Was ist ein Keylogger
Inhaltsverzeichnis
Was ist ein Keylogger
Es gibt eine Menge Informationen über Keylogger im Internet, aber es ist wirklich schwer, Artikel zu finden, die zahlreiche Nuancen der Entwicklung und Verwendung von Keyloggern im Detail erklären.
Aus diesem Grund wurde dieser Artikel geschrieben.
Ein Keylogger oder Keystroke Logger ist ein Softwareprogramm oder ein Hardwaregerät, das Tastenanschläge aufzeichnet, d.h. welche Tasten auf der Computertastatur gedrückt wurden.
Das Synonym für den Keylogger ist Tastenanschlaglogger, und die Aktion, die er ausführt, wird Tastenanschlaglogger oder Tastaturaufzeichnung genannt.
Der Betrieb von Software-Keyloggern und ihren Hardware-Pendants - Hardware-Keyloggern - basiert auf zwei völlig unterschiedlichen Technologien, d.h. sie zeichnen Tastenanschläge auf unterschiedliche Weise auf.
Nun, PC-Benutzer unterscheiden sich; sie spielen eine unterschiedliche Rolle bei der Verarbeitung von Informationen. Jeder einzelne Benutzer könnte das sein:
- ein Entwickler eines Betriebssystems;
- ein Software-Entwickler;
- ein CEO eines Unternehmens;
- ein Geschäftsinhaber;
- ein Administrator eines Firmen-Computernetzwerks sein;
- ein Computer-Benutzer mit einem administrativen Privileg;
- ein PC-Benutzer am Arbeitsplatz;
- ein Benutzer, dem der Computer gehört;
- ein Spezialist für Informationssicherheit;
- usw.
Es sind diese Personen, die bestimmen, ob es sinnvoll ist, Keylogger bei ihren Aktivitäten zu verwenden.
Es ist allgemein bekannt, dass die Verwendung jeder Technologie entweder vorteilhaft oder schädlich sein kann; dies gilt auch für die Verarbeitung von Informationen mit Hilfe von Computern.
Wo ist die vage Grenze zwischen der legalen und illegalen Nutzung von Keyloggern?
Die Antwort ist einfach - sie könnte nur danach unterschieden werden, wie diese Keylogger angewendet werden! Es ist die Methode ihrer Anwendung, die es Ihnen erlaubt, die Grenze zwischen Sicherheitsmanagement und Sicherheitsverletzung zu erkennen.
Der Begriff unberechtigte Nutzung (illegale Nutzung) bedeutet, dass der Keylogger ohne das Wissen des Eigentümers (Sicherheitsadministrators) eines lokalen Netzwerks (z.B. einer Firma oder einer Organisation) oder eines bestimmten Personalcomputers installiert wurde. Das Konzept der "unbefugten Aktivität" kommt dem Konzept der "illegalen Aktivität" in fast allen Ländern der Welt ziemlich nahe.
Unbefugte Keylogger (sowohl Software- als auch Hardware-Keylogger) werden als Spionagegeräte oder Spyware bezeichnet (Spionagesoftware, Spionageprogramm, Keylogger).
Ihr unbefugter Gebrauch wird gewöhnlich mit illegalen Aktivitäten in Verbindung gebracht. In der Regel sind Spyware-Produkte für den unbefugten Gebrauch in der Lage, eine gebündelte ausführbare Datei zu konfigurieren und zu empfangen, die während der Installation weder Nachrichten anzeigt noch Fenster öffnet. Außerdem verfügen diese Produkte über eingebaute Tools, die ein vorkonfiguriertes Modul auf dem Computer des Benutzers liefern und aus der Ferne installieren können, d.h. der Installationsvorgang erfolgt ohne direkten physischen Zugang zum Computer des Benutzers und erfordert oft keine Administratorrechte.
Der Begriff autorisierte Nutzung (legitimiert/legale Nutzung) bedeutet, dass der Keylogger mit dem Wissen des Eigentümers (Sicherheitsadministrators) eines lokalen Netzwerks (z.B. einer Firma oder einer Organisation) oder eines bestimmten Personalcomputers installiert wurde. Legale Keylogger (Software oder Hardware) werden gewöhnlich als Software zur Überwachung von Mitarbeitern, Software zur Kindersicherung, Zugangskontrollsoftware, Programme zur Sicherheit des Personals usw. bezeichnet. In der Regel erfordern solche Softwareprodukte physischen Zugang zum Computer des Benutzers, und der Administrator muss über Administratorrechte verfügen, um sie zu konfigurieren und zu installieren.
Wozu sie verwendet werden
Die autorisierte Verwendung von Keyloggern ermöglicht es dem Besitzer (Sicherheitsadministrator) eines lokalen Computernetzwerks oder dem Besitzer (Administrator) eines Computers:
- alle Fälle zu identifizieren, in denen kritische Wörter oder Phrasen (d.h. diejenigen, deren Weitergabe an Dritte zu materiellem Verlust führt) getippt werden;
- auf die auf der Festplatte des Computers gespeicherten Informationen zugreifen zu können, wenn das Zugangspasswort aus irgendeinem Grund (Krankheit des Mitarbeiters, vorsätzliche Handlungen des Personals usw.) verloren geht;
- alle Fälle von Brute-Force-Angriffen unverzüglich zu identifizieren (lokalisieren);
- zu überprüfen, ob Personalcomputer in Unternehmen außerhalb der Arbeitszeit benutzt werden, und wenn ja, zu ermitteln, was zu diesem Zeitpunkt getippt wurde;
- Computer-Vorfälle zu untersuchen;
- wissenschaftliche Untersuchungen durchzuführen, um festzustellen, wie genau, effizient und angemessen die Reaktionen des Personals auf externe Einflüsse waren;
- kritische Informationen nach Ausfällen von Computersystemen wiederherstellen.
Entwickler kommerzieller Softwareprodukte können Keylogger enthaltende Module für viele Zwecke verwenden, unter anderem für die folgenden:
- zur Entwicklung von Systemen zur schnellen Wortsuche (z.B. elektronische Wörterbücher, elektronische Übersetzer);
- zur Entwicklung von Programmen zur schnellen Suche nach Namen, Firmen, Adressen (z.B. elektronische Telefonbücher)
Die unautorisierte Verwendung von Keyloggern (einschließlich Hardware- oder Softwareprodukten mit einem Keylogging-Modul) ermöglicht es einem Angreifer:
- die auf der Tastatur eingegebenen Informationen anderer Personen abzufangen;
- unbefugten Zugang zu Benutzernamen und Passwörtern zu erhalten, die Personen für den Zugang zu verschiedenen Systemen, einschließlich Bank-Client-Systemen, verwenden;
- unbefugten Zugriff auf den kryptographischen Schutz der Informationen von Computerbenutzern (Passphrasen) zu erhalten;
- unbefugten Zugang zu Kreditkarten-Autorisierungsdaten erhalten; * unbefugten Zugang zu Kreditkarten-Autorisierungsdaten erhalten;
Klassifizierung von Keyloggern
Klassifikation nach dem Typ
Software-Keylogger gehören zu der Gruppe von Softwareprodukten, die die Kontrolle über die Aktivitäten eines PC-Benutzers ausüben. Ursprünglich waren Softwareprodukte dieser Art ausschließlich dazu bestimmt, die gedrückten Tastenanschläge der Tastatur, einschließlich der Systemtasten, aufzuzeichnen und diese Daten in einer speziellen Protokolldatei zu speichern, die anschließend von der Person, die dieses Programm installiert hat, untersucht wurde. Die Protokolldatei konnte über das Netzwerk an ein Netzlaufwerk, einen FTP-Server im Internet, an eine E-Mail-Adresse usw. geschickt werden.
Aber heutzutage führen Software-Produkte, die den Namen "Keylogger" beibehalten haben, viele zusätzliche Funktionen aus, wie z.B. das Abfangen von Informationen aus Fenstern, Mausklicks, dem Inhalt der Zwischenablage, das Erstellen von Screenshots des Bildschirms und der aktiven Fenster, das Aufzeichnen aller empfangenen und gesendeten E-Mails, das Verfolgen von Dateiaktivitäten und Änderungen in der Systemregistrierung, das Aufzeichnen von an den Drucker gesendeten Aufgaben, das Abfangen von Ton von einem Mikrofon und Bildern von einer Webcam usw.
Hardware Keylogger sind Miniaturgeräte, die zwischen der Tastatur und dem Computer platziert oder in die Tastatur selbst integriert werden können. Sie protokollieren alle Tastenanschläge, die auf der Tastatur ausgeführt werden. Der Keylogging-Prozess ist für den PC-Benutzer völlig unsichtbar. Hardware-Keylogger erfordern keine Installation von Software auf dem Ziel-PC, um alle Tastenanschläge erfolgreich abzufangen. Wenn ein Hardware-Keylogger angeschlossen ist, spielt es keine Rolle, ob der Computer ein- oder ausgeschaltet ist. Einmal installiert, kann ein Hardware-Keylogger unbegrenzt lange arbeiten, da er keine zusätzliche Stromquelle benötigt.
Das Volumen des internen nichtflüchtigen Speichers dieser Geräte ermöglicht die Aufzeichnung von bis zu 20 Millionen Tastenanschlägen, selbst mit Unicode-Unterstützung. Diese Geräte gibt es in vielen Formen, so dass selbst ein Spezialist ein solches Gerät bei einer Informationsüberprüfung manchmal nicht erkennt. Je nach dem Ort, an dem sie angebracht werden, können Hardware-Keylogger extern und intern sein.
Akustische Keylogger sind Hardware-Geräte, die die Töne der auf der Tastatur gedrückten Tasten aufzeichnen, diese Töne analysieren und in Text umwandeln.
Klassifizierung nach dem Speicherort der Protokolldatei
- FESTPLATTE;
- RAM;
- Registrierung;
- ein lokales Netzwerk;
- entfernter Server;
Klassifizierung durch Senden der Protokolldatei
- E-Mail;
- FTP oder HTTP (im lokalen Netzwerk oder im Internet);
- jede drahtlose Verbindung (Funk, IrDA, Bluetooth, WiFi usw. für Geräte in unmittelbarer Nähe oder, in fortgeschrittenen Systemen, zur Überwindung von Luftlücken und zur Ermöglichung von Datenlecks aus physisch isolierten Systemen).
Klassifizierung nach Anwesenheit in Signatur-Datenbanken
Signaturen (kleine Code-Clips) bekannter Keylogger sind bereits in Signatur-Datenbanken namhafter Hersteller von Antispyware und Antivirenprogrammen enthalten.
Einige der unbekannten Keylogger, deren Signaturen nicht in die Signaturdatenbanken aufgenommen werden, bleiben wahrscheinlich aus mehreren Gründen unbekannt, nämlich
- Keylogger (Keylogging-Module) können unter der Schirmherrschaft verschiedener Regierungsorganisationen entwickelt werden;
- Keylogger (Keylogging-Module) können von den Entwicklern in den Kern eines proprietären Betriebssystems integriert werden;
- Keylogger können in einer begrenzten Anzahl (z.B. in einer oder mehreren Kopien) entwickelt werden, um eine bestimmte Aufgabe zu erfüllen, die mit dem Diebstahl kritischer Informationen vom Computer eines Benutzers zusammenhängt (z.B. Softwareprodukte, die von professionellen Hackern verwendet werden). Diese Spyware-Produkte können leicht modifizierte Open-Source-Keylogger sein, die aus dem Internet genommen und vom Angreifer zusammengestellt werden, wodurch die Signatur des Keyloggers verändert wird;
- kommerzielle Keylogger, insbesondere diejenigen, die als Module in Softwareprodukten von Unternehmen enthalten sind, werden nur sehr selten in Signatur-Datenbanken bekannter Hersteller von Anti-Spyware und/oder Anti-Viren aufgenommen. Folglich können Cyberkriminelle, wenn eine voll funktionsfähige Version dieses Softwareprodukts ins Internet durchsickert, es in ein Spyware-Produkt verwandeln, das mit herkömmlichen Antispyware- oder Antiviren-Programmen nicht erkannt wird;
- Keylogger, das sind Module zum Abfangen von Tastenanschlägen auf dem Computer eines Benutzers, die in Virenprogrammen enthalten sind. Bevor die Signaturdaten in die Virendatenbank eingegeben werden, sind diese Module unbekannt. Ein Beispiel sind die weltberühmten Viren, die in den letzten Jahren viel Mühe gemacht haben, indem sie ein Modul zum Abfangen von Tastenanschlägen und zum Senden empfangener Informationen ins Internet eingebaut haben.
Schutz vor unbefugten Keyloggern
Schutz vor unautorisierten Software-Keyloggern, die "bekannt" sind, d.h. ihre Signaturen werden in Signatur-Datenbanken aufgenommen:
- Einsatz von Antispyware-Software und/oder Antiviren-Softwareprodukten namhafter Hersteller mit automatischer Aktualisierung der Signaturdatenbanken.
Schutz vor "unbekannten", nicht autorisierten Software-Keyloggern:
- Verwendung von Anti-Spyware-Softwareprodukten und/oder Antiviren-Softwareprodukten namhafter Hersteller, die sogenannte heuristische (verhaltensorientierte) Analysatoren zur Bekämpfung von Spyware-Produkten einsetzen, d.h. sie benötigen keine Signaturdatenbank.
- Verwendung von Programmen, die über die Tastatur eingegebene Daten verschlüsseln. Sie können auch Tastaturen verwenden, die eine solche Verschlüsselung auf Hardware-Ebene durchführen.
Der Schutz gegen unautorisierte Software-Keylogger, sowohl "bekannte" als auch "unbekannte", schließt die Verwendung von Anti-Spyware-Produkten und/oder Anti-Viren von seriösen Entwicklern ein. Diese Produkte wirken mit Hilfe von Spyware-Produkten entgegen:
- ständig aktualisierte Signatur-Datenbank von Spyware-Produkten; oder
- heuristische (Verhaltens-)Analysatoren, die keine Signaturbasis benötigen.
Der Schutz gegen unautorisierte Hardware-Keylogger umfasst:
- gründliche externe und interne Inspektionen der Computersysteme;
- die Verwendung virtueller Tastaturen.
Die wichtigsten Anzeichen dafür, dass die Entwickler ein Keylogging-Modul in ein Software-Produkt eingebaut haben
Wenn ein Softwareprodukt eine eingebaute Funktionalität hat, die nach ein paar Tastenanschlägen zur Eingabe des Wortes auffordert, bedeutet dies, dass ein Keylogging-Modul seine Aufgabe erfüllt.
Keylogging-Module sind ein integraler Bestandteil moderner Instant Messenger, Texteditoren, Wörterbücher, Rechtschreibprüfungen, Programme zum Umschalten des Tastaturlayouts usw.
Die Gefahr solcher Softwareprodukte liegt darin, dass sie offiziell nicht als bösartig angesehen werden, da sie für Computerbenutzer sehr notwendige Funktionen erfüllen. Aber im Gegensatz zu Software für die elterliche Kontrolle oder die Überwachung von Mitarbeitern, bei der alle Funktionen von ihren Herstellern (Entwicklern) offen angekündigt werden, sind den Benutzern die Nebenfunktionen solcher scheinbar gutartigen Programme nicht bekannt - selbst ihre Entwickler und Hersteller schweigen oft darüber... Dennoch können Cyberkriminelle die Keylogging-Funktionen in diesen Produkten nutzen, wenn es ihnen gelingt, diese Software ohne Ihr Wissen zu konfigurieren.