Psylock erstmals geknackt

[Ghandy]

Den Kollegen von Sicherheit-Online gelang vor einigen Tagen in ersten Tests, das biometrische Authentifizierungsverfahren Psylock zu umgehen. Bisher galt das Verfahren allgemein als völlig unknackbar. Bei Psylock wird das individuelle Tippverhalten des Anwenders erkannt. Ein Passwort ist hierbei für eine Anmeldung nicht mehr erforderlich.

zur News

[Robad]

was hält mich denn als Angreifer auf einfach die Zeitabstände zwischen den Tastenanschlägen mit meinem Keylogger mit aufzuzeichnen? Dann wäre es egal welche Tastatur das Opfer benutzt, oda sehe ich das falsch?

[IIWhiteHatII]

was hält mich denn als Angreifer auf einfach die Zeitabstände zwischen den Tastenanschlägen mit meinem Keylogger mit aufzuzeichnen? Dann wäre es egal welche Tastatur das Opfer benutzt, oda sehe ich das falsch?

Du müsstest mit deinem Keylogger auch gleichzeitig gedrückte Tasten, die Haltedauer der jeweiligen Tasten, die exakte Tippgeschwindigkeit, sowie diverse andere Punkte mit aufzeichnen und anschließend über das eigene System exakt wiedergeben können, dann wäre es theoretisch möglich. Die "typischen" Keylogger hätten hier aber nur sehr wenig bis keine Chancen. Es gibt aber auch weitere Punkte die ein Angreifer in Sachen Psylock beachten müsste, welche allerdings zur Sicherheit nicht öffentlich gemacht werden. Es soll keine Anleitung sein, in ein derartiges System einzudringen.

[musicjunkie]

Psylock ging am 15. März 2011 in die Insolvenz. Das Vorläufige Insolvenzverfahren wurde am AG Regensburg unter dem Aktenzeichen 4 IN 163/11 eröffnet.

hmm... gibts die software irgendwo zum testen? psylock.com ist down

greets

[sonny85]

was hält mich denn als Angreifer auf einfach die Zeitabstände zwischen den Tastenanschlägen mit meinem Keylogger mit aufzuzeichnen? Dann wäre es egal welche Tastatur das Opfer benutzt, oda sehe ich das falsch?

Genau das war auch mein Gedanke, denn was die Makro Funktion (ich vermute mal es wurde eine Logitech Tastatur verwendet) beherrscht kann man doch wohl spielend leicht auch einem Keylogger beibringen, nichts anderes ist schliesslich die Makro Funktion einer solchen Tastatur.

Dass dabei dann vielleicht noch die Haltedauer der Tasten berücksichtigt wird mag möglich aber eher unwahrscheinlich sein, denn zu pingelig darf dieser Schutz schliesslich auch nicht sein, ansonsten tippt man sich wohl zu tode wenn man mal einen schlechten Tag hat. Aber selbst wenn es berücksichtigt wird ist auch das nicht schwerer mitzuloggen als die Zeitabstände zwischen den Tasten.

Derzeit mag es vielleicht keine Keylogger geben die derart detailiert loggen, aber sollte sich das System durchsetzen ist das nur eine Frage der Zeit. Sicherer wären wohl andere biometrische Merkmale wie Fingerabdruck, Gesichtserkennung oder Irisscan.

Kann mir jedenfalls nicht vorstellen, dass das System von Psylock zuverlässig und sicher zugleich funktioniert, dafür ist ein Schreibstil denke ich nicht individuell genug, zumal ja auch Toleranzen einbezogen werden müssen.

EDIT:

Insolvent? Die Idee war wohl tatsächlich nicht der Kracher.

[C-H-T]

Wo ist denn dieses Verfahren bitte sicher? Mal abgesehen das jede G15 das Verhalten aufzeichnen kann, kenne ich auch genügend andere Makro Aufzeichner die die Zeitabstände beim Tippen berücksichtigen. Noch die Dauer der Tasten aufzuzeichnen sollte auch kein Problem sein, das geht mit jedem Event Listener.
Selbst meine Roccat Maus kann Makros aufzeichnen super System wenn alles was man dazu benötigt es zu knacken bei 30% aller Gamer zu finden ist.

Da finde ich FingerScanner noch sicherer. Hat ja nicht jeder Sekundenkleber dabei

[DanteConstantin]

Sicherer wären wohl andere biometrische Merkmale wie Fingerabdruck,

Hmm... lass uns mal überlegen wie hoch die Wahrscheinlichkeit ist, am zu knackenden Gerät die Fingerabdrücke des Besitzers zu finden?

Ich möchte hierbei noch einmal daran erinnern wie einfach es laut CCC war den Fingerabdruck von Belausche Schäuble zu kopieren.

[Metalheim]

Was mache ich eigentlich als Anwender, wenn ich eine neue Tastatur habe und deswegen anders tippe, oder mich von einem anderen Rechner einloggen möchte ?

Komme ich dann nicht rein, weil ich anders tippe

[sonny85]

Hmm... lass uns mal überlegen wie hoch die Wahrscheinlichkeit ist, am zu knackenden Gerät die Fingerabdrücke des Besitzers zu finden?

Ich möchte hierbei noch einmal daran erinnern wie einfach es laut CCC war den Fingerabdruck von Belausche Schäuble zu kopieren.

Sicher kann man auch Fingerabdrücke kopieren, aber es ist insofern schonmal sicherer, dass es in HW realisiert ist und somit zusätzlich zum Keylogger für das PW (sofern man die Techniken kombiniert und nicht alleine auf den Fingerabruck baut) noch eine Kopie des Fingerabdrucks angefertigt werden muss. Der Abdruck alleine muss aber nicht genügen, man kann unter anderem auch noch Temperatur und elektrische Leitfähigkeit des Fingers mit berücksichtigen, was es erneut schwerer macht. Kombiniert man das dann noch mit Gesichtserkennung mag es zwar immernoch Wege geben um das ganze zu umgehen, aber es wird deutlich aufwendiger. In der Regel wird man wohl aber sowieso andere Wege finden um in ein System einzudringen, fernab von lokalen Schutzmechanismen wie einem PW.

[Caarcrinolas]

Da liebe ich doch mein 0815 Keyboard das wie ein Golf2 ohne jegliche elektronische Spielereien auskommt.....

Sowas ist für die Ewigkeit gebaut und funktioniert nach Jahren noch perfekt

[IIWhiteHatII]

Für alle die es interessiert - die Funktionsweise von Psylock in einer Präsentation erklärt:
http://www.youtube.com/watch?v=_vnlo...ailpage#t=349s

[RoqueNE]

Was passiert, wenn jemand das Tippen „mitschneidet“?

Psylock verfügt über einen ausgereiften Replay Schutz, der aufgezeichnete aber auch manipulierte Tippproben erkennt und diese zurückweist.

Würde mich mal interessieren wie das realisiert wurde bzw. wie sicher das wirklich ist.
Wäre doch was für einen großen Gulli-Sicherheitstest
Macht euch mal ran ihr Spezialisten^^

Wie lange es wohl dauert bis Anonymous das geknackt hat?

Die Schwachstelle Keylogger/Trojaner existiert meiner Meinung nach hier genau so wie bei jeder anderen Form der Authentifizierung. Ist das System kompromittiert spielt es keine Rolle mehr ob sich der User per Passwort, Biometrisch oder sonstwie anmeldet ..

[IIWhiteHatII]

Würde mich mal interessieren wie das realisiert wurde bzw. wie sicher das wirklich ist.
Wäre doch was für einen großen Gulli-Sicherheitstest
Macht euch mal ran ihr Spezialisten^^

Wie lange es wohl dauert bis Anonymous das geknackt hat?

Die Schwachstelle Keylogger/Trojaner existiert meiner Meinung nach hier genau so wie bei jeder anderen Form der Authentifizierung. Ist das System kompromittiert spielt es keine Rolle mehr ob sich der User per Passwort, Biometrisch oder sonstwie anmeldet ..

Auch diese Sicherheitsfunktion war Teil des Tests.
Hier ist lediglich eine feine Änderung der aufgezeichneten Daten notwendig. Das erste Anmelden klappt wunderbar, da die abgefangenen Informationen zum ersten Mal verwendet werden. Ein weiteres Anmelden am selben Account, ist allerdings nur mit abgeänderten Daten möglich - was sich allerdings nicht als Problem darstellt, solange man ein wenig Verstand aufbringt und kapiert, wie das System arbeitet. Geringe Abweichungen der Aufzeichnung bewirken, dass die Eingabe anders, aber dennoch verwertbar ist. Ein wenig Tricky, aber machbar.

[RoqueNE]

Und so schnell geht eine doch relativ gute Idee zur Hölle

Danke für die Information

Geht halt doch nichts über ein über 20 stelliges alphanumerisches Passwort.
So etwas ist mit ein wenig Übung und ein paar Tricks auch definitiv zu merken.

[spooky2k]

psylock benutzt nicht nur ausschließlich die Zeitabstände zwischen den einzelnen Tastenanschlägen, es fließen noch mehrere Parameter ein.


psylock hat zuswm vor einigen Wochen Insolvenz angemeldet.
Naja, eswurde innerhalb der Universität Regensburg bereits nach wenigen Wochen durch den IT-Sicherheitslehrstuhl geknackt.
News also nichts neues
es grüßt ein ehemaliger Student der Uni

[bimi]

Und so schnell geht eine doch relativ gute Idee zur Hölle

Danke für die Information

Geht halt doch nichts über ein über 20 stelliges alphanumerisches Passwort.
So etwas ist mit ein wenig Übung und ein paar Tricks auch definitiv zu merken.

eben nicht

Die Schwachstelle Keylogger/Trojaner existiert meiner Meinung nach hier genau so wie bei jeder anderen Form der Authentifizierung. Ist das System kompromittiert spielt es keine Rolle mehr ob sich der User per Passwort, Biometrisch oder sonstwie anmeldet ..