Difference between revisions of "What is:Keylogger/vi"

Keylogger là gì

Có rất nhiều thông tin về keylogger trên Web, nhưng nó rất khó tìm thấy các bài báo, điều này giải thích rất nhiều sắc thái của việc phát triển và sử dụng keylogger.

Đó là lý do tại sao bài viết này được viết.

Keylogger, hoặc logger gõ phím, là một chương trình phần mềm hoặc thiết bị phần cứng ghi lại các lần nhấn phím, tức là những phím nào được nhấn trên bàn phím máy tính.

Từ đồng nghĩa của keylogger là keystroke logger và hành động mà nó thực hiện được gọi là keystroke log hoặc bàn phím bắt.

Hoạt động của keylogger phần mềm và các đối tác phần cứng của nó - keylogger phần cứng - dựa trên hai công nghệ hoàn toàn khác nhau, tức là họ ghi lại các lần nhấn phím theo một cách khác.

Vâng, người dùng PC làm khác nhau; họ đóng vai trò khác nhau trong việc xử lý thông tin. Bất kỳ người dùng cụ thể nào cũng có thể là:

• một nhà phát triển của một hệ điều hành;
• một nhà phát triển phần mềm;
• CEO của một doanh nghiệp;
• một chủ doanh nghiệp;
• quản trị viên của mạng máy tính doanh nghiệp;
• người dùng máy tính có đặc quyền quản trị;
• người dùng PC tại nơi làm việc;
• người dùng sở hữu máy tính;
• Chuyên gia bảo mật thông tin;
• Vân vân.

Chính những người này xác định liệu có hợp lý khi sử dụng keylogger trong các hoạt động của họ hay không.

Một kiến ​​thức phổ biến là việc sử dụng bất kỳ công nghệ nào cũng có thể có lợi hoặc có hại; điều này cũng áp dụng để xử lý thông tin bằng máy tính.

Đâu là ranh giới mơ hồ giữa việc sử dụng keylogger hợp pháp và bất hợp pháp?

Câu trả lời rất đơn giản - nó chỉ có thể được phân biệt theo cách áp dụng các keylogger này! Đây là phương pháp ứng dụng của họ cho phép bạn nhìn thấy ranh giới giữa quản lý bảo mật và vi phạm bảo mật.

Thuật ngữ sử dụng trái phép (sử dụng bất hợp pháp) có nghĩa là keylogger đã được cài đặt mà không có kiến ​​thức của chủ sở hữu (quản trị viên bảo mật) của mạng cục bộ (ví dụ: của một công ty hoặc tổ chức) hoặc một máy tính cá nhân cụ thể. Khái niệm "hoạt động trái phép" khá gần với khái niệm "hoạt động bất hợp pháp" ở hầu hết các quốc gia trên thế giới.

Các keylogger trái phép (cả phần mềm và phần cứng) được gọi là thiết bị gián điệp hoặc phần mềm gián điệp (chương trình gián điệp, keylogger).

Việc sử dụng trái phép của họ thường liên quan đến các hoạt động bất hợp pháp. Theo quy định, các sản phẩm phần mềm gián điệp để sử dụng trái phép có khả năng định cấu hình và nhận tệp thực thi được đóng gói, không hiển thị bất kỳ thông báo nào cũng như không mở cửa sổ trong khi cài đặt. Ngoài ra, các sản phẩm này có các công cụ tích hợp có thể phân phối và cài đặt từ xa một mô-đun được cấu hình sẵn trên máy tính của người dùng, tức là quá trình cài đặt diễn ra mà không cần truy cập trực tiếp vào máy tính của người dùng và thường không yêu cầu quyền quản trị.

Thuật ngữ use sử dụng được ủy quyền (use sử dụng hợp pháp / hợp pháp) có nghĩa là keylogger đã được cài đặt với kiến thức của chủ sở hữu (quản trị viên bảo mật) của mạng cục bộ (ví dụ: của một công ty hoặc tổ chức) hoặc một máy tính cá nhân cụ thể. Các keylogger được sử dụng hợp pháp (phần mềm hoặc phần cứng) thường được gọi là phần mềm giám sát nhân viên, phần mềm kiểm soát của phụ huynh, phần mềm kiểm soát truy cập, chương trình bảo mật nhân sự, v.v. đối với máy tính của người dùng và quản trị viên phải có đặc quyền quản trị để định cấu hình và cài đặt chúng.

Chúng được dùng để làm gì

Việc ủy ​​quyền sử dụng keylogger cho phép chủ sở hữu (quản trị viên bảo mật) của mạng máy tính cục bộ hoặc chủ sở hữu (quản trị viên) của máy tính:

• xác định tất cả các trường hợp khi các từ hoặc cụm từ quan trọng (nghĩa là những từ, tiết lộ cho bên thứ ba sẽ dẫn đến mất mát vật chất) được gõ;
• có thể truy cập thông tin được lưu trên ổ cứng của máy tính nếu mật khẩu truy cập bị mất do bất kỳ lý do nào (nhân viên bệnh tình, hành động có chủ ý của nhân viên, v.v.);
• xác định kịp thời (nội địa hóa) tất cả các trường hợp tấn công vũ phu;
• kiểm tra xem máy tính cá nhân của công ty có được sử dụng ngoài thời gian làm việc hay không và nếu có, hãy xác định những gì đã được nhập vào thời điểm đó;
• điều tra sự cố máy tính;
• tiến hành nghiên cứu khoa học xác định mức độ chính xác, hiệu quả và đầy đủ của các phản ứng nhân sự đối với các tác động bên ngoài;
• khôi phục thông tin quan trọng sau khi hệ thống máy tính thất bại.

Các nhà phát triển sản phẩm phần mềm thương mại có thể sử dụng các mô-đun chứa keylogger cho nhiều mục đích, bao gồm:

• để phát triển hệ thống tìm kiếm từ nhanh (ví dụ: từ điển điện tử, dịch thuật điện tử);
• để phát triển các chương trình để tìm kiếm nhanh tên, công ty, địa chỉ (ví dụ: danh bạ điện tử)

Việc sử dụng trái phép các keylogger (bao gồm các sản phẩm phần cứng hoặc phần mềm có mô-đun keylogging) cho phép kẻ tấn công:

• chặn thông tin của người khác gõ trên bàn phím;
• có quyền truy cập trái phép vào tên người dùng và mật khẩu mà mọi người sử dụng để truy cập các hệ thống khác nhau, bao gồm cả hệ thống khách hàng của ngân hàng;
• có quyền truy cập trái phép để bảo vệ bằng mật mã cho người dùng máy tính Thông tin về mật khẩu (cụm mật khẩu);
• có được quyền truy cập trái phép vào dữ liệu ủy quyền thẻ tín dụng;

Phân loại keylogger

Phân loại theo loại

Phần mềm keylogger thuộc nhóm các sản phẩm phần mềm kiểm soát các hoạt động của người dùng PC. Ban đầu, các sản phẩm phần mềm loại này chỉ nhằm mục đích ghi lại các lần nhấn phím trên bàn phím, bao gồm các phím hệ thống và lưu các dữ liệu này vào một tệp nhật ký đặc biệt, sau đó được nghiên cứu bởi người đã cài đặt chương trình này. Tệp nhật ký có thể được gửi qua mạng tới ổ đĩa mạng, máy chủ FTP trên Internet, đến địa chỉ email, v.v.

Nhưng ngày nay, các sản phẩm phần mềm giữ lại tên là key key của blogger thực hiện nhiều chức năng bổ sung, chẳng hạn như chặn thông tin từ cửa sổ, nhấp chuột, nội dung clipboard, tạo ảnh chụp màn hình của màn hình và cửa sổ đang hoạt động, lưu giữ hồ sơ của tất cả các email đã nhận và gửi , theo dõi hoạt động của tệp và các thay đổi trong sổ đăng ký hệ thống, ghi lại các tác vụ được gửi đến máy in, chặn âm thanh từ micrô và hình ảnh từ webcam, v.v.

Keylogger phần cứng là các thiết bị thu nhỏ có thể được đặt giữa bàn phím và máy tính hoặc được tích hợp vào chính bàn phím. Họ ghi lại tất cả các tổ hợp phím được thực hiện trên bàn phím. Quá trình keylogging hoàn toàn vô hình đối với người dùng PC. Các keylogger phần cứng không yêu cầu cài đặt bất kỳ phần mềm nào trên PC mục tiêu để chặn thành công tất cả các tổ hợp phím. Khi một keylogger phần cứng được đính kèm, việc bật hay tắt máy tính không thành vấn đề. Sau khi cài đặt, một keylogger phần cứng có thể hoạt động trong thời gian không giới hạn, vì nó không yêu cầu nguồn điện bổ sung.

Âm lượng của các thiết bị này Bộ nhớ không biến động bên trong của bộ nhớ cho phép ghi lại tới 20 triệu lần nhấn phím, ngay cả khi có hỗ trợ Unicode. Các thiết bị này có rất nhiều hình dạng, do đó, ngay cả một chuyên gia đôi khi không phát hiện ra một thiết bị như vậy trong quá trình kiểm toán thông tin. Tùy thuộc vào vị trí chúng được gắn vào, keylogger phần cứng có thể là bên ngoài và bên trong.

Keylogger âm thanh là thiết bị phần cứng ghi lại âm thanh từ các phím được nhấn trên bàn phím, phân tích các âm thanh này và chuyển đổi chúng thành văn bản.

Phân loại theo vị trí lưu trữ tệp nhật ký

• Ổ cứng;
• RAM;
• đăng ký;
• một mạng cục bộ;
• máy chủ từ xa;

Phân loại bằng cách gửi tệp nhật ký

• E-mail;
• FTP hoặc HTTP (trong mạng cục bộ hoặc Internet);
• mọi kết nối không dây (radio, IrDA, Bluetooth, WiFi, v.v.) cho các thiết bị ở khu vực lân cận hoặc trong các hệ thống tiên tiến chúng được sử dụng để khắc phục các khe hở không khí và cho phép rò rỉ dữ liệu từ các hệ thống cách ly vật lý.

Phân loại theo sự hiện diện trong cơ sở dữ liệu chữ ký

Chữ ký (các đoạn mã nhỏ) của các keylogger nổi tiếng đã được đưa vào cơ sở dữ liệu chữ ký của các nhà sản xuất chống phần mềm chống vi-rút và chống vi-rút có uy tín.

Một số keylogger chưa biết, có chữ ký không được đưa vào cơ sở dữ liệu chữ ký, có khả năng vẫn chưa được biết vì một số lý do, cụ thể là:

• keylogger (mô-đun keylogging) có thể được phát triển dưới sự bảo trợ của các tổ chức chính phủ khác nhau;
• keylogger (mô-đun keylogging) có thể được các nhà phát triển của nó kết hợp vào lõi của một hệ điều hành độc quyền;
• keylogger có thể được phát triển với số lượng hạn chế (ví dụ: trong một hoặc một vài bản) để hoàn thành một nhiệm vụ cụ thể, liên quan đến việc đánh cắp thông tin quan trọng từ máy tính của người dùng (ví dụ: các sản phẩm phần mềm được sử dụng bởi tin tặc chuyên nghiệp). Các sản phẩm phần mềm gián điệp này có thể được sửa đổi một chút các keylogger mã nguồn mở được lấy từ Internet và được kẻ tấn công biên dịch, làm thay đổi chữ ký của keylogger;
• keylogger thương mại, đặc biệt là các mô-đun được đưa vào dưới dạng mô-đun vào các sản phẩm phần mềm của công ty, rất hiếm khi được đưa vào cơ sở dữ liệu chữ ký của các nhà sản xuất nổi tiếng về chống phần mềm gián điệp và / hoặc chống vi-rút. Kết quả là, nếu một phiên bản đầy đủ chức năng của sản phẩm phần mềm này bị rò rỉ vào Internet, tội phạm mạng có thể biến nó thành một sản phẩm phần mềm gián điệp không được phát hiện với phần mềm chống vi-rút hoặc phần mềm chống vi-rút thông thường;
• keylogger, là các mô-đun để chặn tổ hợp phím trên máy tính của người dùng, được bao gồm trong các chương trình vi-rút. Trước khi dữ liệu chữ ký được nhập vào cơ sở dữ liệu virus, các mô-đun này không xác định. Một ví dụ là các loại virus nổi tiếng thế giới đã gây ra nhiều rắc rối trong những năm gần đây, kết hợp một mô-đun để chặn các tổ hợp phím và gửi thông tin nhận được lên Internet.

Bảo ​​vệ khỏi keylogger trái phép

Bảo vệ chống lại các keylogger phần mềm trái phép, được biết đến, tức là chữ ký của nó được đưa vào cơ sở dữ liệu chữ ký:

• sử dụng phần mềm chống phần mềm gián điệp và / hoặc các sản phẩm phần mềm chống vi-rút từ các nhà sản xuất có uy tín với việc tự động cập nhật cơ sở dữ liệu chữ ký.

Bảo vệ khỏi các keylogger phần mềm trái phép không rõ nguồn gốc:

• sử dụng các sản phẩm phần mềm chống phần mềm gián điệp và / hoặc các sản phẩm phần mềm chống vi-rút của các nhà sản xuất có uy tín sử dụng máy phân tích heuristic (hành vi) để chống lại các sản phẩm phần mềm gián điệp, nghĩa là chúng không yêu cầu cơ sở chữ ký.
• sử dụng các chương trình mã hóa dữ liệu được nhập từ bàn phím. Ngoài ra, bạn có thể sử dụng bàn phím thực hiện mã hóa như vậy ở cấp độ phần cứng.

Bảo vệ chống lại các keylogger phần mềm trái phép, cả hai loại được biết đến và các loại không xác định, và bao gồm sử dụng các sản phẩm chống phần mềm gián điệp và / hoặc chống vi-rút từ các nhà phát triển có uy tín. Những sản phẩm này chống lại các sản phẩm phần mềm gián điệp bằng cách:

• cơ sở dữ liệu chữ ký cập nhật liên tục của các sản phẩm phần mềm gián điệp; hoặc là
• máy phân tích heuristic (hành vi) không yêu cầu cơ sở chữ ký.

Bảo vệ chống lại keylogger phần cứng trái phép bao gồm:

• kiểm tra kỹ lưỡng bên ngoài và bên trong của hệ thống máy tính;
• sử dụng bàn phím ảo.

Các dấu hiệu chính cho thấy các nhà phát triển đã bao gồm một mô-đun keylogging vào một sản phẩm phần mềm

Nếu một sản phẩm phần mềm có chức năng tích hợp nhắc nhở các tùy chọn nhập từ sau một vài lần nhấn phím, điều đó có nghĩa là mô-đun keylogging thực hiện công việc của nó.

Các mô-đun keylogging là một phần không thể thiếu của các trình nhắn tin tức thời hiện đại, trình soạn thảo văn bản, từ điển, trình kiểm tra chính tả, chương trình chuyển đổi bố cục bàn phím, v.v.

Sự nguy hiểm của các sản phẩm phần mềm như vậy nằm ở chỗ chúng không được coi là độc hại, vì chúng thực hiện các chức năng rất cần thiết cho người dùng máy tính. Nhưng không giống như phần mềm để kiểm soát của phụ huynh hoặc giám sát nhân viên, nơi tất cả các chức năng được công bố bởi nhà sản xuất (nhà phát triển) của họ, người dùng không nhận thức được chức năng phụ của các chương trình có vẻ lành tính đó - ngay cả nhà phát triển và nhà sản xuất của họ thường im lặng về chúng ... Tuy nhiên , tội phạm mạng có thể sử dụng các chức năng keylogging trong các sản phẩm này, nếu họ quản lý để định cấu hình phần mềm này mà bạn không biết.