Einzelnen Beitrag anzeigen

Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#10

Re: [DEC] TProtection classes

  Alt 1. Jun 2004, 15:58
In DEC Part I Version 3.0 ist eine solche Funktionalität nicht integriert. Dies hat mehrere Gründe
1.) konzeptionell gehört sowas nicht da rein
2.) solche Funktionalität ist eine Ausbesserung der "Fehler" des Betriebsystemes, hat also primär nichts mit Kryptographie zu tun
3.) jede halbwegs vernünftige Lösung des Problemes läuft auf die Vermeidung von Edit Feldern und des Keyboards hinaus, da es NIEMALS verhindert werden kann das Tastatureingaben gesnifft werden. Als kleines Beipiel: ich habe einen ATTiny Mikroprozessor programmiert der in einen PS2 Stecker eingebaut wird. Dieser Spezial Stecker, der sich in NICHTS von einem echten Stecker unterscheidet sitzt nun zwischen Keyboard und PC. Er protokolliert alle Eingaben des Benutzers und kann bei Eingabe eines Passwortes diese Eingaben an den PC senden. Desweiteren gibt es sogar Fern-Spionage-Systeme die einfach auf Funktechnischen Wege das Keyboard und den Bildschirm abhören können.
Wenn aber schon die Hardware nicht sicher zu bekommen ist dann kann es eine Softwaretechnische Lösung niemals geben.

Im besagtem Thread zeigte ich denoch eine Möglichkeit wie man fast alle Software-Spyer austricksen kann. Die Idee ist es NICHT den Spyer zu erkennen und zu deaktivieren, dies ist falsch (Keyboard Hook usw.), sondern ein Sperrfeuer von vielen Tastaturanschlägen zu prouzieren. Innerhalb dieses Sperrfeuers befinden sich die realen Tastaturereignisse. Der Clou dabei ist es eine Methode zu erfinden die es deiner Software, die ja das Sperrfeuer produziert, ermöglicht weiterhin zwischen den echten und unechten Tastaturevents zu unterscheiden. Fazit: deine Anwendung produziert viele sinnlose Tastaturanschläge, markiert diese aber mit einem komplexen und nicht reproduzierbaren Verfahren. Somit kann nur deinen Anwendung die echten Tastenevents rausfiltern und die Eingabe in einem geschützten Speicherbereich zusammenbauen. Eine primitive Spysoftware wird dagegen aber alle Tastenevents protokollieren und der Angreifer kann nicht mehr den inhaltlich richtigen Kontext reproduzieren. Er sieht eine rießige Anzahl von sinnlosen Tastenanschlägen zwischen denen sich die echten Events verstecken.

Diese Methode habe ich in einer experimentellen DEC Version entwickelt und erfunden. Sie funktionierte mit 99% aller Spyer zuverlässig auf allen Windows Systemen. Ein effektiver Software-Spyer muß demzufolge auf einer höheren Ebene ansetzen, nämlich dem Treiber-Kernel oder den Tastatur-Port manuell auslesen.
Die meisten, doch recht primitiven Spyer, gehen über die Keyboard Hooks oder Window Hooks etc.

Gruß Hagen
  Mit Zitat antworten Zitat