Kako znate što vaše dijete ili zaposlenik radi na računalu? Koje stranice posjećuje, s kim komunicira, što kome piše?
Da biste to učinili, postoji špijunski softver - posebna vrsta softvera koji prikuplja informacije o svim njegovim radnjama neprimjetno za korisnika. Špijunski softver za vaše računalo će učiniti trik.
Špijunski softver za računalo ne smije se brkati s trojanskim: prvi je apsolutno legitiman i instalira se uz pristanak administratora, drugi ilegalno ulazi na računalo i provodi skrivene zlonamjerne aktivnosti.
Iako, cyber kriminalci također mogu koristiti legitimne programe za praćenje.
Špijunske aplikacije najčešće instaliraju poslovni rukovoditelji i administratori sustava kako bi nadzirali zaposlenike, roditelji da bi špijunirali djecu, ljubomorne supružnike itd. U isto vrijeme, "žrtva" može znati da je pod nadzorom, ali češće nego ne, on ne.
Pregled i usporedba pet popularnih špijunskih programa
NeoSpy
NeoSpy je svestrani špijunski softver za tipkovnicu, zaslon i aktivnosti korisnika. NeoSpy radi nevidljivo i može sakriti svoju prisutnost tijekom instalacije.
Korisnik koji instalira program ima mogućnost odabrati jedan od dva načina instalacije - administratorski i skriveni. U prvom načinu rada program se otvara - stvara prečac na radnoj površini i mapu u direktoriju Program Files, u drugom je skriven.
Programski procesi se ne pojavljuju u Windows Task Manageru i upraviteljima zadataka trećih strana.
Funkcionalnost NeoSpyja je prilično široka i program se može koristiti i kao kućno praćenje i u uredima za kontrolu zaposlenika.
Spyware se distribuira u tri verzije pod shareware licencom. Cijena je 820-1990 rubalja, ali može raditi besplatno (čak i u skrivenom načinu rada) s ograničenjima prilikom pregledavanja izvješća.
Što NeoSpy može učiniti:
- pratiti tipkovnicu;
- pratiti posjete web stranici;
- prikazati korisnikov zaslon u stvarnom vremenu putem interneta s drugog računala ili s tableta;
- napravite snimke zaslona i spremajte snimke s web kamere;
- pratiti događaje u sustavu (uključivanje, gašenje, vrijeme zastoja računala, veza s prijenosnim medijima);
- presresti sadržaj međuspremnika;
- Pratiti korištenje internetskih glasnika, snimati Skype pozive;
- presresti podatke koji se šalju na ispis i kopiraju na vanjske medije;
- voditi statistiku rada na računalu;
- poslati koordinate prijenosnog računala (izračunate preko Wi-Fi-ja).
Zahvaljujući sučelju na ruskom jeziku, širokom rasponu funkcija, ispravnom presretanju tipkovnice i potpuno skrivenom načinu rada u sustavu, NeoSpy dobiva maksimalnu ocjenu pri odabiru programi za kontrolu korisnika.
Pravi špijunski monitor
Sljedeći špijun je Real Spy Monitor. Ovaj program na engleskom jeziku nema samo funkcije praćenja, već može blokirati i određene radnje na računalu. Stoga se često koristi kao alat za roditeljsku kontrolu.
Za svaki račun u postavkama Real Spy Monitora možete kreirati vlastitu politiku zabrane, na primjer, za posjećivanje određenih web-mjesta.
Nažalost, zbog nedostatka sučelja na engleskom jeziku, teže je razumjeti kako Real Spy Monitor radi, unatoč grafičkim sličicama za tipke.
Program se također plaća. Licenca počinje od 39,95 dolara.
Značajke stvarnog špijunskog monitora:
- presretanje pritisaka na tipke, sadržaj međuspremnika, događaji u sustavu, web stranice, instant messengeri, mail;
- rad u poluskrivenom načinu (bez aktivnog prozora, ali s prikazom procesa u upravitelju zadataka);
- rad s više računa;
- selektivno automatsko pokretanje za različite račune.
Općenito, Real Spy Monitor sviđa se mnogim korisnicima, a među nedostacima ističu visoku cijenu, nedostatak sučelja na ruskom jeziku i prikaz procesa u upravitelju zadataka.
Pravi špijun
Actual Spy programeri su pozicionirali kao keylogger (keylogger), iako program može učiniti više od snimanja tipki.
Nadzire sadržaj međuspremnika, snima snimke zaslona, prati posjete web-mjestu i tako dalje, što je uključeno u glavni skup špijunskog softvera koji smo ispitali.
Kada se instalira, Actual Spy stvara prečac u izborniku Start, tako da ga korisnik može primijetiti. Pokretanje se također odvija otvoreno - da biste sakrili prozor programa, morate pritisnuti određene tipke.
Mogućnosti Actual Spya ne razlikuju se puno od mogućnosti konkurenata. Među nedostacima, korisnici su primijetili da ispravno bilježi pritiske tipki samo u engleskom rasporedu.
SpyGo
SpyGo je špijunski komplet za kućnu upotrebu. Također se može koristiti u uredima za praćenje zaposlenika.
Za početak nadzora, samo pritisnite gumb "Start" u SpyGo.
SpyGo se distribuira pod shareware licencom i košta 990-2990 rubalja, ovisno o skupu funkcija.
U probnim verzijama trajanje praćenja je ograničeno na 20 minuta dnevno, a slanje izvješća na e-mail i putem FTP-a nije dostupno.
Ključne značajke SpyGo:
- praćenje pritiska na tipke;
- snimanje svih radnji na računalu (pokretanje programa, operacije s datotekama itd.);
- kontrola posjeta web resursima (povijest, upiti za pretraživanje, često posjećene stranice, trajanje boravka na stranici);
- snimanje onoga što se događa na ekranu;
- spremanje sadržaja međuspremnika;
- slušanje okoline (ako postoji mikrofon);
- praćenje događaja u sustavu (vrijeme uključivanja i isključivanja računala, zastoja, spajanja flash pogona, diskova itd.).
Važno! Nedostaci SpyGo-a, prema korisnicima, mogu se pripisati činjenici da ne podržava sve verzije Windowsa, pri slanju izvješća često izbacuje greške i prilično ga je lako demaskirati.
cinkaroš
Snitch - naziv ovog programa preveden je kao "doušnik", i vrlo neprijateljski prema korisniku. Snitch špijunira aktivnosti računala. Radi skriveno, ne zahtijeva složene postavke i ima mali utjecaj na performanse sustava.
Program je objavljen u jednoj verziji.
Sposobnosti i značajke cinkaroša:
- praćenje tipkovnice, međuspremnika, sustavnih događaja, surfanja webom i komunikacije u glasnicima;
- priprema zbirnih izvješća i rasporeda kontroliranih događaja;
- nezahtjevan za mrežnu konfiguraciju;
- zaštita od neovlaštenog prekida programskog procesa;
- nadzor se provodi čak i ako nema mrežne veze.
Među nedostacima možete vidjeti sukobe s antivirusnim softverom.
Kako otkriti špijuna na računalu?
Pronalaženje špijunskog softvera na vašem računalu koji se ne pokazuje izvana je teško, ali moguće.
Dakle, unatoč legitimnosti, prijave koje smo pregledali može prepoznati posebne antivirusne programe,"Izoštreno" za traženje špijunskog softvera (trojanci s funkcijom špijunaže), pa preporučujemo dodavanje instaliranog programa na popis izuzetaka za takve antiviruse.
A ako ne trebate ukloniti špijuna, već samo trebate prikriti svoje radnje od njega, možete koristiti alate protiv špijunaže, koji će, unatoč aktivnom nadzoru nad vama, spriječiti presretanje događaja na tipkovnici i snimki zaslona.
Tada vaša korespondencija i lozinke neće pasti u pogrešne ruke.
Elite Keylogger bilježi sve lozinke upisane na računalu, a pritom ostaje potpuno nevidljiv korisnicima! Moći ćete presresti lozinke, dokumente, e-poštu, chat poruke i još mnogo toga.
Lozinke
Elite Keylogger radi u režimu drajvera niske razine i pokreće se ranije od sustava Windows, što vam omogućuje da saznate lozinke i prijave. Imajte na umu da verzija za Mac ne može snimati lozinke za prijavu na OS X.
Snimanje razgovora i pošte
Elite Keylogger za Windows bilježi chat i trenutne poruke od mnogih različitih klijenata uključujući MSN, AOL, ICQ, AIM, GTalk, Skype. Elite Keylogger za Mac može snimati korespondenciju iz programa Skype, Viber, iChat / Messages i Adium, kao i odlaznu e-poštu s obje strane.
Mrežni keylogger
Elite Keylogger je idealno rješenje za daljinsko praćenje računala. Trebate ga samo jednom instalirati - i izvješća će vam stizati e-poštom ili učitana na FTP poslužitelj. To čini ovaj uslužni program idealnim za tvrtke koje zahtijevaju praćenje računala od strane zaposlenika. Ova je aplikacija potpuno nevidljiva i antivirusni ili anti-špijunski softver ne može je otkriti (pod uvjetom da je ispravno instaliran).
Najbolja otmica web mjesta
Elite Keylogger jedan je od najboljih špijunskih programa zbog svoje sposobnosti snimanja posjeta web stranicama iz SVIH popularnih preglednika. Potpuno bilježi URL-ove web stranica u Internet Exploreru, Firefoxu, Safariju, Operi, Google Chrome i drugim preglednicima. Svaka adresa web-mjesta zapisuje se zajedno s vremenskom oznakom, tako da možete lako pratiti internetske aktivnosti svoje djece kako biste bili sigurni da su sigurna.
User-friendly sučelje
Tako je jednostavan za korištenje. Instalacija je brza i bezbolna čak i za početnike. Za one koji ga trebaju, Elite Keylogger nudi naprednije opcije kao što su daljinska instalacija ili predkonfiguracija. Vi samo trebate instalirati - i možete ga postaviti i aktivirati za nekoliko minuta. Samo navedite kako želite primati zapise - i više nećete morati dodirivati administratorsko sučelje špijunskog softvera, jer će sada sve raditi automatski!
Mnogo opcija za slanje izvještaja
Elite Keylogger nudi mnoge mogućnosti izvješćivanja. Mogu vam se poslati e-poštom, prenijeti na FTP, prenijeti na drugo računalo na lokalnoj mreži ili potajno kopirati na USB disk. Ne postoji ograničenje veličine dnevnika koji se prenosi.
Keylogger je program koji čita pritisnute tipke i sprema ih u datoteku. U budućnosti možete vidjeti što je osoba napisala na računalu, koje je poruke upisala i koje je lozinke unijela. Drugi naziv za keylogger je keylogger, od engleskog "keylogger", što doslovno znači "gumbi za snimanje".
U programu NeoSpy, funkcija keyloggera je omogućena prema zadanim postavkama, u ovom načinu rada program bilježi tekst, kombinacije prečaca i lozinke upisane na tipkovnici. Postavkama keyloggera upravlja se u izborniku "Postavke praćenja" - "Snimanje dnevnika" - "Tipkovnica". Možete odabrati jedan od dva načina rada programa: standardni i alternativni. Preporuča se korištenje standardne opcije u 99% slučajeva, ali u slučaju sukoba s vašim antivirusnim softverom, možete omogućiti alternativni način rada.
Konfiguriranje Keyloggera
Zapisnik tipkovnice uvijek je napisan u punom formatu, uključujući servisne tipke. Primjer takvog dnevnika može se vidjeti na ilustraciji. Dok pregledavate izvješće, možete isključiti prikaz znakova koji se ne mogu ispisati i pregledati zapisnik kao običan tekst, čitljiviji.
Primjer rada keyloggera
Radi pojednostavljenja rada s izvješćima, upisane lozinke su istaknute na popisu pritisnutih tipki. Tako možete saznati lozinke svog djeteta i, ako je potrebno, zaštititi ga od neželjenih poznanstava. Ako se program NeoSpy u poduzeću koristi za kontrolu zaposlenika, tada je prikupljanje osobnih podataka i korespondencije zabranjeno u zakonodavstvu većine zemalja, stoga ovu opciju treba onemogućiti ili se zaposlenik mora pismeno obavijestiti o kontroli od strane upravljanja i nedopustivosti korištenja računala u organizaciji za osobnu korespondenciju.
Svijet hakera može se grubo podijeliti u tri grupe napadača:
1) "Skids" (script kiddies) - djeca, hakeri početnici koji prikupljaju poznate dijelove koda i uslužnih programa i koriste ih za stvaranje jednostavnog zlonamjernog softvera.
2) Byueri nisu čisti poduzetnici, tinejdžeri i ostali tražitelji uzbuđenja. Na Internetu kupuju usluge za pisanje takvog softvera, s njima prikupljaju razne privatne podatke i, eventualno, preprodaju.
3) "Black Hat Coders" - programski guru i poznavatelji arhitekture. Oni pišu kod u bilježnicu i razvijaju nove exploite od nule.
Može li netko s dobrim programskim vještinama biti posljednji? Mislim da nećete početi stvarati nešto poput regina (link) nakon pohađanja nekoliko DEFCON sesija. S druge strane, vjerujem da bi službenik za informacijsku sigurnost trebao svladati neke od koncepata na kojima se gradi zlonamjerni softver.
Zašto su osoblju za informacijsku sigurnost potrebne ove sumnjive vještine?
Upoznaj svog neprijatelja. Kao što smo raspravljali na blogu Inside Out, morate razmišljati kao uljez da ga zaustavite. Ja sam stručnjak za informacijsku sigurnost u Varonisu i prema mom iskustvu bit ćete jači u ovom zanatu ako razumijete koje će poteze uljez napraviti. Stoga sam odlučio pokrenuti seriju postova o detaljima koji su u osnovi zlonamjernog softvera i raznim obiteljima alata za hakiranje. Nakon što shvatite koliko je lako stvoriti softver koji se ne može otkriti, možda ćete htjeti ponovno razmisliti o sigurnosnim politikama vašeg poduzeća. Sada detaljnije.
Za ovu neformalnu klasu hakiranja 101 potrebno vam je malo znanja programiranja (C# i java) i osnovno razumijevanje arhitekture Windowsa. Imajte na umu da je u stvarnosti zlonamjerni softver napisan u C / C ++ / Delphi kako ne bi ovisio o okvirima.
Keylogger
Keylogger je softver ili neka vrsta fizičkog uređaja koji može presresti i zapamtiti pritiske tipki na kompromitiranom stroju. Zamislite ovo kao digitalnu zamku za svaki pritisak tipke na vašoj tipkovnici.
Često je ova funkcija implementirana u drugim, složenijim softverima, na primjer, Trojancima (Remote Access Trojans RATS), koji osiguravaju isporuku presretnutih podataka natrag napadaču. Postoje i hardverski keyloggeri, ali su rjeđi jer zahtijevaju izravan fizički pristup stroju.
Ipak, vrlo je jednostavno programirati osnovne funkcije keyloggera. UPOZORENJE. Ako želite isprobati nešto od sljedećeg, provjerite imate li dopuštenja i nemojte naštetiti postojećem okruženju, ali najbolje je sve to učiniti na izoliranom VM-u. Nadalje, ovaj kod neće biti optimiziran, samo ću vam pokazati retke koda koji mogu izvršiti zadatak, ovo nije najelegantniji niti optimalan način. I na kraju, neću vam reći kako napraviti keylogger otporan na ponovno podizanje sustava ili pokušati učiniti ga potpuno nevidljivim zahvaljujući posebnim tehnikama programiranja, kao ni o zaštiti od brisanja, čak i ako se pronađe.
Da biste se povezali s tipkovnicom, trebate koristiti samo 2 reda u C #:
1. 2. 3. public static extern int GetAsyncKeyState (Int32 i);
Možete saznati više o funkciji GetAsyncKeyState na MSDN-u:
Za razumijevanje: ova funkcija određuje jesu li tipke pritisnute ili otpuštene u trenutku poziva i jesu li pritisnute nakon prethodnog poziva. Sada stalno pozivamo ovu funkciju za primanje podataka s tipkovnice:
1. dok je (točno) 2. (3. Thread.Sleep (100); 4. za (Int32 i = 0; i< 255; i++) 5. { 6. int state = GetAsyncKeyState(i); 7. if (state == 1 || state == -32767) 8. { 9. Console.WriteLine((Keys)i); 10. 11. } 12. } 13. }
Što se ovdje događa? Ovaj ciklus će provjeravati svaki ključ svakih 100 ms kako bi odredio njegovo stanje. Ako je jedan od njih pritisnut (ili je pritisnut), na konzoli će se prikazati poruka o tome. U stvarnom životu, ti se podaci spremaju i šalju napadaču.
Pametni keylogger
Čekaj, ima li smisla pokušavati snimati sve informacije zaredom iz svih aplikacija?
Gornji kod uvlači neobrađeni unos tipkovnice iz bilo kojeg prozora i polje za unos je trenutno u fokusu. Ako su vaš cilj brojevi kreditnih kartica i lozinke, onda ovaj pristup nije baš učinkovit. Za scenarije iz stvarnog svijeta, kada se takvi keyloggeri izvode na stotinama ili tisućama strojeva, naknadno raščlanjivanje podataka može postati dugotrajno i, kao rezultat, postati besmisleno. informacije vrijedne za krekera mogu biti zastarjele do tog vremena.
Recimo da želim doći do svojih vjerodajnica za Facebook ili Gmail da bih kasnije prodao lajkove. Tada je nova ideja aktivirati keylogging samo kada je prozor preglednika aktivan i u naslovu stranice stoji riječ Gmail ili facebook. Korištenjem ove metode povećavam šanse za dobivanje vjerodajnica.
Druga verzija koda:
1. while (true) 2. (3. IntPtr handle = GetForegroundWindow (); 4. if (GetWindowText (handle, buff, chars)> 0) 5. (6. string line = buff.ToString (); 7. if (red.Sadrži ("Gmail") || line.Sadrži ("Facebook - Prijavite se ili se prijavite")) 8. (9. // test tipkovnice 10.) 11.) 12. Thread.Sleep (100); trinaest.)
Ovaj će isječak otkriti aktivni prozor svakih 100 ms. To se radi pomoću funkcije GetForegroundWindow (više informacija o MSDN-u). Naslov stranice je pohranjen u varijablu buff, ako sadrži gmail ili facebook, tada se poziva isječak skeniranja tipkovnice.
Time smo osigurali da se tipkovnica skenira samo kada je prozor preglednika otvoren na stranicama facebook i gmail.
Još pametniji keylogger
Pretpostavimo da je napadač uspio dobiti podatke s kodom poput našeg. Pretpostavimo i da je dovoljno ambiciozan i da je mogao zaraziti desetke ili stotine tisuća automobila. Rezultat: ogromna datoteka s gigabajtima teksta, u kojoj još treba pronaći potrebne informacije. Vrijeme je da se upoznate s regularnim izrazima ili regexom. Ovo je nešto poput mini-jezika za sastavljanje određenih predložaka i skeniranje teksta radi usklađenosti s danim predlošcima. Više možete saznati ovdje.
Radi jednostavnosti, odmah ću dati gotove izraze koji odgovaraju imenima za prijavu i lozinkama:
1. // Tražim poštansku adresu 2. ^ [\ w! # $% & "* + \ - / =? \ ^ _` (|) ~] + (\. [\ W! # $% & " * + \ - / =? \ ^ _ `(|) ~] +) * @ ((([\ - \ w] + \.) + (2,4)) | (((1,3) \. ) ( 3) (1,3))) $ 3. 4. 5. // Tražim lozinku 6. (? = ^. (6,) $) (? =. * \ D) (? =. *)
Ovi su izrazi ovdje kao nagovještaj što se može učiniti pomoću njih. Pomoću regularnih izraza možete pretraživati (ili pronaći!) bilo koju konstrukciju koja ima specifičan i nepromjenjiv format, kao što su brojevi putovnica, brojevi kreditnih kartica, računi, pa čak i lozinke.
Doista, regularni izrazi nisu najčitljivija vrsta koda, ali su jedan od najboljih prijatelja programera kada je u pitanju raščlanjivanje teksta. Java, C#, JavaScript i drugi popularni jezici već imaju gotove funkcije kojima možete proslijediti regularne regularne izraze.
Za C # to izgleda ovako:
1. Regex re = novi regularni izraz (@ "^ [\ w! # $% &" * + \ - / =? \ ^ _ `(|) ~] + (\. [\ W! # $% &" * + \ - / =? \ ^ _ `(|) ~] +) * @ ((([\ - \ w] + \.) + (2,4)) | (((1,3) \.) (3) (1,3))) $ "); 2. Regex re2 = novi Regex (@ "(? = ^. (6,) $) (? =. * \ D) (? =. *)"); 3. string email = " [e-mail zaštićen]"; 4. string pass =" abcde3FG "; 5. Rezultat utakmice = re.Match (e-pošta); 6. Match result2 = re2.Match (pass);
Pri čemu će prvi izraz (re) odgovarati bilo kojoj e-pošti, a drugi (re2) bilo koja znamenka abecedne konstrukcije ima više od 6 znakova.
Besplatno i potpuno neprimetno
U svom primjeru, koristio sam Visual Studio - možete koristiti svoje omiljeno okruženje - za stvaranje takvog keyloggera za 30 minuta.
Da sam pravi uljez, onda bih ciljao na neku stvarnu metu (bankarske stranice, društvene mreže itd.) i modificirao bih kod kako bi odgovarao tim ciljevima. Naravno, također bih pokrenuo phishing kampanju s e-mailovima s našim programom, prerušenim u obični račun ili neki drugi privitak.
Ostaje samo jedno pitanje: hoće li takav softver doista biti neprimjetan za sigurnosne programe?
Sastavio sam svoj kod i provjerio exe datoteku na web stranici Virustotal. To je web-bazirani alat koji izračunava hash datoteke koju ste preuzeli i traži je u bazi podataka poznatih virusa. Iznenađenje! Naravno, ništa nije pronađeno.
Ovo je glavna karakteristika! Uvijek možete promijeniti kod i razvijati se, uvijek nekoliko koraka ispred skenera prijetnji. Ako ste u mogućnosti napisati svoj vlastiti kod, gotovo je zajamčeno da ga nećete moći otkriti. Na ovoj stranici možete vidjeti kompletnu analizu.
Glavna svrha ovog članka je pokazati da samo korištenjem antivirusnog softvera ne možete u potpunosti osigurati sigurnost poduzeća. Potrebna je dublja procjena radnji svih korisnika, pa čak i usluga kako bi se identificirale potencijalno zlonamjerne radnje.
U sljedećim člancima pokazat ću vam kako napraviti verziju takvog softvera koja se uistinu ne može otkriti.
Kako bih provjerio sigurnost unesenih lozinki putem KeePass-a, odlučio sam napisati jednostavan keylogger s dodatnim hvatanjem podataka iz međuspremnika. Cijeli je kod imao nekoliko redaka u FreePaskalu.
Lozinke su se, bez dodatnih sigurnosnih mjera i pravilne KeePass konfiguracije, pokazale prilično ranjivim.
Keylogger kod se stavlja u petlju Timera koja se ažurira svakih 10 ms. Korišteni moduli: Windows i ClipBrd.
// Usporedi trenutno stanje tipki za f: = 0 do 255 do if a [f]<>GetAsyncKeyState (f) zatim započni // Reakcija na otpuštanje ključa ako je KeePass.Checked i (GetAsyncKeyState (f) = 0) zatim Memo1.Caption: = Memo1.Caption + chr (f); // Reakcija na pritisak tipke ako nije KeePass.Checked i (GetAsyncKeyState (f)<>0) zatim Memo1.Caption: = Memo1.Caption + chr (f); kraj; // Spremi trenutno stanje ključeva u niz za f: = 0 do 255 do a [f]: = GetAsyncKeyState (f); // Upišite promjenu u međuspremnik ako s<>Clipboard.AsText zatim počinje s: = Clipboard.AsText; Bilješka2.Naslov: = Podsjetnik2.Naslov + s + ""; kraj;
Simple Logger izgleda ovako:
Prozor -Tipkovnica- prikazuje tipke bez obzira na velika i mala slova i jezik unosa. Prikazuje se znak čiji je broj jednak kodu tipke: chr (f). Moguće je modificirati program za ispravan prikaz svih simbola, ali to nije potrebno za ovo istraživanje.
Kopiranje se događa u prozor -Clipboard- kada se promijeni sadržaj međuspremnika.
KeePass slabosti i kako ih popraviti
1. Unos glavne lozinke
Prema zadanim postavkama, glavna lozinka u KeePass unosi se bez zaštićenog načina rada, tako da se lako može odrediti u Simple Loggeru. Ovo je najkritičnije mjesto u sigurnosti, jer ovdje dobivamo pristup cijeloj bazi lozinki odjednom.Da biste riješili problem, morate omogućiti sigurnosnu postavku "Unesite glavnu lozinku u zaštićenom načinu rada (slično UAC-u u sustavu Windows Vista i novijim)". Ovaj način rada sprječava logger da pristupi tipkovnici. Osim toga, nemoguće je u njemu napraviti snimku zaslona kako bi se odredilo mjesto datoteke ključa.
Ovaj način rada je omogućen samo prilikom unosa glavne lozinke. Kasnije ćemo govoriti o zaštiti ostalih lozinki.
2. Međuspremnik
Simple Logger reagira na promjene međuspremnika brzinom od 100 puta u sekundi. Dakle, unošenje lozinke u međuspremnik i njezino brisanje nakon nekoliko sekundi ne pruža zaštitu u ovom slučaju.Da biste riješili ovaj problem, možete koristiti automatsko biranje.
3. Automatsko biranje
KeePass auto-tipkanje reagira na pritisak tipke, a ne na tipku. To vam omogućuje da dobijete zaštitu od nekih keyloggera. Da biste to zaobišli, Simple Logger ima dodatnu postavku: "KeePass Auto-Type". Ako je uključen, logger se pokreće pritiskom na tipku.Prilikom automatskog tipkanja s KeePassom: MyLoginName Duga lozinka123
U Simple Loggeru će se pojaviti unos:
Simple Logger ni na koji način ne uzima u obzir tipkovničke prečace. Kao što vidite, tipka Shift se prikazuje kao poseban znak (slično kao "+") i "?". Shift se otpušta i prije i poslije velikog slova. Međutim, ovo je dovoljno za razumijevanje lozinke.
Da biste riješili ovaj problem, možete koristiti postavku u KeePass-u "Double complicate auto-typing". U tom slučaju KeePass će dio lozinke unijeti s tipkovnice, a dio kroz međuspremnik, miješajući vrijednosti. To vam omogućuje da zaobiđete neke keyloggere.
Simple Logger će na dvostruku komplikaciju automatskog biranja reagirati na sljedeći način:
- Zalijepi iz međuspremnika "Ctrl + V" je prikazano kao "V◄?";
- Strelica lijevo - "%" (šifra ključa i simbol # 37);
- Desna strelica - "" "(šifra ključa i simbol # 39).
Od keyloggera koji je "naoštren" za KeePass, dodatna zaštita može pomoći.
4. Dodatna sredstva zaštite
Neki softverski paketi imaju značajke kao što su:- Zaštita unosa podataka s hardverske tipkovnice;
- Zaštićeni preglednik.
Kada se koristi siguran preglednik, Simple Logger nije mogao pristupiti međuspremniku i tipkovnici. Također, nije bilo načina za snimanje zaslona.
Umjesto zaključka
Nakon što sam pogledao kako naši zaposlenici koriste KeePass, otkrio sam da neki:- nemojte koristiti UAC;
- nemojte koristiti automatsko upisivanje, samo kopirajte lozinke kroz međuspremnik;
- ostavite program otvoren pri napuštanju radnog mjesta;
- koristiti zadane postavke bez konfiguriranja sigurnosne politike.
Testirao sam najnoviji KeePass 2.36 na Windows 8.1. Iskreno rečeno, treba napomenuti da ovaj problem nije samo problem KeePass-a. Postoje mnogi drugi čuvari lozinki s većim ili manjim stupnjem pouzdanosti, ali to je tema za drugu studiju.
Linkovi
- Jednostavan loger na GitHubu
// Tko se ne boji, u arhivi "SimpleLogger_for_Win64.7z" možete pronaći exe-shnik. Program ne dopušta punopravni keylogging, namijenjen je za sigurnosna istraživanja i informativne svrhe.
Dodatak za preglednik
Kako je istaknuo korisnik dartraiden, modul se može koristiti KeePassHttp zajedno s dodatkom preglednika PassIFox ili ChromeIPass... Ovaj dodatak (kako je deklarirao programer) osigurava sigurnu izloženost KeePass zapisa preko HTTP-a.Ovaj paket vam omogućuje da automatski unesete korisničko ime i lozinku u preglednik kada je KeePass otključan. Simple Logger u ovom slučaju ne reagira ni na koji način.
Slaba točka ChromeIPass-a je generiranje nove lozinke. kopira se kroz međuspremnik i vidljiv je na ekranu. U tom slučaju, najbolje je generirati novu lozinku u samom KeePass-u.
Izrada nove glavne lozinke
Kao što je arthur_veber istaknuo:Prilikom promjene glavne lozinke, kao i prilikom izrade nove, siguran način rada se ne primjenjuje.
U tom slučaju Simple Logger presreće glavnu lozinku unesenu u KeePass.
Ne pomaže ni virtualna zaslonska tipkovnica poznatog proizvođača koja, kao i KeePass auto-tipkanje, radi na događaj za pritisak na tipku.
Ovdje je teško dati savjet. Vjerojatno morate skrenuti pozornost programera na ovaj problem.
Druga sredstva napada
Kao što je korisnik qw1 prvi primijetio, ako je sustav na kojem je KeePass instaliran ugrožen, tada se osim keyloggera mogu koristiti i drugi alati za napad. U ovom slučaju, popis radnji za suzbijanje napada ovisit će o konkretnoj situaciji.Nažalost, nemoguće je u jednom članku obuhvatiti sve mjere zaštite koje su potrebne za pohranu lozinki.
