Door Anoniem: Ik gebruik KeePass. Mijn hoofdwachtwoord voer ik deels handmatig via het toetsenbord in en deels d.m.v. een Yubikey in statische modus. Yubikey genereert dus een deel v.h. wachtwoord alsof je het via een toetsenbord intikt. Daarnaast gebruik ik een keyfile. Verder gebruik ik Trusteer Rapport van ING en antivirussoftware. Ik heb een paar vragen.
Vraag 1: is Citadel in staat om de input van Yubikey te onderscheppen?
Vraag 2: Op de webpagina van securityintelligence.com, waarnaar in bovenstaand artikel verwezen wordt, komt de naam Trusteer voor. Is de beveiligingsoplossing, waarover in dat artikel gesproken wordt ook geintegreerd in Trusteer Rapport?
Vraag 3: Een keyfile wordt niet via een toetsenbord ingevoerd, maar in het KeePass inlogscherm wordt in een apart veld naar de locatie verwezen. Is die verwijzing ook te onderscheppen door Citadel?
Vraag 4: Als het antwoord op vraag 3 'ja' is. Is Citadel dan in staat om de fysieke locatie van de keyfile te benaderen. (bv. op de harddisk, usbkey, sdcard, google drive) en kan Citadel deze keyfile dan uploaden naar hun servers?
Kijk, da's een goede.
1] In principe wel ja, het is HD-input, (= dezelfde API als reeds al gebruikt wordt door Citadel,) en omdat het een statisch token betreft, is dat ook later door de aanvaller te gebruiken.
Als aanvulling, Citadel is ook in staat om het wachtwoord uit het invoerveld zelf te lezen, mits het om een applicatie of site gaat die gescript is in Citadel.
Het gaat daarbij vooral om mail & commerce, spam en centen dus. Vandaar ook de term banking-trojan.
2] De autheur van het artikel, Dana Tamir, is directrice van een op de zakelijke markt gerichte afdeling van IBM Trusteer. Ik mag hopen van wel dus, het is nieuws en reclame voor het eigen product tegelijk.
3] Ja. Citadel-clients kunnen scripts uitvoeren; het kan in feite alles met jouw systeem doen, wat jij zelf kan als administrator, en meer. Dat wil niet zeggen dat het nu al een standaard-feature is, maar dat zal nog wel komen.
Ook LastPass en andere populaire PW-vaults zullen ongetwijfeld op korte termijn aandacht krijgen.
4] Ja.
Maar dat betekent niet dat er niets te doen is tegen Citadel.
Het is en blijft een trojan, die via verschillende kanalen wordt verspreid maar, bij mijn weten dan, altijd interactie of een kwetsbaar systeem vereist. Dus:
1 - OS, browser en andere applicaties (AV, FW, plug-ins, Office, etc. etc.) goed instellen.
2 - OS, browser en andere applicaties goed up-to-date houden.
3 - Niet overal op klikken, oppassen voor social engeneering (links, attachments, updates, codecs, cracks, etc.)
4 - Letten op afwijkend gedrag (beetje systeemkennis vereist)
5 - Regelmatig off-line (LiveCD) scannen.
Het opvallende aan Citadel is overigens, dat het vaak AV's uitschakelt en websites van AV-boeren ontoegankelijk maakt, maar dat is niet noodzakelijk altijd het geval.
Tevens is het juist dat IBM Trusteer-gebeuren, dat constant strijdt levert met banking-trojans zoals deze.
Ik beschouw de oplossing zelf als "erger dan de kwaal," maar het moet wel gezegd worden dan het tot nu toe uitstekend lijkt te werken voor de ING.
Credit where credit's due.