About Teletype
Join
menaskop
@menaskop
January 25

DeFi. Безопасность. Кейлоггеры

DeFi-щик против кейлогеров

Одна из самых жутких атак, а точнее - целый сонм таковых. Осуществляться они могут по разным векторам:

  1. Аудиально;
  2. Визуально;
  3. OSINT-методами;
  4. Синтезировано;
  5. Иными, как правило, векторными видами.

Но давайте по порядку…

Кейлоггер - это что?

Для начала - визуализация атаки: https://youtu.be/j878CBcTeqU?feature=shared

Теперь - посмотрим в Wiki: “Кейлогер, кейлоггер, клавиатурный шпион (англ. keylogger, правильно читается «ки-логгер» — от англ. key — клавиша и logger — регистрирующее устройство) — программное обеспечение или аппаратное устройство, регистрирующее различные действия пользователя — нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и т. д.”.

Отсюда возникает понимание его признаков:

  1. Регистрация неких событий;
  2. Путём слежения за пользователем;
  3. Разными способам: визуальными, аудиальными и другими.

Кстати, если кто-то думает, что ему кейлоггеры не страшны, то вот вам ещё пример: “В инциденте с LastPass кейлоггер, установленный через уязвимость удаленного выполнения команд (RCE), позволил хакерам украсть учетные данные и расшифровать данные облачного хранилища”. А Lastpass - это не самое последнее ПО в этом мире. Так что - думайте сами, но я лично всегда себя ставлю на место профана в безопасности и предпочитаю учиться, учиться и ещё раз учиться, нежели думать, что уже всё знаю и умею. К тому же, купить кейлоггер-как-сервис или простое ПО стоит не дорого: от десятков баксов.

А ещё: “Кейлоггер Phoenix способен отключить более 80 защитных продуктов… (В частности), специалисты компании Cybereason изучили малварь Phoenix, появившуюся летом текущего года и представляющую собой гибрид кейлоггера и инфостилера. Вредонос распространяется по модели MaaS (malware-as-a-service, «малварь как услуга») и уже ответственен за 10 000 заражений”. Так что само по себе защитное ПО - не панацея.

И да, кейлоггер может быть где угодно:

  1. На сайте: любом;
  2. В браузерном расширении;
  3. В умных часах;
  4. На ПК в гостиницах;
  5. В украденном ПО (реже - в лицензионном и совсем уж экзотика - в open source);
  6. В видео-камерах разного типа;
  7. В левых аппаратных кошельках;
  8. В разъёме для флэшки;
  9. На самой флэшке;
  10. Где угодно ещё.

Чтобы вам стало понятнее словосочетание “Где угодно ещё” - пример: “Эксперты из Университета Огасты (США) опубликовали технический документ, в котором подробно описали созданную ими side-channel атаку. Хотя эффективность этого метода в среднем составляет 43% (что значительно ниже, чем у других похожих атак), в данном случае потенциальному злоумышленнику не требуется создавать контролируемые условия для записи аудио, и он не привязан к конкретной платформе в вопросе набора текста. Атака строится на использовании характерных звуков, издаваемых клавишами при нажатии, и паттернов набора текста, присущих каждому пользователю, которые фиксируются специализированным ПО для сбора датасетов.

То есть перед проведением атаки важно собрать несколько аудио-образцов набора текста, чтобы можно было соотнести конкретные нажатия клавиш со звуковыми колебаниями”. То есть сказать, что вы от этого застрахованы, если у вас есть 10, а то и 100 BTC, тем паче - больше, нельзя. И да, если нету - то тоже нельзя: дешёвые кейлоггеры - см. выше.

Но давайте ещё конкретней.

Этому можно противостоять? Да

Поскольку кейлоггер следит за вами, то вы можете сделать буквально следующее:

  1. Внедрить ханипоты и понять момент, когда началась слежка;
  2. Уничтожить его и тем самым - уничтожить слежку;
  3. Ввести случайные элементы для авторизации/верификации и подобных операций: например, с помощью Oauth 2.0 (рекомендую сразу же вот этот цикл от Xakep, который прочитал намедни);
  4. Использовать виртуальную клавиатуру и иные классические средства защиты от кейллогеров;
  5. И, конечно же, стандартные методы: антивирус для Win, например: не забывайте, что кейлоггер должен что=то и куда-то отправлять, поэтому даже анализ трафика в этом случае - хорошая идея, другое дело, насколько продвинутый кейлоггер вам попался: он ведь может “молчать”, пока не узнает нужных вводных и будет замаскирован: это как снайпер, который может сутками лежать в лесу и ничего не делать, а шанс распознать его будет лишь после первого выстрела (да и то, если не вы попали в обзорный вид его прицела). Вот здесь нашёл интересный пример, когда малварь оживая, гасит экран смартфона и пока пользователь мучается с включением - происходит кража. Хотя это не прямой пример, но зато вполне понятный.

Но давайте разберёмся по порядку…

Аппаратные кошельки - лучшее решение из простых

Собственно, Trezor, Ledger и другие имеют встроенную виртуальную клавиатуру, которая как раз делает опыт работы с кошельками куда более безопасной. Проблемы базовые здесь две, а вот пунктов по ним - множество:

  1. Пароль (пин-код) должен быть достаточно сложным и точно не в 4-5 символов, чтобы его нельзя было перебрать за разумное время;
  2. Помимо пароля хорошо бы использовать пасс-фразу;
  3. Самое ПО всё равно зависит от компаний, поэтому помимо обновлений - стоит ещё следить, а не вложили ли они вам своих шпионов, как это было с лАжером, а заодно - не взломан ли их ресурсы;
  4. Клавиатура не спасёт вас от внешнего наблюдателя, в том числе - такого же кейлоггера, но встроенного в камеру, например: хотя такой вектор атак - экзотика и применим разве что к китам индустрии.

Как быть тем, у кого нет аппаратных кошельков?

Даже не знаю…, но, очевидно, что:

  1. Не нарушать общие подходы к безопасности: обновлять ПО, не ходить по “левым” ссылкам и сайтам, использовать не Win, а Мак или Линух, использовать антивирусы и иное защитное ПО с проактивной защитой и базами сигнатур по кейлоггерам;
  2. Распределять активы по разным кошелькам: горячим, холодным и т.д.
  3. Если нужно использовать звук, то - отключать приём динамиками (что не всегда работает);
  4. Попробовать аппаратные средства защиты: хотя я такие, признаться, использовал один раз для тестов, да ещё и до эпохи криптовалют, поэтому советовать что-либо права не имею.

В любом случае - вам сложнее, а потому - постарайтесь быть осторожней. И помните цитату из одной важной ссылки выше: “также сложно разобрать, что пишут профессионалы, которые печатают очень быстро”. Можно ли этому научиться всем и каждому? Не уверен (точнее - уверен ровно в обратном), но это тоже способ.

У меня всё?

Нет. Дополню ещё ряд тезисов:

  1. Двухфакторная авторизация работает: ведь вы вводите код разовый, а потому, если его даже снял кейлоггер - то через несколько секунд он будет иным, а атаки за секунды - не миф, но большинства из нас они не касаются;
  2. Расширения в браузере - норма для многих DeFi-щиков, но “если есть расширения, установку которых вы не помните, отключите их, потому что они могут быть кейлоггерами”.
  3. Если у вас есть автозапуск с флешек и других носителей - отключите его: в целом - любые автоматические действия: будь то загрузка картинок в мессенджерах или что-то ещё.

Теперь - всё и

До!

menaskop
January 25, 03:02
0 views
1 reaction
0 replies
0 reposts