Keylogger: что это и как работает. COVERT — защита от элитных клавиатурных шпионов (кейлоггеров)

Наши компьютеры, ноутбуки, нетбуки! А тут еще непонятная дрянь, называемая кейлоггер. Keylogger (англ., от сокращения keyboard logger) значит клавиатурный регистратор, но правильнее их называть клавиатурными шпионами, так как относится к классу spyware – программ-шпионов, которые, попав на компьютер пользователя, выполняют свои задачи без ведома самого пользователя, а тем более согласия и участия.

Главная цель этого шпиона – сохранять и передавать логины и пароли различных аккаунтов пользователей, электронных кошельков, банковских карт и т.д.

Keylogger характеризуется тем, что способен фиксировать нажатия клавишей пользователем на клавиатуре, а затем доставить полученные данные тому и туда, куда следует. Современные кейлоггеры умеют соотносить клавиатурный ввод с текущим окном и элементом ввода. Многие из них умеют отслеживать список работающих приложений, делают “фото” экрана по заданному расписанию или событию, шпионят за содержимым буфера обмена, скрытно следить за пользователем. Вся собранная информация сохраняется на диске, а затем записывается в Log-файл – что-то вроде журнала регистрации, данные могут быть переданы по электронной почте или http/ftp-протоколу. При этом, некоторые продвинутые используют RootKit-технологии, маскирую следы своего пребывания в системе.

Ну, неужели же так сложно отловить этих приятелей при наличии современных программ?

Дело в том, что иногда антивирус не рассматривает кейлоггер как вирус, потому что он не обладает не размножается, и это вроде как и не троянская программа, поэтому, если кейлоггер и будет пойман, то только при наличии специальной расширенной базы и дополнительных модулей, конкретно на это нацеленных. Другая проблема в том, что кейлоггеров известно огромное количесво, писать их не трудно, потому сигнатурный поиск против них не эффективен.

По каким принципам работают кейлоггеры?

Вообще, их общий принцип работы - внедриться в процесс прохождения сигнала от нажатия клавиши до появления символа на экране.

Клавиатурная ловушка

Самым частый вариант – установка клавиатурных ловушек - хуки В Windows хук - это перехват сообщений системы с использованием особого мехнизма Win32API. Большая часть клавиатурных шпионов этого типа пользуются хуком WH_Keyboard. Также может быть использован хук WH_JOURNALRECORD. Разница в том, что WH_JOURNALRECORD не требует наличия отдельной динамической библиотеки (DLL), упрощая распространение это вредоносного софта по сети.

Опрос состояния клавиатуры
Очень простой метод заключается в цикличном опросе состояния клавиатуры с большой скоростью. Не требуется внедрения DLL в GUI-процессы (GUI – графический пользовательский интерфейс). Недостаток подобных клавиатурных шпионов - в необходимости периодического опроса состояния клавиатуры с достаточно высокой скоростью (10-20 опросов в секунду).

Кейлоггер на базе драйвера
Метод более эффективный, по сравнению с описанными. Как минимум, метод возможно реализовать 2 способами: написать и установить в систему своего драйвера клавиатуры вместо штатного или установить драйвер-фильтр.

Клавиатурные ловушки составляют подавляющее большинство среди всех кейлоггеров.

Шпион-rootkit
Может быть реализован и в UserMode, и в режиме ядра (KernelMode). В UserMode слежение за клавиатурным вводом осуществляется за счет перехвата обмена процесса csrss.exe драйвером клавиатуры или при помощи слежения за вызовами API-функций типа GetMessage и PeekMessage. Часто от такого шпиона не спасает и экранная клавиатура, которую пытаются преподносить как средство от кейлоггеров любого типа.

Аппаратные клавиатурные устройства противопоставлены программным средствам шпионажа и их нельзя обнаружить программными методами.

Как реализовано:

• Устанавливаются устройства слежения в разрыв кабеля клавиатуры (например, устройство в виде переходника PS/2);
• Устройство слежения может быть встроено в клавиатуру;
• И просто визуальное наблюдение за клавиатурой (например, миниатюрная камера, находящаяся над панелью ввод данных банкомата).

Каким же образом keylogger распространяются?

В принципе, таким же, как и любые вредоносные программ. Они могут попасть:

• Из файла, полученного по электронной почте (поэтому стоит напомнить: не нужно открывать незнакомые файлы!)
• Запуск файла из каталога, расположенного в общем доступе в peer-to-peer сети;
• С помощью скрипта на веб-страницах, использующего особенности интернет-браузеров и позволяющие программам запускаться автоматически, как только пользователь посетил страницу;
• Через уже установленную вирусную программу, умеющую скачивать и устанавливать в систему себе подобных.

Естественно, что подобные программы могут установить службы безопасности компаний, ну или же если вы являетесь пристальным объектом наблюдения со стороны вашей второй половины.

Оставьте свой комментарий!

В переводе с английского языка Keylogger - это регистратор нажатий клавиш. В большинстве статей можно найти следующую формулировку слова кейлоггер:

Что такое кейлоггер?

Кейлоггер (клавиатурный шпион) - небольшая программа, главным назначением которой является на клавиатуре и ведение журнала этих нажатий. Данное определение на самом деле не совсем правильно, так как в качестве кейлоггеров, клавиатурного шпиона может использоваться как программные, аппаратные так и акустические кейлоггеры.

В данной статье мы будем говорить о том какие существуют типы кейлоггеров. О плюсах и минусах каждого такого устройства и будем давать рекомендации в выборе клавиатурного шпиона.

Аппаратный кейлоггер

Аппаратные кейлоггеры встречаются намного реже, чем их программные собратья, но при защите конфиденциальных данных ни в коем случае не стоит забывать о них.

Аппаратный кейлоггер

Аппаратные кейлоггеры бывают внешние — они выглядят как обычное компьютерное оборудование, и внутренние, которые устанавливаются, непосредственно, в саму клавиатуру. Кейлоггер может работать неограниченное количество времени, так как для его работы не нужен дополнительный источник питания. Такой аппаратный кейлоггер может сохранять до 20 млн. нажатий клавиш.

Минусы:

• Нет возможности установить удалённо
• Ограничение памяти
• Для получения отчёта требуется физической доступ к компьютеру (если модель без Wi-Fi-модуля)
• Может быть использован только в тех случаях когда жертва не разбирается в компьютерном оборудовании

Плюсы:

• Клавиатурный шпион который не видят программные антивирусы и антишпионы
• Не высокая цена по сравнению с акустическими кейлоггерами (но программные клавиатурные шпионы дешевле)
• Передача отчетов через встроенный Wi-Fi (не во всех моделях)

Данные тип кейлоггеров используют секретные службы, шпионы и разведчики. Такие кейлоггеры представляют собой довольно большие по своим габаритам аппаратные устройства, которые предварительно записывают звуки, создаваемые пользователем за компьютером при нажатии на клавиши клавиатуры, а впоследствии анализируют эти звуки и преобразовывают их в текстовый формат

Минусы:

• Высокая цена
• Приобретение данного оборудования не законно
• Большой размер
• Бывают ошибки точности распознавания системы акустического криптоанализа
• Нет в свободной продаже

Плюсы:

• Кейлоггер который не видят программные антивирусы и антишпионы
• Работает на расстоянии
• Не требуется физический доступ к компьютеру

Программный кейлоггер

Программные кейлоггеры самые распространённые на рынке клавиатурных шпионов. Перехват нажатий клавиш на клавиатуре может применяться обычными приложениями и часто используется для вызова функций приложения из другой программы с помощью «горячих клавиш» (hotkeys) или, к примеру, для переключения неверной раскладки клавиатуры (как это реализовано в программах Punto Switcher и Keyboard Ninja).

Надо отметить, что клавиатурные шпионы довольно старый тип шпионских программ, который появилися еще во времена MS-DOS – в то время они представляли собой обработчики прерывания клавиатуры размером около 1 килобайта. Однако функции кейлоггеров за прошедшее время не сильно изменились – по-прежнему их основной задачей является скрытное фиксирование клавиатурного ввода с дальнейшей записью собранной информации на жесткий диск или передачей по сети.

Существует большое количество легального программного обеспечения, которое применяется админами для в течение дня, или для наблюдения пользователем за активностью посторонних людей на своем рабочем или домашнем компьютере. Но где проходит граница между «законным» использованием «легального» ПО и его использованием в преступных целях? То же «легальное» ПО нередко применяется и в целях умышленного похищения конфиденциальной информации - к примеру, логинов и паролей.

Основная масса существующих на сегодняшний день кейлоггеров считаются легальными и продаются в сети в свободной продаже, так как создатели такого программного обеспечения декларируют множество оснований для применения клавиатурных шпионов, например:

• для родителей: отслеживание за действиями детей в сети и оповещение родителей в случае попыток зайти на страницы «18+» (родительский контроль);
• для ревнивых мужей и жен: наблюдение за действиями своей второй половины в сети в случае сомнения и подозрения на «виртуальную измену»;
• для службы безопасности разных организаций: отслеживание прецедентов нецелевого применения персональных компьютеров, их использования в нерабочее время;
• для службы безопасности компаний: отслеживание фактов набора на клавиатуре критичных слов и словосочетаний, которые составляют коммерческую тайну данной компании, и разглашение которых способно привести к материальному или другому ущербу;
• для различных секретных служб и правоохранительных органов: проведение анализа и расследования инцидентов, связанных с использование персональных компьютеров;

Большое количество сегодняшних клавиатурных шпионов скрывают себя в системе (т.к. имеют ), что на много упрощает их внедрение и последующее использование. Это делает задачу выявления клавиатурных шпионов одной из приоритетных для антивирусных компаний.

В классификации вредоносных программ «Лаборатории Касперского» под кейлоггеры отведена специальная категория Trojan-Spy (скрытые шпионские программы), в которую входят программы, включающие в себя функции клавиатурных шпионов. Согласно определению Лабаратории Касперского Trojan-Spy, это программы которые осуществляют электронный шпионаж.

Минусы:

• Некоторые кейлоггеры занесены в сигнатурную базу данных антивирусов и определяются ими как вредонос, из-за этого в процессе работы могут быть удаленны.

Плюсы:

• Большой выбор
• Техническая поддержка разработчиков
• Для установки кейлоггера и получения отчётов не требуется наличие физического доступ к компьютеру

Какой кейлоггер лучше?

Для того чтобы отследить чем занимаются дети в ваше отсутствие или с кем общается жена или муж по интернету, вам хватит программного кейлоггера. На мой взгляд у такого типа кейлоггеров больше плюсов чем минусов, особенно в ситуации когда у вас есть возможность установить (в некоторых случаях настройка антивируса для работы с кейлоггером) и читать логи в спокойной обстановке, когда дома никого нет.

Какой выбрать кейлоггер решать вам. Главное не забывать что в некоторых случаях использование клавиатурных шпионов незаконно!

Кейлоггер - что это такое? Какая опасность от них исходит? Можно ли использовать в своих интересах кейлоггер? Что это за собой влечёт?

Общая информация

В современном информационном мире очень остро стоит вопрос безопасности. Среди всего разнообразия зловредов отдельно стоит программа-кейлоггер. Что она собой представляет? Какие опасности таит? Как с ними бороться? Те, кто хорошо знает английский язык, наверняка перевели название программы и поняли, что разговор будет вестись о клавиатурном регистраторе. Именно так и переводится их название - keylogger. Но на просторах бывшего СССР их официальное название - клавиатурные шпионы. В чем же заключается их особенность?

Когда программа попадает на компьютер, то она начинает выполнять свои задачи в виде шпионских функций без ведома, участия и согласия человека. Стоит задать вопрос «Кейлоггер - что это такое?», как выясняется, что многие даже не представляют себе, чем же является подобная программа. И из этого следует тот печальный факт, что многие пользователи элементарно недооценивают их угрозу. А зря. Ведь главная цель этих программ - это красть и передавать своему создателю логины и пароли учетных записей пользователя, кошельков, банковских приложений.

Как они работают?

Давайте рассмотрим небольшой пример. Допустим, у человека есть счёт в банке, на котором находится сто тысяч рублей, - сумма довольно неплохая. Он периодически заходит в свой электронный кабинет пользователя, используя при этом пароль и логин. А чтобы ввести их, приходится пользоваться клавиатурой. Кейлоггер же записывает, что и где было введено. Поэтому злоумышленник, зная пароль и логин, может воспользоваться средствами, если не предусмотрены дополнительные рубежи безопасности вроде подтверждения с помощью телефона. Кейлоггер выполняет функцию повторителя, который в определённый момент сливает всю собранную информацию. Некоторые из этих программ даже умеют распознавать язык ввода и с каким элементом браузера человек взаимодействует. И дополняет это всё умение создавать снимки экранов.

История развития

Стоит упомянуть, что кейлоггер для Windows - явление не новое. Первые подобные программы являлись ровесниками MS-DOS. Тогда это были обычные обработчики прерываний клавиатуры, размер которых колебался около отметки в 1 Кб. И с тех пор их основная функция так и не изменилась. Они до сих пор в первую очередь осуществляют скрытную регистрацию клавиатурного ввода, записывают собранную информацию и передают её своему создателю. Может возникнуть вопрос: "Если они так примитивны, то почему многочисленные антивирусные приложения не отлавливают кейлоггеры?". Ведь это несложная программа. И тем не менее справиться специализированным приложениям довольно сложно. Дело в том, что кейлоггер - это не вирус и не троян. И чтобы найти его, необходимо устанавливать специальные расширения и модули. К тому же этих вредоносных программ так много, что против них бессилен и сигнатурный поиск, считающийся одним из самых передовых решений защиты.

Распространение

Как же они попадают на компьютеры пользователей? Существует большое количество путей распространения. Есть и кейлоггер с отправкой на почту всем, кто есть в адресной книге, могут они распространяться и под видом иных программ или же идя в качестве дополнения к ним. Допустим, человек скачивает нелицензионную версию какого-то приложения с совершенно стороннего сайта. Он сам устанавливает себе основное приложение, а вместе с ним - и кейлоггер. Или может на email приходили от знакомых странные сообщения с вложенными файлами? Вполне возможно, что это действовал кейлоггер с отправкой на почту. Открытие письма не несёт в себе угрозы на большинстве сервисов, поскольку это просто набор текста. А вот приложения к нему могут таить в себе опасность. При выявлении подобной ситуации лучше всего будет избавиться от потенциально опасных файлов. Ведь удаленный кейлоггер не опасен и ничем не сможет навредить.

Распространение через почту

Особенное внимание хочется уделить именно этому пути перехода между компьютерами. Иногда приходят сообщения, которые вроде бы имеют в себе ценную информацию или же что-то подобное. В целом расчет делается на то, что любопытный человек откроет письмо, загрузит файл, где имеется «информация» про «бухгалтерию предприятия», «номера счетов, пароли и логины доступа» или же просто «чьи-то обнаженные фотографии». Или если рассылка проводится по данным какой-то компании, то может даже фигурировать имя и фамилия человека. Следует помнить, что нужно всегда осторожно относиться к любым файлам!

Создание и использование

После ознакомления с предыдущей информацией кто-то может подумать: а вот бы и у меня был свой бесплатный кейлоггер. И даже пойдёт их искать и скачивать. Первоначально необходимо упомянуть о том, что это дело наказуемое с позиции Уголовного кодекса. К тому же не следует забывать старую присказку о том, что бесплатный сыр бывает только в мышеловке. И в случае следования по этому пути не следует удивляться, если «бесплатный кейлоггер» будет обслуживать только своего хозяина или же вообще окажется вирусом/трояном. Единственный более-менее верный способ заполучить такую программу - написать её самому. Но опять же это криминально наказуемо. Поэтому стоит взвесить все за и против, прежде чем приступать. Но к чему тогда следует стремиться? Каков может быть конечный результат?

Стандартная клавиатурная ловушка

Это самый простой тип, базирующийся на одном общем принципе работы. Суть программы заключается в том, что это приложение внедряется в процесс передачи сигнала от момента, когда была нажата клавиша, и до отображения символа на экране. Для этого широко используются хуки. В операционных системах так называется механизм, задачей которого является перехват сообщений системы, во время которого используется особая функция, которая является частью Win32API. Как правило, из представленного инструментария чаще всего применяют WH_Keyboard, немногим реже - WH_JOURNALRECORD. Особенность последнего заключается в том, что он не требует наличия отдельной динамической библиотеки, благодаря чему вредоносная программа более быстро распространяется по сети. Хуки считывают всю информацию, что передаётся с аппаратуры ввода. Этот подход довольно эффективен, но имеет ряд недостатков. Так, необходимо создавать отдельную динамическую библиотеку. А она будет отображаться в адресном пространстве процессов, благодаря чему выявить клавиатурный регистратор будет более легко. Чем и пользуются защитники.

Иные методы

Первоначально необходимо упомянуть о таком примитивном до смешного методе, как периодический опрос состояния клавиатуры. В этом случае запускается процесс, который раз 10-20 на секунду проверяет, не были ли нажаты/отпущены определённые клавиши. Все изменения при этом фиксируются. Популярно также создание на базе драйвера. Это довольно эффективный метод, который имеет две реализации: разработка своего фильтра или же своего специализированного программного обеспечения для устройства ввода. Популярны и руткиты. Они реализованы таким образом, чтобы перехватывать данные во время обмена между клавиатурой и управляющим процессом. Но самыми надёжными считаются считывания информации. Хотя бы потому, что обнаружить их программными средствами чрезвычайно сложно, буквально невозможно.

А как с мобильными платформами?

Нами уже было рассмотрено понятие «кейлоггер», что это, как они создаются. Но при рассмотрении информации прицел был на персональные компьютеры. Но ещё больше, чем ПК, существует множество различных мобильных платформ. А что же в случае с ними? Рассмотрим, как работает кейлоггер для "Андроид". В целом принцип функционирования похож с тем, что описывалось в статье. Но нет обычной клавиатуры. Поэтому они нацеливаются на виртуальную, которая выводится на экран, когда пользователь планирует что-то ввести. А затем стоит ввести информацию - как она сразу же будет передана творцу программы. Поскольку система безопасности на мобильных платформах хромает, то кейлоггер для андроид может успешно и длительный срок работать и распространяться. Поэтому всегда, когда скачиваете приложение, необходимо обдумывать права, которые им предоставляются. Так, если программа для чтения книг просит доступа к интернету, клавиатуре, различным административным сервисам мобильного устройства, это причина задуматься о том, а не вредоносный ли это субъект. Это же в полной мере относится и к тем приложениям, которые есть в официальных магазинах - ведь они проверяются не вручную, а автоматикой, которая не отличается совершенством.

До сего дня мы рассматривали противодействие скрытному наблюдению за вами, осуществляемому с помощью относительно простых и распространённых средств. Давайте теперь посмотрим, как с помощью COVERT справиться с более сложными и мощными средствами кибер-шпионажа.

Антивирусное и анти-шпионское ПО должно регулярно обновлять свои базы данных, содержащие информацию о вирусах, троянах и другом зловредном ПО. И с появлением новой, ещё неизвестной угрозы, может пройти довольно значительное время, прежде чем новый зловред будет внесён в эти базы. А значит, ваш компьютер в это время будет находиться без защиты от keylogger. А что будет, если нет возможности внести зловредное ПО в базу данных, если такой компьютерный шпион постоянно меняется и мутирует?

Именно этим качеством обладают элитные клавиатурные шпионы. Они абсолютно невидимы. Сложнейшие программные кейлоггеры работают в скрытом режиме, и их невозможно обнаружить никакими анти-кейлоггерами, и тем более – антивирусами. Ядро такой шпионской программы обновляется ежедневно. Внутренний код элитного кейлоггера меняется постоянно, и никто, кроме кибер-преступника, установившего такой кейлоггер, не знает о том, что компьютер находится под наблюдением. В этом случае пасует любое классическое защитное ПО, будь то антивирусы, антикейлоггеры, антируткиты итп.

Как обнаружить элитного кейлоггера Elite Keylogger или другого шпиона, работающего на основе драйвера файловой системы в режиме ядра в вашем компьютере?

Запустите программу COVERT, нажмите на кнопку «Драйверный монитор».

В открывшимся окне, все пункты списка активных драйверов файловой системы должны быть выделены зелёным цветом. Это строки с именами драйверов и их адресами в системе, которые или являются системными, или одобрены разработчиком. Также зелёным выделены драйвера, которые одобрил сам пользователь.

В случае если у вас всё выглядит именно так, смело заходите в платформу защиты, нажав на большую кнопку с надписью COVERT в главном окне программы. И знайте, что в вашей системе нет активных шпионов, которые бы использовали драйвера в режиме ядра.

А вот что вы увидели бы в окне драйверного монитора, если бы вам кто-то установил на компьютер профессиональный кейлоггер Elite Keylogger.
Появился новый активный драйвер, он выделен желтым цветом. (Желтым цветом будут выделены драйвера, не внесённые в разрешённую базу и не относящиеся к в системным). Это говорит о том, что у вас в системе появился неизвестный драйвер, и его нужно проверить. Нажмите на него правой кнопкой мыши и в контекстном меню выберите пункт «Искать информацию в Интернет».

На специальном сервере, где собрана информация обо всех системных и известных файлах, вы получите ответ о происхождение этого драйвера. Если есть информация о программе, к которой он относится, известна компания-разработчик, и путь его установки совпадает с тем, по которому он находиться у вас, вы можете добавить его «Разрешённую базу», используя контекстное меню. После обновления списка он станет зелёным, одобренным драйвером. Но информации может и не быть, как в нашем случае.

«No Results» — в базах системных и известных драйверов такой файл не был обнаружен. Всё верно:это – драйвер программы-шпиона Elite Keylogger. Запоминать его название не стоит, так как при каждой установке на ваш или любой другой компьютер он генерирует новые имена и обновляет внутренний код программы, никогда не повторяясь. Благодаря этой особенности внести его в базу антивирусов или антишпионов просто невозможно. Именно поэтому его называют «элитным шпионом». Такие шпионы могут находиться на компьютерах пользователей долгие годы, не будучи обнаруженными классическими методами защиты.

Но для программы COVERT обнаружение таких шпионов – не проблема. Мы буквально за несколько секунд выявили существующую угрозу на нашем компьютере, и поверьте: для программы-маскировщика COVERT не имеет значения, ни название шпионского ПО, ни его внутренний функционал. COVERT не работает с базами зловредного ПО, определяя шпионское ПО по совершенно другим критериям. Никакой драйвер, не являющийся системным и не принадлежащий ни одной компании на земле не должен находиться в вашей системе. Тем более, если он появился внезапно.

Шпионская угроза в виде драйвера файловой системы обнаружена, теперь посмотрим, как от неё избавиться.

Нажмите на неизвестный драйвер правой кнопкой мыши и в контекстном меню выберите пункт «Удалить драйвер».

Высветится сообщение с предупреждением об опасности такого рода действий.

Если вы уверены в своих действиях — нажимайте кнопку «Да».

После удаления шпионского драйвера перезагрузите компьютер и посмотрите снова в «Драйверном мониторе»: все пункты списка «Активных драйверов» должны быть зелёными. Если это так, шпион Elite Keylogger обезглавлен, он не сможет работать и тем более угрожать потерей информации внутри защищённой платформы COVERT.

PS. Если у вас есть COVERT – элитные шпионы становятся не такими уж и элитными .

В переводе с английского keylogger - это регистратор нажатий клавиш. В большинстве источников можно найти следующее определение кейлоггера: кейлоггер (клавиатурный шпион) - программное обеспечение, основным назначением которого является скрытый мониторинг нажатий клавиш и ведение журнала этих нажатий. Это определение не совсем верно, так как в качестве кейлоггеров может использоваться как программное обеспечение, так и аппаратные средства. Аппаратные кейлоггеры встречаются значительно реже, чем программные, однако при защите важной информации о них ни в коем случае нельзя забывать.

Перехват нажатий клавиш может использоваться обычными программами и часто применяется для вызова функций программы из другого приложения с помощью «горячих клавиш» (hotkeys) или, например, для переключения неправильной раскладки клавиатуры (как Keyboard Ninja). Существует масса легального ПО, которое используется администраторами для наблюдения за тем, что делает работник в течение дня, или для наблюдения пользователем за активностью посторонних людей на своем компьютере. Однако где проходит грань между «законным» использованием «легального» ПО и его использованием в криминальных целях? То же «легальное» ПО зачастую используется и в целях умышленного похищения секретных данных пользователя - например, паролей.

Большинство существующих на данный момент кейлоггеров считаются «легальными» и свободно продаются, так как разработчики декларируют множество причин для использования кейлоггеров, например:

* для родителей: отслеживание действий детей в Интернете и оповещение родителей в случае попыток зайти на сайты «для взрослых» (parental control);
* для ревнивых супругов: отслеживание действий своей половины в Сети в случае подозрения на «виртуальную измену»;
* для службы безопасности организации: отслеживание фактов нецелевого использования персональных компьютеров, их использования в нерабочее время;
* для службы безопасности организации: отслеживание фактов набора на клавиатуре критичных слов и словосочетаний, которые составляют коммерческую тайну организации, и разглашение которых может привести к материальному или иному ущербу для организации;
* для различных служб безопасности: проведение анализа и расследования инцидентов, связанных с использование персональных компьютеров;
* другие причины.

Однако это скорее привычное, чем объективное положение вещей, так как для решения всех указанных задач существуют и другие способы, а ЛЮБОЙ легальный кейлоггер может использоваться во вредоносных целях, и в последнее время именно кража информации пользователей различных систем онлайновых платежей стала, к сожалению, главным применением кейлоггеров (для этих же целей вирусописателями постоянно разрабатываются новые троянцы-кейлоггеры).

Кроме того, многие кейлоггеры прячут себя в системе (т.к. имеют функции руткита), что значительно облегчает их использование в преступных целях. Такое использование делает задачу обнаружения кейлоггеров одной из приоритетных для антивирусных компаний. В классификации вредоносных программ «Лаборатории Касперского» существует специальная категория Trojan-Spy (шпионские программы), в которую попадают программы, содержащие функции клавиатурных шпионов. Согласно определению Trojan-Spy, «эти троянцы осуществляют электронный шпионаж: вводимая с клавиатуры зараженного компьютера информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику».

Чем опасны кейлоггеры
В отличие от других типов вредоносного программного обеспечения, для системы кейлоггер абсолютно безопасен. Однако он может быть чрезвычайно опасным для пользователя: с помощью кейлоггера можно перехватить пароли и другую конфиденциальную информацию, вводимую пользователем с помощью клавиатуры. В результате злоумышленник узнает коды и номера счетов в электронных платежных системах, пароли к учетным записям в online-играх, адреса, логины, пароли к системам электронной почты и так далее.

Кейлоггеры, наряду с фишингом и методами социальной инженерии, являются сейчас одним из главных методов электронного мошенничества. Однако если в случае фишинга бдительный пользователь может сам себя защитить - игнорировать явно фишинговые письма, не вводить персональные данные на подозрительных веб-страницах, - то в случае с клавиатурными шпионами никаким другим способом, кроме использования специализированных средств защиты, обнаружить факт шпионажа практически невозможно.

Примеры использования кейлоггеров злоумышленниками
Одним из самых известных недавних случаев использования кейлоггеров стала кража более 1 млн. долларов со счетов клиентов крупнейшего скандинавского банка Nordea. В августе 2006 года клиентам шведского банка Nordea стали приходить от имени этого банка электронные письма с предложением установить антиспам-продукт, якобы содержащийся в приложении. При попытке получателя письма скачать прикрепленный файл на свой компьютер устанавливался специальный вариант широко известной троянской программы Haxdoor, который активировался при регистрации жертвы в онлайн-сервисе Nordea и выводил на экран сообщение об ошибке с просьбой о повторной регистрации. После этого клавиатурный шпион, встроенный в троянскую программу, записывал вводимые пользователем данные и передавал их на сервер злоумышленников. Собранные таким образом персональные данные использовались мошенниками для снятия денег со счетов доверчивых клиентов банка. Создателя этого троянца помог вычислить один из экспертов по безопасности компании Symantec. По заявлению автора троянской программы, haxdoor использовался и в атаках против австралийских и многих других банков.

27 января 2004 года началась эпидемия одной из самых известных вредоносных программ - червя Mydoom. Mydoom побил рекорды червя Sobig и стал причиной самой масштабной эпидемии в истории Интернета на сегодняшний день. Червь распространялся по электронной почте. Автор червя использовал самые разнообразные заголовки писем, чтобы заинтересовать пользователей с очень разными интересами. Червь провел атаку на сайт www.sco.com , из-за этого вышедший из строя на несколько месяцев, и оставлял на зараженном компьютере троянскую программу, которая использовалась для заражения другими версиями вируса, последовавшими за главной эпидемией. Однако мало кто знает, что наряду с функциональностью сетевого червя, бэкдора и организацией DoS-атаки на сайт www.sco.com , Mydoom содержал функции кейлоггера для сбора номеров кредитных карт.

В начале 2005 года лондонская полиция предотвратила одну из самых крупных попыток кражи банковской информации в Англии. С помощью атаки на банковскую систему злоумышленники планировали украсть 423 млн. долларов из лондонских офисов банка Sumitomo Mitsui. Главным компонентом троянской программы, созданной 32-летним израильтянином Иероном Болонди (Yeron Bolondi), является кейлоггер, позволяющий отслеживать все нажатия клавиш при работе с клиентской программой указанного банка.

В мае 2005 года в Лондоне израильская полиция арестовала супружескую пару по обвинению в разработке вредоносных программ, при помощи которых израильские компании шпионили за конкурентами. Поражают масштабы данного промышленного шпионажа: среди компаний, которые упоминались израильскими властями в материалах расследования, есть такие крупные компании, как операторы мобильной связи Cellcom и Pelephone, а также провайдер спутникового телевидения компания YES. Согласно материалам следствия, троянская программа была использована для шпионажа в отношении PR-агентства Rani Rahav, среди клиентов которого - второй в Израиле мобильный оператор Partner Communications и группа кабельного телевидения HOT. Израильская компания Mayer, которая занимается импортом автомобилей марки Volvo и Honda, подозревается в шпионаже против компании Champion Motors, которая занимается импортом автомобилей марки Audi и Volkswagen. Рут Эфрати, продававшая созданную ее мужем Майклом Эфрати (Michael и Ruth Efrati) троянскую программу с функциями клавиатурного шпиона, проведет в тюрьме 4 года, а сам Майкл - два.

В феврале 2006 года бразильская полиция арестовала 55 человек, причастных к распространению вредоносных программ, использовавшихся для кражи регистрационной информации пользователей и их паролей к банковским системам.

Кейлоггеры активизировались в тот момент, когда пользователи заходили на web-страницы банковских систем, и скрытно отслеживали и позднее передавали злоумышленникам все вводимые на этих страницах данные. Общая сумма денег, которая была украдена подобным образом с 200 клиентских счетов в шести банках страны, составила 4,7 млн. долларов.

Почти в то же время была арестована аналогичная преступная группа, состоявшая из молодых (от 20 до 30 лет) россиян и украинцев. С конца 2004 года они рассылали клиентам банков Франции и ряда других стран почтовые сообщения, содержащие вложенную вредоносную программу - кейлоггер. Кроме того, эти же шпионские программы выкладывались на специально созданных web-сайтах, куда заманивались пользователи методами социальной инженерии. Далее события развивались как во всех описанных выше случаях: программа активировалась при заходе на сайты банковских систем, собирала все вводимые пользователем данные и пересылала их злоумышленникам. Таким образом за 11 месяцев было украдено более 1 млн. долларов.

Примеров использования кейлоггеров злоумышленниками много - большинство компьютерных преступлений, связанных с финансами, совершается с помощью кейлоггеров, так как только использование клавиатурных шпионов делает электронную слежку наиболее результативной.

Принципы построения кейлоггеров
Принципиальная идея кейлоггера состоит в том, чтобы внедриться между любыми двумя звеньями в цепи прохождения сигнала от нажатия пользователем клавиш на клавиатуре до появления символов на экране - это может быть видеонаблюдение, аппаратные «жучки» в самой клавиатуре, на проводе или в системном блоке компьютера, перехват запросов ввода-вывода, подмена системного драйвера клавиатуры, драйвер-фильтр в клавиатурном стеке, перехват функций ядра любым способом (подменой адресов в системных таблицах, сплайсингом кода функции и т.п.), перехват функций DLL в пользовательском режиме, наконец, опрос клавиатуры стандартным задокументированным способом.

Однако практика показывает, что чем сложнее подход, тем менее вероятно его применение в широкораспространяемых троянских программах и более вероятно его использование в целевых троянцах для кражи корпоративной финансовой информации.

Все кейлоггеры можно условно разделить на аппаратные и программные. Первые представляют собой небольшие устройства, которые могут быть закреплены на клавиатуре, проводе или в системном блоке компьютера. Вторые - это специально написанные программы, предназначенные для отслеживания нажатий клавиш на клавиатуре и ведения журнала нажатых клавиш.

Наиболее популярные технические подходы к построению программных кейлоггеров:

* системная ловушка на сообщения о нажатии клавиш клавиатуры (устанавливается с помощью функции WinAPI SetWindowsHook, для того чтобы перехватить сообщения, посылаемые оконной процедуре, - чаще всего пишется на C);
* циклический опрос клавиатуры (с помощью функции WinAPI Get(Async)KeyState, GetKeyboardState - чаще всего пишется на VisualBasic, реже на Borland Delphi);
* драйвер-фильтр стека клавиатурных драйверов ОС Windows (требует специальных знаний, пишется на C).

Методы защиты от кейлоггеров
Большинство антивирусных компаний добавляют известные кейлоггеры в свои базы, и метод защиты от них не отличается от метода защиты от любого другого вредоносного программного обеспечения: установите антивирусный продукт и поддерживайте его базы в актуальном состоянии. Однако так как большинство антивирусных продуктов относит кейлоггеры к классу потенциально опасного программного обеспечения, то следует удостовериться, что при настройках по умолчанию используемый антивирусный продукт детектирует наличие программ данного класса. Если это не так, то для детектирования кейлоггеров необходимо выставить подобную настройку вручную. Это позволит вам защититься от большинства широко распространяемых кейлоггеров.

Рассмотрим подробнее методы защиты от неизвестных кейлоггеров или кейлоггера, изготовленного специально для атаки конкретной системы.

Так как основной целью использования кейлоггеров является получение конфиденциальной информации (номера банковских карт, паролей и т.п.), то разумными методами защиты от неизвестных кейлоггеров являются следующие:

1. использование одноразовых паролей / двухфакторная аутентификация,
2. использование систем проактивной защиты, предназначенных для обнаружения программных кейлоггеров ()
3. использование виртуальных клавиатур.

Одноразовый пароль действует только один раз, при этом часто ограничивается и период времени, в течение которого им можно воспользоваться. Поэтому, даже если такой пароль будет перехвачен, злоумышленник уже не сможет воспользоваться им для получения доступа к конфиденциальной информации.

Последний из рассматриваемых способов защиты как от программных, так и от аппаратных кейлоггеров - использование виртуальной клавиатуры. Виртуальная клавиатура представляет собой программу, показывающую на экране изображение обычной клавиатуры, в которой с помощью мыши можно «нажимать» определенные клавиши.

Идея экранной клавиатуры не нова: в ОС Windows содержится встроенная экранная клавиатура, вызываемая через меню Start > Programs > Accessories > Accessibility > On-Screen Keyboard.

Однако встроенная в Windows экранная клавиатура плохо применима для обмана кейлоггеров, так как она создавалась не как средство защиты, а для помощи людям с ограниченными возможностями, и передача данных после ввода с помощью данной клавиатуры может быть очень легко перехвачена вредоносной программой. Экранная клавиатура, которая может быть использована для того, чтобы обойти кейлоггеры, должна быть разработана специальным образом, исключающим перехват вводимых данных на любой стадии их ввода и передачи.

Выводы
В данной статье мы рассмотрели принципы построения и использования кейлоггеров - программных и аппаратных средств, используемых для мониторинга нажатия клавиш клавиатуры.

* Несмотря на то что производители кейлоггеров позиционируют их как легальное ПО, большинство кейлоггеров может быть использовано для кражи персональной информации пользователей и осуществления экономического и политического шпионажа.
* В настоящее время кейлоггеры, наряду с фишингом и методами социальной инженерии, являются одним из главных методов электронного мошенничества.
* Компании, работающие в сфере компьютерной безопасности, фиксируют стремительный рост числа вредоносных программ, имеющих функциональность кейлоггера.
* Отмечается тенденция добавления в программные кейлоггеры rootkit-технологий, назначение которых - скрыть файлы кейлоггера так, чтобы они не были видны ни пользователю, ни антивирусному сканеру.
* Обнаружить факт шпионажа с помощью кейлоггеров можно только с использованием специализированных средств защиты.
* Для защиты от кейлоггеров следует использовать многоуровневую защиту.