标题: 对国内银行的网银密码保护控件分析 [打印本页]
作者: 五味堂主 时间: 2013-7-28 21:42 标题: 对国内银行的网银密码保护控件分析
前段时间对国内银行的网银密码保护控件进行了分析,大致总结出以下特点:, Z0 g' h. M* X+ D- S- v
2 `4 [: H5 L$ f2 Q( Y5 H
一、最粗心的密码安全控件% C0 T h* D- N0 r& ?5 ~
) K; n5 y& I- T7 I# y 从分析的过程来看,最粗心的密码控件非中XX行莫属。为什么这样说呢,不是说该行的网银密码控件不好,而是因为其大粗心大意了,作为国际性银行,国内数一数二的大银行,网银用户那么多,这种糟糕表现,真是让我们心疼。
0 Y7 f0 S* q3 p( l, ?
) I R1 b6 p# v* f4 V 该行的密码控件,正常情况下能够防止键盘钩子、键盘消息,但无法防范键盘驱动和键盘中断;另外一个实现了进程保护,防止进程注入,回避了很多IE自身存在的问题,这点在国内的网银中,应该说做得最好,值得肯定。. ?- [4 D6 |6 T' l( t: m+ l
9 D+ H u# e9 o0 o3 a" R2 K 但问题是出在,对控件的保护能力实在是太差,简直不够相信这是出自大行的手笔。你说你无法防止键盘钩子和键盘中断,我们也不怪你,这也正常,毕竟国内的网银安全现状就是这样。但只要把保护键盘的驱动文件和保护进程的驱动文件更改下名字,然后重启,所有的密码输入保护全部失效,键盘钩子能够实现密码拦截,键盘消息也轻易地获取到输入密码。还有更加严重的是,当密码保护能力全部失去作用后,居然登录页面的密码输入均正常,没有任何的错误或告警提示。
& J8 n6 M6 z" w0 m% J
: o( o) A" D4 ~9 T F! ^" {* P 我不知道,该行使用的是那家厂商的密码控件,估计他也离淘汰也不远了,这样做事,一定会得到市场的惩罚。另外一个值得我们思考的是,该行上密码控件前,有没有经过认真测试、有没有信息安全人员,居然这样粗心大意,这样忽悠咱们这些可爱的网银用户。就这样的做事方式,还想评今年的最佳网银安全方案,真是糟蹋我们人民大众的智慧。也希望该行,盲羊补牢,尽快将这些问题进行解决,以免给人民大众带来不必要的经济损失。
3 X( C/ r9 y! F5 o# H3 G/ o7 c6 P4 B+ P3 H0 v0 t. g
二、最创新的密码安全控件
J3 p) \7 O. y& j: M8 G; z% N5 `+ a
" Q- M1 ^8 f6 p$ Q" y 在分析国内的网银密码控件中,发现石家庄XX银行使用的密码控件比较特别。它没有和其他的银行一样,使用什么软键盘,什么键盘加密,什么键盘反钩子,但在分析中,所有的键盘钩子、键盘消息、键盘驱动和键盘中断均失效,无法拦截真正的密码输入,这点真是让我们耳目一新,看来国内还是有牛人呀。但美中不足的是,对控件的保护能力很差,也无法防止钓鱼事件的发生,看来还得下点功夫。要是这些问题能够解决,该密码控件会成为国内最优秀的密码控件。
* ^8 m7 A L4 v2 ]" \9 L4 q
# j1 Z* d8 ?3 M& X6 N) {/ q 三、最周全的密码安全控件
% {6 E1 ]* f2 G0 h9 \4 f% e4 _2 z$ c$ I0 x# {% i8 Q1 |6 ~ \7 S7 k$ o
在分析的过程中,发现光X银行(也包括国内很多银行)使用的密码控件考虑的安全因素比较全面,在很多细节方面均做得不赖,无可挑剔,其他银行或是密码控件开发商应该好好地向他学习。通过分析,该控件使用的是键盘加密控件,技术好像来自一家X国的公司,这就难怪了,X国人做事一向比较细心,而且又有那么多成功案例,所以考虑的东西也比较周全。因为我们以前分析过QQ软键盘的安全,所以一看就知道里面存在的问题,软键盘能够被破解,键盘光标没有保护,无法拦截键盘驱动,无法拦截键盘中断,这些都是它致命的硬伤,也希望他们加大研发力度,将这些功能补上。8 H' h! `7 D# l; U6 @3 ^
& u: A7 p w) @6 l' e1 ^8 ?; l 但值得我们警惕的是,国内这么多银行使用该密码控件,是否会引发金融问题,看来这个课题留给国安的人好了,也就不在我们的考虑范围了。7 i; D9 N4 q. B( H7 G7 c3 \
. j* g) F. T- h% k* a5 S7 i 四、最糟糕的密码安全控件3 y/ x: f& F( d5 ?
9 c6 g V& o G3 n 最糟糕的密码安全控件,应该属于那些使用软键盘的银行。而且使用的银行也是最多,其中还包括一些大行。我们知道,软键盘最大的软肋是截屏,但每家银行都没有做这方面的工作,按下个截屏键,就可以将屏幕截下来,我们真是无话可语。有的还可以进行软、硬键盘切换,但切换到真键盘后,一点安全措施都没有,我不知道这样设计的目的是什么,是想扰乱吗,还是有其他想法,但你也得起码做点防护呀,不要这样,这样不好,会伤网银用户的心的。当然破解软键盘的方法有很多种,以前分析过QQ2009使用的软键盘,不用截屏,只要通过点击鼠标就可以把软键盘内容拦截出来。
/ p/ ` `! O% {. z7 ^# O U3 W+ W j1 \/ a; X4 T; g8 W% H: C1 {3 T
看来,网银的安全还有很多工作要做呀,差的不是一点两点,而是很多。希望更多的人参与到网银安全的研究中来,少一点浮躁,多一份踏实;少一份利益,多一份贡献。 t% g( x& @) f( J5 q4 b
* w0 B4 R3 @* T2 q2 G' Z- I' h
H- Y" \' m7 N4 `4 L+ X$ B0 g( X& [, I
原文地址:点此 (个别字词略有修改,原文请访问原出处)
| 欢迎光临 五味堂中医、气功论坛 (http://www.wwt.com.cn/bbs/) |
Powered by Discuz! 6.0.0 |