Difference between revisions of "What is:Keylogger"

From Information Security Terms
Jump to navigation Jump to search
m (8TG1K2 admin переименовал страницу Keylogger в Кейлоггер без оставления перенаправления)
Line 1: Line 1:
== What is a keylogger ==
+
== Что такое кейлоггер ==
There is a lot of information about keyloggers on the Web, but it’s really hard to find articles, which explain numerous nuances of keyloggers’ development and use in detail.
 
  
That is why this article was written.
+
О кейлоггерах очень много информации в сети, но качественных обзоров, объясняющих многие нюансы их разработки и применения, найти практически невозможно.
  
A '''''keylogger''''', or '''''keystroke logger''''', is a software program or a hardware device that records keystrokes, i.e. what keys were pressed on the computer keyboard.
+
Именно поэтому и была написана данная статья.
  
The synonym for '''''keylogger''''' is '''''keystroke logger''''', and the action it performs is called '''''keystroke logging''''' or '''''keyboard capturing'''''.
+
'''Кейлоггер''', '''кейлогер''' (англ. '''keylogger''', правильно читается «ки-ло́ггер» — от англ. key — клавиша и logger — регистрирующее устройство) — программное обеспечение или аппаратное устройство, регистрирующее нажатия клавиш на клавиатуре компьютера.
  
Operation of software keyloggers and its hardware counterparts - hardware keyloggers - are based on two completely different technologies, i.e. they record keystrokes in a different way.
+
Синоним слова keylogger на английском языке — '''keystroke logger''', a действие, которое он выполняет, по-английски называется '''keystroke logging''' или '''keyboard capturing'''.  
  
Well, PC users do differ; they play different role in processing of information. Any particular user could be:
+
Программный кейлоггер и его аппаратный близнец — аппартный кейлоггер — основаны на двух совершенно различных технологиях регистрации нажатий клавиш на клавиатуре компьютера.
* a developer of an operating system;
 
* a software developer;
 
* a CEO of an enterprise;
 
* a business owner;
 
* an administrator of a corporate computer network;
 
* a computer user with an administrative privilege;
 
* a workplace PC user;
 
* a user who owns the computer;
 
* an Information Security Specialist;
 
* etc.
 
  
It is these people who determine whether it is reasonable to use keyloggers in their activities.
+
При использовании компьютеров в той или иной степени участвуют многие люди, которые исполняют различные роли в процессе обработки информации:
It is common knowledge that use of any technology can be either beneficial or harmful; this also applies to processing of information using computers.
+
* Разработчик операционной системы;
 +
* Разработчик программного обеспечения;
 +
* Исполнительный директор предприятия;
 +
* Владелец предприятия;
 +
* Администратор компьютерной сети предприятия;
 +
* Администратор компьютера;
 +
* Пользователь компьютера;
 +
* Владелец компьютера;
 +
* Специалист по информационной безопасности;
 +
* и т.п
 +
.
 +
Именно перечисленные люди и определяют целесообразность применения кейлоггеров в своей деятельности.
  
Where is the vague line between the legal and illegal use of keyloggers? The answer is simple – it could be distinguished only according to how these keyloggers are applied! It is the method of their application that allows you to see the line between security management and security violation.
+
Общеизвестно, что применение любой технологии способно принести как пользу, так и вред различным участникам процесса обработки информации с применением компьютеров.
  
The term “'''unauthorized use'''” (“'''illegal use'''”) means that the keylogger was installed without the knowledge of the owner (security administrator) of a local network (e.g. of a company or an organization) or a particular personal computer. The concept of "unauthorized activity" is pretty close to the concept of "illegal activity" in almost all countries of the world.
+
Где же та тонкая грань, которая способна разграничить легальное и нелегальное применение кейлоггеров?
  
Unauthorized keyloggers (both software and hardware ones) are referred to as '''spying devices''' or '''spyware''' ('''spy software''', '''spy program''', '''keylogger'''). Their unauthorized use is usually associated with illegal activities. As a rule, spyware products for unauthorized use are capable of configuring and receiving a bundled executable file, which neither displays any messages nor opens windows during installation. Also, these products have built-in tools that can deliver and remotely install a pre-configured module on the user's computer, i.e. the installation process takes place without direct physical access to the user's computer and often does not require administrative privilege.
+
Ответ прост – только по методу применения! Именно метод их применения позволяет увидеть грань между управлением безопасностью и нарушением безопасности.
  
The term “'''authorized use'''('''legitimate/legal use''') means that the keylogger was installed with the knowledge of the owner (security administrator) of a local network (e.g. of a company or an organization) or a particular personal computer. Legally used keyloggers (software or hardware ones) are usually referred to as employee monitoring software, parental control software, access control software, personnel security programs, etc. As a rule, such software products require physical access to the user's computer and the administrator must have administrative privilege to configure and install them.
+
Термин «'''несанкционированное применение'''»  («'''незаконное применение'''») обозначает, что установка кейлоггера произошла без ведома владельца (администратора безопасности) автоматизированной системы или без ведома владельца (администратора) конкретного персонального компьютера. Именно понятие «несанкционированная деятельность»  связано с понятием «незаконная деятельность» практически во всех странах мира.
  
== What they are used for ==
+
Несанкционированно применяемые кейлоггеры (программные или аппаратные) именуются как '''шпионские программные продукты''' или '''шпионские устройства''' ('''spy program''', '''клавиатурный шпион''').  
Authorized use of keyloggers allows the owner (security administrator) of a local computer network or the owner (administrator) of a computer to:
 
* identify all the cases when critical words or phrases (i.e. the ones, disclosure of which to third parties will lead to material loss) are typed;
 
* be able to access the information stored on the computer’s hard drive if the access password is lost due to any reason (the employee’s illness, deliberate actions of the personnel, etc.);
 
* promptly identify (localize) all cases of brute force attacks;
 
* check whether corporate personal computers are used outside working time, and if yes, identify what was typed at that time;
 
* investigate computer incidents;
 
* conduct scientific research determining how accurate, efficient and adequate were the personnel’s reactions to external influences;
 
* recover critical information after computer systems’ failures.
 
  
Developers of commercial software products can use keylogger-containing modules for many purposes, including the following:
+
Несанкционированное применение, как правило, связано с незаконной деятельностью. Как правило, несанкционированно устанавливаемые шпионские программные продукты имеют возможность конфигурирования и получения «скомплектованного» исполняемого файла, который при инсталляции не выводит никаких сообщений и не создает окон на экране, а также имеют встроенные средства доставки и дистанционной установки сконфигурированного модуля на компьютер пользователя, то есть процесс инсталлирования происходит без непосредственного физического доступа к компьютеру пользователя и зачастую не требует наличия прав администратора системы.  
* to develop quick word search systems (e.g. electronic dictionaries, electronic translators);
 
* to develop programs for quick search for names, companies, addresses (e.g. electronic phonebooks)
 
Unauthorized use of keyloggers (including hardware or software products with a keylogging module) allows an attacker to:
 
* intercept other people's information typed on the keyboard;
 
* get unauthorized access to usernames and passwords people use to access various systems, including bank-client systems;
 
* get unauthorized access to cryptographic protection of computer users’ information (passphrases);
 
* gain unauthorized access to credit card authorization data;
 
  
== Classification of keyloggers ==
+
Термин «'''санкционированное применение'''» («'''законное применение'''») обозначает, что установка кейлоггера произошла с ведома владельца (администратора безопасности) автоматизированной системы или с ведома владельца (администратора) конкретного персонального компьютера. Санкционированно применяемые кейлоггеры (программные или аппаратные) именуется англ. '''employee monitoring software''', '''parental control software''', '''access control software''', '''personnel security programs''' и т. п. Как правило, санкционированно устанавливаемые программные продукты требуют физического доступа к компьютеру пользователя и обязательного наличия прав администратора для его конфигурирования и инсталляции.  
=== Classification according to the type ===
 
'''Software keyloggers''' belong to the group of software products that exercise control over activities of a PC user. Initially, software products of this type were intended solely for recording keystrokes pressed of the keyboard, including system keys, and saving these data into a special log file, which was subsequently studied by the person who installed this program. The log file could be sent over the network to a network drive, an FTP server in the Internet, to an email address, etc.
 
  
But nowadays, software products that retained the name “keyloggers” perform many additional functions, such as intercepting information from windows, mouse clicks, the clipboard contents, making screenshots of the screen and active windows, keeping records of all received and sent e-mails, tracking file activity and changes in the system registry, recording tasks sent to the printer, intercepting sound from a microphone and images from a webcam, etc.
+
== Цели применения ==
  
'''Hardware keyloggers''' are miniature devices that can be placed between the keyboard and the computer or integrated into the keyboard itself. They log all the keystrokes made on the keyboard. The keylogging process is completely invisible to the PC user. Hardware keyloggers do not require installation of any software on the target PC in order to successfully intercept all keystrokes. When a hardware keylogger is attached, it does not matter whether the computer is in on or off. Once installed, a hardware keylogger can work for unlimited time, since it does not require an additional power source.
+
Санкционированное применение кейлоггеров позволяет владельцу (администратору безопасности) автоматизированной системы или владельцу (администратору) компьютера:
 +
* определить все случаи набора на клавиатуре критичных слов и словосочетаний, передача которых третьим лицам приведет к материальному ущербу;
 +
* иметь возможность получить доступ к информации, хранящейся на жестком диске компьютера, в случае потери логина и пароля доступа по любой причине (болезнь сотрудника, преднамеренные действия персонала и т. д.);
 +
* определить (локализовать) все случаи попыток перебора паролей доступа;
 +
* проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить, что набиралось на клавиатуре в данное время;
 +
* исследовать компьютерные инциденты;
 +
* проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
 +
* восстановить критическую информацию после сбоев компьютерных систем.
  
Volume of these devices’ internal non-volatile memory allows recording up to 20 million keystrokes, even with Unicode support. These devices come in lots of shapes, so that even a specialist sometimes fails to detect such a device during an information audit. Depending on the place they are attached, hardware keyloggers can be external and internal.
+
Применение модулей, включающих в себя кейлоггер, разработчиками коммерческих программных продуктов, позволяет последним:
 +
* создавать системы быстрого поиска слов (электронные словари, электронные переводчики);
 +
* создавать программы быстрого поиска фамилий, фирм, адресов (электронные телефонные книги)
  
'''Acoustic keyloggers''' are hardware devices that record the sounds from the keys being pressed on the keyboard, analyze these sounds and convert them into text.
+
Несанкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет злоумышленнику:
+
* перехватывать чужую информацию, набираемую пользователем на клавиатуре;
=== Classification by the log file storage location ===
+
* получить несанкционированный доступ к логинам и паролям доступа в различные системы, включая системы типа «банк-клиент»;
* HDD;
+
* получить несанкционированный доступ к системам криптографической защиты информации пользователя компьютера — парольным фразам;
* RAM;
+
* получить несанкционированный доступ к авторизационным данным кредитных карточек;
* registry;
 
* a local network;
 
* remote server;
 
  
=== Classification by the means of sending the log file ===
+
== Классификация кейлоггеров ==
 +
=== Классификация по типу ===
 +
 
 +
'''Программные кейлоггеры''' принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера. Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (лог-файл), который впоследствии изучался человеком, установившим эту программу. Лог-файл мог отправляться по сети на сетевой диск, FTP-сервер в сети Интернет, по электронной почте и т. д.
 +
 
 +
В настоящее время программные продукты, сохранившие «по старинке» данное название, выполняют много дополнительных функций — это перехват информации из окон, перехват кликов мыши, перехват буфера обмена, «фотографирование» снимков экрана и активных окон, ведение учёта всех полученных и отправленных e-mail, отслеживание файловой активности и работы с системным реестром, запись заданий, отправленных на принтер, перехват звука с микрофона и изображения с веб-камеры, подключенных к компьютеру и т. д.
 +
 
 +
'''Аппаратные кейлоггеры''' представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере, чтобы успешно перехватывать все нажатия клавиш. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер — включенном или выключенном. Время его работы не ограничено, так как он не требует для своей работы дополнительного источника питания.
 +
 
 +
Объёмы внутренней энергонезависимой памяти данных устройств позволяют записывать до 20 миллионов нажатий клавиш, причём с поддержкой юникода. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита. В зависимости от места прикрепления аппаратные кейлоггеры подразделяются на внешние и внутренние.
 +
 
 +
'''Акустические кейлоггеры''' представляют собой аппаратные устройства, которые вначале записывают звуки, создаваемые пользователем при нажатии на клавиши клавиатуры компьютера, а затем анализирующие эти звуки и преобразовывающие их в текстовый формат.
 +
 
 +
=== Классификация по месту хранения лог-файла ===
 +
* жёсткий диск;
 +
* оперативная память;
 +
* реестр;
 +
* локальная сеть;
 +
* удалённый сервер;
 +
 
 +
=== Классификация по методу отправки лог-файла ===
 
* E-mail;
 
* E-mail;
* FTP or HTTP (in the local network or the Internet);
+
* FTP или HTTP (в интернете или локальной сети);
* any wireless connection (radio, IrDA, Bluetooth, WiFi, etc. for devices in the immediate vicinity, or, in advanced systems they are used for overcoming air gaps and enabling data leakage from physically isolated systems).
+
* любой вариант беспроводной связи (радиодиапазон, IrDA, Bluetooth, WiFi и т. п. для приборов в непосредственной близости, либо, в продвинутых системах, для преодоления воздушного зазора и утечки данных из физически изолированных систем).
 
 
=== Classification by presence in signature databases ===
+
=== Классификация по включению в сигнатурные базы ===
Signatures (small clips of code) of well-known keyloggers are already included into signature databases of reputable manufacturers of antispyware and antiviruses.
+
Сигнатуры известных кейлоггеров уже включены в сигнатурные базы основных известных фирм-производителей антишпионских программных продуктов и антивирусных программных продуктов.
 +
 
 +
Неизвестные кейлоггеры, чья сигнатура не включена в сигнатурные базы, зачастую никогда не будут в них включены по различным причинам:
 +
* кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций;
 +
* кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы;
 +
* кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера;
 +
* коммерческие, особенно включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей антишпионских программных продуктов и/или антивирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного программного продукта может способствовать превращению последнего в шпионский программный продукт, который не обнаруживается антишпионскими программными продуктами или антивирусными программными продуктами;
 +
* кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.
  
Some of unknown keyloggers, whose signatures are not included into signature databases, are likely to remain unknown for a number of reasons, namely:
+
== Методы защиты от несанкционированно установленных кейлоггеров ==
* keyloggers (keylogging modules) can be developed under the auspices of various governmental organizations;
 
* keyloggers (keylogging modules) can be incorporated into the core of a proprietary operating system by its developers;
 
* keyloggers can be developed in a limited number (e.g. in one or several copies) to fulfil  a specific task, related to theft of critical information from a user's computer (for example, software products used by professional hackers). These spyware products can be slightly modified open source keyloggers taken from the Internet and compiled by the attacker, which changes the signature of the keylogger;
 
* commercial keyloggers, especially the ones included as modules into corporate software products, are very rarely included into signature databases of well-known manufacturers of anti-spyware and/or anti-viruses. As a result, if a fully functional version of this software product leaks into the Internet, cybercriminals can turn it into a spyware product that is not detected with common antispyware or antiviruses;
 
* keyloggers, which are modules for intercepting keystrokes on a user's computer, which are included in virus programs. Before the signature data is entered into the virus database, these modules are unknown. An example is the world-famous viruses that have done a lot of trouble in recent years, incorporating a module for intercepting keystrokes and sending received information to the Internet.
 
  
== Protection from unauthorized keyloggers ==
+
Защита от «известных» несанкционированно установленных программных кейлоггеров:  
Protection against unauthorized software keyloggers, which are ‘known’, i.e. its signatures are included into signature databases:
+
* использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей с автоматическим обновлением сигнатурных баз.
* use of antispyware software and/or antivirus software products from reputable manufacturers with automatic updating of signature databases.
 
  
Protection from ‘unknown’ unauthorized software keyloggers:
+
Защита от «неизвестных» несанкционированно установленных программных кейлоггеров:  
* use of anti-spyware software products and/or anti-virus software products of reputable manufacturers that use so-called heuristic (behavioral) analyzers to counter spyware products, that is, they do not require a signature base.
+
* использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.
* use of programs that encrypt data entered from the keyboard. Also, you can use keyboards that perform such encryption at the hardware level.
+
* использование программ, шифрующих вводимые с клавиатуры данные, а также применение клавиатур, осуществляющих такое шифрование на аппаратном уровне;
  
Protection against unauthorized software keyloggers, both “known” and “unknown”, includes using anti-spyware products and/or anti-viruses from reputable developers. These products counteract spyware products by means of:
+
Защита от «известных» и «неизвестных» несанкционированно установленных программных кейлоггеров включает в себя использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:  
* constantly updated signature database of spyware products; or
+
* постоянно обновляемые сигнатурные базы шпионских программных продуктов;
* heuristic (behavioral) analyzers that do not require a signature base.
+
* эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.
  
Protection against unauthorized hardware keyloggers includes:
+
Защита от несанкционированно установленных аппаратных кейлоггеров:  
* thorough external and internal inspections of the computer systems;
+
* тщательные внешний и внутренний осмотры компьютерных систем;
* using virtual keyboards.
+
* использование виртуальных клавиатур;
 
   
 
   
== The main signs that developers included a keylogging module into a software product ==
+
=== Основные признаки того, что keylogging модуль включен в состав программного продукта его разработчиками и на что следует обращать внимание ===
If a software product has a built-in functionality that prompts options for typing the word after a few keystrokes, it means that a keylogging module does its job.
+
 
 +
Если в программный продукт встроена функциональная возможность подсказывать вам варианты написания набираемого слова по нескольким нажатым клавишам — знайте, это keylogging модуль выполняет свою работу.
  
Keylogging modules are an integral part of modern instant messengers, text editors, dictionaries, spell checkers, keyboard layout switching programs, etc.
+
Keylogging модули являются неотъемлемой частью современных мессенджеров, текстовых редакторов, словарей, программ по проверке орфографии, программ по переключению раскладок клавиатуры и т.д.
  
The danger of such software products lies in the fact that they are not officially considered malicious, as they perform very necessary functions for computer users. But unlike software for parental control or employee monitoring, where all functions are openly announced by their manufacturers (developers), users are not aware of side functions of such seemingly benign programs - even their developers and manufacturers are often silent about them... Nevertheless, cybercriminals can make use of keylogging functions in these products, if they manage to configure this software without your knowledge.
+
Опасность подобных программных продуктов заключается в том, что официально они не относятся к вредоносным, так как выполняют очень нужные функции для пользователей компьютеров. Но в отличие от программных продуктов, предназначенных для родительского контроля или мониторинга сотрудников, все функции которых открыто объявляются их производителями (разработчиками), о побочных функциях подобных программ зачастую молчат даже их разработчики и производители…. А эти продукты также могут быть использованы злоумышленниками, если они имеют доступ к их настройке без вашего ведома.

Revision as of 06:40, 24 January 2020

Что такое кейлоггер

О кейлоггерах очень много информации в сети, но качественных обзоров, объясняющих многие нюансы их разработки и применения, найти практически невозможно.

Именно поэтому и была написана данная статья.

Кейлоггер, кейлогер (англ. keylogger, правильно читается «ки-ло́ггер» — от англ. key — клавиша и logger — регистрирующее устройство) — программное обеспечение или аппаратное устройство, регистрирующее нажатия клавиш на клавиатуре компьютера.

Синоним слова keylogger на английском языке — keystroke logger, a действие, которое он выполняет, по-английски называется keystroke logging или keyboard capturing.

Программный кейлоггер и его аппаратный близнец — аппартный кейлоггер — основаны на двух совершенно различных технологиях регистрации нажатий клавиш на клавиатуре компьютера.

При использовании компьютеров в той или иной степени участвуют многие люди, которые исполняют различные роли в процессе обработки информации:

  • Разработчик операционной системы;
  • Разработчик программного обеспечения;
  • Исполнительный директор предприятия;
  • Владелец предприятия;
  • Администратор компьютерной сети предприятия;
  • Администратор компьютера;
  • Пользователь компьютера;
  • Владелец компьютера;
  • Специалист по информационной безопасности;
  • и т.п

. Именно перечисленные люди и определяют целесообразность применения кейлоггеров в своей деятельности.

Общеизвестно, что применение любой технологии способно принести как пользу, так и вред различным участникам процесса обработки информации с применением компьютеров.

Где же та тонкая грань, которая способна разграничить легальное и нелегальное применение кейлоггеров?

Ответ прост – только по методу применения! Именно метод их применения позволяет увидеть грань между управлением безопасностью и нарушением безопасности.

Термин «несанкционированное применение» («незаконное применение») обозначает, что установка кейлоггера произошла без ведома владельца (администратора безопасности) автоматизированной системы или без ведома владельца (администратора) конкретного персонального компьютера. Именно понятие «несанкционированная деятельность» связано с понятием «незаконная деятельность» практически во всех странах мира.

Несанкционированно применяемые кейлоггеры (программные или аппаратные) именуются как шпионские программные продукты или шпионские устройства (spy program, клавиатурный шпион).

Несанкционированное применение, как правило, связано с незаконной деятельностью. Как правило, несанкционированно устанавливаемые шпионские программные продукты имеют возможность конфигурирования и получения «скомплектованного» исполняемого файла, который при инсталляции не выводит никаких сообщений и не создает окон на экране, а также имеют встроенные средства доставки и дистанционной установки сконфигурированного модуля на компьютер пользователя, то есть процесс инсталлирования происходит без непосредственного физического доступа к компьютеру пользователя и зачастую не требует наличия прав администратора системы.

Термин «санкционированное применение» («законное применение») обозначает, что установка кейлоггера произошла с ведома владельца (администратора безопасности) автоматизированной системы или с ведома владельца (администратора) конкретного персонального компьютера. Санкционированно применяемые кейлоггеры (программные или аппаратные) именуется англ. employee monitoring software, parental control software, access control software, personnel security programs и т. п. Как правило, санкционированно устанавливаемые программные продукты требуют физического доступа к компьютеру пользователя и обязательного наличия прав администратора для его конфигурирования и инсталляции.

Цели применения

Санкционированное применение кейлоггеров позволяет владельцу (администратору безопасности) автоматизированной системы или владельцу (администратору) компьютера:

  • определить все случаи набора на клавиатуре критичных слов и словосочетаний, передача которых третьим лицам приведет к материальному ущербу;
  • иметь возможность получить доступ к информации, хранящейся на жестком диске компьютера, в случае потери логина и пароля доступа по любой причине (болезнь сотрудника, преднамеренные действия персонала и т. д.);
  • определить (локализовать) все случаи попыток перебора паролей доступа;
  • проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить, что набиралось на клавиатуре в данное время;
  • исследовать компьютерные инциденты;
  • проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
  • восстановить критическую информацию после сбоев компьютерных систем.

Применение модулей, включающих в себя кейлоггер, разработчиками коммерческих программных продуктов, позволяет последним:

  • создавать системы быстрого поиска слов (электронные словари, электронные переводчики);
  • создавать программы быстрого поиска фамилий, фирм, адресов (электронные телефонные книги)

Несанкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет злоумышленнику:

  • перехватывать чужую информацию, набираемую пользователем на клавиатуре;
  • получить несанкционированный доступ к логинам и паролям доступа в различные системы, включая системы типа «банк-клиент»;
  • получить несанкционированный доступ к системам криптографической защиты информации пользователя компьютера — парольным фразам;
  • получить несанкционированный доступ к авторизационным данным кредитных карточек;

Классификация кейлоггеров

Классификация по типу

Программные кейлоггеры принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера. Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (лог-файл), который впоследствии изучался человеком, установившим эту программу. Лог-файл мог отправляться по сети на сетевой диск, FTP-сервер в сети Интернет, по электронной почте и т. д.

В настоящее время программные продукты, сохранившие «по старинке» данное название, выполняют много дополнительных функций — это перехват информации из окон, перехват кликов мыши, перехват буфера обмена, «фотографирование» снимков экрана и активных окон, ведение учёта всех полученных и отправленных e-mail, отслеживание файловой активности и работы с системным реестром, запись заданий, отправленных на принтер, перехват звука с микрофона и изображения с веб-камеры, подключенных к компьютеру и т. д.

Аппаратные кейлоггеры представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере, чтобы успешно перехватывать все нажатия клавиш. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер — включенном или выключенном. Время его работы не ограничено, так как он не требует для своей работы дополнительного источника питания.

Объёмы внутренней энергонезависимой памяти данных устройств позволяют записывать до 20 миллионов нажатий клавиш, причём с поддержкой юникода. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита. В зависимости от места прикрепления аппаратные кейлоггеры подразделяются на внешние и внутренние.

Акустические кейлоггеры представляют собой аппаратные устройства, которые вначале записывают звуки, создаваемые пользователем при нажатии на клавиши клавиатуры компьютера, а затем анализирующие эти звуки и преобразовывающие их в текстовый формат.

Классификация по месту хранения лог-файла

  • жёсткий диск;
  • оперативная память;
  • реестр;
  • локальная сеть;
  • удалённый сервер;

Классификация по методу отправки лог-файла

  • E-mail;
  • FTP или HTTP (в интернете или локальной сети);
  • любой вариант беспроводной связи (радиодиапазон, IrDA, Bluetooth, WiFi и т. п. для приборов в непосредственной близости, либо, в продвинутых системах, для преодоления воздушного зазора и утечки данных из физически изолированных систем).

Классификация по включению в сигнатурные базы

Сигнатуры известных кейлоггеров уже включены в сигнатурные базы основных известных фирм-производителей антишпионских программных продуктов и антивирусных программных продуктов.

Неизвестные кейлоггеры, чья сигнатура не включена в сигнатурные базы, зачастую никогда не будут в них включены по различным причинам:

  • кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций;
  • кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы;
  • кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера;
  • коммерческие, особенно включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей антишпионских программных продуктов и/или антивирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного программного продукта может способствовать превращению последнего в шпионский программный продукт, который не обнаруживается антишпионскими программными продуктами или антивирусными программными продуктами;
  • кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.

Методы защиты от несанкционированно установленных кейлоггеров

Защита от «известных» несанкционированно установленных программных кейлоггеров:

  • использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей с автоматическим обновлением сигнатурных баз.

Защита от «неизвестных» несанкционированно установленных программных кейлоггеров:

  • использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.
  • использование программ, шифрующих вводимые с клавиатуры данные, а также применение клавиатур, осуществляющих такое шифрование на аппаратном уровне;

Защита от «известных» и «неизвестных» несанкционированно установленных программных кейлоггеров включает в себя использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:

  • постоянно обновляемые сигнатурные базы шпионских программных продуктов;
  • эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.

Защита от несанкционированно установленных аппаратных кейлоггеров:

  • тщательные внешний и внутренний осмотры компьютерных систем;
  • использование виртуальных клавиатур;

Основные признаки того, что keylogging модуль включен в состав программного продукта его разработчиками и на что следует обращать внимание

Если в программный продукт встроена функциональная возможность подсказывать вам варианты написания набираемого слова по нескольким нажатым клавишам — знайте, это keylogging модуль выполняет свою работу.

Keylogging модули являются неотъемлемой частью современных мессенджеров, текстовых редакторов, словарей, программ по проверке орфографии, программ по переключению раскладок клавиатуры и т.д.

Опасность подобных программных продуктов заключается в том, что официально они не относятся к вредоносным, так как выполняют очень нужные функции для пользователей компьютеров. Но в отличие от программных продуктов, предназначенных для родительского контроля или мониторинга сотрудников, все функции которых открыто объявляются их производителями (разработчиками), о побочных функциях подобных программ зачастую молчат даже их разработчики и производители…. А эти продукты также могут быть использованы злоумышленниками, если они имеют доступ к их настройке без вашего ведома.

Retrieved from "https://www.bezpeka.com/it-security-terms/index.php?title=What_is:Keylogger&oldid=59"