Esistono exploit che consentirebbero a un utente di "falsificare" un sistema di cattura dello schermo?

Naviga le tue risposte
1

Abbiamo installato un sistema di sicurezza che cattura le immagini dello schermo dell'utente del client e le invia a un server. Le immagini vengono salvate fino a quando non arrivano al punto in cui sono abbastanza vecchie da essere cancellate. È stato utile per uno strumento investigativo quando abbiamo bisogno di scoprire se un utente ha intrapreso attività sospette. La maggior parte dei nostri utenti sulla nostra rete sono account utente standard senza accesso speciale. Con le nostre macchine principalmente Windows 7.

Come amministratore di questo sistema, mi chiedevo se questo potesse potenzialmente essere "spoofed". Come in, un utente può sfruttare il client per inviare immagini di ciò che desidera.

Modifica: mi riferisco al fatto che l'utente sia in grado di sfruttare il sistema e inviare l'immagine che desidera inviare mentre fa qualcos'altro. Non mi riferisco alla possibilità di creare una finestra in modalità a schermo intero.

    
posta Gastrocnemius 06.04.2014 - 20:39
fonte

3 risposte

1

Sì, a condizione che l'utente del computer ottenga l'accesso appropriato per scrivere nella memoria del software di acquisizione.

L'utente malintenzionato potrebbe utilizzare l'hook dell'API per falsificare lo screenshot. link Proprio lo stesso metodo utilizzato nel malware e nel gamehacking.

Assicurati che l'utente non acquisisca i diritti di amministratore e non possa utilizzare l'API OpenProcess nei processi protetti.

    
risposta data 07.04.2014 - 23:25
fonte
1

Se stai chiedendo se un utente può visualizzare uno schermo arbitrario, allora sì. Qualsiasi software in grado di visualizzare un'immagine a schermo intero (ad esempio: visualizzare un'immagine non in una finestra, ma che viene visualizzata sull'intero spazio reale dello schermo) è in grado di spoofing del sistema. La maggior parte dei software di fotoritocco può farlo, così come praticamente qualsiasi software di riproduzione video o persino browser web. Potrei fare photoshop con un'immagine credibilmente accurata di un desktop normale con qualsiasi altra cosa volessi visualizzare. Se stai chiedendo se l'utente potrebbe far acquisire un'immagine al sistema di acquisizione mentre lo stesso utente stava effettivamente facendo qualcos'altro, questo dipende dal tuo software di acquisizione delle immagini. Senza i privilegi di amministratore, probabilmente non direttamente sulla workstation. Probabilmente dovrei attaccare il sistema collegando uno dei miei computer alla rete e intercettando le richieste di rete del server al client. Probabilmente non sarebbe troppo difficile per me, se avessi accesso alla tua rete, per collegare un laptop e annusare la tua rete per scoprire il protocollo che il tuo server centrale sta usando per richiedere screenshot, e quindi creare un software che rispondesse come se fosse una delle postazioni di lavoro e restituire un'immagine della mia scelta. Il tuo sistema deve fare l'autenticazione bidirezionale con una sorta di protocollo che non è soggetto ad attacchi man-in-the-middle, come SSL.

    
risposta data 06.04.2014 - 21:10
fonte
0

Sì, sembra abbastanza discutibile. Prendi alcuni screenshot delle solite attività al momento opportuno, poi fai in modo che venga visualizzato il prossimo ogni volta che uno screenshot viene catturato. A parte questo, dipende dai privilegi che l'utente ha e da cosa intendi per "attività sospette". Una penna USB precaricata con qualsiasi cosa e mascherata come un documento, ad esempio, non dovrebbe funzionare in modo visibile.

    
risposta data 07.04.2014 - 16:56
fonte

Leggi altre domande sui tag

Certificato SSL autofirmato su chromebook (e Android) Perché l'avvelenamento da ARP non funziona per alcuni siti?