В закладки
КонтактыО сайте

Кейлоггер: что это такое, цели применения, как от него защититься. Клавиатурный шпион

Доброго времени суток, всем тем, кто зашел к нам на "огонек". Сегодня речь пойдет о том, что есть keylogger и как оно вообще работает.

Сегодня речь пойдет не о всем известных обычных «зловредах» ( , и т.п.), а о малознакомой (широкому кругу пользователей), но не менее опасной заразе, чем всякие другие.

Разобраться, что это такое, для чего они не нужны (чем опасны), какие бывают и как с ними бороться, - вот поистине достойная цель, которую нам и предстоит сегодня осилить.

Что ж, работы непочатый край, засучиваем рукава и вперед.
Читаем.

Вводная

Думаю, те из Вас, кто дружит с английским, уже догадались, что keylogger (в переводе, от сокращения keyboard logger ) означает – клавиатурный регистратор, можно сказать, что это так и есть, однако официальное их название (по науке) – клавиатурные шпионы.

Относится сия «нечисть» к классу – программ-шпионов, т.е. попадая на компьютер (ноутбук/нетбук/планшет и т.п.) пользователя, она выполняет свои грязные дела шпионские функции без Вашего на то ведома, согласия и участия.

Выглядит это примерно так:

Вы ничего не подключали, например, из дополнительных услуг своего сотового оператора и вообще знать ничего не знаете про эти услуги, однако денежки с Вашего баланса полегоньку списываются и поступают куда следует.

Вообще, большинство пользователей недооценивают keylogger как класс угроз, а между тем он несет серьезную опасность, т.к. его главное назначение – сохранять и передавать логины с учетных записей пользователей, кошельков и т.д.

По сути, keylogger фиксирует все действия пользователя на клавиатуре, т.е. это некий «репитер» (повторитель), готовый в любой момент «слить» (куда следует) все то, что он за Вами нафиксировал.

Перехват нажатий клавиш может использоваться обычными программами и часто применяется для вызова функций программы из другого приложения с помощью «горячих клавиш» (hotkeys ) или, например, для переключения неправильной раскладки клавиатуры (как Keyboard Ninja ).

Посмотрим на концепцию keylogger "ов глужбе

Также стоит отметить, что современные клавиатурные шпионы не просто записывают коды вводимых клавиш – они "привязывают" клавиатурный ввод к текущему окну и элементу ввода.

Многие же keylogger ’ы отслеживают список запущенных приложений, умеют делать "снимки" экрана по заданному расписанию или событию, шпионить за содержимым буфера обмена и решать ряд задач, нацеленных на скрытное слежение за пользователем.

Записываемая информация сохраняется на диске, и большинство современных клавиатурных шпионов могут формировать различные отчеты (записывая их в специализированный журнал регистрации, т.е Log -файл), могут передавать их или http/ .

Кроме того, ряд современных keylogger ’ов пользуются RootKit- технологиями для маскировки следов своего присутствия в системе.

В общем, вот такая многогранная «зараза», при наличии которой на Вашем компьютере Вы даже чихнуть спокойно не сможете без её ведома:)

Примечание:
Стоит сказать, что кейлоггеры довольно древний тип проклятия появились еще во времена MS-DOS – тогда они представляли собой обработчики прерывания клавиатуры размером около 1 кб.

Однако функции клавиатурных шпионов за прошедшее время не изменились, – по-прежнему их первичной задачей является скрытная регистрация клавиатурного ввода с последующей записью собранной информации на диск или передачей по сети.

Вы скажите, что сейчас на рынке куча антивирусных пакетов, как платных, так и бесплатных (о которых мы писали в своих обзорах, это и и и т.п.), неужели так сложно отловить какой-то «неказистый» клавиатурный шпион?

Порой-таки да, сие весьма проблематично, ибо с точки зрения антивируса это не вирус (т.к. он не обладает способностью к размножению) и не троянская программа, поэтому многие «защитники» если и ловят кейлоггеры, то только со специальной, расширенной базой и дополнительными модулями, на то нацеленными.

Другая проблема связана с тем, что кейлоггеров известно превеликое множество (да и написать его не составляет особого труда) - как следствие, сигнатурный поиск против них малоэффективен.

Вообще, вариантов реализации клавиатурного шпиона преогромное множество, однако у всех них есть общий принцип работы,– это внедрение в процесс прохождения сигнала от нажатия клавиши до появления символа на экране.

Самым распространенным вариантом реализации является кейлоггер, устанавливающий клавиатурные ловушки, хуки (с ударом в боксе нет ничего общего:)).

В Windows хуком называется механизм перехвата сообщений системы, использующий особую функцию:

  • Для этой функции используют механизм Win32API . Большинство клавиатурных шпионов данного вида используют хук WH_Keyboard ;
  • Кроме хука WH_KEYBOARD используют также хук WH_JOURNALRECORD ;
  • Отличие между ними заключается в том, что WH_JOURNALRECORD не требуется наличия отдельной динамической библиотеки (DLL ), что упрощает распространение сей гадости по сети.

Клавиатурные хуки считывают информацию с системной очереди аппаратного ввода, находящейся в системном процессе. Особую популярность данный метод приобрел в связи с тем, что фильтрующая ловушка позволяет перехватить абсолютно все нажатия клавиш, так как хук контролирует все потоки системы.

Также для создания такого шпиона не требуется особых знаний, кроме знания Visual C++ или Delphi и Win32API . Однако использование данного способа вынуждает программиста-хакера создавать отдельную динамическую библиотеку DLL .

Стоит сказать, что методика ловушек достаточно проста и эффективна, но у нее есть ряд недостатков. Первым недостатком можно считать то, что DLL с ловушкой отражается в адресное пространство всех GUI -процессов, что может применяться для обнаружения клавиатурного шпиона.

Вариация 2. Периодический опрос состояния клавиатуры

Примитивный до смешного метод, состоящий в циклическом опросе состояния клавиатуры с большой скоростью. Данный метод не требует внедрения DLL в GUI -процессы, и в результате шпион менее заметен.

Недостатком клавиатурных шпионов такого типа является необходимость периодического опроса состояния клавиатуры с достаточно высокой скоростью, не менее 10-20 опросов в секунду.

Этот метод применяется некоторыми коммерческими продуктами.

Вариация 3. Клавиатурный шпион на базе драйвера

Данный метод наиболее эффективен в сравнении с описанными выше. Возможны как минимум два варианта реализации этого метода – написание и клавиатуры вместо штатного или установка драйвера-фильтра. Этот метод (равно как и ловушка) является документированным методом слежения за клавиатурным вводом.

Вообще, чтобы было нагляднее ориентироваться, какие кейлоггеры наиболее популярны, приведу примерный процент их распространенности (см. изображение выше).

Вариация 4. Шпион-руткит

Может реализовываться как в UserMode , так и в режиме ядра (KernelMode ). В UserMode слежение за клавиатурным вводом может быть построено за счет перехвата обмена процесса csrss.exe драйвером клавиатуры или при помощи слежения за вызовами API -функций типа GetMessage и PeekMessage .

Во многих случаях от руткита-кейлоггера не спасает даже экранная клавиатура, которая часто преподносится как панацея от кейлоггера любого типа.

Аппаратные клавиатурные устройства

В последние годы получили страшное развитие, миниатюрнейшие размеры и чрезвычайную разумность. на вид их иногда сложно заметить, реже, - отличить от флешки, а в случае с банкоматами их вообще можно различать лишь профессионал.

В старом варианте выглядело это как-то так:

Т,е помимо программных средств шпионажа за работой пользователя существуют и аппаратные, которые обладают несомненным достоинством – их нельзя обнаружить программными методами.

Варианты реализации аппаратных кейлоггеров:

  • Установка устройства слежения в "разрыв" кабеля клавиатуры;
  • Встраивание устройства слежения в клавиатуру;
  • Установка USB -устройства, вроде "флешки", карты памяти и тп;
  • Визуальное "наблюдение" за клавиатурой/экраном;
  • Прочее.

Мило, не так ли? Надо признать, что такая гадость наиболее зловредна, но и подсадить её несколько сложнее, - она требует непосредственного физического доступа к устройству.

Немного про проактивную защиту

Наиболее "распространенным" решением является использование систем проактивной защиты, которые могут предупредить пользователя об установке или активизации программных кейлоггеров.

Главный недостаток этого способа - необходимость активного участия пользователя для определения дальнейших действий с подозрительным кодом.

  • Если пользователь недостаточно технически подготовлен, из-за его некомпетентного решения кейлоггер может быть пропущен;
  • Если же участие пользователя в принятии решения системой проактивной защиты минимизировать, то keylogger может быть пропущен в следствии недостаточно жесткой политики безопасности системы.

Вот такая палка о двух концах. И чуть чуть выделим еще кое-что.

Виртуальная клавиатура как решение

Последний из рассматриваемых способов защиты как от программных, так и от аппаратных кейлоггеров - использование виртуальной клавиатуры.

Виртуальная клавиатура представляет собой программу, показывающую на экране изображение обычной клавиатуры, в которой с помощью мыши можно «нажимать» определенные клавиши.

В целом, экранная клавиатура плохо применима для обмана кейлоггеров, так как она создавалась не как средство защиты, а как средство помощи людям с ограниченными возможностями, и передача данных после ввода с помощью данной клавиатуры может быть очень легко перехвачена вредоносной программой.

Экранная клавиатура может быть использована для того, чтобы обойти keylogger , однако, она должна быть разработана специальным образом, исключающим перехват вводимых данных на любой стадии их ввода и передачи (как правило, применяется алгоритм смены позиции кнопок и цифр, а так же шифрование конечного результата).

Пожалуй, каждый пользователь ПК хоть однажды задумывался о сохранности конфиденциальных данных на собственном жестком диске. Любой человек хранит на своем компьютере личную секретную информацию, но может сам не догадываться об этом. К примеру, через ПК могут совершаться покупки в интернет-магазинах с помощью электронных денег или пластиковой карты. Такой компьютер автоматически становится интересным для мошенников.

Проблеме защиты конфиденциальных данных уже ни один год и универсального решения для нее не существует. В настоящее время, есть достаточно широкий выбор программ для обеспечения безопасности компьютера, к примеру, различные антивирусы, брандмауэры или ограничение прав доступа. Но не стоит полностью полагаться на эти способы защиты, ведь кроме вирусных атак существует угроза, которая идет от человека. Как узнать, что происходит с рабочим компьютером, когда пользователь находится на обеденном перерыве или просто отошел на несколько минут?

Опытному пользователю хватит и нескольких минут для того, чтобы узнать огромное количество информации о владельце компьютера. Проще всего получить доступ к истории переговоров по различным мессенджерам и к переписке по электронной почте. Кроме того, за несколько минут можно изъять список всех используемых паролей системы, а также просмотреть список всех ресурсов, которые посещались владельцем. Стоит ли говорить о незащищенных файлах и папках?

В данном обзоре пойдет речь о специализированных программных продуктах, предназначенных для шпионажа за компьютером и его пользователем. Подобные утилиты достаточно часто используются на рабочих компьютерах, для контроля сотрудников, а также в домашних условиях для организации родительского контроля или слежением за действиями второй половины.

Различные брандмауэры и антивирусы относятся к приложениям подобного типа с подозрением и могут рассмотреть в них признаки вредоносного ПО. Разработчики подобных утилит указывают об этом на своих сайтах. Однако, после соответствующей настройки брандмауэра, он перестанет реагировать на программу-шпиона.

Данное приложение даст пользователям возможность получать информацию о том, какие действия совершаются на компьютере. Утилита может работать с несколькими учетными записями операционной системы Windows и при составлении отчета указывает имя пользователя и действия, совершенные им. В настройках могут быть выбраны те учетные записи, при активизации которых приложение будет автоматически запускаться.

Программа составляет отчеты, в которых содержится информация о всех действиях, совершенных пользователем, в том числе: нажатые клавиши, название окон, в которых производится набор, посещенные сайты в Интернете, имена запускаемых программ и файлов, а также время их использования. Помимо прочего, утилита сохраняет все сообщения, из популярных IM-клиентов и делает снимки экранов через указанные в настройках промежутки времени.

Полученная информация может быть просмотрена как в окне самой программы, так и в виде отчета в формате HTML. Также предусмотрен поиск среди отображаемых данных и автоматическое удаление устаревшей информации.

Приложение Maxapt QuickEye в первую очередь ориентировано на использование среди корпоративных пользователей. Программа наиболее эффективна для просмотра и проведения анализа отчетов. Таким образом, у управленцев появляется возможность быстро узнать, кто из сотрудников работал, а кто нет. Приложение отображает список всех программ, запущенных пользователем, учитывает время работы со всеми утилитами и насколько активно с ними велась работа. К примеру, окно программы может быть открыто на протяжении всего рабочего дня, но пользователь работал с ним не более часа, программа все это отобразит в отчете.

Программа группирует все запущенные приложения по категориям, что дает возможность зайти в категорию интернет-мессенджеров и быстро узнать, кто из сотрудников мало уделял времени своей работе. Кроме того, приложение поддерживает группировку компьютеров сети по нескольким категориям, что еще больше облегчает процесс работы с ней.

Стоит отметить и возможность утилиты ограничивать доступ к выбранным приложениям, а также составлять целый список запрещенных программ для каждого сотрудника в отдельности.

Данное программное средство ранее было известно под именем KGB Keylogger. Однако от смены названия не изменилась функциональность утилиты и, как и раньше, основным достоинством данного «шпиона» является возможность удаленного слежения за активностью компьютера. Во время установки данного приложения, пользователь получает подробную информацию о том, как правильно настроить работу установленного в системе антивируса для корректной работы обеих утилит.

В приложении Mipko Employee Monitor очень удачно организована работа с несколькими пользователями, что является существенным плюсом для системных администраторов. Мониторинг за различными компьютерами может быть настроен в различных вариантах. К примеру, для одного пользователя можно установить только слежение за запуском приложений, для другого – копировать весь набираемый текст и т.д.

Приложение способно работать в режиме оповещения, то есть если пользователь совершает определенные действия или набирает определенные слова на компьютере, программа помечает его значком тревоги и отправляет предупреждение сетевому администратору.

Программа дает возможность применять специальные фильтры слежения, то есть администратор может составить список приложений, активность которых следует отслеживать, не обращая внимания на другие утилиты.

Конечно, вся эта функциональность не была бы полной, при отсутствии создания снимков экрана. Скриншот может быть сделан как для всей рабочей области компьютера, так и для активного окна. Снимки экрана могут создаваться не только через обозначенный промежуток времени, но также и при открытии нового приложения.

Программа способна перехватывать сообщения во всех известных мессенджерах, в том числе: Yahoo!, QIP, ICQ, AIM, Skype, Miranda и других.

С помощью данной утилиты, пользователь может получать различную информацию об использовании компьютера. Программа следит за содержимым буфера обмена, отмечает данные об активности всех приложений, создает скриншоты экрана через заданные промежутки времени, учитывает время включения и выключения компьютера, отслеживает данные о нажатых клавишах и выполняет мониторинг файлов, отправленных на печать.

Программа запускается с помощью настраиваемого сочетания клавиш и не отображается ни в списке запущенных приложений, ни в трее, но выдает себя соответствующей папкой в меню «Пуск». Поэтому при использовании данного шпиона, стоит удалить эту папку.

У данного приложения есть только один, но достаточно весомый недостаток – программа воспринимает нажатие клавиш только в английской раскладке, стоит помнить об этом при выборе шпионского ПО.

Демонстрационная версия утилиты работает лишь на протяжении 40 минут, с момента активации, но в некоторых случаях этого бывает достаточно для защиты ПК, к примеру, во время перерыва на работе.

Один из главных параметров программы-шпиона – это скрытность. Ведь если в диспетчере задач «висит» яркий, мигающий значок с названием приложения, пользователь поймет, что за ним следят, и сможет обойти защиту. Разработчики программы NeoSpy сделали все для того, чтобы их приложение было абсолютно невидимым на компьютере. Устанавливая программу, можно сразу выбрать скрытую или администраторскую инсталляцию. При скрытой установке, папок программы не будет видно ни на жестком диске, ни на рабочем столе, ни в меню «Пуск». Для запуска будет необходимо воспользоваться командной строкой.

Данное приложение помимо своей незаметности, наделено и неплохим функционалом. Программа может перехватывать сообщения из популярных мессенжеров, с легкостью фиксирует названия всех запускаемых приложений, а также отмечает время запуска и закрытия. NeoSpy автоматически создает снимки экрана через заданные промежутки времени, а также во время запуска всех утилит.

С помощью данного шпиона можно получать подробную информацию об активности в Интернете – адреса всех посещенных сайтов, время проведенное в сети и количество потраченного трафика.

Можно говорить о том, что программа дает возможность следить за каждым действием пользователя за компьютером. NeoSpy сохраняет весь набранный на клавиатуре текст, сохраняет данные из буфера обмена, отслеживает создание и удаление новых файлов.

Программа Elite Keylogger совершенно не определяется большинством антивирусов и никак не сказывается на производительности системы в целом. Приложение заявлено как средство для продолжительного мониторинга активности в течение любого промежутка времени. Статистика автоматически классифицируется по дням, за счет чего обеспечивается быстрый и удобный доступ к информации администратора. Утилита дает возможность создавать списки пользователей, за которыми нужно вести слежение.

Программа может контролировать работу большинства популярных приложений для общения через Интернет, фиксирует переписку по электронной почте, сохраняет данные по активности всех приложений и документов, отправляемых на печать. Вся полученную информацию, Elite Keylogger может сохранять в отдельную папку на сетевом диске, загружать ее на сервер FTP или отослать по электронной почте.

Стоит обратить особое внимание на удаление данной утилиты. Если пользователь захочет удалить Elite Keylogger, то он не сможет этого сделать даже с помощью специальных утилит, которые контролируют автозагрузку операционной системы Windows. Единственный способ удалить данное приложение – зайти в программу и в настройках выбрать соответствующее действие.

Данная программа предназначена для слежения за активностью человека в локальной сети. Помимо сетевого мониторинга, утилита также фиксирует и другие действия пользователей за компьютером. Приложение перехватывает данные большинства известных мессенджеров, сохраняет список всех посещенных сайтов в Интернете и весь набранный на компьютере текст.

Кроме того, программа способна в автоматическом режиме создавать снимки экрана через заданные промежутки времени, вести учет всех документов, отправляемых на печать, выполнять скрытое копирование редактируемых файлов и документов, копируемых на съемные носители.

Всю полученную информацию программа хранит в базе данных на ПК администратора, а также может отправлять уведомления на указанный компьютер при определенных условиях.

И напоследок.

В настоящее время на рынке представлен широкий выбор шпионских программ и каждый желающий установить подобное ПО на компьютер сможет подобрать нужное приложение, удовлетворяющее всем требованиям пользователя. Конечно, такие утилиты больше всего востребованы в организациях, где существуют серьезные требования к действиям сотрудников на работе.

Совсем недавно программы-шпионы могли лишь фиксировать нажатия клавиш на клавиатуре, а сейчас они способны контролировать все действия пользователей на компьютере. Таким образом, ПО подобной направленности развиваются очень быстро, и никто не знает, какие функции будут введены разработчиками в новых версиях утилит.

Помимо слежения за сотрудниками и за возлюбленными, программы-шпионы помогут в организации комплексной защиты конфиденциальных данных на компьютере.

Для проверки безопасности вводимых паролей через KeePass я решил написать простейший кейлоггер с дополнительным захватом данных из буфера обмена. Весь код занял несколько строчек на FreePascal.

Пароли, без дополнительных мер защиты и правильной настройки KeePass, как оказалось, достаточно уязвимы.

Код кейлоггера помещен в цикл Timer, который обновляется каждые 10 ms. Используются модули: Windows и ClipBrd.

//Сравниваем текущие состояние клавиш for f:= 0 to 255 do if a[f] <> GetAsyncKeyState(f) then begin //Реакция на отжатие клавиши if KeePass.Checked and (GetAsyncKeyState(f) = 0) then Memo1.Caption:= Memo1.Caption + chr(f); //Реакция на нажатие клавиши if not KeePass.Checked and (GetAsyncKeyState(f) <> 0) then Memo1.Caption:= Memo1.Caption + chr(f); end; //Сохраняем в массив текущее состояние клавиш for f:= 0 to 255 do a[f] := GetAsyncKeyState(f); //Запись при изменении в буфере обмена if s <> Clipboard.AsText then begin s:= Clipboard.AsText; Memo2.Caption:= Memo2.Caption + s + " "; end;
Программа Simple Logger выглядит так:

В окне -Keyboard- выводятся клавиши без учета регистра и языка ввода. Отображается символ, номер которого равен коду клавиши: chr(f). Можно доработать программу для корректного отображения всех символов, но это не требуется для настоящего исследования.

В окно -Clipboard- происходит копирование при изменении содержимого буфера.

Слабые места KeePass и их устранение

1. Ввод основного пароля

По умолчанию основной пароль в KeePass вводится без защищенного режима, поэтому он легко определяется в Simple Logger. Это самое критичное место в безопасности, т.к. здесь мы получаем доступ сразу ко всей базе паролей.

Для устранения проблемы необходимо включить настройку Безопасности «Вводить основной пароль в защищенном режиме (подобно UAC в Windows Vista и выше)». Этот режим не позволяет логгеру получить доступ к клавиатуре. Кроме того, в нем невозможно сделать скриншот для определения расположения Ключевого файла.

Данный режим включается только при вводе основного пароля. О защите остальных паролей будет идти речь дальше.

2. Буфер обмена

Simple Logger реагирует на изменение буфера обмена с частотой 100 раз в секунду. Таким образом, попадание пароля в буфер и его последующее удаление через несколько секунд не дает защиты в данном случае.

Для устранения этой проблемы можно использовать Автонабор.

3. Автонабор

Реакция на автонабор KeePass происходит на отжимание клавиши, а не нажатие. Это позволяет получить защиту от некоторых кейлоггеров. Для обхода этого в Simple Logger есть дополнительная настройка: «KeePass Auto-Type». Если она включена, то логгер срабатывает на отжимание клавиши.

При автонаборе через KeePass: MyLoginName LongPassword123

В Simple Logger появится запись:

Simple Logger ни как не учитывает сочетания клавиш. Как видите, клавиша Shift отобразилась в виде спецсимвола (похожего на «+») и «?». Shift отпускается как до, так и после заглавной буквы. Тем не менее, этого достаточно, чтобы понять пароль.

Для решения этой проблемы можно использовать настройку в KeePass «Двойное усложнение автонабора». В этом случае KeePass будет вводить часть пароля с клавиатуры, а часть через буфер обмена, перемешивая значения. Это позволяет обойти некоторые кейлоггеры.

Simple Logger на Двойное усложнение автонабора отреагирует следующим образом:

  • Вставка из буфера обмена «Ctrl + V» отобразилась как «V◄?»;
  • Стрелка влево – «%» (код клавиши и символ #37);
  • Стрелка вправо – «"» (код клавиши и символ #39).
Можно написать небольшой алгоритм и восстановить правильный пароль, используя данные из обоих окон. Эта настройка усложняет работу кейлоггера, но не гарантирует защиты – при желании пароль легко восстанавливается.

От кейлоггера, который «заточен» под KeePass, могут помочь дополнительные средства защиты.

4. Дополнительные средства защиты

В некоторых программных комплексах есть такие возможности как:
  • Защита ввода данных с аппаратной клавиатуры;
  • Защищённый браузер.
При включении защиты ввода данных с аппаратной клавиатуры Simple Logger уже не может получить данные при автонаборе KeePass, если они вводятся в браузере в форму для пароля. В этом случае слабым местом будет работа через буфер обмена.

При использовании защищенного браузера получить доступ к буферу обмена и клавиатуре средствами Simple Logger не удалось. Кроме того, не было возможности делать скриншоты.

Вместо заключения

Посмотрев, как наши сотрудники используют KeePass, я обнаружил, что некоторые:
  • не используют UAC;
  • не используют автонабор, просто копируя пароли через буфер;
  • оставляют программу открытой, уходя с рабочего места;
  • используют настройки по умолчанию, не настраивая политику безопасности.
Я менеджер в небольшой фирме, немного увлекаюсь программированием. Я не являюсь техническим специалистом или экспертом в области безопасности, поэтому буду рад, если более опытные специалисты укажут на недочеты моего небольшого исследования.

Я тестировал последнюю версию KeePass 2.36 в среде Windows 8.1. Справедливости ради надо отметить, что данная проблема не является только проблемой KeePass. Есть множество других хранителей паролей с большей или меньшей степенью надежности, но это тема уже другого исследования.

Ссылки

  1. Simple Logger на GitHub
    //Кому не страшно, в архиве «SimpleLogger_for_Win64.7z» можно найти exe-шник. Программа не позволяет вести полноценный кейлоггинг, предназначена для исследования безопасности и ознакомительных целей.
UPD (27.07.2017)

Плагин для браузера

Как заметил пользователь dartraiden , можно использовать модуль KeePassHttp совместно с дополнением для браузера PassIFox или ChromeIPass . Этот плагин (по заявлению разработчика) обеспечивает безопасное экспонирование записей KeePass через HTTP.

Данная связка позволяет автоматически заполнять логин и пароль в браузере, когда KeePass разблокирован. Simple Logger ни как не реагирует в данном случае.

Слабым местом ChromeIPass является генерация нового пароля, т.к. он копируется через буфер обмена и виден на экране. В этом случае, лучше генерировать новый пароль в самом KeePass.

Создание нового мастер пароля

Как заметил arthur_veber :
При замене мастер пароля, а так же при создании нового, не применяется безопасный режим.

В этом случае Simple Logger перехватывает вводимый в KeePass мастер пароль.

Не помогает и виртуальная экранная клавиатура от известного производителя, которая, как и автонабор KeePass, работает по событию на отжимание клавиши.

Советы здесь давать трудно. Наверное, нужно обратить внимание разработчиков на эту проблему.

Другие средства атаки

Как первым заметил пользователь qw1 , если система, на которой установлен KeePass, скомпрометирована, то могут использоваться друге средства атаки, помимо кейлоггера. В этом случае перечень действий по противодействию атаке будет зависеть от конкретной ситуации.

К сожалению, невозможно осветить в одной статье все меры защиты, которые необходимы для хранения паролей.

Теги: Добавить метки

Программный кейлоггер

  • англ. keylogger
  • англ. key logger
  • англ. keystroke logger
  • англ. key recorder
  • англ. key trapper
  • англ. key capture program
  • англ. key snooper
  • русск. кейлоггер

Аппаратный кейлоггер

  • англ. keystroke recording device
  • англ. hardware keylogger
  • русск. аппаратный кейлоггер

Виды информации, которые могут контролироваться

  • нажатия клавиш на клавиатуре
  • нажатия клавиш мышки
  • дата и время нажатия

Классификация

по типу

Программные кейлоггеры принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера. Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (Log-файл), который впоследствии изучался человеком, установившим эту программу. Log-файл мог отправляться по сети на сетевой диск, ftp сервер в сети Интернет, по Email и т.д. В настоящее время программные продукты, сохранившие "по старинке" данное название, выполняют много дополнительных функций - это перехват информации из окон, перехват кликов мыши, перехват буфера обмена, "фотографирование" снимков экрана и активных окон, ведение учета всех полученных и отправленных Email, мониторинг файловой активности, мониторинг системного реестра, мониторинг очереди заданий, отправленных на принтер, перехват звука с микрофона и видео-изображения с веб-камеры, подключенных к компьютеру и т.д., т.е. они, на самом деле, относятся к совершенно другому классу программных продуктов, а именно к мониторинговым программным продуктам .

Аппаратные кейлоггеры представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере, чтобы успешно перехватывать все нажатия клавиш. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер - включенном или выключенном. Время его работы не ограничено, т.к. он не требует для своей работы дополнительного источника питания. Объемы внутренней энергонезависимой памяти данных устройств позволяют записывать до 20 миллионов нажатий клавиш, причем с поддержкой юникода. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита. В зависимости от места прикрепления аппаратные кейлоггеры подразделяются на внешние и внутренние.

Акустические кейлоггеры представляют собой аппаратные устройства, которые вначале записывают звуки, создаваемые пользователем при нажати на клавиши клавиатуры компьютера, а затем анализирующие эти звуки и преобразовывающие их в текстовый формат.

по месту хранения Log файла

  • жесткий диск
  • память
  • реестр
  • расшаренный, т.е. общедоступный (shared) сетевой диск
  • удаленный сервер

по методу отправки Log файла

  • e-mail (без участия пользователя)
  • ftp (без участия пользователя)
  • http (https - безопасное соединение по Интернет) (без участия пользователя)
  • любой вариант беспроводной связи (радиодиапазон, инфракрасный диапазон, Bluetooth, WiFi и т.п.)
  • по локальной сети

по методу применения

Только метод применения кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет увидеть грань между управлением безопасностью и нарушением безопасности .

Несанкционированное применение - установка кейлоггера (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) происходит без ведома владельца (администратора безопасности) автоматизированной системы или без ведома владельца конкретного персонального компьютера. Несанкционированно применяемые кейлоггеры (программные или аппаратные) именуются как или шпионские устройства. Несанкционированное применение, как правило, связано с незаконной деятельностью (illegal activity). Как правило, несанкционированно устанавливаемые шпионские программные продукты имеют возможность конфигурирования и получения "скомплектованного" исполнимого файла, который при инсталляции не выводит никаких сообщений и не создает окон на экране, а также имеют встроенные средства доставки и дистанционной установки сконфигурированного модуля на компьютер пользователя, т.е. процесс инсталлирования происходит без непосредственного физического доступа к компьютеру пользователя и зачастую не требует наличия прав администратора системы;

Санкционированное применение - установка кейлоггера (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) происходит с ведома владельца (администратора безопасности) автоматизированной системы или с ведома владельца конкретного персонального компьютера. Санкционированно применяемые кейлоггеры (программные или аппаратные) именуется как мониторинговые программные продукты (англ. employee monitoring software, parental control software, access control software, personnel security programs и т.п.) Как правило, санкционированно устанавливаемые программые продукты требуют физического доступа к компьютеру пользователя и обязательного наличия прав администратора для конфигурирования и инсталляции;

по включению в сигнатурные базы

Известные кейлоггеры. К данной категории кейлоггеры, сигнатура которых уже включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов.

Неизвестные кейлоггеры. К данной категории относятся кейлоггеры, сигнатура которых не включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов и, зачастую, никогда не будет в них включена по различным причинам:

  • кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций;
  • кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы;
  • кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера;
  • коммерческие, особенно, включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного коммерческого мониторингового программного продукта, может способствовать в превращению последнего в шпионский программный продукт , который не обнаруживается анти-шпионскими программными продуктами и/или анти-вирусными программными продуктами;
  • кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу, данные модули являются неизвестными. Пример – всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.

Цели применения

Санкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет владельцу (администратору безопасности) автоматизированной системы или владельцу компьютера:

  • определить все случаи набора на клавиатуре критичных слов и словосочетаний, передача которых третьим лицам приведет к материальному ущербу;
  • иметь возможность получить доступ к информации, хранящейся на жестком диске компьютера, в случае потери логина и пароля доступа по любой причине (болезнь сотрудника, преднамеренные действия персонала и т.д.);
  • определить (локализовать) все случаи попыток перебора паролей доступа;
  • проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить что набиралось на клавиатуре в данное время;
  • исследовать компьютерные инциденты;
  • проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
  • восстановить критическую информацию после сбоев компьютерных систем;

Применение модулей, включающих в себя кейлоггер, разработчиками коммерческих программных продуктов, позволяет последним:

  • создавать системы быстрого поиска слов (электронные словари, электронные переводчики);
  • создавать программы быстрого поиска фамилий, фирм, адресов (электронные телефонные книги)

Несанкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет злоумышленнику:

  • перехватывать чужую информацию, набираемую пользователем на клавиатуре;
  • получить несанкционированный доступ к логинам и паролям доступа в различные системы, включая системы типа «банк-клиент»;
  • получить несанкционированный доступ к системам криптографической защиты информации пользователя компьютера - парольным фразам;
  • получить несанкционированный доступ к авторизационным данным кредитных карточек;

Методы защиты от несанкционированно установленных кейлоггеров

Защита от "известных" несанкционированно установленных программных кейлоггеров:

  • использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, с автоматическим обновлением сигнатурных баз.

Защита от "неизвестных" несанкционированно установленных программных кейлоггеров:

  • использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют, так называемые эвристические (поведенческие) анализаторы, т.е. не требующие наличия сигнатурной базы.

Защита от "известных" и "неизвестных" несанкционированно установленных программных кейлоггеров включает в себя использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:

  • постоянно обновляемые сигнатурные базы шпионских программных продуктов;
  • эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.

Защита от несанкционированно установленных аппаратных кейлоггеров:

  • тщательный внешний и внутренний осмотр компьютерных систем;
  • использование виртуальных клавиатур;

Ссылки

  • HARDWARE KEYLOGGER PS/2 and USB Example of Hardware Keylogger PS/2 and USB
  • Keylogger.Org Независимое сравнение самых популярных кейлоггеров
  • First Step Data Capture - Key Stroke Loggers Кейлоггеры - первый шаг сбора данных. SANS Institute.
  • W32.Dumaru.Y@mm Описание одного из известных вирусов, включающего в себя модуль программного кейлоггера.
  • Наблюдаемость вычислительных систем как неотъемлемая часть комплекса средств защиты в автоматизированной системе
  • The Extent of Systematic Monitoring of Employee E-mail and Internet Use Обзор мониторинговых программных продуктов, применяемых для контоля за действиями сотрудников в корпорациях США. Andrew Schulman
  • Computer And Internet Surveillance in the Workplace: Rough Notes Компьютерное и интернет наблюдение за рабочими местами. Andrew Schulman
  • Детальное описание конструкции аппаратного кейлоггера

Существуют различные типы трюков, используемых хакерами для кражи нашей идентичности.

Keylogger - это одно вредоносное приложение или инструмент, который используется многими хаками для отслеживания того, что мы печатаем, и для кого и как мы подключаемся к сети. В наши дни кейлоггер стал одной из самых мощных угроз, которые могут записывать то, что вы вводите, и делиться ею с информацией для хакеров.

Знание того, как обнаружить кейлоггер и удалить его с компьютера, может помочь защитить вашу личность и личную жизнь.

Пошаговое руководство по обнаружению Keylogger и удалению его с компьютера

Нелегко обнаружить, влияет ли ваш компьютер на кейлоггер, если только это руководство не идентифицирует его. Конечно, есть инструменты и программное обеспечение для обнаружения злонамеренной угрозы, зная, как ее обнаружить вручную может пригодиться, когда дело доходит до защиты вашей личности.

Вот два способа, по которым вы можете обнаружить, что кейлоггер установлен на вашем устройстве или нет:

Способ 1 . Откройте диспетчер задач, используя комбинацию клавиш Ctrl + Alt + Delete . Перейдите к параметру процессов и найдите дубликат копии процесса с именем Winlogon. Один процесс с этим именем прекрасен, но если их два, значит, ваше устройство заражено кейлоггером.

Способ 2 : Иногда кейлоггер заражает устройство через какую-то вредоносную программу, которая автоматически устанавливается на ваше устройство, когда мы в сети. Поиск нежелательной программы на панели управления можно обнаружить кейлоггер. Вот как обнаружить нежелательную программу с панели управления:

Перейдите в меню «Пуск», выберите «Все программы» и просмотрите всю установленную программу. Если вы найдете какую-либо программу, которую вы не установили, удалите ее. Удалив ненужную программу, вам необходимо перезагрузить устройство.

Как удалить Keylogger

Узнав, как обнаружить кейлоггер, вы должны знать, как удалить его с компьютера. Ключ-кейггер можно удалить из устройства, используя следующие два метода:

Способ 1 . Если вы обнаружили кейлоггер в диспетчере задач, удалите дублируемую копию Winlogon.

Способ 2 . Если вы обнаружили неизвестную программу, установленную в вашей системе, удалите эту программу.

Эти два являются самыми простыми способами обнаружения и удаления кейлоггера вручную из вашей системы. Ручные методы закладывают основу для защиты компьютера от вредоносной деятельности и, таким образом, помогают предотвратить кражу любых данных.

Кроме того, на рынке доступно программное обеспечение, которое может помочь обнаружить клавиатурные шпионы и удалить их с компьютера. Вы можете узнать, как обнаружить кейлоггер и удалить его с компьютера, установив программное обеспечение, способное обнаруживать и удалять вредоносный инструмент.

Программное обеспечение сканирует компьютер любого вредоносного файла, который способен красть информацию, хранящуюся в нем, и отправлять его хакерам.

При обнаружении вредоносных файлов программное обеспечение помещает их в карантин и обрабатывает их, удаляя или восстанавливая их после поиска вашей команды.

Программное обеспечение не только сканирует компьютер, но также предотвращает или защищает компьютер, отключая автоматическую установку любой программы, которая может быть подвержена риску.

Keylogger стал серьезной угрозой, поскольку большее число людей использует цифровые гаджеты для различных задач. Будь то онлайн-транзакция или частные чаты, кейлогеры могут взломать детали и записать все, что вы набираете, с помощью клавиатуры нашего устройства.

Два типа клавиатурных шпионов и то, как они влияют на ваш компьютер.

Keylogger имеет два типа: аппаратный кейлоггер и программный кейлоггер.

Аппаратное обеспечение Keylogger:

Аппаратный кейлоггер поставляется в виде USB-устройств, которые могут быть подключены к компьютерной системе. Этот конкретный тип кейлоггера встроен в заднюю часть центрального процессора (CPU) и снимает активность клавиатуры.

Программное обеспечение Keylogger:

Программный кейлоггер встроен в программное обеспечение и программу, установленные или устанавливаемые на ваш компьютер. Когда мы устанавливаем какое-либо программное обеспечение в компьютерной системе, автоматически создаются определенные файлы. Эти файлы могут быть злыми и могут записывать и красть информацию с компьютера.

Независимо от того, какой тип кейлоггера на вашем компьютере влияет, каждый кейлоггер может привести к необратимым потерям.

Поэтому крайне важно своевременно обнаружить кейлоггер, чтобы предотвратить кражу любых важных данных.

Компьютер можно защитить, обновив антивирусное программное обеспечение. Использование детекторов вирусов часто также помогает выявлять и предотвращать любую malic-программу.

Существует также один трюк для предотвращения потери каких-либо типов информации через клавиатуру, вы можете хранить данные, такие как имя пользователя и пароль, в блокноте, а также копировать и вставлять детали, когда это необходимо.

Тем не менее, в этом случае вам нужно будет дополнительно осознавать данные, хранящиеся в блокноте, поскольку хакеры могут красть информацию. Риск взлома повсюду, но он не должен мешать нам использовать цифровые гаджеты.

Используйте интеллектуальные устройства, проявляя бдительность. Не допускайте, чтобы что-то вроде кейлоггера мешало вам продвигаться вперед по вашему пути. Убедитесь, что ваша компьютерная система обновлена, и все ее программы функционируют должным образом.

Запуск антивирусного программного обеспечения регулярно также может помочь защитить ваш компьютер, когда вы в сети, а также в автономном режиме.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд 5,00 / 3
Главная Windows Кейлоггер: что это такое, цели применения, как от него защититься. Клавиатурный шпион
Статьи по теме: