Topic: ci creiamo un programma specifico per la sicurezza dei nostri BTC (Read 3463 times)

anche se l'operazione del controllo phishing è semplice, il voler rendere la cosa funzionante su tutti i browser complica notevolmente le cose.
Per l'acquisizione dell'indirizzo, per i pochi browser che ho provato, la soluzione tasto del broweser per selezione indirizzo piu cntrl + c per acquisizione, sembra la soluzione piu semplice.
Su explorer ci sarebbe un sistema ben migliore, ma non sarebbe applicabile agli altri browser

Un'altra caratteristica stranissima
le variabile di autohotkey
 A_CaretX
 A_CaretY

(che riportano la posizione del prompt pronto a ricevere dati)
in opera funzionano, su iexplorer e chrome invece restituisce valori sballati
Magari proprio questa loro caratteristica potrebbe essere utilizzata contro i keylogger. Faro delle prove piu avanti.

Questa bozza di codice funzionante con opera è gia strutturato per funzionare con i vari browser e come puo gestire il caso specifico di cryptsy puo andare anche per altri siti, basta implementare.

Oooops. Il bello è che l'avevo anche visto, ma solo con la coda dell'occhio.

Sarà l'ora tarda. O l'età che avanza.

Comunque, leggendo qui, sembrerebbe che anche questa soluzione non sia poi così sicura: i bitcoin sarebbero custoditi per bene, ma poi un virus potrebbe modificare l'indirizzo di destinazione che l'utente legge sul PC, e quindi far spedire sul conto del cracker i bitcoin in uscita dal wallet hardware.

Devo ancora capire bene come funziona questo nuovo protocollo di pagamento...

Ti è sfuggito il jpeg del trezor nella pagina precedente.
(non è da te questa svista Stem  )

Approccio diverso per conservare in sicurezza i Bitcoin anche quando il PC dovesse venire compromesso:

http://www.bitcointrezor.com/

Ciao!

Non ero affatto sarcastico, un sistema anti phishing mi sembra una buona idea.

scusa non capisco se il tuo intervento è sarcastico.

io non ho idea di usare cicli. Esempio pratico riferito alla bozza odierna.
sono nel sito o da qualche altra parte, premo una combinazione di tasti che mi avvia il controllo e successivo inserimento user e password
prima controlla che sono con l'applicazione attiva alla pagina oggetto del mio loghin (verifica il titolo della finestra funzione di autohotkey)
e questo lo faccio
poi stabilito l'ipotetico sito in cui sono
procedo
con nslookup ( e con questo da quel che ho capito dovrei scongiurare l'indirizzamento ad un sito che non è quello che mi interessa, perche verifico che l'ip sia uguale a quello ufficiale.)

il terzo punto, prendere l'indirizzo dal browser, devo ancora studiare la cosa per farlo in modo fine e per tutte le tipologia di browser. Ci sono esempi sul forum di autohotkey che spiegano varie modaliità per fare questo.
Ma ipoteticamente su chrome anche un semplice
    send {F6}
    send ^c
    indirizzo := clipboard

mi valorizza la variabile con l'indirizzo.

Purtroppo non conosco l'inglese, ma nell'articolo di cui ho letto il link qualcuno menziona il sistema ControlSetText per inserire testo. Secondo voi puo funzionare?


 

 

Questo è interessante, potresti in effetti fare uno script che fa dei check ciclici sulle WindowName e, se fra queste ce n'è una il cui sito che si sta navigando non corrisponde a quello vero, autohotkey apre un popup con warning. Per curiosità, come fai con autohotkey a "chiedere" al browser su quale URL sta navigando ?

Questa è una buona idea! Io inoltre farei usare a Nslookup un server affidabile, come quello di OpenDNS (208.67.222.222), piuttosto che il DNS predefinito del computer.

Ottima idea, sì (finché resta fra pochi utenti, una soluzione simile scalata su centinaia di migliaia di utenti, una soluzione che aggiri volutamente la cache di Windows per fare ogni minuto centinaia di controlli sugli IP, finirebbe per generare un sacco di traffico inutile).

Qualcuno si è gia chiesto se si puo usare autohotkey  contro i keylogger

forse devo iniziare leggendo questo anche se dubito dica cose interessanti
http://www.autohotkey.com/board/topic/86344-ahk-vs-keyloggers/?hl=screen+keyboard#entry550233


Per ora sto lavorando con la funzione antiphishing

riconosce che si è a attivi su una pagina (vircurex)
a quel punto lancia istruzione dos nslookup su vircure e manda su file
cerco sul file se c'è l'ip di vircurex che avro  inserito all'inizio del programma in una variabile.
Se c'è continuo
Verifico l'indirizzo url se è uguale a quello di cryptsy
Se è uguale procedo con la fase inserimento password

il keylogger agisce a basso livello (si parla di c++ o addirittura assembler)

legge cosa stai digitando, dove stai digitando e il copia e incolla

se proprio vuoi fare qualcosa puoi creare una tastiera virtuale come kaspersky con caratteri in posizione random
ma tanto è tutto inutile se hai installato un RAT ovvero un programma che ha praticamente la gestione del tuo pc.

scrivere altri programmi vuol dire reinventare la ruota, sempre divertente aggiungo ma in questo campo trovare qualcosa che funziona davvero è quasi impossibile... dovresti scriverti una sandbox, capire se ci sono programmi attivi ecc ecc ecc... insomma kaspersky fa già tutto questo

Per quanto mi riguarda, non so se si riuscirà a fare qualcosa a prova di hacker , ma almeno avremmo qualche nozione in piu riguardo la sicurezza. Credo che si possa sperare di avere il pc pulito, ma questo non significa che lo sia per forza.
Inoltre per cadere vittima di un sito phishing non serve un malaware installato e  una semplice applicazione che controlla la corretezza dell'indirizzo potrebbe salvare l'utente distratto.

Io utilizzavo una semplice tecnica, il "rasoio di androz", al minimo sospetto, format immediato  LOL
(questo lo facevo quando non avevo ancora un cold wallet, ci si fanno meno paranoie con pochi spiccioli nel wallet)

Probabilmente non si può, dipende da com'è configurato il web server.

Quanto ad agire in modo trasparente rispetto al keylogger, non mi pare sia questo il problema, scusatemi. Qui si sta parlando di avere un malware nel computer, accettare la cosa (con tutto ciò che ne consegue, ad esempio farsi fregare l'indirizzo email e di conseguenza diversi altri accounts) e tentare di aggirare il problema.

Esistono già tool per proteggersi, come quello della two factor authentication ma, sopratutto, non esiste che uno debba avere un malware nel computer. Piuttosto che usare programmi come questo che danno l'idea di essere protetti (e poi si viene qui a lamentarsi perché in realtà il malintenzionato è riuscito comunque a fregarvi) non sarebbe il caso di iniziare un po' a capire cosa fa il nostro computer? Di prestare un po' di attenzione alla sicurezza?

Scusate l'intervento poco costruttivo, ma tutta la discussione mi pare parta da presupposti sbagliati.

managgia, speravo, vista l'impossibilità di avere  un programma che lavora in modo invisibile ai vari keylogger, di buttare tanti dati fasulli  per poi scremarli in modo invisibile. Ma se registrano pure la posizione del mouse non si puo fare. Fare una tastiera nel schermo con autohotkey sarebbe inutile visto che comunque il keylogger intercetterebbe il send del carattere di autohotkey. Se non trovo soluzioni mi fermo.

stavo provando il discorso del caricamento del sito tramite ip senza passare per dns. Con cryptsy non ci riesco

>nslookup https://www.cryptsy.com/users/login
Server:  resolver1.opendns.com
Address:  208.67.222.222

Risposta da un server non autorevole:
Nome:    https://www.cryptsy.com/users/login
Address:  67.215.65.132

nessuno dei 2 ip mi porta alla pagine di login.

Provo con altri siti e la cosa funziona. Non capisco. Si puo risolvere questo problema?

Edit
Ripensandoci invece forse si puo fare, la posizione del campo dove si inserisce la password dovrebbe trovarsi sempre in posizione diversa nel browser

(Se qualcuno conosce qualche dll magica che spedisce caratteri in modo trasparente ai keylogger, lo segnali cosi si puo fare qualcosa)

Dipende dal keylogger: ma possono essere registrati sia i movimenti del mouse che i caratteri che passano nel buffer della tastiera.
 
Per evitare questi problemi Kaspersky non a caso usa una sandbox per i siti di banche, come diceva giustamente asderz, e una tastiera on screen da cliccare con il mouse in posizioni sempre diverse proprio per impedire il funzionamento dei keylogger.

Visto che gli utenti sono abbastanza esperti, un keylogger evoluto cosa analizza? i caratteri digitati, la memoria della clipboard  la posizione dei click del mouse?

La testa sulle spalle c'è al 99% e quell'1% che frega la gente. (Quell'1% che ha fatto morire i miei pesci rossi  )

no no ma figurati mica dico di essere chissà chi! era giusto per dire che per fare un keylogger nn serve proprio un hacker mediocre (io infatti nn credo riuscirei a rifarlo ora come ora) e poi c'è sempre la difficoltà di farlo eseguire sulla macchina del soggetto!
si sa che anche windows e altri software hanno delle falle ma le day 0 (ovvero quei bug nn segnalati e nn ancora scoperti) li han davvero pochissime persone!
ecco perchè appunto nn penso che si mettano a fare sti casini per pochi bt ovviamente se uno nn ha un antivirus decente e scarica&installa di tutto...  beh lì lo becca sicuro
ecco perchè, secondo me, la dose di antivirus+cervello già basta per stare un pochettino al sicuro

Non sto certo mettendo in dubbio la tua competenza che sarà senz'altro infinitamente superiore alla mia, né la difficoltà della creazione di KL; dico solo che programmi simili sono agevolmente reperibili e utilizzabili da chiunque abbia intenzioni malevole.

Tanto di cappello ai creatori di ZT, ma credo siano stati gli utilizzatori del programma (hacker mediocri/script kiddies) quelli che hanno compiuto le razzie maggiori.

Un hacker con gli attributi non si perderà certo a bucare il mio os per quattro miseri btc, ma guarderà con interesse gli exchange

hacker mediocre?
ho creato personalmente un paio di keylogger per win e ti assicuro che nn è così banale crearne uno ad HOC per una macchina.
bisogna installare degli hook a basso livello e criptare il codice in modo dinamico e cmq si rischia di nn riuscire nell'impresa... io per esempio kaspersky nn sono riuscito a bucarlo, mi beccava ogni volta (e tralasciando che usa il sandbox per aprirti i siti web di banca&co)

da come la vedo io una cosa del genere ad alto livello puo essere molto utile, pero è vero che se lecose girano a basso livello questo strumento risulta inefficace.

Riguardo il fatto che il keylogger lavora tranquillamente anche offline, direi che si puo scartare perche inutile, la soluzione blocco temporaneo scheda di rete.

Riguardo il discorso DNS. E se invece oltre ad un controllo dell'indirizzo lanciamo la pagina da programma che punta all'ip del sito e da quello che esce per ulteriore conferma verifichiamo l'indirizzo? si potrebbe scongiurare il pisching?


purtroppo questa e la verità, bisognerebbe riuscire ad andare a basso livello anche con autohotkey. Invece ricordo che tempo fa alcuni programmi fatti contro imbrogli sui giochi, risconoscevano come fasulli i tasti inviati da autohotkey mentre i caratteri da tastiera passavano ) tutto sommato pero anche se non efficace al 100% potrebbe funzionare per quelli meno sofisticati. COmunque generare password incasinate misto  digitazione utente , send di autohotkey ( con varia modalita diverse) e incollo di clipboard, con cancellazione di alcuni caratteri mandati in send da parte di autohotkey mediante posizionamento del mouse e cancellazione, portrebbe essere una soluzione che mette in crisi anche i piu cattivi hacker  

Quando mi viene voglia preparo.

Riguardo gli antivirus, confermo che è obbligatorio averli, ma il sito pisching dove tempo fa incappai passava senza nessun problema e passava su tutti gli antivirus.
Piuttosto potrebbe essere uno strumento utile (vado un attimo off topic) wot per una navigazione su siti affidabili. Pero non è una soluzione al caso specifico del  phishing bitcoin

quello anche un'hacker mediocre può dribblarlo senza problemi

mia piccolissima esperienza
moolti anni fa, seppur munito di antivirus, firewall, antimalware ecc, sono riusciti a infilarmi un dialer che mi connetteva ad un numero a pagamento


avevo letto qlks riguardo a zeustrojan, spyeye, hanno mietuto molte vittime xkè difficilmente venivano rilevati dagli antivirus