Tastiera virtuale contro keylogger?

[Carlo]

Salve a tutti,

secondo voi una tastiera virtuale (ad esempio
quella fornita con Windows XP) è un rimedio
efficace contro i keylogger, per l'inserimento di
password ecc..


GRAZIE

[THe_ZiPMaN]

On 30/03/2012 23:12, Carlo wrote:
> secondo voi una tastiera virtuale (ad esempio
> quella fornita con Windows XP) è un rimedio
> efficace contro i keylogger, per l'inserimento di
> password ecc..

Dipende dal keylogger e dall'emulatore di tastiera.
Se il keylogger si inserisce a livello del driver di tastiera
chiaramente la tastiera virtuale non viene intercettata, ma se il
keylogger si inserisce ad un livello più alto riuscirà ad intercettare
anche quelle pressioni virtuali.

Se però la tastiera virtuale non si interfaccia con il sistema operativo
ma parla direttamente con l'applicazione il keylogger non ha più alcuna
possibilità di intercettare la pressione dei tasti. Va da sè che
esistono oltre ai keylogger anche i mouselogger.


--
Flavio Visentin

Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left

[Carlo]

On Fri, 30 Mar 2012 23:56:48 +0200, THe_ZiPMaN
<sp...@zipman.it> wrote:

>On 30/03/2012 23:12, Carlo wrote:
>> secondo voi una tastiera virtuale (ad esempio
>> quella fornita con Windows XP) è un rimedio
>> efficace contro i keylogger, per l'inserimento di
>> password ecc..
>
>Dipende dal keylogger e dall'emulatore di tastiera.
>Se il keylogger si inserisce a livello del driver di tastiera
>chiaramente la tastiera virtuale non viene intercettata, ma se il
>keylogger si inserisce ad un livello più alto riuscirà ad intercettare
>anche quelle pressioni virtuali.
>
>Se però la tastiera virtuale non si interfaccia con il sistema operativo
>ma parla direttamente con l'applicazione il keylogger non ha più alcuna
>possibilità di intercettare la pressione dei tasti. Va da sè che
>esistono oltre ai keylogger anche i mouselogger.
>

Ringrazio entrambi per le risposte.

Il dubbio mi è sorto dopo che per curiosità ho
aperto un allegato ad una e-mail decisamente
sospetta. Di quelle che chiedono password ecc.
Lo so che NON si deve fare!

Provo a descrivere meglio.
Sul mio account di Yahoo ho trovato alcune e-mail
del tipo suddetto. Ne ho aperta una a caso.
Conteneva poche parole e a sua volta conteneva un
allegato html contenente il modulo con tutte le
suddette richieste (assurde).
Al momento dell'apertura dell'allegato come di
regola è stato effettuato un controllo antivirus,
ma il mio dubbio è se quei controlli sono
sufficienti ed efficaci.
(L'allegato è stato aperto con Firefox. Dato che
uso quello.)

Ora ho installato questo addon
https://github.com/MarZab/FxKeyboard.

E' l'unico che ho trovato (bruttino).
Non so cosa ne pensate dal punto di vista della
sicurezza.

Grazie ancora.

PS: Le e-mail le ho cancellate tutte quindi non
chiedetemi altri dettagli.

[roberto]

Unilì ha scritto:
> Il 30/03/12 23.56, THe_ZiPMaN ha scritto:

>
>>
>> Se però la tastiera virtuale non si interfaccia con il sistema operativo
>> ma parla direttamente con l'applicazione il keylogger non ha più alcuna
>> possibilità di intercettare la pressione dei tasti. Va da sè che
>> esistono oltre ai keylogger anche i mouselogger.
>

> le tastiere virtuali piu' fighe pero' hanno i tasti sparpagliati in

Senza polemica (no, mento: con polemica, ma poca poca e amichevole)
ma cosa ci trovi di "figo" nel dover cercare i tasti in giro per il
monitor, invece di trovarli dove ti aspetti?
O tu conosci delle virtual keyboard specifiche per la security?

--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi rpo...@softhome.net

[THe_ZiPMaN]

On 31/03/2012 17:29, Carlo wrote:
> Al momento dell'apertura dell'allegato come di
> regola è stato effettuato un controllo antivirus,
> ma il mio dubbio è se quei controlli sono
> sufficienti ed efficaci.

Di per sè non è detto siano efficaci. Mi capita svariate volte l'anno di
aver a che fare con minacce non riconosciute da alcun antivirus.
Normalmente nel giro di 2 giorni tutti le riconoscono, ma se sei sfigato
ti becchi la bestia e sei TFU.
Una strategia difensiva efficacie è quella di navigare da una macchina
virtuale Linux con discard delle modifiche; in questo modo l'eventuale
bestia non avrà efficacia al 99.99999% e per lo 0.00001% rimanente non
ci sono problemi perché è una macchina virtuale allo spegnimento verrà
ripristinata alle condizioni iniziali.

> Ora ho installato questo addon
> https://github.com/MarZab/FxKeyboard.
>
> E' l'unico che ho trovato (bruttino).
> Non so cosa ne pensate dal punto di vista della
> sicurezza.

Non penso che aggiunga nulla in casi come questo.

[THe_ZiPMaN]

On 31/03/2012 14:24, Unilì wrote:
>> Se però la tastiera virtuale non si interfaccia con il sistema operativo
>> ma parla direttamente con l'applicazione il keylogger non ha più alcuna
>> possibilità di intercettare la pressione dei tasti. Va da sè che
>> esistono oltre ai keylogger anche i mouselogger.
>

> le tastiere virtuali piu' fighe pero' hanno i tasti sparpagliati in

> ordine casuale, in quale caso oltre al mouseloggher servirebbe un
> videologger per vedere la posizione dei tasti.

Vi sono keylogger che fanno lo screenshot del monitor ogni volta che
viene premuto un tasto del mouse. E sono più di quelli che credi :)

Alcune virtual keyboard difatti hanno la funzionalità "no click" in cui
la pressione del tasto avviene mantenendo il mouse sul carattere scelto
per più di 2 secondi, che unitamente alla random position dei tasti
consente di difendersi efficaciemente.

Va da sè che si rimane sempre in un'autenticazione monofattore, quindi
inefficace. Sono un sistema multifattore offre realmente maggiori
garanzie di sicurezza.

[BIG (Umberto)]

Carlo in data 17:29, sabato 31 marzo 2012, nel gruppo it.comp.sicurezza.varie
ha scritto:

> Il dubbio mi è sorto dopo che per curiosità ho
> aperto un allegato ad una e-mail decisamente
> sospetta. Di quelle che chiedono password ecc.
> Lo so che NON si deve fare!
>
> Provo a descrivere meglio.
> Sul mio account di Yahoo ho trovato alcune e-mail
> del tipo suddetto. Ne ho aperta una a caso.
> Conteneva poche parole e a sua volta conteneva un
> allegato html contenente il modulo con tutte le
> suddette richieste (assurde).
> Al momento dell'apertura dell'allegato come di
> regola è stato effettuato un controllo antivirus,
> ma il mio dubbio è se quei controlli sono
> sufficienti ed efficaci.
> (L'allegato è stato aperto con Firefox. Dato che
> uso quello.)

Hai fatto malissimo.
Se la mail era del tipo descritto in questo blog:
http://edetools.blogspot.it/
riferendomi all'articolo pubblicato il:
martedì 27 marzo 2012

Aprendo l'allegato, hai confermato l'esistenza del tuo indirizzo di posta (come
funziona la cosa é spiegato in quell'articolo stesso).

Per il fatto che l'antivirus tuo abbia taciuto, mi sembra ovvio, non era un
virus!

Personalmente ritengo gli antivirus et similia un danno per la sicurezza, in
quanto moltissimi si fidano da quello che dicono (o meglio, non dicono) e si
impestano a meraviglia.



--
+---------------------------------------------------------------------------+
| Se fai rifornimento dopo le 22,30 aumentiamo i prezzi di soli |
| 70 centesimi al litro. |
+-----#7---------------------Campagna contro le pubblicita` idiote.---------+

[effegi]

Il 01/04/2012 12.01, BIG (Umberto) ha scritto:

>
> Hai fatto malissimo.


Quoto.

> Aprendo l'allegato, hai confermato l'esistenza del tuo indirizzo di posta (come
> funziona la cosa é spiegato in quell'articolo stesso).
>

Quoto

> Personalmente ritengo gli antivirus et similia un danno per la sicurezza, in
> quanto moltissimi si fidano da quello che dicono (o meglio, non dicono) e si
> impestano a meraviglia.
>
>
>

Eh no. Concordo con quanto hai detto prima ma non credo sia una
soluzione NON avere l'antivirus.Sempre che sia BUONO,AGGIORNATO e in
REAL TIME. Potrà sfuggirgli l'ULTIMO trojan creato nella nottata ma su
tutto il resto scatta e ti avverte.Sta all'utente poi interpretrare le
sue segnalazioni. Il vigile t'impone l'alt col rosso ma se tu passi lo
stesso sono affari tuoi.
Ciao

--
Era il tempo delle MELE.... ora è il tempo delle PERE.

[Carlo]

On Sat, 31 Mar 2012 21:22:41 +0200, THe_ZiPMaN
<sp...@zipman.it> wrote:

>On 31/03/2012 17:29, Carlo wrote:
>> Al momento dell'apertura dell'allegato come di

>> regola č stato effettuato un controllo antivirus,
>> ma il mio dubbio č se quei controlli sono
>> sufficienti ed efficaci.
>
>Di per sč non č detto siano efficaci. Mi capita svariate volte l'anno di

>aver a che fare con minacce non riconosciute da alcun antivirus.
>Normalmente nel giro di 2 giorni tutti le riconoscono, ma se sei sfigato
>ti becchi la bestia e sei TFU.

Se per questo le e-mail in questione erano dei
primi di novembre! (era da tempo che non usavo
quell'account).
Per quanto riguarda l'antivirus č quello di Yahoo
non il mio.

[effegi]

Il 01/04/2012 12.40, Carlo ha scritto:
.

> Per quanto riguarda l'antivirus è quello di Yahoo
> non il mio.
>
>
Allora sei messo male se ti fidi di quello di Yahoo. Devi averne uno
residente sul PC, ben configurato,in real-time e di sicuro affidamento.
IMHO Avira Free...non ti costa nulla e ti da tanto.

[Carlo]

tutto è possibile ma non c'erano underscore (o
altro) per nascondere l'estensione exe.
Dopo html non c'era nient'altro.
Era questa la tua preoccupazione?

>Aprendo l'allegato, hai confermato l'esistenza del tuo indirizzo di posta (come
>funziona la cosa é spiegato in quell'articolo stesso).
>
>Per il fatto che l'antivirus tuo abbia taciuto, mi sembra ovvio, non era un
>virus!

Rispondo anche a te allegando la risposta che ho
dato a THe_ZiPMaN

le e-mail in questione erano dei
primi di novembre! (era da tempo che non usavo
quell'account).

Per quanto riguarda l'antivirus è quello di Yahoo
non il mio.

Grazie per l'attenzione

[roberto]

Unilì ha scritto:
-cut-

>> Senza polemica (no, mento: con polemica, ma poca poca e amichevole)
>> ma cosa ci trovi di "figo" nel dover cercare i tasti in giro per il
>> monitor, invece di trovarli dove ti aspetti?
>> O tu conosci delle virtual keyboard specifiche per la security?
>>
>

> ci trovo di figo che sono fatte apposta per la sicurezza;

Ecco, come vedi, mi mancava questa info. Grazie.
Avevo sempre considerato le screen-keyboard solo come ausilio per
accessibilità o comodità per tablet.

[BIG (Umberto)]

effegi in data 12:40, domenica 01 aprile 2012, nel gruppo
it.comp.sicurezza.varie ha scritto:

> Eh no. Concordo con quanto hai detto prima ma non credo sia una
> soluzione NON avere l'antivirus.Sempre che sia BUONO,AGGIORNATO e in
> REAL TIME. Potrà sfuggirgli l'ULTIMO trojan creato nella nottata ma su
> tutto il resto scatta e ti avverte.Sta all'utente poi interpretrare le
> sue segnalazioni. Il vigile t'impone l'alt col rosso ma se tu passi lo
> stesso sono affari tuoi.

Non ho detto di NON AVERE l'antivirus.
Ho detto che avere un antivirus e fidarsi ciecamente di quello (che non dice)
porta ad una falsa sicurezza. Se l'antivirus non ha abbaiato, il file allegato
setup.exe é cosa buona e giusta e va eseguito.

--
+---------------------------------------------------------------------------+
| Velocita' e alcool uccidono. Fatti una pera che e' meglio. |
| |
+-----#11--------------------Campagna contro le pubblicita` idiote.---------+

[BIG (Umberto)]

Carlo in data 13:07, domenica 01 aprile 2012, nel gruppo
it.comp.sicurezza.varie ha scritto:

> tutto è possibile ma non c'erano underscore (o
> altro) per nascondere l'estensione exe.
> Dopo html non c'era nient'altro.
> Era questa la tua preoccupazione?

No, era nell'analisi del file .html allegato che aveva due routine in
javascript.
Una avviata all'apertura dell'allegato che inviava un alert, e la seconda,
relativa all'invio dei dati inclusi nel form.
L'alert, almeno da quanto sentenziato nell'analisi fatta sul blog, porta a chi
aveva aperto la campagna di pesca ad avere sul server una lista con accanto
agli indirizzi l'informazione di messaggio aperto (mail valida) e questionario
inviato (abboccato!).

Il problema "undescore" invece é nei veri e propri virus inseriti in file
zippati che ti vengono propinati come documenti contenenti fatture et similia.
In questo caso l'antivirus dovrebbe aver abbaiato (visto che le mail sono di
mesi fa) a meno che il disgraziato possessore del dominio inchiappettato non
avesse fatto pulizia di schifezze ed aggiornato con le giuste patch.
In tal caso non avresti scaricato nulla.

[Carlo]

On Sun, 01 Apr 2012 16:01:59 +0200, "BIG
(Umberto)" <nom...@nospam.invalid> wrote:

>Carlo in data 13:07, domenica 01 aprile 2012, nel gruppo
>it.comp.sicurezza.varie ha scritto:
>
>> tutto è possibile ma non c'erano underscore (o
>> altro) per nascondere l'estensione exe.
>> Dopo html non c'era nient'altro.
>> Era questa la tua preoccupazione?
>
>No, era nell'analisi del file .html allegato che aveva due routine in
>javascript.
>Una avviata all'apertura dell'allegato che inviava un alert, e la seconda,
>relativa all'invio dei dati inclusi nel form.
>L'alert, almeno da quanto sentenziato nell'analisi fatta sul blog, porta a chi
>aveva aperto la campagna di pesca ad avere sul server una lista con accanto
>agli indirizzi l'informazione di messaggio aperto (mail valida) e questionario
>inviato (abboccato!).
>

A quanto ho capito io sono nella condizione:

mail valida
questionario non inviato

che rischi corro?

Grazie.

[Carlo]

AGGIUNGO parte di una e-mail che ho ricevuto da
questo indirizzo:

yahoo-accoun...@cc.yahoo-inc.com

OGGETTO: Verifica questo indirizzo email


Hai aggiunto di recente un nuovo indirizzo
email al tuo account Yahoo! o hai avviato la
verifica di un indirizzo email esistente. Per
verificare che questo indirizzo email sia davvero
il tuo, clicca sul link qui sotto.

Il tuo indirizzo email è stato aggiunto
all'ID Yahoo! ?si****************?. Se questa ID
Yahoo! non ti appartiene, o se di recente non hai
aggiunto alcun indirizzo email, puoi interrompere
definitivamente l'invio di messaggi relativi a
tale ID Yahoo! a questo indirizzo email. Faccelo
sapere.

La verifica dell'indirizzo email ti
consente di recuperare in tutta sicurezza le
informazioni sul tuo account in caso di
smarrimento della password. Per poter usare
l'indirizzo email nei servizi Yahoo! che
richiedono di indicarlo, devi innanzitutto
verificare che sia corretto.

=====================
Che ne pensate?
Cosa devo fare?

Quel si********** potrebbe essere relativo alle
e-mail visto che si parlava di cartaSi?

Grazie

[effegi]

Il 01/04/2012 15.51, BIG (Umberto) ha scritto:

> Non ho detto di NON AVERE l'antivirus.

ok
ciao

[BIG (Umberto)]

Carlo in data 18:44, domenica 01 aprile 2012, nel gruppo
it.comp.sicurezza.varie ha scritto:

> AGGIUNGO parte di una e-mail che ho ricevuto da
> questo indirizzo:
>
> yahoo-accoun...@cc.yahoo-inc.com
>
> OGGETTO: Verifica questo indirizzo email
>
>
> Hai aggiunto di recente un nuovo indirizzo
> email al tuo account Yahoo! o hai avviato la
> verifica di un indirizzo email esistente. Per
> verificare che questo indirizzo email sia davvero
> il tuo, clicca sul link qui sotto.

Verifica su yahoo quali mail hai impostato per contattarti.
Non credo che ci sia nesso con il discorso di prima. Avrebbero dovuto
trafugarti anche la password, a meno che il tuo account sia carlo@yahoo e pass
= carlo od altra banale (12345 quella della valigetta).
Se é il caso (sfigato) di cui sopra, probabile che la tua mail sia stata usata
per inviare spam o phishing. Anche i tuoi contatti nella rubrica sono finiti
tra le mail papabili di spam ed altro.
Magari, se la password che usi é datata, cogli l'occasione per cambiarla con
una non banale.
Il rischio che corri é indubbiamente di ricevere spam, e ipoteticamente
confermare di avere una cartasi.

Poi non saprei cos'altro dire e passo la palla ad altri.

--
+---------------------------------------------------------------------------+
| Informazioni traffico 899 04 21 21 |
| |
+-----#14--------------------Campagna contro le pubblicita` idiote.---------+

[Carlo]

On Sun, 01 Apr 2012 21:05:19 +0200, "BIG
(Umberto)" <nom...@nospam.invalid> wrote:

>Carlo in data 18:44, domenica 01 aprile 2012, nel gruppo
>it.comp.sicurezza.varie ha scritto:
>
>> AGGIUNGO parte di una e-mail che ho ricevuto da
>> questo indirizzo:
>>
>> yahoo-accoun...@cc.yahoo-inc.com
>>
>> OGGETTO: Verifica questo indirizzo email
>>
>>
>> Hai aggiunto di recente un nuovo indirizzo
>> email al tuo account Yahoo! o hai avviato la
>> verifica di un indirizzo email esistente. Per
>> verificare che questo indirizzo email sia davvero
>> il tuo, clicca sul link qui sotto.
>
>Verifica su yahoo quali mail hai impostato per contattarti.
>Non credo che ci sia nesso con il discorso di prima.

Infatti, ma ma ne sono accorto dopo.

Grazie

[ObiWan]

> > Al momento dell'apertura dell'allegato come di
> > regola è stato effettuato un controllo antivirus,
> > ma il mio dubbio è se quei controlli sono
> > sufficienti ed efficaci.

L'antivirus becca solo quello che conosce o che, in qualche modo riesce
a riconoscere e spesso sbaglia (in positivo o negativo); non che sia
inutile, ma è solo una protezione aggiuntiva come (es.) l'airbag o le
cinture di sicurezza di un'auto; non impedisce che uno viaggi a 300
Km/h nè garantisce che schiantandosi contro un treno si sopravviva

> Di per sè non è detto siano efficaci. Mi capita svariate volte l'anno
> di aver a che fare con minacce non riconosciute da alcun antivirus.
> Normalmente nel giro di 2 giorni tutti le riconoscono, ma se sei
> sfigato ti becchi la bestia e sei TFU.

Ed in questi casi, è già tutto "grasso che cola"; le bestiacce più
pericolose sono quelle che se ne stanno buonine, senza farsi notare,
senza popups nè rallentamenti e che, nel frattempo, intercettano tutto,
poi quando scatta il "trigger" ci si ritrova con un qualcosa di non
riconosciuto (dato che nessuno sino a quel momento lo aveva notato) che
ha già spedito "a casina sua" tutto quello a quale ha avuto accesso :P

> Una strategia difensiva efficacie è quella di navigare da una macchina
> virtuale Linux con discard delle modifiche; in questo modo l'eventuale

Si, questa è una, ma non mette al riparo dai KL hardware; ovvio che c'è
comunque da considerare cosa si vuole/deve proteggere; ad esempio, nel
caso di windows e di utenze "normali" basterebbe qualcosa come

http://www.mechbgon.com/srp/index.html

per mettersi al riparo da parecchie rogne; del resto insistere
nell'usare un sistema windows come "administrator" equivale all'usare
un sistema linux come "root", in entrambi i casi si tratta di una
*cattiva* idea :)

[Oblomoff]

Dipende dal keylogger e dall'emulatore di tastiera.
Se il keylogger si inserisce a livello del driver di tastiera
chiaramente la tastiera virtuale non viene intercettata, ma se il
keylogger si inserisce ad un livello più alto riuscirà ad intercettare
anche quelle pressioni virtuali.

Se però la tastiera virtuale non si interfaccia con il sistema operativo
ma parla direttamente con l'applicazione il keylogger non ha più alcuna
possibilità di intercettare la pressione dei tasti. Va da sè che
esistono oltre ai keylogger anche i mouselogger.

>Il programmino "SecurityTaskManager" permette di bloccare il monitoraggio
>della tastiera e/o del mouse.
>Ritenete possa essere efficiente contro i keyloggers?
>tks