Что такое Keylogger (кейлоггер) и как перехватывают данные ввода. Что такое кейлоггер

В переводе с английского языка Keylogger - это регистратор нажатий клавиш. В большинстве статей можно найти следующую формулировку слова кейлоггер:

Что такое кейлоггер?

Кейлоггер (клавиатурный шпион) - небольшая программа, главным назначением которой является на клавиатуре и ведение журнала этих нажатий. Данное определение на самом деле не совсем правильно, так как в качестве кейлоггеров, клавиатурного шпиона может использоваться как программные, аппаратные так и акустические кейлоггеры.

В данной статье мы будем говорить о том какие существуют типы кейлоггеров. О плюсах и минусах каждого такого устройства и будем давать рекомендации в выборе клавиатурного шпиона.

Аппаратный кейлоггер

Аппаратные кейлоггеры встречаются намного реже, чем их программные собратья, но при защите конфиденциальных данных ни в коем случае не стоит забывать о них.

Аппаратный кейлоггер

Аппаратные кейлоггеры бывают внешние — они выглядят как обычное компьютерное оборудование, и внутренние, которые устанавливаются, непосредственно, в саму клавиатуру. Кейлоггер может работать неограниченное количество времени, так как для его работы не нужен дополнительный источник питания. Такой аппаратный кейлоггер может сохранять до 20 млн. нажатий клавиш.

Минусы:

• Нет возможности установить удалённо
• Ограничение памяти
• Для получения отчёта требуется физической доступ к компьютеру (если модель без Wi-Fi-модуля)
• Может быть использован только в тех случаях когда жертва не разбирается в компьютерном оборудовании

Плюсы:

• Клавиатурный шпион который не видят программные антивирусы и антишпионы
• Не высокая цена по сравнению с акустическими кейлоггерами (но программные клавиатурные шпионы дешевле)
• Передача отчетов через встроенный Wi-Fi (не во всех моделях)

Данные тип кейлоггеров используют секретные службы, шпионы и разведчики. Такие кейлоггеры представляют собой довольно большие по своим габаритам аппаратные устройства, которые предварительно записывают звуки, создаваемые пользователем за компьютером при нажатии на клавиши клавиатуры, а впоследствии анализируют эти звуки и преобразовывают их в текстовый формат

Минусы:

• Высокая цена
• Приобретение данного оборудования не законно
• Большой размер
• Бывают ошибки точности распознавания системы акустического криптоанализа
• Нет в свободной продаже

Плюсы:

• Кейлоггер который не видят программные антивирусы и антишпионы
• Работает на расстоянии
• Не требуется физический доступ к компьютеру

Программный кейлоггер

Программные кейлоггеры самые распространённые на рынке клавиатурных шпионов. Перехват нажатий клавиш на клавиатуре может применяться обычными приложениями и часто используется для вызова функций приложения из другой программы с помощью «горячих клавиш» (hotkeys) или, к примеру, для переключения неверной раскладки клавиатуры (как это реализовано в программах Punto Switcher и Keyboard Ninja).

Надо отметить, что клавиатурные шпионы довольно старый тип шпионских программ, который появилися еще во времена MS-DOS – в то время они представляли собой обработчики прерывания клавиатуры размером около 1 килобайта. Однако функции кейлоггеров за прошедшее время не сильно изменились – по-прежнему их основной задачей является скрытное фиксирование клавиатурного ввода с дальнейшей записью собранной информации на жесткий диск или передачей по сети.

Существует большое количество легального программного обеспечения, которое применяется админами для в течение дня, или для наблюдения пользователем за активностью посторонних людей на своем рабочем или домашнем компьютере. Но где проходит граница между «законным» использованием «легального» ПО и его использованием в преступных целях? То же «легальное» ПО нередко применяется и в целях умышленного похищения конфиденциальной информации - к примеру, логинов и паролей.

Программный кейлоггер

Основная масса существующих на сегодняшний день кейлоггеров считаются легальными и продаются в сети в свободной продаже, так как создатели такого программного обеспечения декларируют множество оснований для применения клавиатурных шпионов, например:

• для родителей: отслеживание за действиями детей в сети и оповещение родителей в случае попыток зайти на страницы «18+» (родительский контроль);
• для ревнивых мужей и жен: наблюдение за действиями своей второй половины в сети в случае сомнения и подозрения на «виртуальную измену»;
• для службы безопасности разных организаций: отслеживание прецедентов нецелевого применения персональных компьютеров, их использования в нерабочее время;
• для службы безопасности компаний: отслеживание фактов набора на клавиатуре критичных слов и словосочетаний, которые составляют коммерческую тайну данной компании, и разглашение которых способно привести к материальному или другому ущербу;
• для различных секретных служб и правоохранительных органов: проведение анализа и расследования инцидентов, связанных с использование персональных компьютеров;

Большое количество сегодняшних клавиатурных шпионов скрывают себя в системе (т.к. имеют ), что на много упрощает их внедрение и последующее использование. Это делает задачу выявления клавиатурных шпионов одной из приоритетных для антивирусных компаний.

В классификации вредоносных программ «Лаборатории Касперского» под кейлоггеры отведена специальная категория Trojan-Spy (скрытые шпионские программы), в которую входят программы, включающие в себя функции клавиатурных шпионов. Согласно определению Лабаратории Касперского Trojan-Spy, это программы которые осуществляют электронный шпионаж.

Минусы:

• Некоторые кейлоггеры занесены в сигнатурную базу данных антивирусов и определяются ими как вредонос, из-за этого в процессе работы могут быть удаленны.

Плюсы:

• Большой выбор
• Техническая поддержка разработчиков
• Для установки кейлоггера и получения отчётов не требуется наличие физического доступ к компьютеру

Какой кейлоггер лучше?

Для того чтобы отследить чем занимаются дети в ваше отсутствие или с кем общается жена или муж по интернету, вам хватит программного кейлоггера. На мой взгляд у такого типа кейлоггеров больше плюсов чем минусов, особенно в ситуации когда у вас есть возможность установить (в некоторых случаях настройка антивируса для работы с кейлоггером) и читать логи в спокойной обстановке, когда дома никого нет.

Какой выбрать кейлоггер решать вам. Главное не забывать что в некоторых случаях использование клавиатурных шпионов незаконно!

Существуют различные типы трюков, используемых хакерами для кражи нашей идентичности.

Keylogger - это одно вредоносное приложение или инструмент, который используется многими хаками для отслеживания того, что мы печатаем, и для кого и как мы подключаемся к сети. В наши дни кейлоггер стал одной из самых мощных угроз, которые могут записывать то, что вы вводите, и делиться ею с информацией для хакеров.

Знание того, как обнаружить кейлоггер и удалить его с компьютера, может помочь защитить вашу личность и личную жизнь.

Пошаговое руководство по обнаружению Keylogger и удалению его с компьютера

Нелегко обнаружить, влияет ли ваш компьютер на кейлоггер, если только это руководство не идентифицирует его. Конечно, есть инструменты и программное обеспечение для обнаружения злонамеренной угрозы, зная, как ее обнаружить вручную может пригодиться, когда дело доходит до защиты вашей личности.

Вот два способа, по которым вы можете обнаружить, что кейлоггер установлен на вашем устройстве или нет:

Способ 1 . Откройте диспетчер задач, используя комбинацию клавиш Ctrl + Alt + Delete . Перейдите к параметру процессов и найдите дубликат копии процесса с именем Winlogon. Один процесс с этим именем прекрасен, но если их два, значит, ваше устройство заражено кейлоггером.

Способ 2 : Иногда кейлоггер заражает устройство через какую-то вредоносную программу, которая автоматически устанавливается на ваше устройство, когда мы в сети. Поиск нежелательной программы на панели управления можно обнаружить кейлоггер. Вот как обнаружить нежелательную программу с панели управления:

Перейдите в меню «Пуск», выберите «Все программы» и просмотрите всю установленную программу. Если вы найдете какую-либо программу, которую вы не установили, удалите ее. Удалив ненужную программу, вам необходимо перезагрузить устройство.

Как удалить Keylogger

Узнав, как обнаружить кейлоггер, вы должны знать, как удалить его с компьютера. Ключ-кейггер можно удалить из устройства, используя следующие два метода:

Способ 1 . Если вы обнаружили кейлоггер в диспетчере задач, удалите дублируемую копию Winlogon.

Способ 2 . Если вы обнаружили неизвестную программу, установленную в вашей системе, удалите эту программу.

Эти два являются самыми простыми способами обнаружения и удаления кейлоггера вручную из вашей системы. Ручные методы закладывают основу для защиты компьютера от вредоносной деятельности и, таким образом, помогают предотвратить кражу любых данных.

Кроме того, на рынке доступно программное обеспечение, которое может помочь обнаружить клавиатурные шпионы и удалить их с компьютера. Вы можете узнать, как обнаружить кейлоггер и удалить его с компьютера, установив программное обеспечение, способное обнаруживать и удалять вредоносный инструмент.

Программное обеспечение сканирует компьютер любого вредоносного файла, который способен красть информацию, хранящуюся в нем, и отправлять его хакерам.

При обнаружении вредоносных файлов программное обеспечение помещает их в карантин и обрабатывает их, удаляя или восстанавливая их после поиска вашей команды.

Программное обеспечение не только сканирует компьютер, но также предотвращает или защищает компьютер, отключая автоматическую установку любой программы, которая может быть подвержена риску.

Keylogger стал серьезной угрозой, поскольку большее число людей использует цифровые гаджеты для различных задач. Будь то онлайн-транзакция или частные чаты, кейлогеры могут взломать детали и записать все, что вы набираете, с помощью клавиатуры нашего устройства.

Два типа клавиатурных шпионов и то, как они влияют на ваш компьютер.

Keylogger имеет два типа: аппаратный кейлоггер и программный кейлоггер.

Аппаратное обеспечение Keylogger:

Аппаратный кейлоггер поставляется в виде USB-устройств, которые могут быть подключены к компьютерной системе. Этот конкретный тип кейлоггера встроен в заднюю часть центрального процессора (CPU) и снимает активность клавиатуры.

Программное обеспечение Keylogger:

Программный кейлоггер встроен в программное обеспечение и программу, установленные или устанавливаемые на ваш компьютер. Когда мы устанавливаем какое-либо программное обеспечение в компьютерной системе, автоматически создаются определенные файлы. Эти файлы могут быть злыми и могут записывать и красть информацию с компьютера.

Независимо от того, какой тип кейлоггера на вашем компьютере влияет, каждый кейлоггер может привести к необратимым потерям.

Поэтому крайне важно своевременно обнаружить кейлоггер, чтобы предотвратить кражу любых важных данных.

Компьютер можно защитить, обновив антивирусное программное обеспечение. Использование детекторов вирусов часто также помогает выявлять и предотвращать любую malic-программу.

Существует также один трюк для предотвращения потери каких-либо типов информации через клавиатуру, вы можете хранить данные, такие как имя пользователя и пароль, в блокноте, а также копировать и вставлять детали, когда это необходимо.

Тем не менее, в этом случае вам нужно будет дополнительно осознавать данные, хранящиеся в блокноте, поскольку хакеры могут красть информацию. Риск взлома повсюду, но он не должен мешать нам использовать цифровые гаджеты.

Используйте интеллектуальные устройства, проявляя бдительность. Не допускайте, чтобы что-то вроде кейлоггера мешало вам продвигаться вперед по вашему пути. Убедитесь, что ваша компьютерная система обновлена, и все ее программы функционируют должным образом.

Запуск антивирусного программного обеспечения регулярно также может помочь защитить ваш компьютер, когда вы в сети, а также в автономном режиме.

Для проверки безопасности вводимых паролей через KeePass я решил написать простейший кейлоггер с дополнительным захватом данных из буфера обмена. Весь код занял несколько строчек на FreePascal.

Пароли, без дополнительных мер защиты и правильной настройки KeePass, как оказалось, достаточно уязвимы.

Код кейлоггера помещен в цикл Timer, который обновляется каждые 10 ms. Используются модули: Windows и ClipBrd.

//Сравниваем текущие состояние клавиш for f:= 0 to 255 do if a[f] <> GetAsyncKeyState(f) then begin //Реакция на отжатие клавиши if KeePass.Checked and (GetAsyncKeyState(f) = 0) then Memo1.Caption:= Memo1.Caption + chr(f); //Реакция на нажатие клавиши if not KeePass.Checked and (GetAsyncKeyState(f) <> 0) then Memo1.Caption:= Memo1.Caption + chr(f); end; //Сохраняем в массив текущее состояние клавиш for f:= 0 to 255 do a[f] := GetAsyncKeyState(f); //Запись при изменении в буфере обмена if s <> Clipboard.AsText then begin s:= Clipboard.AsText; Memo2.Caption:= Memo2.Caption + s + " "; end;
Программа Simple Logger выглядит так:

В окне -Keyboard- выводятся клавиши без учета регистра и языка ввода. Отображается символ, номер которого равен коду клавиши: chr(f). Можно доработать программу для корректного отображения всех символов, но это не требуется для настоящего исследования.

В окно -Clipboard- происходит копирование при изменении содержимого буфера.

Слабые места KeePass и их устранение

1. Ввод основного пароля

По умолчанию основной пароль в KeePass вводится без защищенного режима, поэтому он легко определяется в Simple Logger. Это самое критичное место в безопасности, т.к. здесь мы получаем доступ сразу ко всей базе паролей.

Для устранения проблемы необходимо включить настройку Безопасности «Вводить основной пароль в защищенном режиме (подобно UAC в Windows Vista и выше)». Этот режим не позволяет логгеру получить доступ к клавиатуре. Кроме того, в нем невозможно сделать скриншот для определения расположения Ключевого файла.

Данный режим включается только при вводе основного пароля. О защите остальных паролей будет идти речь дальше.

2. Буфер обмена

Simple Logger реагирует на изменение буфера обмена с частотой 100 раз в секунду. Таким образом, попадание пароля в буфер и его последующее удаление через несколько секунд не дает защиты в данном случае.

Для устранения этой проблемы можно использовать Автонабор.

3. Автонабор

Реакция на автонабор KeePass происходит на отжимание клавиши, а не нажатие. Это позволяет получить защиту от некоторых кейлоггеров. Для обхода этого в Simple Logger есть дополнительная настройка: «KeePass Auto-Type». Если она включена, то логгер срабатывает на отжимание клавиши.

При автонаборе через KeePass: MyLoginName LongPassword123

В Simple Logger появится запись:

Simple Logger ни как не учитывает сочетания клавиш. Как видите, клавиша Shift отобразилась в виде спецсимвола (похожего на «+») и «?». Shift отпускается как до, так и после заглавной буквы. Тем не менее, этого достаточно, чтобы понять пароль.

Для решения этой проблемы можно использовать настройку в KeePass «Двойное усложнение автонабора». В этом случае KeePass будет вводить часть пароля с клавиатуры, а часть через буфер обмена, перемешивая значения. Это позволяет обойти некоторые кейлоггеры.

Simple Logger на Двойное усложнение автонабора отреагирует следующим образом:

• Вставка из буфера обмена «Ctrl + V» отобразилась как «V◄?»;
• Стрелка влево – «%» (код клавиши и символ #37);
• Стрелка вправо – «"» (код клавиши и символ #39).

Можно написать небольшой алгоритм и восстановить правильный пароль, используя данные из обоих окон. Эта настройка усложняет работу кейлоггера, но не гарантирует защиты – при желании пароль легко восстанавливается.

От кейлоггера, который «заточен» под KeePass, могут помочь дополнительные средства защиты.

4. Дополнительные средства защиты

В некоторых программных комплексах есть такие возможности как:

• Защита ввода данных с аппаратной клавиатуры;
• Защищённый браузер.

При включении защиты ввода данных с аппаратной клавиатуры Simple Logger уже не может получить данные при автонаборе KeePass, если они вводятся в браузере в форму для пароля. В этом случае слабым местом будет работа через буфер обмена.

При использовании защищенного браузера получить доступ к буферу обмена и клавиатуре средствами Simple Logger не удалось. Кроме того, не было возможности делать скриншоты.

Вместо заключения

Посмотрев, как наши сотрудники используют KeePass, я обнаружил, что некоторые:

• не используют UAC;
• не используют автонабор, просто копируя пароли через буфер;
• оставляют программу открытой, уходя с рабочего места;
• используют настройки по умолчанию, не настраивая политику безопасности.

Я менеджер в небольшой фирме, немного увлекаюсь программированием. Я не являюсь техническим специалистом или экспертом в области безопасности, поэтому буду рад, если более опытные специалисты укажут на недочеты моего небольшого исследования.

Я тестировал последнюю версию KeePass 2.36 в среде Windows 8.1. Справедливости ради надо отметить, что данная проблема не является только проблемой KeePass. Есть множество других хранителей паролей с большей или меньшей степенью надежности, но это тема уже другого исследования.

Ссылки

1. Simple Logger на GitHub
   //Кому не страшно, в архиве «SimpleLogger_for_Win64.7z» можно найти exe-шник. Программа не позволяет вести полноценный кейлоггинг, предназначена для исследования безопасности и ознакомительных целей.

UPD (27.07.2017)

Плагин для браузера

Как заметил пользователь dartraiden , можно использовать модуль KeePassHttp совместно с дополнением для браузера PassIFox или ChromeIPass . Этот плагин (по заявлению разработчика) обеспечивает безопасное экспонирование записей KeePass через HTTP.

Данная связка позволяет автоматически заполнять логин и пароль в браузере, когда KeePass разблокирован. Simple Logger ни как не реагирует в данном случае.

Слабым местом ChromeIPass является генерация нового пароля, т.к. он копируется через буфер обмена и виден на экране. В этом случае, лучше генерировать новый пароль в самом KeePass.

Создание нового мастер пароля

Как заметил arthur_veber :

При замене мастер пароля, а так же при создании нового, не применяется безопасный режим.

В этом случае Simple Logger перехватывает вводимый в KeePass мастер пароль.

Не помогает и виртуальная экранная клавиатура от известного производителя, которая, как и автонабор KeePass, работает по событию на отжимание клавиши.

Советы здесь давать трудно. Наверное, нужно обратить внимание разработчиков на эту проблему.

Другие средства атаки

Как первым заметил пользователь qw1 , если система, на которой установлен KeePass, скомпрометирована, то могут использоваться друге средства атаки, помимо кейлоггера. В этом случае перечень действий по противодействию атаке будет зависеть от конкретной ситуации.

К сожалению, невозможно осветить в одной статье все меры защиты, которые необходимы для хранения паролей.

Теги: Добавить метки

Кейлоггер - что это такое? Какая опасность от них исходит? Можно ли использовать в своих интересах кейлоггер? Что это за собой влечёт?

Общая информация

В современном информационном мире очень остро стоит вопрос безопасности. Среди всего разнообразия зловредов отдельно стоит программа-кейлоггер. Что она собой представляет? Какие опасности таит? Как с ними бороться? Те, кто хорошо знает английский язык, наверняка перевели название программы и поняли, что разговор будет вестись о клавиатурном регистраторе. Именно так и переводится их название - keylogger. Но на просторах бывшего СССР их официальное название - клавиатурные шпионы. В чем же заключается их особенность?

Когда программа попадает на компьютер, то она начинает выполнять свои задачи в виде шпионских функций без ведома, участия и согласия человека. Стоит задать вопрос «Кейлоггер - что это такое?», как выясняется, что многие даже не представляют себе, чем же является подобная программа. И из этого следует тот печальный факт, что многие пользователи элементарно недооценивают их угрозу. А зря. Ведь главная цель этих программ - это красть и передавать своему создателю логины и пароли учетных записей пользователя, кошельков, банковских приложений.

Как они работают?

Давайте рассмотрим небольшой пример. Допустим, у человека есть счёт в банке, на котором находится сто тысяч рублей, - сумма довольно неплохая. Он периодически заходит в свой электронный кабинет пользователя, используя при этом пароль и логин. А чтобы ввести их, приходится пользоваться клавиатурой. Кейлоггер же записывает, что и где было введено. Поэтому злоумышленник, зная пароль и логин, может воспользоваться средствами, если не предусмотрены дополнительные рубежи безопасности вроде подтверждения с помощью телефона. Кейлоггер выполняет функцию повторителя, который в определённый момент сливает всю собранную информацию. Некоторые из этих программ даже умеют распознавать язык ввода и с каким элементом браузера человек взаимодействует. И дополняет это всё умение создавать снимки экранов.

История развития

Стоит упомянуть, что кейлоггер для Windows - явление не новое. Первые подобные программы являлись ровесниками MS-DOS. Тогда это были обычные обработчики прерываний клавиатуры, размер которых колебался около отметки в 1 Кб. И с тех пор их основная функция так и не изменилась. Они до сих пор в первую очередь осуществляют скрытную регистрацию клавиатурного ввода, записывают собранную информацию и передают её своему создателю. Может возникнуть вопрос: "Если они так примитивны, то почему многочисленные антивирусные приложения не отлавливают кейлоггеры?". Ведь это несложная программа. И тем не менее справиться специализированным приложениям довольно сложно. Дело в том, что кейлоггер - это не вирус и не троян. И чтобы найти его, необходимо устанавливать специальные расширения и модули. К тому же этих вредоносных программ так много, что против них бессилен и сигнатурный поиск, считающийся одним из самых передовых решений защиты.

Распространение

Как же они попадают на компьютеры пользователей? Существует большое количество путей распространения. Есть и кейлоггер с отправкой на почту всем, кто есть в адресной книге, могут они распространяться и под видом иных программ или же идя в качестве дополнения к ним. Допустим, человек скачивает нелицензионную версию какого-то приложения с совершенно стороннего сайта. Он сам устанавливает себе основное приложение, а вместе с ним - и кейлоггер. Или может на email приходили от знакомых странные сообщения с вложенными файлами? Вполне возможно, что это действовал кейлоггер с отправкой на почту. Открытие письма не несёт в себе угрозы на большинстве сервисов, поскольку это просто набор текста. А вот приложения к нему могут таить в себе опасность. При выявлении подобной ситуации лучше всего будет избавиться от потенциально опасных файлов. Ведь удаленный кейлоггер не опасен и ничем не сможет навредить.

Распространение через почту

Особенное внимание хочется уделить именно этому пути перехода между компьютерами. Иногда приходят сообщения, которые вроде бы имеют в себе ценную информацию или же что-то подобное. В целом расчет делается на то, что любопытный человек откроет письмо, загрузит файл, где имеется «информация» про «бухгалтерию предприятия», «номера счетов, пароли и логины доступа» или же просто «чьи-то обнаженные фотографии». Или если рассылка проводится по данным какой-то компании, то может даже фигурировать имя и фамилия человека. Следует помнить, что нужно всегда осторожно относиться к любым файлам!

Создание и использование

После ознакомления с предыдущей информацией кто-то может подумать: а вот бы и у меня был свой бесплатный кейлоггер. И даже пойдёт их искать и скачивать. Первоначально необходимо упомянуть о том, что это дело наказуемое с позиции Уголовного кодекса. К тому же не следует забывать старую присказку о том, что бесплатный сыр бывает только в мышеловке. И в случае следования по этому пути не следует удивляться, если «бесплатный кейлоггер» будет обслуживать только своего хозяина или же вообще окажется вирусом/трояном. Единственный более-менее верный способ заполучить такую программу - написать её самому. Но опять же это криминально наказуемо. Поэтому стоит взвесить все за и против, прежде чем приступать. Но к чему тогда следует стремиться? Каков может быть конечный результат?

Стандартная клавиатурная ловушка

Это самый простой тип, базирующийся на одном общем принципе работы. Суть программы заключается в том, что это приложение внедряется в процесс передачи сигнала от момента, когда была нажата клавиша, и до отображения символа на экране. Для этого широко используются хуки. В операционных системах так называется механизм, задачей которого является перехват сообщений системы, во время которого используется особая функция, которая является частью Win32API. Как правило, из представленного инструментария чаще всего применяют WH_Keyboard, немногим реже - WH_JOURNALRECORD. Особенность последнего заключается в том, что он не требует наличия отдельной динамической библиотеки, благодаря чему вредоносная программа более быстро распространяется по сети. Хуки считывают всю информацию, что передаётся с аппаратуры ввода. Этот подход довольно эффективен, но имеет ряд недостатков. Так, необходимо создавать отдельную динамическую библиотеку. А она будет отображаться в адресном пространстве процессов, благодаря чему выявить клавиатурный регистратор будет более легко. Чем и пользуются защитники.

Иные методы

Первоначально необходимо упомянуть о таком примитивном до смешного методе, как периодический опрос состояния клавиатуры. В этом случае запускается процесс, который раз 10-20 на секунду проверяет, не были ли нажаты/отпущены определённые клавиши. Все изменения при этом фиксируются. Популярно также создание на базе драйвера. Это довольно эффективный метод, который имеет две реализации: разработка своего фильтра или же своего специализированного программного обеспечения для устройства ввода. Популярны и руткиты. Они реализованы таким образом, чтобы перехватывать данные во время обмена между клавиатурой и управляющим процессом. Но самыми надёжными считаются считывания информации. Хотя бы потому, что обнаружить их программными средствами чрезвычайно сложно, буквально невозможно.

А как с мобильными платформами?

Нами уже было рассмотрено понятие «кейлоггер», что это, как они создаются. Но при рассмотрении информации прицел был на персональные компьютеры. Но ещё больше, чем ПК, существует множество различных мобильных платформ. А что же в случае с ними? Рассмотрим, как работает кейлоггер для "Андроид". В целом принцип функционирования похож с тем, что описывалось в статье. Но нет обычной клавиатуры. Поэтому они нацеливаются на виртуальную, которая выводится на экран, когда пользователь планирует что-то ввести. А затем стоит ввести информацию - как она сразу же будет передана творцу программы. Поскольку система безопасности на мобильных платформах хромает, то кейлоггер для андроид может успешно и длительный срок работать и распространяться. Поэтому всегда, когда скачиваете приложение, необходимо обдумывать права, которые им предоставляются. Так, если программа для чтения книг просит доступа к интернету, клавиатуре, различным административным сервисам мобильного устройства, это причина задуматься о том, а не вредоносный ли это субъект. Это же в полной мере относится и к тем приложениям, которые есть в официальных магазинах - ведь они проверяются не вручную, а автоматикой, которая не отличается совершенством.

Программный кейлоггер

• англ. keylogger
• англ. key logger
• англ. keystroke logger
• англ. key recorder
• англ. key trapper
• англ. key capture program
• англ. key snooper
• русск. кейлоггер

Аппаратный кейлоггер

• англ. keystroke recording device
• англ. hardware keylogger
• русск. аппаратный кейлоггер

Виды информации, которые могут контролироваться

• нажатия клавиш на клавиатуре
• нажатия клавиш мышки
• дата и время нажатия

Классификация

по типу

Программные кейлоггеры принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера. Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (Log-файл), который впоследствии изучался человеком, установившим эту программу. Log-файл мог отправляться по сети на сетевой диск, ftp сервер в сети Интернет, по Email и т.д. В настоящее время программные продукты, сохранившие "по старинке" данное название, выполняют много дополнительных функций - это перехват информации из окон, перехват кликов мыши, перехват буфера обмена, "фотографирование" снимков экрана и активных окон, ведение учета всех полученных и отправленных Email, мониторинг файловой активности, мониторинг системного реестра, мониторинг очереди заданий, отправленных на принтер, перехват звука с микрофона и видео-изображения с веб-камеры, подключенных к компьютеру и т.д., т.е. они, на самом деле, относятся к совершенно другому классу программных продуктов, а именно к мониторинговым программным продуктам .

Аппаратные кейлоггеры представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере, чтобы успешно перехватывать все нажатия клавиш. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер - включенном или выключенном. Время его работы не ограничено, т.к. он не требует для своей работы дополнительного источника питания. Объемы внутренней энергонезависимой памяти данных устройств позволяют записывать до 20 миллионов нажатий клавиш, причем с поддержкой юникода. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита. В зависимости от места прикрепления аппаратные кейлоггеры подразделяются на внешние и внутренние.

Акустические кейлоггеры представляют собой аппаратные устройства, которые вначале записывают звуки, создаваемые пользователем при нажати на клавиши клавиатуры компьютера, а затем анализирующие эти звуки и преобразовывающие их в текстовый формат.

по месту хранения Log файла

• жесткий диск
• память
• реестр
• расшаренный, т.е. общедоступный (shared) сетевой диск
• удаленный сервер

по методу отправки Log файла

• e-mail (без участия пользователя)
• ftp (без участия пользователя)
• http (https - безопасное соединение по Интернет) (без участия пользователя)
• любой вариант беспроводной связи (радиодиапазон, инфракрасный диапазон, Bluetooth, WiFi и т.п.)
• по локальной сети

по методу применения

Только метод применения кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет увидеть грань между управлением безопасностью и нарушением безопасности .

Несанкционированное применение - установка кейлоггера (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) происходит без ведома владельца (администратора безопасности) автоматизированной системы или без ведома владельца конкретного персонального компьютера. Несанкционированно применяемые кейлоггеры (программные или аппаратные) именуются как или шпионские устройства. Несанкционированное применение, как правило, связано с незаконной деятельностью (illegal activity). Как правило, несанкционированно устанавливаемые шпионские программные продукты имеют возможность конфигурирования и получения "скомплектованного" исполнимого файла, который при инсталляции не выводит никаких сообщений и не создает окон на экране, а также имеют встроенные средства доставки и дистанционной установки сконфигурированного модуля на компьютер пользователя, т.е. процесс инсталлирования происходит без непосредственного физического доступа к компьютеру пользователя и зачастую не требует наличия прав администратора системы;

Санкционированное применение - установка кейлоггера (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) происходит с ведома владельца (администратора безопасности) автоматизированной системы или с ведома владельца конкретного персонального компьютера. Санкционированно применяемые кейлоггеры (программные или аппаратные) именуется как мониторинговые программные продукты (англ. employee monitoring software, parental control software, access control software, personnel security programs и т.п.) Как правило, санкционированно устанавливаемые программые продукты требуют физического доступа к компьютеру пользователя и обязательного наличия прав администратора для конфигурирования и инсталляции;

по включению в сигнатурные базы

Известные кейлоггеры. К данной категории кейлоггеры, сигнатура которых уже включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов.

Неизвестные кейлоггеры. К данной категории относятся кейлоггеры, сигнатура которых не включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов и, зачастую, никогда не будет в них включена по различным причинам:

• кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций;
• кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы;
• кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера;
• коммерческие, особенно, включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного коммерческого мониторингового программного продукта, может способствовать в превращению последнего в шпионский программный продукт , который не обнаруживается анти-шпионскими программными продуктами и/или анти-вирусными программными продуктами;
• кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу, данные модули являются неизвестными. Пример – всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.

Цели применения

Санкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет владельцу (администратору безопасности) автоматизированной системы или владельцу компьютера:

• определить все случаи набора на клавиатуре критичных слов и словосочетаний, передача которых третьим лицам приведет к материальному ущербу;
• иметь возможность получить доступ к информации, хранящейся на жестком диске компьютера, в случае потери логина и пароля доступа по любой причине (болезнь сотрудника, преднамеренные действия персонала и т.д.);
• определить (локализовать) все случаи попыток перебора паролей доступа;
• проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить что набиралось на клавиатуре в данное время;
• исследовать компьютерные инциденты;
• проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
• восстановить критическую информацию после сбоев компьютерных систем;

Применение модулей, включающих в себя кейлоггер, разработчиками коммерческих программных продуктов, позволяет последним:

• создавать системы быстрого поиска слов (электронные словари, электронные переводчики);
• создавать программы быстрого поиска фамилий, фирм, адресов (электронные телефонные книги)

Несанкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет злоумышленнику:

• перехватывать чужую информацию, набираемую пользователем на клавиатуре;
• получить несанкционированный доступ к логинам и паролям доступа в различные системы, включая системы типа «банк-клиент»;
• получить несанкционированный доступ к системам криптографической защиты информации пользователя компьютера - парольным фразам;
• получить несанкционированный доступ к авторизационным данным кредитных карточек;

Методы защиты от несанкционированно установленных кейлоггеров

Защита от "известных" несанкционированно установленных программных кейлоггеров:

• использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, с автоматическим обновлением сигнатурных баз.

Защита от "неизвестных" несанкционированно установленных программных кейлоггеров:

• использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют, так называемые эвристические (поведенческие) анализаторы, т.е. не требующие наличия сигнатурной базы.

Защита от "известных" и "неизвестных" несанкционированно установленных программных кейлоггеров включает в себя использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:

• постоянно обновляемые сигнатурные базы шпионских программных продуктов;
• эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.

Защита от несанкционированно установленных аппаратных кейлоггеров:

• тщательный внешний и внутренний осмотр компьютерных систем;
• использование виртуальных клавиатур;

Ссылки

• HARDWARE KEYLOGGER PS/2 and USB Example of Hardware Keylogger PS/2 and USB
• Keylogger.Org Независимое сравнение самых популярных кейлоггеров
• First Step Data Capture - Key Stroke Loggers Кейлоггеры - первый шаг сбора данных. SANS Institute.
• W32.Dumaru.Y@mm Описание одного из известных вирусов, включающего в себя модуль программного кейлоггера.
• Наблюдаемость вычислительных систем как неотъемлемая часть комплекса средств защиты в автоматизированной системе
• The Extent of Systematic Monitoring of Employee E-mail and Internet Use Обзор мониторинговых программных продуктов, применяемых для контоля за действиями сотрудников в корпорациях США. Andrew Schulman
• Computer And Internet Surveillance in the Workplace: Rough Notes Компьютерное и интернет наблюдение за рабочими местами. Andrew Schulman
• Детальное описание конструкции аппаратного кейлоггера