Keylogger

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 13. toukokuuta 2019 tarkistetusta versiosta . tarkastukset vaativat 6 muokkausta .

Keylogger , keylogger ( eng.  keylogger , oikein luettu "ki-logger"  - englanniksi  key  - key ja logger  - record device ) - ohjelmisto tai laitteisto, joka rekisteröi erilaisia ​​käyttäjän toimia - näppäinpainalluksia tietokoneen näppäimistöllä , liikkeet ja näppäinpainallukset hiiret jne. .

Tietotyypit, joita voidaan hallita

• näppäinpainalluksia näppäimistöllä
• hiiren liikkeet ja napsautukset
• painamispäivämäärä ja -aika

Lisäksi voidaan ottaa ajoittain kuvakaappauksia (ja joissakin tapauksissa jopa videotallenne näytöstä) ja kopioida tietoja leikepöydältä.

Luokitus

Tyypin mukaan

Ohjelmistonäppäimistöt kuuluvat ohjelmistotuotteiden ryhmään, jotka ohjaavat tietokoneen käyttäjän toimintaa . Alun perin tämän tyyppiset ohjelmistotuotteet oli tarkoitettu yksinomaan tallentamaan tietoja näppäimistön näppäinpainalluksista, mukaan lukien järjestelmät, erityiseen lokitiedostoon ( lokitiedosto ), jota tämän ohjelman asentanut henkilö tutki myöhemmin. Lokitiedosto voidaan lähettää verkon kautta verkkoasemalle , FTP - palvelimelle Internetissä, sähköpostitse jne.

Tällä hetkellä ohjelmistotuotteet, jotka ovat säilyttäneet tämän nimen "vanhaan tapaan", suorittavat monia lisätoimintoja - tämä on tietojen sieppaaminen ikkunoista, hiiren napsautusten sieppaaminen, leikepöydän sieppaaminen, kuvakaappausten ja aktiivisten ikkunoiden "kuvaaminen", kirjaaminen kaikista vastaanotetuista ja lähetetyt sähköpostit, tiedostojen toiminnan seuranta ja työskentely järjestelmärekisterin kanssa , tulostimeen lähetettyjen töiden tallennus, mikrofonin äänen ja tietokoneeseen liitetyn verkkokameran kuvien sieppaus jne.

Laitteiston näppäinloggerit ovat pieniä laitteita, jotka voidaan liittää näppäimistön ja tietokoneen väliin tai integroida itse näppäimistöön. Ne kirjaavat kaikki näppäimistöllä tehdyt näppäinpainallukset. Rekisteröintiprosessi on loppukäyttäjälle täysin näkymätön. Laitteiston näppäinloggerit eivät vaadi ohjelmien asentamista tietokoneeseen, jotta ne voivat siepata onnistuneesti kaikki näppäinpainallukset. Kun laitteiston näppäinloggeri on liitetty, sillä ei ole mitään väliä missä tilassa tietokone on - päällä tai pois päältä. Sen käyttöaikaa ei ole rajoitettu, koska se ei vaadi toimintaansa ylimääräistä virtalähdettä.

Näiden laitteiden sisäisen haihtumattoman muistin avulla voit tallentaa jopa 20 miljoonaa näppäinpainallusta ja Unicode -tuella . Nämä laitteet voidaan valmistaa missä tahansa muodossa, joten asiantuntijakaan ei joskus pysty määrittämään niiden läsnäoloa tietotarkastuksen aikana. Kiinnityspaikasta riippuen laitteistonäppäinloggerit jaetaan ulkoisiin ja sisäisiin.

Akustiset näppäinloggerit ovat laitteistolaitteita, jotka tallentavat ensin käyttäjän tietokoneen näppäimistön näppäimiä painettaessa luomat äänet ja sitten analysoivat nämä äänet ja muuntavat ne tekstimuotoon (katso myös akustinen kryptausanalyysi ) [1] .

Lokitiedoston sijainnin mukaan

• HDD
• RAM
• rekisteri
• paikalliseen verkkoon
• etäpalvelin

Lokitiedoston lähetystavan mukaan

• Sähköposti
• FTP tai HTTP (Internet tai LAN)
• kaiken tyyppinen langaton viestintä (radiotaajuus, IrDA , Bluetooth , WiFi jne. lähellä oleville laitteille tai kehittyneissä järjestelmissä fyysisesti eristetyistä järjestelmistä aiheutuvan ilmavälin ja tietovuodon poistamiseksi)

Käyttötavan mukaan

Vain näppäinloggereiden käyttötapa (mukaan lukien laitteisto- tai ohjelmistotuotteet, jotka sisältävät näppäinloggerin moduulina) mahdollistaa suojan hallinnan ja tietoturvaloukkauksen välisen rajan.

Luvaton käyttö - näppäinloggerin (mukaan lukien laitteisto- tai ohjelmistotuotteet, jotka sisältävät näppäinloggerin moduulina) asennus tapahtuu ilman automatisoidun järjestelmän omistajan (tietoturvajärjestelmänvalvojan) tai tietyn henkilökohtaisen tietokoneen omistajan tietämättä. Luvattomat näppäinloggerit (ohjelmistot tai laitteistot) kutsutaan vakoiluohjelmiksi tai vakoiluohjelmiksi. Luvaton käyttö liittyy yleensä laittomaan toimintaan. Pääsääntöisesti luvatta asennetuilla vakoiluohjelmatuotteilla on mahdollisuus määrittää ja hankkia "niputettu" suoritettava tiedosto, joka ei näytä viestejä asennuksen aikana eikä luo ikkunoita näytölle, ja niissä on myös sisäänrakennetut välineet toimitusta ja etäasennusta varten. konfiguroitu moduuli käyttäjän tietokoneeseen, eli asennusprosessi tapahtuu ilman suoraa fyysistä pääsyä käyttäjän tietokoneeseen eikä usein vaadi järjestelmänvalvojan oikeuksia.

Valtuutettu käyttö - Keyloggerin asennus (mukaan lukien laitteisto- tai ohjelmistotuotteet, jotka sisältävät näppäinloggerin moduulina) tapahtuu automaattisen järjestelmän omistajan (tietoturvajärjestelmänvalvojan) tai tietyn henkilökohtaisen tietokoneen omistajan tietämänä. Valtuutettuja näppäinloggereja (ohjelmisto tai laitteisto) kutsutaan englanniksi.  työntekijöiden valvontaohjelmistot, lapsilukkoohjelmistot, kulunvalvontaohjelmistot, henkilöstön turvaohjelmat jne. Valtuutetut ohjelmistotuotteet vaativat pääsääntöisesti fyysisen pääsyn käyttäjän tietokoneeseen ja pakolliset järjestelmänvalvojan oikeudet määritystä ja asennusta varten.

Sisällyttämällä allekirjoitustietokantoihin

Tunnettujen näppäinloggaajien allekirjoitukset sisältyvät jo tunnettujen vakoilu- ja virustorjuntaohjelmistojen tärkeimpien valmistajien allekirjoitustietokantoihin .

Tuntemattomia keyloggereita, joiden allekirjoitus ei sisälly allekirjoitustietokantoihin, ei useinkaan sisällytetä niihin useista syistä:

• näppäinloggerit (moduulit), jotka on kehitetty eri valtion järjestöjen alaisuudessa ;
• näppäinloggerit (moduulit), joita eri suljettujen käyttöjärjestelmien kehittäjät voivat luoda ja sisällyttää käyttöjärjestelmän ytimeen;
• näppäinloggerit, joita on kehitetty rajoitettu määrä (usein vain yksi tai useampi kopio) ratkaisemaan tietty ongelma, joka liittyy kriittisten tietojen varastamiseen käyttäjän tietokoneelta (esimerkiksi ammattihyökkääjien käyttämät ohjelmistotuotteet). Nämä vakoiluohjelmatuotteet voivat olla hieman muokattuja avoimen lähdekoodin näppäinlogger-koodeja, jotka on otettu Internetistä ja jotka hyökkääjä on itse koonnut, mikä mahdollistaa keylogger-allekirjoituksen muuttamisen;
• kaupalliset, erityisesti yritysohjelmistotuotteiden moduuleiksi sisältyvät, jotka sisältyvät hyvin harvoin tunnettujen vakoiluohjelmien torjuntaohjelmistojen ja/tai virustorjuntaohjelmistojen valmistajien allekirjoitustietokantoihin. Tämä johtaa siihen, että hyökkääjien Internetissä julkaiseminen tämän ohjelmistotuotteen täysin toimivasta versiosta voi myötävaikuttaa sen muuntamiseen vakoiluohjelmiksi , joita vakoiluohjelmien tai virustentorjuntaohjelmistot eivät havaitse;
• näppäinloggerit, jotka ovat virusohjelmiin sisältyviä moduuleja näppäinpainallusten sieppaamiseen käyttäjän tietokoneessa. Ennen kuin allekirjoitustiedot lisätään virustietokantaan, nämä moduulit ovat tuntemattomia. Esimerkkinä ovat viime vuosina paljon vaivaa tehneet maailmankuulut virukset, jotka sisältävät moduulin näppäimistön painallusten sieppaamiseen ja vastaanotetun tiedon lähettämiseen Internetiin.

Sovelluksen käyttötarkoitukset

Näppäinloggereiden (mukaan lukien laitteisto- tai ohjelmistotuotteet, jotka sisältävät näppäinloggerin moduulina) valtuutettu käyttö antaa automaattisen järjestelmän omistajalle (tietoturvajärjestelmänvalvojalle) tai tietokoneen omistajalle mahdollisuuden:

• tunnistaa kaikki kriittisten sanojen ja lauseiden kirjoittamistapaukset näppäimistöllä, joiden siirtäminen kolmansille osapuolille johtaa aineellisiin vahinkoihin;
• päästä käsiksi tietokoneen kiintolevylle tallennettuihin tietoihin, jos käyttäjätunnus ja salasana katoaa mistä tahansa syystä (työntekijän sairaus, henkilöstön tahallinen toiminta jne.);
• määrittää (lokalisoida) kaikki tapaukset, joissa yritetään luetella pääsysalasanoja;
• hallita mahdollisuutta käyttää henkilökohtaisia ​​tietokoneita työajan ulkopuolella ja tunnistaa, mitä näppäimistöllä kirjoitettiin tiettynä ajankohtana;
• tutkia tietokonetapahtumia;
• suorittaa tieteellistä tutkimusta henkilöstön reagoinnin tarkkuuden, tehokkuuden ja riittävyyden määrittämiseen ulkoisiin vaikutuksiin;
• palauttaa tärkeitä tietoja tietokonejärjestelmän vikojen jälkeen;

Kun kaupallisten ohjelmistotuotteiden kehittäjät käyttävät moduuleja, jotka sisältävät keyloggerin, he voivat:

• luoda järjestelmiä nopeaa sanahakua varten (sähköiset sanakirjat, sähköiset kääntäjät);
• luoda ohjelmia nimien, yritysten, osoitteiden nopeaa hakua varten (sähköiset puhelinluettelot)

Näppäinloggerien luvaton käyttö (mukaan lukien laitteisto- tai ohjelmistotuotteet, jotka sisältävät näppäinloggerin moduulina) antaa hyökkääjälle mahdollisuuden:

• siepata jonkun muun tietoja, jotka käyttäjä on kirjoittanut näppäimistöllä;
• saada luvaton pääsy kirjautumistunnuksiin ja salasanoihin pääsyä varten eri järjestelmiin, mukaan lukien "pankki-asiakas"-tyyppiset järjestelmät;
• saada luvaton pääsy tietokoneen käyttäjätietojen salaussuojausjärjestelmiin - salalauseet;
• saada luvaton pääsy luottokorttien valtuutustietoihin;

Suojausmenetelmät luvattomilta asennetuilta näppäinloggereilta

Suojaus "tunnettuja" luvattomia asennettuja ohjelmistonäppäimistöjä vastaan:

• tunnettujen valmistajien vakoilu- ja/tai virustorjuntaohjelmistotuotteiden käyttö automaattisten allekirjoitustietokantapäivitysten kanssa.

Suojaus "tuntemattomia" luvattomia asennettuja ohjelmistonäppäinloggereja vastaan:

• tunnettujen valmistajien vakoilu- ja/tai virustorjuntaohjelmistotuotteiden käyttö, jotka käyttävät niin kutsuttuja heuristisia (käyttäytymisen) analysaattoreita vakoiluohjelmien torjuntaan, eli ne eivät vaadi allekirjoituspohjaa.
• sellaisten ohjelmien käyttö, jotka salaavat näppäimistöltä syötettyjä tietoja, sekä sellaisten näppäimistöjen käyttö, jotka toteuttavat tällaisen salauksen laitteistotasolla;

Suojaus "tunnettuja" ja "tuntemattomia" luvattomia ohjelmistonäppäimistöjä vastaan ​​sisältää vakoiluohjelmien ja/tai virustentorjuntaohjelmistojen käytön tunnettuilta valmistajilta, jotka käyttävät:

• jatkuvasti päivitettävät vakoiluohjelmien allekirjoitustietokannat;
• heuristiset (käyttäytymisen) analysaattorit, jotka eivät vaadi allekirjoituspohjaa.

Suojaus luvatta asennettuja laitteistonäppäimistöjä vastaan:

• tietokonejärjestelmien perusteelliset ulkoiset ja sisäiset tarkastukset;
• virtuaalisten näppäimistöjen käyttö.

Muistiinpanot

1. ↑ Tutkijat palauttavat kirjoitetun tekstin käyttämällä näppäinpainallusten äänitallenteita. Arkistoitu 24. joulukuuta 2013 Wayback Machine -sivustoon , berkeley.edu   (Käytetty 9. tammikuuta 2010)

Linkit

• Andrew Schulman // Työntekijöiden sähköpostin ja Internetin käytön systemaattisen seurannan laajuus
• Keylogger Review: The Best Keyloggers , Xakep  (Käytetty: 9. tammikuuta 2010)
• Keyboard snifalka in C++ , Nikolay Andreev, Xakep #055, s. 055-070-3   (Käytetty: 9. tammikuuta 2010)
• "Kuinka kirjautua sisään Internet-kahvilasta murehtimatta Keyloggereista" , Cormac Herley, Dinei Florencio, Microsoft  Research
• Mafian oikeudenkäynti FBI:n vakoilutaktiikkojen testaamiseksi. Näppäinpainallusten kirjaaminen, jota käytettiin väkijoukkojen vakoilemiseen käyttämällä PGP :tä , The Register , 12/6/2000   (Käytetty 9. tammikuuta 2010)
• Computerra: Spy Stuff , 21.09.1999   (Käytetty: 8. huhtikuuta 2017)

Haittaohjelma
Tarttuva haittaohjelma	Tietokonevirus verkkomato troijalainen käynnistysvirus Erä virus Tarina
Piilotusmenetelmät	Takaovi Tiputin Kirjanmerkki Cryptor zombie tietokone Polymorfismi rootkit
Haittaohjelma voittoa varten	Adware Yksityisyyttä loukkaava ohjelmisto Ransomware ( Trojan.Winlock ) Vakoiluohjelma Bot Bottiverkko Web-uhat Keylogger Formgrabber Scareware ( Rogue antivirus ) Porno Dialer
Käyttöjärjestelmien mukaan	Linuxin haittaohjelma Virukset Palm OS:lle Makrovirus mobiili virus
Suojaus	Puolustava laskenta Virustentorjuntaohjelma Palomuuri Tunkeutumisen tunnistusjärjestelmä Tietovuotojen ehkäisy Antivirusten aikajana
Vastatoimenpiteet	Anti Spyware Coalition tietokonevalvonta hunajapurkki Käyttö: Bot Roast