Tastiera...virtuale

[Metaller62]

La domanda sembrerà banale, ma l'argomento potrebbe interessare. Tutti sanno che é possibile far apparire una tastiera sul desktop. Orbene, ho letto da qualche parte che gli input dati con quella tastiera non sono "intelligibili". Mi spiego: classico caso, accesso tramite homebanking. Ultimamente le truffe ed i furti di account sono all'ordine del giorno. Taluni dicono che, digitando le password dalla tastiera "virtuale", gli input che poi si trasformano in lettere e numeri, non possono esser carpiti dai birbaccioni (alias ****in' bastards). E' vero oppure è la solita balla messa in giro?

[Carlo]

si è vero. i classici key logger permettono di intercettare tutto ciò che viene digitato sulla tastiera. Windows 7 così come alcuni antivirus, per esempio KIS, integrano una tastiera virtuale da utilizzare in caso di necessità.

[Metaller62]

Quindi, é consigliabile usare quella virtuale per l'homebanking, se ho capito bene. OK grazie

[tiagullo]

Allora la questione della tastiera virtuale è vero in un certo senso ma non sicuro nell'altra. è più facile che un hacker ti guardi la schermata del pc che i tasti che premi sul pc. Qualche tempo fa è venuto uno che lavora in symantec a lezione mia e di pigna e con due colpi di mano ci ha fatto vedere come entrare in un pc in remoto e poter guardare lo schermo, digitare e modificare quello che fa. I keylogger sono pericolosi se li hai su pc e se vengono installati, altrimenti con la tastiera puoi fare tutto quello che vuoi! :) Quindi per concludere, non è vero che la tastiera virtuale è immune da problemi, anzi può capitare anche che sia più vulnerabile di quella fisica

[Pigna]

Allora la questione della tastiera virtuale è vero in un certo senso ma non sicuro nell'altra. è più facile che un hacker ti guardi la schermata del pc che i tasti che premi sul pc. Qualche tempo fa è venuto uno che lavora in symantec a lezione mia e di pigna e con due colpi di mano ci ha fatto vedere come entrare in un pc in remoto e poter guardare lo schermo, digitare e modificare quello che fa. I keylogger sono pericolosi se li hai su pc e se vengono installati, altrimenti con la tastiera puoi fare tutto quello che vuoi! :) Quindi per concludere, non è vero che la tastiera virtuale è immune da problemi, anzi può capitare anche che sia più vulnerabile di quella fisica

La tastiera virtuale può immunizzare nel caso di keylogger fisici(ossia dei cavettini che colleghi tra la tastiera e il pc) ma credo che per quelli software poco cambi...

[Metaller62]

Allora,non voglio addentrami in terreni che non conosco e rischiare figuracce con chi ne sa più di me. La tastiera normale, manda un input tramite segnale elettrico, che viene convertito dal sistema in un comando vero e proprio, che si identifica in una lettera, in un numero o, cmq, in un simbolo. Tale impulso elettrico é percepibile da un malintenzionato, e quindi codificabile. Con la tastiera virtuale, l'input non mi pare esista, perchè è già a video, quindi, a meno che un hacker non sia entrato nel mio pc da remoto e non stia smanettando sul mio desktop, in teoria (ripeto, in teoria) non dovrebbe/potrebbe intercettare i comandi dati alla suddetta. O no?
Ripeto, lo sto chiedendo, non affermando; mi baso solo su mera deduzione logica, quindi opinabile o errata.

[Pigna]

Si ma da quel che so io l'input elettrico lo capteresti solo inserendo un keylogger fisico(ossia tipo questo

Spoiler:

I keylogger di tipo software credo usino un sistema del tutto diverso, quindi è per quello che secondo me sia la tastiera fisica che virtuale è ugualmente vulnerabile(questa è una mia teoria, se scopro qualcosa ti faccio un fischio)....

[tiagullo]

allora quelli fisici, dipende da come sono impostati, se non mi ricordo male possono fare anche da video. Comuqnue quelli SW, leggono tutti i comandi che vengono digitati dalla tastiera, sia che siano lettere che combinazione di tasti.

[TheAlbatross]

Ciao.

Non dovrei parlare "troppo" ma... Posso assicurarti che un KL software è in grado di captare tutto quello che che viene digitato anche da tastiera virtuale. Alcuni programmi anticheat per giochi online riescono ad inibire il funzionamento dei keylogger più semplici codificati con VB6 o simili. Ma... C'è un ma. Come ha detto qualcuno sopra, mi pare, difficilmente un keylogger fa solo da keylogger. Di solito si usano veri e propri RAT (remote administration tool, come DarkComet). E ormai anche i software venduti come "keylogger" in realtà integrano funzioni di recovery password da browser (stealer), bypass UAC, spread verso dispositivi con archivi rimovibili o via programmi di instant messaging, blocco accesso a siti web particolari tramite reindirizzamento della url a ip locale modificando automaticamente il file hosts in system32, avvio a startup tramite registro (appdata e temp le più da tenere d'occhio) o dll injection o iniezione a processo di sistema (net.framework il più "esposto", che tra l'altro è necessario per far funzionare la "funzione" di keylogger stesso, scusa il gioco di parole), fake error message, inibizione di Windows Essential, bypass di svariati antivirus tramite STUB Java unico per ogni server generato. Insomma, le vie sono infinite. E son classificati come keylogger semplici ( trojanMSIL poi in realtà... ). Ovviamente sendano i log tramite protocolli e anche le screens del desktop a intervalli di tempo regolari, spesso a scelta (o via mail o sulla index di un sito web apposito... ). Di solito un antivirus se tu non metti "partecipa al programma per migliorare il software" difficilmente riesce ad identificarlo come malevolo solo dall'accesso per periodi prolungati ai vari protocolli. Ci metterà un paio di settimane ad accorgersi che è un virus. Diversamente dopo pochi giorni i file con attività sospetta di questo genere ti vengono prelevati dal pc e mandati ad analizzare sulle virtual machine del team dell'antivirus (ehm, come dire... mi son ritrovato screen su una mail di una mia "cosa" che girava in VM da loro :/ ... specifico ovviamente che è stata prelevata dal MIO pc u.u ... ).
Comunque, per norma più che mandare KL si mandano RAT criptati con programmi il cui algoritmo è privato che rimangono FUD per almeno 1 mesetto... Ora che VB non si usa più e si inizierà a sfruttare C++ e sopratutto Javascript su browser purtroppo (o per fortuna, dipende se hai altri interessi dietro la cosa) se ne vedranno sempre di più complessi e difficili da rilevare (se lo STUB di un virus non è in database l'antivirus non rileva un bel nulla a una prima analisi... ).

Ok. Ho parlato un po troppo, son passato da KL a RAT a spiegarti (credo, non lo so, non ho la pretesa di saperne di più, ma vista la domanda posta immagino di si) come vengono rilevati e cosa possono fare.

Fonti: esperienza personale e poi studio informatica :) ...

Ciao.

[tiagullo]

Ecco ha esposto più dettagliatamente quello che dicevo io :)

[Metaller62]

Ragazzi, certe volte rimango basito a leggere quello che scrivete. Per carità, mai avuta la pretesa di essere un genio al PC, ma leggendo voi, mi rendo conto di quanto sia ignorante in materia. Cmq, sintetizzando, da quello che ha scritto Albatross, i KL non sono "solo" KL ma autentici virus bastardi che non danneggiano solo la macchina, ma prelevano dati sensibili e li reindirizzano su siti malevoli, che possono prendere il controllo del tuo pc quando e come vogliono, gestirlo ecc...per non parlare dell'uso dei dati sensibili. OK la domanda viene spontanea: quali software AV sono raccomandati per avere 1 chance in più di identificarli prima che facciano casini...possibilmente lavorando in background?
P.S.: il bello di questo sito è che da un argomento che appare banale si impara sempre qualcosa di nuovo. E' cosa rara, e di questo Vi ringrazio.

[TheAlbatross]

Ragazzi, certe volte rimango basito a leggere quello che scrivete. Per carità, mai avuta la pretesa di essere un genio al PC, ma leggendo voi, mi rendo conto di quanto sia ignorante in materia. Cmq, sintetizzando, da quello che ha scritto Albatross, i KL non sono "solo" KL ma autentici virus bastardi che non danneggiano solo la macchina, ma prelevano dati sensibili e li reindirizzano su siti malevoli, che possono prendere il controllo del tuo pc quando e come vogliono, gestirlo ecc...per non parlare dell'uso dei dati sensibili. OK la domanda viene spontanea: quali software AV sono raccomandati per avere 1 chance in più di identificarli prima che facciano casini...possibilmente lavorando in background?
P.S.: il bello di questo sito è che da un argomento che appare banale si impara sempre qualcosa di nuovo. E' cosa rara, e di questo Vi ringrazio.

Ciao. Per esperienza personale ti consiglio MalwareBytes tra i "gratuiti". Coi RAT rileva perlomeno le chiavi di registro strane. Lo fa perché il crypter in realtà è fatto apposta per eludere la protezione dell'antivirus a runtime, ma non ad analisi attente. Ne va di conseguenza che se il trojan/malware generico è qualcosa di "noto" e solo il crypter ha algoritmo non pubblico venga rilevato nel 95% dei casi anche da MB.
Per quanto riguarda gli altri antivirus ho esperienza solo con Avira, AVG2013 sia in free che su licenza e MSEssential ... Partiamo da Avira. KL normale con diverse funzioni, nel mio caso, è stato rilevato a runtime ... AVG lo identifica come "sospetto" ma non lo blocca, ti chiede se vuoi "procedere" all'avvio dell'applicazione (dunque se non sei molto newbie se ti bindano un file *.bat o *.exe a qualcosa dovresti accorgertene, e anche se spooferano (in gergo) l'estensione del file... MSEssential non si è accorto di nulla. Peccato perché lo ritenevo affidabile. Comunque lo uso ancora, tanto so che non c'è nessuno che abbia tali interessi nei mie confronti in modo così specifico :) ... Ricordati sempre che il miglior antivirus resta l'utente ... Di AVG devo aggiungere una cosa.
Prima ho parlato di un software personale finito a girare su una delle loro VM.
Allora. Il file è sempre "lo stesso", in diverse versioni e con stub diverso. Liscio ... Per liscio intendo che non era criptato, bindato o simili. Dopo circa 9 ore mi son trovato la screen sulla mail (che non posto per ovvi motivi, anche perché siamo su un forum pubblico, anche se non ho commesso nessun reato, non è reato creare un malware, ed è pieno di guide su internet, ma in ogni caso negherei la veridicità di ogni riga che sto scrivendo qui, anche se iscrivendomi sul forum ho accettato le sue condizioni di contratto senza alcuna riserva :) ... ). Il giorno dopo, al successivo aggiornamento di AVG, questo ha rilevato tutto, l'ha bloccato a startup, killato il processo e i vari modi per la "permanence" in automatico (cosa che di solito MWBytes faceva solo dopo un riavvio completo del PC). Il che significa che quel "server.exe" era stato aggiunto in database. Compilando un altro server diverso era comunque FUD ad AVG ma sarebbe successa la stessa cosa. Quindi direi buono anche AVG. Gli altri mi spiace non li ho provati.
Parlando di quello criptato invece, nel caso di un KL e non di un RAT che deposita un altro file su HD, il virus è rimasto FUD per parecchio tempo. Ma c'è un ma... Spesso a seconda dell'algoritmo di criptazione succede che il virus non funziona più o perde alcune delle se funzionalità. Il che implica che vadano sempre testati prima. E testarli prima è un rischio, dato che diventerebbero UNFUD dopo poco. Il modo migliore è testarli in VM su siti di scansioni online che non raccolgono dati ( ce ne son diversi... totalscanner ecc.).
Credo sia più o meno tutto quello che so. So anche che ho visto in giro crypter con funzioni apposite per bypassare Comodo, Avira, MWBytes ecc. oltre che bloccare il raggiungimento di pagine web di scansioni online, ad esempio...

Ciao. PS: non buttarti in ste robe eh xD. Per me sono una passione perché le "studio" pure. Ma fare reverse engineering a volte è divertente :D ...

[Metaller62]

Ti ringrazio Albatross, sei stato esaustivo. Difatti io ho AVG in contemporanea con MWbytes, lo ho trovato il binomio migliore. Certo che a leggere quello che hai scritto, c'é poco da stare allegri; è come quando fatta la legge, si è già trovato il modo di aggirarla! Cmq non intendo buttarmi in queste cose, sono "vecchio", mi mancano le basi e, soprattutto, il tempo. Il mio lavoro mi costringe ad un aggiornamento continuo, e mi diletto a leggere ciò che voi "giovani" scrivete, sperando che un domani lo applichiate per migliorare la nostra società, il nostro mondo e l'ambiente che ci circonda. OK, basta retorica. Voglio solo dirti che la veridicità di quanto da te postato é stata recepita anche a livello di legislazione, con l'introduzione nella normativa penale dei c.d. "reati informatici", nella cui casistica sono ricomprese anche le fattispecie da te menzionate. Non credo, però, sia sufficiente a fermare la brutta abitudine di intromettersi nel privato altrui e di danneggiarlo, che sembra diventato uno sporto assai diffuso!La mia domanda originaria era dovuta al fatto che un mio collega ha beccato un rootkit bastardo che gli ha devastato il pc. In pratica, per non allungare il brodo,lo ha dovuto portare da un tecnico che è stato costretto alla formattazione a basso livello, cancellando tutti i docs contenuti. Un mese dopo, gli arriva la lettera di una finanziaria che gli confermava l'accensione di un finanziamento (ovviamente mai sottoscritto) per 8.000 euro. Il resto lo potete immaginare. Grazie delle risposte

[TheAlbatross]

Mi spiace per il tuo amico. Ma quello che ha beccato lui è molto più di un KL. Per chiedere finanziarie servono tanti dati sensibili. Era un rat. Anche ammettendo di fare un controllo al PC (ah. Ricorda di fargli formattare le chiavette USB e gli HD portatili in uso prima di utilizzarli nuovamente ... ) dal registro eventi potresti riuscire a capire come e magari da cosa lo ha preso. Ma per logica e senza prove. Ora ti spiego perché: i software seri si poggiano su server di hosting dati stranieri che rilasciano i dati degli utenti solo per reati estremamente gravi. Perché in realtà per usare un RAT servirebbe un contatto p2p tra PC delle vittime e PC dell utilizzatore. Ma attraverso questo sistema l'user fa il forwarding delle porte del suo router solo per ricevere e sendare i dati al server che farà da tramite. Rende tutto meno fluido ma molto più sicuro per chi usa quel software per scopi "illeciti" ... Ciao.

[Metaller62]

Scusa l'ignoranza, mi puoi dire cos'é un RAT e qual'é la differenza con i Trojan ed i Rootkit? Poi una seconda domanda:ho capito il contatto peer 2 peer, ma per fare il port forwarding da remoto, non si dovrebbe avere il controllo totale del PC?
P.S.: allora un vecchio Maxtor lo ha buttato via, perchè il virus lo ha praticamente devastato (cmq era vecchio). L'HD ext da 1 tera, invece, lo ha dovuto formattare totalmente perchè era compromesso. Ora immaginati se ti capita una cosa simile a te, persona qualunque, che riversi su HD esterni tutto il tuo lavoro e lo perdi in un attimo!