Keylogger là gì

From Information Security Terms
Revision as of 03:51, 31 January 2020 by 8TG1K2 admin (talk | contribs) (Новая страница: «Việc ủy ​​quyền sử dụng keylogger cho phép chủ sở hữu (quản trị viên bảo mật) của mạng máy tính cục bộ hoặc chủ sở h...»)
Jump to navigation Jump to search
Other languages:
Bahasa Indonesia • ‎Bahasa Melayu • ‎Deutsch • ‎English • ‎Tiếng Việt • ‎Türkçe • ‎español • ‎français • ‎italiano • ‎português • ‎русский • ‎العربية • ‎فارسی • ‎हिन्दी • ‎中文 • ‎日本語 • ‎한국어

Keylogger là gì

Có rất nhiều thông tin về keylogger trên Web, nhưng nó rất khó tìm thấy các bài báo, điều này giải thích rất nhiều sắc thái của việc phát triển và sử dụng keylogger.

Đó là lý do tại sao bài viết này được viết.

Keylogger, hoặc logger gõ phím, là một chương trình phần mềm hoặc thiết bị phần cứng ghi lại các lần nhấn phím, tức là những phím nào được nhấn trên bàn phím máy tính.

Từ đồng nghĩa của keylogger là keystroke logger và hành động mà nó thực hiện được gọi là keystroke log hoặc bàn phím bắt.

Hoạt động của keylogger phần mềm và các đối tác phần cứng của nó - keylogger phần cứng - dựa trên hai công nghệ hoàn toàn khác nhau, tức là họ ghi lại các lần nhấn phím theo một cách khác.

Vâng, người dùng PC làm khác nhau; họ đóng vai trò khác nhau trong việc xử lý thông tin. Bất kỳ người dùng cụ thể nào cũng có thể là:

  • một nhà phát triển của một hệ điều hành;
  • một nhà phát triển phần mềm;
  • CEO của một doanh nghiệp;
  • một chủ doanh nghiệp;
  • quản trị viên của mạng máy tính doanh nghiệp;
  • người dùng máy tính có đặc quyền quản trị;
  • người dùng PC tại nơi làm việc;
  • người dùng sở hữu máy tính;
  • Chuyên gia bảo mật thông tin;
  • Vân vân.

Chính những người này xác định liệu có hợp lý khi sử dụng keylogger trong các hoạt động của họ hay không.

Một kiến ​​thức phổ biến là việc sử dụng bất kỳ công nghệ nào cũng có thể có lợi hoặc có hại; điều này cũng áp dụng để xử lý thông tin bằng máy tính.

Đâu là ranh giới mơ hồ giữa việc sử dụng keylogger hợp pháp và bất hợp pháp?

Câu trả lời rất đơn giản - nó chỉ có thể được phân biệt theo cách áp dụng các keylogger này! Đây là phương pháp ứng dụng của họ cho phép bạn nhìn thấy ranh giới giữa quản lý bảo mật và vi phạm bảo mật.

Thuật ngữ sử dụng trái phép (use sử dụng bất hợp pháp ) có nghĩa là keylogger đã được cài đặt mà không có kiến ​​thức của chủ sở hữu (quản trị viên bảo mật) của mạng cục bộ (ví dụ: của một công ty hoặc tổ chức) hoặc một máy tính cá nhân cụ thể. Khái niệm "hoạt động trái phép" khá gần với khái niệm "hoạt động bất hợp pháp" ở hầu hết các quốc gia trên thế giới.

Các keylogger trái phép (cả phần mềm và phần cứng) được gọi là thiết bị gián điệp hoặc phần mềm gián điệp (phần mềm gián điệp, chương trình gián điệp, keylogger).

Việc sử dụng trái phép của họ thường liên quan đến các hoạt động bất hợp pháp. Theo quy định, các sản phẩm phần mềm gián điệp để sử dụng trái phép có khả năng định cấu hình và nhận tệp thực thi được đóng gói, không hiển thị bất kỳ thông báo nào cũng như không mở cửa sổ trong khi cài đặt. Ngoài ra, các sản phẩm này có các công cụ tích hợp có thể phân phối và cài đặt từ xa một mô-đun được cấu hình sẵn trên máy tính của người dùng, tức là quá trình cài đặt diễn ra mà không cần truy cập trực tiếp vào máy tính của người dùng và thường không yêu cầu quyền quản trị.

Thuật ngữ use sử dụng được ủy quyền (use sử dụng hợp pháp / hợp pháp) có nghĩa là keylogger đã được cài đặt với kiến thức của chủ sở hữu (quản trị viên bảo mật) của mạng cục bộ (ví dụ: của một công ty hoặc tổ chức) hoặc một máy tính cá nhân cụ thể. Các keylogger được sử dụng hợp pháp (phần mềm hoặc phần cứng) thường được gọi là phần mềm giám sát nhân viên, phần mềm kiểm soát của phụ huynh, phần mềm kiểm soát truy cập, chương trình bảo mật nhân sự, v.v. đối với máy tính của người dùng và quản trị viên phải có đặc quyền quản trị để định cấu hình và cài đặt chúng.

Chúng được dùng để làm gì

Việc ủy ​​quyền sử dụng keylogger cho phép chủ sở hữu (quản trị viên bảo mật) của mạng máy tính cục bộ hoặc chủ sở hữu (quản trị viên) của máy tính:

  • xác định tất cả các trường hợp khi các từ hoặc cụm từ quan trọng (nghĩa là những từ, tiết lộ cho bên thứ ba sẽ dẫn đến mất mát vật chất) được gõ;
  • có thể truy cập thông tin được lưu trên ổ cứng của máy tính nếu mật khẩu truy cập bị mất do bất kỳ lý do nào (nhân viên bệnh tình, hành động có chủ ý của nhân viên, v.v.);
  • xác định kịp thời (nội địa hóa) tất cả các trường hợp tấn công vũ phu;
  • kiểm tra xem máy tính cá nhân của công ty có được sử dụng ngoài thời gian làm việc hay không và nếu có, hãy xác định những gì đã được nhập vào thời điểm đó;
  • điều tra sự cố máy tính;
  • tiến hành nghiên cứu khoa học xác định mức độ chính xác, hiệu quả và đầy đủ của các phản ứng nhân sự đối với các tác động bên ngoài;
  • khôi phục thông tin quan trọng sau khi hệ thống máy tính thất bại.

Применение модулей, включающих в себя кейлоггер, разработчиками коммерческих программных продуктов, позволяет последним:

  • создавать системы быстрого поиска слов (электронные словари, электронные переводчики);
  • создавать программы быстрого поиска фамилий, фирм, адресов (электронные телефонные книги)

Несанкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет злоумышленнику:

  • перехватывать чужую информацию, набираемую пользователем на клавиатуре;
  • получить несанкционированный доступ к логинам и паролям доступа в различные системы, включая системы типа «банк-клиент»;
  • получить несанкционированный доступ к системам криптографической защиты информации пользователя компьютера — парольным фразам;
  • получить несанкционированный доступ к авторизационным данным кредитных карточек;

Классификация кейлоггеров

Классификация по типу

Программные кейлоггеры принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера. Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (лог-файл), который впоследствии изучался человеком, установившим эту программу. Лог-файл мог отправляться по сети на сетевой диск, FTP-сервер в сети Интернет, по электронной почте и т. д.

В настоящее время программные продукты, сохранившие «по старинке» данное название, выполняют много дополнительных функций — это перехват информации из окон, перехват кликов мыши, перехват буфера обмена, «фотографирование» снимков экрана и активных окон, ведение учёта всех полученных и отправленных e-mail, отслеживание файловой активности и работы с системным реестром, запись заданий, отправленных на принтер, перехват звука с микрофона и изображения с веб-камеры, подключенных к компьютеру и т. д.

Аппаратные кейлоггеры представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере, чтобы успешно перехватывать все нажатия клавиш. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер — включенном или выключенном. Время его работы не ограничено, так как он не требует для своей работы дополнительного источника питания.

Объёмы внутренней энергонезависимой памяти данных устройств позволяют записывать до 20 миллионов нажатий клавиш, причём с поддержкой юникода. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита. В зависимости от места прикрепления аппаратные кейлоггеры подразделяются на внешние и внутренние.

Акустические кейлоггеры представляют собой аппаратные устройства, которые вначале записывают звуки, создаваемые пользователем при нажатии на клавиши клавиатуры компьютера, а затем анализирующие эти звуки и преобразовывающие их в текстовый формат.

Классификация по месту хранения лог-файла

  • жёсткий диск;
  • оперативная память;
  • реестр;
  • локальная сеть;
  • удалённый сервер;

Классификация по методу отправки лог-файла

  • E-mail;
  • FTP или HTTP (в интернете или локальной сети);
  • любой вариант беспроводной связи (радиодиапазон, IrDA, Bluetooth, WiFi и т. п. для приборов в непосредственной близости, либо, в продвинутых системах, для преодоления воздушного зазора и утечки данных из физически изолированных систем).

Классификация по включению в сигнатурные базы

Сигнатуры известных кейлоггеров уже включены в сигнатурные базы основных известных фирм-производителей антишпионских программных продуктов и антивирусных программных продуктов.

Неизвестные кейлоггеры, чья сигнатура не включена в сигнатурные базы, зачастую никогда не будут в них включены по различным причинам:

  • кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций;
  • кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы;
  • кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера;
  • коммерческие, особенно включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей антишпионских программных продуктов и/или антивирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного программного продукта может способствовать превращению последнего в шпионский программный продукт, который не обнаруживается антишпионскими программными продуктами или антивирусными программными продуктами;
  • кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.

Методы защиты от несанкционированно установленных кейлоггеров

Защита от «известных» несанкционированно установленных программных кейлоггеров:

  • использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей с автоматическим обновлением сигнатурных баз.

Защита от «неизвестных» несанкционированно установленных программных кейлоггеров:

  • использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.
  • использование программ, шифрующих вводимые с клавиатуры данные, а также применение клавиатур, осуществляющих такое шифрование на аппаратном уровне;

Защита от «известных» и «неизвестных» несанкционированно установленных программных кейлоггеров включает в себя использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:

  • постоянно обновляемые сигнатурные базы шпионских программных продуктов;
  • эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.

Защита от несанкционированно установленных аппаратных кейлоггеров:

  • тщательные внешний и внутренний осмотры компьютерных систем;
  • использование виртуальных клавиатур;

Основные признаки того, что keylogging модуль включен в состав программного продукта его разработчиками и на что следует обращать внимание

Если в программный продукт встроена функциональная возможность подсказывать вам варианты написания набираемого слова по нескольким нажатым клавишам — знайте, это keylogging модуль выполняет свою работу.

Keylogging модули являются неотъемлемой частью современных мессенджеров, текстовых редакторов, словарей, программ по проверке орфографии, программ по переключению раскладок клавиатуры и т.д.

Опасность подобных программных продуктов заключается в том, что официально они не относятся к вредоносным, так как выполняют очень нужные функции для пользователей компьютеров. Но в отличие от программных продуктов, предназначенных для родительского контроля или мониторинга сотрудников, все функции которых открыто объявляются их производителями (разработчиками), о побочных функциях подобных программ зачастую молчат даже их разработчики и производители…. А эти продукты также могут быть использованы злоумышленниками, если они имеют доступ к их настройке без вашего ведома.