Het is nog geen enkel Trojaans paard gelukt om toegang te krijgen tot mijn hoofd.

Bij KeePass kan je een keyfile gebruiken. Met het hoofdpassword maar zonder keyfile kom je dan nog steeds niet in de database.

Echter, als *alle* toetsaanslagen worden opgeslagen, dan kunnen zowel de getypte username als passwords worden doorgegeven, eventueel samen met de bijhorende url. Wie heeft er dan een keyfile nodig?

Niet als je alles kopieerd en plakt uit Keepass naar de webpagina... zoals ik doe.

Met KeePass type je de credentials niet over maar kopieer je ze. Ik weet niet precies hoe die trojan werkt maar als het echt toetsaanslagen zijn dan omzeil je dat daarmee. En al zouden klembordacties wel worden meegenomen dan heb je nog steeds alleen maar de credentials van de site waar je op dat moment wou inloggen. Met de rest van de database kan die trojan dan niks omdat je de keyfile niet hebt.

Ik denk dat ze het hoofdwachtwoord bedoelen en niet de wachtwoorden die je opgeslagen hebt in de database. Keyfile is niet verplicht.

Username en password knip/plak je dus zoals Vorkbaard al aangaf, maar die keyfile bevat wel al je info.

Het artikel zegt: "Again, by using a keylogger, the malware can capture the “master password,” which lets cybercriminals unlock and access the entire user/password database."

Als je een keylogger op een systeem kan zetten, kan je ook vrij eenvoudig de keyfile er af halen en deze offline uitlezen.

Ik gebruik KeePass. Mijn hoofdwachtwoord voer ik deels handmatig via het toetsenbord in en deels d.m.v. een Yubikey in statische modus. Yubikey genereert dus een deel v.h. wachtwoord alsof je het via een toetsenbord intikt. Daarnaast gebruik ik een keyfile. Verder gebruik ik Trusteer Rapport van ING en antivirussoftware. Ik heb een paar vragen.

Vraag 1: is Citadel in staat om de input van Yubikey te onderscheppen?

Vraag 2: Op de webpagina van securityintelligence.com, waarnaar in bovenstaand artikel verwezen wordt, komt de naam Trusteer voor. Is de beveiligingsoplossing, waarover in dat artikel gesproken wordt ook geintegreerd in Trusteer Rapport?

Vraag 3: Een keyfile wordt niet via een toetsenbord ingevoerd, maar in het KeePass inlogscherm wordt in een apart veld naar de locatie verwezen. Is die verwijzing ook te onderscheppen door Citadel?

Vraag 4: Als het antwoord op vraag 3 'ja' is. Is Citadel dan in staat om de fysieke locatie van de keyfile te benaderen. (bv. op de harddisk, usbkey, sdcard, google drive) en kan Citadel deze keyfile dan uploaden naar hun servers?

Daarom heb ik een tijdje geleden voor de softwareBus een artikel geschreven hoe je wachtwoorden zou kunnen bedenken en onthouden in je hoofd. http://www.reindejong.nl/1001-wachtwoorden-maken-en-onthouden

Het is ook nog geen Trojaans paard gelukt mijn stukje papier of pen te hacken :-)
(briefje wel veilig bewaren natuurlijk)

Keepass door bruce? huh?

Hij wordt gequote op de site. Maar is toch niet de ontwikkelaar?

We hebben het hier wel over Citadel mensen, ZeuS 2.0, wat zeg ik, 3.0 inmiddels.
Niveautje ring0 + webInjects; een bestandje uitlezen is echt geen probleem.
Misschien is het automatisch uitlezen van de gekoppelde keyfile nog niet standaard geïncorporeerd, kan ik niet beoordelen, maar dat zal dan wel niet lang meer duren.


Ja hallo. tot je dat wachtwoord daadwerkelijk een keer gebruikt op een geïnfecteerd systeem natuurlijk...
En laat daar nu net KeePass voor ontwikkeld zijn, dat met een eigen API werkt.

Heel dat KeePass was juist bedoelt tegen keyloggers, trojans en vergeetachtigheid.
Dat werkt nu dus niet meer tegen dit soort ellende, gelukkig nog wél tegen vergeetachtigheid en het kwijtraken van papiertjes :p

Kijk, da's een goede.

1] In principe wel ja, het is HD-input, (= dezelfde API als reeds al gebruikt wordt door Citadel,) en omdat het een statisch token betreft, is dat ook later door de aanvaller te gebruiken.

Als aanvulling, Citadel is ook in staat om het wachtwoord uit het invoerveld zelf te lezen, mits het om een applicatie of site gaat die gescript is in Citadel.
Het gaat daarbij vooral om mail & commerce, spam en centen dus. Vandaar ook de term banking-trojan.

2] De autheur van het artikel, Dana Tamir, is directrice van een op de zakelijke markt gerichte afdeling van IBM Trusteer. Ik mag hopen van wel dus, het is nieuws en reclame voor het eigen product tegelijk.

3] Ja. Citadel-clients kunnen scripts uitvoeren; het kan in feite alles met jouw systeem doen, wat jij zelf kan als administrator, en meer. Dat wil niet zeggen dat het nu al een standaard-feature is, maar dat zal nog wel komen.
Ook LastPass en andere populaire PW-vaults zullen ongetwijfeld op korte termijn aandacht krijgen.

4] Ja.


Maar dat betekent niet dat er niets te doen is tegen Citadel.
Het is en blijft een trojan, die via verschillende kanalen wordt verspreid maar, bij mijn weten dan, altijd interactie of een kwetsbaar systeem vereist. Dus:
1 - OS, browser en andere applicaties (AV, FW, plug-ins, Office, etc. etc.) goed instellen.
2 - OS, browser en andere applicaties goed up-to-date houden.
3 - Niet overal op klikken, oppassen voor social engeneering (links, attachments, updates, codecs, cracks, etc.)
4 - Letten op afwijkend gedrag (beetje systeemkennis vereist)
5 - Regelmatig off-line (LiveCD) scannen.

Het opvallende aan Citadel is overigens, dat het vaak AV's uitschakelt en websites van AV-boeren ontoegankelijk maakt, maar dat is niet noodzakelijk altijd het geval.

Tevens is het juist dat IBM Trusteer-gebeuren, dat constant strijdt levert met banking-trojans zoals deze.
Ik beschouw de oplossing zelf als "erger dan de kwaal," maar het moet wel gezegd worden dan het tot nu toe uitstekend lijkt te werken voor de ING. Credit where credit's due.

The program was initiated by Bruce Schneier at Counterpane Systems
http://en.wikipedia.org/wiki/Password_safe

Daar heb je een punt. (Overigens Voor het kwijtraken van briefjes tegen te gaan kun je het briefje bijvoorbeeld in een klapper te stoppen, dat maakt het kwijtraken misschien iets moeilijker :-)