29 июня, 2018
Загадка Чёрного Квадрата.
Кто догадается, что это такое?
Это не кликбейтерский риторический вопрос :) Догадаться можно, если внимательно присмотреться к чёрному полотну. Ну, а у кого разрешение, глубина цвета и другие параметры монитора, а также встроенная любознательность не позволяют решать головоломки с цветовыми намёками скажу сразу… под катом…
Примерно так (но без намекающего «вотермарка») выглядит заблокированный скриншот экрана, снятый подозрительным приложением на компьютере, защищённом нашими продуктами (например KTS). Как так? Почему? Зачем? А вот зачем…
Киберпреступники, кибервоенщина, кибергопота и прочие кибернегодяи очень ОЧЕНЬ охочи до получения доступа к пользовательским учёткам. У всех своя мотивация (деньги, шпионаж, геростратова мания величия, слежка за партнёрами, конкурентами, супругами и т.д.), но цель одна и её пытаются достичь разными путями. Один из таких путей – делать скриншоты экрана во время заполнения формы для регистрации/входа в учётную запись.
Внимательный читатель логично спросит: зачем малваре делать скриншоты экрана, если сайты и продукты всё равно закрывают поле с вводимым паролем точками?
Ответ прост: есть множество нюансов, которые переводят исключение в ранг правила.
На самом деле, во многих случаях пользователю предоставляется возможность увидеть вводимый пароль (помните флажок «показать мой пароль» рядом с формой?). Многие сервисы для повышения юзабилити временно показывают последние символы пароля, закрывают пароль точками только при переходе на следующее поле или форматируют пароль до малочитабельного состояния, чтобы никто не подсмотрел из-за спины (ха!). Наконец, есть разные пограничные лайфхаки и инструменты (вроде pwdcrack), которые позволяют злоумышленникам отключить «точки-невидимки» и вывести пароль на экран. В общем, вероятность выводы пароля на экран далеко не нулевая, да и подсмотреть его нехитрыми малварными программными методами тоже проще простого.
Важно: угроза подглядывания пароля «из-за спины»/»записи на камеру наблюдения» (с чем борются юзабилити-методы квази-безопасности, описанные абзацем выше) ничтожно мала по сравнению с угрозой считывания пароля малварой через скриншоты экрана.
Эта функция присутствует у, пожалуй, самого известного банковского троянца Zeus и его многочисленных клонов. Например, KINS проводит специфическую атаку для получения снимков области вокруг… клика мышки! То есть если даже на сайте банка используется виртуальная клавиатура для ввода пароля или одноразовых кодов, то зловред всё равно сможет считать вводимые символы.
Кроме того, пароли – это ведь далеко не единственное, что может интересовать злоумышленников! А как насчёт реквизитов пластиковой карты, вводимых при онлайн-покупке? А проверочные вопросы для восстановления доступа к аккаунту? Личные данные? Переписка в мессанджерах? Много всего разного! Увы, экран – кладезь наших тайн и секретов, которые ни разу не для посторонних глаз и скриншотов. И ведь далеко не все знают пользуются «Безопасными платежами» или «Безопасным вводом», чтобы обезопасить «чувствительные» данные. Но и эти функции – необходимая, но недостаточная защита. У кибернегодяев остаётся лазейка – украсть данные через скриншот окна.
Для защиты пользователей от этой угрозы в наших продуктах есть специальная технология (патент RU2634168). Она перехватывает API-функции, которые позволяют приложениям снять изображение на экране. Дальше: (i) определяется какие приложения в получаемой области экрана имеют свои окна, (ii) по данным разных компонентов и подсистем (например System Watcher и SafeBanking) вычисляется критичность этих окон с точки зрения наличия там конфиденциальных/личных данных, (iii) анализируется рейтинг доверенности приложений, получающих доступ к экрану и (iv) принимается решение – блокировать скриншот или нет. Чёрный квадрат или не чёрный квадрат.
Ну и «the last but not the least»: технология защиты от скриншотов экрана помогает в обнаружении неизвестных кибератак. Подозрительная активность приложений, проявляющих повышенный интерес к чужим «окнам» снижает их (приложений) рейтинг и приближает к проактивному детекту машинным обучением через KSN или ручному анализу экспертом. Вот так, по капельке, мировым усилием и натренированным кибермозгом мы все вместе снижаем градус напряжённости в Интернете на благо каждого.