Cum să te protejezi de keylogger. Ce este Keylogger (keylogger) și cum să interceptați datele de intrare

O zi bună tuturor celor care au venit să ne vadă pentru o „lumină”. Astăzi vom vorbi despre ceea ce este keyloggerși cum funcționează în general.

Astăzi nu vom vorbi despre binecunoscutul „malware” convențional (, etc.), ci despre o infecție necunoscută (pentru o gamă largă de utilizatori), dar nu mai puțin periculoasă decât oricare alta.

Pentru a înțelege ce sunt, de ce nu sunt necesare (de ce sunt periculoase), ce sunt și cum să le facem față - acesta este un obiectiv cu adevărat demn pe care trebuie să-l depășim astăzi.

Ei bine, avem mult de lucru, hai să ne suflecăm mânecile și să mergem.
Sa citim.

Introductiv

Cred că aceia dintre voi care vorbesc fluent engleza ați ghicit deja asta keylogger(tradus din abreviere logger cu tastatură) înseamnă reportofon cu tastatură, putem spune că acest lucru este adevărat, dar numele lor oficial (conform științei) este keyloggers.

Acest „spirit rău” aparține clasei de spyware, adică. ajungând pe computerul utilizatorului (laptop/netbook/tabletă etc.), acesta își îndeplinește faptele murdare de spionaj fără știrea, consimțământul și participarea dumneavoastră.

Arata cam asa:

Nu ai conectat nimic, de exemplu de la servicii aditionale a lui operator mobilși, în general, nu știți nimic despre aceste servicii, dar banii sunt eliminați rapid din soldul dvs. și merg unde ar trebui.

În general, majoritatea utilizatorilor subestimează keylogger ca o clasă de ameninţări şi totuşi reprezintă un pericol grav, deoarece scopul său principal este de a salva și transfera autentificări din conturile de utilizator, portofele etc.

De fapt, keyloggerînregistrează toate acțiunile utilizatorului pe tastatură, de ex. acesta este un fel de „repetitor” (repetitor), gata în orice moment să „scurgă” (unde ar trebui) tot ceea ce a înregistrat pentru tine.

Se poate folosi interceptarea tastei programe regulateși este adesea folosit pentru a apela funcții de program dintr-o altă aplicație folosind taste rapide ( taste rapide) sau, de exemplu, pentru a schimba aspectul greșit al tastaturii (cum ar fi Tastatură Ninja).

Să ne uităm la conceptul de keylogger în profunzime

De asemenea, merită remarcat faptul că keylogger-urile moderne nu înregistrează pur și simplu codurile tastelor introduse - ele „leagă” intrarea de la tastatură la fereastra curentă și elementul de intrare.

Mulți keylogger lista de melodii a lui rulează aplicații, sunt capabili să facă capturi de ecran conform unui anumit program sau eveniment, să spioneze conținutul clipboard-ului și să rezolve o serie de sarcini care vizează urmărirea în secret a utilizatorului.

Informațiile înregistrate sunt salvate pe disc, iar majoritatea keylogger-urilor moderne pot genera diverse rapoarte (prin scrierea lor într-un jurnal specializat, de ex. Buturuga-file), le pot transfera sau http/ .

În plus, o serie de moderne keylogger se bucură RootKit- tehnologii pentru a masca urmele prezenței lor în sistem.

În general, aceasta este o astfel de „infecție cu mai multe fațete”, în prezența căreia pe computerul tău nici măcar nu vei putea strănuta calm fără știrea ei :)

Notă:
Merită spus că keylogger-urile sunt un tip de blestem destul de vechi care a apărut în vremuri MS-DOS- pe atunci erau manipulatori de întreruperi de la tastatură de aproximativ 1 kb.

Cu toate acestea, funcțiile keylogger-urilor nu s-au schimbat de-a lungul timpului - sarcina lor principală este încă înregistrarea secretă intrare de la tastatură cu înregistrarea ulterioară a informațiilor colectate pe disc sau transmisie prin rețea.

Spui că acum sunt multe pe piață pachete antivirus, atât plătit, cât și gratuit (despre care am scris în recenziile noastre, asta și etc.), este chiar atât de greu să prinzi un fel de keylogger „inestetic”?

Uneori da, acest lucru este foarte problematic, pentru că din punctul de vedere al unui antivirus nu este un virus (din moment ce nu are capacitatea de a se reproduce) și nu Cal troian, prin urmare, mulți „apărători”, dacă prind keyloggeri, o fac doar cu o bază specială, extinsă și module suplimentare care vizează asta.

O altă problemă este legată de faptul că există o mulțime de keylogger cunoscuți (și scrierea unuia nu este dificilă) - ca urmare, căutările de semnături sunt ineficiente împotriva lor.

În general, există un număr mare de opțiuni pentru implementarea unui keylogger, dar toate au principiu general munca este introducerea în procesul de transmitere a unui semnal de la apăsarea unei taste până la apariția unui simbol pe ecran.

Cea mai comună opțiune de implementare este un keylogger care instalează capcane pentru tastatură și cârlige (nu are nimic în comun cu un pumn în box :)).

ÎN Windows Un cârlig este un mecanism de interceptare a mesajelor de sistem care utilizează o funcție specială:

• Pentru această funcție se folosește mecanismul Win32API. Majoritatea keylogger-urilor de acest tip folosesc un cârlig WH_Tastatură;
• În afară de cârlig WH_TASTATĂ folosiți și cârligul WH_JOURNALRECORD;
• Diferența dintre ele este că WH_JOURNALRECORD nu necesită o bibliotecă dinamică separată ( DLL), ceea ce simplifică răspândirea acestei porcării în rețea.

Cârligele tastaturii citesc informații din coada de intrare hardware a sistemului aflată în proces de sistem. Această metodă a câștigat o popularitate deosebită datorită faptului că capcana de filtru vă permite să interceptați absolut toate apăsările de taste, deoarece cârligul controlează toate firele de execuție a sistemului.

De asemenea, pentru a crea un astfel de spion, nu aveți nevoie cunoștințe speciale cu excepţia cunoaşterii Visual C++ sau DelphiȘi Win32API. Cu toate acestea, utilizarea aceasta metoda obligă un programator hacker să creeze un separat bibliotecă dinamică DLL.

Merită spus că metoda capcanei este destul de simplă și eficientă, dar are o serie de dezavantaje. Primul dezavantaj poate fi considerat că DLL cu o capcană se reflectă în spațiul de adrese al tuturor GUI-procese, care pot fi folosite pentru a detecta keylogger-urile.

Varianta 2. Interogare periodică a stării tastaturii

O metodă ridicol de primitivă constând în sondarea ciclică a stării tastaturii cu de mare viteză. Aceasta metoda nu necesită implementare DLL V GUI-procese, iar ca urmare spionul este mai puțin vizibil.

Dezavantajul keylogger-urilor de acest tip este necesitatea de a interoga periodic starea tastaturii cu suficient de mare viteză, nu mai puțin 10-20 sondaje pe secundă.

Această metodă este folosită de unii produse comerciale.

Varianta 3. Keylogger bazat pe driver

Această metodă este cea mai eficientă în comparație cu cele descrise mai sus. Există cel puțin două opțiuni pentru implementarea acestei metode - scrierea și utilizarea unei tastaturi în locul celei standard sau instalarea unui driver-filtru. Această metodă (precum și capcana) este o metodă documentată pentru monitorizarea intrării de la tastatură.

În general, pentru a fi mai clar care keylogger sunt cele mai populare, voi oferi un procent aproximativ din prevalența lor (vezi imaginea de mai sus).

Varianta 4. Spionul rootkit

Poate fi implementat ca în UserModeși în modul kernel ( KernelMode). ÎN UserMode Urmărirea intrărilor de la tastatură poate fi construită prin interceptarea comunicațiilor de proces csrss.exe driverul tastaturii sau urmărirea apelurilor API-funcţii de tip GetMessageȘi PeekMessage.

În multe cazuri, chiar tastatura de pe ecran, care este adesea prezentat ca un panaceu pentru orice tip de keylogger.

Dispozitive hardware cu tastatură

ÎN anul trecut a primit o dezvoltare teribilă, dimensiune miniaturală și inteligență extremă. În aparență, sunt uneori greu de observat, mai rar, pentru a le distinge de o unitate flash, iar în cazul bancomatelor, doar un profesionist le poate distinge.

În versiunea veche arăta cam așa:

Adică, pe lângă instrumentele software pentru spionarea muncii utilizatorului, există și cele hardware care au un avantaj incontestabil - nu pot fi detectate prin metode software.

Opțiuni pentru implementarea keylogger hardware:

• Instalarea unui dispozitiv de urmărire în „decalajul” cablului tastaturii;
• Încorporarea unui dispozitiv de urmărire în tastatură;
• Instalare USB-dispozitive, precum unități flash, carduri de memorie etc.;
• „Observare” vizuală a tastaturii/ecranului;
• Alte.

Drăguț, nu-i așa? Trebuie să recunoaștem că acest tip de porcărie este cel mai dăunător, dar este și ceva mai greu de plantat - necesită acces fizic direct la dispozitiv.

Câteva despre apărarea proactivă

Cea mai „obișnuită” soluție este utilizarea sistemelor de protecție proactivă care pot avertiza utilizatorul cu privire la instalarea sau activarea keylogger-urilor software.

Principalul dezavantaj al acestei metode este necesitatea participării active a utilizatorilor pentru a determina actiunile urmatoare cu un cod suspect.

• Dacă utilizatorul nu este suficient de pregătit tehnic, keylogger-ul poate fi ratat din cauza deciziei sale incompetente;
• Dacă participarea utilizatorului la luarea deciziilor de către sistemul de apărare proactiv este minimizată, atunci keylogger poate fi ratată din cauza unei politici de securitate a sistemului insuficient de stricte.

Aceasta este o astfel de sabie cu două tăișuri. Și să subliniem puțin altceva.

Tastatura virtuală ca soluție

Ultima dintre metodele luate în considerare de protecție atât împotriva keylogger-urilor software cât și hardware este utilizarea unei tastaturi virtuale.

Tastatura virtuala este un program care afișează o imagine pe ecran tastatură obișnuită, în care puteți folosi mouse-ul pentru a „apăsa” anumite taste.

În general, tastatura de pe ecran Prost aplicabil pentru a înșela keyloggeri, deoarece a fost creat nu ca un mijloc de protecție, ci ca un mijloc de a ajuta oamenii cu dizabilități, iar transmisia de date după introducere folosind această tastatură poate fi foarte ușor interceptată de malware.

Tastatura de pe ecran poate fi folosită pentru a ocoli keylogger cu toate acestea, trebuie dezvoltat într-un mod special, excluzând interceptarea datelor de intrare în orice etapă a introducerii și transmiterii lor (de regulă, un algoritm este utilizat pentru a schimba poziția butoanelor și a numerelor, precum și pentru criptarea rezultatului final).

În februarie 2005, omul de afaceri din Florida Joe Lopez a intentat un proces împotriva Bank of America: hackeri necunoscuți i-au furat 90.000 de dolari din contul său bancar Bank of America, care a fost cumva transferat în Letonia.

În urma investigației, s-a dovedit că computerul lui Lopez conținea virusul Backdoor.Win32.Apdoor (Backdoor.Coreflood), care înregistrează totul. apăsări de taste utilizator și le trimite atacatorilor prin Internet. Așa au obținut hackerii parola și login-ul lui Joe Lopez, care lucra regulat prin internet cu contul său la Bank of America.

Cu toate acestea, instanța a respins reclamantului daune, subliniind că domnul Lopez a neglijat măsurile de siguranță de bază atunci când lucra cu el. cont bancar prin Internet: a fost adăugată detectarea virusului specificat baze de date antivirus aproape toți producătorii de software antivirus din 2003.

Un keylogger obișnuit a ajutat la dispariția a 90 de mii de dolari din contul lui Joe Lopez.

Ce este un keylogger

Tradus din engleză, keylogger este un înregistrator de taste. În majoritatea surselor puteți găsi următoarea definiție a unui keylogger: keylogger (keylogger) - software, al cărui scop principal este de a monitoriza în mod secret apăsările de taste și de a păstra un jurnal al acestor apăsări. Această definiție nu este în întregime corectă, deoarece atât software-ul, cât și hardware-ul pot fi utilizate ca keylogger. Keyloggerele hardware sunt mult mai puțin frecvente decât cele software, dar atunci când se protejează Informații importante nu trebuie să fie uitate niciodată.

Interceptarea tastei poate fi folosită de programe obișnuite și este adesea folosită pentru a apela funcții ale programului dintr-o altă aplicație folosind taste rapide sau, de exemplu, pentru a comuta aspectul greșit al tastaturii (cum ar fi Keyboard Ninja). Există o mulțime de software legitim care este folosit de administratori pentru a monitoriza ceea ce face un angajat în timpul zilei sau pentru a monitoriza activitatea unui utilizator străini pe calculatorul tau. Totuși, unde este granița dintre utilizarea „legală” a software-ului „legal” și utilizarea acestuia în scopuri criminale? Același software „legal” este adesea folosit pentru a fura în mod deliberat datele secrete ale utilizatorului - de exemplu, parole.

Cele mai multe existente pe acest moment Keylogger-urile sunt considerate „legale” și sunt vândute gratuit, deoarece dezvoltatorii declară multe motive pentru utilizarea keylogger-urilor, de exemplu:

• pentru părinți: urmărirea activităților copiilor pe internet și notificarea părinților dacă încearcă să acceseze site-uri „pentru adulți” (control parental);
• pentru soții geloși: urmărirea acțiunilor soțului tău pe internet în caz de suspiciune de „infidelitate virtuală”;
• pentru serviciul de securitate al organizației: urmărirea faptelor de utilizare greșită a computerelor personale, utilizarea acestora în orele nelucrătoare;
• pentru serviciul de securitate al organizației: urmărirea faptelor de tastare pe tastatură a cuvintelor și expresiilor critice care constituie un secret comercial al organizației și a căror dezvăluire ar putea duce la daune materiale sau de altă natură organizației;
• Pentru diverse servicii securitate: analiza și investigarea incidentelor legate de utilizarea calculatoarelor personale;
• alte motive.

Cu toate acestea, aceasta este mai mult o situație obișnuită decât o stare de fapt obiectivă, deoarece există alte modalități de a rezolva toate aceste probleme și ORICE keylogger legal poate fi utilizat în scopuri rău intenționate și În ultima vreme Furtul de informații de la utilizatorii diferitelor sisteme de plată online a devenit, din păcate, principala utilizare a keylogger-urilor (în aceleași scopuri, scriitorii de viruși dezvoltă constant noi keylogger troieni).

În plus, mulți keylogger se ascund în sistem (pentru că au funcții rootkit), ceea ce îi face mult mai ușor de utilizat în scopuri criminale. Această utilizare face ca sarcina detectării keyloggerilor să fie una dintre prioritățile pentru companii de antivirus. În clasificare malware Kaspersky Lab are o categorie specială Troian-Spy ( spyware), care include programe care conțin funcții de keylogger. Conform definiției Trojan-Spy, „acești troieni efectuează spionaj electronic: informații introduse de la tastatura unui computer infectat, capturi de ecran, listă. aplicații active iar acțiunile utilizatorului cu ele sunt salvate într-un fișier de pe disc și trimise periodic atacatorului.”

De ce sunt periculoși keylogger-urile?

Spre deosebire de alte tipuri de software rău intenționat, un keylogger este absolut sigur pentru sistem. Cu toate acestea, poate fi extrem de periculos pentru utilizator: folosind un keylogger, puteți intercepta parole și altele informații confidențiale, introdus de utilizator cu ajutorul tastaturii. Drept urmare, atacatorul învață coduri și numere de cont în sistemele electronice de plată, parole pentru conturi în jocurile online, adrese, autentificări, parole pentru sisteme E-mailși așa mai departe.

După ce a primit datele confidențiale ale utilizatorului, atacatorul nu poate pur și simplu să transfere bani din contul său bancar sau să utilizeze cont utilizator într-un joc online. Din păcate, prezența unor astfel de date în unele cazuri poate duce la consecințe mai grave decât pierderea unei anumite sume de bani persoană anume. Utilizarea keylogger-urilor vă permite să efectuați spionaj economic și politic, să obțineți acces la informații care nu sunt doar comerciale, ci și secret de stat, precum și compromite sistemele de securitate utilizate de entitățile comerciale și guvernamentale (de exemplu, prin furt chei privateîn sisteme criptografice).

Keylogger, împreună cu phishing și metode Inginerie sociala(vezi articolul „Furtul de proprietate pe rețelele de calculatoare”) sunt acum una dintre principalele metode de fraudă electronică. Totuși, dacă în cazul phishing-ului, un utilizator vigilent se poate proteja - ignoră evident scrisorile de phishing, nu introduce date personale pe pagini web suspecte - atunci în cazul keylogger-urilor, este aproape imposibil să detectezi faptul spionajului în orice altă parte. mod, cu excepția utilizării instrumentelor de securitate specializate.

Keylogger software

• Engleză keylogger
• Engleză key logger
• Engleză înregistrator de taste
• Engleză înregistrator de chei
• Engleză trapătorul de chei
• Engleză program de captare a tastelor
• Engleză cheie snooper
• Rusă keylogger

Keylogger hardware

• Engleză dispozitiv de înregistrare a tastei
• Engleză keylogger hardware
• Rusă keylogger hardware

Tipuri de informații care pot fi controlate

• apăsările de la tastatură
• apăsarea tastelor mouse-ului
• data și ora apăsate

Clasificare

tip

Keylogger software aparțin acelui grup produse software, care exercită controlul asupra activităților utilizatorului unui computer personal. Inițial, produsele software de acest tip erau destinate exclusiv înregistrării informațiilor despre tastele de la tastatură, inclusiv tastele de sistem, într-un fișier jurnal specializat (fișier jurnal), care a fost ulterior studiat de persoana care a instalat acest program. Fișierul jurnal ar putea fi trimis prin rețea către unitate de rețea, server ftp pe internet, prin e-mail etc. În prezent, produsele software care și-au păstrat acest nume „în mod demodat” au multe rezultate funcții suplimentare- aceasta este interceptarea informațiilor din ferestre, interceptarea clicurilor mouse-ului, interceptarea clipboard-ului, „fotografierea” capturi de ecran și ferestre active, păstrarea evidenței tuturor e-mailurilor primite și trimise, monitorizarea activității fișierelor, monitorizarea registru de sistem, monitorizarea cozii de joburi trimise la imprimantă, captarea audio de la un microfon și video de la o cameră web conectată la un computer etc., i.e. ele, de fapt, aparțin unei clase complet diferite de produse software, și anume produse software de monitorizare.

Keylogger hardware sunt dispozitive în miniatură care pot fi atașate între tastatură și computer sau încorporate în tastatură. Ei înregistrează toate apăsările de taste făcute pe tastatură. Procesul de înregistrare este complet invizibil pentru Utilizator final. Keyloggerele hardware nu necesită instalarea niciunui program pe computer pentru a captura cu succes toate apăsările de taste. Când este atașat un keylogger hardware, nu are absolut nicio diferență dacă computerul este în stare de pornire sau oprit. Timpul său de funcționare nu este limitat, deoarece... nu necesită o sursă de alimentare suplimentară pentru funcționarea sa. Memoria internă nevolatilă a acestor dispozitive vă permite să înregistrați până la 20 de milioane de apăsări de taste și cu suport Unicode. Aceste dispozitive pot fi realizate sub orice formă, astfel încât chiar și un specialist uneori nu poate determina prezența lor în timpul audit informativ. În funcție de locația atașării, keylogger-urile hardware sunt împărțite în externe și interne.

Keylogger acustice sunt dispozitive hardware care înregistrează mai întâi sunete, creat de utilizator atunci când apăsați tastele de pe tastatura unui computer, apoi analizați acele sunete și convertiți-le în format text.

în locația în care este stocat fișierul jurnal

• HDD
• memorie
• registru
• partajată, adică unitate de rețea publică (partajată).
• server la distanta

prin metoda de trimitere a fișierului jurnal

• e-mail (fără participarea utilizatorului)
• ftp (fără interacțiunea utilizatorului)
• http (https - conexiune sigură prin Internet) (fără participarea utilizatorului)
• orice varianta comunicații fără fir(gamă radio, rază infraroșu, Bluetooth, WiFi etc.)
• prin intermediul rețelei locale

prin metoda de aplicare

Doar metoda de utilizare a keylogger (inclusiv produse hardware sau software care includ un keylogger ca modul) vă permite să vedeți linia dintre management de securitate Și bresa de securitate .

Utilizare neautorizată- instalarea unui keylogger (inclusiv produse hardware sau software care includ un keylogger ca modul) are loc fără știrea proprietarului (administratorul de securitate) sistem automatizat sau fără știrea proprietarului unui anumit computer personal. Keylogger-urile neautorizate (software sau hardware) sunt numite dispozitive spion. Utilizarea neautorizată este de obicei asociată cu activități ilegale. De regulă, produsele spyware neautorizate au capacitatea de a configura și primi un fișier executabil „împachetat”, care în timpul instalării nu afișează niciun mesaj sau nu creează ferestre pe ecran și au, de asemenea, mijloace încorporate de livrare și instalare de la distanță a fișierelor configurate. modul de pe computerul utilizatorului, adică de ex. procesul de instalare are loc fără acces fizic direct la computerul utilizatorului și adesea nu necesită drepturi de administrator de sistem;

Utilizare autorizată- instalarea unui keylogger (inclusiv produse hardware sau software care includ un keylogger ca modul) are loc cu cunoștințele proprietarului (administratorul de securitate) al sistemului automatizat sau cu cunoștințele proprietarului unui anumit computer personal. Keyloggerele autorizate (software sau hardware) sunt denumite produse software de monitorizare. software de monitorizare a angajaților, software de control parental, software de control acces, programe de securitate a personalului etc.) De regulă, produsele software autorizate necesită acces fizic la computerul utilizatorului și drepturi de administrator obligatorii pentru configurare și instalare;

pentru includerea în bazele de date de semnături

faimos keyloggers. Această categorie include keylogger a căror semnătură este deja inclusă în bazele de date de semnături ale principalului companii producătoare binecunoscute produse software anti-spyware și/sau produse software anti-virus.

Necunoscut keyloggers. Această categorie include keylogger a căror semnătură nu este inclusă în bazele de date de semnături ale principalilor producători cunoscuți de software anti-spyware și/sau produse software antivirus și, de multe ori, nu vor fi niciodată incluse în acestea din diverse motive:

• keylogger (module) dezvoltate sub auspiciile diferitelor organizații guvernamentale;
• keylogger (module), care pot fi create de dezvoltatorii diferitelor sisteme de operare închise și incluse de aceștia în nucleul sistemului de operare;
• keylogger care sunt dezvoltate în cantități limitate(de multe ori doar în unul sau în câteva exemplare) de rezolvat sarcina specifica legate de furtul de informații critice de pe computerul utilizatorului (de exemplu, produse software utilizate de atacatori profesioniști). Aceste produse spyware pot fi ușor modificate deschise codurile sursă keylogger luate de pe Internet și compilate de către atacator însuși, ceea ce face posibilă schimbarea semnăturii keylogger-ului;
• cele comerciale, în special cele incluse ca module în produsele software corporative, care sunt foarte rar incluse în bazele de date de semnături ale producătorilor cunoscuți de produse software anti-spyware și/sau produse software anti-virus. Acest lucru duce la faptul că publicarea de către atacatori pe Internet a unei versiuni complete a unui anumit produs software de monitorizare comercial poate ajuta la transformarea acestuia din urmă într-un produs spyware care nu este detectat de software anti-spyware și/sau anti-virus. produse software;
• keylogger, care sunt module pentru interceptarea tastelor de pe computerul utilizatorului, incluse în programele de virus. Înainte de a introduce datele semnăturii în baza de date cu virusi, aceste module sunt necunoscute. Un exemplu sunt virușii de renume mondial care au cauzat multe necazuri în ultimii ani, încorporând un modul pentru interceptarea loviturilor de la tastatură și trimiterea informațiilor primite pe Internet.

Scopuri de aplicare

Utilizarea autorizată a keylogger (inclusiv produse hardware sau software care includ un keylogger ca modul) permite proprietarului (administratorul de securitate) unui sistem automat sau proprietar de computer:

• identificați toate cazurile de tastare de cuvinte și fraze critice pe tastatură, al căror transfer către terți va duce la pagube materiale;
• să poată accesa informațiile stocate pe hard disk-ul computerului în caz de pierdere a login-ului și a parolei de acces din orice motiv (boală a angajatului, acțiuni intenționate ale personalului etc.);
• identifica (localizează) toate cazurile de încercări de a introduce parole de acces în forță brută;
• controlează posibilitatea utilizării computerelor personale în timpul orelor de lucru și identifică ceea ce se tasta la tastatură la un moment dat;
• investigarea incidentelor informatice;
• conduce Cercetare științifică legate de determinarea acurateței, eficienței și adecvării răspunsului personalului la influențele externe;
• restabilirea informațiilor critice după defecțiuni ale sistemului informatic;

Utilizarea modulelor care includ un keylogger de către dezvoltatorii de produse software comerciale le permite să:

• creează sisteme cautare rapida cuvinte ( dicționare electronice, traducători electronici);
• creați programe pentru căutarea rapidă a numelor, companiilor, adreselor (agende de telefon electronice)

Utilizarea neautorizată a keylogger (inclusiv produse hardware sau software care includ un keylogger ca modul) permite unui atacator să:

• interceptați informațiile altcuiva tastate de utilizator pe tastatură;
• obține acces neautorizat la login-uri și parole pentru acces la diverse sisteme, inclusiv sisteme banca-client;
• obține acces neautorizat la sisteme protecţie criptografică informații despre utilizatorul computerului - fraze de parolă;
• obține acces neautorizat la datele de autorizare a cardului de credit;

Metode de protecție împotriva keylogger instalate neautorizate

Protecție împotriva aplicațiilor de înregistrare a tastelor software neautorizate „cunoscute”:

• utilizarea de produse software anti-spyware și/sau anti-virus producători celebri, Cu actualizare automata baze de date de semnături.

Protecție împotriva aplicațiilor de înregistrare a tastelor software neautorizate „necunoscute”:

• utilizarea de produse software anti-spyware și/sau produse software anti-virus de la producători cunoscuți, care utilizează așa-numitele analizoare euristice (comportamentale) pentru a contracara produsele spyware, de ex. nu necesită o bază de semnătură.

Protecție împotriva aplicațiilor software neautorizate „cunoscute” și „necunoscute”. include utilizarea de produse software anti-spyware și/sau produse software anti-virus de la producători cunoscuți, care utilizează:

• baze de date de semnături actualizate constant ale produselor spyware;
• analizoare euristice (comportamentale) care nu necesită o bază de semnătură.

Protecție împotriva keylogger-urilor hardware instalate neautorizate:

• inspecție amănunțită externă și internă a sistemelor informatice;
• utilizarea tastaturilor virtuale;

Legături

• KEYLOGGER HARDWARE PS/2 și USB Exemplu de Keylogger hardware PS/2 și USB
• Keylogger.Org Comparație independentă a celor mai populare keylogger
• Primul pas de captare a datelor - Key Stroke Loggers Keyloggers sunt primul pas al colectării datelor. Institutul SANS.
• W32.Dumaru.Y@mm Descrierea unuia dintre virusuri cunoscute, care include un modul software keylogger.
• Observabilitatea sistemelor informatice ca parte integrantă a unui set de măsuri de securitate într-un sistem automatizat
• Amploarea monitorizării sistematice a e-mailului angajaților și a utilizării internetului O prezentare generală a produselor software de monitorizare utilizate pentru a monitoriza acțiunile angajaților din corporațiile din SUA. Andrew Schulman
• Supravegherea computerului și a internetului la locul de muncă: note generale Supravegherea computerului și pe internet a locurilor de muncă. Andrew Schulman
• Descriere detaliata design hardware keylogger

Keylogger - ce este? Ce pericol vine de la ei? Poți profita de un keylogger? Ce presupune asta?

Informații generale

În modern lumea informației Problema securității este foarte acută. Dintre varietatea de programe malware, se remarcă un program keylogger. Ce este ea? Ce pericole prezintă? Cum să te descurci cu ei? Cei care știu bine Limba engleză, probabil că au tradus numele programului și și-au dat seama că conversația va fi despre un reportofon cu tastatură. Exact așa este tradus numele lor - keylogger. Dar în vastitate fosta URSS numele lor oficial este keyloggers. Care este caracteristica lor?

Când programul ajunge pe computer, începe să-și îndeplinească sarcinile sub formă de funcții de spionaj fără știrea, participarea și consimțământul persoanei. Merită să puneți întrebarea „Keylogger - ce este?”, și se dovedește că mulți oameni nici măcar nu își imaginează ce este un astfel de program. Și de aici rezultă faptul trist că mulți utilizatori pur și simplu își subestimează amenințarea. Dar în zadar. La urma urmelor obiectivul principal dintre aceste programe este să fure și să transfere către creatorul său autentificarea și parolele conturilor de utilizator, portofelelor și aplicațiilor bancare.

Cum funcționează?

Să ne uităm la un mic exemplu. Să presupunem că o persoană are un cont bancar care conține o sută de mii de ruble - o sumă destul de bună. El intră periodic în al lui sediu electronic utilizator, folosind o parolă și autentificare. Și pentru a le introduce, trebuie să folosiți tastatura. Keylogger-ul înregistrează ce a fost introdus și unde. Prin urmare, un atacator, cunoscând parola și autentificarea, poate folosi fondurile dacă nu sunt furnizate linii de securitate suplimentare, cum ar fi confirmarea folosind un telefon. Keylogger-ul funcționează ca un repetor, care la un moment dat îmbină toate informațiile colectate. Unele dintre aceste programe pot chiar recunoaște limba de intrare și ce element al browserului cu care interacționează o persoană. Și toate acestea sunt completate de capacitatea de a crea capturi de ecran.

Istoria dezvoltării

Merită menționat că keyloggerul pentru Windows nu este un fenomen nou. Primele astfel de programe aveau aceeași vârstă cu MS-DOS. Pe atunci, aceștia erau manipulatori obișnuiți de întreruperi de la tastatură, a căror dimensiune fluctua în jurul semnului de 1 KB. Și de atunci, funcția lor principală nu s-a schimbat. Ei încă înregistrează, în primul rând, în secret introducerea de la tastatură, înregistrează informațiile pe care le colectează și le transmit creatorului lor. Poate apărea întrebarea: „Dacă sunt atât de primitivi, atunci de ce sunt numeroși aplicații antivirus nu sunt prinși de keylogger?" La urma urmei, asta program simplu. Și totuși face față aplicatii specializate destul de greu. Faptul este că un keylogger nu este un virus sau un troian. Și pentru a-l găsi, trebuie să instalați extensii specialeși module. În plus, există atât de multe dintre aceste programe rău intenționate încât căutarea semnăturilor, care este considerată una dintre cele mai avansate soluții de protecție, este neputincioasă împotriva lor.

Răspândirea

Cum ajung ei la computerele utilizatorilor? Există un numar mare de modalități de distribuție. Există, de asemenea, un keylogger care este trimis prin e-mail tuturor celor care se află carte de adrese, ele pot fi distribuite sub masca altor programe sau ca o completare la acestea. Să presupunem că o persoană descarcă o versiune fără licență a unei aplicații de pe un site complet terță parte. El instalează el însuși aplicația principală și, odată cu ea, keylogger-ul. Sau poate mesaje ciudate cu fișiere atașate au fost primite prin e-mail de la prieteni? Este foarte posibil ca acest lucru să fi fost făcut de un keylogger și trimis prin e-mail. Deschiderea unei scrisori nu reprezintă o amenințare pentru majoritatea serviciilor, deoarece este doar tastarea. Dar aplicațiile la acesta pot fi pline de pericole. La identificarea situație similară cel mai bine ar fi sa scapi de potential fișiere periculoase. La urma urmei, un keylogger de la distanță nu este periculos și nu poate face niciun rău.

Distributie prin posta

Aș dori să acord o atenție deosebită acestei căi speciale de tranziție între computere. Uneori vin mesaje care par să conţină informatie pretioasa sau ceva asemanator. În general, se așteaptă ca o persoană curioasă să deschidă scrisoarea, să descarce un fișier care conține „informații” despre „contabilitatea întreprinderii”, „numerele de cont, parolele și datele de conectare de acces” sau pur și simplu „fotografiile nud ale cuiva”. Sau dacă trimiterea prin corespondență se efectuează conform datelor unei companii, atunci chiar și numele și prenumele persoanei pot apărea. Vă rugăm să nu uitați să manipulați întotdeauna toate fișierele cu grijă!

Creare și utilizare

După ce a citit informațiile anterioare, cineva s-ar putea gândi: Mi-aș dori să am propriul meu keylogger gratuit. Și chiar va merge să le caute și să le descarce. Inițial, este necesar să menționăm că aceasta este o materie pedepsită din perspectiva Codului penal. Mai mult, nu ar trebui să uităm vechea zicală că brânză gratuită se întâmplă doar într-o capcană pentru șoareci. Și dacă urmați această cale, nu ar trebui să fiți surprins dacă „keyloggerul gratuit” servește doar proprietarului său sau chiar se dovedește a fi un virus/troian. Singurul mai mult sau mai puțin calea cea buna Pentru a pune mâna pe un astfel de program, scrieți-l singur. Dar din nou, acest lucru este pedepsit penal. Prin urmare, merită să cântăriți argumentele pro și contra înainte de a începe. Dar la ce ar trebui să ne străduim atunci? Care ar putea fi rezultatul final?

Capcană standard pentru tastatură

Acesta este cel mai simplu tip, bazat pe un principiu general de funcționare. Esența programului este că această aplicație este încorporată în procesul de transmitere a semnalului din momentul în care o tastă este apăsată până când simbolul este afișat pe ecran. Cârligele sunt utilizate pe scară largă pentru aceasta. ÎN sisteme de operare acesta este numele mecanismului a cărui sarcină este să intercepteze mesajele de sistem, în timpul căruia este utilizat functie speciala, care face parte din Win32API. De regulă, din instrumentele prezentate, WH_Keyboard este folosit cel mai des, iar WH_JOURNALRECORD este folosit puțin mai rar. Particularitatea acestuia din urmă este că nu necesită o bibliotecă dinamică separată, datorită căreia malware-ul se răspândește mai rapid în rețea. Hooks citesc toate informațiile care sunt transmise de la echipamentul de intrare. Această abordare este destul de eficientă, dar are o serie de dezavantaje. Deci, este necesar să se creeze o bibliotecă dinamică separată. Și va fi afișat în spațiul de adresă al proceselor, facilitând identificarea reportofonului cu tastatură. Acesta este ceea ce folosesc apărătorii.

Alte metode

Inițial, este necesar să menționăm o metodă atât de primitivă și ridicolă ca sondarea periodică a stării tastaturii. În acest caz, se lansează un proces care verifică de 10-20 de ori pe secundă pentru a vedea dacă tastele au fost apăsate/eliberate. anumite chei. Toate modificările sunt înregistrate. Dezvoltarea bazată pe drivere este, de asemenea, populară. E dragut metoda eficienta, care are două implementări: dezvoltarea propriului filtru sau propriul software specializat pentru dispozitivul de intrare. Rootkit-urile sunt, de asemenea, populare. Ele sunt implementate în așa fel încât să intercepteze date în timpul schimbului dintre tastatură și procesul de control. Dar citirea informațiilor este considerată cea mai de încredere. Numai pentru că pentru a le descoperi software extrem de dificil, literalmente imposibil.

Dar platformele mobile?

Am discutat deja despre conceptul de „keylogger”, ce este acesta și cum sunt create. Dar când luam în considerare informațiile, accentul era pus pe calculatoare personale. Dar chiar mai mult decât PC, există multe platforme mobile diferite. Ce parere ai despre ei? Să vedem cum funcționează un keylogger pentru Android. În general, principiul de funcționare este similar cu cel descris în articol. Dar nu există o tastatură obișnuită. Deci îl vizează pe cel virtual, care este afișat pe ecran atunci când utilizatorul intenționează să introducă ceva. Și apoi trebuie să introduceți informațiile - acestea vor fi imediat transferate creatorului programului. Din moment ce sistemul de securitate este platforme mobile este șchiop, atunci keylogger-ul pentru Android poate reuși termen lung lucrează și răspândește. Prin urmare, ori de câte ori descărcați o aplicație, trebuie să vă gândiți la drepturile care le sunt acordate. Deci, dacă un program de citire de cărți solicită acces la Internet, tastatură și diverse servicii administrative dispozitiv mobil, acesta este un motiv pentru a vă gândi dacă aceasta este o entitate rău intenționată. Același lucru se aplică pe deplin acelor aplicații care sunt în magazine oficiale- la urma urmei, acestea sunt verificate nu manual, ci prin automatizare, ceea ce nu este perfect.

Câteva soiuri principale virușii informatici. Astăzi vă vom vorbi despre o altă categorie de viruși - keylogger, despre care utilizatori obișnuiți ei stiu foarte putin.

Tradus din engleză, Keylogger (Keyboard Logger) înseamnă „keyboard recorder”. Cu toate acestea, în realitate, un keylogger este un program de spionaj care monitorizează toate acțiunile care au loc pe tastatură.

Odată ajunse pe computerul utilizatorului, programele keylogger interceptează informațiile introduse și le trimit atacatorilor. Cu alte cuvinte, tu, fără să bănuiești nimic, poți să-ți dai numerele de autentificare și parolele, precum și datele cardului bancar, în mâini greșite.

Pericolul keyloggerilor este că multe aplicații antivirus nu le consideră malware. Detectarea lor necesită adesea software specializat sau module suplimentare pentru antivirusul principal.

Principiile de funcționare ale keylogger-urilor software

Funcționarea acestui tip de malware se bazează pe un principiu general - trebuie să urmeze calea semnalului din momentul în care o tastă este apăsată până când simbolul apare pe monitor. Keylogger-urile folosesc următoarele metode tehnice:

Keylogger hardware

Pe lângă cele software pe care le-am analizat, există și keylogger hardware care nu pot fi detectate programatic:

• „Adaptor” suplimentar între tastatură și carcasa computerului;
• Dispozitiv încorporat în tastatură;
• Camera video miniaturala care capteaza tastatura;
• Dispozitiv USB necunoscut etc.

Apropo: ambele tipuri de keylogger pot fi complet legale și pot fi folosite pentru:

• Control parental;
• Monitorizarea folosirii timpului de lucru de catre angajatii companiei;
• Servicii de securitate
• Soții geloși.

Cum să evitați să deveniți victima unui keylogger

Pentru a vă proteja de acest tip de malware, ar trebui să urmați reguli simple:

• Activați funcția de detectare potențială în antivirusul dvs programe periculoase(este de obicei dezactivat implicit);
• Pentru a accesa datele bancare, utilizați o identificare cu doi factori sau o parolă unică.
• Utilizați apărarea proactivă;
• Utilizați tastatura virtuală pentru a introduce date importante.