¿Cómo ingresar información confidencial de manera segura?

1

Me interesa descubrir cuál es el mejor método para ingresar información confidencial en algún lugar dado un equipo inseguro.

Por supuesto, sé que si la computadora tiene un keylogger o algún otro malware que captura entradas, hay cosas mucho más importantes de las que debería preocuparme (por ejemplo, lo que estoy buscando en Google, no quiero esos molestos hackers para saber que estoy mirando fotos de perros lindos).

Pero, ¿qué sucede si estoy iniciando sesión en una computadora de la escuela que tiene algo como LanSchool para que los instructores puedan supervisar nuestra actividad con la computadora? ¿Qué sucede si estoy visitando un cibercafé de Internet?

He escuchado que los teclados en pantalla (como el dado por lastpass) omitirán a los keyloggers. Pero estoy paranoico, un atacante podría usar mi posición del cursor cada vez que hago clic para deducir qué tecla presiono.

Dado que tengo un keylogger, ¿cuáles son las formas efectivas que puedo usar para ingresar información confidencial, por ejemplo, un formulario web o una aplicación cliente?

(Nota: evite responder "no use esa computadora" porque ya sé que si quiero evitar comprometer mi información, no debería usar una computadora comprometida)

    
pregunta xTrollxDudex 30.01.2017 - 05:35
fuente

1 respuesta

4

En pocas palabras, no hay ningún "único método seguro" .

¿Por qué, podría preguntar? Debido a que la informática siempre ha tenido que ver con la confianza, ya sea implícita o explícita.

Independientemente de si fue en la década de 1960 o en la actualidad, confía en la máquina en cuestión para que actúe como espera. Esto puede ser un gran problema, ya que potencialmente, podría estar tratando con un software o hardware basado en keylogger, a un sistema operativo virtualizado completo, que tendría acceso a todos los contenidos de la memoria en cualquier momento.

No hay forma de que un usuario pueda recorrer una lista masiva cada vez que se sienta en una computadora. Algunas cosas son simplemente imposibles, como verificar el firmware en uno de los muchos chips colocados en el dispositivo informático.

La parte clave que hay que entender es ¿cuánto confianza necesito? Para algunas corporaciones y agencias gubernamentales, esto podría reducirse hasta el nivel de firmware, y los gastos no son suficientes. un problema Para un usuario doméstico, esto podría ser software basado en keyloggers y malware. Para un investigador, podría ser "no", ya que solo esperan ver un resultado correcto de una simulación.

La sofisticación de los vectores de ataque en cuestión es importante, lo que es bueno ver que se menciona un entorno escolar.

Es común ver "herramientas de monitoreo" en los laboratorios de computación de la escuela por cualquier motivo que el personal de TI, el bibliotecario, el director y / o la junta escolar considere oportuno. Puede buscar en Internet software común, pero la mayoría sí incluye un software keylogger, se engancha a la API de Windows para recuperar todos los títulos de la ventana de GUI y realiza capturas de pantalla periódicas.

Un teclado en pantalla es suficiente para protegerse contra un bibliotecario espía, como recuerdo de mis días de escuela secundaria. Incluso recuerdo haber escrito un programa en Autoit para cambiar el título de todas las ventanas activas que tenía abiertas para engañar al software de monitoreo (que era de mis días traviesos). El software que mi escuela usó está vinculado a continuación.

Un software keylogger y un software de monitoreo "listo para usar" no se registrará donde haga clic en la pantalla, es demasiado esfuerzo. Keepass con su ofuscación de entrada puede incluso disuadir a los usuarios espías que implementan keyloggers de software.

Enlaces web:

enlace

enlace

    
respondido por el dark_st3alth 30.01.2017 - 06:31
fuente

Lea otras preguntas en las etiquetas