Kako se zaštititi od keyloggera. Šta je Keylogger (keylogger) i kako presresti ulazne podatke

Dobar dan svima koji su došli na naše "svetlo". Danas biti će o tome šta jeste keylogger i kako to funkcionira općenito.

Danas ne govorimo o svim poznatim uobičajenim "malware-ima" (itd.), već o nepoznatoj (širom krugu korisnika), ali ne manje opasnoj infekciji od bilo koje druge.

Shvatiti šta je to, zašto nisu potrebni (zašto su opasni), šta jesu i kako se nositi s njima - to je zaista vrijedan cilj, koji danas moramo savladati.

Pa, radu nema kraja, zasucimo rukave i idemo.
Čitamo.

Uvodno

Mislim da su oni od vas koji su prijatelji s engleskim to već pogodili keylogger(prevedeno, sa skraćenice keyboard logger) znači - snimač tastature, možemo reći da je tako, ali njihov službeni naziv (u nauci) jeste keyloggers.

Ovo "zlo" pripada klasi - špijunski softver, tj. došavši do računara korisnika (laptop / netbook / tablet, itd.), obavlja svoje prljave špijunske funkcije bez vašeg znanja, pristanka i učešća.

izgleda ovako:

Niste povezali ništa, na primjer iz dodatne usluge njegov mobilni operater i generalno ne znate ništa o ovim uslugama, međutim, novac se postepeno skida sa vašeg stanja i odlazi tamo gdje bi trebao biti.

Općenito, većina korisnika podcjenjuje keylogger kao klasa prijetnji, a ipak nosi ozbiljnu opasnost, budući da njegova glavna svrha je spremanje i prijenos prijava sa korisničkih računa, novčanika itd.

Zapravo, keylogger snima sve radnje korisnika na tastaturi, tj. to je svojevrsni "repeater" (repeater), spreman u svakom trenutku da "spoji" (gdje bi trebao biti) sve ono što vam je popravio.

Može se koristiti presretanje pritisaka na tipke redovni programi i često se koristi za pozivanje programskih funkcija iz druge aplikacije koristeći prečice ( hotkeys) ili, na primjer, za promjenu pogrešnog rasporeda tastature (npr Tastatura ninja).

Pogledajmo koncept keyloggera u servisu

Također je vrijedno napomenuti da moderni keyloggeri ne pišu samo kodove unesenih tipki - oni "vezuju" unos tastature za trenutni prozor i element unosa.

Ali mnogi keylogger’S lista pjesama pokrenute aplikacije, su u stanju da naprave "snimke ekrana" ekrana na datom rasporedu ili događaju, špijuniraju sadržaj međuspremnika i rešavaju niz zadataka koji imaju za cilj tajno praćenje korisnika.

Snimljene informacije se pohranjuju na disk, a većina modernih keyloggera može generirati različite izvještaje (zapisujući ih u specijalizovani dnevnik, tj. Dnevnik-file) može ih prenijeti ili http / .

Osim toga, niz modernih keylogger Uživaj RootKit- tehnologije za maskiranje tragova njihovog prisustva u sistemu.

Općenito, evo takve višestruke "infekcije", u prisustvu koje ne možete čak ni tiho kihnuti na računaru bez njenog znanja :)

Bilješka:
Vrijedi reći da su keyloggeri prilično drevna vrsta kletve koja se pojavila još u danima MS-DOS- tada su bili rukovaoci prekidanjem tastature 1 kb.

Međutim, funkcije keyloggera nisu se promijenile u proteklom vremenu - kao i do sada, njihov primarni zadatak je tajna registracija. unos sa tastature uz naknadno snimanje prikupljenih informacija na disk ili prijenos preko mreže.

Kažete da ih ima gomila antivirusni paketi, i plaćeni i besplatni (o čemu smo pisali u našim recenzijama, ovom itd.), da li je zaista tako teško uhvatiti neku vrstu "ružnog" keyloggera?

Ponekad, da, ovo je vrlo problematično, jer sa stanovišta antivirusa to nije virus (pošto nema sposobnost reprodukcije) i nema trojanski konj, dakle, ako mnogi "defenderi" hvataju keyloggere, onda samo sa posebnom, proširenom bazom i dodatnim modulima za to.

Drugi problem je vezan za činjenicu da postoji veliki broj poznatih keyloggera (i nije ga teško napisati) - kao rezultat toga, pretraga potpisa protiv njih je neefikasna.

Općenito, postoji ogroman broj opcija za implementaciju keyloggera, ali sve imaju opšti princip rad je uvođenje u proces prolaska signala od pritiska na tipku do pojave simbola na ekranu.

Najčešća implementacija je keylogger koji postavlja zamke tastature, kuke (nema ništa zajedničko sa udarcem u boksu :)).

V Windows Hook je mehanizam za presretanje sistemskih poruka koji koristi posebnu funkciju:

• Za ovu funkciju se koristi mehanizam Win32API... Većina keyloggera ove vrste koristi kuku WH_Keyboard;
• Osim kuke WH_KEYBOARD također koristite kuku WH_JOURNALRECORD;
• Razlika između njih je u tome WH_JOURNALRECORD nije potrebna posebna biblioteka dinamičkih veza ( DLL), što olakšava širenje ovog sranja po mreži.

Zakačice za tastaturu čitaju informacije iz redosleda za unos sistemskog hardvera koji se nalazi u sistemski proces... Ova metoda je stekla posebnu popularnost zbog činjenice da zamka filtriranja omogućava presretanje apsolutno svih pritisaka na tipke, budući da kuka kontrolira sve tokove sistema.

Takođe, za kreiranje takvog špijuna nije potrebno posebna znanja pored znanja Visual c ++ ili Delphi i Win32API... Međutim, korištenjem ovu metodu primorava hakerskog programera da kreira poseban dinamička biblioteka DLL.

Treba reći da je tehnika zamke prilično jednostavna i efikasna, ali ima niz nedostataka. Prvi nedostatak je to DLL sa zamkom se odražava u adresnom prostoru svih GUI-procesi koji se mogu koristiti za otkrivanje keyloggera.

Varijanta 2. Periodično ispitivanje stanja tastature

Smiješno primitivna metoda cikličkog ispitivanja stanja tastature velika brzina. Ova metoda ne zahtijeva implementaciju DLL v GUI-procesi, a kao rezultat toga špijun je manje vidljiv.

Nedostatak ovog tipa keylogger-a je potreba da se periodično provjerava stanje tastature s dovoljno velika brzina, ne manje 10-20 ankete u sekundi.

Ovu metodu koriste neki komercijalni proizvodi.

Varijanta 3. Keylogger baziran na drajveru

Ova metoda je najefikasnija u poređenju sa gore opisanim. Postoje najmanje dvije opcije za implementaciju ove metode - pisanje i tipkovnica umjesto standardne, ili instaliranje drajvera za filter. Ova metoda (kao i zamka) je dokumentirana metoda za praćenje unosa sa tastature.

Općenito, da bismo bolje razumjeli koji su keyloggeri najpopularniji, navest ću približan postotak njihove rasprostranjenosti (pogledajte sliku iznad).

Varijanta 4. Špijunski rootkit

Može se implementirati kao u UserMode iu kernel modu ( KernelMode). V UserMode praćenje unosa sa tastature može se izgraditi presretanjem razmene procesa csrss.exe drajver tastature ili praćenje poziva API-funkcionira kao GetMessage i PeekMessage.

U mnogim slučajevima, čak ekranska tastatura, koji se često reklamira kao lijek za bilo koju vrstu keyloggera.

Hardverske tastature

V poslednjih godina dobio užasan razvoj, najmanju veličinu i ekstremnu inteligenciju. ponekad ih je teško uočiti, rjeđe - razlikovati od fleš diska, a u slučaju bankomata samo ih profesionalac može razlikovati.

U staroj verziji to je izgledalo otprilike ovako:

Odnosno, pored softvera za špijuniranje rada korisnika, postoje hardverski alati koji imaju nesumnjivu prednost - ne mogu se otkriti softverskim metodama.

Opcije implementacije za hardverske keyloggere:

• Ugradnja uređaja za praćenje u "prekid" kabla tastature;
• Ugradnja uređaja za praćenje u tastaturu;
• Instalacija USB-uređaji, poput "fleš diskova", memorijskih kartica itd.;
• Vizuelno "promatranje" tastature / ekrana;
• Ostalo.

Lepo, zar ne? Mora se priznati da je takvo blato najštetnije, ali ga je i nešto teže posaditi - zahtijeva direktan fizički pristup uređaju.

Malo o proaktivnoj zaštiti

„Najčešće“ rješenje je korištenje proaktivnih zaštitnih sistema koji mogu upozoriti korisnika na instalaciju ili aktivaciju softverskih keyloggera.

Glavni nedostatak ove metode je potreba za aktivnim učešćem korisnika u određivanju dalja akcija sa sumnjivom šifrom.

• Ukoliko korisnik nije dovoljno tehnički osposobljen, zbog svog nekompetentnog rješenja, keylogger se može preskočiti;
• Ako se minimizira učešće korisnika u donošenju odluka putem proaktivnog odbrambenog sistema keylogger može se previdjeti zbog nedovoljno stroge sigurnosne politike sistema.

Evo mača sa dvije oštrice. I samo da istaknemo nešto drugo.

Virtuelna tastatura kao rešenje

Posljednja od razmatranih metoda zaštite od softverskih i hardverskih keyloggera je korištenje virtualne tipkovnice.

Virtuelna tastatura je program koji prikazuje sliku na ekranu obična tastatura, u kojem možete "pritisnuti" određene tipke mišem.

Sve u svemu, tastatura na ekranu Loše je primjenjiv za obmanjivanje keyloggera, jer nije stvoren kao sredstvo zaštite, već kao sredstvo za pomoć ljudima sa invalidnosti, a prijenos podataka nakon unosa ovom tastaturom može vrlo lako biti presretnut od strane zlonamjernog softvera.

Tastatura na ekranu se može koristiti za zaobilaženje keylogger međutim, mora biti dizajniran na poseban način, isključujući presretanje unesenih podataka u bilo kojoj fazi njihovog unosa i prijenosa (u pravilu se koristi algoritam za promjenu položaja dugmadi i brojeva, kao i šifriranje konačnog rezultata).

U februaru 2005. biznismen s Floride Joe Lopez podnio je tužbu protiv Bank of America: nepoznati hakeri su ukrali 90.000 dolara od američkog biznismena sa njegovog bankovnog računa Bank of America, koji je nekako prebačen u Latviju.

Kao rezultat istrage, ispostavilo se da je na Lopezovom računaru prisutan virus Backdoor.Win32.Apdoor (Backdoor.Coreflood), koji popravlja sve tasteri korisnika i putem interneta ih šalje napadačima. Tako su hakeri došli do lozinke i logina Joea Lopeza, koji je redovno radio preko interneta sa svojim računom u Bank of America.

Međutim, sud je tužiocu odbio naknadu štete, ukazujući da je g. Lopez zanemario osnovne mjere opreza pri radu sa svojim bankovni račun putem interneta: dodato je otkrivanje navedenog virusa antivirusne baze podataka gotovo svi proizvođači antivirusnog softvera još 2003. godine.

Nestanak 90 hiljada dolara sa računa Joea Lopeza pomogao je obični keylogger.

Šta je keylogger

U prijevodu s engleskog, keylogger je snimač pritiska na tipku. Većina izvora može pronaći sljedeću definiciju keyloggera: keylogger (keylogger) - softvera, čija je glavna svrha tajno praćenje i evidentiranje pritisaka na tipke. Ova definicija nije sasvim tačna, jer se i softver i hardver mogu koristiti kao keyloggeri. Međutim, kada se štite, hardverski keyloggeri su mnogo rjeđi od softverskih keyloggera važna informacija ni u kom slučaju ne treba zaboraviti na njih.

Obični programi mogu koristiti presretanje pritisaka na tipke i često se koristi za pozivanje programskih funkcija iz druge aplikacije pomoću prečaca ili, na primjer, za promjenu pogrešnog rasporeda tipkovnice (kao Keyboard Ninja). Postoji tona legalnog softvera koji koriste administratori za praćenje šta zaposleni radi tokom dana ili za praćenje aktivnosti korisnika. stranci na vašem računaru. Međutim, gdje je granica između “zakonite” upotrebe “legalnog” softvera i njegove upotrebe u kriminalne svrhe? Isti "legalni" softver se često koristi za namjernu krađu tajnih korisničkih podataka - na primjer, lozinke.

Većina postojećih na ovog trenutka keyloggeri se smatraju "legalnim" i slobodno se prodaju, jer programeri navode mnoge razloge za korištenje keyloggera, na primjer:

• za roditelje: praćenje postupanja djece na internetu i obavještavanje roditelja u slučaju pokušaja odlaska na stranice "za odrasle" (roditeljska kontrola);
• za ljubomorne supružnike: praćenje radnji vaše polovine na webu u slučaju sumnje na "virtuelnu izdaju";
• za sigurnosnu službu organizacije: praćenje činjenica neprimjerenog korištenja personalnih računara, njihovo korištenje u neradno vrijeme;
• za bezbednosnu službu organizacije: praćenje činjenica kucanja kritičnih reči i fraza koje predstavljaju poslovnu tajnu organizacije, a čije otkrivanje može dovesti do materijalne ili druge štete za organizaciju;
• za razne usluge sigurnost: analiza i istraga incidenata vezanih za korištenje personalnih računara;
• drugih razloga.

Međutim, ovo je više poznato nego objektivno stanje stvari, budući da postoje i drugi načini za rješavanje svih ovih problema, a SVAKI legalni keylogger se može koristiti u zlonamjerne svrhe iu U poslednje vreme Upravo je krađa informacija od korisnika raznih onlajn sistema plaćanja koja je, nažalost, postala glavna primena keylogger-a (u istu svrhu, pisci virusa neprestano razvijaju nove trojan-keyloggere).

Osim toga, mnogi keyloggeri se skrivaju u sistemu (pošto imaju rootkit funkcije), što uvelike olakšava njihovu upotrebu u kriminalne svrhe. Ova upotreba čini zadatak otkrivanja keyloggera jednim od prioriteta antivirusne kompanije... U klasifikaciji malware Postoji posebna kategorija Trojan-Spy ( špijunski softver), u koje spadaju programi koji sadrže funkcije keyloggera. Prema definiciji Trojan-Spy, „ovi Trojanci vrše elektronsku špijunažu: informacije unesene sa tastature zaraženog računara, snimke ekrana, lista aktivne aplikacije a radnje korisnika s njima se spremaju u datoteku na disku i povremeno šalju napadaču."

Zašto su keyloggeri opasni

Za razliku od drugih vrsta zlonamjernog softvera, keylogger je apsolutno siguran za sistem. Međutim, to može biti izuzetno opasno za korisnika: pomoću keyloggera možete presresti lozinke i drugo povjerljiva informacija koje je korisnik unio pomoću tastature. Kao rezultat toga, napadač uči kodove i brojeve računa u elektronskim sistemima plaćanja, lozinke za račune u online igricama, adrese, prijave, lozinke za sisteme Email itd.

Nakon što primi povjerljive korisničke podatke, napadač ne može samo banalno prebaciti novac sa svog bankovnog računa ili koristiti račun korisnik u online igrici. Nažalost, postojanje takvih podataka u nekim slučajevima može dovesti do ozbiljnijih posljedica od gubitka određene količine novca. konkretnu osobu... Upotreba keyloggera omogućava vršenje ekonomske i političke špijunaže, dobijanje pristupa informacijama koje predstavljaju ne samo komercijalne, već i državna tajna, kao i ugrožavanje sigurnosnih sistema koje koriste komercijalne i vladine strukture (na primjer, krađom privatni ključevi u kriptografskim sistemima).

Keyloggeri, zajedno s phishingom i metodama socijalni inženjering(pogledajte članak „Krađa imovine u kompjuterskim mrežama“) su danas jedna od glavnih metoda elektronske prevare. Međutim, ako se u slučaju phishinga oprezan korisnik može zaštititi - zanemariti eksplicitno phishing mejlove, ne unijeti lične podatke na sumnjive web stranice - onda je u slučaju keyloggera gotovo nemoguće otkriti činjenicu špijunaže na bilo koji drugi način nego korištenjem specijaliziranih alata za zaštitu.

Softverski keylogger

• engleski keylogger
• engleski key logger
• engleski taster za snimanje
• engleski snimač ključeva
• engleski lovac za ključeve
• engleski program za snimanje ključa
• engleski key snooper
• ruski keylogger

Hardverski keylogger

• engleski uređaj za snimanje pritiska na taster
• engleski hardverski keylogger
• ruski hardverski keylogger

Vrste informacija koje se mogu pratiti

• pritisaka na tastere na tastaturi
• tasteri miša
• datum i vreme pritiskanja

Klasifikacija

tip

Softverski keyloggeri pripadaju toj grupi softverskih proizvoda koji vrše kontrolu nad aktivnostima korisnika personalnog računara. U početku su softverski proizvodi ovog tipa bili namijenjeni isključivo za snimanje informacija o tipkama na tipkovnici, uključujući i sistemske tipke, u specijaliziranu datoteku dnevnika (Log-file), koju je naknadno proučavala osoba koja je instalirala ovaj program. Datoteka evidencije se može poslati preko mreže na mrežni disk, ftp server na internetu, putem e-pošte itd. Trenutno, softverski proizvodi koji su zadržali ovo ime "na starinski način" rade dosta dodatne funkcije- ovo je presretanje informacija iz prozora, presretanje klikova mišem, presretanje međuspremnika, "fotografiranje" snimaka ekrana i aktivni prozori, vođenje evidencije o svim primljenim i poslanim emailovima, praćenje aktivnosti fajlova, praćenje sistemski registar, praćenje reda poslova poslatih na štampač, presretanje zvuka iz mikrofona i video slika sa web kamere spojene na računar, itd. oni, zapravo, pripadaju potpuno drugoj klasi softverskih proizvoda, odnosno softverskih proizvoda za praćenje.

Hardverski Keyloggeri su minijaturni uređaji koji se mogu pričvrstiti između tastature i računara ili ugraditi u samu tastaturu. Snimaju sve pritiske na tipkovnici. Proces registracije je potpuno nevidljiv krajnji korisnik... Hardverski keyloggeri ne zahtijevaju instaliranje bilo kakvog softvera na računaru da bi uspješno uhvatili sve pritiske na tipku. Kada je priključen hardverski keylogger, apsolutno nije važno u kom je stanju računar – uključen ili isključen. Njegovo radno vrijeme nije ograničeno, jer ne zahtijeva dodatno napajanje za svoj rad. Volumen interne nepromjenjive memorije ovih uređaja omogućava vam da snimite do 20 miliona pritisaka na tipku, uz Unicode podršku. Ovi uređaji se mogu izraditi u bilo kom obliku, tako da ni specijalista ponekad nije u mogućnosti da utvrdi njihovo prisustvo tokom revizija informacija... U zavisnosti od mesta pričvršćivanja, hardverski keyloggeri se dele na eksterne i unutrašnje.

Acoustic Keyloggers su hardverski uređaji koji prvi snimaju zvukove, kreiran od strane korisnika kada pritisnete tastere na tastaturi računara, a zatim analizirate te zvukove i konvertujete ih u tekstualni format.

na lokaciji na kojoj je pohranjena datoteka dnevnika

• HDD
• memorija
• registar
• podijeljeno, tj. dijeljeni mrežni disk
• udaljeni server

metodom slanja Log datoteke

• e-mail (bez učešća korisnika)
• ftp (bez interakcije korisnika)
• http (https - sigurnu vezu preko interneta) (bez intervencije korisnika)
• bilo koja opcija bežični(radio, infracrveni, bluetooth, WiFi, itd.)
• preko lokalne mreže

po načinu primjene

Samo način korištenja keyloggera (uključujući hardverske ili softverske proizvode koji uključuju keylogger kao modul) nam omogućava da vidimo granicu između sigurnosno upravljanje i kršenje sigurnosti .

Neovlašteno korištenje- instalacija keyloggera (uključujući hardverske ili softverske proizvode koji uključuju keylogger kao modul) odvija se bez znanja vlasnika (administratora sigurnosti) automatizovani sistem ili bez znanja vlasnika određenog personalnog računara. Neovlašteni keyloggeri (softverski ili hardverski) se nazivaju špijunskim uređajima. Neovlašteno korištenje obično je povezano s ilegalnim aktivnostima. U pravilu, neovlašteno instalirani špijunski proizvodi imaju mogućnost konfiguriranja i primanja "ukupne" izvršne datoteke koja, kada je instalirana, ne prikazuje nikakve poruke i ne stvara prozore na ekranu; e. proces instalacije se odvija bez direktnog fizičkog pristupa korisnikovom računaru i često ne zahteva prava administratora sistema;

Ovlaštena upotreba- instalacija keyloggera (uključujući hardverske ili softverske proizvode koji uključuju keylogger kao modul) odvija se uz znanje vlasnika (administratora sigurnosti) automatizovanog sistema ili uz znanje vlasnika određenog personalnog računara. Ovlašteni keyloggeri (softver ili hardver) se nazivaju softverski proizvodi za praćenje (eng. softver za nadzor zaposlenih, softver za roditeljsku kontrolu, softver za kontrolu pristupa, programi za sigurnost osoblja itd.) Ovlašćeni softverski proizvodi po pravilu zahtevaju fizički pristup računaru korisnika i obavezno prisustvo administratorskih prava za konfigurisanje i instalaciju;

za uvrštavanje u baze potpisa

Značajno keyloggers. Ova kategorija uključuje keyloggere, čiji je potpis već uključen u baze potpisa glavnog poznatih proizvođača anti-špijunski i/ili antivirusni softverski proizvodi.

Nepoznato keyloggers. Ova kategorija uključuje keyloggere čiji potpisi nisu uključeni u baze podataka potpisa glavnih poznatih proizvođača anti-špijunskih i/ili antivirusnih softverskih proizvoda i često nikada neće biti uključeni u njih iz različitih razloga:

• keyloggeri (moduli) razvijeni pod pokroviteljstvom različitih vladinih organizacija;
• keyloggeri (moduli) koje mogu kreirati programeri različitih zatvorenih operativnih sistema i uključiti ih u kernel operativnog sistema;
• keyloggeri koji su razvijeni u ograničena količina(često u samo jednom ili nekoliko primjeraka) za rješenje konkretan zadatak povezana s krađom kritičnih informacija sa korisnikovog računara (na primjer, softvera koji koriste profesionalni sajber kriminalci). Ovi špijunski proizvodi mogu biti malo modificirani open source izvorni kodovi keyloggeri preuzeti sa interneta i sastavljeni od strane napadača, što vam omogućava da promijenite potpis keyloggera;
• komercijalne, posebno one uključene kao moduli u korporativne softverske proizvode, koji su vrlo rijetko uključeni u baze podataka potpisa poznatih proizvođača anti-špijunskih i/ili antivirusnih softverskih proizvoda. To dovodi do činjenice da objavljivanje potpune verzije ovog komercijalnog softverskog proizvoda za praćenje od strane kibernetičkih kriminalaca na Internetu može pomoći da se potonji pretvori u špijunski proizvod koji anti-špijunski i/ili antivirusni softver ne otkriva proizvodi;
• keyloggeri, koji su moduli za presretanje pritisaka na tipke na računaru korisnika, uključeni u sastav virusnih programa. Prije unosa podataka potpisa u virusna baza, ovi moduli su nepoznati. Primjer su svjetski poznati virusi koji su posljednjih godina napravili dosta problema, a koji uključuju modul za presretanje pritisaka na tipke i slanje primljenih informacija na Internet.

Svrha primjene

Ovlašteno korištenje keyloggera (uključujući hardverske ili softverske proizvode koji uključuju keylogger kao modul) omogućava vlasniku (administratoru sigurnosti) automatiziranog sistema ili računara da:

• utvrditi sve slučajeve kucanja kritičnih riječi i fraza na tastaturi, čiji će prijenos trećim licima dovesti do materijalne štete;
• biti u mogućnosti pristupiti informacijama pohranjenim na tvrdom disku računara u slučaju gubitka logina i lozinke iz bilo kojeg razloga (bolest zaposlenog, namjerne radnje osoblja itd.);
• identificirati (lokalizirati) sve slučajeve pokušaja grubog nametanja pristupnih lozinki;
• kontrolisati mogućnost korišćenja personalnih računara van radnog vremena i identifikovati šta je kucano na tastaturi u datom trenutku;
• istražiti kompjuterske incidente;
• ponašanje Naučno istraživanje vezano za utvrđivanje tačnosti, efikasnosti i adekvatnosti odgovora osoblja na spoljne uticaje;
• oporaviti kritične informacije nakon kvarova računarskog sistema;

Korištenje modula koji uključuju keylogger od strane programera komercijalnih softverskih proizvoda omogućava im da:

• kreirati sisteme brza pretraga riječi ( elektronski rječnici, elektronski prevodioci);
• kreirati programe za brzu pretragu imena, firmi, adresa (elektronski imenici)

Neovlašteno korištenje keyloggera (uključujući hardverske ili softverske proizvode koji uključuju keylogger kao modul) omogućava napadaču da:

• presretanje informacija drugih ljudi koje je korisnik ukucao na tastaturi;
• primiti neovlašćeni pristup na login i lozinke za pristup razni sistemi, uključujući sisteme tipa "banka-klijent";
• dobiti neovlašteni pristup sistemima kriptografska zaštita informacije o korisniku računara - pristupne fraze;
• dobiti neovlašteni pristup podacima o autorizaciji kreditnih kartica;

Metode zaštite od neovlašteno instaliranih keyloggera

Zaštita od "poznatih" neovlaštenih softverskih keyloggera:

• korištenje anti-špijunskih i/ili antivirusnih softverskih proizvoda renomiranih proizvođača, With automatsko ažuriranje baze potpisa.

Zaštita od "nepoznatih" neovlašteno instaliranih softverskih keyloggera:

• korištenje anti-špijunskih i/ili antivirusnih softverskih proizvoda poznatih proizvođača koji koriste takozvane heurističke (bihevioralne) analizatore za suzbijanje špijunskih proizvoda, tj. za koje nije potrebna baza potpisa.

Zaštita od "poznatih" i "nepoznatih" neovlašteno instaliranih softverskih keyloggera uključuje korištenje anti-špijunskih i/ili antivirusnih softverskih proizvoda poznatih proizvođača koji koriste za suzbijanje špijunskog softvera:

• stalno ažurirane baze potpisa špijunskih proizvoda;
• heuristički (bihevioralni) analizatori koji ne zahtijevaju bazu potpisa.

Zaštita od neovlaštenih hardverskih keyloggera:

• temeljnu eksternu i internu inspekciju kompjuterskih sistema;
• korištenje virtuelnih tastatura;

Linkovi

• HARDVERSKI KEYLOGGER PS / 2 i USB Primjer hardverskog Keyloggera PS / 2 i USB
• Keylogger.Org Nezavisno poređenje najpopularnijih keyloggera
• Snimanje podataka u prvom koraku - Key Stroke Loggers Keyloggeri su prvi korak prikupljanja podataka. Institut SANS.
• [email protected] Opis jednog od poznatih virusa koji uključuje softverski keylogger modul.
• Uočljivost računarskih sistema kao sastavnog dela kompleksa zaštitnih sredstava u automatizovanom sistemu
• Opseg sistematskog praćenja e-pošte i korišćenja interneta zaposlenih Pregled softverskih proizvoda za praćenje koji se koriste za kontrolu radnji zaposlenih u američkim korporacijama. Andrew Schulman
• Računarski i internet nadzor na radnom mjestu: grube bilješke Računalni i internet nadzor radnih mjesta. Andrew Schulman
• Detaljan opis hardverski dizajn keyloggera

Keylogger - šta je to? Kakvu opasnost predstavljaju? Možete li iskoristiti prednosti keyloggera? Šta to podrazumijeva?

opće informacije

U modernom informacioni svet pitanje sigurnosti je veoma akutno. Među svim raznovrsnim zlonamjernim softverom, keylogger program je samostalan. kakav je? Koje su opasnosti opterećene? Kako se nositi s njima? Oni koji dobro znaju engleski jezik, vjerovatno su preveli naziv programa i shvatili da će razgovor biti o diktafonu. Upravo tako je preveden njihov naziv - keylogger. Ali na otvorenom bivši SSSR njihov službeni naziv je keyloggers. Koja je njihova karakteristika?

Kada program uđe u računar, počinje da obavlja svoje zadatke u vidu špijunskih funkcija bez znanja, učešća i pristanka osobe. Vrijedi postaviti pitanje "Keylogger - šta je to?", Kako se ispostavilo da mnogi ni ne zamišljaju šta je takav program. A iz ovoga slijedi tužna činjenica da mnogi korisnici jednostavno potcjenjuju svoju prijetnju. Ali uzalud. Nakon svega glavni cilj od ovih programa je da ukrade i prenese svom kreatoru login i lozinke korisničkih naloga, novčanika, bankarskih aplikacija.

Kako oni rade?

Uzmimo brzi primjer. Recimo da osoba ima bankovni račun sa sto hiljada rubalja - prilično dobar iznos. Povremeno se prijavljuje na svoj elektronski ormar korisnik koji koristi lozinku i login. A da biste ih unijeli, morate koristiti tastaturu. Keylogger bilježi šta je uneseno i gdje. Stoga, napadač, znajući lozinku i login, može koristiti sredstva ako nisu obezbeđene dodatne sigurnosne linije, kao što je potvrda putem telefona. Keylogger djeluje kao repetitor, koji u određenom trenutku spaja sve prikupljene informacije. Neki od ovih programa čak znaju kako prepoznati jezik unosa i s kojim elementom pretraživača osoba komunicira. I nadopunjuje ovo sve mogućnosti kreiranja snimaka ekrana.

Istorija razvoja

Vrijedi napomenuti da keylogger za Windows nije nova pojava. Prvi takvi programi bili su istog uzrasta kao i MS-DOS. Tada su to bili obični rukovaoci prekida na tastaturi, čija je veličina varirala oko oznake od 1Kb. I od tada se njihova glavna funkcija nije promijenila. Oni i dalje prvenstveno vrše tajnu registraciju unosa sa tastature, snimaju prikupljene informacije i prenose ih svom kreatoru. Može se postaviti pitanje: „Ako su tako primitivni, zašto ih ima mnogo antivirusne aplikacije nisu uhvaćeni keyloggerima?" nekomplikovani program... I dalje se nosi specijalizovane aplikacije prilično teško. Poenta je da keylogger nije virus ili trojanac. A da biste ga pronašli, morate ga instalirati posebne ekstenzije i moduli. Osim toga, postoji toliko mnogo ovih zlonamjernih programa da je pretraga potpisa, koja se smatra jednim od najnaprednijih rješenja zaštite, nemoćna protiv njih.

Širenje

Kako dođu do računara korisnika? Postoji veliki broj putevi distribucije. Tu je i keylogger sa slanjem poštom svima koji su unutra adresar, mogu se distribuirati pod maskom drugih programa ili kao dodatak njima. Recimo da osoba preuzme nelicenciranu verziju aplikacije sa potpuno treće strane. On sam instalira glavnu aplikaciju, a sa njom i keylogger. Ili su možda čudne poruke sa prilozima stigle na email od prijatelja? Moguće je da je ovo bio keylogger poslan na poštu. Otvaranje e-pošte ne predstavlja prijetnju na većini servisa, jer je samo kucanje. Ali primjene na njega mogu biti pune opasnosti. Prilikom identifikacije slična situacija bilo bi najbolje potencijalno se riješiti opasni fajlovi... Uostalom, daljinski keylogger nije opasan i ne može učiniti nikakvu štetu.

Distribucija putem pošte

Želeo bih da obratim posebnu pažnju na ovaj put prelaza između računara. Ponekad dolaze poruke koje kao da imaju u sebi vrijedne informacije ili nešto slično. Općenito se očekuje da će znatiželjna osoba otvoriti pismo, preuzeti datoteku koja sadrži "informacije" o "računovodstvu preduzeća", "brojeve računa, lozinke i pristupne podatke" ili jednostavno "nečije gole fotografije". Ili ako se slanje vrši prema podacima neke kompanije, onda se čak može pojaviti i ime i prezime osobe. Ne zaboravite uvijek biti oprezni sa svim fajlovima!

Kreiranje i korištenje

Nakon čitanja prethodnih informacija, neko bi mogao pomisliti: Volio bih da imam svoj besplatni keylogger. I čak će otići da ih traži i preuzme. Na početku treba napomenuti da je ovaj slučaj kažnjiv sa stanovišta Krivičnog zakonika. Osim toga, ne treba zaboraviti staru poslovicu da besplatni sir dešava se samo u mišolovci. A ako krenete ovim putem, ne biste se trebali čuditi da li će "besplatni keylogger" služiti samo svom vlasniku, ili se pokaže da je uopće virus/trojanac. Jedini manje-više na pravi način da dobijete takav program - da ga sami napišete. Ali opet, ovo je krivično djelo. Stoga je vrijedno odvagnuti prednosti i nedostatke prije nego što nastavite. Ali čemu onda da težimo? Šta bi mogao biti krajnji rezultat?

Standardna zamka za tastaturu

Ovo je najjednostavniji tip, zasnovan na jednom opštem principu rada. Suština programa je da je ova aplikacija ugrađena u proces prijenosa signala od trenutka kada je tipka pritisnuta do pojave simbola na ekranu. Za to se široko koriste kuke. V operativni sistemi ovo je naziv mehanizma čiji je zadatak presretanje sistemskih poruka, pri čemu se koristi posebna funkcija koji je dio Win32API. U pravilu se iz predstavljenog alata najčešće koristi WH_Keyboard, nešto rjeđe WH_JOURNALRECORD. Posebnost potonjeg je da ne zahtijeva posebnu biblioteku dinamičkih veza, tako da se zlonamjerni softver brže širi mrežom. Kuke čitaju sve informacije koje se prenose sa ulazne opreme. Ovaj pristup je prilično efikasan, ali ima nekoliko nedostataka. Dakle, morate kreirati posebnu dinamičku biblioteku. I biće prikazan u adresnom prostoru procesa, što olakšava identifikaciju snimača tastature. To je ono što branioci koriste.

Druge metode

U početku je potrebno spomenuti tako smiješno primitivnu metodu kao što je periodično ispitivanje stanja tastature. U tom slučaju se pokreće proces koji 10-20 puta u sekundi provjerava da li su pritisnute/otpuštene. određene ključeve... U tom slučaju se bilježe sve promjene. Kreiranje zasnovano na drajveru je takođe popularno. Lepo je efikasan metod, koji ima dvije implementacije: razvoj vlastitog filtera ili svog specijalizovanog softvera za ulazni uređaj. Rutkitovi su takođe popularni. Implementirani su na način da presretnu podatke tokom razmjene između tastature i kontrolnog procesa. Ali očitavanje informacija smatra se najpouzdanijim. Makar samo zato da ih otkrijem softverom izuzetno teško, bukvalno nemoguće.

Šta je sa mobilnim platformama?

Već smo razmatrali koncept "keyloggera", šta je to, kako se stvaraju. Ali kada se sagledaju informacije, prizor je bio uključen personalni računari... Ali čak i više od računara, postoji mnogo različitih mobilnih platformi. A šta je sa njima? Hajde da vidimo kako radi keylogger za Android. Općenito, princip rada je sličan onome opisanom u članku. Ali ne postoji obična tastatura. Stoga ciljaju na virtuelni, koji se prikazuje kada korisnik planira nešto unijeti. A onda vrijedi unijeti podatke - kako će se odmah prenijeti kreatoru programa. Pošto je sigurnosni sistem uključen mobilne platforme je hrom, onda keylogger za android može uspješno i dugoročno raditi i širiti. Stoga, svaki put kada preuzmete aplikaciju, morate razmisliti o pravima koja su im data. Dakle, ako program za čitanje knjiga traži pristup internetu, tastaturu, razne administrativne usluge mobilni uređaj, ovo je razlog da se zapitate je li ovo zlonamjerna tema. Isto se u potpunosti odnosi i na one aplikacije koje su in službene prodavnice- uostalom, ne provjeravaju se ručno, već automatizacijom, što nije savršeno.

Neke glavne sorte kompjuterski virusi... Danas ćemo s vama razgovarati o još jednoj kategoriji virusa - keyloggerima, o kojima obični korisnici znaju vrlo malo.

U prijevodu s engleskog Keylogger (Keyboard Logger) znači "snimač tastature". Međutim, u stvarnosti, keylogger je špijunski program koji prati sve što se dešava sa tastaturom.

Jednom na računaru korisnika, programi keyloggera presreću unesene informacije i šalju ih sajber kriminalcima. Drugim riječima, vi, ne sluteći ništa, možete predati svoje logine i lozinke, kao i podatke o bankovnoj kartici u pogrešne ruke.

Opasnost od keyloggera je u tome što ih mnoge antivirusne aplikacije ne smatraju zlonamjernim softverom. Njihovo otkrivanje često zahtijeva specijalizirani softver ili dodatke za vaš glavni antivirusni program.

Kako rade softverski keyloggeri

Rad ove vrste zlonamjernih programa zasniva se na jednom opštem principu - oni moraju pratiti putanju signala od trenutka kada se pritisne tipka do pojave simbola na monitoru. Keyloggeri koriste sljedeće tehničke metode:

Hardverski Keyloggeri

Pored softvera koji smo pregledali, postoje i hardverski keyloggeri koje softver ne može otkriti:

• Dodatni "adapter" između tastature i kućišta računara;
• Uređaj ugrađen u tastaturu;
• Minijaturna video kamera koja uklanja tastaturu;
• Nepoznati USB uređaj itd.

Usput: obje vrste keyloggera mogu biti sasvim legalne i mogu se koristiti za:

• Roditeljska pažnja;
• Praćenje korištenja radnog vremena od strane zaposlenih u kompaniji;
• Sigurnosne usluge
• Ljubomorni supružnici.

Kako izbjeći da postanete žrtva keyloggera

Da biste se zaštitili od ove vrste zlonamjernog softvera, trebali biste slijediti nekoliko jednostavnih pravila:

• Omogućite otkrivanje potencijala u vašem antivirusu opasni programi(obično je onemogućeno po defaultu);
• Koristite dvofaktorsku identifikaciju ili jednokratnu lozinku za pristup vašim bankovnim podacima.
• Koristite proaktivnu zaštitu;
• Koristite virtuelnu tastaturu za unos važnih podataka.