web-dev-qa-db-ja.com

機密情報を安全に入力する方法は?

私は調べることに興味があります安全でないコンピュータを与えられたどこかに機密情報を入力するための最良の方法は何ですか。

確かに、コンピューターにキーロガーや入力をキャプチャするその他のマルウェアがある場合、心配する必要のあるもっと重要なことがあります(たとえば、Googleで検索しているもの、厄介なハッカーに知られたくないものなど)かわいい犬の写真を探していること)。

しかし、LanSchoolのようなものを備えた学校のコンピューターにログインして、インストラクターがコンピューターのアクティビティを監視できるようにした場合はどうなりますか?インターネット/サイバーカフェにアクセスした場合はどうなりますか?

オンスクリーンキーボード(lastpassで提供されるものなど)はキーロガーをバイパスすると聞いています。しかし、私は妄想的です。攻撃者は、クリックするたびにカーソル位置を使用して、どのキーを押したかを推測する可能性があります。

キーロガーを持っているとすると、Webフォームやクライアントアプリなどの機密情報を入力するために使用できる効果的な方法は何ですか?

(注:「そのコンピューターを使用しないでください」と答えるのは避けてください。情報の漏えいを避けたい場合は、危険にさらされたコンピューターを使用しないでください)

1
Breeze

簡単に言えば、「1つの真の安全な方法」はありません。

なぜ、あなたは尋ねるかもしれませんか?コンピューティングは、暗黙的であろうと明示的であろうと、常に信頼に関するものだったからです。

1960年代であろうと今日であろうと、問題のマシンが期待どおりに動作することを信頼します。これはかなりの問題になる可能性があります。ソフトウェアまたはハードウェアベースのキーロガーを、いつでもすべてのメモリコンテンツにアクセスできる仮想化OS全体で処理している可能性があるためです。

ユーザーがコンピューターの前に座るたびに大量のリストをトラバースする方法はありません。コンピューティングデバイスに配置された多くのチップの1つでファームウェアを検証するなど、何かが単純に不可能です。

理解するための重要な部分は、どのくらいの信頼が必要ですか?一部の企業や政府機関では、これはファームウェアレベルまで下がる可能性があり、費用は問題ではありません。ホームユーザーにとって、これはソフトウェアベースのキーロガーやマルウェアである可能性があります。研究者にとっては、シミュレーションから正しい出力が表示されることだけを期待しているため、「なし」であることが判明する可能性があります。

問題の攻撃ベクトルの洗練度は重要です。これは、学校の環境について言及されているのを見るのに適しています。

ITスタッフ、図書館員、校長、および/または教育委員会が適切と考える理由が何であれ、学校のコンピュータラボで「監視ツール」を目にすることはよくあることです。インターネットで一般的なソフトウェアを検索できますが、ほとんどの場合、ソフトウェアキーロガーが含まれており、Windows APIにフックしてすべてのGUIウィンドウのタイトルを取得し、定期的にスクリーンショットを撮ります。

高校時代から覚えているように、画面キーボードはスパイ図書館員を防ぐのに十分です。 Autoitで、監視ソフトウェアをだますために開いていたすべてのアクティブなウィンドウのタイトルを変更するプログラムを書いたことさえ覚えています(それは私のいたずら時代からのものでした)。私の学校が使用したソフトウェアは以下にリンクされています。

ソフトウェアキーロガーと一般的な「既成の」監視ソフトウェアは、画面をクリックした場所にログを記録しません。手間がかかりすぎます。エントリの難読化を伴うKeepassは、ソフトウェアキーロガーを展開するスパイユーザーを阻止することさえできます。

Webリンク:

http://keepass.info/

http://www.netsupportschool.com/

4
dark_st3alth