¿Cómo me protejo a mí mismo de los ataques de "captura de formularios"?

0

Estoy escribiendo una pieza simple de software de seguridad. ¿Me interesan las técnicas de ataque y, especialmente, cómo proteger a mis usuarios de este ataque?

Desde wiki puedo ver cómo funciona: enlaza la llamada a la API del navegador antes de enviar datos.

Es un ataque peligroso, incluso las técnicas avanzadas de ofuscación con Keylogger no funcionan de esta manera.

Tengo algunos conocimientos sobre las aplicaciones de enganche y de sandbox, pero no estoy seguro ... si hago un sandbox / virtualizo todas las llamadas de API desde el navegador, ¿esto puede proteger a mis usuarios?

ACTUALIZACIÓN : Vergüenza, ¿no hay nadie que entienda la pregunta?

    
pregunta Marwen Trabelsi 23.02.2013 - 00:39
fuente

1 respuesta

1

Los ataques de captura de formularios ocurren cuando un programa / script malicioso captura su formulario con su información privada. La forma más sencilla de hacerlo es con la extensión javascript.

La mejor prevención es:

  1. use su propia computadora de confianza (malware que podría capturar datos del formulario),
  2. instale su sistema operativo / programas desde una fuente confiable,
  3. no instale extensiones de navegador / scripts de usuario (especialmente de fuentes que no son de confianza) o, al menos, use la navegación privada (con todas las extensiones desactivadas) cuando vaya a estos sitios,
  4. use un navegador moderno y actualizado,
  5. solo use contraseñas sobre conexiones https (esto hace que sea más difícil para los atacantes insertar javascript en los scripts entre sitios),
  6. También considere desactivar javascript.

EDITAR:

Mi respuesta original se refería principalmente a su título How do i protect myself from "Form grabbing" attack? en lugar de indicarle cómo escribir software de seguridad. De lo contrario, estoy de acuerdo con CodesInChaos observación: "Es una batalla imposible de ganar".

Hay dos lugares distintos en los que se puede tomar la forma: desde el navegador (por ejemplo, un ataque XSS que carga JS malintencionado o una extensión maliciosa instalada en el navegador) O monitorear las llamadas a la API a través de hooking .

Hay una variedad de formas de conexión, pero si un usuario / malware tiene suficientes privilegios para insertar enganches API, probablemente también tengan suficiente poder para hacer que la salida de sus pruebas de detección de conexión no sea confiable.

Por ejemplo, si alguien estaba montando este estilo de ataque para registrar todas las solicitudes http / https usted podría detectar el intento de detectar si la biblioteca compartida (también conocida como DLL) ha cambiado (si se otorga cada actualización benigna a esa biblioteca se activarán falsos positivos) o contiene una cierta firma de malware.

Ahora digamos que la biblioteca compartida modificada se guarda en el disco en su forma alterada. Ahora su programa anti-enganche calcula un hashsum criptográfico para verificar que la biblioteca no haya sido modificada para compararla con la función conocida de la biblioteca sin modificar. Pero, ¿qué impide que el atacante simplemente se enganche a esas llamadas para calcular la suma de comprobación y alterar la salida para que sea la suma de comprobación pre-modificada cada vez que surja la suma de comprobación maliciosa? Nada, a menos que, por supuesto, esté analizando un disco duro de un sistema operativo seguro (por ejemplo, montó la unidad de solo lectura desde otra computadora que no esté infectada con el malware).

Por supuesto, debido a las amenazas de modificación de las bibliotecas en tiempo de ejecución, realmente necesita consultar las instrucciones en la memoria del proceso que se está ejecutando en comparación con los archivos estáticos. En este tipo de situación, realmente necesita tener el malware potencial en ejecución para capturar el ataque de enganche de API, aunque no se puede confiar en todas sus utilidades seguras ya que el sistema ya ha sido comprometido. (Aún podría escanear el disco desde una configuración segura para cualquier programa que finalmente esté modificando la memoria para insertar los ganchos de la API, pero es una tarea mucho más difícil donde solo se encuentran los tipos de ataques que debe buscar).

    
respondido por el dr jimbob 24.02.2013 - 04:03
fuente

Lea otras preguntas en las etiquetas