Keylogger

Keylogger (англ. key(stroke) — клавіша на англ. logger — реєструючий пристрій) — це програмне забезпечення або апаратний пристрій, що реєструє різноманітні дії користувача на клавіатурі комп'ютера^[1].

Види інформації, які можуть контролюватися

• натиснення клавіш на клавіатурі
• натиснення клавіш миші
• дата і час натиснення

Класифікація

За методом виготовлення

Програмні кілоґґери належать до тієї групи програмних продуктів, які здійснюють контроль над діяльністю користувача персонального комп'ютера. Спочатку програмні продукти цього типу призначалися виключно для запису інформації про натиснення клавіш клавіатури, у тому числі і системних клавіш, в спеціалізований журнал реєстрації (Log-файл), який згодом вивчався людиною, що встановила цю програму. Log-файл міг відправлятися по мережі на мережевий диск, ftp сервер в мережі Інтернет, по E-mail і так далі. В наш час^[коли?] програмні продукти, що зберегли «по-старому» дану назву, виконують ще й багато додаткових функцій — це перехоплення інформації з вікон, перехоплення кліків миші, перехоплення буфера обміну, «фотографування» знімків екрану і активних вікон, ведення обліку всіх отриманих та відправлених Email, моніторинг файлової активності, моніторинг системного реєстру, моніторинг черги завдань, відправлених на принтер, перехоплення звуку з мікрофону та відеозображення з вебкамери, підключених до комп'ютера і так далі, тобто вони фактично відносяться до абсолютно іншого класу програмних продуктів, а саме до моніторингових програмних продуктів.

Апаратні кілоґґери є мініатюрними пристроями, які можуть бути прикріплені між клавіатурою і комп'ютером або вбудовані в саму клавіатуру. Вони реєструють всі натиснення клавіш, зроблені на клавіатурі. Процес реєстрації абсолютно невидимий для кінцевого користувача. Щоб успішно перехоплювати всі натиснення клавіш, апаратні кейлоггери не вимагають установки ніякої програми на комп'ютері. Коли апаратний кейлоггер прикріплюють, абсолютно не має значення, в якому стані знаходиться комп'ютер — ввімкненому або вимкненому. Час його роботи не обмежений, оскільки він не вимагає для своєї роботи додаткового джерела живлення.

Обсяги внутрішньої незалежної пам'яті даних пристроїв дозволяють записувати до 20 мільйонів натиснень клавіш, причому з підтримкою юнікода. Дані пристрої можуть бути виконані у будь-якому вигляді, так що навіть фахівець не в змозі іноді визначити їх наявність при проведенні інформаційного аудиту. Залежно від місця прикріплення аппаратні кейлоггери підрозділяються на зовнішні і внутрішні.

За місцем зберігання Log файлу

• жорсткий диск
• пам'ять
• реєстр
• розшарений, тобто загальнодоступний (shared) мережевий диск

За методом відправки Log файлу

• e-mail
• ftp
• http (https)
• будь-який варіант бездротового зв'язку (радіодіапазон, інфрачервоний діапазон, Bluetooth, Wi-fi і тому подібне)

За методом застосування

Тільки метод застосування кілоґґерів (зокрема апаратних або програмних продуктів, що включають кейлоггер як модуль) дозволяє побачити грань між управлінням безпекою та порушенням безпеки.

Несанкціоноване застосування — встановлення кейлоггера (зокрема апаратних або програмних продуктів, що включають кілоґґер як модуль) відбувається без відома власника (адміністратора безпеки) автоматизованої системи або без відома власника конкретного персонального комп'ютера. Несанкціоновано вживані кілоґґери (програмні або апаратні) іменуються як шпигунські програмні продукти або шпигунські пристрої. Несанкціоноване застосування, як правило, пов'язане з незаконною діяльністю (illegal activity). Як правило, несанкціоновано встановлювані шпигунські програмні продукти мають можливість конфігурації і отримання «скомплектованого» здійснимого файлу, який при інсталяції не виводить ніяких повідомлень і не створює вікон на екрані, а також мають вбудовані засоби доставки і дистанційної установки конфігурованого модуля на комп'ютер користувача, тобто процес інсталяції відбувається без безпосереднього фізичного доступу до комп'ютеру користувача і часто не вимагає наявності прав адміністратора системи;

Санкціоноване застосування — встановлення кілоґґера (зокрема апаратних або програмних продуктів, що включають кілоґґер як модуль) відбувається з відома власника (адміністратора безпеки) автоматизованої системи або з відома власника конкретного персонального комп'ютера. Санкціоновано вживані кілоґґери (програмні або апаратні) називаються моніторинговими програмними продуктами, англ. employee monitoring software, parental control software, access control software, personnel security programs і тому подібне. Як правило, санкціоновано встановлені програмні продукти вимагають фізичного доступу до комп'ютера користувача і обов'язкової наявності прав адміністратора для конфігурації і інсталяції;

За наявністю сигнатури в базах

Відомі кілоґґери. До даної категорії відносяться кілоґґери, сигнатура яких вже включена до сигнатурних баз основних відомих фірм-виробників анти-шпигунських програмних продуктів і/або антивірусних програмних продуктів.

Невідомі кілоґґери. До даної категорії відносяться кілоґґери, сигнатура яких не включена до сигнатурних баз основних відомих фірм-виробників анти-шпигунських програмних продуктів і/або антивірусних програмних продуктів і, ймовірно, ніколи не буде в них включена з різних причин, а саме:

• кілоґґери (модулі), що розробляються під егідою різних урядових організацій;

• кілоґґери (модулі), які можуть створюватися розробниками різних закритих операційних систем і включатися до складу ядра операційної системи;

• кілоґґери, які розроблені в обмеженій кількості (часто тільки в одній або декількох копіях) для вирішення конкретного завдання, пов'язаного з викраданням критичної інформації з комп'ютера користувача (наприклад, програмні продукти, що вживаються зловмисниками-професіоналами). Дані програмні продукти можуть бути трохи видозміненими відкритими початковими кодами кілоґґерів, що взяті з мережі Інтернет та скомпільовані самим зловмисником, що дозволяє змінити сигнатуру кілоґґера;

• комерційні, особливо, включені як модулі в корпоративні програмні продукти, які дуже рідко вносяться до сигнатурних баз відомих фірм-виробників анти-шпигунських програмних продуктів і/або антивірусних програмних продуктів. Це приводить до того, що публікація зловмисниками в мережі Інтернет повнофункціональної версії даного комерційного моніторингового програмного продукту перетворює останній на програмний продукт, який не виявляється анти-шпигунськими програмними продуктами і/або антивірусними програмними продуктами;

• кілоґґери, що є модулями для перехоплення натискань клавіш на комп'ютері користувача, що включаються до складу програм-вірусів. До моменту внесення сигнатурних даних до вірусної бази ці модулі є невідомими. Приклад — всесвітньо відомі віруси, що натворили багато бід в останні роки, мають в своєму складі модуль перехоплення натиснень клавіатури і відправки отриманої інформації в мережу Інтернет.

Види доступу до інформації

Санкціонований доступ до інформації (англ. authorized access to information) — доступ до інформації, що не порушує правила розмежування доступу.

Несанкціонований доступ до інформації (англ. unauthorized access to information) — доступ до інформації, що здійснюється з порушенням правил розмежування доступу.

Цілі застосування

Санкціоноване застосування кілоґґерів (зокрема апаратних або програмних продуктів, що включають кілоґґер як модуль) дозволяє власникові (адміністраторові безпеки) автоматизованої системи або власникові комп'ютера:

• визначити всі випадки набору на клавіатурі критичних слів і словосполучень, передача яких третім особам приведе до матеріального збитку;
• мати можливість дістати доступ до інформації, що зберігається на жорсткому диску комп'ютера, у разі втрати логіна і пароля доступу з будь-якої причини (хвороба співробітника, навмисні дії персоналу і так далі);
• визначити (локалізувати) всі випадки спроб перебору паролів доступу;
• проконтролювати можливість використання персональних комп'ютерів в неробочий час і виявити, що набиралося на клавіатурі в кожен конкретний момент;
• досліджувати комп'ютерні інциденти;
• проводити наукові дослідження, пов'язані з визначенням точності, оперативності і адекватності реагування персоналу на зовнішні дії;
• відновити критичну інформацію після збоїв комп'ютерних систем.

Застосування модулів, що включають кілоґґер, розробниками комерційних програмних продуктів, дозволяє останнім:

• створювати системи швидкого пошуку слів (електронні словники, електронні перекладачі);
• створювати програми швидкого пошуку імен та прізвищ, фірм, адрес (електронні телефонні книги).

Несанкціоноване застосування кілоґґерів (зокрема апаратних або програмних продуктів, що включають кілоґґер як модуль) дозволяє зловмисникові:

• перехоплювати чужу інформацію, що набирається користувачем на клавіатурі;
• дістати несанкціонований доступ до логінів і паролів доступу в різні системи, включаючи системи типу «банк-клієнт»;
• дістати несанкціонований доступ до систем криптографічного захисту інформації користувача комп'ютера — парольних фраз;
• дістати несанкціонований доступ до авторизаційних даних кредитних карток.

Методи захисту від несанкціоновано встановлених кілоґґерів

Захист від «відомих» несанкціоновано встановлених програмних кілоґґерів:

• використання анти-шпигунських програмних продуктів і/або анти-вірусних програмних продуктів відомих виробників, з автоматичним оновленням сигнатурних баз.

Захист від «невідомих» несанкціоновано встановлених програмних кілоґґерів:

• використання анти-шпигунських програмних продуктів і/або анти-вірусных програмних продуктів відомих виробників, які для протидії шпигунським програмним продуктам використовують так звані евристичні (поведінкові) аналізатори, тобто не вимагають сигнатурної бази.

Захист від «відомих» і «невідомих» несанкціоновано встановлених програмних кілоґґерів включає використання анти-шпигунських програмних продуктів і/або анти-вірусных програмних продуктів відомих виробників, які для протидії шпигунським програмним продуктам використовують:

• сигнатурні бази шпигунських програмних продуктів, що постійно оновлюються;
• евристичні (поведінкові) аналізатори, що не вимагають наявності сигнатурної бази.

Захист від несанкціоновано встановлених апаратних кілоґґерів:

• ретельний зовнішній і внутрішній огляд комп'ютерних систем;
• використання віртуальних клавіатур.

Посилання

• Що таке кейлогер? Принципи роботи, основні особливості та приклади використання [Архівовано 21 квітня 2018 у Wayback Machine.] (англ.)
• Спостережуваність обчислювальних систем як невід'ємна частина комплексу засобів захисту в автоматизованій системі.(рос.)
• Andrew Schulman // The Extent of Systematic Monitoring of Employee E-mail and Internet Use [Архівовано 2 березня 2008 у Wayback Machine.] (Огляд моніторингових програмних продуктів, що застосовуються для контролю за діями співробітників в корпораціях США)
• «How To Login From an Internet Cafe Without Worrying About Keyloggers» [Архівовано 8 серпня 2017 у Wayback Machine.], Cormac Herley, Dinei Florencio, Microsoft Research (англ.)
• Mafia trial to test FBI spying tactics. Keystroke logging used to spy on mob suspect using PGP [Архівовано 21 січня 2010 у Wayback Machine.], The Register, 6.12.2000 (англ.)

1. Що таке програма-кейлогер? Якої шкоди вона може завдати пристрою?