Was ist ein Keylogger

Was ist ein Keylogger

Es gibt eine Menge Informationen über Keylogger im Internet, aber es ist wirklich schwer, Artikel zu finden, die zahlreiche Nuancen der Entwicklung und Verwendung von Keyloggern im Detail erklären.

Aus diesem Grund wurde dieser Artikel geschrieben.

Ein Keylogger oder Keystroke Logger ist ein Softwareprogramm oder ein Hardwaregerät, das Tastenanschläge aufzeichnet, d.h. welche Tasten auf der Computertastatur gedrückt wurden.

Das Synonym für den Keylogger ist Tastenanschlaglogger, und die Aktion, die er ausführt, wird Tastenanschlaglogger oder Tastaturaufzeichnung genannt.

Der Betrieb von Software-Keyloggern und ihren Hardware-Pendants - Hardware-Keyloggern - basiert auf zwei völlig unterschiedlichen Technologien, d.h. sie zeichnen Tastenanschläge auf unterschiedliche Weise auf.

Nun, PC-Benutzer unterscheiden sich; sie spielen eine unterschiedliche Rolle bei der Verarbeitung von Informationen. Jeder einzelne Benutzer könnte das sein:

• ein Entwickler eines Betriebssystems;
• ein Software-Entwickler;
• ein CEO eines Unternehmens;
• ein Geschäftsinhaber;
• ein Administrator eines Firmen-Computernetzwerks sein;
• ein Computer-Benutzer mit einem administrativen Privileg;
• ein PC-Benutzer am Arbeitsplatz;
• ein Benutzer, dem der Computer gehört;
• ein Spezialist für Informationssicherheit;
• usw.

Es sind diese Personen, die bestimmen, ob es sinnvoll ist, Keylogger bei ihren Aktivitäten zu verwenden.

Es ist allgemein bekannt, dass die Verwendung jeder Technologie entweder vorteilhaft oder schädlich sein kann; dies gilt auch für die Verarbeitung von Informationen mit Hilfe von Computern.

Wo ist die vage Grenze zwischen der legalen und illegalen Nutzung von Keyloggern?

Die Antwort ist einfach - sie könnte nur danach unterschieden werden, wie diese Keylogger angewendet werden! Es ist die Methode ihrer Anwendung, die es Ihnen erlaubt, die Grenze zwischen Sicherheitsmanagement und Sicherheitsverletzung zu erkennen.

Der Begriff unberechtigte Nutzung (illegale Nutzung) bedeutet, dass der Keylogger ohne das Wissen des Eigentümers (Sicherheitsadministrators) eines lokalen Netzwerks (z.B. einer Firma oder einer Organisation) oder eines bestimmten Personalcomputers installiert wurde. Das Konzept der "unbefugten Aktivität" kommt dem Konzept der "illegalen Aktivität" in fast allen Ländern der Welt ziemlich nahe.

Unbefugte Keylogger (sowohl Software- als auch Hardware-Keylogger) werden als Spionagegeräte oder Spyware bezeichnet (Spionagesoftware, Spionageprogramm, Keylogger).

Ihr unbefugter Gebrauch wird gewöhnlich mit illegalen Aktivitäten in Verbindung gebracht. In der Regel sind Spyware-Produkte für den unbefugten Gebrauch in der Lage, eine gebündelte ausführbare Datei zu konfigurieren und zu empfangen, die während der Installation weder Nachrichten anzeigt noch Fenster öffnet. Außerdem verfügen diese Produkte über eingebaute Tools, die ein vorkonfiguriertes Modul auf dem Computer des Benutzers liefern und aus der Ferne installieren können, d.h. der Installationsvorgang erfolgt ohne direkten physischen Zugang zum Computer des Benutzers und erfordert oft keine Administratorrechte.

Der Begriff autorisierte Nutzung (legitimiert/legale Nutzung) bedeutet, dass der Keylogger mit dem Wissen des Eigentümers (Sicherheitsadministrators) eines lokalen Netzwerks (z.B. einer Firma oder einer Organisation) oder eines bestimmten Personalcomputers installiert wurde. Legale Keylogger (Software oder Hardware) werden gewöhnlich als Software zur Überwachung von Mitarbeitern, Software zur Kindersicherung, Zugangskontrollsoftware, Programme zur Sicherheit des Personals usw. bezeichnet. In der Regel erfordern solche Softwareprodukte physischen Zugang zum Computer des Benutzers, und der Administrator muss über Administratorrechte verfügen, um sie zu konfigurieren und zu installieren.

Wozu sie verwendet werden

Die autorisierte Verwendung von Keyloggern ermöglicht es dem Besitzer (Sicherheitsadministrator) eines lokalen Computernetzwerks oder dem Besitzer (Administrator) eines Computers:

• alle Fälle zu identifizieren, in denen kritische Wörter oder Phrasen (d.h. diejenigen, deren Weitergabe an Dritte zu materiellem Verlust führt) getippt werden;
• auf die auf der Festplatte des Computers gespeicherten Informationen zugreifen zu können, wenn das Zugangspasswort aus irgendeinem Grund (Krankheit des Mitarbeiters, vorsätzliche Handlungen des Personals usw.) verloren geht;
• alle Fälle von Brute-Force-Angriffen unverzüglich zu identifizieren (lokalisieren);
• zu überprüfen, ob Personalcomputer in Unternehmen außerhalb der Arbeitszeit benutzt werden, und wenn ja, zu ermitteln, was zu diesem Zeitpunkt getippt wurde;
• Computer-Vorfälle zu untersuchen;
• wissenschaftliche Untersuchungen durchzuführen, um festzustellen, wie genau, effizient und angemessen die Reaktionen des Personals auf externe Einflüsse waren;
• kritische Informationen nach Ausfällen von Computersystemen wiederherstellen.

Entwickler kommerzieller Softwareprodukte können Keylogger enthaltende Module für viele Zwecke verwenden, unter anderem für die folgenden:

• zur Entwicklung von Systemen zur schnellen Wortsuche (z.B. elektronische Wörterbücher, elektronische Übersetzer);
• zur Entwicklung von Programmen zur schnellen Suche nach Namen, Firmen, Adressen (z.B. elektronische Telefonbücher)

Die unautorisierte Verwendung von Keyloggern (einschließlich Hardware- oder Softwareprodukten mit einem Keylogging-Modul) ermöglicht es einem Angreifer:

• die auf der Tastatur eingegebenen Informationen anderer Personen abzufangen;
• unbefugten Zugang zu Benutzernamen und Passwörtern zu erhalten, die Personen für den Zugang zu verschiedenen Systemen, einschließlich Bank-Client-Systemen, verwenden;
• unbefugten Zugriff auf den kryptographischen Schutz der Informationen von Computerbenutzern (Passphrasen) zu erhalten;
• unbefugten Zugang zu Kreditkarten-Autorisierungsdaten erhalten; * unbefugten Zugang zu Kreditkarten-Autorisierungsdaten erhalten;

Klassifizierung von Keyloggern

Klassifikation nach dem Typ

Software-Keylogger gehören zu der Gruppe von Softwareprodukten, die die Kontrolle über die Aktivitäten eines PC-Benutzers ausüben. Ursprünglich waren Softwareprodukte dieser Art ausschließlich dazu bestimmt, die gedrückten Tastenanschläge der Tastatur, einschließlich der Systemtasten, aufzuzeichnen und diese Daten in einer speziellen Protokolldatei zu speichern, die anschließend von der Person, die dieses Programm installiert hat, untersucht wurde. Die Protokolldatei konnte über das Netzwerk an ein Netzlaufwerk, einen FTP-Server im Internet, an eine E-Mail-Adresse usw. geschickt werden.

Aber heutzutage führen Software-Produkte, die den Namen "Keylogger" beibehalten haben, viele zusätzliche Funktionen aus, wie z.B. das Abfangen von Informationen aus Fenstern, Mausklicks, dem Inhalt der Zwischenablage, das Erstellen von Screenshots des Bildschirms und der aktiven Fenster, das Aufzeichnen aller empfangenen und gesendeten E-Mails, das Verfolgen von Dateiaktivitäten und Änderungen in der Systemregistrierung, das Aufzeichnen von an den Drucker gesendeten Aufgaben, das Abfangen von Ton von einem Mikrofon und Bildern von einer Webcam usw.

Hardware Keylogger sind Miniaturgeräte, die zwischen der Tastatur und dem Computer platziert oder in die Tastatur selbst integriert werden können. Sie protokollieren alle Tastenanschläge, die auf der Tastatur ausgeführt werden. Der Keylogging-Prozess ist für den PC-Benutzer völlig unsichtbar. Hardware-Keylogger erfordern keine Installation von Software auf dem Ziel-PC, um alle Tastenanschläge erfolgreich abzufangen. Wenn ein Hardware-Keylogger angeschlossen ist, spielt es keine Rolle, ob der Computer ein- oder ausgeschaltet ist. Einmal installiert, kann ein Hardware-Keylogger unbegrenzt lange arbeiten, da er keine zusätzliche Stromquelle benötigt.

Das Volumen des internen nichtflüchtigen Speichers dieser Geräte ermöglicht die Aufzeichnung von bis zu 20 Millionen Tastenanschlägen, selbst mit Unicode-Unterstützung. Diese Geräte gibt es in vielen Formen, so dass selbst ein Spezialist ein solches Gerät bei einer Informationsüberprüfung manchmal nicht erkennt. Je nach dem Ort, an dem sie angebracht werden, können Hardware-Keylogger extern und intern sein.

Akustische Keylogger sind Hardware-Geräte, die die Töne der auf der Tastatur gedrückten Tasten aufzeichnen, diese Töne analysieren und in Text umwandeln.

Klassifizierung nach dem Speicherort der Protokolldatei

• FESTPLATTE;
• RAM;
• Registrierung;
• ein lokales Netzwerk;
• entfernter Server;

Klassifizierung durch Senden der Protokolldatei

• E-Mail;
• FTP oder HTTP (im lokalen Netzwerk oder im Internet);
• jede drahtlose Verbindung (Funk, IrDA, Bluetooth, WiFi usw. für Geräte in unmittelbarer Nähe oder, in fortgeschrittenen Systemen, zur Überwindung von Luftlücken und zur Ermöglichung von Datenlecks aus physisch isolierten Systemen).

Klassifizierung nach Anwesenheit in Signatur-Datenbanken

Signaturen (kleine Code-Clips) bekannter Keylogger sind bereits in Signatur-Datenbanken namhafter Hersteller von Antispyware und Antivirenprogrammen enthalten.

Неизвестные кейлоггеры, чья сигнатура не включена в сигнатурные базы, зачастую никогда не будут в них включены по различным причинам:

• кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций;
• кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы;
• кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера;
• коммерческие, особенно включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей антишпионских программных продуктов и/или антивирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного программного продукта может способствовать превращению последнего в шпионский программный продукт, который не обнаруживается антишпионскими программными продуктами или антивирусными программными продуктами;
• кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.

Методы защиты от несанкционированно установленных кейлоггеров

Защита от «известных» несанкционированно установленных программных кейлоггеров:

• использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей с автоматическим обновлением сигнатурных баз.

Защита от «неизвестных» несанкционированно установленных программных кейлоггеров:

• использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.
• использование программ, шифрующих вводимые с клавиатуры данные, а также применение клавиатур, осуществляющих такое шифрование на аппаратном уровне;

Защита от «известных» и «неизвестных» несанкционированно установленных программных кейлоггеров включает в себя использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:

• постоянно обновляемые сигнатурные базы шпионских программных продуктов;
• эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.

Защита от несанкционированно установленных аппаратных кейлоггеров:

• тщательные внешний и внутренний осмотры компьютерных систем;
• использование виртуальных клавиатур;

Основные признаки того, что keylogging модуль включен в состав программного продукта его разработчиками и на что следует обращать внимание

Если в программный продукт встроена функциональная возможность подсказывать вам варианты написания набираемого слова по нескольким нажатым клавишам — знайте, это keylogging модуль выполняет свою работу.

Keylogging модули являются неотъемлемой частью современных мессенджеров, текстовых редакторов, словарей, программ по проверке орфографии, программ по переключению раскладок клавиатуры и т.д.

Опасность подобных программных продуктов заключается в том, что официально они не относятся к вредоносным, так как выполняют очень нужные функции для пользователей компьютеров. Но в отличие от программных продуктов, предназначенных для родительского контроля или мониторинга сотрудников, все функции которых открыто объявляются их производителями (разработчиками), о побочных функциях подобных программ зачастую молчат даже их разработчики и производители…. А эти продукты также могут быть использованы злоумышленниками, если они имеют доступ к их настройке без вашего ведома.