Keylogger là gì

From Information Security Terms
Revision as of 03:52, 31 January 2020 by 8TG1K2 admin (talk | contribs) (Новая страница: «=== Phân loại theo vị trí lưu trữ tệp nhật ký === * Ổ cứng; * RAM; * đăng ký; * một mạng cục bộ; * máy chủ từ xa;»)
Jump to navigation Jump to search
Other languages:
Bahasa Indonesia • ‎Bahasa Melayu • ‎Deutsch • ‎English • ‎Tiếng Việt • ‎Türkçe • ‎español • ‎français • ‎italiano • ‎português • ‎русский • ‎العربية • ‎فارسی • ‎हिन्दी • ‎中文 • ‎日本語 • ‎한국어

Keylogger là gì

Có rất nhiều thông tin về keylogger trên Web, nhưng nó rất khó tìm thấy các bài báo, điều này giải thích rất nhiều sắc thái của việc phát triển và sử dụng keylogger.

Đó là lý do tại sao bài viết này được viết.

Keylogger, hoặc logger gõ phím, là một chương trình phần mềm hoặc thiết bị phần cứng ghi lại các lần nhấn phím, tức là những phím nào được nhấn trên bàn phím máy tính.

Từ đồng nghĩa của keylogger là keystroke logger và hành động mà nó thực hiện được gọi là keystroke log hoặc bàn phím bắt.

Hoạt động của keylogger phần mềm và các đối tác phần cứng của nó - keylogger phần cứng - dựa trên hai công nghệ hoàn toàn khác nhau, tức là họ ghi lại các lần nhấn phím theo một cách khác.

Vâng, người dùng PC làm khác nhau; họ đóng vai trò khác nhau trong việc xử lý thông tin. Bất kỳ người dùng cụ thể nào cũng có thể là:

  • một nhà phát triển của một hệ điều hành;
  • một nhà phát triển phần mềm;
  • CEO của một doanh nghiệp;
  • một chủ doanh nghiệp;
  • quản trị viên của mạng máy tính doanh nghiệp;
  • người dùng máy tính có đặc quyền quản trị;
  • người dùng PC tại nơi làm việc;
  • người dùng sở hữu máy tính;
  • Chuyên gia bảo mật thông tin;
  • Vân vân.

Chính những người này xác định liệu có hợp lý khi sử dụng keylogger trong các hoạt động của họ hay không.

Một kiến ​​thức phổ biến là việc sử dụng bất kỳ công nghệ nào cũng có thể có lợi hoặc có hại; điều này cũng áp dụng để xử lý thông tin bằng máy tính.

Đâu là ranh giới mơ hồ giữa việc sử dụng keylogger hợp pháp và bất hợp pháp?

Câu trả lời rất đơn giản - nó chỉ có thể được phân biệt theo cách áp dụng các keylogger này! Đây là phương pháp ứng dụng của họ cho phép bạn nhìn thấy ranh giới giữa quản lý bảo mật và vi phạm bảo mật.

Thuật ngữ sử dụng trái phép (use sử dụng bất hợp pháp ) có nghĩa là keylogger đã được cài đặt mà không có kiến ​​thức của chủ sở hữu (quản trị viên bảo mật) của mạng cục bộ (ví dụ: của một công ty hoặc tổ chức) hoặc một máy tính cá nhân cụ thể. Khái niệm "hoạt động trái phép" khá gần với khái niệm "hoạt động bất hợp pháp" ở hầu hết các quốc gia trên thế giới.

Các keylogger trái phép (cả phần mềm và phần cứng) được gọi là thiết bị gián điệp hoặc phần mềm gián điệp (phần mềm gián điệp, chương trình gián điệp, keylogger).

Việc sử dụng trái phép của họ thường liên quan đến các hoạt động bất hợp pháp. Theo quy định, các sản phẩm phần mềm gián điệp để sử dụng trái phép có khả năng định cấu hình và nhận tệp thực thi được đóng gói, không hiển thị bất kỳ thông báo nào cũng như không mở cửa sổ trong khi cài đặt. Ngoài ra, các sản phẩm này có các công cụ tích hợp có thể phân phối và cài đặt từ xa một mô-đun được cấu hình sẵn trên máy tính của người dùng, tức là quá trình cài đặt diễn ra mà không cần truy cập trực tiếp vào máy tính của người dùng và thường không yêu cầu quyền quản trị.

Thuật ngữ use sử dụng được ủy quyền (use sử dụng hợp pháp / hợp pháp) có nghĩa là keylogger đã được cài đặt với kiến thức của chủ sở hữu (quản trị viên bảo mật) của mạng cục bộ (ví dụ: của một công ty hoặc tổ chức) hoặc một máy tính cá nhân cụ thể. Các keylogger được sử dụng hợp pháp (phần mềm hoặc phần cứng) thường được gọi là phần mềm giám sát nhân viên, phần mềm kiểm soát của phụ huynh, phần mềm kiểm soát truy cập, chương trình bảo mật nhân sự, v.v. đối với máy tính của người dùng và quản trị viên phải có đặc quyền quản trị để định cấu hình và cài đặt chúng.

Chúng được dùng để làm gì

Việc ủy ​​quyền sử dụng keylogger cho phép chủ sở hữu (quản trị viên bảo mật) của mạng máy tính cục bộ hoặc chủ sở hữu (quản trị viên) của máy tính:

  • xác định tất cả các trường hợp khi các từ hoặc cụm từ quan trọng (nghĩa là những từ, tiết lộ cho bên thứ ba sẽ dẫn đến mất mát vật chất) được gõ;
  • có thể truy cập thông tin được lưu trên ổ cứng của máy tính nếu mật khẩu truy cập bị mất do bất kỳ lý do nào (nhân viên bệnh tình, hành động có chủ ý của nhân viên, v.v.);
  • xác định kịp thời (nội địa hóa) tất cả các trường hợp tấn công vũ phu;
  • kiểm tra xem máy tính cá nhân của công ty có được sử dụng ngoài thời gian làm việc hay không và nếu có, hãy xác định những gì đã được nhập vào thời điểm đó;
  • điều tra sự cố máy tính;
  • tiến hành nghiên cứu khoa học xác định mức độ chính xác, hiệu quả và đầy đủ của các phản ứng nhân sự đối với các tác động bên ngoài;
  • khôi phục thông tin quan trọng sau khi hệ thống máy tính thất bại.

Các nhà phát triển sản phẩm phần mềm thương mại có thể sử dụng các mô-đun chứa keylogger cho nhiều mục đích, bao gồm:

  • để phát triển hệ thống tìm kiếm từ nhanh (ví dụ: từ điển điện tử, dịch thuật điện tử);
  • để phát triển các chương trình để tìm kiếm nhanh tên, công ty, địa chỉ (ví dụ: danh bạ điện tử)

Việc sử dụng trái phép các keylogger (bao gồm các sản phẩm phần cứng hoặc phần mềm có mô-đun keylogging) cho phép kẻ tấn công:

  • chặn thông tin của người khác gõ trên bàn phím;
  • có quyền truy cập trái phép vào tên người dùng và mật khẩu mà mọi người sử dụng để truy cập các hệ thống khác nhau, bao gồm cả hệ thống khách hàng của ngân hàng;
  • có quyền truy cập trái phép để bảo vệ bằng mật mã cho người dùng máy tính Thông tin về mật khẩu (cụm mật khẩu);
  • có được quyền truy cập trái phép vào dữ liệu ủy quyền thẻ tín dụng;

Phân loại keylogger

Phân loại theo loại

Keylogger thuộc nhóm các sản phẩm phần mềm kiểm soát các hoạt động của người dùng PC. Ban đầu, các sản phẩm phần mềm loại này chỉ nhằm mục đích ghi lại các lần nhấn phím trên bàn phím, bao gồm các phím hệ thống và lưu các dữ liệu này vào một tệp nhật ký đặc biệt, sau đó được nghiên cứu bởi người đã cài đặt chương trình này. Tệp nhật ký có thể được gửi qua mạng tới ổ đĩa mạng, máy chủ FTP trên Internet, đến địa chỉ email, v.v.

Nhưng ngày nay, các sản phẩm phần mềm giữ lại tên là key key của blogger thực hiện nhiều chức năng bổ sung, chẳng hạn như chặn thông tin từ cửa sổ, nhấp chuột, nội dung clipboard, tạo ảnh chụp màn hình của màn hình và cửa sổ đang hoạt động, lưu giữ hồ sơ của tất cả các email đã nhận và gửi , theo dõi hoạt động của tệp và các thay đổi trong sổ đăng ký hệ thống, ghi lại các tác vụ được gửi đến máy in, chặn âm thanh từ micrô và hình ảnh từ webcam, v.v.

Keylogger là các thiết bị thu nhỏ có thể được đặt giữa bàn phím và máy tính hoặc được tích hợp vào chính bàn phím. Họ ghi lại tất cả các tổ hợp phím được thực hiện trên bàn phím. Quá trình keylogging hoàn toàn vô hình đối với người dùng PC. Các keylogger phần cứng không yêu cầu cài đặt bất kỳ phần mềm nào trên PC mục tiêu để chặn thành công tất cả các tổ hợp phím. Khi một keylogger phần cứng được đính kèm, việc bật hay tắt máy tính không thành vấn đề. Sau khi cài đặt, một keylogger phần cứng có thể hoạt động trong thời gian không giới hạn, vì nó không yêu cầu nguồn điện bổ sung.

Âm lượng của các thiết bị này Bộ nhớ không biến động bên trong của bộ nhớ cho phép ghi lại tới 20 triệu lần nhấn phím, ngay cả khi có hỗ trợ Unicode. Các thiết bị này có rất nhiều hình dạng, do đó, ngay cả một chuyên gia đôi khi không phát hiện ra một thiết bị như vậy trong quá trình kiểm toán thông tin. Tùy thuộc vào vị trí chúng được gắn vào, keylogger phần cứng có thể là bên ngoài và bên trong.

Keylogger là thiết bị phần cứng ghi lại âm thanh từ các phím được nhấn trên bàn phím, phân tích các âm thanh này và chuyển đổi chúng thành văn bản.

Phân loại theo vị trí lưu trữ tệp nhật ký

  • Ổ cứng;
  • RAM;
  • đăng ký;
  • một mạng cục bộ;
  • máy chủ từ xa;

Классификация по методу отправки лог-файла

  • E-mail;
  • FTP или HTTP (в интернете или локальной сети);
  • любой вариант беспроводной связи (радиодиапазон, IrDA, Bluetooth, WiFi и т. п. для приборов в непосредственной близости, либо, в продвинутых системах, для преодоления воздушного зазора и утечки данных из физически изолированных систем).

Классификация по включению в сигнатурные базы

Сигнатуры известных кейлоггеров уже включены в сигнатурные базы основных известных фирм-производителей антишпионских программных продуктов и антивирусных программных продуктов.

Неизвестные кейлоггеры, чья сигнатура не включена в сигнатурные базы, зачастую никогда не будут в них включены по различным причинам:

  • кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций;
  • кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы;
  • кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера;
  • коммерческие, особенно включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей антишпионских программных продуктов и/или антивирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного программного продукта может способствовать превращению последнего в шпионский программный продукт, который не обнаруживается антишпионскими программными продуктами или антивирусными программными продуктами;
  • кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.

Методы защиты от несанкционированно установленных кейлоггеров

Защита от «известных» несанкционированно установленных программных кейлоггеров:

  • использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей с автоматическим обновлением сигнатурных баз.

Защита от «неизвестных» несанкционированно установленных программных кейлоггеров:

  • использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.
  • использование программ, шифрующих вводимые с клавиатуры данные, а также применение клавиатур, осуществляющих такое шифрование на аппаратном уровне;

Защита от «известных» и «неизвестных» несанкционированно установленных программных кейлоггеров включает в себя использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:

  • постоянно обновляемые сигнатурные базы шпионских программных продуктов;
  • эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.

Защита от несанкционированно установленных аппаратных кейлоггеров:

  • тщательные внешний и внутренний осмотры компьютерных систем;
  • использование виртуальных клавиатур;

Основные признаки того, что keylogging модуль включен в состав программного продукта его разработчиками и на что следует обращать внимание

Если в программный продукт встроена функциональная возможность подсказывать вам варианты написания набираемого слова по нескольким нажатым клавишам — знайте, это keylogging модуль выполняет свою работу.

Keylogging модули являются неотъемлемой частью современных мессенджеров, текстовых редакторов, словарей, программ по проверке орфографии, программ по переключению раскладок клавиатуры и т.д.

Опасность подобных программных продуктов заключается в том, что официально они не относятся к вредоносным, так как выполняют очень нужные функции для пользователей компьютеров. Но в отличие от программных продуктов, предназначенных для родительского контроля или мониторинга сотрудников, все функции которых открыто объявляются их производителями (разработчиками), о побочных функциях подобных программ зачастую молчат даже их разработчики и производители…. А эти продукты также могут быть использованы злоумышленниками, если они имеют доступ к их настройке без вашего ведома.