буфера обмена
4а) Если да, : разбивает на 2 части. Копирует/вставляет первую часть; объединяет остальные части, использую клавиатурные нажатия.
4b) Если нет: отсылает информацию в обычном режиме, использую симулирование нажатий на клавиши.
5) Восстанавливает предыдущую информацию в буфере.
6) Выключает защиту событий в буфере обмена .


Итак, вооружившись кейлоггером, провел пару экспериментов
1) Обычный авто ввод.
Код: Выделить всё
YoungMax[TAB]8RZJ

В итоге пароль украден :)

2) Используя Drag & Drop, то есть подвели курсор к звездочкам,и тянем эти звездочки в поле, которое хотим запомнить.
Итог - keylogger никак не среагировал и пароль не украден.

3) Используем защиту TCATO.
Код: Выделить всё
Keystrokes Typed
Application: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Title: Главная :: файлообменной сети FreeDom
1591644, 24.11.2012 16:16:32:
o[RIGHT]n[RIGHT]M[RIGHT]x[TAB][CTRL][LEFT][LEFT][LEFT][LEFT][LEFT]HdsMsE[RIGHT]HEMHkg[RIGHT]m[RIGHT][RIGHT][RIGHT]F

Итог - украдена последовательность нажатий, но пароль в явном виде не украден.

Хочется отметить, что можно задать параметры, затрудняющие расшифровку. Даже если украдут последовательность, то не факт, что будут ее расшифровывать :)

Что же касается защиты от воровства пароля на стадии ввода пароля для выхода в сам KeePass.
На этот случай предусмотрена функция вода пароля в защищенном режиме (подобно UAC в Windows Vista и выше). Принцип тот же, что и Dr. Web CureIt!
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

Вернуться в Защита от вирусов

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1