Sichere Eingabehilfen

DirectX und andere vermeintliche Eingabehilfen.

 
maxxy
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 46
Dabei seit: 04 / 2005
Betreff:

Sichere Eingabehilfen

 ·  Gepostet: 06.08.2005 - 13:02 Uhr  ·  #1
Hallo.

Habe ich doch letztens noch mit Raimund über vermeintlich "sichere" Eingabehilfen diskutiert. Hintergrund war ein Vortrag auf dem BSI Kongress, in dem ein "schlauer" Jemand der Aachener Uni behauptete, die Thematik von Keyloggern während mittels Einsatz von Technologien wie DirectInput (DirectX) zu umgehen.

Naja. War ich eigentlich nicht so davon überzeugt.

Und heute lese ich dann folgendes:

Zitat

Early this year, Citi-Bank introduced the concept of Virtual Keyboard to
defend against malicious programs like keyloggers, Trojans and spywares etc.
The bank claimed that this concept would improve the security of those using
its Internet banking facilities. Various features of this Virtual Keyboard
are -

. The Virtual Keyboard is dynamic
. The sequence in which the numbers appears will change every time,
the page is refreshed
. The Virtual Keyboard protects you from malicious 'Spy Ware' and
'Trojan Programs' designed to capture your keystrokes
. The Virtual Keyboard eliminates this risk and makes your Citibank
login that much safer and provides for a secure online banking experience


Also .. Sage ich mir.. Toll! Grund genug sich mal hinzusetzen und dieses Teil näher zu analysieren. Um sicher zu gehen, dass ich keine doppelte Arbeit verrichte, mache ich mich vorher noch auf die Suche im Google.

Dadurch stoße ich auf folgende URL

http://www.hackingspirits.com/vuln-rnd/vuln-rnd.html

und musste mich nicht mehr darum bemühen :)

Da heisst es dann:

Zitat
Early this year, Citi-Bank introduced the concept of Virtual Keyboard to defend against malicious programs like keyloggers, Trojans and spywares etc. However, the Virtual Keyboard concept can be easily defeated by using Win32 APIs to access HTML documents. Refer the PoC (Proof of Concept) for more details.


Das ist mir ein wenig zu viel "Introduction" für heute, beweisst aber meine These. Eingaben die gegenüber dem Betriebssystem zu tätigen sind, sind niemals SICHER! Egal was man für tolle Software entwickelt, letztendlich steht allem die jeweilige API des Betriebssystems entgegen. Und diese kann man bekanntlich "Hooken", also umleiten auf eigene Funktionen.

In diesem Sinne...
ronald.n
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 633
Dabei seit: 07 / 2003
Betreff:

Re: Sichere Eingabehilfen

 ·  Gepostet: 08.08.2005 - 10:52 Uhr  ·  #2
Zitat geschrieben von maxxyit29
...ein "schlauer" Jemand der Aachener Uni behauptete, die Thematik von Keyloggern währe mittels Einsatz von Technologien wie DirectInput (DirectX) zu umgehen.


Klar. Proprietäre Microsoft-Technik die einen Beitrag zur Sicherheit leistet. :roll:

Spaßige Studenten...
Gewählte Zitate für Mehrfachzitierung:   0