O que é um keylogger

From Information Security Terms
Jump to navigation Jump to search
This page is a translated version of the page What is:Keylogger and the translation is 100% complete.
Other languages:
Bahasa Indonesia • ‎Bahasa Melayu • ‎Deutsch • ‎English • ‎Tiếng Việt • ‎Türkçe • ‎español • ‎français • ‎italiano • ‎português • ‎русский • ‎العربية • ‎فارسی • ‎हिन्दी • ‎中文 • ‎日本語 • ‎한국어

O que é um keylogger

Há muitas informações sobre keyloggers na Web, mas é realmente difícil encontrar artigos, que explicam inúmeras nuances do desenvolvimento e uso dos keyloggers em detalhes.

É por isso que este artigo foi escrito.

Um 'keylogger', ou 'registrador de pressionamento de tecla', é um programa de software ou um dispositivo de hardware que registra pressionamentos de tecla, ou seja, quais teclas foram pressionadas no teclado do computador.

O sinônimo de 'keylogger' é 'logger de pressionamento de tecla', e a ação que ele executa é chamada 'log de pressionamento de tecla' ou 'captura de teclado'.

A operação de keyloggers de software e seus equivalentes de hardware - keyloggers de hardware - são baseadas em duas tecnologias completamente diferentes, ou seja, registram as teclas digitadas de uma maneira diferente.

Bem, os usuários de PC diferem; eles desempenham papel diferente no processamento de informações. Qualquer usuário específico pode ser:

  • desenvolvedor de um sistema operacional;
  • desenvolvedor de software;
  • CEO de uma empresa;
  • um empresário;
  • administrador de uma rede de computadores corporativa;
  • um usuário de computador com privilégio administrativo;
  • um usuário de PC no local de trabalho;
  • um usuário que possui o computador;
  • um especialista em segurança da informação;
  • etc.

São essas pessoas que determinam se é razoável usar keyloggers em suas atividades.

É do conhecimento geral que o uso de qualquer tecnologia pode ser benéfico ou prejudicial; isso também se aplica ao processamento de informações usando computadores.

Onde está a vaga linha entre o uso legal e ilegal de keyloggers?

A resposta é simples - só poderia ser distinguida de acordo com a aplicação desses keyloggers! É o método de sua aplicação que permite ver a linha entre gerenciamento de segurança e violação de segurança.

O termo 'uso não autorizado' ('uso ilegal') significa que o keylogger foi instalado sem o conhecimento do proprietário (administrador de segurança) de uma rede local (por exemplo, de uma empresa ou uma organização) ou um computador pessoal específico. O conceito de "atividade não autorizada" está bem próximo do conceito de "atividade ilegal" em quase todos os países do mundo.

Os keyloggers não autorizados (tanto de software quanto de hardware) são referidos como 'dispositivos de espionagem' ou 'spyware' ('software espião', 'programa espião', 'keylogger').

Seu uso não autorizado é geralmente associado a atividades ilegais. Como regra, produtos spyware para uso não autorizado são capazes de configurar e receber um arquivo executável em pacote, que não exibe nenhuma mensagem nem abre janelas durante a instalação. Além disso, esses produtos possuem ferramentas internas que podem fornecer e instalar remotamente um módulo pré-configurado no computador do usuário, ou seja, o processo de instalação ocorre sem acesso físico direto ao computador do usuário e geralmente não requer privilégios administrativos.

O termo 'uso autorizado' ('uso legítimo/legal') significa que o keylogger foi instalado com o conhecimento do proprietário (administrador de segurança) de uma rede local (por exemplo, de uma empresa ou organização) ou de um computador pessoal específico. Os keyloggers usados legalmente (software ou hardware) são geralmente referidos como 'software de monitoramento de funcionários', 'software de controle parental', 'software de controle de acesso', 'programas de segurança pessoal' etc. Como regra geral, esses produtos de software requerem acesso físico ao computador do usuário e o administrador deve tenha privilégio administrativo para configurá-los e instalá-los.

Para que eles são usados

O uso autorizado de keyloggers permite que o proprietário (administrador de segurança) de uma rede de computadores local ou o proprietário (administrador) de um computador:

  • identificar todos os casos em que palavras ou frases críticas (ou seja, aquelas cuja divulgação a terceiros levará a perdas materiais) são digitadas;
  • poder acessar as informações armazenadas no disco rígido do computador se a senha de acesso for perdida por qualquer motivo (doença do funcionário, ações deliberadas da equipe etc.);
  • identificar (localizar) prontamente todos os casos de ataques de força bruta;
  • verifique se os computadores pessoais corporativos são usados fora do horário de trabalho e, se sim, identifique o que foi digitado naquele momento;
  • investigar incidentes de computador;
  • realizar pesquisas científicas que determinem quão precisas, eficientes e adequadas foram as reações do pessoal às influências externas;
  • recuperar informações críticas após falhas dos sistemas de computador.

Os desenvolvedores de produtos de software comercial podem usar módulos contendo keylogger para vários propósitos, incluindo os seguintes:

  • desenvolver sistemas de busca rápida de palavras (por exemplo, dicionários eletrônicos, tradutores eletrônicos);
  • para desenvolver programas para pesquisa rápida de nomes, empresas, endereços (por exemplo, listas telefônicas eletrônicas)

O uso não autorizado de keyloggers (incluindo produtos de hardware ou software com um módulo de keylogging) permite que um invasor:

  • interceptar informações de outras pessoas digitadas no teclado;
  • obter acesso não autorizado a nomes de usuário e senhas que as pessoas usam para acessar vários sistemas, incluindo sistemas cliente-banco;
  • obter acesso não autorizado à proteção criptográfica das informações dos usuários de computador (senhas);
  • obter acesso não autorizado aos dados de autorização do cartão de crédito;

Classificação dos keyloggers

Classificação de acordo com o tipo

'Keyloggers de software' pertencem ao grupo de produtos de software que exercem controle sobre as atividades de um usuário de PC. Inicialmente, os produtos de software desse tipo destinavam-se exclusivamente a gravar as teclas pressionadas no teclado, incluindo as teclas do sistema, e salvar esses dados em um arquivo de log especial, que foi posteriormente estudado pela pessoa que instalou este programa. O arquivo de log pode ser enviado pela rede para uma unidade de rede, um servidor FTP na Internet, para um endereço de email etc.

Hoje em dia, porém, os produtos de software que mantêm o nome "keyloggers" desempenham muitas funções adicionais, como interceptar informações das janelas, cliques do mouse, o conteúdo da área de transferência, fazer capturas de tela da tela e janelas ativas, mantendo registros de todos os e-mails recebidos e enviados. , rastreando atividades de arquivos e alterações no registro do sistema, gravando tarefas enviadas para a impressora, interceptando sons de um microfone e imagens de uma webcam, etc.

'Keyloggers de hardware' são dispositivos em miniatura que podem ser colocados entre o teclado e o computador ou integrados ao próprio teclado. Eles registram todas as teclas digitadas no teclado. O processo de registro de chaves é completamente invisível para o usuário do PC. Os keyloggers de hardware não exigem a instalação de nenhum software no PC de destino para interceptar com êxito todas as teclas digitadas. Quando um keylogger de hardware é conectado, não importa se o computador está ligado ou desligado. Uma vez instalado, um keylogger de hardware pode funcionar por tempo ilimitado, pois não requer uma fonte de energia adicional.

O volume da memória não volátil interna desses dispositivos permite gravar até 20 milhões de pressionamentos de tecla, mesmo com suporte a Unicode. Esses dispositivos têm várias formas, de modo que até um especialista às vezes falha em detectar esse dispositivo durante uma auditoria de informações. Dependendo do local em que estão conectados, os keyloggers de hardware podem ser externos e internos.

'Keyloggers acústicos' são dispositivos de hardware que gravam os sons das teclas pressionadas no teclado, analisam esses sons e os convertem em texto.

Classificação pelo local de armazenamento do arquivo de log

  • HDD;
  • RAM;
  • registro;
  • uma rede local;
  • servidor remoto;

Classificação por meio do envio do arquivo de log

  • O email;
  • FTP ou HTTP (na rede local ou na Internet);
  • qualquer conexão sem fio (rádio, IrDA, Bluetooth, Wi-Fi, etc. para dispositivos nas imediações ou, em sistemas avançados, eles são usados para superar as lacunas de ar e permitir o vazamento de dados de sistemas fisicamente isolados).

Classificação por presença em bancos de dados de assinaturas

As assinaturas (pequenos clipes de código) de keyloggers conhecidos já estão incluídas nos bancos de dados de assinaturas de fabricantes respeitáveis de antispyware e antivírus.

Alguns keyloggers desconhecidos, cujas assinaturas não estão incluídas nos bancos de dados de assinaturas, provavelmente permanecerão desconhecidos por vários motivos, a saber:

  • keyloggers (módulos de keylogging) podem ser desenvolvidos sob os auspícios de várias organizações governamentais;
  • keyloggers (módulos de keylogging) podem ser incorporados ao núcleo de um sistema operacional proprietário por seus desenvolvedores;
  • keyloggers podem ser desenvolvidos em um número limitado (por exemplo, em uma ou várias cópias) para executar uma tarefa específica, relacionada ao roubo de informações críticas do computador do usuário (por exemplo, produtos de software usados ​​por hackers profissionais). Esses produtos spyware podem ser keyloggers de código aberto levemente modificados, retirados da Internet e compilados pelo invasor, o que altera a assinatura do keylogger;
  • keyloggers comerciais, especialmente aqueles incluídos como módulos em produtos de software corporativos, raramente são incluídos em bancos de dados de assinaturas de fabricantes conhecidos de anti-spyware e / ou antivírus. Como resultado, se uma versão totalmente funcional desse produto de software vazar na Internet, os criminosos cibernéticos podem transformá-lo em um produto spyware que não é detectado com antispyware ou antivírus comuns;
  • keyloggers, que são módulos para interceptar pressionamentos de teclas no computador do usuário, incluídos em programas de vírus. Antes que os dados da assinatura sejam inseridos no banco de dados de vírus, esses módulos são desconhecidos. Um exemplo são os vírus mundialmente famosos que causaram muitos problemas nos últimos anos, incorporando um módulo para interceptar pressionamentos de teclas e enviar informações recebidas para a Internet.

Protecção contra keyloggers não autorizados

Protecção contra keyloggers de software não autorizados, que são 'conhecidos', ou seja, as suas assinaturas são incluídas em bases de dados de assinaturas:

  • Utilização de software anti-spyware e/ou produtos de software antivírus de fabricantes de renome, com actualização automática de bases de dados de assinaturas.

Protecção contra keyloggers de software 'desconhecidos' não autorizados:

  • uso de produtos de software anti-spyware e/ou produtos de software anti-vírus de fabricantes respeitáveis que usam os chamados analisadores heurísticos (comportamentais) para combater produtos de spyware, ou seja, não requerem uma base de assinatura.
  • uso de programas que encriptam os dados introduzidos a partir do teclado. Além disso, você pode usar teclados que realizam essa criptografia no nível do hardware.

A protecção contra keyloggers de software não autorizados, tanto "conhecidos" como "desconhecidos", inclui o uso de produtos anti-spyware e/ou anti-vírus de programadores respeitáveis. Estes produtos neutralizam os produtos de spyware por meio de:

  • banco de dados de assinaturas constantemente atualizado de produtos de spyware; ou
  • analisadores heurísticos (comportamentais) que não requerem uma base de assinatura.

A proteção contra keyloggers de hardware não autorizados inclui:

  • inspecções externas e internas completas dos sistemas informáticos;
  • usando teclados virtuais.

Os principais sinais de que os desenvolvedores incluíram um módulo de keylogging em um produto de software

Se um produto de software tem uma funcionalidade integrada que solicita opções para digitar a palavra após alguns toques de tecla, isso significa que um módulo de keylogging faz o seu trabalho.

Os módulos de keylogging são parte integrante dos modernos mensageiros instantâneos, editores de texto, dicionários, correctores ortográficos, programas de comutação de layout de teclado, etc.

O perigo de tais produtos de software reside no facto de não serem oficialmente considerados maliciosos, uma vez que desempenham funções muito necessárias para os utilizadores de computadores. Mas ao contrário do software para controlo parental ou monitorização dos empregados, onde todas as funções são abertamente anunciadas pelos seus fabricantes (programadores), os utilizadores não estão conscientes das funções secundárias de tais programas aparentemente benignos - mesmo os seus programadores e fabricantes são muitas vezes silenciosos acerca deles... No entanto, os cibercriminosos podem fazer uso de funções de keylogging nestes produtos, se eles conseguirem configurar este software sem o seu conhecimento.