Pull to refresh

Comments 5

Те функции Зевса, которые Вы описываете (в части работы со смарт-картой) может вполне лигитимно выполнять любое программное обеспечение.
Насколько я понял, Зевс пытается подключиться к карте и посмотреть, что на ней находится. Тут уже вступает в действие правильность архитектуры софта, который хранит свои данные (в том числе ключи ЭЦП) на карте.

Обычно у карты, упрощенно говоря, есть 2 области памяти и, соответственно, 3 уровня привилегий.
Память: открытая, закрытая (закрытых может быть несколько областей для разных привилегий).
Роли пользователей:
— Гость. Работает с открытой памятью — обычно пользовательские сертификаты, публичные объекты.
— Пользователь. Работает со своей областью закрытой памяти — обычно в ней ключи ЭЦП, ключи аутентификации, закрытая информация прикладного ПО и пр. Так же пользователь имеет возможность сформировать ЭЦП на основе неизвлекаемых ключей.
— Администратор. Своя память, административные функции, обычно прямого доступа к данным пользователя нет, возможности формирования ЭЦП нет.

Здесь Зевс может попасть в открытую память. В этом нет ничего критичного и на безопасность никак не должно влиять. Если какое-то ПО сохранило ключи ЭЦП для работы с банковским счетом в открытой памяти… Гм, грех не украсть :)

Если Зевс попытается попасть в область пользователя или администратора, то ему будет необходимо пройти аутентификацию в карте. Сложность для Зевса в том, что «правильные» карты никогда не передают PIN карты в открытом виде. Аутентификация происходит при помощи криптографической схемы, основанной на симметричных ключах.
Но ключи вырабатываются на основе пароля. И вот если Зевс перехватит каким-то образом откуда-то пароль и сможет на его основе выполнить условия определенной криптографической схемы в определенной смарт-карте — вот это будет гроза. Не могли бы Вы пояснить — способна ли на это данная модификация?
Речь идет о доступе в защищенную область памяти, пароль для доступа получается посредством кейлоггера. Корректировать действия относительно той или иной модели устройства злоумышленник может удаленно.
Кстати после того, как пользователь прошел аутентификацию на некоторых смарт-картах, устройство какое-то время доступно для проведения операций с ним без дополнительной аутентификации (чаще всего, до выключения компьютера или отключения смарт-карты). Исследуемая нами вредоносная программа в такой ситуации может беспрепятственно взаимодействовать со смарт-картой.
Всё это интересно, но Вы немного отстали. Зевс продан. Так что скорее всего указанный функционал найдёт своё решение в другом троянце.
Зевс был продан уже много кому, а эта модификация фигурирует в реальном расследовании с довольно кругленькой суммой и уважаемым банком в качестве фигуранта. А этот цирк с продажей зевса вообще шикарен, такой спектакль разыграли уух :)
Sign up to leave a comment.