Kako znate šta vaše dijete ili zaposleni radi na računaru? Koje stranice posjećuje, s kim komunicira, šta kome piše?
Da biste to učinili, postoji špijunski softver - posebna vrsta softvera koji prikuplja informacije o svim njegovim radnjama neprimjetno za korisnika. Špijunski softver za vaš računar će učiniti trik.
Špijunski softver za računar ne treba brkati sa trojancem: prvi je apsolutno legitiman i instalira se uz pristanak administratora, drugi ilegalno ulazi na računar i sprovodi skrivene zlonamerne aktivnosti.
Iako, sajber kriminalci također mogu koristiti legitimne programe za praćenje.
Špijunske aplikacije najčešće instaliraju poslovni rukovodioci i administratori sistema da bi pratili zaposlene, roditelji da špijuniraju djecu, ljubomorne supružnike itd. Istovremeno, „žrtva“ može znati da je pod nadzorom, ali češće nego ne on to ne čini.
Pregled i poređenje pet popularnih špijunskih programa
NeoSpy
NeoSpy je svestrani špijunski softver za tastaturu, ekran i aktivnosti korisnika. NeoSpy radi nevidljivo i može sakriti svoje prisustvo tokom instalacije.
Korisnik koji instalira program ima mogućnost da izabere jedan od dva načina instalacije - administratorski i skriveni. U prvom načinu rada program se otvara - stvara prečicu na radnoj površini i mapu u direktoriju Program Files, u drugom je skriven.
Programski procesi se ne pojavljuju u Windows Task Manager-u i upraviteljima zadataka treće strane.
Funkcionalnost NeoSpy-a je prilično široka i program se može koristiti i kao kućno praćenje i u kancelarijama za kontrolu zaposlenih.
Špijunski softver se distribuira u tri verzije pod shareware licencom. Cijena je 820-1990 rubalja, ali može raditi besplatno (čak iu skrivenom načinu rada) uz ograničenja prilikom pregleda izvještaja.
Šta NeoSpy može:
- nadgledanje tastature;
- pratiti posjete web stranici;
- prikazati ekran korisnika u realnom vremenu putem interneta sa drugog računara ili sa tableta;
- napravite snimke ekrana i sačuvajte snimke sa web kamere;
- nadgledati sistemske događaje (uključivanje, gašenje, prekid rada računara, veza sa prenosivim medijima);
- presretnuti sadržaj međuspremnika;
- Pratiti upotrebu internetskih glasnika, snimati Skype pozive;
- presresti podatke koji se šalju na štampanje i kopiraju na eksterne medije;
- voditi statistiku rada na računaru;
- poslati koordinate laptopa (izračunate preko Wi-Fi mreže).
Zahvaljujući interfejsu na ruskom jeziku, širokom spektru funkcija, ispravnom presretanju tastature i potpuno skrivenom režimu rada u sistemu, NeoSpy dobija maksimalnu ocenu pri izboru programi za kontrolu korisnika.
Pravi špijunski monitor
Sljedeći špijun je Real Spy Monitor. Ovaj program na engleskom jeziku nema samo funkcije praćenja, već može blokirati i određene radnje na računalu. Stoga se često koristi kao alat za roditeljsku kontrolu.
Za svaki račun u postavkama Real Spy Monitora možete kreirati vlastitu politiku zabrane, na primjer, za posjetu određenim stranicama.
Nažalost, zbog nedostatka interfejsa na engleskom, teže je razumeti kako Real Spy Monitor radi, uprkos grafičkim sličicama za dugmad.
Program se takođe plaća. Licenca počinje od 39,95 dolara.
Značajke pravog špijunskog monitora:
- presretanje pritisaka na tipke, sadržaja međuspremnika, sistemskih događaja, web stranica, instant messengera, pošte;
- rad u poluskrivenom načinu (bez aktivnog prozora, ali s prikazom procesa u upravitelju zadataka);
- rad sa više naloga;
- selektivno automatsko pokretanje za različite račune.
Općenito, Real Spy Monitor se sviđa mnogim korisnicima, među nedostacima ističu visoku cijenu, nedostatak sučelja na ruskom jeziku i prikaz procesa u upravitelju zadataka.
Pravi špijun
Actual Spy je pozicioniran od strane programera kao keylogger (keylogger), iako program može učiniti više od snimanja tipki.
On prati sadržaj međuspremnika, pravi snimke ekrana, prati posete sajtu i tako dalje, što je uključeno u glavni skup špijunskog softvera koji smo ispitali.
Kada se instalira, Actual Spy kreira prečicu u Start meniju, tako da korisnik može da je primeti. Pokretanje se takođe odvija otvoreno - da biste sakrili prozor programa, morate pritisnuti određene tastere.
Mogućnosti Actual Spy-a se ne razlikuju mnogo od mogućnosti konkurenata. Među nedostacima, korisnici su istakli da ispravno bilježi pritiske tipki samo na engleskom rasporedu.
SpyGo
SpyGo je špijunski komplet za kućnu upotrebu. Takođe se može koristiti u kancelarijama za praćenje zaposlenih.
Za početak nadgledanja, samo pritisnite dugme "Start" u SpyGo.
SpyGo se distribuira pod shareware licencom i košta 990-2990 rubalja, ovisno o skupu funkcija.
U probnim verzijama, trajanje praćenja je ograničeno na 20 minuta dnevno, a slanje izvještaja na e-mail i preko FTP-a nije dostupno.
Ključne karakteristike SpyGo:
- praćenje pritiska na tipke;
- snimanje svih radnji na računaru (pokretanje programa, operacije sa fajlovima itd.);
- kontrola posjeta web resursima (istorija, upiti za pretraživanje, često posjećeni sajtovi, trajanje boravka na stranici);
- snimanje onoga što se dešava na ekranu;
- čuvanje sadržaja međuspremnika;
- slušanje okoline (ako postoji mikrofon);
- praćenje sistemskih događaja (vreme uključivanja i isključivanja računara, zastoja, povezivanja fleš diskova, diskova itd.).
Bitan! Nedostaci SpyGo-a, prema korisnicima, mogu se pripisati činjenici da ne podržava sve verzije Windowsa, pri slanju izvještaja često izbacuje greške i prilično ga je lako demaskirati.
Snitch
Snitch - naziv ovog programa je preveden kao "doušnik", i vrlo je neprijatan prema korisniku. Snitch špijunira aktivnosti na računaru. Radi skriveno, ne zahtijeva složena podešavanja i ima mali utjecaj na performanse sistema.
Program je objavljen u jednoj verziji.
Snitch mogućnosti i karakteristike:
- praćenje tipkovnice, međuspremnika, sistemskih događaja, surfanja webom i komunikacije u glasnicima;
- priprema zbirnih izvještaja i rasporeda kontroliranih događaja;
- nezahtjevna za mrežnu konfiguraciju;
- zaštita od neovlaštenog prekida programskog procesa;
- nadzor se vrši čak i ako nema mrežne veze.
Među nedostacima možete uočiti sukobe sa antivirusnim softverom.
Kako otkriti špijuna na računaru?
Pronalaženje špijunskog softvera na vašem računaru koji se ne pokazuje spolja je teško, ali moguće.
Dakle, uprkos legitimnosti, aplikacije koje smo pregledali može prepoznati posebne antiviruse,"Izoštreno" za pretragu špijunskog softvera (trojanci sa funkcijom špijunaže), stoga preporučujemo dodavanje instaliranog programa na listu izuzetaka za takve antiviruse.
A ako ne trebate ukloniti špijuna, već samo trebate prikriti svoje radnje od njega, možete koristiti alate protiv špijunaže, koji će, unatoč aktivnom nadzoru nad vama, spriječiti presretanje događaja na tipkovnici i snimaka zaslona.
Tada vaša prepiska i lozinke neće pasti u pogrešne ruke.
Elite Keylogger snima sve lozinke upisane na računaru, a pritom ostaje potpuno nevidljiv za korisnike! Moći ćete presresti lozinke, dokumente, e-poštu, chat poruke i još mnogo toga.
Lozinke
Elite Keylogger radi u režimu drajvera niskog nivoa i pokreće se ranije od Windows sistema, što vam omogućava da saznate lozinke i prijave. Imajte na umu da verzija za Mac ne može snimati lozinke za prijavu na OS X.
Snimanje razgovora i pošte
Elite Keylogger za Windows snima chat i trenutne poruke od mnogih različitih klijenata uključujući MSN, AOL, ICQ, AIM, GTalk, Skype. Elite Keylogger za Mac može snimati korespondenciju sa Skype, Viber, iChat / Messages i Adium programa, kao i odlaznu e-poštu s obje strane.
Mrežni keylogger
Elite Keylogger je idealno rješenje za daljinsko praćenje računala. Dovoljno je da ga jednom instalirate - i izvještaji će vam stizati e-poštom ili učitani na FTP server. Ovo čini ovaj uslužni program idealnim za kompanije kojima je potreban nadzor nad računarima od strane zaposlenih. Ova aplikacija je potpuno nevidljiva i ne može je otkriti antivirusni ili anti-špijunski softver (pod uslovom da je ispravno instaliran).
Najbolja otmica sajta
Elite Keylogger je jedan od najboljih špijunskih programa zbog svoje sposobnosti snimanja posjeta web stranicama iz SVIH popularnih pretraživača. U potpunosti snima URL-ove web stranica u Internet Exploreru, Firefoxu, Safariju, Opera, Google Chrome i drugim pretraživačima. Svaka adresa web stranice je zabilježena, zajedno sa vremenskom oznakom, tako da možete lako pratiti internet aktivnosti svoje djece kako biste bili sigurni da su bezbedni.
Korisničko sučelje prilagođeno korisnicima
Tako je jednostavan za korištenje. Instalacija je brza i bezbolna čak i za početnike. Za one kojima je potreban, Elite Keylogger pruža naprednije opcije kao što su daljinska instalacija ili predkonfiguracija. Vi samo trebate instalirati - i možete ga postaviti i aktivirati za nekoliko minuta. Samo navedite kako želite da primate zapise - i više nećete morati ni dodirivati administratorsko sučelje špijunskog softvera, jer će sada sve raditi automatski!
Mnogo opcija za slanje izvještaja
Elite Keylogger nudi mnogo opcija za izvještavanje. Mogu vam se poslati e-poštom, otpremiti na FTP, prenijeti na drugi računar na lokalnoj mreži ili tajno kopirati na USB disk. Ne postoji ograničenje za veličinu dnevnika koji se prenosi.
Keylogger je program koji čita pritisnute tipke i pohranjuje ih u datoteku. U budućnosti možete vidjeti šta je osoba napisala na računaru, koje je poruke ukucala i koje je lozinke unela. Drugi naziv za keylogger je keylogger, od engleskog "keylogger", što doslovno znači "dugmad za snimanje".
U programu NeoSpy, funkcija keyloggera je podrazumevano omogućena, u ovom režimu program snima tekst, kombinacije prečica i lozinke ukucane na tastaturi. Postavkama keyloggera se upravlja u meniju "Postavke praćenja" - "Snimanje dnevnika" - "Tastatura". Možete odabrati jedan od dva načina rada programa: standardni i alternativni. Preporučljivo je koristiti standardnu opciju u 99% slučajeva, ali u slučaju sukoba sa vašim antivirusnim softverom, možete omogućiti alternativni način rada.
Konfiguriranje Keyloggera
Dnevnik tastature se uvijek piše u punom formatu, uključujući servisne tipke. Primjer takvog dnevnika može se vidjeti na ilustraciji. Dok gledate izvještaj, možete isključiti prikaz znakova koji se ne mogu ispisati i pregledati dnevnik kao običan tekst, čitljiviji.
Primjer kako radi keylogger
Radi pojednostavljenja rada sa izvještajima, upisane lozinke su istaknute u listi pritisnutih tipki. Tako možete saznati lozinke svog djeteta i, ako je potrebno, zaštititi ga od neželjenih poznanstava. Ako se program NeoSpy koristi u preduzeću za praćenje zaposlenih, tada je prikupljanje ličnih podataka i prepiske zabranjeno zakonodavstvom većine zemalja, stoga ovu opciju treba onemogućiti ili se zaposleni mora pismeno obavestiti o kontroli od strane upravljanja i nedopustivosti korišćenja računara u organizaciji za ličnu prepisku.
Hakerski svijet se može grubo podijeliti u tri grupe napadača:
1) "Skids" (script kiddies) - djeca, hakeri početnici koji prikupljaju poznate dijelove koda i uslužnih programa i koriste ih za kreiranje jednostavnog zlonamjernog softvera.
2) Byuers nisu čisti poduzetnici, tinejdžeri i ostali tragači za uzbuđenjem. Oni kupuju usluge za pisanje takvog softvera na Internetu, sa njima prikupljaju razne privatne informacije i, eventualno, preprodaju.
3) "Black Hat Coders" - guru programiranja i poznavaoci arhitekture. Oni pišu kod u notepad i razvijaju nove exploite od nule.
Može li neko s dobrim programskim vještinama biti posljednji? Mislim da nećete početi kreirati nešto poput regina (link) nakon što ste prisustvovali nekoliko DEFCON sesija. S druge strane, vjerujem da bi službenik za informacijsku sigurnost trebao ovladati nekim konceptima na kojima je izgrađen zlonamjerni softver.
Zašto su osoblju za sigurnost informacija potrebne ove sumnjive vještine?
Upoznaj svog neprijatelja. Kao što smo raspravljali na blogu Inside Out, morate razmišljati kao uljez da biste ga zaustavili. Ja sam specijalista za informatičku sigurnost u Varonisu i prema mom iskustvu bit ćete jači u ovom zanatu ako shvatite koje će poteze uljez napraviti. Stoga sam odlučio započeti seriju postova o detaljima koji su u osnovi zlonamjernog softvera i raznim porodicama alata za hakovanje. Kada shvatite koliko je lako kreirati softver koji se ne može otkriti, možda ćete želeti da ponovo razmislite o bezbednosnim politikama vašeg preduzeća. Sada detaljnije.
Za ovu neformalnu klasu hakovanja 101 potrebno vam je malo znanja iz programiranja (C# i java) i osnovno razumijevanje arhitekture Windowsa. Imajte na umu da je u stvarnosti zlonamjerni softver napisan u C / C ++ / Delphi kako ne bi ovisio o okvirima.
Keylogger
Keylogger je softver ili neka vrsta fizičkog uređaja koji može presresti i zapamtiti pritiske tipki na kompromitovanoj mašini. Zamislite ovo kao digitalnu zamku za svaki pritisak na tastaturi.
Često se ova funkcija implementira u drugim, složenijim softverima, na primjer, Trojancima (Remote Access Trojans RATS), koji osiguravaju isporuku presretnutih podataka nazad napadaču. Postoje i hardverski keyloggeri, ali su rjeđi jer zahtijevaju direktan fizički pristup mašini.
Ipak, vrlo je lako programirati osnovne funkcije keyloggera. A UPOZORENJE. Ako želite da isprobate nešto od sljedećeg, provjerite imate li dozvole i ne štetite postojećem okruženju, ali najbolje je sve to učiniti na izoliranom VM-u. Dalje, ovaj kod neće biti optimizovan, samo ću vam pokazati redove koda koji mogu izvršiti zadatak, ovo nije najelegantniji niti optimalan način. I na kraju, neću vam reći kako napraviti keylogger otporan na ponovno pokretanje ili pokušati učiniti ga potpuno nevidljivim zahvaljujući posebnim tehnikama programiranja, kao ni o zaštiti od brisanja, čak i ako se pronađe.
Da biste se povezali na tastaturu, trebate koristiti samo 2 reda u C #:
1. 2. 3. public static extern int GetAsyncKeyState (Int32 i);
Možete saznati više o funkciji GetAsyncKeyState na MSDN-u:
Za razumijevanje: ova funkcija određuje da li su tipke pritisnute ili otpuštene u trenutku poziva i da li su pritisnute nakon prethodnog poziva. Sada stalno pozivamo ovu funkciju da primamo podatke sa tastature:
1. dok (tačno) 2. (3. Thread.Sleep (100); 4. za (Int32 i = 0; i< 255; i++) 5. { 6. int state = GetAsyncKeyState(i); 7. if (state == 1 || state == -32767) 8. { 9. Console.WriteLine((Keys)i); 10. 11. } 12. } 13. }
sta se desava ovde? Ovaj ciklus će ispitivati svaki ključ svakih 100 ms kako bi odredio njegovo stanje. Ako je neko od njih pritisnuto (ili je pritisnuto), na konzoli će se prikazati poruka o tome. U stvarnom životu, ovi podaci se spremaju i šalju napadaču.
Smart keylogger
Čekaj, ima li smisla pokušavati snimati sve informacije zaredom iz svih aplikacija?
Kod iznad uvlači sirovi unos tastature iz bilo kojeg prozora i polje za unos je trenutno u fokusu. Ako su vaš cilj brojevi kreditnih kartica i lozinke, onda ovaj pristup nije baš efikasan. Za scenarije iz stvarnog svijeta, kada se takvi keyloggeri izvršavaju na stotinama ili hiljadama mašina, naknadno raščlanjivanje podataka može postati dugotrajno i, kao rezultat, postati besmisleno. informacije vrijedne za krekera mogu biti zastarjele do tog vremena.
Recimo da želim doći do svojih Facebook ili Gmail akreditiva da bih kasnije prodao lajkove. Onda je nova ideja aktivirati keylogging samo kada je prozor pretraživača aktivan i u naslovu stranice stoji riječ Gmail ili facebook. Koristeći ovu metodu povećavam šanse za dobijanje akreditiva.
Druga verzija koda:
1. while (true) 2. (3. IntPtr handle = GetForegroundWindow (); 4. if (GetWindowText (handle, buff, chars)> 0) 5. (6. string line = buff.ToString (); 7. if (line.Contains ("Gmail") || line.Contains ("Facebook - Log In or Sign Up")) 8. (9. // test tastature 10.) 11.) 12. Thread.Sleep (100); 13. )
Ovaj isječak će otkriti aktivan prozor svakih 100 ms. Ovo se radi pomoću funkcije GetForegroundWindow (više informacija o MSDN-u). Naslov stranice se pohranjuje u varijablu buff, ako sadrži gmail ili facebook, tada se poziva isječak skeniranja tastature.
Time smo osigurali da se tastatura skenira samo kada je prozor pretraživača otvoren na facebook i gmail stranicama.
Još pametniji keylogger
Pretpostavimo da je napadač uspio doći do podataka kodom poput našeg. Pretpostavimo i da je dovoljno ambiciozan i da je mogao zaraziti desetine ili stotine hiljada automobila. Rezultat: ogromna datoteka sa gigabajtima teksta, u kojoj još treba pronaći potrebne informacije. Vrijeme je da se upoznate s regularnim izrazima ili regexom. Ovo je nešto poput mini-jezika za sastavljanje određenih šablona i skeniranje teksta radi usklađenosti sa datim šablonima. Više možete saznati ovdje.
Radi jednostavnosti, odmah ću dati gotove izraze koji odgovaraju imenima za prijavu i lozinkama:
1. // Tražim poštansku adresu 2. ^ [\ w! # $% & "* + \ - / =? \ ^ _` (|) ~] + (\. [\ W! # $% & " * + \ - / =? \ ^ _ `(|) ~] +) * @ ((([\ - \ w] + \.) + (2,4)) | (((1,3) \. ) ( 3) (1,3))) $ 3. 4. 5. // Tražim lozinku 6. (? = ^. (6,) $) (? =. * \ D) (? =. *)
Ovi izrazi su ovdje kao nagoveštaj o tome šta se može učiniti pomoću njih. Pomoću regularnih izraza možete pretraživati (ili pronaći!) bilo koju konstrukciju koja ima specifičan i nepromjenjiv format, kao što su brojevi pasoša, brojevi kreditnih kartica, računi, pa čak i lozinke.
Zaista, regularni izrazi nisu najčitljivija vrsta koda, ali su jedan od najboljih prijatelja programera kada je u pitanju raščlanjivanje teksta. Java, C#, JavaScript i drugi popularni jezici već imaju gotove funkcije kojima možete proslijediti regularne regularne izraze.
Za C # to izgleda ovako:
1. Regex re = novi Regex (@ "^ [\ w! # $% &" * + \ - / =? \ ^ _ `(|) ~] + (\. [\ W! # $% &" * + \ - / =? \ ^ _ `(|) ~] +) * @ ((([\ - \ w] + \.) + (2,4)) | (((1,3) \.) (3) (1,3))) $ "); 2. Regex re2 = novi Regex (@ "(? = ^. (6,) $) (? =. * \ D) (? =. *)"); 3. string email = " [email protected]"; 4. string pass =" abcde3FG "; 5. Rezultat utakmice = re.Match (e-pošta); 6. Rezultat meča2 = re2.Match (pass);
Pri čemu će prvi izraz (re) odgovarati bilo kojoj e-pošti, a drugi (re2) bilo koja cifra abecedne konstrukcije ima više od 6 znakova.
Besplatno i potpuno neprimetno
U mom primjeru, koristio sam Visual Studio - možete koristiti svoje omiljeno okruženje - da kreiram takav keylogger za 30 minuta.
Da sam pravi uljez, onda bih ciljao na neku stvarnu metu (bankarske stranice, društvene mreže, itd.) i modificirao kod da odgovara ovim ciljevima. Naravno, takođe bih pokrenuo phishing kampanju sa e-mailovima sa našim programom, prikrivenim u običan nalog ili neki drugi prilog.
Ostaje samo jedno pitanje: hoće li takav softver zaista biti neprimetan za sigurnosne programe?
Sastavio sam svoj kod i provjerio exe datoteku na web stranici Virustotal. To je web-bazirani alat koji izračunava hash datoteke koju ste preuzeli i traži je u bazi podataka poznatih virusa. Iznenadjenje! Naravno, ništa nije pronađeno.
Ovo je glavna karakteristika! Uvijek možete promijeniti kod i evoluirati, uvijek nekoliko koraka ispred skenera prijetnji. Ako ste u mogućnosti da napišete vlastiti kod, gotovo je zagarantovano da ga nećete moći otkriti. Na ovoj stranici možete pogledati kompletnu analizu.
Glavna svrha ovog članka je pokazati da korištenjem samog antivirusnog softvera ne možete u potpunosti osigurati sigurnost poduzeća. Potrebna je dublja procjena radnji svih korisnika, pa čak i servisa kako bi se identifikovale potencijalno zlonamjerne radnje.
U sljedećim člancima pokazat ću vam kako napraviti verziju takvog softvera koja se zaista ne može otkriti.
Kako bih provjerio sigurnost unesenih lozinki putem KeePass-a, odlučio sam napisati jednostavan keylogger sa dodatnim hvatanjem podataka iz međuspremnika. Sav kod je zauzimao nekoliko redaka u FreePaskalu.
Lozinke su se, bez dodatnih sigurnosnih mjera i pravilne KeePass konfiguracije, pokazale prilično ranjivim.
Keylogger kod se stavlja u petlju tajmera koja se ažurira svakih 10 ms. Korišteni moduli: Windows i ClipBrd.
// Usporedi trenutno stanje tipki za f: = 0 do 255 do if a [f]<>GetAsyncKeyState (f) zatim započni // Reakcija na oslobađanje ključa ako je KeePass.Checked i (GetAsyncKeyState (f) = 0) zatim Memo1.Caption: = Memo1.Caption + chr (f); // Reakcija na pritisak tipke ako nije KeePass.Checked i (GetAsyncKeyState (f)<>0) zatim Memo1.Caption: = Memo1.Caption + chr (f); kraj; // Sačuvajte trenutno stanje ključeva u niz za f: = 0 do 255 uradite a [f]: = GetAsyncKeyState (f); // Upisati promjenu u međuspremnik ako s<>Clipboard.AsText zatim počinje s: = Clipboard.AsText; Memo2.Caption: = Memo2.Caption + s + ""; kraj;
Simple Logger izgleda ovako:
Prozor -Tastatura- prikazuje tipke bez obzira na velika i mala slova i jezik unosa. Prikazuje se znak čiji je broj jednak šifri ključa: chr (f). Moguće je modificirati program kako bi se ispravno prikazali svi simboli, ali to nije potrebno za ovu studiju.
Kopiranje se dešava u prozor -Clipboard- kada se sadržaj bafera promeni.
KeePass slabosti i kako ih popraviti
1. Unošenje glavne lozinke
Podrazumevano, glavna lozinka u KeePass se unosi bez zaštićenog režima, tako da se lako može odrediti u Simple Loggeru. Ovo je najkritičnije mjesto u bezbjednosti, jer ovdje dobijamo pristup cijeloj bazi lozinki odjednom.Da biste riješili problem, morate omogućiti sigurnosnu postavku "Unesite glavnu lozinku u zaštićenom načinu (slično UAC-u u Windows Vista i novijim)". Ovaj način rada sprječava logger da pristupi tastaturi. Osim toga, nemoguće je napraviti snimak ekrana u njemu kako bi se odredila lokacija datoteke ključa.
Ovaj način rada je omogućen samo prilikom unosa glavne lozinke. O zaštiti ostalih lozinki ćemo govoriti kasnije.
2. Međuspremnik
Simple Logger reagira na promjene međuspremnika brzinom od 100 puta u sekundi. Dakle, unošenje lozinke u bafer i njeno brisanje nakon nekoliko sekundi ne pruža zaštitu u ovom slučaju.Da biste riješili ovaj problem, možete koristiti automatsko biranje.
3. Automatsko biranje
KeePass automatsko kucanje reaguje na pritisak na taster, a ne na pritisak. Ovo vam omogućava da dobijete zaštitu od nekih keyloggera. Da biste zaobišli ovo, Simple Logger ima dodatnu postavku: "KeePass Auto-Type". Ako je uključen, loger se pokreće pritiskom na tipku.Prilikom automatskog kucanja pomoću KeePass-a: MyLoginName LongPassword123
U Simple Logger-u će se pojaviti unos:
Simple Logger ni na koji način ne uzima u obzir prečice na tastaturi. Kao što vidite, tipka Shift se prikazuje kao poseban znak (slično "+") i "?". Shift se pušta i prije i poslije velikog slova. Međutim, ovo je dovoljno za razumijevanje lozinke.
Da biste riješili ovaj problem, možete koristiti postavku u KeePass-u "Double complicate auto-typing". U ovom slučaju, KeePass će dio lozinke unijeti s tastature, a dio kroz međuspremnik, miješajući vrijednosti. Ovo vam omogućava da zaobiđete neke keyloggere.
Simple Logger će na dvostruku komplikaciju automatskog biranja reagirati na sljedeći način:
- Zalijepiti iz međuspremnika “Ctrl + V” je prikazano kao “V◄?”;
- Strelica lijevo - "%" (kod ključa i simbol # 37);
- Strelica desno - "" "(šifra ključa i simbol #39).
Od keyloggera koji je "naoštren" za KeePass, dodatna zaštita može pomoći.
4. Dodatna sredstva zaštite
Neki softverski paketi imaju karakteristike kao što su:- Zaštita unosa podataka s hardverske tipkovnice;
- Zaštićeni pretraživač.
Kada je koristio bezbedni pretraživač, Simple Logger nije mogao da pristupi međuspremniku i tastaturi. Takođe, nije bilo načina za snimanje ekrana.
Umjesto zaključka
Nakon što sam pogledao kako naši zaposlenici koriste KeePass, otkrio sam da neki:- ne koristite UAC;
- nemojte koristiti automatsko kucanje, samo kopirajte lozinke kroz bafer;
- ostavite program otvoren kada napuštate radno mjesto;
- koristite podrazumevane postavke bez konfigurisanja bezbednosne politike.
Testirao sam najnoviji KeePass 2.36 na Windows 8.1. Da budemo pošteni, treba napomenuti da ovaj problem nije samo KeePass problem. Postoji mnogo drugih čuvara lozinki sa većim ili manjim stepenom pouzdanosti, ali ovo je tema za drugu studiju.
Linkovi
- Jednostavan loger na GitHubu
// Ko se ne boji, u arhivi "SimpleLogger_for_Win64.7z" možete pronaći exe-shnik. Program ne dozvoljava potpuni keylogging, namijenjen je za sigurnosna istraživanja i informativne svrhe.
Dodatak za pretraživač
Kao što je korisnik dartraiden istakao, modul se može koristiti KeePassHttp zajedno sa dodatkom za pretraživač PassIFox ili ChromeIPass... Ovaj dodatak (kako je deklarisao programer) obezbeđuje bezbedno izlaganje KeePass zapisa preko HTTP-a.Ovaj paket vam omogućava da automatski unesete korisničko ime i lozinku u pretraživač kada je KeePass otključan. Simple Logger u ovom slučaju ne reaguje ni na koji način.
Slaba tačka ChromeIPass-a je generiranje nove lozinke. kopira se kroz međuspremnik i vidljiv je na ekranu. U ovom slučaju, najbolje je generirati novu lozinku u samom KeePass-u.
Kreiranje nove glavne lozinke
Kao što je arthur_veber istakao:Prilikom promjene glavne lozinke, kao i prilikom kreiranja nove, siguran način rada se ne primjenjuje.
U ovom slučaju, Simple Logger presreće glavnu lozinku unetu u KeePass.
Ne pomaže ni virtuelna ekranska tastatura poznatog proizvođača, koja, kao i KeePass auto-tipkanje, radi na događaju za pritisak na tipku.
Ovdje je teško dati savjet. Vjerovatno morate skrenuti pažnju programera na ovaj problem.
Druga sredstva napada
Kao što je korisnik qw1 prvi primijetio, ako je sistem na kojem je KeePass instaliran kompromitovan, onda se osim keyloggera mogu koristiti i drugi alati za napad. U ovom slučaju, lista akcija za suzbijanje napada ovisit će o konkretnoj situaciji.Nažalost, nemoguće je u jednom članku obuhvatiti sve mjere zaštite koje su potrebne za čuvanje lozinki.
